畢業(yè)設(shè)計（論文）信息安全綜合設(shè)計

1、 目 錄摘要3第一章作品概述51.1背景分析51.2課題研究意義61.2.1安卓市場惡意軟件現(xiàn)狀61.2.2安卓惡意軟件檢測評估的必要性71.3 相關(guān)工作81.3.1安卓惡意軟件檢測的現(xiàn)狀 主流檢測方案 相關(guān)安全公司檢測情況91.3.2安卓惡意軟件評估相關(guān)內(nèi)容 簽名機制 應(yīng)用程序權(quán)限控制機制111.4 特色描述111.5 應(yīng)用前景分析11第二章作品設(shè)計與實現(xiàn)122.1 系統(tǒng)方案122.1.1 方案一122.1.2 方案二122.1.3 方案三132.2 實現(xiàn)原理132.2.1檢測原理基于特征代碼的檢測132.

2、2.1.2基于權(quán)限統(tǒng)計分析的檢測132.2.2 android系統(tǒng)原理 android系統(tǒng)結(jié)構(gòu) apk文件及其結(jié)構(gòu) android病毒原理 機器學習、svm介紹和libsvm的使用182.3 軟件流程272.3.1 方案一流程272.3.2 方案二流程282.4.3 方案三流程292.4 功能312.5 指標31第三章作品測試與分析323.1 測試環(huán)境搭建323.1.1 windows 8.1323.1.2 python3.4.3323.1.3 java se 8u45323.1.4 matlab 2014a323.2 測

3、試目的323.3 測試方案333.3.1系統(tǒng)方案一測試3測試方案13測試方案2333.3.2 系統(tǒng)方案二測試3測試方案33 測試方案4333.3.3系統(tǒng)方案三測試3 測試方案5333.3.4 實用性測試3 測試方案6343.4 測試過程及數(shù)據(jù)343.4.1測試方案1343.4.2測試方案2353.4.3測試方案3363.4.4測試方案4373.4.5測試方案5383.4.6測試方案6393.5 結(jié)果分析393.5.1測試方案1393.5.2測試方案2393.5.3測試方案3393.5.4測試方案43

4、93.5.5測試方案5403.5.6測試方案640第四章創(chuàng)新性說明414.1對apk權(quán)限特征采取加權(quán)處理414.2對apk權(quán)限特征進行基于統(tǒng)計的拓展414.3輕量而加強的機器學習方案41第五章總結(jié)42摘要android移動開發(fā)平臺是google與30多家全球移動通訊領(lǐng)域內(nèi)的領(lǐng)軍企業(yè)聯(lián)合開發(fā)。android是為移動終端打造的包括操作系統(tǒng)、中間件、開發(fā)組件及應(yīng)用軟件的真正開源平臺并于2008年發(fā)布了第一款智能手機。如今移動平臺逐漸成為人們上網(wǎng)的主要方式，并且基于android平臺的應(yīng)用越來越普及， android在人們?nèi)粘Ｉ钪邪缪葜絹碓街匾慕巧?，導致其逐漸成為大量惡意攻擊者的首選目標之一。a

5、ndroid應(yīng)用軟件智能終端受到攻擊主要原因是用戶從android第三方市場下載的軟件可以不經(jīng)檢測就放到android軟件市場供用戶下載，其代碼中存在的安全漏洞是受到攻擊的根源。安全漏洞可以使攻擊者以非法手段獲取用戶重要信息及系統(tǒng)的控制權(quán)，并且android智能終端存儲著用戶大量隱私信息，一旦這些信息泄露或破壞，對用戶造成的損失難以想象。隨著手機惡意軟件愈演愈烈的增長之勢，越來越多的手機惡意軟件以獲取用戶的錢財為目的，其使用的手段也日趨復雜。所以，對android平臺上惡意軟件的檢測評估迫在眉睫。本作品主要針對android平臺下的惡意軟件，對未知軟件（即apk文件）進行分析、檢測與評估，大致

6、判斷出該軟件是否為未知軟件。例如，對某一軟件，我們會對這個apk包里面的權(quán)限、簽名等信息進行提取，再進行判斷。本作品的主要特性如下：（1）與用戶的交互能力強，方便操作。用戶選擇了需要檢測的安卓軟件之后，系統(tǒng)會自動調(diào)用我們預設(shè)的相關(guān)的模型對軟件進行處理分析，最終給出一個參考的結(jié)果；（2）符合時代需求?，F(xiàn)如今智能手機應(yīng)用廣泛，android系統(tǒng)更是用戶群體龐大，對惡意軟件的可靠檢測迫在眉睫；（3）預測結(jié)果可靠性強。該作品采用了多個因素作為評估檢測的評估標準，包括簽名、使用權(quán)限、特征碼等，相對于一些單一的標準來說，綜合性更強，從而可信度更高；（4）實用性強。該作品的應(yīng)用場景廣泛，可以說是智能手機用戶

7、的日常所需。目前，安卓手機上惡意軟件引起的安全事件層出不窮，如監(jiān)控手機的語音通話，并將這些信息發(fā)送到指定主機，還有一些一鍵root軟件實則會更改系統(tǒng)權(quán)限盜取信息等。本作品與用戶的交互能力很強，預測結(jié)果可靠，且用戶群體眾多，可以應(yīng)用到很多的領(lǐng)域，在軟件應(yīng)用市場、普通手機用戶群體和手機軟件開發(fā)測試人員群體中都有較大的應(yīng)用時間。作品概述 1.1背景分析安卓應(yīng)用軟件隨著移動互聯(lián)網(wǎng)技術(shù)日新月異地高速發(fā)展，智能終端的的功能快速增多使之逐步取代傳統(tǒng)桌面成為下一代的計算平臺。android作為最受歡迎的智能終端系統(tǒng)，已經(jīng)從最初的智能手機領(lǐng)域進入教育、醫(yī)療、軍事、汽車、家居等重要行業(yè)。由于android允許用戶

