基于自組織映射的安卓惡意軟件分析研究

楊 佳，張慧翔，羅 怡，付俊平

(西北工業大學 自動化學院，陜西 西安 710072)

基于自組織映射的安卓惡意軟件分析研究

楊 佳，張慧翔，羅 怡，付俊平

(西北工業大學 自動化學院，陜西 西安 710072)

隨著Android系統日益廣泛的應用，其安全性也成為關注的焦點。由于Android系統的開放性，Android惡意軟件也與日俱增。分析Android惡意軟件，了解惡意行為，對惡意軟件檢測具有重要意義。文中首先總結了所收集的1 260個惡意樣本中表現的惡意行為；然后提取這些惡意樣本請求的權限信息與聲明的Action信息作為訓練的特征向量，采用自組織映射神經網絡算法對Android惡意軟件進行聚類分析；利用U-matrix算法的熱色圖分析不同惡意Android應用之間的聯系；利用組件平面圖分析了惡意軟件與單一特征之間的關系，了解特征參數與惡意行為的相關性。最后總結歸納了不同惡意行為頻繁使用的權限與Action特征。分析結果表明，文中所提方法能夠有效了解惡意行為的敏感特征信息組合，可為進一步的惡意Android應用檢測提供依據。

Android；惡意軟件；自組織映射；神經網絡；可視化

0 引 言

Android是目前最受歡迎的智能手機操作系統，據IDC全球季度智能手機報告顯示，2014年第四季度Android占據76.6%的市場份額[1]。然而Android惡意軟件也與日俱增，Sophos安全報告指出，到2014年收集了650 000個不同的Android惡意軟件樣本，每天有2 000新樣本被發現[2]。惡意軟件變種迅速，家族種類繁多，充分分析Android惡意軟件的行為特征，對惡意軟件檢測具有重要意義。

David等[3]提出了基于自組織映射(Self-Organizing Map,SOM)算法來分析Android權限安全模型，采用可視化方法分析應用程序與權限之間的關系。Eric等[4]采用SOM算法分析Android應用程序權限和日志信息模型，充分了解應用的申請權限和動態行為信息。這些研究表明，采用SOM算法能有效地分析Android應用與權限之間的聯系。但是，這些研究中分析的樣本均為Android良性程序，未考慮惡意程序。惡意程序的權限行為特征有待進一步分析。

目前，Android惡意軟件檢測的很多工作[5-6]都是提取AndroidManifest文件中的權限特征來分析的。但僅考慮權限特征的惡意軟件檢測準確率只能達到80%左右[7-8]。只考慮權限特征，不能充分反映Android應用程序的特性。AndroidManifest文件中的Action標記信息也能反映出惡意軟件的特點。Action代表Intent所需要完成的一個抽象的動作，Intent為Android應用的啟動意圖，Android應用將會根據Intent來啟動指定的組件[9]。惡意軟件在實現其惡意行為時，也需要聲明相應的Action[10]。

基于上述考慮，文中提出采用SOM算法對Android惡意軟件進行可視分析。通過提取惡意軟件樣本的權限和Action特征作為訓練的輸入向量，生成熱色圖來分析聚類結果，進一步采用組件平面來分析惡意軟件與單一特征之間的關系。最后，歸納總結惡意行為與權限、Action特征之間的相關性。

1 基于SOM的分析方法

文中使用來源于Android惡意軟件基因組的1 260個應用程序作為樣本集，共49個惡意家族[11]。在49個家族中，惡意行為主要表現為惡意扣費、遠程控制、隱私竊取、資費消耗、流氓軟件等。

通過apktool工具可得到惡意軟件的Androidmanifest.xml文件[12]，分別提取文件中與標簽中的信息，提取得到不同的權限有117個，Action有258個。利用這些權限與Action特征分別構造二元特征向量，用于訓練SOM模型。如果權限被申請或Action被聲明，對應向量中的特征為1，否則為0。

SOM算法是一種無監督聚類算法，將高維空間的樣本在保持拓撲結構不變的條件下投影到低維空間。無論輸入樣本空間是多少維，其模式都可以在SOM網輸出層的某個區域得到響應。SOM網絡經過訓練以后，在高維空間輸入相近的樣本，其輸出相應的位置也相近[13]。將輸入向量通過SOM訓練得出二維可視化結果，采用熱色圖來顯示臨近權值大小。另外，每個特征參數的組件平面圖，可用于分析每一個競爭神經元和輸入數據單個特征之間的關系。組件平面分析被認為是SOM的一種切片的可視化圖[14]。

