移動互聯(lián)網(wǎng)APP應用安全評估模型

岳 倩

沈陽應用生態(tài)研究所 信息中心,沈陽 110180

?

移動互聯(lián)網(wǎng)APP應用安全評估模型

岳 倩

沈陽應用生態(tài)研究所 信息中心,沈陽 110180

移動互聯(lián)時代，移動應用貫穿于人們的工作和生活，越來越多的人對移動應用產(chǎn)生依賴，移動應用的安全問題接踵而至，日益凸顯且愈演愈烈。針對移動APP的信息系統(tǒng)安全評估，是移動互聯(lián)時代的亮點亦是難點。結(jié)合移動APP的特點進行深入的研究分析，建立移動應用靜態(tài)評估模型。通過提取移動應用的重要屬性及特征，運用改進的聚類算法進行評估，使得評估準確性明顯提高。

移動互聯(lián)網(wǎng)；應用程序；安全評估模型；聚類算法

近年來，傳統(tǒng)互聯(lián)網(wǎng)應用已日趨飽和，隨著寬帶無線接入技術(shù)和移動終端技術(shù)的一次次革命，移動互聯(lián)網(wǎng)應運而生并得到前所未有的發(fā)展。各行各業(yè)也開始將目光聚集到移動互聯(lián)網(wǎng)，在移動互聯(lián)產(chǎn)業(yè)的帶動下，掀起又一輪移動互聯(lián)應用的熱潮。移動互聯(lián)網(wǎng)時代的來臨，平板電腦、手機等移動終端設(shè)備因其便攜性、易操作性等優(yōu)點已深深地融入人們的生活。移動互聯(lián)網(wǎng)信號的完美覆蓋使人們可以隨時隨地享受網(wǎng)絡帶來的便捷和舒適，可以隨時通過掃描二維碼、軟件管家等方式下載各類APP軟件享受網(wǎng)絡時代帶來的無限便利。

然而移動互聯(lián)網(wǎng)在移動終端安全、接入網(wǎng)絡安全、移動APP安全及隱私保護等方面還面臨著一系列的挑戰(zhàn)。中國互聯(lián)網(wǎng)協(xié)會、國家互聯(lián)網(wǎng)應急中心聯(lián)合發(fā)布的《中國移動互聯(lián)網(wǎng)發(fā)展狀況及其安全報告(2016)》[1]顯示，2015年中國境內(nèi)活躍的手機網(wǎng)民數(shù)量達7.8億人，活躍的智能手機聯(lián)網(wǎng)終端達11.3億部，九成以上運行Android操作系統(tǒng)和ios操作系統(tǒng)。從手機和移動APP的用戶數(shù)量可以看出移動互聯(lián)網(wǎng)絡應用將是未來發(fā)展的趨勢和走向。網(wǎng)民在享受移動網(wǎng)絡帶來的便利同時，也面臨著前所未有的安全風險。諸多不安全因素威脅著人們的工作和生活。如惡意扣費、資費消耗、信息竊取、誘騙欺詐等惡意行為的移動互聯(lián)網(wǎng)惡意程序嚴重損害人民群眾的利益，甚至危害社會穩(wěn)定和國家安全。2015年我國感染移動互聯(lián)網(wǎng)惡意程序的境內(nèi)用戶高達1.74億人，據(jù)網(wǎng)絡不良與垃圾信息舉報受理中心數(shù)據(jù)顯示，在2015年共接到手機應用軟件舉報727 976件次，有效舉報200 684件次。被舉報的APP中大多數(shù)存在盜取流量、惡意廣告等問題，其中10%的APP存在篡改手機號碼，形成電信詐騙等行為。互聯(lián)網(wǎng)應急中心獲得移動互聯(lián)網(wǎng)惡意程序數(shù)量近148萬個，惡意程序數(shù)量連續(xù)3年大幅增長。

本文根據(jù)現(xiàn)階段移動APP的發(fā)展現(xiàn)狀，結(jié)合移動APP的特點、常見漏洞、安全隱患等方面進行深入的研究分析，對比傳統(tǒng)應用和移動應用的共同點和不同性，根據(jù)移動應用靜態(tài)評估的主要特性設(shè)置9個控制點，設(shè)計出移動應用評估模型。提取移動應用的重要屬性及特征，根據(jù)聚類算法的特性選取其作為移動應用安全評估算法，并進行優(yōu)化和改進，使得評估準確性明顯提高。

