基于权限的Android恶意软件混合检测方法
【技术领域】
[0001] 本发明设及计算机网络W及计算机安全的软件安全检测和移动终端安全等领域, 特别设及一种安全交换协议的公平性W及不可否认性的验证。
【背景技术】
[0002] 随着移动通信技术和移动硬件设备的迅速发展,人们在日常生活工作中对智能手 机的依赖性越来越强,Amlroid的市场占有率因此迅速增长。作为主流的移动端智能操作 系统,An化oid允许用户通过下载和安装第S方应用来满足用户需求。然而,由于第S方 市场缺少监督和管理,导致Amlroid平台恶意软件及其变种数量的不断增加。该一现象对 Amlroid平台的安全性构成了巨大的威胁。
[0003] An化oid市场份额的上升和An化oid恶意软件数量的迅速增长使得对An化oid恶 意软件分析和检测进行研究具有重大意义。而Amlroid系统本身设计的不足进一步反映了 该研究的必要性。
[0004] 近年来,针对移动端恶意软件的分析和检测已经成为了安全研究中一个非常重要 的部分,研究者在该方面做了大量的研究。现阶段关于Amlroid应用程序的安全性研究主 要分为基于权限和基于行为该两个方面。权限管理主要针对应用申请的权限进行管理和检 巧U;基于行为的安全性检测主要是W应用程序在运行过程中体现出来的动态特征为依据, 结合其他的数据分析方法,对应用的安全性给出判定。基于权限的检测方法在某些情况下 有快速、高效的特点,但是对于特征不明显的应用检测效果不理想;基于行为的检测具有信 息采集量大、分析方法完善准确的特点,但是检测结果可能因为信息覆盖不全面导致误报, 针对特征明显的应用检测时间比较长、效率不是很高。
[0005] 本发明针对上述现状,提出了一种基于权限的混合检测的方法。首先根据应用软 件申请权限的安全级别对应用进行初步检测,可W检测出善意应用和恶意应用;其次,跟踪 可疑应用运行时的行为,收集与敏感权限相关的接口调用,给出空间向量表示,并用TF-IDF 算法计算应用的特征向量,采用计算欧氏距离和余弦相似性等检测方法实现对可疑应用的 检测。实验结果和其他工作的对比表明本专利的方法确实提高了Amlroid恶意软件检测的 准确率。
【发明内容】
[0006] 为了克服上述现有技术的问题,本发明提出了一种基于权限的Amlroid恶意软件 混合检测方法,W检测Amlroid移动终端应用程序安全为目的,提出了一个可W分析和验 证恶意软件的混合检测方法,并实现了该个检测工具。
[0007] 本发明提出了一种基于权限的Amlroid恶意软件混合检测方法,该方法包括一下 不住:
[0008] 步骤一、对Amlroid应用程序进行反编译,得到应用程序申请权限;
[0009] 步骤二、结合系统设定权限对应用程序申请权限进行权限检测;根据应用程序申 请权限情况的不同,所有待检测应用被分为善意应用集、恶意应用集和可疑应用集;
[0010] 步骤=、动态获取针对可疑应用集中的应用程序行为进行动态检测,收集与敏感 应用有关的接口调用,给出向量空间表示,并进行应用程序向量化;
[0011] 步骤四、经过安全性检测,获得符合安全性检测标准的"善意应用程序"的检测结 果。
[001引与现有技术相比,本发明将Amlroid应用程序的基于权限的安全性研究和基于行 为的安全性研究该两个方面两者结合起来可W在一定程度上扬长避短,使得对特征明显的 应用的检测有快速的特点,同时也兼备了行为检测分析方法完善和准确的特点。本发明目 标是检测Amlroid应用软件是否为恶意软件。
【附图说明】
[0013] 图1为基于权限的An化oid恶意软件混合检测方法整体流程图;
[0014] 图2为常见敏感权限样本统计图;
[00巧]图3为本发明与MDBC方法的检测结果比较图。
【具体实施方式】
[0016] 下面将结合附图对本发明的【具体实施方式】进行详细描述,该些实施方式若存在示 例性的内容,不应解释成对本发明的限制。
[0017] 本发明提出了一种基于权限的混合检测框架;1)先根据应用申请的权限进行初 步检测,检测出善意应用和恶意应用;然后跟踪可疑应用的行为,收集与敏感权限相关的接 口调用进行检测,进而确定应用类型;2)引入空间向量模型。对可疑应用进行检测的时候, 根据对收集到的敏感信息对应用进行代数化,引入向量空间模型表示应用;3)采用欧氏距 离和余弦相似性方法。对上使用得出的向量空间计算欧氏距离并进行余弦相似度比较,最 终将可疑应用程序分类为善意和恶意应用程序。
