android系統(tǒng)的信息安全與權(quán)限機制研究

android系統(tǒng)的信息安全與權(quán)限機制研究

1總結(jié)1.1android系統(tǒng)android單詞的初衷是“機器人”，它也是基于linux內(nèi)核的開放生行系統(tǒng)。該系統(tǒng)由linux內(nèi)核作為底層管理、各種源代碼功能庫作為中間功能、基于dalvik虛擬機的java應用程序框架和一組基本應用組成。這是移動設(shè)備上第一個開放而完整的系統(tǒng)平臺。Android系統(tǒng)自2007年首次發(fā)布以來,以其開源免費的優(yōu)勢,至今,經(jīng)過多次系統(tǒng)升級,已經(jīng)成為全球最流行的手機,占有率已超60%。與此同時,據(jù)網(wǎng)秦2012年第一季度的《全球手機安全報告》Android系統(tǒng)采用軟件堆層(SoftwareStack,又名軟件疊層)的架構(gòu),主要分為三部分。底層以Linux內(nèi)核工作為基礎(chǔ),提供核心系統(tǒng)服務,比如安全,內(nèi)存管理,進程管理,網(wǎng)絡協(xié)議棧和驅(qū)動模塊;中間層包括各種開源函數(shù)庫Library和虛擬機VirtualMachine。第三層是各種應用基本框架,主要是由各種組件管理器級成,提供Android程序開發(fā)的基礎(chǔ)功能,使組件重用變得簡單,加快了程序開發(fā)的速度。最上面一層是常用的必要的應用程序,包括通話程序,短信程序等,應用軟件可由第三方開發(fā)。每個Android應用都運行在它自己的進程里,并依附在一個單獨的Dalvik虛擬機實例上1.2android系統(tǒng)安全特性Android安全機制的一個重要的設(shè)計出發(fā)點就是:應用程序在默認的情況下不可以執(zhí)行任何對其他應用程序、系統(tǒng)或者用戶帶來負面影響的操作。除了Linux在系統(tǒng)內(nèi)核級來做保障,在外圍用戶空間android也設(shè)計了獨特的安全機制來保障程序的安全性1)Android系統(tǒng)充分利用了Linux系統(tǒng)的安全特點,一個程序分配一個用戶ID,每個程序運行在自己的沙箱環(huán)境,之間不能相互影響。每個程序在安裝時,系統(tǒng)會為它分配一個屬于自己的用戶,為它創(chuàng)建一個“沙箱”環(huán)境,防止其它程序影響。用戶在程序安裝到手機中時被分配,并且在這個設(shè)備中保持它的永久性。另外如果該程序創(chuàng)建任何文件都會被賦予程序的用戶標識,并且正常情況下不能被其它進程訪問。2)另外,Android系統(tǒng)設(shè)計了另一個安全特性,即權(quán)限控制一個程序在安裝時,需要聲明自己需要的權(quán)限給用戶提示,包括如訪問聯(lián)系人、訪問網(wǎng)絡、訪問電電子郵件、收發(fā)送信息、讀寫存儲卡,調(diào)用Android其他組件等。如果有惡意權(quán)限會被細心的用戶發(fā)現(xiàn),并且程序在實際運行期間,不可能有超出安裝時聲明的權(quán)限。權(quán)限是Android為保障安全而設(shè)計的安全標識,同時也是程序?qū)崿F(xiàn)某些操作的前提。存在的問題是,用戶選擇安裝了某個程序,就不得不接受該程序的所有權(quán)限,而一般的普通用戶卻不熟悉,這些權(quán)限可能給自己帶來的危害。另外,用戶往往更關(guān)心程序帶來的功能,而忽視了程序所具有權(quán)限帶來的潛在威脅。在安裝了這樣的惡意程序后,在運行過程中便可訪問用戶的隱私數(shù)據(jù)或執(zhí)行非法的動作,而用戶不會知曉,從中給用戶帶來威脅。1.3良性程序使用情況對比文獻[7]使用自動測試工具,測試了1310個關(guān)鍵AndroidAPI,創(chuàng)建了較為完整的Android權(quán)限集合(permissionmap),包括了contendProviders,DisallowedBroadcasts,recevingBroadcasts,sendingBroadcast,startin-gActivities,startingServices幾乎所有種類的權(quán)限。