基于KNN算法的Android應(yīng)用異常檢測(cè)技術(shù)研究.pdf

1、隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，移動(dòng)智能終端用戶的數(shù)量呈現(xiàn)爆炸式的增長(zhǎng)。Android系統(tǒng)以其低廉的引入成本，良好的用戶體驗(yàn)和較強(qiáng)的開放性等特點(diǎn)成為市場(chǎng)份額第一的操作系統(tǒng)。同時(shí)由于Android系統(tǒng)的開放性，它也成為眾多惡意代碼開發(fā)者的活躍地盤?；诘谌绞袌?chǎng)的開放性，任何人（包括惡意軟件開發(fā)者）都可以向應(yīng)用市場(chǎng)提交應(yīng)用。用戶通過所有不可靠途徑得到的應(yīng)用程序很有可能被植入了惡意代碼，這些惡意代碼可對(duì)用戶實(shí)施惡意扣費(fèi)、竊取隱私、系統(tǒng)破壞等惡意目

2、的，嚴(yán)重干擾到用戶的正常使用。因此，如何對(duì)發(fā)布到互聯(lián)網(wǎng)及應(yīng)用商店的應(yīng)用程序的安全性進(jìn)行有效的檢測(cè)和評(píng)測(cè)，無論是對(duì)應(yīng)用市場(chǎng)的監(jiān)管方還是對(duì)終端用戶來說都具有非常重要的意義。
　　本文通過對(duì)國(guó)內(nèi)外研究現(xiàn)狀進(jìn)行分析，在深入研究Android系統(tǒng)架構(gòu)基礎(chǔ)之上，提出僅將良性樣本作為訓(xùn)練集來實(shí)現(xiàn)對(duì)未知Android應(yīng)用進(jìn)行異常檢測(cè)的方法，主要研究重點(diǎn)包括:
　　(1)深入研究Android系統(tǒng)架構(gòu)及主要安全機(jī)制，除了Linux本身的安全機(jī)

3、制外，Android系統(tǒng)增加了幾個(gè)特有的安全框架來提升應(yīng)用的安全性，設(shè)置了應(yīng)用簽名、沙盒運(yùn)行和權(quán)限審核3項(xiàng)重要的安全機(jī)制。并從不同層面分析了Android系統(tǒng)面臨的安全問題。
　　(2)對(duì)目前主流的惡意應(yīng)用類型及檢測(cè)方法進(jìn)行深入分析與總結(jié)。Android平臺(tái)下的惡意軟件主要包括3大類，分別是安裝攻擊、功能觸發(fā)以及惡意負(fù)載。國(guó)內(nèi)外典型的Android平臺(tái)惡意應(yīng)用檢測(cè)技術(shù)主要分為兩類:基于惡意應(yīng)用簽名的檢測(cè)方法和基于行為的檢測(cè)方法。<

4、br>　　(3)提出僅將良性樣本作為訓(xùn)練集來實(shí)現(xiàn)對(duì)未知Android應(yīng)用進(jìn)行異常檢測(cè)的方法。課題組通過靜態(tài)分析技術(shù)提取能夠反映Android應(yīng)用行為的權(quán)限、組件、代碼等11類特征，本文使用歸一化技術(shù)對(duì)這些特征數(shù)據(jù)進(jìn)行處理，最后采用最近鄰(KNN)機(jī)器學(xué)習(xí)算法建立良性應(yīng)用行為模型，進(jìn)而通過該模型實(shí)現(xiàn)對(duì)未知Android應(yīng)用的異常檢測(cè)。大量的實(shí)驗(yàn)結(jié)果表明該算法在檢測(cè)率上能取得較好的實(shí)驗(yàn)效果。檢測(cè)系統(tǒng)在誤報(bào)率10％的情況下能達(dá)到95％的檢測(cè)率