基于静态行为特征的android程序恶意性检测方法.docxVIP

基于静态行为特征的android程序恶意性检测方法 0 qmap安全报告 近年来，智能手机的普及增加了移动设备中的恶意软件数量，尤其是android平台。根据NQ Mobile发布的安全报告显示, 2012 年新发现的移动设备恶意软件总数为65 227 个, 比2011 年增长163% , 并且98. 4% 的恶意程序针对Android平台 文献[2]利用数据挖掘算法Apriori给出的关联规则来检测程序对于敏感权限的访问。Kirin方案 1 android恶意程序恶意性分析 对现有的Android恶意程序行为特征进行总结, 对于Android程序的恶意性分析有重要意义, 从Android恶意程序的权限申请、入侵方式和恶意代码加载方式3 个方面进行总结。 1.1 发送短信时的权限 在Android应用程序中, 要实现网络连接或者系统资源的访问, 都需要在配置文件中申请相应的权限, 比如网络连接需要申请INTERNET权限, 发送短信需要申请SEND_SMS权限等 恶意程序通常比非恶意程序申请更多的权限, 而且恶意程序往往更多的申请与短信相关的权限, 比如SEND_SMS和READ_SMS等。某些权限在恶意程序和非恶意程序中都被申请比较普遍, 比如INTERNET和READ_PHONE _STATE等, 因此并不能简单的根据权限的申请情况来判断该程序是否具有恶意性, 但是不同权限的组合为分析程序的恶意性提供重要信息。 1.2 )远程更新法 主要入侵方式有: ① 重新打包法是Android恶意程序最常用的入侵手段 ② 重新打包法使用的比较普遍, 但是这种方式有个缺点就是被感染的程序安装文件包含全部的恶意代码, 容易被终端上的杀毒软件检测出来。远程更新法虽然也要对应用程序重新打包 ③ 引诱法是一种比较传统的入侵手段, 黑客通常在网页或其他Android程序中植入一些比较诱惑的图片或文字信息, 引诱用户点击下载。这种手段目前应用的也比较广泛, GGTracker等恶意程序采用这种入侵方式。 1.3 comperte(ph两种) Android恶意程序往往通过注册系统事件, 由系统事件触发恶意代码加载。在众多的系统事件中, BOOT_COMPLETED是被恶意程序使用频率最高的 拦截应用入口界面也是许多恶意程序常用的手段, 当用户启动或点击桌面上的启动图标时, 恶意软件将会收到ACTION_MAIN事件 2 恶意行为程序 Kirin方案预先定义了一些规则, 比如程序中不能同时申请RECEIVE_SMS和WRITE_SMS 2 个权限, 否则认为该程序是不安全的, 但是这样粗粒度的检测会增加误报率, 将没有恶意行为的程序检测为具有恶意行为的程序。文章扩大了检测范围也细化了检测粒度, 增加了对可能导致程序具有恶意性的API的检则, 同时为了更加准确的描述程序的恶意程度, 降低误报率, 量化了不同静态行为特征的恶意性指数, 恶意性指数越高说明具有恶意的可能性越大, 通过计算程序的恶意性指数来判断程序的恶意程度。Google提供了针对Android程序安装文件中. dex文件的反编译器baksmali, baksmali可以将.dex文件反编译为smali文件, 而smali语法完整的实现了. dex的所有功能, 包括程序代码、注释和调试等大量信息, 利用这个工具可以获取程序的API, 在文中静态行为特征是指能够导致某一恶意行为的权限或API的组合。 2.1 特征库与反编译 如图1 所示, 基于静态行为特征的Android程序恶意性检测方法主要分为4 个模块, 分别为预处理模块、反编译模块、检测模块和恶意性指数计算模块, 另外还有一个静态行为特征库。静态行为特征库是检测方案的核心部分, 直接影响整个系统的设计、实现与检测效果。预处理模块主要用来分析输入的样本文件是否为正常的Android安装包, 另外, 如果文件名中包含影响程序运行的特殊字符, 将删除特殊字符, 并对文件重命名等。反编译模块从检测样本中提取出AndroidManifest. xml配置文件与. dex文件, 并分别对其进行反编译, 得到检测样本的配置文件与smali文件。分析模块根据静态行为特征库中的内容分别对配置文件与smali文件中的内容进行检测, 检测出程序中所包含的所有满足条件的静态行为特征, 最后将根据检测结果计算样本的恶意性指数。 2.2 静态行为特征 静态行为特征的选取具有2 个方面的条件, 首先所选取的特征可能导致程序具有某些恶意行为, 比如程序申请的权限中同时出现具有访问网络的权限INTERNET和允许应用程序读取手机上存储的所有联系人的权限READ_CONTACTS, 这2 个权限的组合就可能导致手机用户的联系人信息泄露, 所以这2 个权限的组合可以作为一