【正文】 本系統(tǒng)在對(duì)Apk文件進(jìn)行簡(jiǎn)單分析的情況下，借助強(qiáng)大的機(jī)器學(xué)習(xí)工具以及特征處理方法的創(chuàng)新和改進(jìn)，能夠在惡意軟件監(jiān)測(cè)中達(dá)到90%左右的準(zhǔn)確率實(shí)屬不易。結(jié)果：交叉驗(yàn)證準(zhǔn)確率為87%結(jié)論：準(zhǔn)確率較測(cè)試方案4沒有明顯的提升，說(shuō)明創(chuàng)新性的分級(jí)、分類處理尚未達(dá)到最佳，也可能是沒有調(diào)整好額外特征權(quán)值以及閾值的因素。e)對(duì)于剔除后的訓(xùn)練集采用以下處理：通過對(duì)特征頻數(shù)的統(tǒng)計(jì)，將特征分為三類：一類為黑白樣本中均頻數(shù)較高且相差不多的特征；二類為黑白樣本中頻數(shù)差距明顯的特征；剩下的特征為第三類。將95個(gè)權(quán)限作為單個(gè)樣本的95個(gè)特征，樣本使用的權(quán)限對(duì)應(yīng)特征值為1，未使用的對(duì)應(yīng)特征值為0。測(cè)試目的如下：1） 由于Libsvm機(jī)器學(xué)習(xí)算法所得的Model準(zhǔn)確性與所采用的樣本的完備性以及樣本標(biāo)簽的準(zhǔn)確性有很大的關(guān)系，在測(cè)試過程中選擇出合適的樣本數(shù)量以及樣本集。這里檢測(cè)permission的選擇與加權(quán)所要考慮的因素大致有：權(quán)限使用率、黑白樣本權(quán)限使用差別等。設(shè)置完成后即可運(yùn)算得出相應(yīng)的Model及其準(zhǔn)確率。值得注意的是，訓(xùn)練樣本集和測(cè)試數(shù)據(jù)集的縮放要同時(shí)進(jìn)行，或者使用在對(duì)訓(xùn)練樣本集scale時(shí)利用s參數(shù)得到的range范圍文件作為參數(shù)對(duì)測(cè)試數(shù)據(jù)集進(jìn)行scale，以保證一致性，不然預(yù)測(cè)的效果可能不是很好。當(dāng)然，這樣也方便了后人根據(jù)自己的需求進(jìn)行改進(jìn)程序。線性可分主要是指，在二元分類中，存在一個(gè)超平面，使得訓(xùn)練樣本中的兩類不同的輸入分別劃到該超平面的兩側(cè)。為解決此問題，就需要在保證分類精度（即減小經(jīng)驗(yàn)風(fēng)險(xiǎn)）的同時(shí)，降低學(xué)習(xí)機(jī)器的VC維，從而使得學(xué)習(xí)機(jī)器在整個(gè)樣本集上的期望風(fēng)險(xiǎn)得到控制，這就是結(jié)構(gòu)風(fēng)險(xiǎn)最小化（SRM）原則的基本思想。在兩元分類的情況下，y值可以定義為y={0,1}，是二值函數(shù)。其中，url為所下載文件的源地址，path是文件下載后的保存路徑，thread num是下載的線程數(shù)。在該文件中，如果某個(gè)id對(duì)應(yīng)的是string，那么該文件會(huì)直接包含該值，如果id對(duì)應(yīng)的資源是某個(gè)layout或者drawable資源，那么該文件會(huì)存入對(duì)應(yīng)資源的路徑。它位于我們開發(fā)的應(yīng)用程序的根目錄下，描述了package中的全局?jǐn)?shù)據(jù)，包括package中暴露的組件（activities, services, 等等），以及他們各自的實(shí)現(xiàn)類，各種能被處理的數(shù)據(jù)和啟動(dòng)位置等重要信息。并且，任何一個(gè)應(yīng)用程序都可以發(fā)布自身的功能模塊，而其他應(yīng)用程序則可以使用這些已發(fā)布的功能模塊。由于基于特征代碼檢測(cè)的上述特性，本系統(tǒng)輔以基于權(quán)限統(tǒng)計(jì)分析的檢測(cè)方案。使用Google提供的apktool對(duì)Android軟件權(quán)限進(jìn)行提取，（“userspermissions”），對(duì)大量樣本的所有權(quán)限使用情況進(jìn)行機(jī)器學(xué)習(xí)運(yùn)算，利用libsvm工具箱得出預(yù)測(cè)model，進(jìn)而用model對(duì)Android軟件是否為惡意軟件進(jìn)行檢測(cè)。 