8、自行安裝各種豐富的應(yīng)用程序，包括學習、辦公、移動支付、手機購物、以及生活中的各種軟件，使得android的功能在不斷的升級和擴充。另外android智能終端用戶可以通過移動通訊網(wǎng)絡(luò)隨時隨地進行網(wǎng)上辦公，收發(fā)郵件，瀏覽網(wǎng)頁，網(wǎng)上信息注冊，網(wǎng)上購物及網(wǎng)上銀行轉(zhuǎn)賬等，android終端進行著各種信息的構(gòu)建。同時存儲著sms、聯(lián)系人等重要信息，android智能終端成為用戶大量隱私辦公等信息存儲的設(shè)備。在安卓軟件中，惡意代碼數(shù)量呈指數(shù)增長，并且出現(xiàn)了多種對抗分析、檢測、查殺的技術(shù)；應(yīng)用軟件和數(shù)字內(nèi)容的版權(quán)不斷遭到侵害，軟件破解、軟件篡改、廣告庫修改和植入、惡意代碼植入、應(yīng)用內(nèi)付費破解等普遍存在；應(yīng)用軟

9、件本身的安全漏洞頻繁出現(xiàn)在國內(nèi)外互聯(lián)網(wǎng)企業(yè)的產(chǎn)品中，數(shù)據(jù)泄露和賬戶被盜等潛在風險讓人擔憂；官方系統(tǒng)、第三方定制系統(tǒng)和預裝軟件的漏洞不斷被發(fā)現(xiàn)，對系統(tǒng)安全與穩(wěn)定產(chǎn)生極大的威脅；android應(yīng)用軟件移動支付從概念逐步轉(zhuǎn)為實踐，而對通信技術(shù)的攻擊、對算法和協(xié)議的攻擊時常發(fā)生；移動設(shè)備正融入辦公環(huán)境，但移動平臺的攻擊與apt攻擊結(jié)合的趨勢日益明顯。更糟的是，隨著地下產(chǎn)業(yè)鏈的不斷成熟和擴大，以及攻擊技術(shù)的不斷發(fā)展和改進，這些威脅和相關(guān)攻擊只會來勢更兇。安卓平臺上惡意app泛濫已經(jīng)不是什么大新聞，但關(guān)于安卓惡意app到底泛濫到何種程度，恐怕很多人還沒有一個清晰的概念。現(xiàn)在，著名安全廠商賽門鐵克發(fā)表了一份

10、報告，稱安卓app中有17%是惡意app每不到6個安卓app中就存在一個惡意軟件，安卓惡意app的泛濫程度可見一斑。 國內(nèi)安全公司的數(shù)據(jù)也顯示：流氓推廣、惡意扣費、竊取用戶數(shù)據(jù)等惡意軟件增長迅速，危害日益嚴重。在黑色產(chǎn)業(yè)鏈中，駭客通過技術(shù)手段將非法sp提供的扣費號段植入到應(yīng)用中，實現(xiàn)惡意吸費。手機駭客的攻擊目標正在瞄準用戶的手機支付與消費行為。為了更好地防范惡意軟件和駭客帶來的威脅，最好的辦法是了解他們的攻擊方法和工具，建立技術(shù)壁壘。android應(yīng)用軟件依靠google媒體資源和強大開發(fā)，成為最流行的智能終端平臺，也是各智能終端廠商追逐對象，在帶給用戶豐富多彩的用戶體驗外，隨之而來的安全問題

11、給社會穩(wěn)定、國家安全、用戶隱私帶來巨大的挑戰(zhàn)，移動應(yīng)用軟件安全現(xiàn)在是一個重要的研究課題，安全漏洞挖掘是降低網(wǎng)絡(luò)攻擊以及保障用戶系統(tǒng)及隱私安全的有效的的途徑保證軟件免受攻擊的重要途徑，解決android軟件惡意軟件泛濫是今后安全信息領(lǐng)域重要的研究方向。1.2課題研究意義 1.2.1安卓市場惡意軟件現(xiàn)狀android移動開發(fā)平臺是google與30多家全球移動通訊領(lǐng)域內(nèi)的領(lǐng)軍企業(yè)聯(lián)合開發(fā)。android是為移動終端打造的包括操作系統(tǒng)、中間件、開發(fā)組件及應(yīng)用軟件的真正開源平臺并于2008年發(fā)布了第一款智能手機。android應(yīng)用軟件具有豐富的硬件選擇并且完全擺脫了運營商和開發(fā)商的限制。由于其開源性和

12、與應(yīng)用的完美結(jié)合，吸引了大量開發(fā)商和應(yīng)用開發(fā)者轉(zhuǎn)向android。android強大的功能和豐富的應(yīng)用以及優(yōu)良的性能使其發(fā)展迅猛，短短幾年，android已經(jīng)成為全球第一大智能手機操作系統(tǒng)。如今移動平臺逐漸成為人們上網(wǎng)的主要方式，并且基于android平臺的應(yīng)用越來越普及， android在人們?nèi)粘Ｉ钪邪缪葜絹碓街匾慕巧?，導致其逐漸成為大量惡意攻擊者的首選目標之一。國外用戶一般是從谷歌應(yīng)用商店下載應(yīng)用，由于谷歌自身安全檢測機制的保障，其安全性不太可能出現(xiàn)大的問題。但是，中國用戶可能無法直接訪問谷歌應(yīng)用商店，大都是通過國內(nèi)第三方android市場下載應(yīng)用，而谷歌無法控制第三方的應(yīng)用商店。因

13、此，國內(nèi)的android應(yīng)用安全問題更加突出，安全威脅更高。然而，即使在安卓官方商店google play，也有大量假冒app被發(fā)現(xiàn)，play商店排名前50的免費app，大部分在play商店中有對應(yīng)的假冒產(chǎn)品存在。在今年年初，俄羅斯殺毒公司dr. web發(fā)布了關(guān)于2014年手持設(shè)備惡意軟件的回顧報告。就信息安全事件來講，在2014年各種狀況頻出又豐富多彩。新型安卓惡意應(yīng)用程序不斷涌現(xiàn)。具體來講，銀行木馬無數(shù)的修改版本攻擊了許多位于不同國家的設(shè)備且它的數(shù)量仍在不斷增長。此外，互聯(lián)網(wǎng)安全技術(shù)全球領(lǐng)導廠商賽門鐵克在最新公布的互聯(lián)網(wǎng)安全威脅報告中發(fā)出警告，所有android應(yīng)用中，有17%（約100萬

