Android應(yīng)用異常檢測方法研究

劉曉明

摘要：目前面向Android系統(tǒng)的攻擊越來越多，因此，分析與檢測Android惡意應(yīng)用已經(jīng)成為了一個(gè)非常重要的研究課題。本-文主要從惡意應(yīng)用類型，國內(nèi)外主流檢測技術(shù)等方面分析了Android惡意應(yīng)用的檢測方法研究現(xiàn)狀，并基于當(dāng)前的檢測技術(shù)，提出僅將良性樣本作為訓(xùn)練集來實(shí)現(xiàn)對(duì)未知Android應(yīng)用進(jìn)行異常檢測的方法，取得了良好的實(shí)驗(yàn)結(jié)果。最后，本文分析了Android應(yīng)用異常檢測方法的發(fā)展趨勢及未來主要研究方向。

關(guān)鍵詞：Android系統(tǒng)；Android應(yīng)用；檢測技術(shù)；異常檢測

隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，移動(dòng)智能終端用戶的數(shù)量呈現(xiàn)爆炸式的增長。據(jù)市場調(diào)研公司IDC最新報(bào)告顯示，在2015年年底，全球智能手機(jī)出貨量將會(huì)超過14億臺(tái)，其中運(yùn)行Android系統(tǒng)的設(shè)備將會(huì)占到11.5億臺(tái)，全球市場占比達(dá)到79.4%。同時(shí)由9Android系統(tǒng)的開放性，它也成為眾多惡意應(yīng)用開發(fā)者的活躍地盤。據(jù)獵豹移動(dòng)安全實(shí)驗(yàn)室日前發(fā)布的《2014 2015中國互聯(lián)網(wǎng)安全研究報(bào)告》顯示，2014年全球感染病毒的Android手機(jī)計(jì)2.8億部，平均每天80萬部Android手機(jī)中毒，而中國以近1.2億部手機(jī)中毒高居榜首，已成為全球受病毒之害最嚴(yán)重的國家。因此，如何對(duì)發(fā)布到互聯(lián)網(wǎng)及應(yīng)用商店的應(yīng)用程序的安全性進(jìn)行有效的檢測和評(píng)測，無論是對(duì)應(yīng)用市場的監(jiān)管方還是對(duì)終端用戶來說都具有非常重要的意義。

本文通過對(duì)國內(nèi)外研究現(xiàn)狀進(jìn)行分析，對(duì)目前主流的惡意應(yīng)用類型及檢測方法進(jìn)行深入分析與總結(jié)，以期能為相關(guān)工作提供參考。同時(shí)結(jié)合自己的研究成果，提出了一種僅基于良性樣本作為訓(xùn)練集來實(shí)現(xiàn)對(duì)未知Android應(yīng)用進(jìn)行異常檢測的方法。最后提出了Android應(yīng)用異常檢測的發(fā)展趨勢及本文未來的主要研究方向。

1 Android平臺(tái)下惡意應(yīng)用的類型

隨著智能手機(jī)的廣泛應(yīng)用，發(fā)布手機(jī)應(yīng)用程序的官方市場和第三方市場上都出現(xiàn)了含有惡意代碼的應(yīng)用程序，因此，分析與檢測Android惡意應(yīng)用已經(jīng)成為了一個(gè)非常重要的研究課題。但無論何種檢測方法都需要對(duì)Android惡意應(yīng)用類型有深入的了解。Zhou等人根據(jù)惡意應(yīng)用的樣本來提取每個(gè)惡意家族的足跡。通過對(duì)現(xiàn)存市場中49個(gè)惡意家族共計(jì)1260個(gè)惡意應(yīng)用進(jìn)行靜態(tài)分析，發(fā)現(xiàn)目前Android平臺(tái)下的惡意應(yīng)用主要包括3大類，分別是安裝攻擊、功能觸發(fā)以及惡意負(fù)載。

