【摘要】：隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展,Android智能終端在人們生活中扮演的角色越來(lái)越重要,由于Android系統(tǒng)的開(kāi)源性和Google Play薄弱的軟件檢測(cè)力度,Android智能終端惡意應(yīng)用越來(lái)越多。信息泄露、資料被刪、電話竊聽(tīng)、資金被盜等已對(duì)廣大Android智能終端用戶構(gòu)成嚴(yán)重的威脅。針對(duì)Android智能終端日益猖獗的攻擊,常用檢測(cè)方式有靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)檢測(cè)技術(shù)。由于靜態(tài)檢測(cè)技術(shù)的代碼全面覆蓋、挖掘自動(dòng)化、高效等優(yōu)點(diǎn),靜態(tài)檢測(cè)技術(shù)得到廣泛關(guān)注和應(yīng)用。但目前靜態(tài)檢測(cè)技術(shù)主要利用應(yīng)用程序的特征碼及文件簽名校驗(yàn)等方式對(duì)應(yīng)用程序進(jìn)行惡意檢測(cè),或者將PC端應(yīng)用程序安全檢測(cè)技術(shù)直接應(yīng)用于Android應(yīng)用軟件安全檢測(cè),故存在誤報(bào)漏報(bào)率高、新型惡意代碼處理滯后等缺陷。為解決上述問(wèn)題,本文深入研究Android應(yīng)用程序及其系統(tǒng)架構(gòu),在常用靜態(tài)檢測(cè)技術(shù)基礎(chǔ)上,設(shè)計(jì)實(shí)現(xiàn)了一種基于完善信息流的Android源代碼安全檢測(cè)系統(tǒng)。本文系統(tǒng)相對(duì)于應(yīng)用程序特征碼匹配檢測(cè)、文件簽名校驗(yàn)檢測(cè)或者將PC端應(yīng)用程序安全檢測(cè)技術(shù)直接應(yīng)用于Android應(yīng)用軟件安全檢測(cè)等方法,具有每小時(shí)百萬(wàn)行代碼的高自動(dòng)化掃描速率,檢測(cè)結(jié)果誤報(bào)率低于30%、漏報(bào)率低于35%的高準(zhǔn)確度及快速解決新型惡意代碼檢測(cè)滯后問(wèn)題等優(yōu)勢(shì)。本文主要內(nèi)容如下:第一,總結(jié)OWASP MOBILE TOP 10中Android應(yīng)用程序常見(jiàn)漏洞,對(duì)Android應(yīng)用程序的常見(jiàn)漏洞、漏洞產(chǎn)生原因及主流靜態(tài)檢測(cè)技術(shù)工具等進(jìn)行研究分析。第二,從Android應(yīng)用程序源代碼靜態(tài)檢測(cè)的功能性和非功能性需求出發(fā),對(duì)系統(tǒng)進(jìn)行設(shè)計(jì),明確系統(tǒng)需要完成的功能,將系統(tǒng)分為代碼解析、控制流分析、數(shù)據(jù)流分析、規(guī)則庫(kù)設(shè)計(jì)與解析、應(yīng)用程序惡意行為分析五大核心功能模塊。應(yīng)用程序惡意行為分析模塊根據(jù)規(guī)則庫(kù)文件對(duì)代碼解析結(jié)果AST樹(shù)進(jìn)行掃描,利用控制流分析和數(shù)據(jù)流分析得到的程序信息流對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行流分析,最后得到Android應(yīng)用程序中存在的編碼漏洞缺陷。通過(guò)利用流程圖、圖表等對(duì)這五個(gè)核心功能模塊進(jìn)行分析與設(shè)計(jì),最終完成本文系統(tǒng)的設(shè)計(jì)工作。第三,根據(jù)系統(tǒng)的分析設(shè)計(jì),利用Java語(yǔ)言、XML語(yǔ)言、開(kāi)源工具ANTLR對(duì)本系統(tǒng)的代碼分析引擎模塊、規(guī)則管理模塊、報(bào)告管理模塊和Swing界面等進(jìn)行編程實(shí)現(xiàn),其中代碼分析引擎是本系統(tǒng)最核心的功能模塊,由代碼解析、控制流分析、數(shù)據(jù)流分析、結(jié)構(gòu)分析、安全分析調(diào)度和安全分析接口六大模塊組成,根據(jù)規(guī)則管理模塊提供的規(guī)則文件對(duì)應(yīng)用程序源代碼進(jìn)行自動(dòng)解析檢測(cè),將檢測(cè)結(jié)果交由報(bào)告管理模塊進(jìn)行管理,進(jìn)而本文完成系統(tǒng)全部的開(kāi)發(fā)工作。利用本系統(tǒng)對(duì)多個(gè)開(kāi)源Android應(yīng)用程序源代碼進(jìn)行掃描,分析本系統(tǒng)檢測(cè)結(jié)果的誤報(bào)率和漏報(bào)率,并將檢測(cè)結(jié)果與商業(yè)軟件HP Fortify SCA掃描結(jié)果進(jìn)行對(duì)比分析,驗(yàn)證本系統(tǒng)的可行性。第四,對(duì)本文研究成果進(jìn)行總結(jié),指出本文的缺陷和局限性,即本文設(shè)計(jì)的系統(tǒng)不像Fortify這樣的商業(yè)軟件擁有龐大的規(guī)則庫(kù),另外如果本系統(tǒng)要擴(kuò)展規(guī)則庫(kù),需要進(jìn)一步學(xué)習(xí)Android系統(tǒng)安全,應(yīng)用程序安全、代碼缺陷、編碼規(guī)范等知識(shí),進(jìn)而明確下一步工作研究?jī)?nèi)容。
【圖文】：

邐２０１４邋年逡逑ａｓａl挘韌步鷸行膩義賢跡保插澹玻埃保玻玻埃保茨輳粒睿洌潁錚椋淦教ㄐ略齠褚獬絳蜓臼義希粒睿洌潁錚椋湎低扯褚餿砑饕褚廡形繽跡保乘荊溲現(xiàn)賾跋煊沒(méi)У惱ｅ義仙�。瓤r只韭砜刂樸沒(méi)е?jǐn)厮，蒂Z亂行畔⒈壞�、督{磐ɑ氨患嗵勻〉紉義纖叫孤抖褚廡形遠(yuǎn)Υ虻緇翱鄯選⒆遠(yuǎn)傭褚饌究鄯選⒗⒍┕旱儒義隙褚飪鄯研形�。辶x隙褚廡形壤義蠇摱褚飪鄯彥義稀鰹敵形義賢跡保沖澹粒睿洌潁錚椋湎低扯褚餿砑饕褚廡形義暇蒞⒗鏌貧踩玻埃保的甑詼徑缺ǜ媯郟常菹允荊粒睿洌潁錚椋溴澹保陡鮒氐閾幸檔膩義希簦錚穡歟嫌τ茫保埃埃ゴ嬖諑┒捶縵�，�?fàn)N新┒矗福擔(dān)保蹈觶驕坑τ煤┒矗擔(dān)掣觶義先讓龐τ寐┒匆躍芫衤┒次鰨急卻錚玻玻ィ繽跡保此荊唬福擔(dān)保蹈齜縵斟義下┒粗�，３２％属釉嵾危漏兜A(chǔ)ⅲ矗矗ナ粲謚形Ｂ┒矗臀Ｂ┒唇穌跡玻矗�，壤_跡保靛義纖

本文編號(hào)：2542299