基于混合特征的惡意安卓程序檢測方法研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術的日益發(fā)展，互聯(lián)網(wǎng)平臺已逐步開始由傳統(tǒng)PC端轉向移動端。對比PC端的互聯(lián)網(wǎng)時代，智能手機端是一個隱私數(shù)據(jù)高度密集的平臺。應用程序可以通過特定系統(tǒng)接口隨意獲取如通訊錄、短信甚至資金賬號密碼等敏感數(shù)據(jù)信息。然而基于目前許多應用商城對待發(fā)布應用的檢測審核工作不夠完善，為了保證 Android用戶的數(shù)據(jù)安全和促進整個生態(tài)的健康發(fā)展，基于Android平臺惡意軟件的檢測至關重要。
　　基于Android平臺的惡意程序檢測研究通

2、常分為動態(tài)或靜態(tài)方法。動態(tài)方法指通過代碼插樁，可以在程序運行時動態(tài)收集其行為特征數(shù)據(jù)，而靜態(tài)方法通過反編譯 Apk文件，分析源代碼并提取程序的特征，根據(jù)特征數(shù)據(jù)來建立檢測模型。無論是動態(tài)還是靜態(tài)方法，提取的特征可分為兩類：1）語法特征：如權限和 Intent-Action；2）語義特征：如 Api調用鏈。缺點是單獨基于語法特征的方法需要跟隨技術的不斷更新特征組合，特征庫的維護成本較大。優(yōu)點是檢測速度快，算法復雜度低；單獨基于語法特征的方

3、法優(yōu)點在于能夠準確反映程序行為，但是特征數(shù)據(jù)復雜，不利于檢測模型的訓練。因此，根據(jù)單一語法或語義特征的方法都存在一定的弊端。
　　本文提出一種混合提取語法和語義特征的檢測方法，語義特征為基于類抽象的污點傳播路徑集合，并結合權限聲明和Intent-Action等語法特征，對特征規(guī)范化后應用k-means算法訓練樣本集生成惡意程序家族的特征向量，應用歐式距離檢測未知程序與特征向量的相似度?；贔lowDroid實現(xiàn)原型系統(tǒng)，對400個