基于流量相似度的Android二次打包應用檢測技術研究.pdf

1、近年來，由于Android平臺的開放性，Android應用的數(shù)量正在快速地增長著。與此同時，越來越多的惡意應用制造者也瞄準了Android這個平臺。惡意應用制造者通過在 Andro id應用中嵌入惡意代碼來執(zhí)行某些特定地惡意行為，如惡意扣費、竊取私密信息或將 Android手機變成僵尸網(wǎng)絡中的僵尸結點等。本文將這種對應用進行修改或植入代碼后再打包的應用稱之為二次打包應用。由于這種二次打包應用給用戶帶來了巨大的安全隱患，如何檢測它們便成為

2、了用戶和應用市場提供者急需解決的問題。現(xiàn)有的一些檢測方法主要是從應用的靜態(tài)代碼中提取靜態(tài)的應用特征，并作應用相似度的計算。這些方法簡單、成熟，但卻無法應對日益成熟的代碼模糊技術，且無法分析應用的動態(tài)行為特征。于是本文提出了一種快速、可擴展的基于應用運行時所產生的流量的相似度來檢測二次打包應用的檢測技術，這是一種全新的檢測技術。
　　此檢測技術首先需要建立一個 Andro id應用的流量相似度模型。此模型可以準確地捕獲 Androi

3、d應用運行時所產生的流量，并將其解析為流，以形成流圖，之后再將其分入不同的流圖集合中，最后所得到的流圖集合就此應用的流量特征。為了能準確地計算出應用的流量特征相似度，本文還提出了一整套流、流圖以及流圖集合的相似度計算算法。其次，此檢測技術還需要一個比較查詢方法以便快速地查詢出相似的應用對。本文從不同的檢測目標出發(fā)，分別提出了基于流量相似度的成對比較檢測系統(tǒng)和基于流量相似度的平衡 VP-Tree檢測系統(tǒng)。這兩個檢測系統(tǒng)各有千秋，都能在其各

4、自的檢測領域里快速地查詢出二次打包應用。
　　本文最后實現(xiàn)了流量相似度模型以及兩個檢測系統(tǒng)的原型，并用其對6個市場（包括官方市場）共7619個應用分別進行了檢測。最后共檢測出658個二次打包應用，打包率在5.05％到12.13%之間，平均打包率為8.64%。在此結果上，本文再對二次打包應用進行了仔細地檢測分析。發(fā)現(xiàn)二次打包應用總是比其原始應用產生更多的流量，那是因為其被額外地添加了一些廣告以賺取廣告收入并竊取用戶私密信息，有的還被