Android平台恶意软件的静态行为检测.pdfVIP

Android平台 恶意软件的静态行为检测 南京邮电大学计算机学院 童振飞 杨庚 摘 要 采用静态行为检测的方法检测Android平台的恶意软件，避免手机恶意软件可能导致用户隐私的泄露、电池 ： 耗尽和发送垃圾短信造成的高额话费开支。 文件的符号信息，从动态链接重定位表中提取Android程序的函数调用信息，作为程序的行为特征。最后，使 。分类结 果表明，采用静态ELF文件分析的方法，可以有效地检测Android恶意软件。 关键词 恶意软件；可执行可链接；静态行为检测 ： 的恶意行为模式（如，恶意软件的系统调用序列），来判断目标文 0 引言 件是否具备恶意趋向。基于行为的检测方法有的3个优点：特 征库较小，无需频繁更新；由于大多数病毒的行为模式都十分 在手机平台上，恶意软件（malware）给用户带来巨大的安全相似，因此基于行为的检测方法可用于预防未知病毒；能够抵 [2] 隐患。恶意软件是拥有恶意行为的程序的统称，包括病毒、蠕 抗混淆和加密攻击 。 [1] 虫、特洛伊木马 。2004年6月，第一个手机病毒Cabir出现在诺根据检测时机的不同，基于行为的检测方法可分为动态 基亚塞班平台上。Cabir证明了在手机网络中传播恶意软件的（dynamic）和静态（static）两种。动态行为检测在程序运行的 可能。 过程中执行，静态行为检测在程序运行之前执行。由于混淆 当前手机平台上的反病毒措施主要依赖基于签名（sig-和加密的方法不能够改变程序的行为模式，因此动态检测有 nature-based）的检测，无法检测未知恶意软件。而且，基于单 效地防止此类攻击。由于在程序运行时执行，动态检测对实 一签名的检测方法被加壳、代码混淆等技术所规避。因此， 时性要求较高，必须确保在恶意程序对系统产生损害前检测 必须保存每一个病毒新变种的特征签名。这导致特征库不 出威胁。通常的解决方法是利用沙盒、虚拟机来模拟执行程 断膨胀，进而使病毒特征检索复杂度变大，最终带来能耗的 序，但是这带来更大的能耗。静态行为检测通过逆向工程手 增加。 段，抽取程序的特征，如二进制序列，操作码序列，函数调用 鉴于基于特征签名的恶意软件检测方法存在的诸多问题， 序列等。与动态行为检测相比，静态行为检测能耗更低（无须 人们开始研究基于行为（behavior-based）的检测方法。基于特征 沙盒、虚拟机），风险更小，对实时性要求更低（在程序执行前 签名的检测方法，通过检测文件是否拥有已知恶意软件的特征 进行检测）。但是，也面临如何从加密和混淆的病毒中抽取特 签名（如，一段特殊代码或字符串）来判断其是否为恶意软件。 征的困境。 而基于行为的检测方法则依靠监视文件的行为（如，通过动态 在能够获取样本特征的条件下，静态行为检测在能耗方面 拦截或静态分析的方法获取程序的系统调用序列），结合已知 的表现优于动态行为检测。 February 2011 39 TCHNOLOGY PRACTICE 技术与实践 。通过动态监 1 手机病毒研究的相关工作 控手机设备的各种特征和事件，运用机器学习算法将搜集到的