基于Android安全机制的权限检测系统

针对Android开源性带来的手机隐私信息泄露的问题,通过采用获取访问权限的方法,建立了基于Android安全机制的权限检测系统.该系统综合利用了特征选择算法、反编译及XML (extensible markup language)文件解析来获取权限信息.通过设定筛选机制来筛选出访问敏感权限的程序和APK (android package)文件.手机用户通过该系统不仅可以检测已安装软件,还可以检测未安装的APK文件,从而更全面的保证手机用户信息的安全.实验结果表明了该系统的可行性和有效性.     

基于关联分析的Android权限滥用攻击检测系统

为了限制应用软件的行为,Android系统设计了权限机制.然而对于用户授予的权限,Android应用软件却可以不受权限机制的约束,任意使用这些权限,造成潜在的权限滥用攻击.为检测应用是否存在权限滥用行为,提出了一种基于关联分析的检测方法.该方法动态检测应用的敏感行为与用户的操作,并获得两者的关联程度.通过比较待检测应用与良性应用的关联程度的差别,得到检测结果.基于上述方法,设计并实现了一个原型系统DroidDect.实验结果表明,DroidDect可以有效检测出Android应用的权限滥用行为,并具有系统额外开销低等优点.     

基于Pi演算的Android App权限提升攻击检测

针对Android App权限提升攻击的问题,基于Pi演算构建了一个形式化的权限提升攻击检测模型。利用扩展后的Pi演算对Android App及其运行时环境进行建模,得到形式化的行为模型;通过将权限安全策略形式化的表示为包含进程表达式的IF-THEN规则,并利用Pi演算的性质进行进程演算和迁移,构建了检测模型,并给出了权限提升攻击检测的方法。理论分析和实验表明,该方法具有线性的时间和空间复杂度,并可以非常容易地将现有的权限安全策略应用在该模型中,保证了模型的精确性。相比其他方法,该方法在提高检测精确性的同时并没有牺牲检测的效率。     

基于类别以及权限的Android恶意程序检测

针对Android平台恶意软件数量的日益增多,提出一种基于类别以及权限的Android恶意程序检测方法。以Google Play划分的类为依据,统计每一个类别应用程序权限使用情况,利用应用程序的访问权限,计算该类别恶意阈值。安装应用程序时,利用序列最小优化算法给应用程序正确分类,分析应用程序使用的权限,计算该程序恶意值,与该类别的恶意阈值进行比较,给用户提供建议,帮助用户判断该程序是否是恶意的。实验结果表明了该方法的有效性和可行性。     

Android权限滥用检测系统

凭借开源策略及精准的市场定位,Android系统占据了智能移动终端操作系统84.2%的市场份额.然而,其开放的权限机制带来更多使用者和开发者的同时,也带来了相应的安全问题.中国互联网络信息中心调查数据显示,仅有44.4%的用户在下载安装Android应用的过程中会仔细查看授权说明,而大部分人存在着盲目授权的行为.对于应用开发者来说,由于缺乏安全开发监管,缺乏权限申请相关代码规范,权限滥用问题在Android应用开发中普遍存在,严重影响了代码的规范和质量.其次,用户的盲目授权和软件开发者的权限申请滥用也是用户信息泄露的主要原因,存在严重的安全风险.针对以上问题,本文在现有的权限检测方案基础上,设计和实现了一套新的权限滥用检测系统PACS（Pemission Abuse Checking System）.PACS针对1077个应用进行分析,发现812个应用存在权限滥用问题,约占全部应用的75.4%,同时对实验结果进行抽样验证,证明了PACS的权限检测结果的准确性和有效性.     