1.1 安裝攻擊

Android平臺(tái)下的安裝攻擊式惡意應(yīng)用，其主要就是將自己偽裝成時(shí)下人們常用的各類應(yīng)用軟件，吸引用戶對(duì)其進(jìn)行下載，這樣就能夠達(dá)到快速傳播的目的，當(dāng)用戶錯(cuò)誤下載了這類惡意應(yīng)用，其就會(huì)通過重打包、更新包以及偷渡式下載方式對(duì)用戶的移動(dòng)通訊端口進(jìn)行入侵。其中重打包技術(shù)是目前惡意應(yīng)用開發(fā)者普遍使用的攻擊技術(shù)，占研究數(shù)據(jù)的86%。攻擊者從應(yīng)用市場下載主流應(yīng)用程序，對(duì)其系統(tǒng)進(jìn)行重新編碼以此隱藏其惡意行為，然后利用應(yīng)用平臺(tái)的開放性，將具有惡意行為的應(yīng)用重新發(fā)布到應(yīng)用市場，進(jìn)而通過用戶的下載安裝實(shí)現(xiàn)其盜取用戶隱私、扣取費(fèi)用等惡意目的；而更新包的方式主要是在用戶安裝過程中提示需要下載更新包，而更新包中就隱藏著惡意編碼，進(jìn)而對(duì)用戶端進(jìn)行入侵；偷渡式下載主要是在安裝軟件中有部分惡意網(wǎng)站的鏈接，引導(dǎo)用戶對(duì)惡意應(yīng)用進(jìn)行下載。

1.2 功能觸發(fā)

部分惡意應(yīng)用通過注冊(cè)相關(guān)的系統(tǒng)事件使其具有監(jiān)聽功能，當(dāng)系統(tǒng)自發(fā)或由用戶完成某一操作后，惡意應(yīng)用便可監(jiān)聽到這一事件，進(jìn)而執(zhí)行其惡意代碼。如當(dāng)Android手機(jī)開機(jī)后，系統(tǒng)就會(huì)發(fā)送BOOT_COMPLETED廣播，監(jiān)聽這個(gè)廣播就能監(jiān)聽開機(jī)。此廣播也因此成為惡意應(yīng)用開發(fā)者最常利用的監(jiān)聽事件，占所研究數(shù)據(jù)的83.3%。

2 Android平臺(tái)下惡意應(yīng)用的檢測技術(shù)

由于第三方市場的開放性，任何人都可以向應(yīng)用市場提交應(yīng)用。用戶通過所有不可靠途徑得到的應(yīng)用程序很有可能被植入了惡意代碼，這些惡意應(yīng)用可對(duì)用戶實(shí)施惡意扣費(fèi)、竊取隱私、系統(tǒng)破壞等惡意行為，嚴(yán)重干擾到用戶的正常使用。因此，如何對(duì)發(fā)布到互聯(lián)網(wǎng)及應(yīng)用商店的應(yīng)用程序的安全性進(jìn)行有效的檢測和評(píng)測，無論是對(duì)應(yīng)用市場的監(jiān)管方還是對(duì)終端用戶來說都具有非常重要的意義。

2.1 基于簽名的檢測技術(shù)

傳統(tǒng)的基于簽名的檢測技術(shù)主要依托于手機(jī)軟件的簽名。重點(diǎn)介紹了基于特征碼的惡意應(yīng)用檢測方法。國外著名的Android惡意應(yīng)用檢測工具Androguard也是基于簽名的檢測方法。然而最新的研究顯示，通過簡單的程序陷阱便可使這種基于低級(jí)語義簽名的檢測技術(shù)失去其有效性。在此基礎(chǔ)上，F(xiàn)eng等人提出了Apposcopy檢測技術(shù)，該技術(shù)首先從控制流和數(shù)據(jù)流兩方面對(duì)某一惡意家族進(jìn)行簽名，所謂控制流即用來顯示應(yīng)用程序中函數(shù)的控制結(jié)構(gòu)，通過控制流分析可得到應(yīng)用程序可執(zhí)行的路徑。數(shù)據(jù)流可顯示出敏感信息的流向。

當(dāng)檢測某一未知應(yīng)用程序時(shí)，Apposcopy通過靜態(tài)分析技術(shù)獲得該應(yīng)用的組件調(diào)用圖ICCG和數(shù)據(jù)流圖，通過與GoldDream家族簽名進(jìn)行匹配得知此應(yīng)用為GoldDream家族的惡意應(yīng)用。使用該類檢測方法雖然對(duì)具有強(qiáng)制安裝特點(diǎn)的惡意應(yīng)用的傳播起到了一定程度的限制作用，但該方法不能檢測未知惡意家族的應(yīng)用。在當(dāng)前零日攻擊越來越多、越來越普遍的情況下，研究可檢測未知惡意應(yīng)用的方法變得非常重要。

