Android应用异常检测方法研究.docVIP

Android应用异常检测方法研究 　　摘要：目前面向Android系统的攻击越来越多，因此，分析与检测Android恶意应用已经成为了一个非常重要的研究课题。本-文主要从恶意应用类型，国内外主流检测技术等方面分析了Android恶意应用的检测方法研究现状，并基于当前的检测技术，提出仅将良性样本作为训练集来实现对未知Android应用进行异常检测的方法，取得了良好的实验结果。最后，本文分析了Android应用异常检测方法的发展趋势及未来主要研究方向。 中国论文网 /8/view-7218575.htm 　　关键词：Android系统；Android应用；检测技术；异常检测 　　随着移动互联网的快速发展，移动智能终端用户的数量呈现爆炸式的增长。据市场调研公司IDC最新报告显示，在2015年年底，全球智能手机出货量将会超过14亿台，其中运行Android系统的设备将会占到11.5亿台，全球市场占比达到79.4%。同时由9Android系统的开放性，它也成为众多恶意应用开发者的活跃地盘。据猎豹移动安全实验室日前发布的《2014 2015中国互联网安全研究报告》显示，2014年全球感染病毒的Android手机计2.8亿部，平均每天80万部Android手机中毒，而中国以近1.2亿部手机中毒高居榜首，已成为全球受病毒之害最严重的国家。因此，如何对发布到互联网及应用商店的应用程序的安全性进行有效的检测和评测，无论是对应用市场的监管方还是对终端用户来说都具有非常重要的意义。 　　本文通过对国内外研究现状进行分析，对目前主流的恶意应用类型及检测方法进行深入分析与总结，以期能为相关工作提供参考。同时结合自己的研究成果，提出了一种仅基于良性样本作为训练集来实现对未知Android应用进行异常检测的方法。最后提出了Android应用异常检测的发展趋势及本文未来的主要研究方向。 　　1 Android平台下恶意应用的类型 　　随着智能手机的广泛应用，发布手机应用程序的官方市场和第三方市场上都出现了含有恶意代码的应用程序，因此，分析与检测Android恶意应用已经成为了一个非常重要的研究课题。但无论何种检测方法都需要对Android恶意应用类型有深入的了解。Zhou等人根据恶意应用的样本来提取每个恶意家族的足迹。通过对现存市场中49个恶意家族共计1260个恶意应用进行静态分析，发现目前Android平台下的恶意应用主要包括3大类，分别是安装攻击、功能触发以及恶意负载。 　　1.1 安装攻击 　　Android平台下的安装攻击式恶意应用，其主要就是将自己伪装成时下人们常用的各类应用软件，吸引用户对其进行下载，这样就能够达到快速传播的目的，当用户错误下载了这类恶意应用，其就会通过重打包、更新包以及偷渡式下载方式对用户的移动通讯端口进行入侵。其中重打包技术是目前恶意应用开发者普遍使用的攻击技术，占研究数据的86%。攻击者从应用市场下载主流应用程序，对其系统进行重新编码以此隐藏其恶意行为，然后利用应用平台的开放性，将具有恶意行为的应用重新发布到应用市场，进而通过用户的下载安装实现其盗取用户隐私、扣取费用等恶意目的；而更新包的方式主要是在用户安装过程中提示需要下载更新包，而更新包中就隐藏着恶意编码，进而对用户端进行入侵；偷渡式下载主要是在安装软件中有部分恶意网站的链接，引导用户对恶意应用进行下载。 　　1.2 功能触发 　　部分恶意应用通过注册相关的系统事件使其具有监听功能，当系统自发或由用户完成某一操作后，恶意应用便可监听到这一事件，进而执行其恶意代码。如当Android手机开机后，系统就会发送BOOT_COMPLETED广播，监听这个广播就能监听开机。此广播也因此成为恶意应用开发者最常利用的监听事件，占所研究数据的83.3%。 　　2 Android平台下恶意应用的检测技术 　　由于第三方市场的开放性，任何人都可以向应用市场提交应用。用户通过所有不可靠途径得到的应用程序很有可能被植入了恶意代码，这些恶意应用可对用户实施恶意扣费、窃取隐私、系统破坏等恶意行为，严重干扰到用户的正常使用。因此，如何对发布到互联网及应用商店的应用程序的安全性进行有效的检测和评测，无论是对应用市场的监管方还是对终端用户来说都具有非常重要的意义。 　　2.1 基于签名的检测技术 　　传统的基于签名的检测技术主要依托于手机软件的签名。重点介绍了基于特征码的恶意应用检测方法。国外著名的Android恶意应用检测工具Androguard也是基于签名的检测方法。然而最新的研究显示，通过简单的程序陷阱便可使这种基于低级语义签名的检测技术失去其有效性。在此基础上，Feng等人提出了Apposcopy检测技术，该技术首先从控制流和数据流两方面对某一恶意家族进行签名，所谓控制