基于动态分析的Android应用程序安全研究

Android操作系统由于其功能强大、开发方便,短短几年就已经成为全球第一份额的智能手机操作系统,同时也成为了恶意攻击的首选目标。首先简单介绍Android恶意软件及其检测方法;然后对Android安全中比较准确的动态分析技术进行综述,详细介绍各种动态分析技术的工作原理、技术方案以及技术的性能水平和检测效果,分析并比较它们各自的优缺点;最后,提出几个值得深入研究的技术方向。     

Android防护技术研究进展

在移动互联网高速发展的过程中,Android设备的安全问题也日益凸显,给移动互联网用户带来了许多安全隐患。为此,介绍近年来Android安全防护领域的相关研究,指出其优点和不足,并提出改进方向。通过对比分析现有工作和相关安全防护技术,给出Android安全防护领域面临的挑战和机遇,展望Android安全防护领域的广阔前景。     

Android安全漏洞挖掘技术综述

安全漏洞在Android系统的安全性中处于核心地位,因此如何有效挖掘Android系统安全漏洞,已成为增强移动终端安全性、保护用户安全和隐私的重要技术手段,具有重要的理论和现实意义.首先对Android领域2008—2015年间漏洞数量趋势和种类进行了汇总,然后分类分析了Android安全领域顶级会议上2012—2014年间的学术研究进展.在此基础上,给出了Android漏洞挖掘技术的总体概览,并针对漏洞挖掘领域中使用较多的污染流传播分析、可达路径分析、符号执行、Fuzzing测试等技术进行详细阐述,还对混合符号执行和定向Fuzzing等动静态结合的技术进行了介绍.最后对Android漏洞挖掘领域的开源工具进行了总结,并讨论了值得进一步深入研究的安全问题.     

Android恶意软件特征研究

智能手机的广泛应用导致手机恶意软件的数量急速增加,尤其是近几年,基于Android操作系统的手机在智能手机市场占据主导地位,针对Android系统的恶意软件数量快速增加。手机恶意软件主要收集手机用户地理位置、语音通信、短信等个人隐私信息,或进行恶意扣费、耗费系统资源等行为,给用户自身和手机系统带来很大危害。准确分析恶意软件行为特征可以为后续清除恶意软件提供有力依据。传统的恶意软件分析技术主要包括静态分析与动态分析,文中介绍了当前存在的一些手机恶意软件分析检测技术及其缺陷,并从安装、激活、恶意负载三方面对已知Android恶意软件主要行为特征进行详细分析。     

基于沙盒的Android恶意软件动态分析方案

智能手机的普及极大地刺激了恶意软件的广泛传播,Android平台因其巨大的市场占有率和开源特性,已成为攻击者首选的攻击目标。针对传统的基于签名的反病毒软件仅能检测已知恶意软件的缺点,文章提出基于沙盒的Android恶意软件动态分析方案,用于有效地分析未知恶意软件的行为。文章通过在虚拟化软件Oracle VM VirtualBox中安装Android x86虚拟机的方式来实现Android沙盒,利用VirtualBox提供的命令行工具来控制Android沙盒。Android应用程序通过调用相应系统API来完成对应的行为,文中方案通过在应用程序包中插入API监视代码的方法监测Android应用程序调用的系统API,并通过脚本程序向Android沙盒发送不同的用户事件流来模拟用户对应用程序的真实操作,控制Android应用程序在沙盒中自动运行,实验证明文中提出的方法切实可行。     

Android移动应用软件检测平台

文章通过分析智能移动平台面临的安全威胁,移动恶意软件的特性,提出了有针对性的动态检测和静态检测方法,结合当前国内Android操作系统应用软件的现状,提出了具体的解决措施。     

Android操作系统的安全机制研究

Android系统自推出以来,就以明显的优势逐渐扩大市场占有份额。Android是一个开放性的系统,备受开发者的青睐,其安全性至关重要。研究了Android系统的用户ID机制、应用程序签名机制、沙箱隔离机制等安全策略,分析了它在硬件方面、Linux内核方面及Android自身权限机制方面存在的安全隐患。     

