基于組件和行為相似性的Android惡意代碼檢測(cè)研究.pdf

1、近年來(lái)，隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展以及應(yīng)用APP的興起，以智能手機(jī)為代表的智能設(shè)備給人們的生活帶來(lái)了極大的便利，同時(shí)也成為了人們?nèi)粘Ｉ钪斜夭豢缮俚墓ぞ?。Android系統(tǒng)因?yàn)槠溟_(kāi)源的特性而受到各大廠商的喜愛(ài)，從而成為移動(dòng)平臺(tái)上的主流操作系統(tǒng)。在Android系統(tǒng)市場(chǎng)份額不斷提高的同時(shí)，Android惡意代碼已成為危害Android系統(tǒng)用戶(hù)信息和財(cái)產(chǎn)安全的主要因素。根據(jù)百度手機(jī)衛(wèi)士最新發(fā)布的互聯(lián)網(wǎng)移動(dòng)安全報(bào)告，Android平臺(tái)惡意代碼已

2、成爆發(fā)式增長(zhǎng)，如何有效的檢測(cè)Android平臺(tái)下惡意代碼成為了移動(dòng)安全領(lǐng)域研究和討論的重點(diǎn)。
　　本文主要對(duì)Android平臺(tái)惡意代碼進(jìn)行檢測(cè)，在結(jié)合傳統(tǒng)檢測(cè)方法的基礎(chǔ)上，提出了惡意因子與組件相似性?xún)煞矫娴撵o態(tài)檢測(cè)以及調(diào)整余弦相似度的代碼行為數(shù)據(jù)分析的動(dòng)態(tài)檢測(cè)方法，并實(shí)現(xiàn)了相應(yīng)的檢測(cè)系統(tǒng)原型。本文主要工作包括：
　　對(duì)Android平臺(tái)下惡意代碼的檢測(cè)技術(shù)進(jìn)行了研究，在此基礎(chǔ)上提出了本文的檢測(cè)方法。首先，本文對(duì)Android

3、系統(tǒng)的框架結(jié)構(gòu)、系統(tǒng)關(guān)鍵服務(wù)進(jìn)程進(jìn)行了介紹，分析了Android系統(tǒng)和應(yīng)用的安全機(jī)制，指出了系統(tǒng)和應(yīng)用安全機(jī)制存在的缺陷，并介紹了惡意代碼的相關(guān)檢測(cè)技術(shù)。接下來(lái)本文通過(guò)各種技術(shù)手段深入分析Android系統(tǒng)上的惡意代碼，總結(jié)其所常用的各種惡意技術(shù)手段，如ELF加密技術(shù)、動(dòng)態(tài)加載技術(shù)、數(shù)據(jù)竊取技術(shù)等，發(fā)現(xiàn)了其所常用API。最后在已知的檢測(cè)技術(shù)上，利用上述兩點(diǎn)研究?jī)?nèi)容，提出了基于靜態(tài)代碼惡意因子的檢測(cè)方法、基于應(yīng)用代碼組件相似性的檢測(cè)方法和

4、基于調(diào)整余弦相似度的代碼行為數(shù)據(jù)分析方法。首先通過(guò)靜態(tài)代碼惡意因子的檢測(cè)方法，靜態(tài)遍歷應(yīng)用的權(quán)限和組件信息，計(jì)算出應(yīng)用的惡意因子，然后利用組件相似性的檢測(cè)方法，檢測(cè)應(yīng)用是否為重打包的惡意樣本，最后通過(guò)動(dòng)態(tài)注入技術(shù)獲得應(yīng)用運(yùn)行時(shí)的行為數(shù)據(jù)，利用調(diào)整余弦相似度算法計(jì)算應(yīng)用同相同類(lèi)型的惡意代碼行為數(shù)據(jù)的相似度。通過(guò)結(jié)合這三種檢測(cè)方法對(duì)應(yīng)用進(jìn)行檢測(cè)，最終給出應(yīng)用的檢測(cè)報(bào)告。
　　設(shè)計(jì)、實(shí)現(xiàn)并測(cè)試了Android平臺(tái)下惡意代碼的檢測(cè)系統(tǒng)原型