一種基于行為分析的Android系統(tǒng)惡意程序檢測模型

熊 皓，陳 杰，江坤航

(湖北理工學(xué)院計算機學(xué)院，湖北黃石435003)

0 引言

在當(dāng)今時代，科技的進步推動了全球化經(jīng)濟的發(fā)展，同時也推動了信息產(chǎn)業(yè)的不斷發(fā)展。在電子產(chǎn)品中，Android 系統(tǒng)已經(jīng)占據(jù)了大份額的市場，對于善于設(shè)備刷機的用戶而言，惡意軟件成為用戶難以預(yù)防的對象。這主要是由于這些軟件都是在用戶不知情的情況下，秘密安裝下載程序［1－2］。因此，惡意軟件已經(jīng)成為IT 專業(yè)人士研究的熱點。

根據(jù)思科2014年度安全報告稱，在An-droid 設(shè)備上發(fā)現(xiàn)惡意軟件中99%是移動惡意軟件，但這絲毫沒有減少它在全球市場的知名度和份額。由此可見，惡意程序是對智能機使用者最大的危害。針對Android 系統(tǒng)中惡意程序檢測技術(shù)方面的研究成為目前研究的熱點［3－4］。

1 Android 系統(tǒng)惡意程序檢測技術(shù)

在Android 系統(tǒng)中權(quán)限機制是核心安全機制，其重要性不言而喻。但Android 應(yīng)用程序的安裝權(quán)限，只有在安裝應(yīng)用軟件時才會出現(xiàn)在安裝權(quán)限界面，用戶在安裝時不能修改權(quán)限，而且權(quán)限種類繁多，會導(dǎo)致很多用戶在不了解的情況下安裝應(yīng)用軟件［5－6］。

由于Android 系統(tǒng)存在安全缺陷，致使惡意程序可以通過Android 系統(tǒng)的安全缺陷很容易地控制用戶手機。常用的檢測技術(shù)有惡意程序的靜態(tài)檢測技術(shù)和動態(tài)檢測技術(shù)［7－8］。

這2 種檢測技術(shù)有各自解決問題的優(yōu)勢，當(dāng)然也存在一定的缺陷，2 種檢測惡意程序的方法比較如表1所示。

表1 2 種檢測惡意程序的方法比較

除了以上常見的檢測技術(shù)外，還有一種動靜結(jié)合的混合檢測技術(shù)。該技術(shù)在對惡意程序檢測時采用動態(tài)檢測方式，在檢查簽名時采用靜態(tài)檢測的方式?；旌蠙z測技術(shù)的優(yōu)點是節(jié)省了時間、自動化程度高、方便實用。不過，混合檢測技術(shù)也有一定的缺陷，有的誤報率高，漏洞的類型不能完全覆蓋;有的能量消耗太大，能夠檢測的漏洞類型單一［9－10］。

2 基于行為分析的Android 系統(tǒng)惡意程序檢測模型

由于Android 的權(quán)限存在缺陷，用戶無法對安裝權(quán)限進行修改致使惡意程序乘機而入。對目前的動態(tài)檢測技術(shù)、靜態(tài)檢測技術(shù)和混合檢測技術(shù)進行分析，提出了一種基于行為分析的Android 系統(tǒng)惡意程序檢測模型，如圖1所示。本模型分為2 個部分:①對于已經(jīng)通過檢測的應(yīng)用程序APK 文件，根據(jù)簽名機制，提取消息摘要的MD5 值來進行匹配;②對于未檢測的應(yīng)用程序，通過權(quán)限和行為的分析來檢測，首先檢測運行時是否存在危險權(quán)限，然后進行污點傳播分析，檢測出APK 中是否存在信息竊取和惡意攻擊的行為。

圖1 Android 系統(tǒng)惡意程序檢測模型

2.1 檢測模型的系統(tǒng)結(jié)構(gòu)

針對特征值檢測技術(shù)的不足和權(quán)限存在的缺陷，提出了模型的設(shè)計思路:首先通過簽名機制來匹配MD5 值是否一致，然后分析其運行權(quán)限，并與危險權(quán)限庫中的權(quán)限進行比對;通過靜態(tài)分析函數(shù)的行為［6］，提取其各種行為并將惡意行為規(guī)則庫載入進行分析，最終將分析結(jié)果存入已分析的程序庫中保存。系統(tǒng)包括5 個模塊，系統(tǒng)結(jié)構(gòu)圖如圖2所示。