1 移動應用常見漏洞和風險

(1)隱私信息泄露

移動應用與個人工作和生活的關(guān)系越來越緊密，用戶從中獲取便利的同時，很多是以犧牲個人隱私信息為代價。部分服務提供商為拓展業(yè)務或其他目的，在用戶不知道的情況下獲取用戶通訊錄、短信、活動范圍等隱私信息。雖然隱私信息的丟失不一定給用戶造成直接損失，但會給用戶埋下很大的安全隱患。移動互聯(lián)網(wǎng)時代，移動用戶隱私信息的大數(shù)據(jù)，不但關(guān)系到某個用戶，甚至事關(guān)國民經(jīng)濟運行和社會穩(wěn)定，必然會引起重視。

(2)靜態(tài)破解

未進行加密或加密技術(shù)簡單的移動應用面臨著被靜態(tài)破解的風險，造成源代碼、配置文件、資源文件等重要信息的暴漏，靜態(tài)破解也是靜態(tài)分析的首要任務[2]。

(3)動態(tài)調(diào)試

破解者利用調(diào)試器跟蹤移動應用的運行，通過分步調(diào)試、輸出日志、插樁注入、篡改邏輯、分析敏感信息等手段，尋求破解的途徑[3]。

(4)篡改打包

被破解的移動應用不僅面臨著敏感信息的泄露，而且還面臨著植入惡意代碼、資源替換、篡改、重簽名及盜版等風險。

(5)按鍵劫持

移動應用往往采用操作系統(tǒng)自帶鍵盤進行信息錄入，攻擊者利用惡意手段進行終端自帶鍵盤的劫持，甚至重要操作被截屏錄像，從而造成身份鑒別、重要業(yè)務操作、支付等敏感信息泄露。

(6)存儲數(shù)據(jù)丟失

由于移動應用可能將信息存儲在內(nèi)部存儲空間或外部存儲空間中。如果存儲空間權(quán)限限制不夠嚴格，會導致存儲數(shù)據(jù)的任意讀取、篡改或惡意竊取。

(7)協(xié)議抓包

大多移動應用需通過網(wǎng)絡協(xié)議與服務器進行交互，由于移動設(shè)備通過開放性的網(wǎng)絡進行連接，因此存在被協(xié)議抓包的風險，易造成敏感信息被獲取及篡改。

(8)傳統(tǒng)應用安全

利用WEB SERVICE 提供服務的移動應用大都具有傳統(tǒng)應用的特點，可能存在SQL注入、跨站攻擊、越權(quán)、木馬上傳等安全漏洞。

2 移動應用安全評估模型

移動應用與傳統(tǒng)應用存在較大區(qū)別，面臨的風險也不盡相同。移動應用的靜態(tài)評估可針對9個控制點進行[4],如表1所示。

針對移動應用的靜態(tài)評估，需進行特征屬性的提取，本模型選取了18種特征屬性，如表2所示。

移動應用的靜態(tài)評估由5大模塊構(gòu)成，如圖1所示，分別為預處理模塊、特征提取模塊、特征序列模塊、特征匹配聚類模塊、輸出模塊[5-6]。

3 難點與算法

3.1 技術(shù)難點

移動應用的靜態(tài)分析面臨著許多技術(shù)難點，首先是應用加密、加殼以及源碼混淆，幾乎使靜態(tài)分析無法進行。因此，需要借助一些平臺、讀取平臺反饋信息和其他技術(shù)手段來實現(xiàn)突破，例如Android會借助到IDA、ZjDroid、JEB、apkTool、apkSign等工具的執(zhí)行結(jié)果和反饋信息。ios會借助到dumpdecrypted、Apptrack、IDA、class-dump-z、UtSign等工具的執(zhí)行結(jié)果和反饋信息。源碼混淆的程序需通過手工結(jié)合工具的方式進行混淆還原，根據(jù)還原程度，可能對評估結(jié)果造成影響。接下來的難點就是特征提取，以安卓應用為例，通過解析配置文件、源碼、smali代碼等基礎(chǔ)文件，分析顯示及隱式權(quán)限申請、API調(diào)用、組件、控制流、數(shù)據(jù)流等，通過讀取逆向破解、篡改打包等工具的執(zhí)行反饋信息，獲得逆向特征及篡改等特征，并生成篡改、簽名后的打包文件，便于進一步驗證篡改、驗簽情況[7]。