基于权限分析的 Android 应用程序检测系统

Android 系统在应用程序安装时仅给予粗略的权限提示界面,此界面不仅权限条目不全,而且解释异常粗略,普通用户完全看不懂,但基于使用需要,只能盲目确定授权。市面上的一些例如手机金山卫士,腾讯手机管家等管理软件,对于应用权限信息的查询要么权限条目远少于实际申请,要么权限解释一样粗略难懂,要么干脆就是直接调用 Android 系统 settings 下的粗略权限列表。〈br〉 通过研究 Android 的安全机制,在分析了上述现象可能导致的潜在安全隐患的基础上,文章设计开发了一种结合电脑端和手机端,能够对未安装的 APK 文件和已安装的 APP 应用程序进行深入权限检测系统。此系统可以检测出应用软件所申请的精确的权限个数和详细的权限列表,并通过建立数据库的方法给每条权限以及可能引起的安全问题辅以详尽、易懂的说明,使无专业知识的普通用户也可以弄懂所申请权限的作用,提高应用程序使用者的安全意识。此外,此系统还能提供用户针对某条敏感权限进行应用筛选,即列出手机内使用该敏感权限的所有应用,协助用户排查恶意软件,保护系统安全。〈br〉 针对 Android 平台开放性带来的用户隐私泄露和财产损失的问题,文章通过对 Android 安全机制的分析,给出了一种在电脑端和手机端的基于权限分析的 Android 应用程序检测系统。该系统能检测出各种应用的权限信息,也能检测出具有某条敏感权限的所有应用程序,为用户提供再判断的机会,可以更全面的保障用户信息和财产安全。     

两种网络环境中权限提升攻击分析与对比

为了分析分离映射网络对权限提升攻击的缓解作用,提出了一种基于损失期望的攻击图建模评估方法.首先根据网络状态和脆弱性信息确定属性节点和原子攻击节点,生成攻击图,然后根据攻击者选取的攻击序列计算其对目标网络造成损失的期望值.基于该方法对两种网络环境中权限提升攻击情况进行了建模分析对比,结果表明分离映射网络对权限提升攻击起到了良好的缓解作用,较传统网络具有明显的安全优势.     

基于动态权限集的Android强制访问控制模型

针对Android存在的特权提升攻击问题,提出了基于动态权限集的Android强制访问控制模型DP_ManDroid。该模型首先分析强连通分支的权限分布特性,构建动态的权限集划分;然后在信息流与权限集耦合的基础上,抽象权限提升路径;最后提出线性时间的访问控制算法,并通过动态追踪权限集,实现了细粒度的决策控制。与现有 安全模型的对比,以及在原型系统上的仿真结果表明,所提出的安全模型很好地抵御了特权提升攻击,同时降低了时间复杂度。     

基于权限统计的Android恶意应用检测算法

作为世界上最流行的移动操作系统,Android正面临着快速增长的恶意软件的威胁。如何快速高效地检测出Android恶意软件对保证用户手机安全具有十分重大的意义。从Android软件的权限出发,统计了4000多个恶意应用和2000多个正常应用的权限分布情况,依据特征权限在恶意应用和正常应用中的分布规律,设计了一种轻量级的快速检测方法 LWD(Light Weight Detection)。LWD根据特征权限在恶意应用中的使用频率和在正常应用中的使用频率的不同来定量分析特征权限恶意程度值,并以此计算每个样本的恶意程度值是否超过规定阈值来判断该样本是否属于恶意应用。实验结果表明,与市场上主流的杀毒软件相比,LWD方法具有较好的检测率。而且LWD是基于单一的权限特征对恶意软件进行检测,因此具有较高的时间效率。作为一种轻量级检测方法,LWD可以为更进一步深入检测恶意应用提供参考依据。     

改进的Android强制访问控制模型

为了降低Android平台受应用层权限提升攻击的可能性,研究分析了对利用隐蔽信道进行的合谋攻击具有较好防御能力的XManDroid模型,针对该模型存在无法检测多应用多权限合谋攻击的问题,采用构建进程间通信连接图并利用有色图记录应用通信历史的方法,提出了一种基于通信历史的细粒度强制访问控制模型。对原型系统的测试结果表明：所提出的模型能够很好地解决XManDroid模型存在的问题。     