14、個）實際上是惡意軟件偽裝的。而在2013年報告中，這種內(nèi)含病毒的應(yīng)用約為70萬個。三分之一android應(yīng)用被賽門鐵克稱為“灰色軟件”（greyware或grayware），這些移動軟件主要是利用大量廣告“轟炸”你。賽門鐵克還發(fā)現(xiàn)首款移動加密勒索惡意軟件，這種軟件可加密你的數(shù)據(jù)，以其為“人質(zhì)”向你勒索贖金。1.2.2安卓惡意軟件檢測評估的必要性android應(yīng)用軟件智能終端受到攻擊主要原因是用戶從android第三方市場下載的軟件可以不經(jīng)檢測就放到android軟件市場供用戶下載，其代碼中存在的安全漏洞是受到攻擊的根源。安全漏洞可以使攻擊者以非法手段獲取用戶重要信息及系統(tǒng)的控制權(quán)，并且andr

15、oid智能終端存儲著用戶大量隱私信息，一旦這些信息泄露或破壞，對用戶造成的損失難以想象。隨著手機惡意軟件愈演愈烈的增長之勢，越來越多的手機惡意軟件以獲取用戶的錢財為目的，其使用的手段也日趨復雜。為了實現(xiàn)釣魚攻擊、竊取銀行卡信息和銀行賬戶錢財，手機惡意軟件變種數(shù)量增長了近20倍。在眾多手機惡意軟件類型之中，銀行木馬對用戶造成的危害最為巨大。在檢測到的銀行木馬中，某些銀行木馬甚至能夠直接從銀行賬號實施錢財竊取。這種惡意軟件已經(jīng)從以往直接扣除受害者手機賬戶話費的老套騙術(shù)中得到“升級”。因此，其所造成的潛在損失也在顯著增加。而網(wǎng)絡(luò)罪犯似乎也認準了這種獲利手段。相較之猛增的“量”變，更讓人感到憂心的是，

16、手機惡意程序同時也出現(xiàn)了“質(zhì)”的飛躍。網(wǎng)絡(luò)罪犯開始越來越多地使用代碼混淆技術(shù)，即故意制造復雜的代碼，這為惡意軟件的分析工作增加了很大的難度。惡意軟件使用的代碼混淆越復雜，反病毒解決方案檢測和清除其所花費的時間也越長，從而讓網(wǎng)絡(luò)罪犯有時間竊取到更多的錢財。網(wǎng)絡(luò)罪犯會使用安卓漏洞增強惡意程序的權(quán)限，大幅增加惡意程序的功能，并且使清除惡意程序變得更為困難。1.3 相關(guān)工作1.3.1安卓惡意軟件檢測的現(xiàn)狀 主流檢測方案當前主流惡意軟件檢測方案主要包括， 以特征代碼（signature-based）為基準的檢測方案和以行為（behavior-based）為基準的檢測方案。 以特征代碼（si

17、gnature-based）為基準的檢測方案在不同的文獻中的定義不同，特征方案分為字節(jié)碼特征（byte-code signature）還是行為特征（behavioral signature）， 但本質(zhì)上都是通過分析待檢測文件是否包含已知惡意軟件的特征代碼（ 通常是從一段病毒代碼中提取的代碼和字符常量）來判斷其是否具備惡意行為。而基于行為的檢測方案則依靠監(jiān)視程序的行為（如， 修改內(nèi)存控制塊和總量、 盜用截流系統(tǒng)中斷、病毒程序與宿主程序切換、 對可執(zhí)行文件做寫入操作、搜索 api 函數(shù)地址） 來作為判斷的基準，由此判斷文件是否是惡意文件。（1）以特征碼為基準的惡意軟件檢測方案本論文中以特征代碼為基

18、準的檢測（signature-based） 采用基于字節(jié)碼特征的檢測（byte-code-based）方案。并對其定義如下：從惡意軟件的惡意代碼中提取出連續(xù)不含空格的字符串作為該惡意軟件的特征， 保存在病毒庫中， 并依靠由此構(gòu)建的病毒庫來檢測惡意軟件。因此，病毒庫須頻繁升級以應(yīng)對病毒的反檢測和新變種。同時，基于特征代碼的檢測方案具有滯后性，無法識別未知的惡意軟件。（2）以行為為基準的惡意軟件檢測方案以行為（behavior-based）為基準的檢測方法又可以實現(xiàn)方式分為白名單模型和黑名單模型，黑名單模型對惡意行為進行建模，但和基于特征代碼的檢測（signature-based）一樣，無法檢測未

19、知惡意程序?；诎酌麊蔚牡哪Ｐ秃秃诿麊文Ｐ拖喾?，主要對合法行為進行建模，可以有效的檢測未知惡意軟件，但在實際應(yīng)用中，由于合法行為占據(jù)了較大比例，要對其進行充分的抽象具有極大的挑戰(zhàn)，從而引起誤報。 相關(guān)安全公司檢測情況（1）所選取的安全軟件供應(yīng)商產(chǎn)品包名版本avg小紅傘com.antivirus3.1symantec諾頓手機安全軟件com.symantec.mobilesecurity92lookout手機保護com.lookout8.7.1-edc6dfseseteset移動安全com.eset.ems1.1.995.1221dr.web大蜘蛛反病毒軟件com.dr

20、web7.00.3kaspersky卡巴斯基手機安全軟件com.kms9.36.28trend micro移動安全個人版。com.trendmicro.tmmspersonal2.6.2estsoftalyac androidcom.estsoft.alyaczonerzoner安全防護com.zoner.android.antivirus1.7.2webrootwebroot 安全和防病毒com.webroot.security547（2）惡意軟件采取技術(shù)代碼技術(shù)p改裝一分解及組裝rp包重命名ee加密本地利用或有效載荷ri重命名標識符rf重命名文件ed編碼字符串和

21、數(shù)組數(shù)據(jù)cr代碼重排序ci間接調(diào)用jn插入垃圾代碼avgsymanteclookoutesetdr. webkasperskytrend mestsoftzonerwebrootp一xrpxxxeexxrixxxedxcrxcixjnxri + eexxxxxee + edxxxee + rfxxxee + cixxxrp + ri + ee + ed + rf + cixxxxxxxxxx（3）部分檢測結(jié)果注：上表中的“”表示未檢測出1.3.2安卓惡意軟件評估相關(guān)內(nèi)容 簽名機制與其他一些智能手機平臺一樣， android 也設(shè)計了自己的簽名機制。不過和其他平臺又有所不同的是，

