基于支持向量机Androdi恶意软件静态检测技术研究.docVIP

基于支持向量机Androdi恶意软件静态检测技术研究 　　[摘要]随着Android系统的流行与普及，Android软件的种类和数目激增，但是其中存在着不少窃取用户隐私、恶意扣费的软件。因此，Android恶意软件的检测技术一直是人们关注和研究的热点。论文在介绍支持向量机以及Android恶意软件检测后，将二者有效地结合，构建由权限、监听的系统事件、敏感API以及权限率组成的特征向量，并且建立了基于支持向量机的Android恶意软件静态检测模型。最后，论文通过模型的测试验证了该方法的有效性。 　　[关键词]Android；恶意软件；支持向量机；静态检测 　　1 引言 　　Android恶意软件由于直接危害人们的日常生活，所以一直是工业界和学术界的研究热点。Android恶意软件的检测技术大致分为动态检测技术和静态检测技术。动态检测技术将软件运行在一个模拟的封闭环境，通过共享库注入和hook技术获取软件运行时调用的函数，从而进行行为分析。其正确率高，但是检测过程相对复杂，消耗资源较多，而且在自动化测试软件时很难激活所有的软件的行为。静态检测技术是在不运行软件的前提下，对给定软件所申请的权限以及反编译得到的Dalvik字节码的语法和语义进行分析。其正确率同样较高，速度快，自动化程度高。但是静态检测技术对未知软件进行检测时准确率较低，即恶意软件特征的普适性较差。 　　2 Android恶意软件检测与支持向量机 　　Android恶意软件本质是一个分类问题，而机器学习来解决分类问题是当前社会的热点。用机器学习来实现Android恶意软件的检测，需要将Android软件抽象为一个特征向量，选取合适的算法和训练数据建立模型，进而对未知的软件进行恶意检测。这样，Android恶意软件检测的正确率很大程度上取决于训练数据的数量、算法的合适度与参数、以及特征向量的构建。在众多的机器学习算法中，支持向量机可以较好地实现高维数据分析，满足恶意软件特征向量维度较高的特性。 　　支持向量机（support Vector Machine，SVM）是源于统计学习理论，常用于回归分析和统计分类，已经成功运用于很多生产与实验环境中。其思想就是根据样本的分布寻找最佳分类器。在众多可以将样本分开的分类器中，只有一个分类器与每个类别中最近的样本的距离最大，称之为最大间隔超平面。 　　3 模型的框架与样本收集及预处理 　　3.1 模型的框架 　　该模型的框架如图1所示。 　　3，2 样本收集及预处理 　　本文实验中正常软件的样本来源为安卓市场和机锋市场，恶意软件的来源为http：///。该网站是国外的一个专门用于研究的病毒样本库，正常软件和恶意软件的比例为1：1，均是1068个。然后使用apktool.jar反编译所有的APK，正常软件和恶意软件各选取700个作为研究对象进行统计分析，构成训练集。正常软件和恶意软件各自剩余的368个APK构成测试集。 　　4 特征向量的确定 　　4.1 权限 　　Android权限机制是指当一个应用需要访问某些文件、数据和资源时，必须要在相应的文件中申请，遵循“最小特权”原则。Android恶意软件也不例外，比如恶意软件要在用户未知的情况下秘密的发送消息，它必须申请权限SEND SMS，因此分析一个软件的权限是恶意软件检测过程中的重要组成部分。 　　但是，权限的提取如果仅仅侧重于发送短信、读写操作等权限，不能很好的反应Android恶意软件的特征，例如，正常软件中同样也存在着发送短信和读写操作的权限。因此，本文统计了700个正常软件和700个恶意软件中申请的所有权限，计算某个权限在700恶意软件中出现的次数和在700个正常软件中出现的次数的比值，由高到低列出大于1的权限，共提取WRITE、UPDATE DEVICE STATS等9个权限。 　　4.2 监听的系统事件 　　Android广播机制是指每当系统事件发生时会产生广播，通过定义广播接受者即可接受广播进而采取相应的活动。Android恶意软件的触发常常是监听系统事件，如系统开机BOOT COMPLETED。 　　同理，监听的系统事件如果仅仅侧重于开关机、电池状态改变等事件，不能很好地反应Android恶意软件的特征，因此本文统计了700个正常软件和700恶意软件中所有监听的系统事件，计算某个监听的系统事件在700恶意软件中出现的次数和在700个正常软件中出现的次数的比值。由高到低列出大于1的监听的系统事件，共提取DATA SMS RECEIVED、AIRPLANE MODE等5个监听的系统事件。此外，监听电池状态改变事件在恶意软件中出现6次，而在正常软件中从未出现，因此本文将BATTERY CHANGED ACTION也作为特征向量的组成部