表1 移動應用安全靜態(tài)評估控制點

控制點評估內(nèi)容身份鑒別身份鑒別等重要操作是否調(diào)用自定義加密鍵盤進行操作訪問控制1)是否申請應用所需的最小權(quán)限2)是否存在權(quán)限設(shè)置不夠嚴格情況3)是否禁止內(nèi)部組件在未授權(quán)的情況下被第三方調(diào)用4)是否存在權(quán)限超出設(shè)計范圍安全審計是否禁止本地輸出日志信息剩余信息保護1)是否禁止本地存儲身份鑒別等敏感信息2)退出、卸載后信息是否完全清除通信完整性是否采取加密協(xié)議進行通信通信保密性是否采取加密協(xié)議進行通信應用保護1)是否可被逆向破解2)是否進行源碼保護3)是否進行配置文件保護4)是否進行資源文件保護5)是否進行源碼混淆或加密6)是否進行簽名驗證7)是否進行升級驗證存儲保護1)是否禁止第三方訪問內(nèi)部存儲空間2)是否將信息保存在外部存儲空間隱私保護是否存在隱私泄露是否為惡意代碼

表2 特征屬性

控制點特征屬性身份鑒別默認鍵盤API調(diào)用特征自定義鍵盤API調(diào)用特征源碼片段訪問控制權(quán)限特征API調(diào)用特征組件權(quán)限特征安全審計日志特征剩余信息保護內(nèi)部及外部存儲片段退出、卸載特征通信完整性通信協(xié)議特征通信保密性通信協(xié)議特征應用保護逆向反饋特征源碼破解反饋特征配置讀取反饋特征資源替換反饋特征源碼片段簽名驗證特征升級驗證特征存儲保護內(nèi)部存儲空間權(quán)限特征外部存儲空間存儲片段隱私保護權(quán)限特征API調(diào)用特征

3.2 改進聚類算法

聚類算法[8-9]是研究分類問題的統(tǒng)計分析方法，也是數(shù)據(jù)挖掘的重要算法。聚類分析由若干模式組成，在一般情況下，模式是一個度量向量或是多維空間的點。聚類分析的基礎(chǔ)是相似度的判定，聚類算法將所要研究的數(shù)據(jù)對象以簇為單位進行劃分，在簇內(nèi)的數(shù)據(jù)對象的相似度高于簇外的相似度，也就是說本簇內(nèi)的各數(shù)據(jù)對象具有很高的相似度，而不同簇的數(shù)據(jù)對象相似度較低。因不同的移動應用根據(jù)其功能在申請的權(quán)限和API調(diào)用等特征中，會體現(xiàn)出一定的相似性，因此，本模型選擇聚類算法作為移動應用安全評估算法是切實可行的。

圖1 評估模塊

目前主要的聚類算法可以劃分為如下幾類：劃分法(Partitioning Methods)、層次法(Hierarchical Methods)、基于密度的方法(density-based methods)、基于網(wǎng)格的方法(grid-based methods)、基于模型的方法(Model-Based Methods)。

層次法(Hierarchical Methods)對給定的數(shù)據(jù)集進行層次似的分解，直到某種條件滿足為止。具體又可分為“自底向上”和“自頂向下”兩種方案。例如，在“自底向上”方案中，初始時每一個數(shù)據(jù)紀錄都組成一個單獨的組，在接下來的迭代中，它把那些相互鄰近的組合并成一個組，直到所有的記錄組成一個分組或者某個條件滿足為止。代表算法有ROCK算法、BIRCH算法、CURE算法、CHAMELEON算法等。

ROCK算法是一種經(jīng)典的凝聚型層次聚類算法，該算法主要特點是以簇之間的關(guān)聯(lián)性作為依據(jù)來判定聚類。ROCK算法具有良好的抗干擾性和伸縮性，從而使其可以更好地處理稀疏數(shù)據(jù)和多維數(shù)據(jù)。根據(jù)移動APP的特點，其權(quán)限申請和API調(diào)用等特征數(shù)據(jù)的特點均是稀疏的、多維的、多變的。故本文選用ROCK算法作為移動APP權(quán)限特征和API調(diào)用的數(shù)據(jù)分析方法，并對ROCK算法的局限性進行改進，使其更好地應對移動互聯(lián)網(wǎng)復雜多變的安全威脅。