22、android 應(yīng)用程序簽名標明了 apk 的發(fā)布者，同時可以對程序的完整性和可靠性作為保證。只要黑客試圖對 apk 的內(nèi)部進行了變動， 就必須對 apk 文件進行重新簽名。而簽名信息，除非原作者的私鑰泄露， 被黑客獲取， 一般情況下不可能和原簽名信息一致。同時， 簽名機制在 android 應(yīng)用程序更新時也能起到保護作用。如果用戶在更新應(yīng)用程序時，兩者的簽名信息不一致， 系統(tǒng)將會禁止此次更新。如果一個應(yīng)用程序需要使用system權(quán)限，應(yīng)用程序的簽名更需要和framework的簽名保持一致。由此可見，在android 的應(yīng)用程序和應(yīng)用程序框架層中，簽名機制起到了十分重要作用，進一步保護了系統(tǒng)的

23、安全。簽名機制主要是在 android 安裝或更新應(yīng)用程序時生效， 是一種檢測 apk 包完整性和發(fā)布機構(gòu)唯一性的機制。 它基于每個 apk 包中簽名文件具有的唯一性，使得單純的對 apk 文件解壓后替換文件的篡改行為無法奏效，因此一定程度上實現(xiàn)對保護了系統(tǒng)的安全。 應(yīng)用程序權(quán)限控制機制權(quán)限控制機制是android 系統(tǒng)在應(yīng)用程序框架層最核心的機制。它用于限制應(yīng)用程序的訪問系統(tǒng)的api 和資源。應(yīng)用程序必須在權(quán)限以內(nèi)運行，而不能訪問權(quán)限外的任何資源。android的package manager在程序安裝時經(jīng)用戶同意給應(yīng)用程序安裝包賦予權(quán)限，而在執(zhí)行時由應(yīng)用程序框架層驗證權(quán)限，如

24、果應(yīng)用程序未經(jīng)申請使用了受限的資源，應(yīng)用程序會自動關(guān)閉。 android 定義了上百種系統(tǒng)權(quán)限，所涉及的功能包括：拍照，訪問網(wǎng)絡(luò)，地理位置定位等。這些權(quán)限可以被分為普通級、危險級、簽名級和系統(tǒng)級。1.4 特色描述本作品著眼于安卓惡意軟件的檢測。對軟件的檢測，它不局限于單一標準，而是綜合評估與計算。另外，本作品利用機器學習和權(quán)限加權(quán)，大大提高了檢測結(jié)果的準確度。同時利用svm工具，根據(jù)機器學習來構(gòu)造檢測系統(tǒng)。1.5 應(yīng)用前景分析目前，安卓手機上惡意軟件引起的安全事件層出不窮，如監(jiān)控手機的語音通話，并將這些信息發(fā)送到指定主機，還有一些一鍵root軟件實則會更改系統(tǒng)權(quán)限盜取信息等。本作品應(yīng)用市場有：

25、（1）軟件應(yīng)用市場：可以通過本產(chǎn)品對于市場上要上架的軟件進行檢測，作為審核上架的一道工序，以便更好地為用戶提供一個下載安全好用的軟件的地方。同時在用戶下載的時候，也可以根據(jù)本作品的檢測結(jié)果向用戶提供一些建議。（2）普通安卓手機用戶：對于不可信來源下載來的apk利用本軟件進行檢測，參考一下是否可以放心使用該軟件。（3）軟件測試及開發(fā)人員：利用本作品對于自身的開發(fā)測試工作進行參考。作品設(shè)計與實現(xiàn) 2.1 系統(tǒng)方案在本系統(tǒng)中，對于android惡意軟件檢測與評估的方案并不是一蹴而就的。為此，我們一開始采用了較為直觀簡潔的檢測方案，隨后不斷嘗試對方案進行改進、豐富、提效。在系統(tǒng)設(shè)計的過程中，改變方案的

26、方向不一定是正確的，因此，在制定不同方案的同時，將不同階段的方案隨時進行效果對比，分析不同方案的優(yōu)劣，以尋找出一個或者幾個相對最優(yōu)的方案。下面介紹了本系統(tǒng)設(shè)計中android惡意軟件檢測與評估的不同方案。2.1.1 方案一對軟件的android所有95個不同權(quán)限的使用情況進行機器學習分析，得到基于大量權(quán)限特征的model進行預測。使用google提供的apktool對android軟件權(quán)限進行提取，分析manifest.xml中的所有權(quán)限信息（“users-permissions”），對大量樣本的所有權(quán)限使用情況進行機器學習運算，利用libsvm工具箱得出預測model，進而用model對an

27、droid軟件是否為惡意軟件進行檢測。2.1.2 方案二在android所有95個不同權(quán)限中進行基于安全相關(guān)性的篩選與加權(quán)，試圖提高svm model的準確率。由于apktool的反編譯過程較慢，方案二采用了更為高效的axmlprinter作為xml分析手段。為了進一步提高系統(tǒng)的分析效率，并不將所有的android權(quán)限標簽作為svm測試集的特征項，而是從中選擇了一部分，并且根據(jù)人為判斷的重要性給予一定的權(quán)值。而為了提高預測準確率，加入了特征碼檢測過程，該過程可以以很高的準確率識別出惡意軟件。方案二實現(xiàn)的過程中，我們不斷對android權(quán)限的篩選和加權(quán)情況進行優(yōu)化和修改，直到使model的準確率

28、達到難以繼續(xù)提高的數(shù)值。2.1.3 方案三結(jié)合方案一和方案二。在對權(quán)限進行篩選、加權(quán)的同時，依然對所有權(quán)限進行分類統(tǒng)計、分級統(tǒng)計的操作，統(tǒng)計出各類、各級權(quán)限的個數(shù)，并且根據(jù)設(shè)定的閾值將邏輯判斷結(jié)果作為測試集特征的一部分。方案二采用更少的特征和具有高準確性的特征碼檢測，而方案一的大量特征則為svm提供了更大的樣本空間。方案三在執(zhí)行類似方案二的過程同時，對95個權(quán)限標簽進行統(tǒng)計上的分類和分級。其中對權(quán)限的分類基于權(quán)限的不同功能，而權(quán)限的分級則是根據(jù)影響手機系統(tǒng)安全、用戶利益的威脅大小進行。對于不同級別、組別的軟件，將根據(jù)其特征設(shè)定合適的權(quán)限個數(shù)閾值，判斷此項是否超過閾值的邏輯結(jié)果作為特征附加到測試

