面向安卓应用程序通信机制的恶意攻击检测技术研究

摘要

为了促进组件之间应用功能的复用和数据共享，Android体系中提供一种供组件之间交流的通信机制，即通过发送Intent启动组件或发送广播，Intent中可以携带数据。Android应用程序在系统中运行时被隔离在独立的沙箱之中，应用程序之间可以利用这种Intent机制打破这种隔离进行通信。恶意应用可以利用这种机制对其他应用程序发起Intent劫持、Intent欺骗等攻击，与此同时恶意应用之间可以通过这种机制共谋，相互协作完成恶意行为，从而绕过传统检测技术。　　本文介绍了针对这种应用程序之间通信机制中的攻击问题而提出的系统级组件间交流分析技术(SIAT)的设计和实现。该系统包括两个关键模块：Monitor模块和Analyzer模块。Monitor对Android原生系统进行扩展，结合动态污点分析技术，尝试通过系统范围的跟踪和深度分析，识别组件之间的通信交流以及相关数据流。Analyzer模块对Monitor模块获取的监控日志进行分析，来构建还原组件间交流过程的模型并通过模型检测其中的攻击行为。　　本文通过执行SIAT对知名数据集、本文开发的测试数据集及应用市场中的应用程序进行大量的实验来对评估SIAT的准确性、实用性和性能。实验结果表明，与先进的方法DIALDroid、Amandroid、Xmandroid相比，SIAT可以以1.0的精确率和0.98的召回率实现更高的准确性。在GooglePlay应用市场上下载的大量应用程序中，SIAT能够从其中检测出存在攻击行为的通信过程的应用程序对。与此同时，通过将Monitor和原生系统对比以及Analyzer模块的大量实验，证实了SIAT系统的开销非常有限，处理单个应用程序对的总时间开销小于200ms。　　我们的主要贡献概括如下：　　1.我们提出了由Monitor和Analyzer组成的SIAT，这是一种更准确的系统方法通过跟踪和分析敏感的Intent数据检测应用间通信机制的攻击。　　2.Monitor，这是一个Android框架扩展，可通过系统范围的跟踪和对污染数据的准确分析，在运行时监视ICC中的Intent传输和数据流。　　3.Analyzer，一种用于构建威胁模型的方法，该方法通过接管Monitor提供的污点日志来识别特定的威胁模型。　　4.通过对恶意软件和良性应用程序进行了广泛的实验，评估了SIAT的性能。这些应用程序由几个著名的数据集和数千个真实的Android应用程序组成。

目录

声明

第1章绪论

1.1 研究背景和意义

1.2 国内外研究现状

1.2.1 面向单个应用程序的分析技术

1.2.2 面向应用程序对的分析技术

1.3 本文的主要工作及章节安排

第2章 Android 机制基础

2.1 Android 体系结构

2.1.1 系统架构

2.1.2 四大组件

2.1.3 应用程序包文件结构

2.2 Android 安全机制

2.2.1 应用沙箱

2.2.2 Android 权限框架

2.2.3 数字签名机制

2.3 组件间通信机制

2.3.1 Intent

2.3.2 Intent-filter

2.3.3 Intent 和 Intent-filter匹配

2.4 组件间通信机制中的安全威胁

2.4.1 Intent 劫持

2.4.2 Intent 欺骗

2.4.3 应用共谋攻击

2.5 本章小结

第3章组件间通信中的攻击检测方法设计与实现

3.1 系统整体设计

3.2 Monitor 模块的设计与实现

3.2.1 Monitor模块总体设计原理

3.2.2 识别 Intent 中的敏感数据

3.2.3 识别发送 Intent 的应用程序

3.2.4 识别接收 Intent 的应用程序

3.2.5 识别 Intent 中数据的利用点

3.3 Analyzer 模块的设计与实现

3.3.1 Analyzer模块总体设计原理

3.3.2 构建 ICC模型

3.3.3 规范化 ICC模型

3.3.4 识别 ICC模型中的攻击行为

3.4 本章小结

第4章实验结果与分析

4.1 准确性测试

4.1.1 准确率总体比较

4.1.2 细节比较

4.1.3 绕过的实例

4.2 实用性测试

4.3 性能测试

4.3.1 Monitor性能

4.3.2 Analyzer性能

4.4 本章小结

结 论

一、主要工作总结

二、未来工作展望

参 考 文 献

附录 A 攻读学位期间所参与的项目列表

致 谢