ROCK算法定義了簇間的鏈接，即Link作為簇間相似度的判別標準。

ROCK算法采用杰卡德相似度(Jaccard)作為數(shù)據(jù)點之間的衡量準則。杰卡德相似度的定義如式(1)所示。

(1)

其中，Pi、Pj為兩個數(shù)據(jù)點，即均是一個包含若干元素的集合，Jaccard相似指數(shù)用來度量兩個集合之間的相似性，它被定義為兩個集合交集的元素個數(shù)除以并集的元素個數(shù)。

如果兩個數(shù)據(jù)點，即Pi、Pj的相似度達到了閾值θ，這兩個數(shù)據(jù)點就是鄰居。閾值θ用戶可以根據(jù)需求自行指定，但有一準則就是θ值越大，則對判定鄰居的要求越高，反之則對鄰居的要求越低。

鏈接即為兩個對象的共同鄰居數(shù)量，ROCK算法最大的特點就是聚類分析以簇間鏈接作為判定準則。

數(shù)據(jù)點之間的鏈接定義為，兩數(shù)據(jù)點間公共的鄰居數(shù)，如式(2)所示。

(2)

其中，Mi與Mj分別為點pi與pj的鄰居列表。兩點間的鄰居數(shù)量越多，則兩點間的聯(lián)系越緊密。

簇間鏈接數(shù)的定義如式(3)所示。

(3)

其中，pq和pr分別為Ci與Cj兩個簇中的任意兩點。該公式的結(jié)果為Ci與Cj的簇間鏈接數(shù)是本簇中所有點分別與對方簇中所有點間的鏈接數(shù)之和。

與此同時，為了計算數(shù)據(jù)集中的所有簇間的鏈接數(shù)，定義了一個鏈接矩陣，首先根據(jù)相似度閾值計算各個簇的近鄰，得到一個近鄰矩陣B，如式(4)所示。

(4)

若點pi與pj為近鄰是A中的元素則xij為1，否則為0，然后將L=B*B，即可得出n維矩陣的最初鏈接矩陣。

聚類算法中一個首要需要解決的問題就是確定聚類分析中最終形成的簇是否為最優(yōu)選擇。為了使簇內(nèi)關(guān)聯(lián)性加強，故采用鏈接來評判傳統(tǒng)的ROCK算法。準則函數(shù)的定義如式(5)所示。

(5)

其中，Ci為任意一個簇，θ為相似度的閾值，此數(shù)據(jù)可以根據(jù)用戶需求認為確定，ni為Ci簇中數(shù)據(jù)點的個數(shù)，pq和pr為同一簇內(nèi)兩個不同的點。計算所得結(jié)果表示當一組數(shù)據(jù)的聚類過程中有K個簇存在時，此次聚類分析的整體優(yōu)劣程度，Ei的值最大時則為最優(yōu)的聚類。

這里面需要說明的是f(θ)根據(jù)數(shù)據(jù)集模型和研究目的得出的相似度經(jīng)驗公式，該公式在ROCK算法中的定義如式(6)所示。

(6)

根據(jù)以上說明，ROCK算法的研究者對于聚類行為給出了指導函數(shù)，聚類指導函數(shù)的定義如式(7)所示。

(7)

此公式的結(jié)果為Ci、Cj兩個簇之間實際鏈接數(shù)與期望鏈接數(shù)的比值，結(jié)果越大，表明鏈接越緊密，故每次聚類均選擇此公式結(jié)果最大簇進行聚類。

