【正文】 ）以特征碼為基準(zhǔn)的惡意軟件檢測方案本論文中以特征代碼為基準(zhǔn)的檢測（signaturebased） 采用基于字節(jié)碼特征的檢測（bytecodebased）方案。并對其定義如下：從惡意軟件的惡意代碼中提取出連續(xù)不含空格的字符串作為該惡意軟件的特征， 保存在病毒庫中， 并依靠由此構(gòu)建的病毒庫來檢測惡意軟件。因此，病毒庫須頻繁升級以應(yīng)對病毒的反檢測和新變種。同時，基于特征代碼的檢測方案具有滯后性，無法識別未知的惡意軟件。（2）以行為為基準(zhǔn)的惡意軟件檢測方案以行為（behaviorbased）為基準(zhǔn)的檢測方法又可以實現(xiàn)方式分為白名單模型和黑名單模型，黑名單模型對惡意行為進(jìn)行建模，但和基于特征代碼的檢測（signaturebased）一樣，無法檢測未知惡意程序。基于白名單的的模型和黑名單模型相反，主要對合法行為進(jìn)行建模，可以有效的檢測未知惡意軟件，但在實際應(yīng)用中，由于合法行為占據(jù)了較大比例，要對其進(jìn)行充分的抽象具有極大的挑戰(zhàn)，從而引起誤報。 相關(guān)安全公司檢測情況（1）所選取的安全軟件供應(yīng)商產(chǎn)品包名版本AVG小紅傘Symantec諾頓手機(jī)安全軟件Lookout手機(jī)保護(hù)ESETESET移動安全大蜘蛛反病毒軟件Kaspersky卡巴斯基手機(jī)安全軟件Trend micro移動安全個人版。ESTSoftALYac AndroidZonerZoner安全防護(hù)WebrootWebroot 安全和防病毒（2）惡意軟件采取技術(shù)代碼技術(shù)P改裝一分解及組裝RP包重命名EE加密本地利用或有效載荷RI重命名標(biāo)識符RF重命名文件ED編碼字符串和數(shù)組數(shù)據(jù)CR代碼重排序CI間接調(diào)用JN插入垃圾代碼AVGSymantecLookoutESETDr. WebKasperskyTrend MESTSoftZonerWebrootP一XRPXXXEEXXRIXXXEDXCRXCIXJNXRI + EEXXXXXEE + EDXXXEE + RFXXXEE + CIXXXRP + RI + EE + ED + RF + CIXXXXXXXXXX（3）部分檢測結(jié)果注：上表中的“Ｘ”表示未檢測出 簽名機(jī)制與其他一些智能手機(jī)平臺一樣， Android 也設(shè)計了自己的簽名機(jī)制。不過和其他平臺又有所不同的是， Android 應(yīng)用程序簽名標(biāo)明了 APK 的發(fā)布者，同時可以對程序的完整性和可靠性作為保證。只要黑客試圖對 APK 的內(nèi)部進(jìn)行了變動， 就必須對 APK 文件進(jìn)行重新簽名。而簽名信息，除非原作者的私鑰泄露， 被黑客獲取， 一般情況下不可能和原簽名信息一致。同時， 簽名機(jī)制在 Android 應(yīng)用程序更新時也能起到保護(hù)作用。如果用戶在更新應(yīng)用程序時，兩者的簽名信息不一致， 系統(tǒng)將會禁止此次更新。如果一個應(yīng)用程序需要使用System權(quán)限，應(yīng)用程序的簽名更需要和Framework的簽名保持一致。由此可見，在Android 的應(yīng)用程序和應(yīng)用程序框架層中，簽名機(jī)制起到了十分重要作用，進(jìn)一步保護(hù)了系統(tǒng)的安全。簽名機(jī)制主要是在 Android 安裝或更新應(yīng)用程序時生效， 是一種檢測 APK 包完整性和發(fā)布機(jī)構(gòu)唯一性的機(jī)制。 它基于每個 APK 包中簽名文件具有的唯一性，使得單純的對 APK 文件解壓后替換文件的篡改行為無法奏效，因此一定程度上實現(xiàn)對保護(hù)了系統(tǒng)的安全。 應(yīng)用程序權(quán)限控制機(jī)制權(quán)限控制機(jī)制是Android 系統(tǒng)在應(yīng)用程序框架層最核心的機(jī)制。它用于限制應(yīng)用程序的訪問系統(tǒng)的API 和資源。應(yīng)用程序必須在權(quán)限以內(nèi)運(yùn)行，而不能訪問權(quán)限外的任何資源。Android的Package Manager在程序安裝時經(jīng)用戶同意給應(yīng)用程序安裝包賦予權(quán)限，而在執(zhí)行時由應(yīng)用程序框架層驗證權(quán)限，如果應(yīng)用程序未經(jīng)申請使用了受限的資源，應(yīng)用程序會自動關(guān)閉。 