Android恶意软件检测方法研究.docVIP

Android恶意软件检测方法研究 　　摘要：Android已成为当今最热门的移动终端平台，其开放性的特点使得针对它的恶意软件层出不穷。该文针对恶意软件的行为进行动态分析，提出了一种基于监控敏感API调用的恶意软件检测算法。该算法用卡方检验筛选出权值高、作用不重叠的敏感API，最后使用K-means算法做机器学习，识别出与样本库相似的恶意软件，该方法能够有效识别恶意软件，标注出其恶意行为。 　　关键词：Android；恶意软件；敏感API 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）03-0086-02 　　近几年来，Android平台日益严重的安全问题，使得恶意软件研究成为当务之急。Android恶意代码分析研究目前主要有两种方法，即静态分析和动态检测。静态分析是指通过分析程序代码来判断程序行为 [1]。动态分析是指在严格控制的环境下执行应用程序，尽可能的触发软件的全部行为并记录，以检测应用程序是否包含恶意行为[2]。本文提出的全面检测软件运行时信息的Android恶意软件检测方案就是基于动态分析的基础上，利用敏感API的触发来判断应用程序的行为。据此开发了一个恶意程序检测系统，对系统的检测效果进行评估和验证。 　　1敏感API 　　通常，恶意软件在运行时需要调用特定的API来完成，如隐私窃取型恶意软件需要访问通讯录API，恶意计费型恶意软件需要调用发送短信API，这些API是敏感API[3]。在恶意软件动态分析中，需要用到程序运行时的API调用日志，而Android系统的日志仅提供了有限信息。因此通过dalvik注入的方式在Android源码中hook这些敏感API，使得恶意软件调用这些敏感API时能及时得到调用日志。 　　敏感API来源于对已知恶意软件分析的经验，以及对已知恶意软件和已知正常软件API统计的差异[4]。最终选定了可以用来收发短信、删除短信、拨打电话、删除通话记录、开启网络、执行shell脚本等功能的API。部分修改敏感API如表1所示。 　　2 检测方法的设计与实现 　　恶意软件检测系统功能包括：1）综合信息采集；2）数据预处理；3）数据分析。综合信息采集的目标是获取敏感API调用信息及全面获取程序的其它静、动态信息，以便于人工分析经过数据处理后仍然可疑的应用程序。数据预处理指的是用卡方检验算法对敏感API调用序列做滤波处理，以得到一个更加独立的敏感API调用特征值集合。经过数据预处理后，数据分析模块应用机器学习算法学习分类规则，学习完成后识别未知应用程序。 　　2.1综合信息采集 　　分析系统采用自动化设计，用户将目标应用程序导入系统后，系统将应用程序自动安装到分析模拟机上，并运行，分析系统记录下APK运行过程中对系统文件、网络、短信、通讯录、电话、日历、定位、录音的访问记录，以及系统是否有执行进程、注入、拍照等获取手机隐私信息的行为，并将应用程序触发的敏感API序列记录在数据库中。本系统为全自动化运行，分析模拟系统会自动模拟拨打电话、接听电话、收发短信、模拟按键、位置变化等真实的手机行为，应用程序会根据这些行为自动做出响应。部分综合信息如表2所示。 　　2.2用卡方检验预处理数据 　　数据采集模块得到的敏感API调用序列数据量很大，且有大量重复冗余调用。系统一共标记了183处敏感API，运行过程中会调用大部分的API。在获得的敏感API序列中，有些API单独触发对于检测软件是否安全的意义不大，并且很多敏感API在功能上有相似性，如Location类的getLatitude方法和getLongitude方法被应用程序触发后都表示程序正在获取手机位置信息等[5]。因此，可以使用卡方检验算法对样本库的API调用序列进行滤波，筛选掉上述类型的敏感API，以减少分析计算的工作量。卡方检验的公式表示如下： 　　2.3基于K-means算法的数据分析 　　经过上一步的去冗余等处理，将敏感API调用集合变成了含有敏感API、调用频数的二维表形式[6]。用K-means算法对各二维表进行学习计算。K-means算法是一种聚类算法，它以k为参数，把n个对象分成k个簇，使簇内具有较高的相似度，而簇之间的相似度较低。算法的处理过程为：首先随机选取k个对象作为初始的k个簇的质心；然后将剩余对象根据其与各个簇的质心的距离分配到最近的簇；最后重新计算各个簇的质心。不断地重复此过程，直到目标函数最小为止。簇的质心公式如下： 　　每个Android应用程序的敏感API调用数据，都会被分成2种：正常的或含有恶意的，分别组成正常调用向量和恶意调用向量。实验中选择分两类即k=2，分类结果出来后，可以对照样本实际分类的情况，调整属性的数量，以及权重分配的方法。完成