Android Apps行為建模與檢測關鍵技術研究.pdf

1、隨著移動網(wǎng)、傳感網(wǎng)、物聯(lián)網(wǎng)的飛速發(fā)展以及BYOD(Bring Your Own Device)辦公模式的日益流行，安裝在移動設備和智能終端的Android Apps廣泛應用于關乎國計民生的各個領域，涉及金融、稅務、工商、交通、電力、社交、通訊等諸多行業(yè)，如何保障其安全性已經(jīng)成為移動互聯(lián)網(wǎng)乃至物聯(lián)網(wǎng)發(fā)展過程中所面臨的重要問題。建立一個有效的行為分析與檢測模型是解決這一問題的重要手段之一，也是當前移動安全領域的研究熱點。但由于移動終端的動態(tài)

2、性、無邊界性、處理能力弱、容量有限等固有的特點使傳統(tǒng)的安全方法和技術無法直接應用。為了提升并發(fā)執(zhí)行性能，Android Apps廣泛采用的多線程和組件間通信等技術，也引入了大量不確定性和安全性問題?，F(xiàn)有的行為建模與檢測技術在描述行為的交互和并發(fā)特征、降低建模的復雜度等方面尚存在不足。針對這些問題，本文的主要研究工作如下。
　　首先，針對現(xiàn)有方法不能有效對Android Apps行為的并發(fā)和交互特征進行建模的問題，提出一種基于PiD

3、roid進程代數(shù)的行為形式化描述及映射機制。利用逆向分析和代碼優(yōu)化技術，通過控制流和數(shù)據(jù)流分析提取出行為特征。通過擴展Pi演算構建適合于Android Apps行為建模特點的PiDroid，并依據(jù)PiDroid的語法語義及進程等價概念，將提取的行為特征進行了形式化映射，建立起軟件行為與PiDroid進程代數(shù)語義的對應關系，奠定了軟件行為的形式化基礎。
　　其次，針對現(xiàn)有行為檢測模型無法有效地表示和檢測Android Apps中多線

4、程、事件驅動和異步調(diào)度引入的并發(fā)行為的問題，給出一種并發(fā)行為分析和檢測方法。給出并發(fā)行為的映射方法并形式化的描述了應用程序中時序、交互、同步和互斥等并發(fā)特征。構建了并發(fā)行為的演算規(guī)則和遷移規(guī)則，探討了依據(jù)這些規(guī)則進行并發(fā)行為檢測的方法和步驟，給出了行為檢測算法。通過理論分析和實驗驗證，論證了該方法的精確性和效率。
　　再次，通過深入探討Android Apps組件間通信機制所引入的交互性問題，提出了一種Android Apps組件

5、間通信的行為分析和檢測方法。通過分析數(shù)據(jù)流圖和數(shù)據(jù)事實得到數(shù)據(jù)依賴關系，并跟蹤跨組件邊界的控制流和數(shù)據(jù)流，構建了組件間通信模型并進行了形式化映射。依據(jù)該模型，給出了運行時檢測敏感路徑觸發(fā)的算法，并通過分析Intent的異常來檢測組件劫持攻擊。通過實驗驗證和對比分析，論證了所提出方法的建模和檢測效率以及行為檢測的有效性。
　　最后，構建了一個統(tǒng)一的行為檢測模型，給出模型的總體框架、行為建模和檢測的整體步驟。通過對權限提升攻擊案例的分