資源描述:
《android系統(tǒng)惡意程序檢測技術(shù)研究》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、Android系統(tǒng)惡意程序檢測技術(shù)研宄摘要:隨著Android系統(tǒng)的不斷發(fā)展,人們對該平臺的安全問題也更為關(guān)注。針對Android惡意應(yīng)用程序存在的安全隱患,提出一種基于事件的惡意程序檢測技術(shù)。系統(tǒng)采用C/S結(jié)構(gòu),通過手機(jī)客戶端獲取目標(biāo)分析程序的系統(tǒng)調(diào)用序列,提交服務(wù)器端分析處理,分析服務(wù)器預(yù)先運(yùn)行大量的己知惡意程序和良性程序作為訓(xùn)練樣本,利用支持向量機(jī)學(xué)習(xí)算法對調(diào)用序列流進(jìn)行聚類分類學(xué)習(xí),檢測出與樣本類似特征的惡意程序。實(shí)驗(yàn)測試表明,該技術(shù)對惡意程序檢出率高,誤報(bào)率低,為Android惡意程序檢測系統(tǒng)的設(shè)計(jì)提供有價(jià)值的參考。關(guān)鍵詞:Android;安全問題;惡意程序檢測;支持向
2、量機(jī)中圖分類號:TN929.5文獻(xiàn)標(biāo)識碼:A文章編號:10047373X(2015)12?0047?04ResearchofmaliciousprogramdetectiontechnologyforAndroidsystemNANQin?bol,MUDe?jun1,HOUYan?yan20引言Android是Google于2007年11月發(fā)布的基于Linux內(nèi)核的開源手機(jī)操作系統(tǒng)。它包括操作系統(tǒng)、用戶界面和應(yīng)用程序(移動電話工作所需的全部軟件),而且不存在任何以往阻礙移動產(chǎn)業(yè)創(chuàng)新的專有權(quán)障礙[1]。目前,Android已經(jīng)經(jīng)歷了數(shù)個(gè)版本的更新,市面上采用該系統(tǒng)的移動設(shè)備數(shù)量也在
3、飛速增長,它已經(jīng)是一個(gè)強(qiáng)大而成熟的系統(tǒng),從最初的智能手機(jī)領(lǐng)域逐漸進(jìn)入教育、醫(yī)療、汽車、軍事等重要領(lǐng)域。隨著Android系統(tǒng)的廣泛應(yīng)用,安全問題的重要性呈現(xiàn)逐步上升趨勢,已成為制約其發(fā)展的重要因素。從2010年8月發(fā)現(xiàn)的首個(gè)Android木馬程序“Trojan?SMS.Android?COS.FakePlayer”,到后來的“Geinimi”、“X臥底”病毒木馬等惡意程序的流行,更加劇了人們的擔(dān)憂。因此,要讓用戶放心地使用Android系統(tǒng),就必須全面分析并著手解決Android系統(tǒng)所面臨的各種安全問題。本文提出一種分析Android程序運(yùn)行觸發(fā)事件的系統(tǒng)調(diào)用序列流,并采用支持向
4、量機(jī)學(xué)習(xí)算法對調(diào)用序列流進(jìn)行分類的惡意程序檢測方法,可以有效解決此類安全問題。1Android系統(tǒng)安全模型1.1Android系統(tǒng)架構(gòu)Android系統(tǒng)采用分層架構(gòu),共分為4層,從高層到低層分別是應(yīng)用程序?qū)?Applications)、應(yīng)用程序框架層(ApplicationFramework)、系統(tǒng)運(yùn)行庫層(Libraries&AndroidRuntime)和Linux內(nèi)核層(Linuxkernel),Android系統(tǒng)架構(gòu)如圖1所示。1.2Android系統(tǒng)安全機(jī)制Android系統(tǒng)擁有多種安全機(jī)制,除繼承Linux系統(tǒng)的安全機(jī)制之外,同時(shí)還有針對性地增加了多重安全設(shè)計(jì),And
5、roid系統(tǒng)架構(gòu)不同層上相關(guān)安全機(jī)制如表1所示。2Android系統(tǒng)安全隱患分析雖然Android系統(tǒng)已經(jīng)擁有眾多良好的安全機(jī)制,但也存在著一些安全隱患。目前主要存在以下3個(gè)方面的安全隱患:(1)基于硬件的安全隱患。Android系統(tǒng)運(yùn)行于硬件設(shè)備之上,由于硬件的通用性和擁有系統(tǒng)最高權(quán)限,且在使用中難以升級和維護(hù),硬件缺陷存在的安全隱患危害很大。另外,移動設(shè)備中的SD卡和SIM卡均能脫離移動設(shè)備而單獨(dú)使用,也存在隱私泄露的風(fēng)險(xiǎn)。(2)基于Linux內(nèi)核的安全隱患。移動設(shè)備往往會禁用一些內(nèi)核選項(xiàng)用以提高系統(tǒng)有限資源的利用,其中也包括一些安全配置選項(xiàng),Linux每年都有近百個(gè)漏洞被C
6、VE收錄,黑客利用這些內(nèi)核漏洞,獲得系統(tǒng)最高權(quán)限,造成用戶隱私信息泄露。目前,可以通過系統(tǒng)定制SEAndroid(Security?EnhancedAndroid)對所有的文件、目錄類資源的訪問進(jìn)行控制,強(qiáng)制性地限制信息的共享和流動,減輕Linux內(nèi)核的安全隱患[2]。(1)基于應(yīng)用程序的安全隱患。應(yīng)用程序包括Android系統(tǒng)自帶和用戶自行安裝的應(yīng)用程序。由于用戶自行安裝應(yīng)用程序來源多樣,在安裝時(shí),用戶無法辨識惡意程序和正常程序,而往往選擇信任該程序,忽略相關(guān)的安全提示,授予其所申明的所有權(quán)限,從而大大弱化Android系統(tǒng)核心安全機(jī)制權(quán)限控制。惡意程序非法獲得特權(quán),利用Lin
7、ux內(nèi)核漏洞提升權(quán)限,造成隱私信息泄露,非法鏈接網(wǎng)絡(luò)消耗資源,被惡意扣費(fèi)等眾多威脅到用戶安全的隱患。3基于惡意程序檢測的安全技術(shù)研究惡意程序是目前Android系統(tǒng)最大的安全威脅[3]。對惡意程序的檢測比較常用技術(shù)有代碼語義分析法和特征碼分析法。這兩種常用的檢測方法被各大反病毒軟件廠商廣泛使用,他們通過不斷更新惡意程序特征數(shù)據(jù)庫來提高檢出率,但都需要消耗大量的系統(tǒng)資源來進(jìn)行運(yùn)算,而移動設(shè)備資源和硬件處理能力有限,手機(jī)使用時(shí)在一定程度上會影響用戶體驗(yàn)。本文通過對Android系統(tǒng)安