基于Android恶意行为分析的移动终端取证研究

摘要

近几年，随着移动互联网的高速发展，巨大的经济利益亦驱使信息安全危机和移动互联网犯罪的数量急剧上升，灰色产业和恶意软件的频频出现令更多的移动网民成为黑客攻击的目标。通过技术和法律手段对移动互联网犯罪进行取证与遏制，已经成为各国司法机构当前迫切需要解决的难题。故面向Android恶意行为进行移动终端取证的研究变得越来越重要，已经成为移动终端取证科学重要的分支之一。　　本文对移动终端取证的研究现状和技术水平进行总结，立足于电子证据的法律规范和传统移动终端取证模型的局限，提出一种基于关联分析的移动终端取证模型，发现电子证据之间潜在的关联。在证据收集阶段，利用逆向工程技术对Android应用权限进行预处理，建立WAFP-Max挖掘模型提取Android恶意行为序列，自动判断事务数据集的稠密程度，兼顾Android应用权限的出现频率与权重，减少“稀有数据项”的丢失率。在证据识别阶段，利用余弦距离进行Android恶意行为序列匹配，深入研究Android恶意软件家族之间的衍变关系，计算未知应用程序在Android恶意软件家族层次代码特征库中的代码相似度，预测未知应用程序的Android恶意行为类型。在证据生成阶段，本文将自定义的动态共享库注入至 Linux内核层，利用monkey脚本实现未知应用程序的自动化测试，根据可疑恶意行为对敏感API的申请调用进行动态监控，并在移动终端设备中观察“监控日志”或“拦截日志”。　　通过实验可以发现：在Android恶意行为序列匹配方面，WAFP-Max挖掘模型比频繁模式增长策略准确率更高，误报率和漏报率更低。本文设计的移动终端取证平台（PC端与移动端）可以完成基于Android恶意行为分析的移动终端取证工作，识别可疑代码是否会引发Android恶意行为，分析和记载其在移动终端设备中的执行情况和资源调用。

目录

声明

第1章 绪论

1.1 研究背景和意义

1.2 国内外研究现状

1.3 论文的主要工作

1.4 论文的组织结构

第2章 移动终端取证的研究基础与方法设计

2.1 移动终端取证的基本理论

2.2 移动终端取证的工作流程

2.3 数据挖掘在移动终端取证中的应用

2.4 本章小结

第3章 基于关联分析的Android恶意行为序列提取

3.1 Android操作系统安全策略分析

3.2 Android应用程序反编译与逆向工程技术

3.3 基于WAFP-Max的Android恶意行为序列挖掘

3.4 基于余弦距离的Android恶意行为序列匹配

3.5 本章小结

第4章 基于代码特征的Android动态监控取证设计

4.1 Android应用程序软件包代码特征提取

4.2 自定义动态共享库注入与IPC通信

4.3 基于自动化的目标恶意行为动态监控

4.4 本章小结

第5章 实验验证与结果分析

5.1 实验环境

5.2 实验结果与分析

5.3 本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