Android操作系统的安全机制研究

Android系统自推出以来,就以明显的优势逐渐扩大市场占有份额。Android是一个开放性的系统,备受开发者的青睐,其安全性至关重要。研究了Android系统的用户ID机制、应用程序签名机制、沙箱隔离机制等安全策略,分析了它在硬件方面、Linux内核方面及Android自身权限机制方面存在的安全隐患。     

基于签名与数据流模式挖掘的Android恶意软件检测系统

随着Android软件开发和维护的不断增多,以及恶意软件的抗检测能力逐渐增强,主流的静态检测方法开始面临一些问题:签名检测虽然检测速度快,但是对代码混淆、重打包类的恶意软件的检测能力不强;基于数据流的检测方法虽然精度高,但检测效率低。针对上述技术存在的缺点,提出了一种混合型静态检测系统。该系统改进了多级签名检测方法,通过对method与class签名进行多级匹配,提高了对代码混淆类恶意软件的检测能力。系统还改进了传统数据流分析技术,通过数据流模式挖掘,找出恶意软件频繁使用的数据流模式,省去了人工确认环节,提高了数据流分析的自动化程度与效率。两种技术的结合使得系统在检测精度与效率两方面达到一个合理的折中点。实验结果表明,该系统对于代码混淆和重打包的恶意软件具有较好的检测能力,对主流恶意软件的检测精确度达到88%。     

Android平台安全威胁及其应对策略

文中综述了Android平台目前的安全威胁及应对安全威胁的策略。概述了中国移动互联网及Android系统平台的发展现状;剖析了Android现有的安全机制,归纳了Android智能移动终端在移动互联网中所面临的各种安全威胁;全面梳理隐私数据泄露、恶意软件/病毒防护、终端丢失/被盗、网络接口、恶意刷机等各类安全隐患具体的表现形式。文中在给出深入分析各类安全隐患及其具体表现形式的同时,还给出了安全隐患存在的原因,并简要给出如何解决这些安全隐患的建议。     

Android恶意软件检测方法研究

针对Android恶意软件泛滥的局面,提出了一种基于行为的恶意软件动态检测的方法。首先,综合收集软件运行时的动态信息,包括软件运行时系统的信息和软件的内核调用信息,并将内核调用序列截断成定长短序列的形式。其次,将各方面信息统一为属性、属性值的形式。以信息增益作为指标,选用CA．5算法筛选出信息增益高、作用不重叠的属性,并依据信息增益的大小为各属性正比分配权重因子。最后,用K最近邻算法完成机器学习,识别出与样本类似的恶意软件,并将未知类型的软件标记为疑似恶意。实验结果表明,该方法识别率高、误报率低。通过增大学习样本库,识别的效果可以进一步提高。     

基于深度信念网络的Android恶意应用检测方法

传统的机器学习算法无法有效地从海量的行为特征中选择出有本质的行为特征来对未知的Android恶意应用进行检测。为了解决这个问题,提出DBNSel,一种基于深度信念网络模型的Android恶意应用检测方法。为了实现该方法,首先通过静态分析方法从Android应用中提取5类不同的属性。其次,建立深度信念网络模型从提取到的属性中进行选择和学习。最后,使用学习到的属性来对未知类型的Android恶意应用进行检测。在实验阶段,使用一个由3 986个Android正常应用和3 986个Android恶意应用组成的数据集来验证DBNSel的有效性。实验结果表明,DBNSel的检测结果要优于其他几种已有的检测方法,并可以达到99.4%的检测准确率。此外,DBNSel具有较低的运行开销,可以适应于更大规模的真实环境下的Android恶意应用检测。     

