基于KNN算法的Android應(yīng)用異常檢測技術(shù)研究.pdf

1、隨著移動互聯(lián)網(wǎng)的快速發(fā)展，移動智能終端用戶的數(shù)量呈現(xiàn)爆炸式的增長。Android系統(tǒng)以其低廉的引入成本，良好的用戶體驗和較強的開放性等特點成為市場份額第一的操作系統(tǒng)。同時由于Android系統(tǒng)的開放性，它也成為眾多惡意代碼開發(fā)者的活躍地盤。基于第三方市場的開放性，任何人（包括惡意軟件開發(fā)者）都可以向應(yīng)用市場提交應(yīng)用。用戶通過所有不可靠途徑得到的應(yīng)用程序很有可能被植入了惡意代碼，這些惡意代碼可對用戶實施惡意扣費、竊取隱私、系統(tǒng)破壞等惡意目

2、的，嚴重干擾到用戶的正常使用。因此，如何對發(fā)布到互聯(lián)網(wǎng)及應(yīng)用商店的應(yīng)用程序的安全性進行有效的檢測和評測，無論是對應(yīng)用市場的監(jiān)管方還是對終端用戶來說都具有非常重要的意義。
　　本文通過對國內(nèi)外研究現(xiàn)狀進行分析，在深入研究Android系統(tǒng)架構(gòu)基礎(chǔ)之上，提出僅將良性樣本作為訓(xùn)練集來實現(xiàn)對未知Android應(yīng)用進行異常檢測的方法，主要研究重點包括:
　　(1)深入研究Android系統(tǒng)架構(gòu)及主要安全機制，除了Linux本身的安全機

3、制外，Android系統(tǒng)增加了幾個特有的安全框架來提升應(yīng)用的安全性，設(shè)置了應(yīng)用簽名、沙盒運行和權(quán)限審核3項重要的安全機制。并從不同層面分析了Android系統(tǒng)面臨的安全問題。
　　(2)對目前主流的惡意應(yīng)用類型及檢測方法進行深入分析與總結(jié)。Android平臺下的惡意軟件主要包括3大類，分別是安裝攻擊、功能觸發(fā)以及惡意負載。國內(nèi)外典型的Android平臺惡意應(yīng)用檢測技術(shù)主要分為兩類:基于惡意應(yīng)用簽名的檢測方法和基于行為的檢測方法。<

4、br>　　(3)提出僅將良性樣本作為訓(xùn)練集來實現(xiàn)對未知Android應(yīng)用進行異常檢測的方法。課題組通過靜態(tài)分析技術(shù)提取能夠反映Android應(yīng)用行為的權(quán)限、組件、代碼等11類特征，本文使用歸一化技術(shù)對這些特征數(shù)據(jù)進行處理，最后采用最近鄰(KNN)機器學(xué)習(xí)算法建立良性應(yīng)用行為模型，進而通過該模型實現(xiàn)對未知Android應(yīng)用的異常檢測。大量的實驗結(jié)果表明該算法在檢測率上能取得較好的實驗效果。檢測系統(tǒng)在誤報率10％的情況下能達到95％的檢測率