基于混合特征的恶意安卓程序检测方法

安卓系统的恶意程序数量多且危害大,研究相应的检测方法是当前研究热点。现有方法仅单独提取语法或语义特征,难以准确刻画恶意程序的攻击意图。提出一种混合提取语法和语义特征的检测方法,语义特征为基于类抽象的污点传播路径集合,并结合权限声明和Intent-Action等语法特征,对特征规范化后应用K-means算法训练样本集生成恶意程序家族的特征向量,应用欧氏距离检测未知程序与特征向量的相似度。基于FlowDroid实现原型系统,对400个真实程序的分析结果表明该方法有较高的精确度。     

安卓应用系统的功能与权限相关性研究

安卓系统是世界上最流行的智能终端系统之一。随着安卓用户的与日俱增,其市场占有率迅速扩大,并出现了大量的安卓应用软件。为应对安卓应用市场中出现的恶意软件,保障用户手机系统安全,安卓系统采用基于权限的安全机制,要求安卓应用事先声明其所用到的系统权限。探索研究安卓应用功能与安卓系统权限之间的关系,通过获取互联网上安卓应用市场的大量数据,利用信息检索和语义分析等技术分析安卓应用的功能描述及目前安卓版本声明的权限之间的语义关系,并得到关系模型。该模型可用于进一步研究安卓应用权限声明的合理性与安全性,为应用市场和用户进行应用可信度评价提供支持。     

基于多特征融合的安卓恶意应用程序检测方法

安卓恶意应用程序的检测目前存在着检测速度慢、检测率低等问题,本文针对这些问题提出了一种基于多特征融合的安卓恶意应用程序检测方法。从Android恶意应用的恶意行为特点出发,运用静态分析和动态分析互相结合的方法,提取出权限和组件、函数API调用序列、系统命令、网络请求等多维度特征,对维度较大的特征种类使用信息增益方法进行特征的筛选,取出最有用特征。本文还利用半敏感哈希算法的降维和保持相似度的特性,提出基于Simhash算法的特征融合方法,将原有的大维度的特征降维到相对较小的维度,并解决了特征的不平衡问题。融合后的特征使用GBDT算法和随机森林算法分类,检测恶意样本。实验对比分析得出本文使用的多种特征融合的方法在可以大大降低分类的训练时间,提高检测效率。     

基于应用描述的Android代码自动生成

在移动开发领域,安卓应用的开发吸引着广大移动终端厂商和开发者的加入。目前,开发者大多采用传统的方式,基于集成开发环境为安卓应用的每一项组成部分进行设置或编码,这些工作可能花费开发者较多的时间。然而,与应用框架相关的部分代码与配置文件具有类似的模式,通过复用及定制的方式可以有效提高应用的整体开发效率。为了实现这一目标,提出一套借鉴MDA(Model-Driven Architecture)思想的方法,基于安卓应用的描述来完成安卓代码框架部分的自动生成。该方法包括一种描述安卓应用基本元素及其关联关系的元模型,以及一套可复用且支持定制的应用代码模版。基于元模型标准的特定安卓应用的描述可以驱动基于模版的安卓框架代码的自动生成。在该方法基础上,开发Android应用框架自动生成工具,并以一个实例展示了方法与工具的可用性。     

基于模型库的安卓恶意软件检测方法

单一算法生成的识别器普适性不足,对不同种群安卓软件进行识别产生的效果不稳定。针对这种情况,提出一种基于模型库的安卓恶意软件检测方法。通过Python程序进行爬虫与权限提取工作,得到应用的权限信息;使用SMO按照应用的权限信息分类得到不同种群的数据;将应用的种群信息输入到模型库中,得到恶意检测结果,并根据结果对模型库进行演化,使模型库的检测能力不断增强。实验结果表明,对于相同数据集,演化后的模型库方法比一般算法准确率都有小幅提高;对于多种群数据集,模型库方法相比一般算法准确率提高约10百分点,说明模型库方法能有效对安卓恶意软件进行检测,并且模型库的演化使检测能力有增强效果。     

基于改进朴素贝叶斯算法的安卓恶意软件检测研究

由于安卓平台开源性、免费性的特点,恶意软件的数量急剧增长,其安全问题面临巨大挑战。现有的基于权限进行安卓恶意软件的静态检测方法中,往往利用单一的权限,缺少特征性,据此该文提出了一种安卓恶意软件检测的方案,通过反编译软件提取权限,运用改进的朴素贝叶斯方法进行分类,实验结果表明,基于权限组合,使用改进的朴素贝叶斯算法相比于传统的算法,具有较好的分类结果,准确率达到95%。     

