張洋

摘要：Android操作系統(tǒng)所秉承的開放性及其目前占有的龐大市場份額，使得其安全性備受關注，本文對Android的系統(tǒng)架構(gòu)進行了介紹，分析了Android面臨的三類安全威脅和四種受到的攻擊方式，在分析Android三大安全機制的基礎上，對惡意軟件的分析檢測技術(shù)和判定技術(shù)進行了研究。

關鍵詞：Android;惡意軟件;安全機制;分析監(jiān)測

中圖分類號：TP391 文獻標識碼：A 文章編號：1007-9416（2018）11-0166-01

1 Android系統(tǒng)架構(gòu)

Android系統(tǒng)分為Linux內(nèi)核層、系統(tǒng)庫、應用框架和應用層四個層面。

Linux內(nèi)核層主要包括進程管理、內(nèi)存管理、網(wǎng)絡堆棧、安全機制及一系列的驅(qū)動模塊。在android系統(tǒng)中，每一個應用都是一個獨立的進程，資源的分配是以進程為單位進行的，進程之間是不能直接進行相互訪問的，為了實現(xiàn)進程間的通信，Android引入了進程間通信管理機制——Binder。該機制的引入解決了進程間通信的實際需求，同時也為共謀攻擊提供了便利。

2 Android手機面臨的安全問題

2.1 Android手機受到的安全威脅

Android的開放性使其得以迅速的發(fā)展及搶占市場，但是同時也帶來了一些安全威脅。

2.2 Android受到的攻擊方式

2.2.1 基于手機應用的攻擊

在用戶根據(jù)自身需求和喜好安裝手機App的時候，絕大部分的手機App都會提示需要獲取一些系統(tǒng)權(quán)限，一方面用戶缺乏相關的權(quán)限知識和安全防范意識，另一方面App普遍存在過度獲取大量系統(tǒng)權(quán)限的現(xiàn)象，使得手機App成為攻擊發(fā)起者的首選目標。

2.2.2 基于核心進程的攻擊

Android核心進程依賴于系統(tǒng)的本地庫、java類庫和java虛擬機。系統(tǒng)本地庫中包含了很多利用JNI本地調(diào)用方式封裝的C/C++類庫，這些類庫沒有java的強制安全機制的限制，核心進程被攻擊的風險大大提高，加上核心進程具有開源性所默認取得的較高級別權(quán)限，因此不少攻擊者開始將目光轉(zhuǎn)移到system核心進程。

2.2.3 基于Linux內(nèi)核的攻擊

每年都有近百的Linux安全漏洞被發(fā)現(xiàn)，大量漏洞的存在使得攻擊者通過漏洞獲取Android根權(quán)限的機會大大增加，一旦攻擊者取得根權(quán)限，便可輕易發(fā)起各種攻擊。另一方面，Android系統(tǒng)Linux內(nèi)核具有高配置性，在手機硬件配置較低、資源較少的情況下，有些廠商可能會禁用一些安全配置，間接為攻擊者提供了便利。

3 Android安全機制

Linux采用的內(nèi)核是Linux，其保留了一些Linux的安全機制，同時安卓應用開發(fā)語言為java，其也受到java的強制安全性限制。另外，因為Android智能手機上具有很多用戶隱私數(shù)據(jù)，因此安卓還設置了應用簽名、權(quán)限審核和沙盒三種安全機制，以此實現(xiàn)開發(fā)者身份識別、限制軟件行為和確保應用獨立運行的功能。

3.1 簽名機制

Android應用是以.apk文件進行發(fā)布的，其實際上是將所有開發(fā)文件打包發(fā)布成apk文件，所有安卓應用在發(fā)布時都必須進行簽名，這種簽名是用來標識開發(fā)者和應用程序之間的關系，它不需要權(quán)威的第三方數(shù)字證書簽名機構(gòu)進行認證，僅由開發(fā)者進行管理。應用簽名在App發(fā)布時進行，在進行App安裝時進行驗證，以實現(xiàn)對App來源的鑒定。

3.2 權(quán)限機制

Android的權(quán)限機制可以將應用軟件對關鍵系統(tǒng)功能和資源的使用情況告知用戶，根據(jù)權(quán)限的功能將所有權(quán)限進行了分組，每個權(quán)限又由Protection Level來標示保護的級別，從申請便可用、需要用戶確認、需要數(shù)字證書等共分四個級別。開發(fā)者在Manifest.xml文件中使用標簽來聲明所需的權(quán)限，如照相、定位、通話等權(quán)限，這些權(quán)限會在用戶安裝App時對用戶進行提示，只有用戶同意應用使用這些權(quán)限時，應用才能進行安裝及在后期運行中使用這些權(quán)限。