2 基于SOM的權限分析

(1)聚類結果分析。

圖1為SOM網絡臨近權值距離的可視化圖，通過熱色圖表示了神經元之間的臨近關系，熱色圖的范圍是根據灰色圖的不同灰度值，從黑色到白色的256階的灰度范圍，其中小六邊形代表神經元，之間灰色線連接鄰近的神經元，神經元之間的區域表示連接的權值，越亮的區域表示權值越大，神經元之間的距離越小，反之亦然。

圖1 權限的臨近權值距離圖

為了更好地分析結果，將家族類別標記于神經元上，標記SOM神經元采用勝者為王的規則。要注意的是，雖然有些惡意軟件請求相似權限，只能意味著它有相似的功能特點，并不意味是同一家族的，所以會導致在基于惡意家族分類時的誤分。有時候一個神經元的初始權值向量離輸入向量太遠，以至于它從未在競爭中獲取勝利，因而也從未得到學習，將形成毫無用處的“死”神經元。圖2是聚類的標記結果。

圖2 聚類的標記結果

圖1中有幾處神經元之間的顏色較亮，其距離較近，分別為同一家族，但卻在不同神經元中，意味著來自相同家族的惡意軟件請求不同的權限，其行為也不相同。不同家族的惡意軟件也可能被分在同一神經元中，例如圖2中的右下角部分，這就意味著不同種類的軟件有時也會請求相同的權限。圖1中左上角的神經元之間的距離比較小，對應的是AnserverBot家族，最復雜的惡意家族之一,占總樣本數的14.8%，包括重打包和自更新的惡意APK。

圖2中右上角基本上是DroidKungFu家族，以及它的后期衍生版本。該家族數量比較多，占據總樣本數的37.5%。DroidKungFu病毒的主體是一個Android原生程序，通常被捆綁到正常的軟件中，用戶只要安裝這個軟件就會感染病毒。該家族的惡意行為也從原先下載惡意廣告軟件到現在的篡改手機系統，連接遠程的服務器接收控制指令等。

(2)組件平面分析。

該部分提供了個別維度的組件平面分析圖，顏色越亮的區域代表較大的權重，聯系越強，反之亦然。即亮顏色區域表示頻繁使用，而暗顏色區域表示罕見使用。

惡意扣費類的惡意軟件主要特征就是會在系統后臺執行扣費操作，如自動發送短信或彩信、自動撥打電話或者自動聯網消耗流量等方式，對用戶造成經濟損失。從圖3中(a)可以看出，在數據集中90%以上申請INTERNET權限。例如DroidKunFu3中(94bf70ca8c44 4b7bec79efa0807a282fb8c61964.apk)開機自啟動，并含有12條廣告，常見有微云、有米廣告等，該應用程序會大量消耗流量。如圖3(g)、(h)所示，RECEIVE_SMS和SEND_SMS平面圖比較相近，這意味著這些權限是成對出現的，且權限之間的關系也緊密，在數據集中就有45%惡意軟件都有與短信相關的惡意功能。例如BgServ家族中(03f9fc8769422 f66c59922319bffad46d0ceea94.apk)主要惡意行為是發送短信內容“1234567”至10086；攔截包含“10086”的短信號碼。如圖3中(m)、(n)所示，CALL_PHONE允許應用程序在用戶不介入的情況下撥打電話。惡意應用程序可借此在您的話費單上產生意外通話費。PROCESS_OUTGOING_CALLS攔截外撥電話，允許應用程序處理外撥電話或更改要撥打的號碼。惡意應用程序可能會借此監視，自行轉接甚至阻止外撥電話。

遠程控制通常分為兩種，通過發送短信或者通過網絡來進行遠程控制。基于網絡控制的惡意軟件通常會申請圖3(a)的INTERNET權限，數據集中93%的惡意軟件使用基于HTTP的網絡流量來接收遠程服務器的命令。例如DroidCoupon中(1c0a6b1c5d24cbba9 b11020231fffc0840dd7e10.apk),會在后臺啟動負載，同遠程的C&C服務器(http://a.xxxxxxx-inc.net:9000)通信，然后從服務器接收指令，下載并安裝附加的軟件到設備上。基于短信控制的惡意軟件，會成對申請圖3(e)～(h)的權限。例如NickyBot(f8eac76f3c50be40 945cc562a53f5c661454cd.apk)同時申請READ_SMS，WRITE_SMS，RECEIVE_SMS和SEND_SMS權限,通過短信進行惡意操作。