基于反编译的Android 平台恶意代码静态分析

Android平台占有很大的市场份额,但由于Android系统的开放性,使得针对Android平台的恶意代码呈现出爆炸式的增长．因此对这些恶意代码的分析和检测显得十分必要．在传统计算机恶意代码的检测方法中,反编译和静态分析技术占有十分重要的地位,因此根据Android平台和智能手机的特点,重点研究基于反编译的Android平台恶意代码静态分析方法,并进行相关实验获取了初步的检测结果．     

使用敏感路径识别方法分析安卓应用安全性

安卓系统在手机端操作系统中长期占据主导地位,但由于安卓系统开放共享的特性和不够严谨的第三方市场审核机制,安卓平台受到众多恶意应用的侵扰.本文结合静态程序分析和机器学习方法,提出了基于敏感路径识别的安卓应用安全性分析方法.首先,针对恶意应用中存在的恶意行为以及触发条件,定义了敏感路径.其次,针对安卓应用中存在大量组件间函数调用关系,提出了一种生成应用组件间函数调用关系图的方法.再次,由于提取出的敏感路径信息无法直接作为识别特征,实现了一种基于敏感路径信息抽象的特征提取方法.最后,从GooglePlay、豌豆荚、Drebin等来源收集了493个应用APK文件作为实验数据集,本文方法的准确率为97.97%,高于基于API-Feature的检测方法（90.47%）,此外,在恶意应用和良性应用检测的精度、召回率、F度量等方面,本文方法均优于API-Feature方法.另外,实验表明APK文件大小会影响实验的结果,尤其体现在分析时间上（0-4MB大小的APK平均分析用时89秒;文件增大后,平均分析用时增长明显）.     

基于静态行为特征的细粒度Android恶意软件分类

由于Android系统的开放性,恶意软件通过实施各种恶意行为对Android设备用户构成威胁。针对目前大部分现有工作只研究粗粒度的恶意应用检测,却没有对恶意应用的具体行为类别进行划分的问题,提出了一种基于静态行为特征的细粒度恶意行为分类方法。该方法提取多维度的行为特征,包括API调用、权限、意图和包间依赖关系,并进行了特征优化,而后采用随机森林的方法实现恶意行为分类。在来自于多个应用市场的隶属于73个恶意软件家族的24 553个恶意Android应用程序样本上进行了实验,实验结果表明细粒度恶意应用分类的准确率达95.88%,综合性能优于其它对比方法。     

TipTracer:基于安全提示的安卓应用通用漏洞检测框架

为了使开发者能安全准确地使用第三库接口,库设计者提供了各种类型的安全提示(安全规约),进而保护应用程序免受因库函数的误用而造成的安全攻击.然而,研究表明:开发者经常性不遵守这些安全规约,导致应用程序中引入了各种各样的安全漏洞.为了评估该问题的影响与规模,进行了系统性的、大规模的对安全规约在安卓应用程序中违反情况的研究.结果表明:已有的安全规约由于不精确的描述、误导性的代码示例、错误的默认设置、碎片化以及缺少强制性检查等原因而大大影响了其在实际运用中的有效性.为了使开发者能更好地遵守安全规约,提出了TipTracer,一个自动化的通用漏洞分析框架.TipTracer主要包含2个部分:1)TipTracer定义了一个能形式化描述安全规约的安全性语言,并利用该语言对已知的安全规约进行形式化表述;2)TipTracer实现了一个静态代码分析器,用于检查应用程序是否满足安全规约.最后,通过大规模的实验分析,证明了TipTracer能有效且准确地对大规模的真实应用程序进行安全性分析.     

Android应用模拟交互技术的研究

针对于行为分析的Android恶意代码检测技术均需要收集大量的运行数据,文中提出了一种基于用户模拟交互技术的数据收集方式。使用计算机及若干个Android设备,自动化完成有效分析数据的收集,减少了人工参与的程度。通过结合使用制定的Android应用程序的运行策略,包括环境差异策略、时间差异策略、事件差异策略,以及测试工具等,完成应用程序在Android设备上的自动安装、交互运行、数据收集以及自动卸载。验证实验表明,该用户模拟交互技术能有效收集应用程序的运行数据,是一种可行的应用方案。