Android 定義了上百種系統(tǒng)權(quán)限，所涉及的功能包括：拍照，訪問網(wǎng)絡(luò)，地理位置定位等。這些權(quán)限可以被分為普通級、危險級、簽名級和系統(tǒng)級。 特色描述本作品著眼于安卓惡意軟件的檢測。對軟件的檢測，它不局限于單一標(biāo)準(zhǔn)，而是綜合評估與計算。另外，本作品利用機(jī)器學(xué)習(xí)和權(quán)限加權(quán)，大大提高了檢測結(jié)果的準(zhǔn)確度。同時利用svm工具，根據(jù)機(jī)器學(xué)習(xí)來構(gòu)造檢測系統(tǒng)。 應(yīng)用前景分析目前，安卓手機(jī)上惡意軟件引起的安全事件層出不窮，如監(jiān)控手機(jī)的語音通話，并將這些信息發(fā)送到指定主機(jī)，還有一些一鍵root軟件實則會更改系統(tǒng)權(quán)限盜取信息等。本作品應(yīng)用市場有：（1）軟件應(yīng)用市場：可以通過本產(chǎn)品對于市場上要上架的軟件進(jìn)行檢測，作為審核上架的一道工序，以便更好地為用戶提供一個下載安全好用的軟件的地方。同時在用戶下載的時候，也可以根據(jù)本作品的檢測結(jié)果向用戶提供一些建議。（2）普通安卓手機(jī)用戶：對于不可信來源下載來的APK利用本軟件進(jìn)行檢測，參考一下是否可以放心使用該軟件。（3）軟件測試及開發(fā)人員：利用本作品對于自身的開發(fā)測試工作進(jìn)行參考。作品設(shè)計與實現(xiàn) 系統(tǒng)方案在本系統(tǒng)中，對于Android惡意軟件檢測與評估的方案并不是一蹴而就的。為此，我們一開始采用了較為直觀簡潔的檢測方案，隨后不斷嘗試對方案進(jìn)行改進(jìn)、豐富、提效。在系統(tǒng)設(shè)計的過程中，改變方案的方向不一定是正確的，因此，在制定不同方案的同時，將不同階段的方案隨時進(jìn)行效果對比，分析不同方案的優(yōu)劣，以尋找出一個或者幾個相對最優(yōu)的方案。下面介紹了本系統(tǒng)設(shè)計中Android惡意軟件檢測與評估的不同方案。 方案一對軟件的Android所有95個不同權(quán)限的使用情況進(jìn)行機(jī)器學(xué)習(xí)分析，得到基于大量權(quán)限特征的Model進(jìn)行預(yù)測。使用Google提供的apktool對Android軟件權(quán)限進(jìn)行提取，（“userspermissions”），對大量樣本的所有權(quán)限使用情況進(jìn)行機(jī)器學(xué)習(xí)運(yùn)算，利用libsvm工具箱得出預(yù)測model，進(jìn)而用model對Android軟件是否為惡意軟件進(jìn)行檢測。 方案二在Android所有95個不同權(quán)限中進(jìn)行基于安全相關(guān)性的篩選與加權(quán)，試圖提高SVM model的準(zhǔn)確率。由于apktool的反編譯過程較慢，方案二采用了更為高效的AXMLPrinter作為XML分析手段。為了進(jìn)一步提高系統(tǒng)的分析效率，并不將所有的Android權(quán)限標(biāo)簽作為SVM測試集的特征項，而是從中選擇了一部分，并且根據(jù)人為判斷的重要性給予一定的權(quán)值。而為了提高預(yù)測準(zhǔn)確率，加入了特征碼檢測過程，該過程可以以很高的準(zhǔn)確率識別出惡意軟件。方案二實現(xiàn)的過程中，我們不斷對Android權(quán)限的篩選和加權(quán)情況進(jìn)行優(yōu)化和修改，直到使Model的準(zhǔn)確率達(dá)到難以繼續(xù)提高的數(shù)值。 方案三結(jié)合方案一和方案二。在對權(quán)限進(jìn)行篩選、加權(quán)的同時，依然對所有權(quán)限進(jìn)行分類統(tǒng)計、分級統(tǒng)計的操作，統(tǒng)計出各類、各級權(quán)限的個數(shù)，并且根據(jù)設(shè)定的閾值將邏輯判斷結(jié)果作為測試集特征的一部分。方案二采用更少的特征和具有高準(zhǔn)確性的特征碼檢測，而方案一的大量特征則為SVM提供了更大的樣本空間。方案三在執(zhí)行類似方案二的過程同時，對95個權(quán)限標(biāo)簽進(jìn)行統(tǒng)計上的分類和分級。