基于支持向量机的Android恶意软件检测方法研究

摘要

随着科技的快速发展，智能终端已经成为人们日常生活中必不可少的移动设备。与此同时，一些开发者受到巨大经济利益的驱使，将攻击的目标瞄向了智能终端，导致智能终端的安全问题日益突出，软件市场上充斥着越来越多的恶意软件。尽管智能终端自身的安全机制较之前已经相当完善，然而系统设计过程中存在的一些漏洞依然能够被攻击者所利用。加之用户的安全意识薄弱，特别是近几年来，智能终端上的恶意软件数量己呈现指数级增长，单纯地通过修补漏洞的被动方式，己难以克服移动平台存在的安全问题。因此，越来越多的学者，将工作的重点放在了对智能终端恶意软件检测方法的研究上。
　　本文主要针对Android恶意软件的检测方法进行了研究。归纳了智能终端恶意软件的特征和发展趋势，详细分析了Android系统的安全机制，有针对性地分析了安全机制中存在的签名机制和权限控制机制安全漏洞。本文针对恶意软件的权限和行为特征，提出了基于静态恶意权限组合和基于动态危险行为组合的综合检测模型。模型中主要包括静态检测模块和动态监测模块。静态检测模块主要利用反编译技术，分析Android软件包中的相关文件，包括比对MD5值和分析配置文件中的权限信息。其中，权限分析主要是通过与恶意权限库中的恶意权限组合进行比对，判断其是否为恶意软件。动态监测模块主要利用沙盒工具对Android虚拟机上运行的软件的动态行为进行监测。重点监测软件运行中的网络流量、收发短信、访问通讯录、CPU和内存资源消耗以及电量使用等。
　　本文还针对软件行为的动态性，提出了一种基于字符串核函数的SVM分类方法。通过对样本软件中的恶意软件和正常软件的行为特征进行提取，生成训练数据。随后，对SVM分类器进行训练，生成分类模型。同时，对PC端虚拟机中运行的软件进行动态行为监测，提取其行为特征。最后利用训练好的分类模型，对待检测软件进行分类，根据分类结果判断其是否为恶意软件。
　　最后，本文通过在PC端虚拟机上的仿真实验，证明了文章中提出的恶意软件综合检测方法的可行性。同时，在MATLAB平台上，对基于字符串核函数的SVM恶意软件动态行为分类进行了实验，实验结果基本达到预期的效果。

目录

声明

摘要

1 绪论

1．1 研究背景

1．2 国内外研究现状

1．3 主要研究内容

1．4 本文组织结构

2 Android环境中的恶意软件技术分析

2．1 Android组件安全

2．1．1 Activity组件安全

2．1．2 Broadcast Receiver安全

2．1．3 Service安全

2．1．4 Content Provider安全

2．2 安全机制漏洞

2．2．1 签名机制漏洞分析

2．2．2 权限控制机制漏洞分析

2．3 Android恶意软件分析

2．3．1 恶意软件动机和目的分析

2．3．2 恶意软件特点

2．3．3 恶意软件分类

2．3．4 传播途径

2．4 本章小结

3 Android恶意软件检测方法研究

3．1 基于MD5值的检测方法研究

3．2 静态权限检测方法研究

3．2．1 Android权限机制

3．2．2 权限安全性分析

3．2．3 权限提取方法

3．3 动态行为监测方法研究

3．3．1 动态行为监测

3．3．2 动态行为分析

3．3．3 危险行为特征提取

3．4 本章小结

4 基于SVM的Android恶意软件综合检测模型设计

4．1 综合检测模块框架设计

4．1．1 总体框架设计

4．1．2 模块功能设计

4．2 综合检测模型执行流程

4．3 使用SVM的动态行为分类方法

4．3．1 SVM介绍

4．3．2 动态行为特征

4．3．3 字符串行为特征分类方法

4．4 本章小结

5 实验结果与分析

5．1 实验样本数据

5．1．1 恶意软件样本

5．1．2 正常软件样本

5．2 静态检测实验结果与分析

5．2．1 基于MD5值比对的实验结果与分析

5．2．2 静态权限检测实验结果与分析

5．3 动态行为分类使用结果与分析

5．3．1 实验结果

5．3．2 实验结果分析

5．3．3 交叉验证

5．4 本章小结

6 总结与展望

6．1 总结

6．2 展望

致谢

参考文献

攻读硕士学位期间发表的论文和出版著作情况