安卓平臺下惡意軟件的檢測.pdf

1、2007年，隨著第一臺安卓手機的問世，安卓手機系統(tǒng)就以其良好的用戶體驗、較低的成本開銷和較高的開源性贏得了眾多手機生產(chǎn)商、軟件開發(fā)者和手機使用者的廣泛認可，安卓系統(tǒng)所占的市場份額也越來越大。但是由于其相對簡單的安全檢查機制，引來無數(shù)惡意攻擊者對安卓市場進行攻擊。他們通過開發(fā)惡意軟件，盜取用戶信息、惡意扣除用戶電話費、惡意消耗用戶手機流量、電量等。2011年，谷歌官方應(yīng)用市場累計有11000款惡意軟件，而截至到2013年，惡意程序已經(jīng)超過

2、了42000款。越來越快的惡意軟件發(fā)展速度使安卓應(yīng)用安全問題的解決顯得十分迫切。準確快速的識別惡意軟件對用戶的信息安全特別重要。
　　目前安卓平臺的反病毒措施主要是基于簽名的檢測，但隨著加殼技術(shù)等的發(fā)展，這種方法已經(jīng)遠遠不能保證手機安全，所以當(dāng)今科學(xué)家開始從應(yīng)用程序的權(quán)限和調(diào)用圖上分析，試圖找到更準確的檢測方法。應(yīng)用程序的權(quán)限分析，可以確定該應(yīng)用是否能夠訪問用戶的敏感信息，從而對可以訪問敏感信息的應(yīng)用做進一步檢測。而惡意應(yīng)用的調(diào)用

3、圖分析法，主要針對寄生在一個安全應(yīng)用上的惡意應(yīng)用，這種惡意應(yīng)用通過篡改原安全應(yīng)用的代碼，加入一些惡意代碼段，從而實現(xiàn)惡意攻擊者的不法行為。調(diào)用圖分析法是目前最流行的檢測方法。
　　通過對大量安卓手機惡意應(yīng)用程序的分析，發(fā)現(xiàn)其與被感染的安全應(yīng)用程序在程序語義方面有很大相似性。通過分析同一家族（由同一個開發(fā)者開發(fā)的同一個軟件的不同版本共同構(gòu)成一個家族）中不同版本間的程序，發(fā)現(xiàn)同一家族的不同版本在程序語義方面也存在很大的相似性。以此為假

4、設(shè)，本文提出了一種基于程序家族關(guān)系的附加惡意應(yīng)用程序（向安全軟件注入惡意代碼的實現(xiàn)其惡意行為的程序）檢測方法。該檢測方法主要運用對安卓應(yīng)用程序反匯編后的代碼靜態(tài)分析的方法，獲取每個安卓應(yīng)用程序的特征向量，進而通過聚類來發(fā)現(xiàn)異常數(shù)據(jù)。該方法的研究工作主要包括以下幾個方面:從幾大安卓市場爬取大量安卓應(yīng)用程序作為實驗數(shù)據(jù);將爬取下來的安卓應(yīng)用程序進行反匯編，得到其反匯編代碼;通過對反匯編后的代碼分析得到安卓應(yīng)用程序的函數(shù)調(diào)用圖;從函數(shù)調(diào)用圖中