Android本地恶意应用鉴别系统实现.docVIP

Android本地恶意应用鉴别系统实现 　　【 摘 要 】 近年来，Android手机由于其出色的用户体验，吸引了大量的用户，同时也因为它的开源特性，也极易受到恶意软件的攻击，其中本地恶意软件尤为恶劣。论文针对Android平台上本地恶意应用软件，提出了基于代码基本块控制流比较的鉴别方法。通过代码中基本块的分离，控制流图的构造及其信息的抽象比较，设计实现了一套Android平台上本地代码恶意应用鉴别系统。 　　【 关键词 】 安卓；本地代码；控制流图 　　【 Abstract 】 In recent years， Android smart phone attracts many users owing to its brilliant user experience. Meanwhile， it’s vulnerable to malware because of its open-source characteristic， especially native code. A method was proposed to detect native malware based on the comparison of control flow graph of basic blocks. By the separation of basic blockscode， the construction of control flow graph and the comparison of the abstract of it， a detection system is designed and implemented that can identify native malware on Android platform. 　　【 Keywords 】 android； native code； control flow graph 　　1 引言 　　近年来，移动终端发展迅速，2011年，全球移动掌上设备数量达到了16亿，单单苹果系统和Android系统的用户在2011年到2012年间就从3800万涨到了8400万。2013年初，Android系统的用户的数量超越了包括苹果、塞班和黑莓在内的多种系统的用户数量。NetMarketShare网站2016年2月统计结果，Android系统占市场份额第一，为58.75%，iOS第二位为32.93%，而第三位的Windows Phone只有2.86%。 　　随着智能手机的普及，手机病毒也随之得到快速发展。McAfee的一份调查报告显示，其实验室2015年第一季度收集的手机病毒比2014年第四季度增长了13%，总共已经包含了4亿个病毒样本。而2015年第一季度出现的新型手机病毒比2014年第四季度增长了49%。 G DATA发布的《移动恶意软件报告-2015年3季度》显示，2015年第三季度发现恶意软件574，706例，与2014年同期相比，发现的新型Android系统恶意软件增长了50%。 　　而在各式各样的恶意软件之中，将恶意功能隐藏在本地代码中的恶意软件尤为恶劣。它的恶意功能由C/C++代码实现并编译成.so链接库，无法像Java源码一样被还原分析，给识别带来较大困难，所以某些不法人士对它青睐有加。目前恶意本地代码这一领域是Android平台应用安全一个不可忽视的环节，对其的研究分析具有极大的挑战性，有利于全面提高Android平台应用的安全性。 　　2 研究现状 　　目前主流的恶意软件分析主要还是对Java代码的研究分析，少有人真正去关注本地代码级别的恶意软件。而相对可行的鉴别本地代码恶意软件的方法是利用沙盒软件，将目标APP放入其中运行，观测其输入输出流有无可疑信息。但是这样的方法对于计算机资源的消耗量比较大。文献[5]提出了另外两种试行方法，本地代码隔离（Native Code Separation）和本地代码权限管理（Managing Native Code Permissions），并且制作出了原型，但是并未公开，并且这种方法难度比较大。文献[6]制作了将机器学习（Machine Learning）与传统手段相结合的病毒检测系统，在面对大量样本时，系统可以通过机器学习一定程度上自动识别新的病毒。实验表明其病毒检测成功率超过90%，但需要大量后台资源的支持。 　　另一类有效的方法是利用基本块控制流之间的异同进行检测，对控制流分析的分析研究已经有较长的一段时间，其在计算机的各个领域内都有重要作用。但是，对高级语言的控制流分析已趋近成熟，而对于汇编语言的控制流分析尚在摸索之中。文献[7]对不同类型的处理器的汇编指令进行了统一归类，创造性地提出了一种能够