其中對權(quán)限的分類基于權(quán)限的不同功能，而權(quán)限的分級則是根據(jù)影響手機(jī)系統(tǒng)安全、用戶利益的威脅大小進(jìn)行。對于不同級別、組別的軟件，將根據(jù)其特征設(shè)定合適的權(quán)限個數(shù)閾值，判斷此項是否超過閾值的邏輯結(jié)果作為特征附加到測試集的特征中。 實現(xiàn)原理本系統(tǒng)對Android惡意軟件的檢測主要分為基于特征代碼的檢測和基于權(quán)限統(tǒng)計分析的檢測。特征代碼檢測是一種使用特征庫的檢測方法，本系統(tǒng)中的特征代碼檢測定義如下：從惡意軟件張?zhí)崛〕鋈舾啥尉哂形ㄒ恍?、固定性的字?jié)碼（如，一段特殊代碼或字符串作為該惡意軟件的特征，由上述方法構(gòu)建特征庫，通過對未知是否惡意的軟件進(jìn)行字節(jié)碼的特征庫匹配，檢測其是否為惡意軟件?；谔卣鞔a的檢測方案是現(xiàn)代病毒檢測的核心技術(shù)之一。但其存在以下缺點:1）具有滯后性，無法識別未知的惡意軟件2）字節(jié)碼特征容易通過加密和混淆的方式被改變，導(dǎo)致特征庫需要頻繁更新。由于基于特征代碼檢測的上述特性，本系統(tǒng)輔以基于權(quán)限統(tǒng)計分析的檢測方案。權(quán)限控制機(jī)制是Android 系統(tǒng)在應(yīng)用程序框架層最核心的機(jī)制。它用于限制應(yīng)用程序的訪問系統(tǒng)的API 和資源。應(yīng)用程序必須在權(quán)限以內(nèi)運(yùn)行，而不能訪問權(quán)限外的任何資源。Android的Package Manager在程序安裝時經(jīng)用戶同意給應(yīng)用程序安裝包賦予權(quán)限，而在執(zhí)行時由應(yīng)用程序框架層驗證權(quán)限，如果應(yīng)用程序未經(jīng)申請使用了受限的資源，應(yīng)用程序會自動關(guān)閉。 Android 定義了上百種系統(tǒng)權(quán)限，所涉及的功能包括：拍照，訪問網(wǎng)絡(luò)，地理位置定位等。這些權(quán)限可以被分為普通級、危險級、簽名級和系統(tǒng)級。由與Android軟件所申請的權(quán)限與其軟件的功能有著極大的相關(guān)性，使得對權(quán)限進(jìn)行分析判斷Android軟件是否惡意軟件成為可能。而Android軟件數(shù)以百萬、千萬級的龐大數(shù)量，則為使用機(jī)器學(xué)習(xí)算法對進(jìn)行權(quán)限分析、建立模型提供了有利的條件。通過對權(quán)限特征的量化，即可以使用SVM（支持向量機(jī)）分類器對大量的Android惡意軟件、非惡意軟件的樣本的權(quán)限信息進(jìn)行統(tǒng)計和建模，生成一個用于預(yù)測Android軟件是否為惡意軟件的Model。 Android系統(tǒng)原理 Android系統(tǒng)結(jié)構(gòu)Android系統(tǒng)架構(gòu)為四層結(jié)構(gòu)，從上層到下層分別是應(yīng)用程序?qū)印?yīng)用程序框架層、系統(tǒng)運(yùn)行庫層以及Linux內(nèi)核層。下圖為Android系統(tǒng)架構(gòu)圖：（1）應(yīng)用程序?qū)覣ndroid平臺不僅僅是操作系統(tǒng)，也包含了許多應(yīng)用程序，諸如SMS短信客戶端程序、電話撥號程序、圖片瀏覽器、Web瀏覽器等應(yīng)用程序。這些應(yīng)用程序都是用Java語言編寫的，并且這些應(yīng)用程序都是可以被開發(fā)人員開發(fā)的其他應(yīng)用程序所替換，這點不同于其他手機(jī)操作系統(tǒng)固化在系統(tǒng)內(nèi)部的系統(tǒng)軟件，更加靈活和個性化。（2）應(yīng)用程序框架層該層是Android應(yīng)用開發(fā)的基礎(chǔ)，開發(fā)人員大部分情況是在和她打交道。應(yīng)用程序框架層包括活動管理器、窗口管理器、內(nèi)容提供者、視圖系統(tǒng)、包管理器、 電話管理器、資源管理器、位置管理器、通知管理器和XMPP服務(wù)十個部分。在Android平臺上，開發(fā)人員可以完全訪問核心應(yīng)用程序所使用的API框 架。并且，任何一個應(yīng)用程序都可以發(fā)布自身的功能模塊，而其他應(yīng)用