一種基于傳感器的Android應(yīng)用行為分析技術(shù)

楊 頻, 冉 濤, 張 磊, 劉 易

(四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院， 成都 610064)

1 引 言

Android平臺(tái)憑借其開放性和生態(tài)圈的豐富多樣性，吸引了大量的開發(fā)者，也包括惡意攻擊者.由于現(xiàn)有的安卓系統(tǒng)沒有統(tǒng)一的入口，很多惡意軟件能夠輕易地繞過官方市場(chǎng)，進(jìn)入普通用戶的設(shè)備.因此,針對(duì)惡意軟件的檢測(cè)一直是安全領(lǐng)域的一個(gè)重要研究.

大多數(shù)惡意軟件主要通過調(diào)用系統(tǒng)的特定API來獲取用戶信息.因此，目前識(shí)別惡意軟件的方法主要以API調(diào)用分析為主，劉凱等人[1]以API調(diào)用為基礎(chǔ)，提出一種基于圖卷積網(wǎng)絡(luò)的惡意代碼聚類檢測(cè)方法.趙翠镕等人[2]通過提取真機(jī)的API序列進(jìn)行惡意代碼檢測(cè)從而避免反虛擬機(jī)檢測(cè).Zhang等人[3]則是通過抽象API調(diào)用產(chǎn)生的行為語義來實(shí)現(xiàn)惡意代碼檢測(cè).Jung等人[4]則是通過構(gòu)建良性與惡性API列表來提高檢測(cè)準(zhǔn)確度.還有其他檢測(cè)方法：例如，Utku等人[5]實(shí)現(xiàn)了一個(gè)基于權(quán)限的多層感知系統(tǒng)用于檢測(cè)惡意軟件.劉曉建等[6]、葛文麒等人[7]通過對(duì)應(yīng)用數(shù)據(jù)流進(jìn)行分析，提取特征值來識(shí)別應(yīng)用行為.AppIntent[8]提出一種基于數(shù)據(jù)轉(zhuǎn)移來判斷應(yīng)用程序是否可疑的方法.目前已有研究表明應(yīng)用行為模式分析[9-10]比數(shù)據(jù)流分析更能揭示應(yīng)用存在的惡意性.目前的研究都沒有考慮到設(shè)備狀態(tài)這一技術(shù)點(diǎn)，但是設(shè)備的實(shí)時(shí)狀態(tài)在反映應(yīng)用行為惡意性這一點(diǎn)有更加明顯迅速的優(yōu)勢(shì).

為了彌補(bǔ)大多數(shù)基于API的行為分析研究與設(shè)備外部狀態(tài)割裂造成的研究不準(zhǔn)確，本文提出一種基于傳感器的應(yīng)用行為分析方法，該方法通過生成多元時(shí)序：設(shè)備外部狀態(tài)時(shí)序、應(yīng)用API調(diào)用時(shí)序和當(dāng)前系統(tǒng)GUI首屏?xí)r序，基于多元時(shí)序數(shù)據(jù)提出一種惡意行為識(shí)別算法來識(shí)別應(yīng)用的惡意性.本文主要貢獻(xiàn)如下：(1) 設(shè)計(jì)并實(shí)現(xiàn)一種推算設(shè)備實(shí)時(shí)狀態(tài)的算法，能利用傳感器數(shù)據(jù)計(jì)算出當(dāng)前設(shè)備的外部狀態(tài)；(2) 設(shè)計(jì)了一種Android平臺(tái)下高效準(zhǔn)確的打樁方法，能通過該方法獲取API調(diào)用的時(shí)序數(shù)據(jù)；(3) 提出一種分析應(yīng)用行為的三元時(shí)序模型，以及基于該模型數(shù)據(jù)的惡意行為識(shí)別算法，并通過典型案例驗(yàn)證了模型的準(zhǔn)確性.