1)檢測模塊。首先計算APK 包的MD5值，提取后與已分析的程序庫中的MD5 值進行比較，如果存在，就不需要檢測直接進入結(jié)果分析模塊并保存到已分析程序庫中。

2)預(yù)處理模塊。在這個模塊中需要對應(yīng)用程序APK 包進行解壓和反編譯，最終獲取其配置文件和JAVA 源代碼。

3)權(quán)限分析模塊。利用函數(shù)調(diào)用，獲取AndroidManifest.xml 中的權(quán)限，將其與危險權(quán)限庫(類似病毒庫)中的權(quán)限對比，提取應(yīng)用程序中存在的惡意權(quán)限。

4)行為分析模塊。通過污染傳播分析，將存在的惡意行為提取出來，并與異常行為庫中的惡意行為比對，發(fā)現(xiàn)異常提示用戶，并保存到異常行為庫中。

5)權(quán)限管理模塊。這個模塊主要是用戶對惡意權(quán)限有選擇地禁止，最后重新簽名生成新的APK 包進行安裝。

圖2 系統(tǒng)結(jié)構(gòu)圖

2.2 系統(tǒng)的檢測流程

本系統(tǒng)的檢測是在應(yīng)用程序安裝前，對應(yīng)用程序的APK 包反編譯后對代碼進行分析。首先檢測APK 包的MD5 值是否匹配，如果匹配說明該應(yīng)用程序由正規(guī)廠商提供，直接進入安裝界面;如果不匹配，不能斷定它一定具有惡意行為，那么就要通過對權(quán)限和行為的分析來進行檢測。模型的檢測流程如圖3所示。

圖3 模型的檢測流程

2.3 關(guān)鍵技術(shù)的實現(xiàn)

2.3.1 Android APK 的簽名比對

通過Android 簽名機制的分析和APK 公鑰的比對能判斷一個APK 的發(fā)布機構(gòu)，并且這個發(fā)布機構(gòu)是很難偽裝的，暫時可以認為是不可偽裝的。下面介紹獲取APK 文件公鑰信息的方法。源碼中有一個隱藏的類用于APK包的解析。這個類叫PackageParser，路徑為:frameworks base core java android content pm PackageParser.java。當(dāng)需要獲取APK 包的相關(guān)信息時，可以直接使用這個類，獲取到APK簽名證書之后，就可以進行簽名比對了。功能函數(shù)如下所示:

2.3.2 計算MD5 值

在Android 系統(tǒng)中的應(yīng)用程序是由JAVA編寫的，在JAVA 中實現(xiàn)MD5 很容易，在包java.security 中有個類MessageDigest。部分代碼如下:

2.3.3 權(quán)限分析技術(shù)

每個Android 應(yīng)用程序要求所有的需要申請的權(quán)限都必須在AndroidManifest.xml 文件中定義，權(quán)限定義代碼如下:＜uses－permission android:name =“android.permission.INSTALL_PACKAGES”/ ＞;這是一個允許安裝應(yīng)用程序的權(quán)限請求。權(quán)限分析模塊的功能是將檢測的應(yīng)用程序AndroidManifest.xml 中申請的權(quán)限提取分析，并與危險權(quán)限庫(相當(dāng)于病毒庫)中的權(quán)限進行比對，如果發(fā)現(xiàn)惡意權(quán)限，則進入黑名單提示用戶禁止;如果沒有發(fā)現(xiàn)就進入行為分析模塊，因為考慮到有可能存在權(quán)限串謀的惡意程序。

3 模型檢測

Android 系統(tǒng)漏洞主要是權(quán)限存在串謀和刷機風(fēng)險，惡意權(quán)限能夠很好地檢測，不足的是Android 系統(tǒng)的權(quán)限是在AndroidManifest.xml 文件中定義的，不經(jīng)過分析隨便用代碼去調(diào)用API 修改權(quán)限很危險。因此，在本模型中對Android 應(yīng)用程序安裝時對惡意性進行分析，允許對權(quán)限進行動態(tài)修改。

一個應(yīng)用程序APK 包在其AndroidManifest.xml 文件中定義的權(quán)限一般有很多個，這里面可能會有很多的惡意權(quán)限，權(quán)限組合的不同對應(yīng)用軟件是否存在惡意程序也起著決定性的作用。

