安卓应用程序若干典型特征刻画及其恶意行为检测方法在移动互联网浪潮的推动下,智能手机正逐渐渗透到衣食住行等人们生活的各个领域。作为承载移动互联网服务和存储用户数据的综合平台,智能手机已经成为连接真实世界和数字空间的纽带,并将进一步改变人与人以及人与世界的联结方式。然而,智能手机在带来巨大变革的同时,也引发了新的安全风险和隐私威胁。目前,人们迫切关怀的和亟待解决的问题是手机恶意应用的爆发和持续高速增长。安卓系统作为移动智能终端最流行的操作系统,首当其冲受到恶意应用的危害。如何有效检测安卓恶意应用,将恶意应用从规模庞大的安卓应用商店中清除出去,保护手机用户的信息、设备和财产安全,已经成为移动互联网进展中亟待解决的问题。本文主要讨论安卓恶意应用行为分析与检测问题,核心是寻求能够有效刻画安卓应用行为、区分正常和恶意应用的特征与检测方法。收集了来自不同渠道(如官方应用市场、国内多个第三方应用市场、反病毒公司、安全讨论团队等)、不同时间的(跨度超过两年的)正常和恶意应用样本,针对这些样本进行讨论和分析,提出并评估了基于若干典型安卓应用行为特征(权限、11 种静态特征以及分布表示的 API 特征等)的恶意应用检测方法。并且,针对这些典型特征,本文比较了权限带来的风险大小、分析了 11 种特征区分正常和恶意应用的能力以及检测效果的持久性,还讨论了基于卷积神经网络的恶意应用家族分类。具体而言,本文的主要工作包括:(1)从安卓系统的核心安全机制出发,系统地分析了安卓系统权限请求所带来的风险,并深化讨论了基于风险权限的安卓恶意应用检测方法的有效性和局限性。首先,全面分析了单个权限以及相互协作的权限组合可能引起的安全风险。采纳三种特征排序方法,即互信息法、相关系数法和 t-检验方法,基于安卓权限的风险对权限进行排序,并利用前向选择方法以及主成分分析法识别风险权限子集。其次,利用支持向量机、决策树以及随机森林等分类算法评估了基于风险权限检测恶意应用的可行性。最后,对检测结果深化分析,深化讨论了基于权限请求的恶意应用检测方法的有效性及局限性。在一个包含 310,926 个正常应用和 4,868 个恶意应用的样本集上评估了所提出的基于风险权限的恶意应用检测方法。实验结果显示,基于风险权限的恶意应用检测方法的检测效果能够满足实际需要(误报率为 0.6%时检测率达到94.62%)。(2)从安卓应用样本中提取 11 种静态特征(包括 8 种已有特征和 3 种新增特征),在大量实...
