智能手机在近十年中迅速发展,为人们工作和生活等多方面带来了巨大的积极变化。与此同时,恶意软件在智能手机中的危害也越来越大。恶意扣费、窃取隐私、破坏手机系统等恶意攻击给智能手机用户带来了巨大的损失。与Apple公司的IOS系统相比,开源的Android手机系统更容易被恶意应用攻击。Android系统在智能手机市场上有着数以亿计的用户,因此开展Android平台的恶意应用检测研究有着重要的实际意义。
根据GDATA团队公布的2018年全年报告,新增的Android恶意样本数量约达到了400万个,与2017年同期相比增长了40%。根据360互联网安全中心披露的2018全年移动端新增恶意软件类型主要为隐私窃取、远程控制、资费消耗、恶意扣费和流氓行为,其中隐私窃取是危害性最大的攻击方式。Android恶意应用程序利用移动智能终端上普遍存在的网络连接和个人信息作为途径,如:信息、通讯录、银行证书和网页浏览历史等,来窃取敏感信息,获取非法利益,创建僵尸网络等,给用户带来巨大的经济损失,甚至导致隐私泄露的问题。在国家安全层面,通过隐蔽植入恶意应用到移动智能终端,可以获取国家经济甚至政治方面的涉密信息,导致国家对敏感信息的监管面临着严峻的挑战。
为了解决这些恶意软件的问题,衍生出了各种机器学习方法以筛选应用程序,强调模型结构的深度,突出特征学习的重要性。在这些机器学习方法中,对特征提取和分类环节所做的研究最多。在相同的实验条件下,基于深度学习的Android恶意应用检测方法往往具有相比于传统机器学习算法更优的性能。根据“特征提取”步骤中获取应用信息的方式,以是否需要运行应用作为标准,可以将恶意应用检测技术分为静态检测技术和动态检测技术:静态分析不运行待检测代码,而是通过直接对程序(如反汇编后的代码)进行统计分析得到数据特征,而动态分析则在虚拟机或沙箱中执行程序,获取程序执行过程中所产生的数据(如行为特征、网络特征),进行检测和判断。这两种方式都各有优劣,具体分析如下:
静态分析技术静态地观察未打包的应用程序,以识别可疑的数据跟踪。因为静态检测不需要运行Android应用程序,易于实施,可以并行化处理,所以现有的许多方法都是基于静态检测的。目前主流静态检测方法主要是基于特征值,如权限申请、数据流、MD5哈希,以及API(Application Programming Interface,应用程序编程接口)调用序列等原理的方法。然而,静态分析虽然有用于检测已知的威胁,但很难识别新的恶意应用程序,如零日间隔攻击等。
动态分析技术利用虚拟机或沙箱在实际设备上的实际执行来观察应用程序的行为,需要在运行时执行,监控并收集程序运行时显现的行为特征,并根据这些较为高级的特征数据实现恶意代码的分类,对实时性和运行环境要求较高,耗时更长。虽然观察到的信息正确地反映了应用程序的确切意图,但执行会导致Android操作系统的过度消耗。
根据“分类”步骤中处理应用信息的方式,可以将恶意应用检测技术分为基于特征值、基于规则和基于机器学习算法的检测技术。据数据分析,2011年之前,基于特征值和规则的检测方法占绝对优势,2011年之后,基于特征和规则的检测方法局限性日益突出,因为它们无法检测出未知的恶意应用。
然而,有几个因素阻碍了机器学习方法在实践中的良好应用。第一,识别贡献特征的困难。权限和敏感API调用是MD中最受欢迎和使用的机器学习特性。第二,很少有大型数据集可以用来训练机器学习模型。第三,测量MD方案的复杂性一直是一个挑战,特别是在恶意软件检测器的情况下。
动态分析,一般来讲,行为特征主要包括以下几个方面:文件的操作行为;注册表键值的操作行为;动态链接库的加载行为;进程访问的操作行为;系统服务行为;网络访问请求;API调用。可以看到,相对于静态分析,动态分析的过程更加复杂耗时,相对而言采用了较高层次的特征,因此可解释性也较差。
当Android恶意应用检测系统被广泛使用后,可以大大降低Android用户遭恶意APP攻击的风险,进而也会大大减少恶意APK的数量,以净化移动应用的环境,减少不必要的信息损失。然而,如果系统不够完善,反而会成为不法分子的攻击目标。所以,开发出成熟的系统具有着重大的意义。
本课题拟应用J2EE的web应用程序开发方法对安卓安装程序APK进行反编译,提取其中的重要信息,运用静态分析和机器学习对其进行分类,判断恶意应用的类型和危险程度,旨在分析出大部分已知的安卓恶意应用类型。采用软件建模技术、数据库技术设计和实现恶意应用检测子模块。通过完成这个课题加强对Android平台的了解,掌握APK文件的结构、打包、解包方法,掌握从APK文件提取关键信息的能力。完成掌握软件测试方法。掌握文献查找、阅读和归纳分析的方法,掌握论文撰写的方法。
以上是毕业论文文献综述,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