為了便于區(qū)分，對應(yīng)用程序聲明的權(quán)限分為4 類:嚴(yán)重威脅、一般威脅、普通威脅、安全。將上述的權(quán)限組合進行分類統(tǒng)計，權(quán)限組合有11 種，用數(shù)組描述如下:

P［1，2］，P［1，3］，P［1，4］;

P［2，3］，P［2，4］，P［3，4］;

P［1，2，3］，P［1，2，4］，P［1，3，4］，P［2，3，4］;

P［1，2，3，4］。

其中P 是權(quán)限Permission 的英文縮寫，權(quán)限組合復(fù)雜度越高，相對的安全威脅級別越高。對權(quán)限分析模塊檢測出的權(quán)限和行為分析模塊中檢測出的存在權(quán)限串謀的權(quán)限綜合提示給用戶，并對其單個威脅值和組合威脅值進行分析，當(dāng)威脅值為0 或1 時，不提示用戶進行禁止操作。

本模型采用的公式如下:

式(1)中，T 表示安全威脅值;N0表示單個威脅值;N1表示2 類組合權(quán)限的威脅值;N2表示3 類組合權(quán)限的威脅值;N3表示4 類組合權(quán)限威脅值;K0表示單獨權(quán)限威脅值的數(shù)量;Ki(i = 1，2，3)表示權(quán)限組合對應(yīng)的威脅值數(shù)量;當(dāng)應(yīng)用程序是需要付費時，Pm取值為0.2，否則Pm取值為0.8。

從Android 應(yīng)用商店中隨機選取100 個應(yīng)用程序，包括游戲、娛樂、購物、系統(tǒng)工具4 類，檢測前威脅值分布如圖4所示。

圖4 檢測前威脅值分布

從圖4 中可以看出，絕大部分的應(yīng)用程序，其威脅值集中在0 ～150 之間，超過150 的威脅值，基本可以判定應(yīng)用程序具有惡意行為。

有了安全威脅值的檢測前提，對惡意程序的檢測就將范圍縮小了很多，通過本模型中的簽名到權(quán)限，權(quán)限再到行為的3 重檢測，能夠?qū)?quán)限串謀的惡意行為檢測出，提高了系統(tǒng)的效率。

4 結(jié)束語

隨著信息產(chǎn)業(yè)的發(fā)展，惡意程序攻擊手段不斷升級，Android 系統(tǒng)的漏洞也在不斷更新，依靠傳統(tǒng)的單一的檢測方法已經(jīng)不能再防范惡意程序的攻擊。本文結(jié)合系統(tǒng)的漏洞，對基于特征值的檢測技術(shù)和行為的檢測技術(shù)的工作原理進行分析，提出了一種基于行為分析的權(quán)限綜合檢測模型。實驗表明，該模型對權(quán)限串謀的惡意行為能起到很好的抑制作用，同時也為用戶提供更多的權(quán)限，從而加強用戶的安全防范意識。

［1］吳世忠，郭濤.信息安全漏洞分析基礎(chǔ)［M］.北京:科學(xué)出版社，2013:81－85.

［2］王雨晨.系統(tǒng)漏洞原理與常見攻擊方法［J］.計算機工程與應(yīng)用，2001(3):62－64.

［3］(美)麥克克魯爾，斯坎布雷，克茨.黑客大曝光:網(wǎng)絡(luò)安全機密與解決方案［M］.北京:清華大學(xué)出版社，2013:45－47.

［4］徐明，陳純，應(yīng)晶.基于系統(tǒng)調(diào)用分類的異常檢測［J］.軟件學(xué)報，2004，15(3):391－403.

［5］王清.Oday 安全:軟件漏洞分析技術(shù)［M］.北京:電子工業(yè)出版社，2011:75－82.

［6］蔣紹林，王金雙，于晗，等.改進的Android 強制訪問控制模型［J］.計算機應(yīng)用，2013，33(6):1630－1636.

［7］王雨晨.系統(tǒng)漏洞原理與常見攻擊方法［J］.計算機工程與應(yīng)用，2001，37(3):62－64.

［8］王豐輝.漏洞相關(guān)技術(shù)研究［D］.北京:北京郵電大學(xué)，2006.

［9］練坤梅.基于漏洞分級和Fuzz 技術(shù)的Web 漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn)［D］.天津:南開大學(xué)，2011.

［10］龐智.Web 系統(tǒng)安全滲透測試方案的分析與設(shè)計［D］.北京:北京郵電大學(xué)，2011.