29、集的特征中。2.2 實現(xiàn)原理2.2.1檢測原理本系統(tǒng)對android惡意軟件的檢測主要分為基于特征代碼的檢測和基于權(quán)限統(tǒng)計分析的檢測?；谔卣鞔a的檢測特征代碼檢測是一種使用特征庫的檢測方法，本系統(tǒng)中的特征代碼檢測定義如下：從惡意軟件張?zhí)崛〕鋈舾啥尉哂形ㄒ恍浴⒐潭ㄐ缘淖止?jié)碼（如，一段特殊代碼或字符串作為該惡意軟件的特征，由上述方法構(gòu)建特征庫，通過對未知是否惡意的軟件進行字節(jié)碼的特征庫匹配，檢測其是否為惡意軟件?；谔卣鞔a的檢測方案是現(xiàn)代病毒檢測的核心技術(shù)之一。但其存在以下缺點:1）具有滯后性，無法識別未知的惡意軟件2）字節(jié)碼特征容易通過加密和混淆的方式被改變，導致特征庫需要頻繁

30、更新。由于基于特征代碼檢測的上述特性，本系統(tǒng)輔以基于權(quán)限統(tǒng)計分析的檢測方案?；跈?quán)限統(tǒng)計分析的檢測權(quán)限控制機制是android 系統(tǒng)在應(yīng)用程序框架層最核心的機制。它用于限制應(yīng)用程序的訪問系統(tǒng)的api 和資源。應(yīng)用程序必須在權(quán)限以內(nèi)運行，而不能訪問權(quán)限外的任何資源。android的package manager在程序安裝時經(jīng)用戶同意給應(yīng)用程序安裝包賦予權(quán)限，而在執(zhí)行時由應(yīng)用程序框架層驗證權(quán)限，如果應(yīng)用程序未經(jīng)申請使用了受限的資源，應(yīng)用程序會自動關(guān)閉。 android 定義了上百種系統(tǒng)權(quán)限，所涉及的功能包括：拍照，訪問網(wǎng)絡(luò)，地理位置定位等。這些權(quán)限可以被分為普通級、危險級、簽名級和系

31、統(tǒng)級。由與android軟件所申請的權(quán)限與其軟件的功能有著極大的相關(guān)性，使得對權(quán)限進行分析判斷android軟件是否惡意軟件成為可能。而android軟件數(shù)以百萬、千萬級的龐大數(shù)量，則為使用機器學習算法對進行權(quán)限分析、建立模型提供了有利的條件。通過對權(quán)限特征的量化，即可以使用svm（支持向量機）分類器對大量的android惡意軟件、非惡意軟件的樣本的權(quán)限信息進行統(tǒng)計和建模，生成一個用于預測android軟件是否為惡意軟件的model。2.2.2 android系統(tǒng)原理 android系統(tǒng)結(jié)構(gòu)android系統(tǒng)架構(gòu)為四層結(jié)構(gòu)，從上層到下層分別是應(yīng)用程序?qū)?、?yīng)用程序框架層、系統(tǒng)運行庫

32、層以及l(fā)inux內(nèi)核層。下圖為android系統(tǒng)架構(gòu)圖：（1）應(yīng)用程序?qū)觓ndroid平臺不僅僅是操作系統(tǒng)，也包含了許多應(yīng)用程序，諸如sms短信客戶端程序、電話撥號程序、圖片瀏覽器、web瀏覽器等應(yīng)用程序。這些應(yīng)用程序都是用java語言編寫的，并且這些應(yīng)用程序都是可以被開發(fā)人員開發(fā)的其他應(yīng)用程序所替換，這點不同于其他手機操作系統(tǒng)固化在系統(tǒng)內(nèi)部的系統(tǒng)軟件，更加靈活和個性化。（2）應(yīng)用程序框架層該層是android應(yīng)用開發(fā)的基礎(chǔ)，開發(fā)人員大部分情況是在和她打交道。應(yīng)用程序框架層包括活動管理器、窗口管理器、內(nèi)容提供者、視圖系統(tǒng)、包管理器、 電話管理器、資源管理器、位置管理器、通知管理器和xmpp服務(wù)

33、十個部分。在android平臺上，開發(fā)人員可以完全訪問核心應(yīng)用程序所使用的api框 架。并且，任何一個應(yīng)用程序都可以發(fā)布自身的功能模塊，而其他應(yīng)用程序則可以使用這些已發(fā)布的功能模塊?；谶@樣的重用機制，用戶就可以方便地替換平臺本 身的各種應(yīng)用程序組件。（3）系統(tǒng)庫和android運行庫系統(tǒng)庫包括九個子系統(tǒng)，分別是圖層管理、媒體庫、sqlite、openglestate、freetype、webkit、sgl、ssl和libc。 android運行庫包括核心庫和dalvik虛擬機，前者既兼容了大多數(shù)java語言所需要調(diào)用的功能函數(shù)，又包括了android的核心庫，比如 android.os、an

34、、android.media等等。后者是一種基于寄存器的java虛擬機，dalvik虛擬機主要是完成對生命周期的管理、堆棧的管理、線程的管理、安全和異常的管理以及垃圾回收等重要功能。（4）linux內(nèi)核android核心系統(tǒng)服務(wù)依賴于linux2.6內(nèi)核，如安全性、內(nèi)存管理、進程管理、網(wǎng)絡(luò)協(xié)議棧和驅(qū)動模型。linux內(nèi)核也是作為硬件與軟件棧的抽象層。驅(qū)動：顯示驅(qū)動、攝像頭驅(qū)動、鍵盤驅(qū)動、wifi驅(qū)動、audio驅(qū)動、flash內(nèi)存驅(qū)動、binder（ipc）驅(qū)動、電源管理等。 apk文件及其結(jié)構(gòu)apk文件，即android application package

35、文件。每個要安裝到ophone平臺的應(yīng)用都要被編譯打包為一個單獨的文件，后綴名為.apk，其中包含了應(yīng)用的二進制代碼、資源、配置文件等。apk文件實際是一個zip壓縮包，可以通過解壓縮工具解開。以下是我們用zip解開helloworld.apk文件后看到的內(nèi)容。可以看到其結(jié)構(gòu)跟新建立的工程結(jié)構(gòu)有些類似。（1）androidmanifest.xmlandroidmanifest.xml是android應(yīng)用程序中最重要的文件之一。它是android程序的全局配置文件，是每個android程序中必須的文件。它位于我們開發(fā)的應(yīng)用程序的根目錄下，描述了package中的全局數(shù)據(jù)，包括package中暴露