隱私竊取類主要是竊取用戶的敏感信息，并將這些信息發送給指定的接收者。獲取用戶地理位置會成對地申請圖3中(i)，(j)和(k),(l)，惡意應用程序可能會借此確定您所處的位置，并可能消耗額外的電池電量。例如GoldDream家族中(2950164750c6e36322 f1dac810a7a4b4.apk)，該應用就是快速耗電惡意軟件，運行后在鎖屏待機下，未注銷GPS，手機無法進入休眠狀態，導致手機電量快速流失。竊取隱私的惡意軟件還可能讀取手機狀態，讀取短信、聯系人等行為。如圖3(b)，(e)，(o)所示，惡意軟件頻繁申請READ_PHONE_STATE,READ_SMS,READ_CONTACTS的權限。

圖3 申請權限組件平面分析圖

流氓軟件類主要是強行安裝和難以卸載，即使用戶拒絕安裝，它也會在后臺自動安裝。流氓軟件會通過聯網后臺下載惡意軟件，申請如圖3(a)，(c)，(d)所示的三個權限INTERNET，INSTALL_PACKAGES，DELETE_PACKAGES。例如JSMSHider家族的主要惡意行為就是樣本運行后就會嘗試獲得root權限來安裝惡意apk。

3 基于SOM的Action分析

(1)聚類結果分析。

如圖4所示，大部分的神經元之間的距離都比較相近，聲明的Action比較相近，除去偏上中間的位置填充著黑色陰影。圖中右上角偏下區域填充著亮白色，根據結果可知，該區域對應的是DroidKungFu家族，在數據集中該家族有473個樣本，該家族是重打包應用程序，在原有的APK中嵌入惡意病毒，主要聲明了BOOT_COMPLETED相關的Action，可以自動啟動服務，不需要與用戶交互，用戶察覺不到惡意服務在后臺運行，收集竊取信息。圖中左上角區域神經元的距離比較相近，屬于AnserverBot家族，聲明了10種不同的Action，大量的Action會加快應用程序的惡意行為。

圖4 Action的臨近權值距離圖

(2)組件平面分析。

圖5(a)、(b)所聲明的Action在惡意軟件中是頻繁使用的。隱私竊取、惡意扣費類的惡意軟件一般會聲明這些Action。android.intent.action.MAIN是程序的入口，惡意軟件通常會在激活其他惡意的服務。Zsone家族中 (00d6e661f90663eeffc10f64441b170 79ea6f819.apk)在程序入口中通過點擊屏幕操作來調用發送短信的代碼。android.intent.action.BOOT_COMPLETED是程序自啟動服務，由圖5(b)可以看出80%以上的惡意軟件都聲明了，Pjapps家族中(f051eeab57e42d569d298a d076c9fb47610e201e.apk)通過開機自啟動來觸發啟動服務com.android.MainService，執行被植入的惡意軟件。該服務是主要的惡意模塊，訪問指定的網站，發送短信。

圖5 申請Action組件平面分析圖

由圖5(c)看出，惡意扣費、遠程控制類惡意軟件與短信有關的惡意行為都會聲明android.provider.Telephony.SMS_RECEIVED，占據樣本的60%以上的惡意家族。該Action主要是監控短信，攔截或響應傳入的短信。HippoSMS家族中(619389e71656f3198ede0b 249c45455898d60483.apk)注冊短信接收消息，發送短信內容“8”至1066156686，發送這些短信與訂購SP服務，暗中扣費有關。攔截短信號碼是“10”的短信，使SP返回的短信無法被用戶查看。Zsone家族中(31c8bd21fff04f233e0f00e9c8007bb37 c567544.apk)注冊該事件，攔截短信號碼以10086或者10000開始的短信。

圖5(d)～(f)廣播消息通常成對被聲明，分別是有應用程序被添加，有應用程序被刪除和應用程序被替換。通過這三個廣播消息可以監控到Android應用程序的安裝和刪除。通常流氓軟件會在后臺下載一些惡意程序，在Android中安裝和卸載程序時通常會有系統廣播，但是一些惡意木馬等通過屏蔽廣播等手段，使得用戶不知道后臺私自下載程序。圖中右下角神經元填充著亮白色，家族jSMSHider全部注冊這些事件，該病毒在用戶手機安裝后無圖標，會私自下載具有惡意行為的應用，并嘗試獲得root權限進行安裝，花費用戶的流量。

最后，總結歸類了惡意行為中相對應的頻繁申請的權限及Action，如表1所示。

表1 惡意行為對應頻繁申請權限及Action

4 結束語

文中采用SOM算法對Android惡意軟件進行分析研究。通過提取惡意軟件中的權限及Action特征，利用SOM熱色圖與組件平面圖，分析了不同家族惡意軟件的權限與Action使用情況。最后，總結歸納了各種惡意行為對應頻繁申請權限及Action。根據這些特點，可為惡意軟件檢測提供參考，以提高檢測的精度。這也是下一步要進行的工作。

[1] IDC. Smartphone OS market share,Q42014[R/OL].2014.http://www.idc.com/prodserv/smartphone-os-market-share.jsp.

