Android惡意代碼運(yùn)行機(jī)制研究與預(yù)防.pdf

1、隨著科技的發(fā)展和人們生活水平的不斷提高，智能手機(jī)也越來(lái)越普及。Android系統(tǒng)，憑借它的開放性，贏得了世界廣大手機(jī)廠商的青睞，已經(jīng)成為全球市場(chǎng)份額第一的智能手機(jī)操作系統(tǒng)，同時(shí)Android平臺(tái)上的惡意代碼也飛速增長(zhǎng)，尤其隨著移動(dòng)支付的興起，惡意代碼給用戶造成巨大經(jīng)濟(jì)損失，僅在2014年第一季度就高達(dá)7500萬(wàn)元。因此，研究和預(yù)防惡意代碼具有重要意義。
　　目前，Android平臺(tái)上的惡意代碼檢測(cè)主要是基于行為的動(dòng)態(tài)態(tài)檢測(cè)和靜態(tài)檢

2、測(cè)。動(dòng)態(tài)檢測(cè)是指在受控的環(huán)境中運(yùn)行惡意軟件，并記錄其所有的行為，靜態(tài)檢測(cè)是指在不運(yùn)行惡意軟件的前提下，通過(guò)逆向工具獲取其源代碼并進(jìn)行分析。其中動(dòng)態(tài)檢測(cè)容易漏掉未被觸發(fā)的惡意行為，而傳統(tǒng)的靜態(tài)檢測(cè)對(duì)惡意代碼變種檢測(cè)不足。因此，本文通過(guò)分析了近期捕獲的30余種惡意代碼的運(yùn)行機(jī)制，總結(jié)出了惡意代碼的行為特征：調(diào)用系統(tǒng)敏感API進(jìn)行惡意行為，從而提出了基于敏感API調(diào)用序列相似度匹配的預(yù)防方案，有效彌補(bǔ)了傳統(tǒng)靜態(tài)檢測(cè)方法的不足。
　　本文

3、首先研究了惡意代碼特征提取技術(shù)，敏感API權(quán)重分配技術(shù)，樣本相似度匹配技術(shù)，然后設(shè)計(jì)出了預(yù)防系統(tǒng)AndroidDetection。本預(yù)防系統(tǒng)分為客戶端和服務(wù)器端，客戶端監(jiān)聽?wèi)?yīng)用程序安裝動(dòng)作，一旦有應(yīng)用程序安裝，提示用戶及時(shí)進(jìn)行惡意代碼檢測(cè)，并把應(yīng)用程序APK文件的MD5或者DEX文件發(fā)送到服務(wù)器端。服務(wù)器端則通過(guò)靜態(tài)反編譯手段，以敏感API的調(diào)用序列作為特征，采用數(shù)據(jù)挖掘算法TF-IDF分配權(quán)重，通過(guò)相似度匹配來(lái)檢測(cè)用戶安裝的應(yīng)用程序是