36、的組件（activities, services, 等等），以及他們各自的實現(xiàn)類，各種能被處理的數(shù)據(jù)和啟動位置等重要信息。 因此，該文件提供了android系統(tǒng)所需要的關(guān)于該應(yīng)用程序的必要信息，即在該應(yīng)用程序的任何代碼運行之前系統(tǒng)所必須擁有的信息。在本系統(tǒng)中，主要通過對androidmanifest.xml文件的信息提取和分析實現(xiàn)了惡意軟件的檢測。（2）meta-infmeta-inf目錄下存放的是簽名信息，用來保證apk包的完整性和系統(tǒng)的安全。在eclipse編譯生成一個api包時，會對所有要打包的文件做一個校驗計算，并把計算結(jié)果放在meta-inf目錄下。而在安裝apk包時，應(yīng)用管理器會按

37、照同樣的算法對包里的文件做校驗，如果校驗結(jié)果與meta-inf下的內(nèi)容不一致，系統(tǒng)就不會安裝這個apk。這就保證了apk包里的文件不能被隨意替換。比如拿到一個apk 包后，如果想要替換里面的一幅圖片，一段代碼， 或一段版權(quán)信息，想直接解壓縮、替換再重新打包，基本是不可能的。如此一來就給病毒感染和惡意修改增加了難度，有助于保護系統(tǒng)的安全。（3）res目錄存放的大部分是一些圖片資源和界面的布局文件。drawable和drawable-*目錄存放的是各種不同分辨率的圖片資源。layout、menu、xml目錄存放的是軟件界面的布局文件，包括菜單、窗口、主界面和設(shè)置界面等。（4）classes.dex

38、classes.dex是java源碼編譯后生成的java字節(jié)碼文件。但由于android使用的dalvik虛擬機與標準的java虛擬機是不兼容的，dex文件與class文件相比，不論是文件結(jié)構(gòu)還是opcode都不一樣。目前常見的java反編譯工具都不能處理dex文件。（5）resources.arsc二進制格式的文件，aapt對資源進行編譯時，會為每一個資源分配唯一的id值，程序在執(zhí)行時會根據(jù)這些id值讀取特定的資源，而resouces.arsc文件正式包含了所有的id值的數(shù)據(jù)集合。在該文件中，如果某個id對應(yīng)的是string，那么該文件會直接包含該值，如果id對應(yīng)的資源是某個layout或者

39、drawable資源，那么該文件會存入對應(yīng)資源的路徑。 android病毒原理android平臺的惡意軟件主要由如下幾種攻擊方式：（1）惡意扣費：這類病毒在用戶不知情的情況下，向sp訂購付費業(yè)務(wù)，扣除用戶的話費，（2）竊取隱私：這類惡意軟件主要是竊聽用戶通話，竊取用戶位置信息、通訊錄等資料，并在后臺上傳到服務(wù)器，從中獲取有利信息或者轉(zhuǎn)賣出去，進而獲利、)（3）消耗資費：這類病毒主要在后臺自動聯(lián)網(wǎng)，不斷下載廣告主推廣的應(yīng)用或其他惡意軟件，從而獲取非法利益，這樣直接導致用戶的網(wǎng)絡(luò)流量和設(shè)備電量消耗過大。通過分析病毒源代碼，可以發(fā)現(xiàn)病毒主要是利用短信、電話、網(wǎng)絡(luò)等功能加上一些其他的輔助

40、功能達到非法目的。1）盜發(fā)短信在后臺偷偷向sp發(fā)送訂購付費業(yè)務(wù)短信，這是病毒最常用的手段，病毒獲得發(fā)送短信的權(quán)限后，利用smsmanagey類，在用戶不知道的情況下，向sp發(fā)送訂購付費業(yè)務(wù)短信:smsmanager.getdefault()sendtextmessage (tel,null,message，null, null);其中tel為短信發(fā)送地址，message為短信訂購內(nèi)容、通常在向sp發(fā)送訂購業(yè)務(wù)后，sp會回復一個確認短信給用戶，讓用戶再次確認是否訂購該業(yè)務(wù)。這時，病毒屏蔽sf發(fā)來的確認短信，不讓用戶看到，再次偷偷發(fā)送確認短信給sp，然后刪除相關(guān)短信。這樣，就成功訂購了業(yè)務(wù)，扣除了

41、用戶的話費，而這一過程，用戶毫不知情。病毒屏蔽短信是利用了android的四大組件之一broadcastreceiver, android收到短信時，會發(fā)出一個有序廣播，病毒獲得接收短信的權(quán)限后，聲明一個broadcastreceivey并把優(yōu)先級設(shè)的很高，病毒優(yōu)先收到sp發(fā)來的短信后，判斷是否是特定sp的號碼，如果是，首先終止廣播的傳播，其他程序就不會收到短信了。然后再次偷偷向sp發(fā)送確認短信，最后刪除sp發(fā)來的消息和發(fā)件箱中偷偷發(fā)出的短信。2）盜打電話對于android手機，通過撥打電話扣費的病毒較少，因為撥號無法做到像偷發(fā)短信一樣那么好的隱蔽性，不過最近也出現(xiàn)了一些病毒，入侵用戶的手機后

42、，自動撥打指定的號碼，這種號碼通常會收取很高的sp費用。病毒獲得撥打電話的權(quán)限后，只需要調(diào)用一次intent,即可實現(xiàn)撥打指定電話的功能。3）網(wǎng)絡(luò)傳輸病毒一般從兩個方面利用網(wǎng)絡(luò)：第一，在后臺聯(lián)網(wǎng)，上傳用戶的隱私信息;第二，在后臺下載其他應(yīng)用程序或者病毒程序。這兩者都將消耗用戶大量的網(wǎng)絡(luò)流量，同時也消耗了很多電量。無論是上傳還是下載，都是使用http，借助于java的輸入輸出流實現(xiàn)上傳代碼類似于: uploadfile(file file，string up_url); 其中file是上傳的文件，up_url是上傳服務(wù)器地址、 下載代碼類似于: downfile ( string url，str