Android 定義了上百種系統(tǒng)權(quán)限，所涉及的功能包括：拍照，訪問網(wǎng)絡(luò)，地理位置定位等?；诎酌麊蔚牡哪Ｐ秃秃诿麊文Ｐ拖喾矗饕獙?duì)合法行為進(jìn)行建模，可以有效的檢測(cè)未知惡意軟件，但在實(shí)際應(yīng)用中，由于合法行為占據(jù)了較大比例，要對(duì)其進(jìn)行充分的抽象具有極大的挑戰(zhàn)，從而引起誤報(bào)。在檢測(cè)到的銀行木馬中，某些銀行木馬甚至能夠直接從銀行賬號(hào)實(shí)施錢財(cái)竊取。但是，中國(guó)用戶可能無(wú)法直接訪問谷歌應(yīng)用商店，大都是通過國(guó)內(nèi)第三方Android市場(chǎng)下載應(yīng)用，而谷歌無(wú)法控制第三方的應(yīng)用商店。在安卓軟件中，惡意代碼數(shù)量呈指數(shù)增長(zhǎng)，并且出現(xiàn)了多種對(duì)抗分析、檢測(cè)、查殺的技術(shù)；應(yīng)用軟件和數(shù)字內(nèi)容的版權(quán)不斷遭到侵害，軟件破解、軟件篡改、廣告庫(kù)修改和植入、惡意代碼植入、應(yīng)用內(nèi)付費(fèi)破解等普遍存在；應(yīng)用軟件本身的安全漏洞頻繁出現(xiàn)在國(guó)內(nèi)外互聯(lián)網(wǎng)企業(yè)的產(chǎn)品中，數(shù)據(jù)泄露和賬戶被盜等潛在風(fēng)險(xiǎn)讓人擔(dān)憂；官方系統(tǒng)、第三方定制系統(tǒng)和預(yù)裝軟件的漏洞不斷被發(fā)現(xiàn)，對(duì)系統(tǒng)安全與穩(wěn)定產(chǎn)生極大的威脅；Android應(yīng)用軟件移動(dòng)支付從概念逐步轉(zhuǎn)為實(shí)踐，而對(duì)通信技術(shù)的攻擊、對(duì)算法和協(xié)議的攻擊時(shí)常發(fā)生；移動(dòng)設(shè)備正融入辦公環(huán)境，但移動(dòng)平臺(tái)的攻擊與APT攻擊結(jié)合的趨勢(shì)日益明顯。隨著手機(jī)惡意軟件愈演愈烈的增長(zhǎng)之勢(shì)，越來(lái)越多的手機(jī)惡意軟件以獲取用戶的錢財(cái)為目的，其使用的手段也日趨復(fù)雜。用戶選擇了需要檢測(cè)的安卓軟件之后，系統(tǒng)會(huì)自動(dòng)調(diào)用我們預(yù)設(shè)的相關(guān)的模型對(duì)軟件進(jìn)行處理分析，最終給出一個(gè)參考的結(jié)果；（2）符合時(shí)代需求。在黑色產(chǎn)業(yè)鏈中，駭客通過技術(shù)手段將非法SP提供的扣費(fèi)號(hào)段植入到應(yīng)用中，實(shí)現(xiàn)惡意吸費(fèi)。新型安卓惡意應(yīng)用程序不斷涌現(xiàn)。網(wǎng)絡(luò)罪犯開始越來(lái)越多地使用代碼混淆技術(shù)，即故意制造復(fù)雜的代碼，這為惡意軟件的分析工作增加了很大的難度。而簽名信息，除非原作者的私鑰泄露， 被黑客獲取， 一般情況下不可能和原簽名信息一致。同時(shí)利用svm工具，根據(jù)機(jī)器學(xué)習(xí)來(lái)構(gòu)造檢測(cè)系統(tǒng)。方案二實(shí)現(xiàn)的過程中，我們不斷對(duì)Android權(quán)限的篩選和加權(quán)情況進(jìn)行優(yōu)化和修改，直到使Model的準(zhǔn)確率達(dá)到難以繼續(xù)提高的數(shù)值。 Android 定義了上百種系統(tǒng)權(quán)限，所涉及的功能包括：拍照，訪問網(wǎng)絡(luò)，地理位置定位等。 Android運(yùn)行庫(kù)包括核心庫(kù)和Dalvik虛擬機(jī)，前者既兼容了大多數(shù)Java語(yǔ)言所需要調(diào)用的功能函數(shù)，又包括了Android的核心庫(kù)，比如 、。而在安裝apk包時(shí)，應(yīng)用管理器會(huì)按照同樣的算法對(duì)包里的文件做校驗(yàn)，如果校驗(yàn)結(jié)果與METAINF下的內(nèi)容不一致，系統(tǒng)就不會(huì)安裝這個(gè)apk。