基于動(dòng)態(tài)模型的Android惡意軟件檢測(cè)研究與實(shí)現(xiàn).pdf

1、隨著基于Android系統(tǒng)智能手機(jī)的日益普及，特別是伴隨著3G網(wǎng)絡(luò)的普及以及4G業(yè)務(wù)的高速發(fā)展，智能手機(jī)已經(jīng)取代了部分電腦的功能逐步融入了人們的生活。當(dāng)前智能手機(jī)已經(jīng)具備了銀行支付以及購(gòu)物和社交等涉及用戶隱私的功能，這使得各種以謀取利益為目的，盜竊用戶隱私信息甚至是資金的惡意軟件日益增多。然而由于Android系統(tǒng)的開(kāi)源特性使得其安全問(wèn)題更為突出，Android平臺(tái)的惡意軟件已經(jīng)越來(lái)越成為當(dāng)前影響智能手機(jī)安全的主要因素。
　　本文

2、在充分研究惡意軟件行為特征以及當(dāng)前惡意軟件檢測(cè)方法的基礎(chǔ)上，提出了基于隱Markov模型的Android系統(tǒng)惡意行為檢測(cè)方法。在檢測(cè)的方式上選擇了以軟件行為作為檢測(cè)要素的動(dòng)態(tài)檢測(cè)方法，避免了需要不斷更新惡意代碼庫(kù)的繁瑣，同時(shí)也可以對(duì)未知的惡意軟件進(jìn)行檢測(cè)。在檢測(cè)內(nèi)容上本文的研究注重于短信、電話、網(wǎng)絡(luò)、位置信息這樣對(duì)用戶隱私構(gòu)成一定危害的關(guān)鍵功能。檢測(cè)模型采用了基于隱Markov模型，利用其評(píng)估的方法實(shí)現(xiàn)對(duì)惡意軟件的判斷。同時(shí)利用隱Mar

3、kov模型良好的學(xué)習(xí)能力，實(shí)現(xiàn)了機(jī)器自主學(xué)習(xí)的功能。通過(guò)不斷的學(xué)習(xí)用戶使用習(xí)慣來(lái)提高對(duì)惡意軟件判斷的準(zhǔn)確性，當(dāng)出現(xiàn)區(qū)別于用戶習(xí)慣的行為就可以通過(guò)經(jīng)過(guò)學(xué)習(xí)的判斷參數(shù)來(lái)判斷其是否是惡意行為。
　　在實(shí)現(xiàn)檢測(cè)方法中，本文建立了以用戶判斷為基礎(chǔ)的檢測(cè)模型。在模型參數(shù)選擇時(shí)，為了體現(xiàn)用戶使用習(xí)慣。在平衡對(duì)惡意行為檢測(cè)的效率和對(duì)系統(tǒng)資源的占用這兩個(gè)因素的前提下，本文選取了若干能夠反映用戶使用習(xí)慣的行為參數(shù)來(lái)建立模型。考慮到智能手機(jī)硬件配置的局

4、限性，為了降低對(duì)系統(tǒng)資源的占用率，實(shí)現(xiàn)輕量級(jí)的惡意行為檢測(cè)軟件。首先模型的參數(shù)不需要通過(guò)第三方的分析軟件來(lái)獲得，僅借助于Android系統(tǒng)自身的廣播機(jī)制和優(yōu)良的框架層監(jiān)控體系來(lái)實(shí)現(xiàn)參數(shù)的獲取。其次基于Android系統(tǒng)的廣播機(jī)制來(lái)實(shí)現(xiàn)軟件行為獲取，實(shí)現(xiàn)了系統(tǒng)不用常駐后臺(tái)運(yùn)行，只有收到相關(guān)廣播時(shí)才啟動(dòng)。在判斷模型中，除了系統(tǒng)自動(dòng)判斷還加入了用戶的判斷。通過(guò)設(shè)立黑白名單，不僅提高了在判斷惡意行為時(shí)的效率也提高了檢測(cè)方法的靈活性，同時(shí)還降低了