43、ing path，int thread_ num);其中，url為所下載文件的源地址，path是文件下載后的保存路徑，thread num是下載的線程數(shù)。 機器學習、svm介紹和libsvm的使用 基于數(shù)據(jù)的機器學習是現(xiàn)代智能技術(shù)中的重要方面，研究從觀測數(shù)據(jù)（樣本）出發(fā)尋找規(guī)律，利用這些規(guī)律對未來數(shù)據(jù)或無法觀測的數(shù)據(jù)進行預測。機器學習方法有很多，例如決策樹、神經(jīng)網(wǎng)絡(luò)、隱馬爾可夫模型（hmm）、支持向量機等，現(xiàn)有機器學習方法共同的重要理論基礎(chǔ)之一是統(tǒng)計學。在傳統(tǒng)統(tǒng)計學的理論上發(fā)展出來的支持向量機（svm）理論表現(xiàn)出其獨特的性能。本節(jié)包括機器學習、支持向量機（svm）和libsvm的

44、使用。（1） 機器學習1)機器學習模型與定義機器學習35的目的是根據(jù)給定的訓練樣本求得系統(tǒng)輸入、輸出之間的關(guān)系的，使系統(tǒng)能夠?qū)ζ渌袨樽鞒鲎羁赡苷_的預測。其基本模型如圖3-10所示。圖 3-10 機器學習模型圖其中系統(tǒng)是我們所要進行研究的對象，學習機是我們所要得到的模型。系統(tǒng)在一定的輸入x下能夠得到一定的輸出y值，而學習機輸出的為y。假設(shè)輸出y與輸入x之間存在一定的未知聯(lián)系，機器學習的問題就是根據(jù)若干個獨立同分布的訓練樣本(x1,y1), (x2,y2), (xn,yn)（假設(shè)樣本個數(shù)為n）在一組函數(shù)中，選擇一個最優(yōu)的函數(shù)對x，y之間的關(guān)系進行評估，而就是一個學習機。若給定的輸入x與定量的參

45、數(shù)時，其輸出值y=是相等的，則稱此學習機是確定性的學習機，若對相同的x與，輸出值y=有出現(xiàn)不相等的情況，則稱此學習機是不確定性的。2)損失函數(shù)對于一個學習機，可以定義一個損失函數(shù)，用來表示預測函數(shù)對y進行預測時造成的損失。對于模式識別、回歸模型和概率密度估計問題這三個機器學習的基本問題，有著不同形式的損失函數(shù)。下面作簡單的介紹。模式識別問題模式識別，簡單來說，即是對數(shù)據(jù)進行模式分類的過程，通過訓練學習機“學習”知識，然后對待預測數(shù)據(jù)進行預測類別。其輸出值y是類別號，一個號碼對應(yīng)唯一一個類別。在兩元分類的情況下，y值可以定義為y=0,1，是二值函數(shù)。一般定義模式識別問題的損失函數(shù)為： (3-33

46、)回歸問題回歸問題中的輸出值y是個連續(xù)變量，其損失函數(shù)一般采用最小平方的誤差，即定義為： (3-34)概率密度估計問題在概率密度估計問題中，學習的目擊是根據(jù)訓練樣本確定輸入值x的概率密度。假設(shè)其密度函數(shù)為，則損失函數(shù)一般定義為： (3-35)3)經(jīng)驗風險最小化在機器學習中，對以一個既定的學習機，其損失函數(shù)可以定義一個期望，成為期望風險，定義如下： (3-36)而經(jīng)驗誤差是指訓練樣本的平均誤差，這是每個系統(tǒng)都有的誤差，我們只有最大可能的去縮減誤差，而不能完全的避免之，經(jīng)驗誤差定義為： (3-37)在實際問題中，我們總是想讓期望風險最優(yōu)，其愈小，則結(jié)果愈好。但在應(yīng)用中，是無法通過直接計算來得到。因

47、此，機器學習方法中一般采用經(jīng)驗風險最小化的原則來對期望風險進行估計。即用的結(jié)果來估計，即我們只需要通過得到經(jīng)驗風險的最小化來進行使期望風險最小化。例如，在模式識別問題中，經(jīng)驗風險就是指訓練樣本的錯誤率，在本文的實驗中，即指圖像預測分類的錯誤率。前人的研究發(fā)現(xiàn)，期望風險和經(jīng)驗風險并不是嚴格的對應(yīng)關(guān)系，當經(jīng)驗風險最小時，期望風險并不一定是最小。其關(guān)系如圖3-11所示。圖 3-11望風險與經(jīng)驗風險關(guān)系圖所以在實際應(yīng)用中，尋找一個合適的學習函數(shù)對預測成功率是非常重要的，要尋找期望風險和經(jīng)驗風險的最佳匹配函數(shù)。4)函數(shù)集的vc維模式識別方法中vc維的直觀定義是：對于一個指標函數(shù)集，如果存在n個樣本能夠被

48、函數(shù)集中的函數(shù)按所有可能的2h種形式分開，則稱函數(shù)集能夠把n個樣本打散；函數(shù)集的vc維就是它能打散的最大樣本數(shù)目h。有界實函數(shù)的vc維可以通過用一定的閾值將其轉(zhuǎn)化為指示函數(shù)來定義。vc維反映了函數(shù)集的學習能力，vc維越大則學習機器越復雜（學習能力越強）。統(tǒng)計學習理論系統(tǒng)地研究了各種類型函數(shù)集的經(jīng)驗風險（即訓練誤差）和實際風險（即期望風險）之間的關(guān)系，即推廣性的界。關(guān)于兩類分類問題有如下結(jié)論：對指示函數(shù)集中的所有函數(shù)，經(jīng)驗風險和實際風險之間至少以概率滿足如下關(guān)系： (3-38)其中h是函數(shù)集的vc維，n是樣本數(shù)。5)結(jié)構(gòu)風險最小化經(jīng)驗風險最小化原則在樣本有限（即h/n較大）時是不合理的，此時一個

