Android系統(tǒng)惡意代碼檢測(cè)技術(shù)研究.pdf

1、隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，各種各樣的智能移動(dòng)終端設(shè)備已經(jīng)逐漸在人們的生活與工作中得到普及，而在多種智能移動(dòng)設(shè)備的操作系統(tǒng)當(dāng)中，Android系統(tǒng)憑借其優(yōu)秀的性能與方便易用等特點(diǎn)，在智能移動(dòng)設(shè)備中的占有率最大。而正是由于Android系統(tǒng)的流行，傳統(tǒng)的病毒和木馬制作者開(kāi)始將矛頭從PC端逐漸轉(zhuǎn)移指向了智能移動(dòng)終端，使得近年來(lái)具有惡意代碼的Android應(yīng)用程序被大量發(fā)現(xiàn)，這些應(yīng)用對(duì)用戶信息安全與財(cái)產(chǎn)安全造成了極大的危害。
　　Andr

2、oid系統(tǒng)惡意代碼數(shù)量之大、變種之多，根本原因在于Android系統(tǒng)開(kāi)源的特點(diǎn)。惡意代碼制作者可以基于逆向工具對(duì)現(xiàn)有的應(yīng)用程序進(jìn)行反編譯、修改，從而加入具有惡意功能的代碼再次發(fā)布。本文通過(guò)收集大量的Android系統(tǒng)惡意代碼樣本并進(jìn)行分析，總結(jié)出惡意代碼的運(yùn)行機(jī)理，并針對(duì)如何快速而有效地檢測(cè)Android系統(tǒng)惡意代碼進(jìn)行了深入研究。
　　首先，根據(jù)惡意代碼的運(yùn)行機(jī)理與實(shí)現(xiàn)特點(diǎn)，研究了在Android系統(tǒng)惡意代碼檢測(cè)中的三種關(guān)鍵技術(shù)

3、：第一是針對(duì)在惡意代碼中大量存在的重打包現(xiàn)象，提出了基于簽名的黑白名單檢測(cè)方法，和基于模糊哈希的相似度檢測(cè)方法；第二是針對(duì)惡意代碼中的權(quán)限濫用現(xiàn)象，提出了一種基于權(quán)限功能比的惡意代碼檢測(cè)方法，并對(duì)其做了優(yōu)化與改進(jìn)；第三是分析了現(xiàn)有的惡意代碼動(dòng)態(tài)行為監(jiān)視技術(shù)的不足并對(duì)其進(jìn)行了改進(jìn)。
　　其次，結(jié)合本課題已有的研究基礎(chǔ)，提出了一種基于支持向量機(jī)的Android系統(tǒng)惡意代碼檢測(cè)模型。針對(duì)惡意代碼與正常應(yīng)用的主要區(qū)別，分別提取出應(yīng)用的多種

4、特征信息并進(jìn)行處理，通過(guò)對(duì)模型的訓(xùn)練與參數(shù)調(diào)整，最終建立了一個(gè)適用于Android系統(tǒng)的有效的惡意代碼檢測(cè)模型。
　　最后，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)Android惡意代碼聯(lián)合檢測(cè)系統(tǒng)AMJD。針對(duì)智能移動(dòng)終端與現(xiàn)有檢測(cè)服務(wù)器的性能特點(diǎn)，該系統(tǒng)設(shè)計(jì)為由快速檢測(cè)與深度檢測(cè)兩種引擎聯(lián)合工作。通過(guò)將本文所研究的惡意代碼檢測(cè)關(guān)鍵技術(shù)與模型有效結(jié)合，詳細(xì)介紹了聯(lián)合檢測(cè)系統(tǒng)的組成結(jié)構(gòu)與兩個(gè)檢測(cè)引擎中的主要功能模塊，并從多個(gè)角度對(duì)該系統(tǒng)的惡意代碼檢測(cè)性能