2 基于傳感器的應(yīng)用行為識(shí)別技術(shù)

相對(duì)于常規(guī)行為分析的靜態(tài)分析模塊用來對(duì)需要分析的APK進(jìn)行打樁外，本文還有采集器模塊用來采集傳感器數(shù)據(jù)用于計(jì)算設(shè)備外部狀態(tài)、采集GUI首屏序列用于得出當(dāng)前前臺(tái)運(yùn)行的程序，以及分析模塊用于根據(jù)所得數(shù)據(jù)分析該應(yīng)用是否惡意行為應(yīng)用，得到如圖1的技術(shù)流程圖.

靜態(tài)分析模塊實(shí)現(xiàn)靜態(tài)分析和打樁，通過逆向APK得出smali文件，并對(duì)敏感的API調(diào)用點(diǎn)標(biāo)記輸出應(yīng)用調(diào)用該API的記錄，再重新打包APK.采集器模塊通過傳感器采集數(shù)據(jù)，并實(shí)時(shí)分析數(shù)據(jù)生成手機(jī)狀態(tài)時(shí)序得到手機(jī)的實(shí)時(shí)狀態(tài).GUI首屏采集通過實(shí)時(shí)采集系統(tǒng)首屏APP生成交互時(shí)序，用來查看當(dāng)前的前臺(tái)應(yīng)用是否目標(biāo)應(yīng)用.惡意行為分析器，基于前面得到的數(shù)據(jù)生成多元時(shí)間序列模型，用于識(shí)別應(yīng)用的惡意行為.

圖1 基于傳感器的應(yīng)用識(shí)別技術(shù)流程

2.1 傳感器數(shù)據(jù)采集與分析

為了能夠計(jì)算出設(shè)備運(yùn)行時(shí)的平放、翻轉(zhuǎn)、手持、靜止等外部狀態(tài)，本文設(shè)計(jì)了一種計(jì)算設(shè)備實(shí)時(shí)狀態(tài)的算法，該算法通過對(duì)加速度傳感器的數(shù)據(jù)進(jìn)行分析，最后，計(jì)算出當(dāng)前設(shè)備處于的狀態(tài).例如當(dāng)俯仰角角度為-180°左右，此時(shí)如果設(shè)備移動(dòng)加速度小于1，通過上述算法就能推斷出此時(shí)設(shè)備處于反扣靜止?fàn)顟B(tài).所以需要對(duì)傳感器中的加速度傳感器數(shù)據(jù)進(jìn)行采集.

Android系統(tǒng)定義的傳感器框架使用3軸坐標(biāo)系來表示數(shù)據(jù)值.對(duì)于大多數(shù)傳感器，當(dāng)設(shè)備處于默認(rèn)屏幕方向時(shí)，會(huì)相對(duì)于設(shè)備屏幕來定義坐標(biāo)系(如圖2).當(dāng)設(shè)備處于默認(rèn)屏幕方向時(shí)，X軸為水平方向右延伸，Y軸為垂直方向向上延伸，Z軸為垂直于屏幕向外延伸.

由于人體受脈搏跳動(dòng)影響，在人處于靜止不動(dòng)狀態(tài)時(shí)，捕獲到的移動(dòng)加速度傳感器數(shù)值基本都是大于1.通過移動(dòng)加速度的大小可以判斷此時(shí)設(shè)備是處于靜止的平面，還是在用戶身上.移動(dòng)加速度公式如下式.

(1)

其中，speed是我們要求的移動(dòng)加速度，dx、dy、dz分別為加速度沿著圖2坐標(biāo)系的分量在采集時(shí)間t(單位：ms)間隔內(nèi)的增量.

圖2 Android傳感器坐標(biāo)系

設(shè)備狀態(tài)計(jì)算算法思路：首先根據(jù)加速度在各方向的絕對(duì)值大小確定設(shè)備當(dāng)前主要操作，然后,根據(jù)對(duì)應(yīng)增量來判斷具體情況.例如,當(dāng)|z|>|y|&&|z|>|x|時(shí)，再根據(jù)z此時(shí)的值是否大于0來判斷設(shè)備是正面向上還是正面向下.

