Android平台恶意软件静态行为检测.pdfVIP

南京邮电大学计算机学院 童振 杨 庚 摘 要：采用静态行为检测的方法检测Android平台的恶意软件，避免手机恶意软件可能导致用户隐私的泄露、电池 耗尽和发送垃圾短信造成的高额话费开支。通过静态分析 ELF(executableandlinkableformat，可执行可链接) 文件的符号信息，从动态链接重定位表中提取Android程序的函数调用信息，作为程序的行为特征。最后 ，使 用NearestNeighbor，NaiveBayes和 SMO(结构化查询语言管理对象)3种分类模型对样本进行了分类。分类结 果表明，采用静态 ELF文件分析的方法 ，可以有效地检测Android恶意软件。 关键词：恶意软件；可执行可链接；静态行为检测 的恶意行为模式(如，恶意软件的系统调用序列)，来判断 目标文 0引言 件是否具备恶意趋向。基于行为的检测方法有的3个优点：特 征库较小 ，无需频繁更新 ；由于大多数病毒的行为模式都十分 在手机平台上，恶意软件 (malware)给用户带来巨大的安全 相似 ，因此基于行为的检测方法可用于预防未知病毒 ；能够抵 隐患。恶意软件是拥有恶意行为的程序的统称，包括病毒、蠕 抗混淆和加密攻击2[1。 虫、特洛伊木马l】1。2004年 6月，第一个手机病毒Cabir 现在诺 根据检测时机的不同，基于行为的检测方法可分为动态 基亚塞班平台上。Cabir证明了在手机网络中传播恶意软件的 (dynamic)和静态 (static)两种 。动态行为检测在程序运行 的 可能。 过程中执行 ，静态行为检测在程序运行之前执行。由于混淆 当前手机平台上 的反病毒措施主要依赖基于签名fsig— 和加密的方法不能够改变程序的行为模式 ，因此动态检测有 nature—based)的检测 ，无法检测未知恶意软件 。而且 ，基于单 效地防止此类攻击 。由于在程序运行时执行 ，动态检测对实 一 签名的检测方法被加壳 、代码混淆等技术所规避。因此 ， 时性要求较高 ，必须确保在恶意程序对系统产生损害前检测 必须保存每一个病毒新变种 的特征签名。这导致特征库不 出威胁。通常的解决方法是利用沙盒 、虚拟机来模拟执行程 断膨胀 ，进而使病毒特征检索复杂度变大，最终带来能耗的 序，但是这带来更大的能耗。静态行为检测通过逆向工程手 增加。 段，抽取程序的特征 ，如二进制序列 ，操作码序列 ，函数调用 鉴于基于特征签名的恶意软件检测方法存在的诸多问题 ， 序列等。与动态行为检测相 比，静态行为检测能耗更低 (无须 人们开始研究基于行为(behavior-based)的检测方法。基于特征 沙盒、虚拟机)，风险更小 ，对实时性要求更低 (在程序执行前 签名的检测方法 ，通过检测文件是否拥有已知恶意软件的特征 进行检测)。但是 ，也面临如何从加密和混淆的病毒中抽取特 签名 (如，一段特殊代码或字符串)来判断其是否为恶意软件。 征的困境 。 而基于行为的检测方法则依靠监视文件的行为(如，通过动态 在能够获取样本特征的条件下，静态行为检测在能耗方面 拦截或静态分析的方法获取程序的系统调用序列)，结合已知 的表现优于动态行为检测 。 @信lm y201t89 ● TCHNOLOGYPRACTICE眨 目圈 HIDS(host—basedintrusionpreventionsystems)系统。通过动态监 1手机病毒研究的相关工作 控手机设备的各种特征和事件，运用机器学习算法将搜集到的