文獻[8]分析了2011年10月前1260個良性程序的權(quán)限使用情況,同時與他們收集的惡意程序庫中惡意程序所申請的權(quán)限的情況,進行了對比發(fā)現(xiàn):訪問網(wǎng)絡、讀手機狀態(tài)、訪問網(wǎng)絡狀態(tài)、寫SD卡等權(quán)限在惡意程序和良性程序中都廣泛使用,但惡意程序傾向于使用(:)短信有關(guān)的權(quán)限(62.7%)、開機自啟動權(quán)限(54.6%)、更改WIFI狀態(tài)的權(quán)限(31.6%),而良性程序很少使用這些程序。另外,惡意程序比良性程序傾向于請求更多的權(quán)限,在他們收集的樣本中,惡意程序平均需要11個,而良性程度需要4個。在前20名的權(quán)限中,惡意程序平均需要9個,而良性程序平均僅需要3個。由上,可以推斷出,惡意程序與良性程序在需要的請求的權(quán)限集合與組合上,有比較明顯的不同。2權(quán)限組合檢測根據(jù)前文所述及相關(guān)研究,筆者認為可以運用機器學習方法以權(quán)限組合為特征對Android惡意軟件進行檢測。在機器學習方法中,樸素貝葉斯方法(NaiveBayes,NB),是一種性能較好的分類方法,常用在文本分類上2.1)問題處理NB利用貝葉斯公式的特性,將先驗概率轉(zhuǎn)換成后驗概率,并為了簡化問題處理,采取了“樸素的假設(shè)”。它分類新實例的方法是在給定描述實例<a1,a2,……an>時,通過計算概率得到最可能的分類目標值。2.1.1大后驗假設(shè)（maximma索賠，模型）v2.1.2算法描述1)在(1)式中,估計P(v2)P(a3)估計2.2android惡意程序分類主要的問題是,把一定數(shù)量的良性程序與惡意程序的權(quán)限掃描統(tǒng)計出來,計算其概率。以[7]中總結(jié)出的所有權(quán)限作為權(quán)限字典D,作為特征屬性。1)從官方的Android市場2)筆者收集了一批惡意程序樣本,得到各程序權(quán)限,集合到一起,同(1)一樣,對各權(quán)限計數(shù)。3)記T=B+MT={<permission1,number1+number2>,……}4)對應到該分類的具體問題中,2.1.2中的“樣例”應為具體權(quán)限。1——代表是良性程序B0——代表是惡意程序Mnn——T總樣本數(shù)量各權(quán)限總數(shù)n|D|——權(quán)限字典中的權(quán)限數(shù)量5)在以上概率全部計算出來之后就可以預測新樣本:v3基于nb的研究方法1)樣本取得:從Google官方的Android市場下載200個程序(官方審核相對比較嚴格,假設(shè)全為良性程序)。包括了游戲娛樂類、工具類、系統(tǒng)管理類等程序。惡意樣本,來自筆者的收集,取200個,包括了一些主流惡意的程序,如:DroidKungFu,AnverseBot,BaseBridge,RootExpoit等。2)權(quán)限提取:基于開源項目androgurad3)用python語言實現(xiàn)了NB算法,按前文中的計算方式,計算相應的概率項。4)先隨機選取參與訓練的良性程序和惡意程序各50個進行分類實驗,再選擇未參與訓練的新樣本進行檢測,進行五輪實驗。實驗結(jié)果如下:其中,TP——truepositive真陽性,即檢測正確到惡意樣本數(shù)量FN——falsenegative假陰性,即檢測錯誤的惡意樣本數(shù)量FP——falsepositive假陽性,即檢測錯誤的良性樣本數(shù)量TN——truenegative真陰性,即檢測正確的良性樣本數(shù)量FPR——假陽率4android系統(tǒng)惡意軟件檢測技術(shù)研究本文介紹了Android系統(tǒng)的架構(gòu),分析了Android系統(tǒng)的安全機機制。針對Android特有的安全機制,提出一種利用機器學習算法檢測惡意軟件的方法,并進行了模擬實驗和分析,效果較好。今后,筆者將繼續(xù)對Android系統(tǒng)的惡意軟件檢測進行研究,具體涉及如增加樣本數(shù)量的訓練;將檢測模型移植到Android平臺上;研究惡意的軟件的除權(quán)限外的其他靜態(tài)特征;研究惡意軟件的運行時特征,hookAndroid的敏感API,建立惡意軟件的行為模式;尋找合適的機器學習算法,使模型具有更好的學