2.2 應(yīng)用靜態(tài)分析及打樁

目前的靜態(tài)打樁主要是針對(duì)需要分析的應(yīng)用進(jìn)行逆向分析，然后得到二進(jìn)制代碼插入可執(zhí)行代碼段輸出自己需要的內(nèi)容.由于Android應(yīng)用還包含了大量的資源文件以及一些配置文件，所以在打樁之后會(huì)有一個(gè)打包過程，打包的同時(shí)會(huì)對(duì)包進(jìn)行簽名.Android對(duì)于APK的簽名有著嚴(yán)格的驗(yàn)證，當(dāng)發(fā)現(xiàn)當(dāng)前簽名包與官方簽名值不一致的時(shí)候，就會(huì)進(jìn)行異常簽名處理.文獻(xiàn)[11]提出利用Android的“Master Key”漏洞將修改過后的Dex文件植入原Apk文件.鑒于本文的目的僅僅是為了分析應(yīng)用的行為，所以這里直接采用第三方簽名，雖然不同于官方簽名，但是能保證APK正常運(yùn)行，也能達(dá)到分析應(yīng)用行為的目的.

圖3展示了針對(duì)APK靜態(tài)分析以及打樁的具體流程，通過逆向工具對(duì)需要追蹤的APK進(jìn)行解包，反編譯生成Smali文件，分析Smali文件在需要進(jìn)行追蹤的位置進(jìn)行污點(diǎn)日志輸出，然后重新打包并簽名生成可執(zhí)行APK.

為了得到APK對(duì)應(yīng)的二進(jìn)制運(yùn)行文件，需要用分析工具將APK解碼，分析工具一般使用Apktool，它可以將APK解碼成資源文件形式，也能將解碼后的資源文件重新打包成APK.打樁器主要用于向Smali文件中添加Smali語法的Log方法，用于輸出對(duì)應(yīng)API調(diào)用的日志記錄.

圖3 靜態(tài)分析與打樁流程圖

為更加高效地追蹤API，本文提出一種結(jié)合AndroidManifest配置文件的高效打樁方法.該方法通過提取配置文件中的Uses-Permission權(quán)限列表，然后通過分析權(quán)限列表針對(duì)性的打樁.相對(duì)于根據(jù)敏感API普遍撒網(wǎng)式的打樁，它根據(jù)實(shí)際使用權(quán)限對(duì)應(yīng)的API進(jìn)行打樁，更加高效明確.

打樁語法如下所示.

1) const-stringv0, "u8c03u7528u6444"

2) invoke-static{v1,v0}, Landroid/util/Log;->i(Ljava/lang/String;Ljava/lang/String;)I

第一行定義了要輸出的日志內(nèi)容.引號(hào)內(nèi)的Unicode內(nèi)容是日志里面輸出的內(nèi)容，可以根據(jù)要記錄的內(nèi)容自定義，放在寄存器v0里面.第二行執(zhí)行android系統(tǒng)方法Log方法，用于打印日志信息.v1寄存器是tag用于查看日志時(shí)快速區(qū)分，一般是使用應(yīng)用的包名.當(dāng)需要記錄某個(gè)API調(diào)用的時(shí)候只需要在調(diào)用指令處，添加以上內(nèi)容就能在調(diào)用該API的時(shí)候輸出對(duì)應(yīng)的日志.

2.3 GUI首屏?xí)r序獲取

應(yīng)用是否處在與用戶交互的狀態(tài)，對(duì)于判斷其行為是否具有惡意性是一個(gè)很重要的指標(biāo).GUI首屏數(shù)據(jù)能很好地反映應(yīng)用是否處于與用戶交互狀態(tài).為了方便后期分析應(yīng)用行為，本文在采集GUI首屏數(shù)據(jù)的時(shí)候，加上了時(shí)間戳形成了時(shí)序序列.GUI首屏也就是應(yīng)用棧棧頂APP，更細(xì)分就是棧頂APP的對(duì)應(yīng)的Activity.對(duì)于移動(dòng)應(yīng)用來說，除了在跟用戶直接交互之外，其他時(shí)候都判定為后臺(tái)時(shí)刻.本文把首屏?xí)r序作為識(shí)別惡意行為的一個(gè)非常重要的參考因子,因?yàn)榻^大多數(shù)惡意行為都是在后臺(tái)悄悄進(jìn)行的.

