基于文件访问规则的Android恶意应用动态检测方法研究

摘要

随着移动网络的普及以及4G时代的到来，Android终端占据了主要的市场份额，但是由于Android平台的开发性，使其在拥有强大用户粘度的同时，也面临着巨大的安全问题。目前，针对Android应用的检测方法分为静态安全检测与动态安全检测。而静态检测方法只针对已知病毒有效，无法检测到恶意路径是否真正被执行。动态安全检测恰好弥补了这点不足，在运行待测应用的过程中检测其是否触发恶意行为。但目前动态检测方法在针对so库恶意代码注入与.odex文件修改方面还存在深度不足，检出率较低等问题。
　　本论文从文件访问规则的角度着手，针对Android应用动态检测技术进行研究，通过研究内核定制技术，实现对待测应用文件访问行为的监控，提高检测深度。同时，为实现待测应用的快速，高效判断，本文从三个纬度出发定制文件访问规则库，提高检出率，从而降低误报率。
　　本论文的主要工作内容有以下几点:
　　(1)提出一种基于文件访问规则的Android恶意应用动态检测方法。该方法首先定制合适的Android内核，收集待测应用运行过程中的文件操作信息;接着对收集到的信息做数据清洗与数据规整，去除无关信息整理成规定格式，从而与文件规则库比对，最终判断是否为恶意应用。
　　(2)针对检测深度不足的问题，本文将监控点部署在内核层的文件操作相关的函数调用中，如打开文件，关闭文件，读文件，写文件，删除文件等。在以上内核函数中设置监控点，从而实现对文件系统的监控。解决深层恶意代码注入检测不到的问题。
　　(3)针对动态检测中存在的检测效率低，检出率较低的问题，本文定制文件访问规则库，该规则库从三个纬度出发:无时序策略集S，单文件时序策略集Q，多文件时序策略集U，实现了对各类行为的全面覆盖，提高检出率。
　　通过实验表明:本论文设计的基于文件访问规则的动态检测方法针对目前出现的新的恶意代码注入以及.odex文件修改等问题具有较高的检出率，同时误报率较低。

目录

声明

摘要

1 绪论

1．1 研究背景

1．2 国内外研究现状

1．3 论文主要工作

1．4 论文组织结构

2 Android应用动态检测技术分析

2．1 Android体系结构

2．2 Android应用软件组成结构

2．3 Android恶意应用常用技术分析

2．3．1 Android恶意应用行为方式

2．3．2 Android恶意应用入侵方式

2．4 Android安全机制

2．5 Android安全检测技术

2．5．1 应用层安全检测技术

2．5．2 内核层安全检测技术

3 基于文件访问规则的Android恶意应用检测方法

3．1 检测方法框架设计

3．2 内核行为监控

3．2．1 内核编译技术

3．2．2 系统调用劫持技术

3．2．3 用户态与内核态通信技术

3．3 行为数据分析

3．3．1 文件访问规则库

3．3．2 数据清洗

3．3．3 数据规整

4 Android应用动态检测系统设计与实现

4．1 系统需求分析

4．2 系统整体设计

4．2．1 总体结构设计

4．2．2 处理流程设计

4．2．3 硬件部署设计

4．3 内核监控子系统

4．3．1 打开文件行为监控模块

4．3．2 用户态与内核态通信模块

4．4 数据分析子系统

4．4．1 数据清洗模块

5 系统测试与结果分析

5．1 测试环境配置

5．2 系统运行测试

5．3 检测结果分析

6．1 全文总结

6．2 课题展望

参考文献

攻读硕士学位期间发表的论文及所取得的研究成果

致谢