49、小的經(jīng)驗風險值并不能保證小的實際風險值。為解決此問題，就需要在保證分類精度（即減小經(jīng)驗風險）的同時，降低學習機器的vc維，從而使得學習機器在整個樣本集上的期望風險得到控制，這就是結(jié)構(gòu)風險最小化（srm）原則的基本思想。結(jié)構(gòu)風險最小化為我們提供了一種不同于經(jīng)驗風險最小化的更科學的學習機器設(shè)計原則，顯然，利用結(jié)構(gòu)風險最小化原則的思想，就可以解決神經(jīng)網(wǎng)絡(luò)中的過學習問題。結(jié)構(gòu)風險最小化示意圖如圖3-12所示。圖 3-12結(jié)構(gòu)風險最小化示意圖實際風險由兩部分組成：經(jīng)驗風險，以及置信范圍?？珊唵蔚谋硎緸椋?(3-39)它表明在有限樣本訓練下，學習機vc維越高（機器的復雜性越高），則置信范圍越大，導致真實風

50、險與經(jīng)驗風險之間可能的差別越大。這就是為什么出現(xiàn)過學習現(xiàn)象的原因。（2）支持向量機1)支持向量機的思想支持向量機的理論最初來自于對數(shù)據(jù)分類問題的處理。對于線性可分數(shù)據(jù)的二值分類，如果采用多層前向網(wǎng)絡(luò)來實現(xiàn)，其機理可以簡單描述為：系統(tǒng)隨機的產(chǎn)生一個超平面并移動它，直到訓練集合中屬于不同類別的點正好位于該超平面的不同側(cè)面，就完成了對網(wǎng)絡(luò)的設(shè)計要求。但是這種機理決定了不能保證最終所獲得的分割平面位于兩個類別的中心，這對于分類問題的容錯性是不利的。保證最終所獲得的分割平面位于兩個類別的中心對于分類問題的實際應(yīng)用是很重要的。支持向量機很巧妙地解決了這一問題。該方法的機理可以簡單描述為：尋找一個滿足分類要

51、求的最優(yōu)分類超平面，使得該超平面在保證分類精度的同時，能夠使超平面兩側(cè)的空白區(qū)域最大化；從理論上來說，支持向量機能夠?qū)崿F(xiàn)對線性可分數(shù)據(jù)的最優(yōu)分類。為了進一步解決非線性問題，vapnik等人通過引入核映射方法轉(zhuǎn)化為高維空間的線性可分問題來解決。支持向量機的主要思想概括起來就是兩點：a.支持向量機主要針對線性可分的情況進行處理。對于不可分的情形，支持向量機主要使用非線性映射算法，通過將低維空間線性不可分的樣本轉(zhuǎn)化為高維特征空間使其線性可分，從而使得高維特征空間采用線性算法對樣本的非線性特征進行線性分析成為可能；b.基于結(jié)構(gòu)風險最小化理論之上在特征空間中建構(gòu)最優(yōu)分割超平面，使得學習器得到全局最優(yōu)化，

52、并且在整個樣本空間的期望風險以某個概率滿足一定上界。2)支持向量機的分類原理具體介紹。a.線性可分支持向量機線性可分主要是指，在二元分類中，存在一個超平面，使得訓練樣本中的兩類不同的輸入分別劃到該超平面的兩側(cè)。我們設(shè)訓練樣本集為s=(,y1), (,y2), (,yn)，其中rn， yi=0,1（或者yi=-1,1），i=1,n。設(shè)超平面為。超平面劃分二元分類示意圖如圖3-13所示。圖 3-13 超平面劃分二元分類示意圖從圖3-13中我們可以看出劃分二元分類的超平面不止一種，有很多種超平面都能夠把樣本分開。那么我們應(yīng)該選擇那一種超平面作為應(yīng)用呢？我們首先規(guī)定超平面集中的一個超平面（即圖中的直線

53、）法線方向，如圖3-14所示，直線h代表是以為法向量的超平面，而且h能夠正確劃分二元分類樣本。我們可以把h進行平移，這樣我們可以得到若干條直線，例如直線h1、h2，而且這若干條直線也是能夠正確劃分樣本。但是平移是有一定的度的，如果平移到h3的位置，h3不能正確的劃分樣本。圖 3-14最優(yōu)分類超平面示意圖從圖3-14中我們可以看出，h直線明顯是最優(yōu)的超平面。這樣我們只需要求得法向量的值之后，我們就可以構(gòu)造出該分類超平面。b.線性不可分支持向量機對于線性不可分的情況，可以把樣本x映射到一個高維特征空間h，并在此空間中運用原空間的函數(shù)來實現(xiàn)內(nèi)積運算，這樣將非線性問題轉(zhuǎn)換成另一空間的線性問題來獲得一個

54、樣本的歸屬。根據(jù)泛函的有關(guān)理論，只要一種核函數(shù)滿足mercer條件，它就對應(yīng)某一空間中的內(nèi)積，因此只要在最優(yōu)分類面上采用適當?shù)膬?nèi)積核函數(shù)就可以實現(xiàn)這種線性不可分的分類問題。此時目標函數(shù)為： (3-40)其中。其對應(yīng)的分類超平面函數(shù)為： (3-41)目前用到的最多的svm工具是臺灣大學林智仁博士的libsvmerror! reference source not found.，libsvm中實現(xiàn)的核函數(shù)有：線性核函數(shù)、多項式核函數(shù)、徑向基核函數(shù)（rbf核）與sigmoid核函數(shù)。1）多項式核函數(shù) (3-42)2）rbf核函數(shù) (3-43)3）sigmod函數(shù) (3-44）（3）libsvm工具包

55、1)libsvm工具包的簡單介紹libsvm是臺灣大學林智仁博士開發(fā)的一個簡單易用的svm軟件工具。該工具完全開源，提供了c+、java、matlab、python等語言的函數(shù)接口，以供不同的環(huán)境下使用。當然，這樣也方便了后人根據(jù)自己的需求進行改進程序。libsvm工具包包含了分類問題、回歸問題和分布估計的解決方法，并提供了線性、多項式、rbf和sigmod四種常用的核函數(shù)。在訓練時，svm的參數(shù)選擇并沒有一個很好的模式進行選擇，通常是采用實驗搜索的方法進行查找最優(yōu)的參數(shù)。在libsvm中，參數(shù)的選擇是在訓練樣本時進行交叉檢驗時進行查找最優(yōu)的。2)libsvm的使用該工具包提供了源代碼以及在win32平臺下的可執(zhí)行文件，主要包括一下文件：對數(shù)據(jù)集進行縮放的svm-scale.exe，對訓練樣本進行訓練的svm-train.exe，以及使用訓練得到的模型對測試數(shù)據(jù)