Android5.0以前可以通過ActivityManager獲取位于棧頂?shù)膽?yīng)用包名，但是5.0以后Google對(duì)此做了限制，只允許獲取桌面包名和自身應(yīng)用的包名.因此本文通過UsageStatsManager來獲取棧頂應(yīng)用包名.UsageStatsManager是使用情況記錄類，通過它可以獲取應(yīng)用的使用情況，應(yīng)用在前臺(tái)的時(shí)間、次數(shù)等.

2.4 惡意行為分析器

惡意行為分析器主要通過分析傳入的首屏記錄、API調(diào)用記錄和設(shè)備狀態(tài)記錄來確定應(yīng)用行為的惡意性.每條記錄在輸出的時(shí)候都會(huì)標(biāo)記當(dāng)前系統(tǒng)時(shí)間戳，這就使得不相關(guān)的數(shù)據(jù)能通過時(shí)間線合并成一個(gè)多元時(shí)間序列，作為最終分析的數(shù)據(jù)來源.

如圖4所示，本來互不相關(guān)的設(shè)備外部狀態(tài)、API調(diào)用記錄和GUI首屏通過時(shí)間相互之間聯(lián)系在一起有了交集E.

圖4 多元時(shí)序原理

2.4.1 應(yīng)用行為惡意性分類 根據(jù)彭國軍等人[12]的研究表明，android惡意軟件特征主要體現(xiàn)在其惡意負(fù)載上，主要有特權(quán)提升、遠(yuǎn)程控制、話費(fèi)吸取、隱私竊取和自我保護(hù)這5類，具體如下.

1) 特權(quán)提升：通過利用android漏洞，突破android的權(quán)限機(jī)制和沙盒機(jī)制，允許惡意軟件進(jìn)行特權(quán)操作；

2) 遠(yuǎn)程控制：遠(yuǎn)程控制信息回傳，更新本地惡意功能等；

3) 話費(fèi)吸?。和ㄟ^手機(jī)的短信功能，偷偷利用短信功能定制服務(wù)并從中牟利；

4) 隱私竊取：獲取用戶的各種隱私信息，例如通訊錄，定位，通話錄音，背景錄音，拍照，通話記錄等，這些信息多用于進(jìn)行進(jìn)一步攻擊的前奏；

5) 自我保護(hù)：Android惡意軟件開始采用商業(yè)級(jí)代碼保護(hù)技術(shù)，造成自動(dòng)化靜態(tài)分析失敗，人工反匯編反編譯困難，啟發(fā)式檢測(cè)、已知特征檢測(cè)等難度加大.

2.4.2 惡意行為識(shí)別 為了能夠更加準(zhǔn)確地識(shí)別應(yīng)用行為的惡意性，在推斷之前需要進(jìn)行時(shí)序數(shù)據(jù)的過濾.根據(jù)時(shí)序數(shù)據(jù)我們可以分為Wa:API調(diào)用時(shí)序,Wg: GUI時(shí)序，Wp:設(shè)備狀態(tài)時(shí)序.最終需要得到We：應(yīng)用事件時(shí)序.We應(yīng)該是3個(gè)序列的交集：

We=Wa∩Wg∩Wp

(2)

首先，我們根據(jù)對(duì)應(yīng)應(yīng)用的包名在Wa里面獲取應(yīng)用的API調(diào)用序列，過濾掉噪聲數(shù)據(jù)；然后，根據(jù)每次API調(diào)用記錄的時(shí)間，在Wg和Wp里面過濾掉其他的噪聲數(shù)據(jù)；最后，就得到了We用于識(shí)別應(yīng)用行為的惡意性.