上述定義表明ROCK算法進行層次聚類的一個傳統(tǒng)流程，即需要用戶自己給定所需的相似度閾值θ和想要建立的簇的個數(shù)K，根據(jù)指定的數(shù)計算出各點的鄰居和鄰居間的鏈接數(shù)，最后根據(jù)聚類指導函數(shù)進行簇間合并，指導形成用戶所希望的k個簇為止。根據(jù)上述過程，我們可以看出ROCK聚類算法對于多維數(shù)據(jù)和數(shù)據(jù)類型限制性不高，并且可以更加便于我們掌握數(shù)據(jù)的全局信息。但是聚類算法的局限性和缺點也是顯而易見的，其中最主要的表現(xiàn)為需要用戶認為指定鄰居相似度的閾值。但是對于絕大多數(shù)用戶而言，并不具備可以以最優(yōu)方式合理選取閾值的能力和經(jīng)驗。閾值過大會導致數(shù)據(jù)點間鄰居數(shù)過少，從而不能對數(shù)據(jù)更好地進行聚類。閾值過小，又會導致聚類中鄰居過多，數(shù)據(jù)聚類的質(zhì)量過低。移動應用所要聚類的應用權(quán)限和API調(diào)用的數(shù)據(jù)集，隨著移動APP越來越廣泛的復雜應用，我們根本無法很好地確定閾值[9]。

鑒于ROCK聚類算法的不足，對該算法提出改進。ROCK算法實際上在處理過程中是將鄰居間的相似度進行了一個極限處理，也就是說當兩點間的相似度大于閾值時，就將兩者認為絕對相同，即相似度取1，否則為0。這樣的極限算法很容易出現(xiàn)一些不合理鄰居的出現(xiàn)，故本文提出了一個不合理鄰居的剔除方法。

第一步，計算點pi的鄰居列表中所有點與pj的相似度之和的均值。

(8)

其中，N為pi的相似度閾值取值為0時的鄰居個數(shù)，ave_sim(i)是pi所有鄰居結(jié)點與其相似度的平均值。

第二步，引入了方差的概念，方差[10]是衡量源數(shù)據(jù)和期望值相差的度量值，即研究其數(shù)據(jù)的偏離程度，如式(9)所示，在這里對剔除不合理鄰居有重要的意義。

(9)

其中，n為pi的相似度閾值取值為0時的鄰居個數(shù)，s(i)2是pi所有鄰居結(jié)點與其相似度的方差。

第三步，計算點pi的鄰居列表中所有點與pj的相似度方差之和的均值，定義如式(10)所示。

(10)

其中ave_s(i)2為pi的鄰居列表中所有點與pj的相似度方差之和的均值，當sim(pi,pj)>ave_sim(i)并且s(i)2

本次算法的改進可以有效避免ROCK算法的主要不足，成功避免人工選取閾值，改進算法通過均值和方差的計算，可以在閾值極限化的情況下合理選擇相似度，同時有效避免了個別鄰居的波動性和離散型。

4 結(jié)論

基于移動應用靜態(tài)評估模型的研究，評估過程需要經(jīng)過預處理模塊、特征提取模塊、特征序列模塊、特征匹配聚類模塊及輸出模塊[11]。

在預處理模塊中，平臺需要移動應用樣本作為基礎(chǔ)數(shù)據(jù)庫。樣本來源于安卓市場、蘋果商店、惡意代碼樣本庫及日常工作積累。本次評估導入惡意代碼樣本5 367份，非惡意代碼6 893份。同時，在導入被測移動應用前，進行脫殼、脫密及源碼混淆恢復處理。

在特征提取模塊中，平臺對被測移動應用自動進行逆向操作，智能解析移動應用的配置文件、源碼等基礎(chǔ)文件，分析權(quán)限申請、API調(diào)用、組件、控制流、數(shù)據(jù)流等，并通過讀取逆向破解、篡改打包等工具的執(zhí)行反饋信息，獲得逆向特征及篡改等相關(guān)特征[11]。

在特征序列模塊中，平臺將提取的屬性及特征按算法需要進行序列、歸類及組合等處理，并進行存儲。

在特征匹配聚類模塊中[12]，平臺通過智能特征匹配及識別算法，生成與移動應用安全評估控制點相對應的映射。運用改進的聚類模塊，對權(quán)限特征序列及API調(diào)用特征序列進行聚類處理，生成移動應用的最相近惡意類型。通過對已知惡意代碼1 000份及非惡意代碼1 000份的評估測試，原聚類算法評估準確率為89.57%，改進后的聚類算法評估準確率為93.61%，準確性明顯提高。

