本文關(guān)鍵詞：基于內(nèi)核的安卓程序?qū)崟r(shí)行為分析方法研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著智能移動設(shè)備的普及,針對這些設(shè)備的惡意軟件也越來越多。安卓作為一個開源的平臺,已經(jīng)成為全球范圍內(nèi)具有廣泛影響力的操作系統(tǒng),目前占有80%的市場份額,也正因此,針對安卓平臺的惡意軟件數(shù)目也是十分巨大的,同時(shí)這些惡意軟件具有快速增長的趨勢。安卓設(shè)備上擁有大量的重要用戶隱私信息,因此此類惡意軟件給手機(jī)安全帶來了巨大的威脅。應(yīng)用程序行為分析是對抗這些惡意軟件的有效方法。然而,現(xiàn)有的應(yīng)用程序行為分析方法都有一些不足之處�；贒alvik虛擬機(jī)的技術(shù)方案不能檢測出本地代碼中的行為,同時(shí)由于和應(yīng)用程序處于同一層次,容易被惡意軟件檢測并規(guī)避�；谔摂M機(jī)自省方法的技術(shù)方案可以檢測本地代碼中的行為,但由于這類方法運(yùn)行在一個虛擬環(huán)境中,因此惡意軟件會因?yàn)閳?zhí)行環(huán)境的差異表現(xiàn)出不同的行為,現(xiàn)有惡意軟件可以檢測出它們的運(yùn)行環(huán)境,并使用反取證技術(shù)進(jìn)行規(guī)避,這就使得虛擬機(jī)自省方案下的行為分析的準(zhǔn)確性得不到保證。本文針對上述情況,提出了一種基于內(nèi)核的安卓程序?qū)崟r(shí)行為分析方法以及能夠?qū)崿F(xiàn)該方法的行為分析系統(tǒng)。本方法的新穎性在于安卓Linux內(nèi)核的系統(tǒng)調(diào)用監(jiān)控和解析,以及本方法能夠用于真實(shí)的安卓設(shè)備之上。本方法能夠同時(shí)進(jìn)行高層與底層的重構(gòu),無論這些行為是來Java語言,本地代碼還是Linux的可執(zhí)行與可鏈接格式。通過攔截解析特定的文件、網(wǎng)絡(luò)系統(tǒng)調(diào)用和安卓特有的系統(tǒng)調(diào)用,同時(shí)利用現(xiàn)有靜態(tài)分析工具所提供的污點(diǎn)流路徑,本方法可以重現(xiàn)應(yīng)用程序的關(guān)鍵實(shí)時(shí)行為。本方法運(yùn)行在內(nèi)核中,而內(nèi)核是整個安卓系統(tǒng)的最低層級,所以它擁有系統(tǒng)中最高的權(quán)限,因此難以被擁有正常權(quán)限的應(yīng)用程序所檢測到。另外本方法不僅能夠針對單一應(yīng)用程序進(jìn)行行為監(jiān)控分析,而且能夠以數(shù)據(jù)為中心,同時(shí)監(jiān)控多個應(yīng)用程序的行為,反映目標(biāo)數(shù)據(jù)如何被系統(tǒng)以及應(yīng)用程序使用。最后,它能夠生成一個易讀易懂的行為圖作為行為分析的結(jié)果,這個行為圖可以作為其他檢測方法的基礎(chǔ),也可以作為取證的關(guān)鍵證據(jù)。
【關(guān)鍵詞】：行為分析 惡意軟件檢測 移動設(shè)備取證 動態(tài)分析
【學(xué)位授予單位】：南京大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP316;TP309
【目錄】：