Android安全性分析

从Android系统的系统框架入手,全面深入地分析了Android系统的安全机制与组成部分,进而得出Android面临的安全隐患与攻击行为。为增强Android的安全性,针对应用程序级攻击与内核级攻击行为．研究了XManDroid框架与基于logcat模式的内核行为分析框架,检测并阻止针对Android的恶意攻击行为,有效地保护了Android系统的安全。     

Linux内核提权攻击研究

提权攻击是针对Linux系统的一种重要攻击手段。根据提权攻击所利用的漏洞类型,一般可将其分为应用层提权攻击和内核提权攻击。现有的防御技术已经能够防御基本的应用层提权攻击,但是并不能完全防御内核提权攻击,内核提权攻击仍是Linux系统面临的一个重要威胁。内核提权攻击一般通过利用内核提权漏洞进行攻击。针对内核提权攻击,分析研究了基本的内核提权漏洞利用原理以及权限提升方法,并对典型的内核提权攻击防御技术进行了分析。最后通过实验对SELinux针对内核提权攻击的防御效果进行了分析验证,并针对发现的问题指出了下一步具有可行性的研究方向。     

基于Android权限机制的动态隐私保护模型

针对Android平台自身粗粒度权限机制的缺陷以及缺乏有效预防程序间隐私泄露机制的问题,提出一种改进的细粒度权限配置机制与隐私数据动态着色隔离相结合的Android隐私保护模型。通过对Android应用程序权限进行细粒度的动态配置,阻断隐私数据从程序内部泄露的途径,利用隐私数据着色跟踪实现对程序间传播的包含不同隐私权限标签的消息的隔离控制。通过大量实验的反复测试,该模型可以有效保护Android程序内部的隐私数据,及时发现程序间权限提升攻击进而实现隐私数据隔离,从而全方位实现Android隐私数据的保护,并为以后相关研究提供了新的方向。     

面向Android手机平台异常入侵检测的研究

智能手机应用普及的同时,入侵的危害也越来越严重。针对Android智能手机平台,结合入侵检测的相关研究,解决智能手机入侵检测的问题。采取在Android平台下采集系统和网络特征数据,上传至远程云服务器,在服务器上利用SVM进行分析处理,以给出合理的入侵与否的判断,进而尽快更新手机的处理机制。实验结果表明,既减少了智能手机资源消耗,又能对手机的异常入侵尽快做出反应和处理。     

一种基于Android平台的木马云检测方法

随着移动互联网的迅速发展,智能手机已经普及。在这样的基础上,数据的重要性,安全性也面临更多的威胁。开源的android平台上出现木马的概率高而且种类繁多,尤其是android低版本的系统,系统漏洞更多,更加容易被恶意程序攻击和被木马程序盗取个人信息,造成损害。针对上述问题,本项目将木马特征库存如云端,客户端采用上传特征值的方法,更快速地进行在线木马云检测。     

Android内核钩子的混合检测技术

针对Android平台上内核级钩子检测的研究,提出了一种结合基于特征模式的静态检测技术和基于行为分析的动态检测技术的Android内核钩子检测技术,这两种技术的结合能够检测基于修改系统调用表项的攻击和基于内联钩子的攻击。为所提技术构建了软件原型系统并进行了实验评测,实验结果表明,提出的技术能够针对Android内核钩作出精确检测,并且运行时间开销在7%以内,具有良好运行效率,能够适用于Android内核钩子的混合。     

一种基于模糊哈希的Android变种恶意软件检测方法

Android移动平台中恶意软件变种数量与日俱增,为了能够高效快速地检测出变种样本,提出一种能够根据Apk中字符串以及函数长度分布特征,来生成模糊哈希值的方法,使得同类变种的恶意软件间的哈希值相似。在对变种恶意软件进行检测时,首先利用k-means方法对已知病毒库所产生的模糊哈希值进行聚类,从而简化病毒库。再利用哈密顿距离来计算其与病毒库中各模糊哈希间哈密顿距离。当距离小于阈值,则表示检测到变种。实验结果表明,提出的方法具有检测速度快,抗干扰能力强等特点。