图卷积网络的抗混淆安卓恶意软件检测

自安卓发布以来,由于其开源、硬件丰富和应用市场多样等优势,安卓系统已经成为全球使用最广泛的手机操作系统。同时,安卓设备和安卓应用的爆炸式增长也使其成为96%移动恶意软件的攻击目标。现存的安卓恶意软件检测方法中,忽视程序语义而直接提取简单程序特征的方法检测速度快但精确度不理想,将程序语义转换为图模型并采用图分析的方法精确度高但开销大且扩展性低。为了解决上述挑战,本文将应用的程序语义提取为函数调用图,保留语义信息的同时采用抽象API技术将调用图转换为抽象图以减少运行开销并增强鲁棒性。基于得到的抽象图,以Triplet Loss损失训练构建基于图卷积神经网络的抗混淆安卓恶意软件分类器SriDroid。对20246个安卓应用进行实验分析之后,发现SriDroid可以达到99.17%的恶意软件检测精确度,并具有良好的鲁棒性。     

基于代码片段复用的安卓应用组装技术研究

安卓系统的开放性和安卓应用开发的较低的技术门槛,吸引了大量开发者加入到安卓应用开发阵营中来。在编码过程中,开发者需要兼顾界面设计和业务逻辑,并手工维护他们的一致性;相似的界面、类似的逻辑也需要开发者手工进行"复制-粘贴"式的开发。提出安卓应用界面和业务逻辑的结构模型,以统一的方式描述安卓应用的界面元素、业务逻辑以及两者的关联,支持将安卓应用的界面代码和业务逻辑代码对应起来。提出可配置的安卓应用结构化描述和组装方法,使得开发人员可以以书写配置文件的方式从业务层面描述应用,并支持界面和业务逻辑代码片段的组装,从而快速构建符合需求的安卓应用。设计了安卓应用开发实验来验证所提方法及技术的有效性。     

面向安卓应用建模的IFML扩展

随着智能机以及平板电脑的普及,安卓应用逐渐成为日常生活中不可或缺的重要元素之一,其复杂度也呈几何倍数增长.安卓平台存在的多设备类型、多操作系统版本问题,使得应用的设计和开发更为复杂.在这一现状下,提倡在安卓应用开发中使用模型来描述其开发需求与设计,以帮助开发人员更好地将注意力集中于应用,加深对开发意图的理解,更好地进行后续的开发工作.然而,当前对安卓应用的建模都采用了传统模型,无法满足安卓应用事件驱动和注重图形用户界面的特点.为此,将注重前端展示以及事件交互的交互流建模语言（IFML）应用于安卓应用的建模,描述应用中的GUI结构以及其中工作流的传递,从而指导应用的开发工作.考虑到安卓平台的特点,对IFML进行了相应的面向安卓的扩展,提高了其可用性与对安卓应用的适用性,并对IFML模型进行了形式化定义,使得IFML模型能以丰富而又精确的语义来刻画开发者对于安卓应用的设计,并在应用的实现和演化中不断发挥指导作用.另外,进一步探索了IFML模型在应用测试这一场景中的作用.基于模型的测试方法能够检验设计和实现的一致性,还能在应用的演化过程中避免测试用例的重复编写.在案例研究中,针对5个安卓应用进行了IFML建模与测试.实验结果表明,扩展后的IFML在安卓应用的建模上可行、有效,所建立的IFML模型可直接用于测试工作,用于检测应用实现与设计是否保持一致,从而保证应用的开发质量.     