在進(jìn)行應(yīng)用行為識(shí)別的時(shí)候一般有以下兩個(gè)著手點(diǎn)，一種是根據(jù)需要監(jiān)控的API著手，然后通過We得到的數(shù)據(jù)并結(jié)合設(shè)備的行為推斷當(dāng)前應(yīng)用行為的惡意性.一種是根據(jù)設(shè)備行為，先找出最能辨別出應(yīng)用高惡意性的時(shí)段(這里是靜止?fàn)顟B(tài))，然后根據(jù)這個(gè)時(shí)間段在We里面查找應(yīng)用是否做出了高敏感的API調(diào)用.兩種方法各有優(yōu)點(diǎn)，可以根據(jù)實(shí)際需求在分析的過程中靈活選擇.

3 實(shí)驗(yàn)設(shè)計(jì)與結(jié)果分析

3.1 實(shí)驗(yàn)設(shè)計(jì)

本文實(shí)驗(yàn)環(huán)境：紅米note5a，Android7.0，采集應(yīng)用授予傳感器權(quán)限，不限制后臺(tái)用電，未root.不限制后臺(tái)用電是防止采集應(yīng)用被系統(tǒng)回收，不能正常采集數(shù)據(jù).

(a)完全靜止桌面

為了評(píng)估更加的準(zhǔn)確，本文首先驗(yàn)證了人手持設(shè)備靠桌靜止下的設(shè)備加速度和設(shè)備放在靜止的桌面上的設(shè)備加速度如圖5，由于脈搏跳動(dòng)的影響，人始終都在振動(dòng)，所以手持設(shè)備如圖5(b)就算人完全保持靜止?fàn)顟B(tài)，設(shè)備得到的加速度還是要大于設(shè)備處于完全靜止的桌面圖5(a).然后通過典型案例驗(yàn)證了模型對(duì)惡意應(yīng)用識(shí)別的準(zhǔn)確性，以及一個(gè)黑盒測(cè)試驗(yàn)證模型的識(shí)別能力.

3.2 實(shí)驗(yàn)結(jié)果

為驗(yàn)證本文模型識(shí)別的準(zhǔn)確性，本文從Drebin[13]惡意樣本庫提取出了Установщик，在靜態(tài)打樁階段分析其主要權(quán)限請(qǐng)求里面包括讀取聯(lián)系人，發(fā)短信等敏感API操作.從而判斷其惡意行為可能是利用短信進(jìn)行的扣費(fèi)行為，所以在驗(yàn)證本文提出方法的可行性時(shí)，主要是針對(duì)短信調(diào)用API打樁，然后在經(jīng)過一段時(shí)間的日志抓取之后，從中得到圖6的行為記錄，圖中各頂點(diǎn)與交點(diǎn)代表右邊對(duì)應(yīng)的事件，其中設(shè)備明顯處于閑置狀態(tài)，手機(jī)屏幕向下翻轉(zhuǎn)，首屏APP是小米自帶的桌面管理器.然后，能明顯看到Установщик發(fā)送了一條短信.以上證明本文系統(tǒng)能夠準(zhǔn)確地識(shí)別應(yīng)用的惡意行為.

接著本文以聚會(huì)相片一款偽裝成相片管理的惡意應(yīng)用作為行為分析對(duì)象，通過本文提出的基于權(quán)限高效打樁方法，對(duì)聚會(huì)相片APP進(jìn)行打樁并運(yùn)行采集行為，發(fā)現(xiàn)這款應(yīng)用安裝之后桌面并不顯示其圖標(biāo)，在其運(yùn)行過程中采集到其行為如圖7，發(fā)現(xiàn)該應(yīng)用在非人為操作情況下會(huì)向固定手機(jī)號(hào)碼和郵箱發(fā)送信息對(duì)應(yīng)圖最高頂點(diǎn)和次高頂點(diǎn)，根據(jù)該異常行為，最后，調(diào)試發(fā)現(xiàn)該應(yīng)用在手機(jī)接收短信之后攔截短信，并發(fā)送到其指定郵箱和手機(jī).以上實(shí)驗(yàn)證明本文提出的方法能有效地識(shí)別惡意行為，方便安全人員調(diào)試.