3.3 沙盒機制

Android系統(tǒng)提供沙盒機制主要是為了保障每個應用在運行過程中不受其他應用的影響，Android會為每個運行的應用創(chuàng)建一個Dalvik虛擬機實例——沙盒，每個沙盒之間是相互獨立不能進行互相訪問的，每個沙盒具有自己獨立的存儲空間，所有請求的數(shù)據(jù)也都必須經(jīng)過權(quán)限檢測，當單個應用出現(xiàn)故障或者被確認攻擊之后，沙盒會進行回滾操作——消除虛擬機實例，從而確保整個系統(tǒng)不受影響。

4 惡意軟件分析及判定

惡意軟件分析的目的是進行惡意軟件的檢測以及判定，其主要是收集分析攻擊者和惡意軟件的特征，識別網(wǎng)絡惡意攻擊的真正意圖，從而為保護手機終端提供有用的信息。主要檢測技術(shù)有三種：權(quán)限檢測、動態(tài)檢測、動態(tài)監(jiān)測。

4.1 權(quán)限分析

安卓系統(tǒng)的權(quán)限機制可以實現(xiàn)對敏感API的保護，開發(fā)者根據(jù)應用功能自身的需要申請合理的權(quán)限，通過對應用的權(quán)限分析能夠簡單地判定該軟件是否安全。

4.2 動態(tài)分析

動態(tài)分析的側(cè)重點是軟件的實際行為，它不受代碼混淆技術(shù)的影響。其主要是監(jiān)測網(wǎng)絡訪問、API調(diào)用、系統(tǒng)調(diào)用、文件及內(nèi)存訪問和修改情況、對信息的訪問和處理模式，之后通過人工或者模擬觸發(fā)的方式，使得惡意軟件完全暴露出來。

4.3 靜態(tài)分析

靜態(tài)分析是在不運行軟件代碼的情況下，對APK及其解析文件進行各種分析的技術(shù)，這些分析主要包含對控制流、數(shù)據(jù)流和語義的分析。雖然靜態(tài)分析具有快速高效的優(yōu)點，但是其無法應對代碼混淆技術(shù)和漏洞攻擊。

4.4 惡意軟件的判定

在進行動態(tài)和靜態(tài)分析的基礎上，對惡意軟件的判定一般通過采用基于特征、基于啟發(fā)式兩種方式。基于特征的方式是目前殺毒軟件普遍采用的方式，這種方式需要不斷的進行新特征的分析和收集，通過已有的特征值能夠快速準確的識別已知惡意軟件，但是其具有一定的滯后性。動態(tài)啟發(fā)需實時監(jiān)控應用的行為，檢出率較之靜態(tài)啟發(fā)更高，但是檢測速度會隨著資源占用而逐漸變得效率低下，靜態(tài)啟發(fā)效率更高，但是檢出率較低。

5 結(jié)語

本文對Android的四層系統(tǒng)架構(gòu)進行了介紹，分析了Android系統(tǒng)應用面臨的三類安全威脅和四種受到的攻擊方式，在分析Android的簽名、權(quán)限和沙盒三大安全機制的基礎上，對惡意軟件的權(quán)限分析、動態(tài)分析、靜態(tài)分析三種分析方式以及惡意軟件判定技術(shù)進行了研究。

參考文獻

[1]卿斯?jié)h.Android安全研究進展[J].軟件學報，2016，27（01）：45-71.

[2]楊歡，張玉清，胡予濮，劉奇旭.基于多類特征的Android應用惡意行為檢測系統(tǒng)[J].計算機學報，2014，37（01）：15-27.

Research on Android Malware Detection Method

ZHANG Yang

（Jiangsu Union Vocational and Technical College Xuzhou Economic and Trade Branch， Xuzhou Jiangsu 221004）

Abstract：The openness of the Android operating system and its huge market share have made its security much concerned. This paper introduces the system architecture of Android， analyzes the three types of security threats faced by Android and four kinds of Based on the analysis of Android's three major security mechanisms， the attack detection method and the judgment technology of malware are studied.

Key words：Android; malware; security mechanism; analysis and monitoring