ParaIntentFuzz：安卓应用漏洞的并行化模糊测试方法

权限泄露是安卓应用中较为普遍存在的一类漏洞,可导致较为严重的安全问题,例如“串谋提权”等。通过Intent模糊测试技术发现暴露的组件,是挖掘权限泄露漏洞的有效方法。但是现有Intent模糊测试技术仅限于单机运行,效率低下。提出一种基于动态任务分配的并行模糊测试方法ParaIntentFuzz。该方法通过静态分析提取出安卓应用的extra信息并构造Intent命令,通过Drozer工具给目标应用发送命令,实现了独立的模糊测试,并部署到4台机器上。使用它分析了10 064个Android应用,最后发现有7 367个应用存在权限泄露的问题。     

基于权限分析的 Android 应用程序检测系统

Android 系统在应用程序安装时仅给予粗略的权限提示界面,此界面不仅权限条目不全,而且解释异常粗略,普通用户完全看不懂,但基于使用需要,只能盲目确定授权。市面上的一些例如手机金山卫士,腾讯手机管家等管理软件,对于应用权限信息的查询要么权限条目远少于实际申请,要么权限解释一样粗略难懂,要么干脆就是直接调用 Android 系统 settings 下的粗略权限列表。〈br〉 通过研究 Android 的安全机制,在分析了上述现象可能导致的潜在安全隐患的基础上,文章设计开发了一种结合电脑端和手机端,能够对未安装的 APK 文件和已安装的 APP 应用程序进行深入权限检测系统。此系统可以检测出应用软件所申请的精确的权限个数和详细的权限列表,并通过建立数据库的方法给每条权限以及可能引起的安全问题辅以详尽、易懂的说明,使无专业知识的普通用户也可以弄懂所申请权限的作用,提高应用程序使用者的安全意识。此外,此系统还能提供用户针对某条敏感权限进行应用筛选,即列出手机内使用该敏感权限的所有应用,协助用户排查恶意软件,保护系统安全。〈br〉 针对 Android 平台开放性带来的用户隐私泄露和财产损失的问题,文章通过对 Android 安全机制的分析,给出了一种在电脑端和手机端的基于权限分析的 Android 应用程序检测系统。该系统能检测出各种应用的权限信息,也能检测出具有某条敏感权限的所有应用程序,为用户提供再判断的机会,可以更全面的保障用户信息和财产安全。     

基于BPSO-NB算法的Android恶意应用检测方法

为了提高Android恶意应用检测效率,将二值粒子群算法(BPSO,Binary Particle Swarm Optimization)用于原始特征全集的优化选择,并结合朴素贝叶斯(NB,Nave Bayesian)分类算法,提出一种基于BPSO-NB的Android恶意应用检测方法。该方法首先对未知应用进行静态分析,提取AndroidManifest.xml文件中的权限信息作为特征。然后,采用BPSO算法优化选择分类特征,并使用NB算法的分类精度作为评价函数。最后采用NB分类算法构建Android恶意应用分类器。实验结果表明,通过二值粒子群优化选择分类特征可以有效提高分类精度,缩短检测时间。      

一种基于元信息的Android恶意软件检测方法

Android应用普遍具有比所属类型更多的功能,需要获取更多的权限,过多的权限可能带来一定的安全隐患。针对这类问题,提出一种基于元信息的Android恶意软件检测方法。首先,通过对Android应用程序描述进行LDA主题提取,实现数据降维,使用K-means聚类算法按照功能类型对应用程序分组;然后,对属于同一功能类型的所有应用程序提取其权限信息,以权限特征为研究对象,使用KNN算法进行Android恶意软件的分类检测。实验结果获得94.81%的平均准确率,证明了方法的有效性和高准确率。     

A formal approach for detection of security flaws in the android permission system

The ever increasing expansion of mobile applications into nearly every aspect of modern life, from banking to healthcare systems, is making their security more important than ever. Modern smartphone operating systems (OS) rely substantially on the permission-based security model to enforce restrictions on the operations that each application can perform. In this paper, we perform an analysis of the permission protocol implemented in Android, a popular OS for smartphones. We propose a formal model of the Android permission protocol in Alloy, and describe a fully automatic analysis that identifies potential flaws in the protocol. A study of real-world Android applications corroborates our finding that the flaws in the Android permission protocol can have severe security implications, in some cases allowing the attacker to bypass the permission checks entirely.     

Android权限滥用检测系统

凭借开源策略及精准的市场定位,Android系统占据了智能移动终端操作系统84.2%的市场份额.然而,其开放的权限机制带来更多使用者和开发者的同时,也带来了相应的安全问题.中国互联网络信息中心调查数据显示,仅有44.4%的用户在下载安装Android应用的过程中会仔细查看授权说明,而大部分人存在着盲目授权的行为.对于应用开发者来说,由于缺乏安全开发监管,缺乏权限申请相关代码规范,权限滥用问题在Android应用开发中普遍存在,严重影响了代码的规范和质量.其次,用户的盲目授权和软件开发者的权限申请滥用也是用户信息泄露的主要原因,存在严重的安全风险.针对以上问题,本文在现有的权限检测方案基础上,设计和实现了一套新的权限滥用检测系统PACS（Pemission Abuse Checking System）.PACS针对1077个应用进行分析,发现812个应用存在权限滥用问题,约占全部应用的75.4%,同时对实验结果进行抽样验证,证明了PACS的权限检测结果的准确性和有效性.     