這時(shí)，病毒屏蔽SF發(fā)來(lái)的確認(rèn)短信，不讓用戶看到，再次偷偷發(fā)送確認(rèn)短信給SP，然后刪除相關(guān)短信。（1） 機(jī)器學(xué)習(xí)1)機(jī)器學(xué)習(xí)模型與定義機(jī)器學(xué)習(xí)[35]的目的是根據(jù)給定的訓(xùn)練樣本求得系統(tǒng)輸入、輸出之間的關(guān)系的，使系統(tǒng)能夠?qū)ζ渌袨樽鞒鲎羁赡苷_的預(yù)測(cè)。即用的結(jié)果來(lái)估計(jì)，即我們只需要通過得到經(jīng)驗(yàn)風(fēng)險(xiǎn)的最小化來(lái)進(jìn)行使期望風(fēng)險(xiǎn)最小化。這就是為什么出現(xiàn)過學(xué)習(xí)現(xiàn)象的原因。那么我們應(yīng)該選擇那一種超平面作為應(yīng)用呢？我們首先規(guī)定超平面集中的一個(gè)超平面（即圖中的直線）法線方向，如圖314所示，直線H代表是以為法向量的超平面，而且H能夠正確劃分二元分類樣本。下面具體介紹下該工具包的使用。而gnuplot是個(gè)綠色軟件，放到一個(gè)固定路徑即可。 在使用Matlab進(jìn)行權(quán)限分析時(shí)，同樣根據(jù)方案一的測(cè)試情況，對(duì)樣本集、測(cè)試集的權(quán)限特征進(jìn)行相應(yīng)的加權(quán)處理。隨著我們對(duì)本系統(tǒng)的進(jìn)一步完善，準(zhǔn)確性一直在不斷提高。 系統(tǒng)方案二的大樣本測(cè)試，選取黑白共計(jì)1005個(gè)樣本進(jìn)行l(wèi)ibsvm訓(xùn)練，其中白樣本來(lái)源于hiapk安卓網(wǎng)隨機(jī)下載的應(yīng)用，經(jīng)過360病毒查殺。c)，得到特征矩陣的過程與系統(tǒng)實(shí)驗(yàn)一種的過程相同。d)通過對(duì)特征頻數(shù)的統(tǒng)計(jì)，將特征分為三類：一類為黑白樣本中均頻數(shù)較高且相差不多的特征；二類為黑白樣本中頻數(shù)差距明顯的特征；剩下的特征為第三類。針對(duì)Android系統(tǒng)權(quán)限的這一特性，本系統(tǒng)在基于權(quán)限分析的Android惡意軟件監(jiān)測(cè)方案中，使用Apk文件的permission特征組成特征矩陣，并且對(duì)特征矩陣進(jìn)行篩選、加權(quán)、優(yōu)化權(quán)值的處理，進(jìn)而提高了檢測(cè)模型的準(zhǔn)確率。 ，由于其創(chuàng)新性較強(qiáng)，在具體的實(shí)現(xiàn)方面（準(zhǔn)確的分類、分級(jí)，合適的權(quán)值選擇）仍然存在一定問題尚未解決，使得最終的模型預(yù)測(cè)準(zhǔn)確率并沒有得到明顯提升。然而本系統(tǒng)在輕量級(jí)的機(jī)器學(xué)習(xí)上加入了人工的特征處理，一定程度上彌補(bǔ)了基于機(jī)器學(xué)習(xí)方案與基于深度學(xué)習(xí)方案的學(xué)習(xí)效果的差距。對(duì)4000個(gè)樣本apk，用本系統(tǒng)的方案和360殺毒同時(shí)檢測(cè)，觀察結(jié)果。1）測(cè)試文件 文件目錄與測(cè)試方案3相同，測(cè)試樣本集不同。其中，權(quán)限分類基于權(quán)限的不同功能；權(quán)限分級(jí)基于權(quán)限對(duì)Model的影響程度。2）在系統(tǒng)環(huán)境變量path中添加JDK安裝目錄。 功能本系統(tǒng)采用不同的方案對(duì)大量Android軟件樣本進(jìn)行分析，通過結(jié)合基于權(quán)限統(tǒng)計(jì)分析的檢測(cè)方法進(jìn)行機(jī)器學(xué)習(xí)，建立可預(yù)測(cè)Android軟件是否為惡意軟件的模型。反編譯結(jié)束后將得到軟件同名文件夾。Libsvm工具包中在訓(xùn)練程序中提供了多種核函數(shù)以供選擇，其中包括線性核、多項(xiàng)式核、RBF核與Sigmod核四類核函數(shù)。