基于动态行为分析的Android软件恶意行为实时检测

摘要

近年来，随着Android移动智能终端的普及应用，Android恶意软件也呈现爆发式的增长，严重影响了智能终端用户的财产安全和隐私信息安全。因此，如何实时监测和拦截Android软件恶意行为是目前的研究热点之一。
　　现有的Android恶意软件检测方法大致可分为静态分析和动态分析两类。静态分析缺乏运行上下文，易被恶意软件开发者刻意规避，但其分析速度快，因此多用于应用市场上软件的批量离线分析;而现有的大多数动态分析技术或者侧重于权限使用分析、或者侧重API调用分析，并且难以在终端上实际部署并实时拦截软件恶意行为。针对上述问题，本论文研究了基于动态行为序列分析的Android软件恶意行为的实时检测技术，并实现了一套Android软件恶意行为检测系统。具体工作主要包括以下三个方面:
　　1.研究了Android软件动态行为监测技术，并在此基础上开发了自动化测试平台用于批量部署Android应用并采集数据。通过定制Android系统，实现污点标记追踪技术完成对API调用的监测，并设置框架层和内核层权限检查监测点完成对系统权限使用的监测。在开发的自动化测试平台上利用模拟器和Monkey工具自动化部署并测试恶意软件1243个和谷歌市场非恶意软件12582个，采集应用样本行为数据13825条。
　　2.研究了Android恶意软件离线盲识别技术和恶意行为在线实时检测技术。在不依赖恶意软件行为特征先验知识的前提下，设计了基于字符串子序列SSK核函数的恶意软件离线识别技术。在此基础上，将离线盲识别的模型结果作为提取敏感序列的依据，人工提取24条敏感行为序列，将是否匹配敏感行为的子序列作为分类属性，并结合其他动态行为属性和用户相关属性设计了软件恶意行为在线实时识别技术。
　　3.整合Android软件动态行为监测技术和恶意行为在线识别技术，设计并实现了Android软件恶意行为检测系统，可以在线识别并拦截智能终端上运行的应用软件的恶意行为。
　　综上所述，本论文研究了Android系统API调用和权限使用的实时监测技术，并通过部署应用自动化测试平台收集软件样本行为数据，在此基础上完成对Android软件恶意行为的智能识别和处理方法的研究，并实现了一套异常行为检测和处理软件，从而保障用户使用Android系统的安全性。

目录

声明

摘要

图形目录

表格目录

第一章 引言

1．1 研究背景与意义

1．2 研究现状

1．2．1 Android系统体系结构和安全机制

1．2．2 Android安全模型扩展技术

1．2．3 Android恶意软件检测技术

1．3 研究目标和内容

1．3．1 研究目标

1．3．2 研究内容

1．4 论文组织结构

第二章 Android软件恶意行为检测系统总体设计

2．1 需求分析

2．1．1 功能需求

2．1．2 性能需求

2．2 系统框架设计

2．2．1 监测拦截模块

2．2．2 分析判别模块

2．2．3 进程间通信模块

2．2．4 用户交互模块

2．3 本章小结

第三章 基于自动化测试平台的应用行为数据采集

3．1 Android软件行为的实时监测

3．1．1 基于污点标记追踪的API调用监测

3．1．2 框架层和内核层的权限使用监测

3．1．3 API调用和权限使用序列数据的归并

3．2 应用自动化测试平台的设计

3．2．1 测试平台的设计

3．2．2 测试平台运行流程

3．3 本章小结

第四章 Android软件恶意行为的智能识别

4．1 智能识别问题描述和评价指标

4．1．1 问题描述和解决思路

4．1．2 采用的评价指标

4．2 基于SSK核函数的恶意软件离线盲识别

4．2．1 基于SSK核函数的支持向量机分类算法

4．2．2 基于SSK核函数的恶意软件离线盲检测

4．2．3 实验结果及分析

4．3 基于敏感序列分析的恶意行为在线检测

4．3．1 敏感序列的提取

4．3．2 敏感序列的匹配

4．3．3 恶意行为的在线检测

4．3．4 实验结果及分析

4．4 本章小结

第五章 Android恶意行为检测原型系统

5．1 原型系统实现

5．1．1 进程间通信模块

5．1．2 监测拦截模块

5．1．3 分析判别模块

5．1．4 用户交互模块

5．2 原型系统测试

5．2．1 测试环境

5．2．2 功能测试

5．2．3 性能测试

5．3 本章小结

第六章 总结与展望

6．1 研究成果总结

6．2 未来工作展望

参考文献

致谢

攻读硕士学位期间论文发表和专利申请情况

攻读硕士学位期间参加的项目

作者简介