基于应用分类和系统调用的Android恶意程序检测

针对Android平台恶意程序泛滥的问题,提出一种基于应用分类和系统调用的恶意程序检测方法。以Google Play为依据进行应用程序分类,利用运行时产生的系统调用频数计算每个类别的系统调用使用阈值。当应用程序安装运行时,手机端收集应用程序权限信息和产生的系统调用信息发给远程服务器,远程服务器根据权限信息采用序列最小优化算法给应用程序进行分类,分类后利用系统调用频数计算出系统调用使用值,与该类别的阈值进行比较判断是否恶意程序,将分类结果及判定结果反馈给用户,由用户判断是否需要更改分类重新检测。实验结果表明了该方法的可行性和有效性,不仅减少了手机的资源消耗,又能对产生恶意行为的应用程序及时做出反应。     

一种扩展的Android应用权限管理模型

现有Android移动操作系统不支持用户自由分配已安装的应用权限。为解决该问题,提出一种细粒度的Android应用权限管理模型。该模型在保证系统安全性的前提下,对现有Android应用权限机制的框架层和应用层进行修改和扩展,使用户可以通过GUI界面按需分配系统中已安装的应用权限。实验结果表明,该模型能满足用户的Android应用权限管理需求,并且系统性能损失较小。     

静动态结合的恶意Android应用自动检测技术

随着移动互联网的快速发展,移动终端及移动应用在人们日常生活中越来越重要,与此同时,恶意移动应用给网络和信息安全带来了严峻的挑战。Android平台由于其开放性和应用市场审查机制不够完善,使其成为了移动互联网时代恶意应用的主要传播平台。现有的恶意应用检测方法主要有静态分析和动态测试两种。一般而言,静态分析方法代码覆盖率高、时间开销小,但存在误报率较高的问题;而动态测试准确度较高,但需要实际运行应用,所需的时间和计算资源开销较大。针对上述情况,本文基于静动态结合的方法,自动检测恶意Android应用。首先,使用静态分析技术获取应用API的调用情况来判定其是否为疑似恶意应用,特别是可有效检测试图通过反射机制调用API躲避静态分析的恶意应用;然后,根据疑似恶意应用UI控件的可疑度进行有针对性的动态测试,来自动确认疑似恶意应用中是否存在恶意行为。基于此方法,我们实现了原型检测工具框架,并针对吸费短信类恶意行为,对由465个恶意应用和1085个正常应用组成的数据集进行了对比实验。实验结果表明,该方法在提高恶意应用检测效率的同时,有效地降低了误报率。     

基于权限的Android应用风险评估方法

针对Android权限机制存在的问题以及传统的应用风险等级评估方法的不足，提出了一种基于权限的Android应用风险评估方法。首先，通过对应用程序进行逆向工程分析，提取出应用程序声明的系统权限、静态分析的权限以及自定义的权限，和通过动态检测获取应用程序执行使用到的权限；然后，从具有恶意倾向的组合权限、"溢权"问题和自定义权限三个方面对应用程序进行量性风险评估；最后，采用层次分析法（AHP）计算上述三个方面的权重，评估应用的风险值。对6245个软件样本进行训练，构建自定义权限数据集和具有恶意倾向的权限组合数据集。实验结果表明，与Androguard相比，所提方法能更精确地评估应用软件的风险值。     

基于Android重打包的应用程序安全策略加固系统设计

随着移动互联网快速发展,智能手机面临着严峻的安全威胁。由于Android权限划分的粗粒度以及权限授权一次性的约束,对于应用申请的权限,用户要么全部接受,要么拒绝安装,对于安装后应用可疑行为束手无策。为此文章设计了利用重打包注入安全防护代码的加固系统,不仅提供应用动态权限管理机制,还提供权限划分细粒度的安全策略,从源头上遏制恶意代码行为,用户也可根据需求定制策略,满足不同安全需求的安全加固应用。