最后，為驗(yàn)證模型能識(shí)別未知惡意行為，本文采用黑盒測(cè)試的方法來驗(yàn)證識(shí)別未知行為的能力，在不知道樣本具體惡意行為的前提下，對(duì)樣本進(jìn)行行為分析，然后得到圖8所示行為圖，根據(jù)行為圖我們得到以下分析：傳感器數(shù)據(jù)表明此時(shí)設(shè)備處于正面向下靜止?fàn)顟B(tài)，17點(diǎn)27分4秒應(yīng)用調(diào)用了攝像頭，如圖8中次高頂點(diǎn)顯示，然后幾秒之后應(yīng)用產(chǎn)生了一次網(wǎng)絡(luò)請(qǐng)求，圖8最高頂點(diǎn)顯示，而且這些操作都是在后臺(tái)完成，圖中首屏顯示為小米桌面管理.根據(jù)該行分析為有理由認(rèn)為該樣本具有惡意性，因?yàn)樵跓o人操作的情況下，應(yīng)用在后臺(tái)自動(dòng)拍照，并進(jìn)行了網(wǎng)絡(luò)請(qǐng)求，其行為包含惡意行為中的第2條遠(yuǎn)程控制和第4條隱私竊取.

圖6 Установщик行為分析圖

圖7 聚會(huì)相片行為分析圖

圖8 黑盒測(cè)試行為分析圖

3.3 實(shí)驗(yàn)對(duì)比

為了更直觀地對(duì)比本方法的功能，本文選用了Mobile-Security-Framework(MobSF)[14]一個(gè)使用python實(shí)現(xiàn)的惡意樣本分析平臺(tái)，選擇其主要原因是MobSF是基于經(jīng)典開源分析平臺(tái)Androguard[15]實(shí)現(xiàn)，并在其基礎(chǔ)上增加了新版本系統(tǒng)的支持，以及一些優(yōu)化.選擇的測(cè)試樣本是從Drebin惡意樣本庫中選取的一款短信類惡意軟件Установщик.通過MobSF分析該樣本得到的結(jié)果圖9所示，以下主要展示了其基礎(chǔ)信息、安全分析以及惡意性分析模塊的截圖.通過分析結(jié)果我們能看到，MobSF會(huì)對(duì)APP有一個(gè)比較全面的分析，結(jié)果會(huì)羅列出APP的基礎(chǔ)信息和各種組件數(shù)量，以及用到的一些權(quán)限，并針對(duì)一些高風(fēng)險(xiǎn)的權(quán)限標(biāo)記dangerous，然后在安全分析以及惡意分析里面僅僅給出了可能存在高風(fēng)險(xiǎn)的操作，并不能捕獲到具體的惡意行為.MobSF并未像本文提出的基于傳感器的應(yīng)用行為識(shí)別那樣，能直接捕獲到應(yīng)用的惡意行為如圖6，并且本文提出的方法捕獲到的行為能作為有力的取證分析切入點(diǎn)或者證據(jù).兩者主要對(duì)比如表1所示.

圖9 MobSF下Установщик分析結(jié)果

表1 本文方案與MobSF對(duì)比

4 結(jié) 論

本文針對(duì)應(yīng)用惡意行為識(shí)別提出一種基于傳感器的應(yīng)用行為識(shí)別方法.針對(duì)目前API識(shí)別都忽略的設(shè)備狀態(tài)問題，設(shè)計(jì)了一個(gè)基于傳感器的設(shè)備狀態(tài)時(shí)序、API使用時(shí)序和GUI首屏?xí)r序的三元時(shí)序模型，以及一個(gè)基于該模型的惡意行為識(shí)別器，用于識(shí)別應(yīng)用行為的惡意性.通過典型案例驗(yàn)證了模型對(duì)惡意應(yīng)用識(shí)別的準(zhǔn)確性，利用黑盒測(cè)試驗(yàn)證模型的識(shí)別能力，從而證明該方法的有效性，最后通過一個(gè)對(duì)比實(shí)驗(yàn)，演示了本文方法相對(duì)于現(xiàn)有方法更加直觀更加高效.