基于组件和行为相似性的Android恶意代码检测研究

摘要

近年来，随着移动互联网的飞速发展以及应用APP的兴起，以智能手机为代表的智能设备给人们的生活带来了极大的便利，同时也成为了人们日常生活中必不可少的工具。Android系统因为其开源的特性而受到各大厂商的喜爱，从而成为移动平台上的主流操作系统。在Android系统市场份额不断提高的同时，Android恶意代码已成为危害Android系统用户信息和财产安全的主要因素。根据百度手机卫士最新发布的互联网移动安全报告，Android平台恶意代码已成爆发式增长，如何有效的检测Android平台下恶意代码成为了移动安全领域研究和讨论的重点。
　　本文主要对Android平台恶意代码进行检测，在结合传统检测方法的基础上，提出了恶意因子与组件相似性两方面的静态检测以及调整余弦相似度的代码行为数据分析的动态检测方法，并实现了相应的检测系统原型。本文主要工作包括：
　　对Android平台下恶意代码的检测技术进行了研究，在此基础上提出了本文的检测方法。首先，本文对Android系统的框架结构、系统关键服务进程进行了介绍，分析了Android系统和应用的安全机制，指出了系统和应用安全机制存在的缺陷，并介绍了恶意代码的相关检测技术。接下来本文通过各种技术手段深入分析Android系统上的恶意代码，总结其所常用的各种恶意技术手段，如ELF加密技术、动态加载技术、数据窃取技术等，发现了其所常用API。最后在已知的检测技术上，利用上述两点研究内容，提出了基于静态代码恶意因子的检测方法、基于应用代码组件相似性的检测方法和基于调整余弦相似度的代码行为数据分析方法。首先通过静态代码恶意因子的检测方法，静态遍历应用的权限和组件信息，计算出应用的恶意因子，然后利用组件相似性的检测方法，检测应用是否为重打包的恶意样本，最后通过动态注入技术获得应用运行时的行为数据，利用调整余弦相似度算法计算应用同相同类型的恶意代码行为数据的相似度。通过结合这三种检测方法对应用进行检测，最终给出应用的检测报告。
　　设计、实现并测试了Android平台下恶意代码的检测系统原型。基于上述提出的恶意因子和组件相似性的静态分析方法，实现了检测系统的静态快速检测；通过调整余弦相似度算法，实现了应用代码行为数据的动态检测。该检测系统能够全面的对Android平台上的恶意代码进行检测，不仅可以避免动态加载、代码混淆等技术干扰，而且可以提高恶意代码的检测速度，减轻分析人员的工作量。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1研究背景及意义

1.2国内外研究现状

1.3主要研究内容

1.4论文组织结构

第二章 相关技术分析

2.1 Android操作系统

2.2 Android系统与应用安全分析

2.3 Android恶意代码特征分类

2.4 Android平台下恶意代码常用技术分析

2.5 CydiaSubstrate框架动态注入技术

2.6本章小结

第三章 恶意代码检测关键技术

3.1恶意代码常用权限和行为研究

3.2基于静态代码恶意因子的检测方法

3.3基于应用代码组件相似性的检测方法

3.4基于动态注入技术的代码行为监控检测方法

3.5基于调整余弦相似度的代码行为数据分析方法

3.6本章小结

第四章 系统设计与实现

4.1总体框架设计

4.2系统模块设计与实现

4.3本章小结

第五章 检测系统原型测试

5.1测试环境

5.2功能模块单元测试

5.3系统集成测试

5.4测试结果及分析

5.5本章小结

第六章 总结与展望

6.1论文工作总结

6.2后续工作展望

致谢

参考文献

攻读硕士学位期间取得的成果