2.2 基于行為的檢測技術(shù)

基于行為的檢測技術(shù)可分為基于源代碼分析的靜態(tài)檢測方法和基于行為模擬的動(dòng)態(tài)檢測方法。（1）靜態(tài)方法主要研究使用反匯編反編譯技術(shù)或者在smali中間代碼上運(yùn)用控制流和數(shù)據(jù)流分析技術(shù)來進(jìn)行惡意應(yīng)用檢測，優(yōu)點(diǎn)是代碼覆蓋率高。（2）動(dòng)態(tài)方法是在系統(tǒng)運(yùn)行過程中收集應(yīng)用程序的一些行為信息，優(yōu)點(diǎn)是繞過了靜態(tài)方法遇到的代碼混淆和加密等方面的問題。

作者首先從谷歌應(yīng)用市場收集到良性應(yīng)用22500個(gè)，通過LDA，提取出每個(gè)應(yīng)用的主題，如用map、traffic、route和position來描述航海應(yīng)用，通過k-means算法進(jìn)行良性應(yīng)用的類別劃分，最終得到32種類別。對(duì)于每一種類別，CHABADA通過靜態(tài)分析技術(shù)提取出該種類別所使用的敏感API，組成特征向量集，而對(duì)于該種類別的惡意應(yīng)用往往會(huì)調(diào)用一些相對(duì)異常的敏感API，如London Restaurants的惡意應(yīng)用會(huì)調(diào)用TelephonyManager.getDeviceId（），TelephonyManageLgetLinelNumber等。

3 實(shí)驗(yàn)成果

通過分析國內(nèi)外研究現(xiàn)狀與主流檢測技術(shù)，本文采用了一種只基于良性樣本作為訓(xùn)練集來實(shí)現(xiàn)對(duì)未知Android應(yīng)用進(jìn)行異常檢測的方法。該異常檢測方法首先收集大量良性應(yīng)用數(shù)據(jù)集，然后通過靜態(tài)分析技術(shù)從權(quán)限、組件、代碼等方面提取能夠反映Android應(yīng)用行為的6000多個(gè)特征，最后利用最近鄰（K-NN）機(jī)器學(xué)習(xí)算法建立良性應(yīng)用行為模型，如果待檢測的應(yīng)用行為與建立的良性行為模型之間的偏差超過一定閾值，則判斷該應(yīng)用存在異常惡意行為。大量實(shí)驗(yàn)結(jié)果表明K-NN算法在檢測準(zhǔn)確率和執(zhí)行效率上都能取得很好的效果。

ROC曲線圖是一種衡量檢測結(jié)果的直觀圖，x軸為FPR即誤報(bào)率，Y軸為TPR即檢測率，通過ROC曲線圖可直觀反映出檢測率隨誤報(bào)率的變化情況。本文通過繪制ROC曲線圖進(jìn)行算法實(shí)驗(yàn)結(jié)果的直觀展示。從圖4可以看出，就檢測效果而言，K-NN算法在誤報(bào)率為6%時(shí)檢測率達(dá)到97%。

4 結(jié)語

本文通過分析國內(nèi)外研究現(xiàn)狀，對(duì)惡意應(yīng)用類型及主流檢測方法進(jìn)行了深入分析與總結(jié)。文中提到的各種檢測方法均能達(dá)到一定的檢測效果，但隨著惡意應(yīng)用的迅速發(fā)展，在零日攻擊越來越多、越來越普遍的情況下，研究可檢測未知惡意應(yīng)用的方法變得非常重要。因此，在接下來的研究中應(yīng)不斷進(jìn)行算法的改進(jìn)，使得對(duì)已知和未知惡意應(yīng)用的檢測都能取得良好的實(shí)驗(yàn)結(jié)果。同時(shí)本文基于當(dāng)前的檢測技術(shù)，提出了僅將良性樣本作為訓(xùn)練集來實(shí)現(xiàn)對(duì)未知Android應(yīng)用進(jìn)行異常檢測的方法，取得了良好的實(shí)驗(yàn)結(jié)果，K-NN算法在誤報(bào)率6%的情況下能達(dá)到97%的檢測率。下一步工作中，將進(jìn)一步分析不同類型良性應(yīng)用的行為特征，通過改進(jìn)算法進(jìn)行不同類型良性應(yīng)用的多分類研究。