Android平臺(tái)的惡意代碼檢測(cè)技術(shù)的研究.pdf

1、得益于蘋(píng)果公司的IOS和Google公司的Android等操作系統(tǒng)的出現(xiàn)，移動(dòng)互聯(lián)網(wǎng)近些年來(lái)發(fā)展勢(shì)頭極其迅猛。智能手機(jī)在其中扮演了越來(lái)越重要的角色，智能手機(jī)的用戶群體不斷壯大，相應(yīng)的手機(jī)應(yīng)用也在海量增多，人們?cè)谏钪幸苍絹?lái)越依賴(lài)他們的手機(jī)，比如使用智能手機(jī)來(lái)存儲(chǔ)和處理聯(lián)系人等信息。而Android手機(jī)用戶更是占據(jù)了智能手機(jī)市場(chǎng)中很大的比例。
　　與此同時(shí)，由于以下的一些原因，使得 Android很容易成為惡意軟件的攻擊對(duì)象：

2、>　　1.一些Android應(yīng)用市場(chǎng)對(duì)用戶上傳的應(yīng)用，缺乏有效的檢測(cè)手段，使得惡意軟件通過(guò)應(yīng)用市場(chǎng)很容易感染相當(dāng)數(shù)量的智能手機(jī)設(shè)備。
　　2.Android用戶比較缺乏相應(yīng)的安全意識(shí)和知識(shí)。
　　3.Android系統(tǒng)本身的安全模型和權(quán)限機(jī)制具有很高的開(kāi)放性。
　　特別是進(jìn)入2011年以來(lái)，在Android平臺(tái)已經(jīng)發(fā)生了多起重大的安全事故。這使得尋找一種切實(shí)可靠的Android惡意代碼檢測(cè)技術(shù)顯得尤為重要。
　　

3、由于 Android的系統(tǒng)的開(kāi)源特性，在 Android系統(tǒng)出現(xiàn)之初，研究人員就對(duì)Android的源碼進(jìn)行過(guò)分析，提高了人們對(duì)Android系統(tǒng)中的沙盒技術(shù)，權(quán)限模型，組件封裝和程序簽名等機(jī)制的認(rèn)識(shí)，同時(shí)也促進(jìn)了對(duì)Android安全模型進(jìn)行改進(jìn)的研究。但目前，在Android惡意代碼檢測(cè)方面，由于手機(jī)平臺(tái)本身的特點(diǎn)限制，一些檢測(cè)手段無(wú)法進(jìn)行，而較簡(jiǎn)易的檢測(cè)手段對(duì)于現(xiàn)在的一些病毒來(lái)說(shuō)，收效甚微。近些年來(lái)的研究顯示，Android平臺(tái)的檢測(cè)

4、，大部分是比較簡(jiǎn)單的二進(jìn)制比對(duì)，在誤報(bào)率，漏報(bào)率和檢測(cè)效率等方面都不理想。
　　本文針對(duì)現(xiàn)階段的 Android檢測(cè)技術(shù)和一些解決方案，進(jìn)行了研究，主要取得以下成果：
　　1.給出一種較為完整的解決方案，一種動(dòng)態(tài)檢測(cè)和靜態(tài)的檢測(cè)相結(jié)合的檢測(cè)模型?？紤]到手機(jī)平臺(tái)的的局限性以及對(duì)檢測(cè)的可靠性，我們?cè)谑謾C(jī)端經(jīng)過(guò)預(yù)處理后，使用高效的比對(duì)算法進(jìn)行二進(jìn)制比對(duì)，同時(shí)通過(guò)網(wǎng)絡(luò)將APK中的class字節(jié)碼文件上傳到云端，通過(guò)在云端的虛擬機(jī)中運(yùn)

5、行執(zhí)行代碼，來(lái)進(jìn)一步檢測(cè)，從而提高檢測(cè)的可靠性。
　　2.給出了一種基于一種改進(jìn)統(tǒng)計(jì)學(xué)復(fù)雜度和NCD（Normalized Compression distance）序列比對(duì)算法。這種算法通過(guò)Hash去重和簡(jiǎn)單的聚類(lèi)算法，將目標(biāo)代碼和樣本代碼分別進(jìn)行聚類(lèi)，得到中間序列，再使用高效的壓縮算法對(duì)中間序列計(jì)算兩者之間的 NCD距離，通過(guò)距離的大小可以比對(duì)目標(biāo)代碼和樣本代碼的相似程度。
　　3.設(shè)計(jì)和實(shí)現(xiàn)了靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)的子系統(tǒng)