Android系统恶意代码检测技术研究

摘要

随着移动互联网的高速发展，各种各样的智能移动终端设备已经逐渐在人们的生活与工作中得到普及，而在多种智能移动设备的操作系统当中，Android系统凭借其优秀的性能与方便易用等特点，在智能移动设备中的占有率最大。而正是由于Android系统的流行，传统的病毒和木马制作者开始将矛头从PC端逐渐转移指向了智能移动终端，使得近年来具有恶意代码的Android应用程序被大量发现，这些应用对用户信息安全与财产安全造成了极大的危害。
　　Android系统恶意代码数量之大、变种之多，根本原因在于Android系统开源的特点。恶意代码制作者可以基于逆向工具对现有的应用程序进行反编译、修改，从而加入具有恶意功能的代码再次发布。本文通过收集大量的Android系统恶意代码样本并进行分析，总结出恶意代码的运行机理，并针对如何快速而有效地检测Android系统恶意代码进行了深入研究。
　　首先，根据恶意代码的运行机理与实现特点，研究了在Android系统恶意代码检测中的三种关键技术：第一是针对在恶意代码中大量存在的重打包现象，提出了基于签名的黑白名单检测方法，和基于模糊哈希的相似度检测方法；第二是针对恶意代码中的权限滥用现象，提出了一种基于权限功能比的恶意代码检测方法，并对其做了优化与改进；第三是分析了现有的恶意代码动态行为监视技术的不足并对其进行了改进。
　　其次，结合本课题已有的研究基础，提出了一种基于支持向量机的Android系统恶意代码检测模型。针对恶意代码与正常应用的主要区别，分别提取出应用的多种特征信息并进行处理，通过对模型的训练与参数调整，最终建立了一个适用于Android系统的有效的恶意代码检测模型。
　　最后，设计并实现了一个Android恶意代码联合检测系统AMJD。针对智能移动终端与现有检测服务器的性能特点，该系统设计为由快速检测与深度检测两种引擎联合工作。通过将本文所研究的恶意代码检测关键技术与模型有效结合，详细介绍了联合检测系统的组成结构与两个检测引擎中的主要功能模块，并从多个角度对该系统的恶意代码检测性能做了测试。

目录

封面

中文摘要

英文摘要

目录

第1章 绪 论

1.1 课题来源

1.2 课题研究背景和意义

1.3 国内外研究现状

1.4 本文工作内容及组织结构

第2章 Andro id应用分析技术基础

2.1 Android系统简介

2.2 Android系统恶意代码运行机理

2.3 Android应用逆向技术

2.4 传统恶意代码检测关键技术

2.5 本章小结

第3章 Andro id系统恶意代码检测关键技术

3.1 恶意代码重打包检测技术

3.2 恶意代码权限滥用检测技术

3.3 动态行为监视技术与改进

3.4 本章小结

第4章 Andro id系统恶意代码检测模型

4.1 SVM理论基础

4.2 检测模型总体设计

4.3 数据准备与处理

4.4 基于SVM分类的检测模型

4.5 模型测试与分析

4.6 本章小结

第5章 Andro id恶意代码联合检测系统

5.1 AMJD系统结构设计

5.2 智能移动端的快速检测引擎

5.3 服务器端的深度检测引擎

5.4 AMJD系统测试

5.5 本章小结

结论

参考文献

攻读硕士学位期间发表的论文及其他成果

声明

致谢