在輸出模塊中，平臺輸出與移動應用安全評估控制點相對應的評估結(jié)果，控制點包括基本要求的身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性，以及擴展的應用保護、存儲保護和隱私保護控制點。輸出內(nèi)容包括特征解析結(jié)論、代碼片段、詳細列表、惡意類型等信息，植入廣告片段、替換資源文件、重新簽名的安裝包，獲得的服務器請求地址列表、發(fā)送郵件的地址列表、發(fā)送短信或通話的手機號碼列表、程序包結(jié)構(gòu)解析等信息，用于進一步的篡改驗證、動態(tài)調(diào)試、滲透等的測試及分析。

通過理論研究與實踐應用設(shè)計的移動應用靜態(tài)評估模型，實現(xiàn)了智能特征匹配，并改進了聚類算法，有效提高了評估準確性。

移動互聯(lián)網(wǎng)的熱潮，促進了經(jīng)濟社會的發(fā)展，同時，存在隱患的移動應用正在威脅著個人隱私，悄悄吞噬公眾利益，危害公共安全。針對移動應用的信息系統(tǒng)安全工作艱巨而迫切，需要社會各界的努力，共建移動互聯(lián)的大安全。

[1]中國互聯(lián)網(wǎng)協(xié)會,國家互聯(lián)網(wǎng)應急中心.中國移動互聯(lián)網(wǎng)發(fā)展狀況及其安全報告(2016)[R].北京，2016.

[2]VARGAS R,HUERTA R,SAO C.Security controls for Android[C].Computational Aspects of Social Networks(CASoN),2012 Fourth International Conference on,2012:212-216.

[3]CHARLIE MILLER,DION BLAZAKIS,DINO DAIZOVI.iOS Hacker′s Handbook[M].New York:John Wiley & Sons,2012.

[4]陳建民.面向移動應用安全評估的多屬性專家決策模型及應用研究[D].北京:北京工業(yè)大學,2014.

[5]李寅,范明鈺,王光衛(wèi).基于反編譯的Android平臺惡意代碼靜態(tài)分析[J].計算機系統(tǒng)應用,2012(11):187-189.

[6]魏松杰,楊鈴:基于分層API調(diào)用的Android惡意代碼靜態(tài)描述方法[J].計算機科學,2015,42(1):155-158.

[7]SEHMIDT AUBREY-DERFICK,BYE RAINER,SEHMIDT HANS GUNTHER,et al.Static analysis of executables for collaborative malware detection on Android[C].Proceedings of the 2009 IEEE international conference on Communications(ICC′09).Dresden,Germany,2009:63 l-635.

[8]李向東,夏冰,鄭秋生.Android應用軟件安全測評方法研究[J].信息安全與通信保密，2014(9):133-135.

[9]GUHA S,RASTOGI R,SHIM K.ROCK.A robust clustering algorithm for categorical attributes[C].Data Engineering,Proceedings,15th International Conference on.IEEE,1999:512-521.

[10]江海峰,莊健.概率論與數(shù)理統(tǒng)計[M].合肥：中國科技大學出版社,2013.

[11]RASSAMEEROJ I,TANAHASHI Y.Various approaches in analyzing Android applications with its permission-based security models[C].Electro/Information Technology(EIT),2011 IEEE International Conference on.IEEE,2011:1-6.

[12]ARMANDO A,MERLO A,VERDERAME L.An empirical evaluation of the android security framework[M].Security and Privacy Protection in Information Processing Systems.Springer Berlin Heidelberg,2013:176-189.

(責任編輯：劉劃 英文審校：趙亮)

Security evaluation model of APP in mobile internet

YUE Qian

(Information Center,Institute of Applied Ecology,Chinese Academy of Sciences,Shenyang 110180,China)

In the era of mobile internet,mobile APPS penetrate in people′s work and life.The security of mobile APPS and the security evaluation of information system for mobile APPS have become increasingly the focus.This paper studied a static assessment model of mobile applications by extracting and analyzing the important attributes and characteristics of mobile APPS.The study shows the improved clustering algorithm for the assessment can lead to a significant improvement in the accuracy.

mobile internet;APP;security assessment model;clustering

2016-09-20

岳倩(1984-),女,山東嘉祥人，工程師，主要研究方向：信息安全、數(shù)據(jù)挖掘，E-mail:yueqian@iae.ac.cn。

2095-1248(2016)05-0068-06

TP392

A

10.3969/j.issn.2095-1248.2016.05.013