[0018] 根据An化oid应用程序的安全性,将An化oid应用程序分为S类;善意应用、恶意 应用和可疑应用。善意应用是指在使用过程中不会对手机和隐私数据实施恶意行为的应 用。恶意应用是指在使用过程中会对手机和隐私数据实施恶意行为的应用。可疑应用是指 目前安全类型不明确的应用,在使用的过程中可能会对手机和隐私数据实施恶意行为,也 可能不会对手机和隐私数据实施恶意行为。
[0019] 在对Amlroid应用程序做了上面的S类划分之后,设计出本发明的基于权限的混 合检测方法的整体流程如图1所示。检测过程主要包括四个步骤:权限检测、动态行为获 取、将应用向量化和安全性检测。各个步骤完成不同的功能,四者相互协作,最终完成对应 用的安全性检测。该流程具体描述为:对Amlroid应用程序进行反编译,得到应用程序申请 权限(生成列表);结合系统设定权限对应用程序申请权限进行权限过滤(即对先根据应 用申请的权限做初步检测);根据应用程序申请权限情况的不同,所有待检测应用被分为 善意应用集、恶意应用集和可疑应用集;至此,善意应用集和恶意应用集中的应用的检测完 成,不需要进行之后的动态检测。动态获取针对可疑应用集中的应用行为进行动态检测,收 集与敏感应用有关的接口调用,给出向量空间表示,并进行应用向量化(计算得到应用的 特征向量),最后经过安全性检测,给出符合安全性检测标准的"善意应用程序"该一检测结 果。
[0020] 下面的四节针对四个检测步骤做比较详细的介绍。
[00川一、权限检测
[0022] Amlroid系统中,如果应用程序要完成一定行为,就必须先申请获得相应的权限。 否则,应用程序无法调用与该权限对应的API,导致应用程序无法完成该行为。所W,针对应 用程序的初步检测,可W设计基于权限的检测规则,借助该些规则可W检测出具有明显特 征的应用程序(安全的应用程序和申请了系统级权限的应用程序)。应用程序申请的权限 信息在应用源码包中的An化oidManifest.xml文件中声明,借助反编译工具,可W获得应 用程序的An化oidManifest.xml文件,进而可W获得应用程序申请的权限信息。
[0023] Amlroid系统本身提供了四种安全级别的上百种权限。四种安全级别为;Normal、 Dangerous、Signature和SignatureOrSystem。该些权限被划分为12个类,例如访问位置 信息、访问网络和访问个人信息等。为了实验需要,将Normal和Signature化System组的 权限单独存放,Dangerous和Signature组的权限按照类别分类存放。
[0024] 定义集合Apper= {per。per2,......,per。}表示应用申请的权限集合, per, (1《i《n)代表应用申请的权限;
[00 巧]定义An化oid所有权限的集合Andper= {perSeti,perSetg,......,perSetJ, perSetiQ《i《12)表示各个类别中敏感权限信息的集合,perSeti3表示Normal组权限 信息的集合,perSetw表示Si即ature化System组权限信息的集合。
[0026] 静态权限检测的规则可W表示为:
[0027] 1、若AppPernperSeti3=AppPer,应用可W被判定为善意应用;
[0028] 2、若AppPernperSety声4,应用可W被判定为恶意应用;
[0029] 3、若AppPernperSeti声4,1《i《12,应用申请了第i类的敏感权限,可能存 在属于该类的恶意威胁。
[0030] 使用上述的过滤规则可W实现应用程序的初步分类,过滤掉那些申请的权限全都 是Normal组权限的应用程序和申请了Signature化System组权限的应用程序。对于申请敏 感权限的应用,还可W确定申请敏感权限的类型,可W对敏感权限的申请情况做一个统计, 对样本的特征有个初步的了解。
[0031] 二、动态行为获取
[0032] 因为并不是所有申请了敏感权限的Amlroid应用程序都是恶意,所W需要对权限 检测得到的可疑样本进行进一步的行为检测。根据应用程序在运行的时候表现出来的行为 特征,结合行为特征检测方法可W实现对可疑应用程序的最终分类。动态行为获取的工作 是收集应用程序运行时的行为特征,为之后的行为检测提供数据。
[0033] 行为检测的准确性在很大程度上依赖于获取到的应用的