根據(jù)泛函的有關(guān)理論，只要一種核函數(shù)滿足Mercer條件，它就對(duì)應(yīng)某一空間中的內(nèi)積，因此只要在最優(yōu)分類面上采用適當(dāng)?shù)膬?nèi)積核函數(shù)就可以實(shí)現(xiàn)這種線性不可分的分類問題。該方法的機(jī)理可以簡(jiǎn)單描述為：尋找一個(gè)滿足分類要求的最優(yōu)分類超平面，使得該超平面在保證分類精度的同時(shí)，能夠使超平面兩側(cè)的空白區(qū)域最大化；從理論上來(lái)說(shuō)，支持向量機(jī)能夠?qū)崿F(xiàn)對(duì)線性可分?jǐn)?shù)據(jù)的最優(yōu)分類。有界實(shí)函數(shù)的VC維可以通過用一定的閾值將其轉(zhuǎn)化為指示函數(shù)來(lái)定義。2)損失函數(shù)對(duì)于一個(gè)學(xué)習(xí)機(jī)，可以定義一個(gè)損失函數(shù)，用來(lái)表示預(yù)測(cè)函數(shù)對(duì)y進(jìn)行預(yù)測(cè)時(shí)造成的損失。3）網(wǎng)絡(luò)傳輸病毒一般從兩個(gè)方面利用網(wǎng)絡(luò)：第一，在后臺(tái)聯(lián)網(wǎng)，上傳用戶的隱私信息。layout、menu、xml目錄存放的是軟件界面的布局文件，包括菜單、窗口、主界面和設(shè)置界面等。每個(gè)要安裝到OPhone平臺(tái)的應(yīng)用都要被編譯打包為一個(gè)單獨(dú)的文件，其中包含了應(yīng)用的二進(jìn)制代碼、資源、配置文件等。下圖為Android系統(tǒng)架構(gòu)圖：（1）應(yīng)用程序?qū)覣ndroid平臺(tái)不僅僅是操作系統(tǒng)，也包含了許多應(yīng)用程序，諸如SMS短信客戶端程序、電話撥號(hào)程序、圖片瀏覽器、Web瀏覽器等應(yīng)用程序。對(duì)于不同級(jí)別、組別的軟件，將根據(jù)其特征設(shè)定合適的權(quán)限個(gè)數(shù)閾值，判斷此項(xiàng)是否超過閾值的邏輯結(jié)果作為特征附加到測(cè)試集的特征中。作品設(shè)計(jì)與實(shí)現(xiàn) 系統(tǒng)方案在本系統(tǒng)中，對(duì)于Android惡意軟件檢測(cè)與評(píng)估的方案并不是一蹴而就的。 它基于每個(gè) APK 包中簽名文件具有的唯一性，使得單純的對(duì) APK 文件解壓后替換文件的篡改行為無(wú)法奏效，因此一定程度上實(shí)現(xiàn)對(duì)保護(hù)了系統(tǒng)的安全。（1）以特征碼為基準(zhǔn)的惡意軟件檢測(cè)方案本論文中以特征代碼為基準(zhǔn)的檢測(cè)（signaturebased） 采用基于字節(jié)碼特征的檢測(cè)（bytecodebased）方案。Android應(yīng)用軟件智能終端受到攻擊主要原因是用戶從Android第三方市場(chǎng)下載的軟件可以不經(jīng)檢測(cè)就放到Android軟件市場(chǎng)供用戶下載，其代碼中存在的安全漏洞是受到攻擊的根源。Android應(yīng)用軟件具有豐富的硬件選擇并且完全擺脫了運(yùn)營(yíng)商和開發(fā)商的限制。 45 / 46作品概述 安卓應(yīng)用軟件隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)日新月異地高速發(fā)展，智能終端的的功能快速增多使之逐步取代傳統(tǒng)桌面成為下一代的計(jì)算平臺(tái)。 目 錄摘要 3第一章 作品概述 5 5 6 6 7 相關(guān)工作 8 8 主流檢測(cè)方案 8 相關(guān)安全公司檢測(cè)情況 9 10 簽名機(jī)制 10 應(yīng)用程序權(quán)限控制機(jī)制 11 特色描述 11 應(yīng)用前景分析 11第二章 作品設(shè)計(jì)與實(shí)現(xiàn) 12 系統(tǒng)方案 12 方案一 12 方案二 12 方案三 13 實(shí)現(xiàn)原理 13 13 13 13 Android系統(tǒng)原理 14 Android系統(tǒng)結(jié)構(gòu) 14 APK文件及其結(jié)構(gòu) 16 Android病毒原理 17 機(jī)器學(xué)習(xí)、SVM介紹和libsvm的使用 18 軟件流程 27