安卓移动智能终端的恶意软件检测与分析方法

摘要

智能手机已经成为人们必不可少的移动设备，与此同时，这也为黑客部署恶意软件和传播病毒提供了温床。智能手机上的恶意软件数量呈现爆炸式增长，目前迫切需要一个安全分析与检测系统。一个有效的检测与分析系统需要解决以下几个问题:如何方便分析、研究、关联大量的移动应用程序？如何自动收集和管理大量的移动恶意软件？如何进行信息提取，发现与现有的恶意软件类似的恶意逻辑，并快速识别新的恶意代码段？如何分析一个Zero_Day可疑应用程序，并与现有的恶意软件家族进行比较或关联呢？
　　针对这几个问题，本论文的主要工作如下:
　　1、本文详细分析了Android平台的安全机制，归纳了移动恶意软件特征以及发展趋势，同时分析了Android恶意软件检测现有技术。
　　2、本文设计了一个基于签名的自动收集、提取、分析和关联Android恶意软件的检测与分析系统MSAnalytics。该系统采用可扩展爬虫技术实现恶意软件库的自动收集，解析APP程序，根据API调用序列，依次生成方法、类、应用程序的签名，即三级签名，有效识别重新包装恶意软件，实现可疑恶意软件与应用程序的类关联。
　　3、本文利用MSAnalytics检测Zero_Day重新包装的恶意软件。该方法根据相似性得分进行分簇，同时使用注入包的名称来标注其恶意软件家族的名称。实验结果显示，使用MSAnalytics成功地检测到了3个重新包装的Zero_Day恶意软件家族:AisRs，AIProvider，G3app。通过对这三个重新包装Zero_Day恶意软件家族进行分析，验证了MSAnalytics系统检测Zero_day重新包装的恶意软件的有效性。
　　4、本文分别通过对重组恶意软件、代码混淆恶意软件、动态负载恶意软件进行试验，对MSAnalytics的分析能力进行测试。实验采用包含150，368个Android应用程序的数据集，证明了MSAnalytics的有效性。实验从102个不同的家族成功地确定2，494个Android恶意软件，其中有244个是来自六个不同家族的Zero_Day恶意软件样本。
　　实验证明，本文设计的MSAnalytics系统可以有效地分析恶意软件的重新包装和突变，具有较好的检测与分析能力，能揭示操作码级别的恶意逻辑。

目录

声明

摘要

1 绪论

1．1 研究背景

1．2 研究现状

1．3 本文研究内容

1．4 本文组织结构

2 Android相关安全机制及移动恶意软件

2．1 Android平台综述

2．2 Android安全机制

2．2．1 传统访问控制

2．2．2 基于权限的安全模式

2．2．3 隔离(沙盒)

2．2．4 应用程序签名

2．2．5 加密

2．3 恶意软件及其检测技术综述

2．3．1 恶意软件特征分析

2．3．2 恶意软件发展趋势

2．3．3 恶意软件检测现有技术分析

2．4 本章小结

3 恶意软件检测与分析方法研究

3．1 基于签名的恶意软件检测技术难点分析

3．2 MSAnalytics的设计

3．2．1 MSAnalytics中可扩展爬虫(Extensible Crawler)模块设计

3．2．2 MSAnalytics中动态负载探测(Dynamic Payloads Detector)模块设计

3．2．3 MSAnalytics中APP程序解析(APP Informations Parser)模块设计

3．2．4 MSAnalyties中签名生成(SignatureGenerator)模块设计

3．3 本章小结

4 基于MSAnalytics系统的Zero_Day恶意软件检测

4．1 Zero_day恶意软件

4．2 基于MSAnalytics的Zero_Day恶意软件检测

4．3 检测结果分析

4．3．1 AisRs家族

4．3．2 AIProvider家族

4．3．3 G3app家族

4．4 本章小结

5 MSAnalytics系统综合实验与验证

5．1 实验样本

5．2 基于签名系统的效用研究

5．2．1 重组恶意软件分析

5．2．2 代码混淆恶意软件分析

5．2．3 结合附件或动态负载恶意软件分析

5．3 MSAnalytics的分析能力

5．3．1 基本信息

5．3．2 权限递归

5．3．3 相似性度量

5．3．4 关联类

5．4 本章小结

6 总结与展望

6．1 总结

6．2 展望

致谢

参考文献

附录