• 摘要5-6
• Abstract6-11
• 第一章 緒論11-16
• 1.1 研究背景及意義11-12
• 1.2 相關(guān)研究工作概述12-13
• 1.3 本文主要工作13-14
• 1.4 組織結(jié)構(gòu)14-16
• 第二章 移動惡意軟件行為分析研究現(xiàn)狀16-29
• 2.1 移動惡意軟件行為研究16-19
• 2.2 動態(tài)行為分析技術(shù)19-22
• 2.2.1 基于Dalvik虛擬機(jī)的技術(shù)19-20
• 2.2.2 基于虛擬機(jī)自省(VMI)的技術(shù)20-21
• 2.2.3 基于內(nèi)核的技術(shù)21-22
• 2.3 靜態(tài)行為分析技術(shù)22-24
• 2.4 綜合行為分析技術(shù)24-26
• 2.5 不同行為分析技術(shù)對比26-27
• 2.6 本章小結(jié)27-29
• 第三章 基于內(nèi)核的安卓程序?qū)崟r(shí)行為分析方法概述29-34
• 3.1 系統(tǒng)整體架構(gòu)概述29-30
• 3.2 初始化模塊的簡介30-31
• 3.3 監(jiān)控模塊的簡介31
• 3.4 日志模塊的簡介31-33
• 3.5 行為重構(gòu)模塊的簡介33
• 3.6 本章小結(jié)33-34
• 第四章 基于內(nèi)核實(shí)時(shí)監(jiān)控的動態(tài)分析技術(shù)34-42
• 4.1 基于內(nèi)核實(shí)時(shí)監(jiān)控分析的意義與挑戰(zhàn)34-35
• 4.2 基于內(nèi)核實(shí)時(shí)監(jiān)控分析的實(shí)現(xiàn)35-42
• 4.2.1 內(nèi)核監(jiān)控初始化35-37
• 4.2.2 Binder解析器37-41
• 4.2.3 系統(tǒng)調(diào)用解析器41-42
• 第五章 基于混合分析的多層次行為重構(gòu)技術(shù)42-57
• 5.1 基于混合分析的多層次行為重構(gòu)的意義與挑戰(zhàn)42
• 5.2 基于混合分析的多層次行為重構(gòu)的實(shí)現(xiàn)42-57
• 5.2.1 圖生成算法43-44
• 5.2.2 廣播生命周期匹配算法44-51
• 5.2.3 圖精簡過程51
• 5.2.4 結(jié)合靜態(tài)分析方法的重構(gòu)過程51-57
• 第六章 實(shí)驗(yàn)及分析57-69
• 6.1 性能分析57-59
• 6.2 單一應(yīng)用程序行為分析實(shí)驗(yàn)59-64
• 6.2.1 動態(tài)分析實(shí)驗(yàn)59-62
• 6.2.2 混合分析實(shí)驗(yàn)62-64
• 6.3 多應(yīng)用程序數(shù)據(jù)流分析實(shí)驗(yàn)64-67
• 6.3.1 動態(tài)分析實(shí)驗(yàn)64-65
• 6.3.2 混合分析實(shí)驗(yàn)65-67
• 6.4 局限性分析67
• 6.5 本章小結(jié)67-69
• 第七章 總結(jié)與展望69-71
• 7.1 論文總結(jié)69-70
• 7.2 進(jìn)一步工作展望70-71
• 參考文獻(xiàn)71-76
• 致謝76-77
• 攻讀碩士學(xué)位期間成果列表77-79

【相似文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 禾火;;中國互聯(lián)網(wǎng)2006新運(yùn)動向惡意軟件宣戰(zhàn)[J];互聯(lián)網(wǎng)天地;2006年11期

2 Al Senia;舒文瓊;;手機(jī)惡意軟件威脅呈上升趨勢[J];通信世界;2007年01期

3 那罡;;惡意軟件:網(wǎng)絡(luò)的“傷城”[J];中國計(jì)算機(jī)用戶;2007年01期

4 李斌;馮斌;;防治惡意軟件的幾點(diǎn)思考[J];法制與社會;2007年01期

5 劉香;;淺談“惡意軟件”的分類及治理措施[J];信息網(wǎng)絡(luò)安全;2007年03期

6 王江民;;建議將惡意軟件改稱有害軟件[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2007年04期

7 謝麗容;;中國互聯(lián)網(wǎng)協(xié)會反惡意軟件認(rèn)定委員會在京成立[J];互聯(lián)網(wǎng)天地;2007年07期

8 李志祥;;應(yīng)對“惡意軟件”的策略[J];農(nóng)村電工;2008年02期

9 千堆棧;;惡意軟件隱藏危險(xiǎn)多多[J];計(jì)算機(jī)安全;2008年05期

10 鄭淑蓉;;“惡意軟件”的危害及其治理[J];生產(chǎn)力研究;2009年02期

中國重要會議論文全文數(shù)據(jù)庫 前4條

1 魏玉鵬;向陽;邊殿田;;惡意軟件關(guān)鍵技術(shù)及應(yīng)對策略研究[A];第一屆中國高校通信類院系學(xué)術(shù)研討會論文集[C];2007年

2 張健;吳功宜;杜振華;;惡意軟件防治產(chǎn)品檢測技術(shù)和標(biāo)準(zhǔn)的研究[A];全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集·第二十五卷[C];2010年

3 吳葉科;陳波;宋如順;;虛擬化惡意軟件及其檢測技術(shù)研究[A];全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集（第二十四卷）[C];2009年

4 謝文軍;于振華;韓林;;車聯(lián)網(wǎng)中惡意軟件傳播過程建模與仿真研究[A];系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)論文集（第15卷）[C];2014年

中國重要報(bào)紙全文數(shù)據(jù)庫 前10條

1 王曉s，

本文編號：426510