[2]SvajcerV.Sophosmobilesecuritythreatreport[R/OL].2014.http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobilesecurity-threat-report.ashx.

[3]BarreraD,KayacikH.Amethodologyforempiricalanalysisofpermission-basedsecuritymodelsanditsapplicationtoandroid[C]//Proceedingsofthe17thACMconferenceoncomputerandcommunicationssecurity.[s.l.]:ACM,2010:73-84.

[4]FinickelE,LahmadiA.EmpiricalanalysisofAndroidlogsusingself-organizingmaps[C]//ProcofIEEEinternationalconferenceoncommunications.[s.l.]:IEEE,2014:1802-1807.

[5] 張 銳,楊吉云.基于權限相關性的Android惡意軟件檢測[J].計算機應用,2014,34(5):1322-1325.

[6] 張葉慧,彭新光,蔡志標.基于類別以及權限的Android惡意程序檢測[J].計算機工程與設計,2014,35(5):1568-1571.

[7] 彭國軍,李晶雯,孫潤康,等.Android惡意軟件檢測研究與進展[J].武漢大學學報:理學版,2015,61(1):21-33.

[8] 楊 歡,張玉清,胡予濮,等.基于權限頻繁模式挖掘算法的Android惡意應用檢測方法[J].通信學報,2013,34(Z1):106-115.

[9] 胡文君,趙 雙,陶 敬,等.一種針對Android平臺惡意代碼的檢測方法及系統實現[J].西安交通大學學報,2013,47(10):37-43.

[10] 邊 悅,戴 航,慕德俊.Android惡意軟件特征研究[J].計算機技術與發展,2014,24(11):178-181.

[11]ZhouYajin,JiangXuxian.DissectingAndroidmalware:characterizationandevolution[C]//ProcofIEEEsymposiumonsecurityandprivacy.SanFrancisco,CA:IEEE,2012:95-109.

[12] 樓赟程,施 勇,薛 質.基于逆向工程的Android惡意行為檢測方法[J].信息安全與通信保密,2015(4):83-87.

[13]KohonenT.Self-organizingmaps[M].3rded.[s.l.]:Springer,2001.

[14] 芮小平,張立強.基于SOM的多維信息可視化研究[J].應用基礎與工程科學學報,2011,19(3):379-388.

Research on Empirical Analysis of Android Malware Based on SOM

YANG Jia,ZHANG Hui-xiang,LUO Yi,FU Jun-ping

(School of Automation,Northwestern Polytechnical University,Xi’an 710072,China)

With the increasingly extensive application of Android operation system,its security becomes the focus of attention.Due to the openness of Android OS,malicious applications grow rapidly.In order to detect malicious applications,the primary task is to analyze the malicious behaviors of Android malwares.In this paper,the malicious behaviors are summarized from 1260 collected samples firstly.Then,the Self-Organizing Map (SOM) algorithm is used to perform visual analysis for Android malwares.The requested permissions and declared actions in the manifest files of Android applications are retrieved as the features to train the classifier.The SOM clustering results are visualized by heat color map using U-matrix algorithm,and then the component plane analysis of SOM is used to understand the correlation between features and malicious behaviors.In the end,the malicious behaviors and their corresponding features are summarized.The result of experiments shows that the method is practical,and can identify the combination of sensitive characteristic from malicious behavior.These are helpful for Android malware detection.

Android；malware；self-organizing map；neural networks；visualization

2015-04-15

2015-07-22

時間：2016-01-04

國家自然科學基金資助項目(61303224)；西北工業大學研究生創業種子基金(Z2015126)

楊 佳(1991-)，女，碩士研究生，CCF會員，研究方向為網絡與信息安全；張慧翔，碩士生導師，CCF會員，研究方向為網絡與信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160104.1510.044.html

TP31

A

1673-629X(2016)01-0086-04

10.3969/j.issn.1673-629X.2016.01.018