基于動(dòng)態(tài)分析的Android惡意應(yīng)用檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著移動(dòng)互聯(lián)網(wǎng)的迅猛發(fā)展，智能終端設(shè)備的數(shù)量呈現(xiàn)指數(shù)級(jí)的增長(zhǎng)。Android平臺(tái)由于用戶體驗(yàn)良好以及開源性的特點(diǎn)而迅速發(fā)展。與此同時(shí)，由于Android系統(tǒng)開源的特點(diǎn)，其正受到惡意應(yīng)用越來越大的沖擊，Android系統(tǒng)安全形勢(shì)日益嚴(yán)峻。目前Android惡意應(yīng)用檢測(cè)主要包括靜態(tài)分析和動(dòng)態(tài)分析。傳統(tǒng)的靜態(tài)分析方案抗混淆、加密效果差，并且由于無法真實(shí)的模擬應(yīng)用程序的動(dòng)態(tài)行為以進(jìn)行更進(jìn)一步的分析，因此普遍存在誤報(bào)的問題。所以抗混淆、加密效果較

2、好的動(dòng)態(tài)分析方案越來越受到重視。然而目前動(dòng)態(tài)分析中常用的特征并不能達(dá)到理想的效果。因此研究如何發(fā)現(xiàn)并提取新的且有效的特征來更好的刻畫惡意應(yīng)用的行為，并應(yīng)用到動(dòng)態(tài)分析檢測(cè)中，從而提高動(dòng)態(tài)分析的檢測(cè)率成為當(dāng)前動(dòng)態(tài)分析研究的重點(diǎn)。
　　本文通過對(duì)模擬器中運(yùn)行的正常與惡意應(yīng)用的行為及日志數(shù)據(jù)進(jìn)行分析與研究，總結(jié)提出了6類動(dòng)態(tài)分析的新加特征，并結(jié)合以往動(dòng)態(tài)分析中常用的特征，一起應(yīng)用到動(dòng)態(tài)分析中，有效的提高了動(dòng)態(tài)分析的檢測(cè)率并降低了誤報(bào)率。并

3、最終在此基礎(chǔ)上實(shí)現(xiàn)了Android惡意應(yīng)用動(dòng)靜態(tài)分析系統(tǒng)——DroidVet。
　　總結(jié)主要研究重點(diǎn)為:
　　研究了Android系統(tǒng)架構(gòu)以及Android應(yīng)用程序核心組件;分析了Android系統(tǒng)主要的安全機(jī)制，即除了Linux本身的安全機(jī)制外，Android系統(tǒng)自身特有的安全框架如數(shù)字簽名、沙箱、訪問控制、權(quán)限審核等。
　　研究分析了目前動(dòng)態(tài)分析中常用的特征，如文件訪問、數(shù)據(jù)泄露、權(quán)限泄露、動(dòng)態(tài)加載、網(wǎng)絡(luò)數(shù)據(jù)等。并

4、對(duì)Android應(yīng)用程序在模擬器中運(yùn)行的行為與日志數(shù)據(jù)進(jìn)行分析，總結(jié)提出了6類動(dòng)態(tài)分析新加特征。將6類新加特征與目前動(dòng)態(tài)分析中普遍使用的9類常用特征相結(jié)合，應(yīng)用于動(dòng)態(tài)分析中，并使用支持向量機(jī)(SVM)、決策樹(Decision Tree)、隨機(jī)森林(Random Forest)進(jìn)行數(shù)據(jù)分類處理。經(jīng)過實(shí)驗(yàn)，驗(yàn)證了本文提出的6類新加特征的有效性和實(shí)用性。
　　實(shí)現(xiàn)了Android惡意應(yīng)用動(dòng)靜態(tài)分析系統(tǒng)——DroidVet。該系統(tǒng)對(duì)上傳