基于支持向量機的Androdi惡意軟件靜態檢測技術的研究

苗發彪　王晴

[摘要]隨著Android系統的流行與普及，Android軟件的種類和數目激增，但是其中存在著不少竊取用戶隱私、惡意扣費的軟件。因此，Android惡意軟件的檢測技術一直是人們關注和研究的熱點。論文在介紹支持向量機以及Android惡意軟件檢測后，將二者有效地結合，構建由權限、監聽的系統事件、敏感API以及權限率組成的特征向量，并且建立了基于支持向量機的Android惡意軟件靜態檢測模型。最后，論文通過模型的測試驗證了該方法的有效性。

[關鍵詞]Android；惡意軟件；支持向量機；靜態檢測

1 引言

Android惡意軟件由于直接危害人們的日常生活，所以一直是工業界和學術界的研究熱點。Android惡意軟件的檢測技術大致分為動態檢測技術和靜態檢測技術。動態檢測技術將軟件運行在一個模擬的封閉環境，通過共享庫注入和hook技術獲取軟件運行時調用的函數，從而進行行為分析。其正確率高，但是檢測過程相對復雜，消耗資源較多，而且在自動化測試軟件時很難激活所有的軟件的行為。靜態檢測技術是在不運行軟件的前提下，對給定軟件所申請的權限以及反編譯得到的Dalvik字節碼的語法和語義進行分析。其正確率同樣較高，速度快，自動化程度高。但是靜態檢測技術對未知軟件進行檢測時準確率較低，即惡意軟件特征的普適性較差。

2 Android惡意軟件檢測與支持向量機

Android惡意軟件本質是一個分類問題，而機器學習來解決分類問題是當前社會的熱點。用機器學習來實現Android惡意軟件的檢測，需要將Android軟件抽象為一個特征向量，選取合適的算法和訓練數據建立模型，進而對未知的軟件進行惡意檢測。這樣，Android惡意軟件檢測的正確率很大程度上取決于訓練數據的數量、算法的合適度與參數、以及特征向量的構建。在眾多的機器學習算法中，支持向量機可以較好地實現高維數據分析，滿足惡意軟件特征向量維度較高的特性。

支持向量機（support Vector Machine，SVM）是源于統計學習理論，常用于回歸分析和統計分類，已經成功運用于很多生產與實驗環境中。其思想就是根據樣本的分布尋找最佳分類器。在眾多可以將樣本分開的分類器中，只有一個分類器與每個類別中最近的樣本的距離最大，稱之為最大間隔超平面。

3 模型的框架與樣本收集及預處理

3.1 模型的框架

該模型的框架如圖1所示。

3，2 樣本收集及預處理

本文實驗中正常軟件的樣本來源為安卓市場和機鋒市場，惡意軟件的來源為http：//virusshare.com/。該網站是國外的一個專門用于研究的病毒樣本庫，正常軟件和惡意軟件的比例為1：1，均是1068個。然后使用apktool.jar反編譯所有的APK，正常軟件和惡意軟件各選取700個作為研究對象進行統計分析，構成訓練集。正常軟件和惡意軟件各自剩余的368個APK構成測試集。

4 特征向量的確定

4.1 權限

Android權限機制是指當一個應用需要訪問某些文件、數據和資源時，必須要在相應的文件中申請，遵循“最小特權”原則。Android惡意軟件也不例外，比如惡意軟件要在用戶未知的情況下秘密的發送消息，它必須申請權限SEND SMS，因此分析一個軟件的權限是惡意軟件檢測過程中的重要組成部分。

但是，權限的提取如果僅僅側重于發送短信、讀寫操作等權限，不能很好的反應Android惡意軟件的特征，例如，正常軟件中同樣也存在著發送短信和讀寫操作的權限。因此，本文統計了700個正常軟件和700個惡意軟件中申請的所有權限，計算某個權限在700惡意軟件中出現的次數和在700個正常軟件中出現的次數的比值，由高到低列出大于1的權限，共提取WRITE、UPDATE DEVICE STATS等9個權限。

4.2 監聽的系統事件

Android廣播機制是指每當系統事件發生時會產生廣播，通過定義廣播接受者即可接受廣播進而采取相應的活動。Android惡意軟件的觸發常常是監聽系統事件，如系統開機BOOT COMPLETED。

同理，監聽的系統事件如果僅僅側重于開關機、電池狀態改變等事件，不能很好地反應Android惡意軟件的特征，因此本文統計了700個正常軟件和700惡意軟件中所有監聽的系統事件，計算某個監聽的系統事件在700惡意軟件中出現的次數和在700個正常軟件中出現的次數的比值。由高到低列出大于1的監聽的系統事件，共提取DATA SMS RECEIVED、AIRPLANE MODE等5個監聽的系統事件。此外，監聽電池狀態改變事件在惡意軟件中出現6次，而在正常軟件中從未出現，因此本文將BATTERY CHANGED ACTION也作為特征向量的組成部分。

4.3 敏感API

對于給定的一個APK。利用相關工具如apktool可以得到其反編譯的smali文件。每個smali文件都由若干條語句組成。通過分析smali文件，可以清楚的知道該APK定義的類、函數，進而分析其代碼的邏輯搞清楚Android軟件的行為。敏感API的提取可以從smali文件中獲取。本文從短信操作、系統信息、聯系人操作這三個用戶十分關心的方面人手，在反編譯的APK文件中，對侵害用戶隱私的API進行搜索提取，共提取sendTextMessage（）、getSubscriberId（）等12個敏感API。

4.4 權限率

本文指的權限率定義如下：pr=pn/ss，其中pr為定義的權限率，pn為該APK申請的權限數目，ss為該APK經過反編譯后smali文件夾的大小（單位為MB）。權限率的提出是基于這樣的假設，惡意軟件存在權限濫用的機制，而且從一定程度上來看，一個正常的軟件申請的權限越多，相應的功能也就越多，反編譯后smali文件夾也就越大。因此。整體來說。惡意軟件的權限率要比正常軟件的權限率大，所有一個軟件的權限率也可以成為一個惡意軟件的檢測特征。

5 模型的建立與檢驗

本文在確定特征向量的格式后，對700個正常軟件和700個惡意軟件的反編譯后的文件進行搜索，存在上述特征的，該維度即為1，不存在的即為0，再計算每個APK的權限率，將每個APK抽取出一個28維度的特征向量，共計1400個特征向量。使用Java語言和libsvm.jar庫建立模型，對剩下的736個樣本采用同樣的方法組成測試集，進行模型驗證，得到模型檢測的正確率為86%，具有一定的有效性。

6 結束語

本文介紹了支持向量機原理和Android系統的若干機制，構造由權限、監聽的系統事件、敏感API以及權限率組成的特征向量，建立了基于支持向量機的惡意軟件靜態檢測模型，并進行測試驗證了其有效性，為Android惡意軟件的檢測提供了一種解決方案。