近年來,Android操作系統(tǒng)因其開源、免費和易用等特性得到了快速的普及和發(fā)展,市場份額超過了八成,為人們的生活帶來了許多的便利。但是由于Android系統(tǒng)開源的特點,加上第三方軟件市場缺乏監(jiān)管,惡意軟件隨意傳播,Android系統(tǒng)的生態(tài)環(huán)境一直沒有得到改善,為用戶的隱私信息安全帶來了嚴重的威脅。因此研究Android平臺的惡意軟件檢測技術(shù),對于保護Android平臺用戶隱私和財產(chǎn)安全顯得尤為必要。論文深入研究了Android平臺惡意軟件檢測技術(shù),主要研究工作如下:(1)提出一種基于行為的Android惡意軟件檢測方法。通過在用戶終端部署軟件API調(diào)用行為監(jiān)測框架,采用hook技術(shù),通過監(jiān)測目標軟件的敏感API調(diào)用行為,生成軟件實時的API訪問序列并上傳到服務端,服務端通過分析軟件的API訪問序列構(gòu)建軟件動態(tài)行為特征,通過軟件動態(tài)行為模型進行分類,實時的對軟件行為的合法性進行判斷,并在必要時對軟件的API訪問行為進行阻斷;同時通知用戶,根據(jù)用戶的反饋對惡意樣本進行處理,防止惡意軟件造成進一步危害。(2)提出一種輕量級的Android平臺惡意軟件檢測方法,根據(jù)不同惡意軟件檢測要求,設(shè)計了兩階段的Android惡意軟件檢測機制。第一階段,利用靜態(tài)特征檢測模型快速的對軟件進行惡意性檢測:針對不同特點的惡意軟件,分別提取軟件數(shù)字簽名、軟件哈希值、軟件申請的權(quán)限信息、軟件調(diào)用的接口函數(shù)等特征,采用機器學習方法構(gòu)建分類模型;第二階段,針對軟件包進行了代碼混淆、加殼等難以通過靜態(tài)分析進行惡意性判斷的軟件,本文通過在Android模擬器中模擬軟件的動態(tài)行為獲得軟件的動態(tài)特征,建立動態(tài)特征檢測模型。為了實現(xiàn)輕量級的特點,本文采用特征選擇方法對特征空間進行降維,以構(gòu)建快速高效的惡意檢測系統(tǒng)。在上述研究工作的基礎(chǔ)上,完成了面向Android平臺的軟件惡意檢測系統(tǒng)的服務器端和客戶端的模塊設(shè)計,并初步實現(xiàn)了該惡意軟件檢測系統(tǒng)。設(shè)計并完成了測試實驗。對比實驗結(jié)果表明,本系統(tǒng)具有較高的檢測精度以及較低的誤報率。本系統(tǒng)能夠有效解決Android平臺惡意軟件檢測問題,降低惡意軟件對用戶造成的不利影響。
【學位單位】：南京航空航天大學
【學位級別】：碩士
【學位年份】：2018
【中圖分類】：TP311.52;TP316
【部分圖文】：

性樣本但分類為惡意樣本的數(shù)量；FP 是指將本身為惡意樣本但是分類為 表示將本身為惡意樣本并分類為惡意樣本的數(shù)量；TP 指將本身為良性樣的數(shù)量。.2.3 的特征選擇的有效性，本文實驗了其對前面提到的已知惡意軟件的分SVM 構(gòu)建分類器。用 4.2.3 節(jié)得到的特征選擇之后的低維特征和特征選擇據(jù)實驗結(jié)果如表 4. 2 所示：表 4. 2 惡意軟件檢測結(jié)果 TPR% FPR% 訓練時間/s擇 90.5 2.0 16.5 92.9 1.8 3.2得，在本文使用的數(shù)據(jù)集上使用特征選擇方法對軟件特征進行降維之后，和假陽性率基本不變的情況下，使得系統(tǒng)的訓練時間明顯縮減。并且特征的分類精度的同時提高了軟件的檢測效率，對樣本庫中剩下的 30%的軟件時間分布如圖 4. 3 所示：1285117300特征選擇前 特征選擇后

Android 平臺的惡意軟件檢測系統(tǒng)的設(shè)計與實現(xiàn)過軟件特征選擇降低特征空間維度可以有效的減少訓練方法，訓練數(shù)據(jù)集都是有標記的，因此訓練模比較好的檢測效果。下面我們驗證本章靜態(tài)檢測方中選取 2000 個惡意軟件組成惡意樣本集，該數(shù)據(jù)驗我們選取其中的 19 個惡意家族軟件和 1000 個良兩組作為輸入，訓練惡意軟件分類器，然后對第 2第二次實驗我們將第 20 個惡意家族的惡意軟件選對剩下一半軟件進行檢測得到結(jié)果如圖 4. 4 所示：89.790.592.1

圖 4. 6 本文檢測結(jié)果與 VirusTotal 檢測結(jié)果對比由圖 4. 7 可以得到本文的兩階段處理的惡意軟件檢測系統(tǒng)在檢測大部分軟件時都具有很高檢測效率，只有在遇到軟件被加固的情況下需要進行動態(tài)分析才會延長軟件的檢測時間，在態(tài)檢測階段，啟動 DroidBox 沙箱和安裝軟件并模擬運行會消耗較多時間。平均情況下，啟動roidBox 會消耗 3 分鐘左右，安裝并模擬軟件運行會消耗 7~8分鐘左右。在本文所提出的兩階的惡意軟件檢測方法，既保留了靜態(tài)檢測精度高速度快的優(yōu)點，同時又解決了靜態(tài)方法難以析加固軟件的缺點，在一定程度上提高了 Android 惡意軟件的檢測精度和檢測效率，為本文惡意軟件檢測系統(tǒng)提供了服務端的支持。0%20%40%檢測引擎
【參考文獻】

相關(guān)期刊論文 前3條

1 董航;李祺;董楓;彭勇;徐國愛;;Android運行時惡意行為檢測模型研究[J];北京郵電大學學報;2014年03期

2 楊歡;張玉清;胡予濮;劉奇旭;;基于多類特征的Android應用惡意行為檢測系統(tǒng)[J];計算機學報;2014年01期

3 楊歡;張玉清;胡予濮;劉奇旭;;基于權(quán)限頻繁模式挖掘算法的Android惡意應用檢測方法[J];通信學報;2013年S1期

本文編號：2857740