一種基于行為的Android重打包應用檢測方案

桓自強　倪　宏　胡琳琳　郭志川

1(中國科學院聲學研究所國家網絡新媒體工程技術研究中心　北京 100190)2(中國科學院大學　北京 100049)

?

一種基于行為的Android重打包應用檢測方案

桓自強1,2倪宏1胡琳琳1郭志川1

1(中國科學院聲學研究所國家網絡新媒體工程技術研究中心北京 100190)2(中國科學院大學北京 100049)

重打包類型的惡意應用是通過將惡意代碼注入正常應用來生成的，在Android平臺已發現的惡意應用中占了很大的比例。針對此類惡意應用，提出一種基于行為的惡意應用檢測方案。方案采用云端協作的軟件架構，在云端對正常應用進行基于系統短序列的行為模式分析，從而形成正常行為模式庫；在終端，從云端下載系統已安裝應用的正常行為模式庫，監測已安裝應用的系統調用序列，并計算其異常率。實驗結果表明，該方法是有效的，可以準確地識別出重打包的惡意應用。

重打包應用Android安全系統調用短序列云端協作

0　引　言

Android作為Google公司開發的移動操作系統，以其開放性和易用性的特點，擁有大量的用戶和應用開發者。根據IDC的統計數據，截止2014年第二季度，Android市場占有率已達84.7%，同比增長33.3%[1]。 Android繼承了其Linux內核提供的訪問控制，同時提供了簽名機制、權限機制和沙箱機制等框架層安全機制。但也存在惡意使用應用被授予的權限、內核和動態庫的漏洞、私有信息泄露、惡意消耗資源等威脅[2]。Google公司提供了官方的應用商城，但國內存在大量的第三方的應用商城，而其中大量的應用存在用戶隱私泄露問題[3]。眾多的Android惡意軟件中，重打包類型的應用占有非常高的比例，因為將惡意代碼注入熱門應用，容易實現惡意代碼的廣泛傳播[4]。Android平臺的重打包應用，是指將惡意代碼的class文件注入正常應用中，并重新打包生成新的apk文件，其中的惡意代碼一般通過監聽系統事件而自行啟動。隨著移動互聯網的進一步普及，手機作為移動互聯網的入口，在諸如移動社交、移動購物、移動支付等涉及個人隱私和賬戶安全的領域扮演著重要角色，安全問題不容忽視。

1　相關研究

Zhou等人在1260個惡意應用樣本中，發現86%的樣本都是重打包應用[4]。進一步地，Zhou等人對第三方應用市場與官方市場的相同應用進行代碼指令和作者信息的提取，通過模糊哈希算法進行相似性檢測，從而發現第三方市場重打包應用[5]。但是信息的抽取和模糊哈希都比較耗時，適合離線處理，并不適用于移動設備的實時處理。Enck等人以Android權限組合為基礎定義安全語義規則，提出了Kirin安全服務供應用安裝時檢測[6]；Tang等人提出基于安全距離的權限認證方案ASESD，認為Android應用的安全性體現在權限之間的關系及權限組合上[7];楊歡等通過得到極大頻繁權限項集來挖掘相關規則[8]。Android權限機制是粗粒度的能力控制，同時現在主流的應用功能做的非常復雜，通常會申請非常多的權限。所以，注入惡意代碼的重打包應用，有可能并沒有增加新的權限需求。Burguera等人提出Crowdroid方案，通過監測應用在底層Linux系統調用次數，并用K-means來對正常應用和重打包應用進行分類[9]。但對于一個新應用來說，最初并沒有重打包版本來供分類訓練。Shabtai等人利用多種機器學習算法來對系統的性能、用戶操作等組成的特征進行分類，但是以整個系統作為研究對象，并不符合隨時有應用安裝或卸載的移動設備[10]。Wu等人提出Droidmat方案，通過提取權限和API調用等信息進行惡意應用的靜態分析[11]，但是特征的抽取及實現非常復雜。同時，Android應用可以使用Java語言開發，也能包含C/C++語言生成的動態庫，從而導致API調用信息不夠全面。雷靈光等利用時序邏輯描述語言TLCK定義關鍵資源的安全行為模式，同時在Dalvik虛擬機中添加監視代碼，實現惡意應用的檢測[12]。這種方法將惡意行為歸結為序列行為的思路是非常好的，但無法在Dalvik中對使用JNI技術調用本地代碼的行為進行監控。

Android平臺目前應用最廣泛的是智能手機，而手機資源(包括處理能力和電量等)的有限性，決定了手機平臺的安全方案需要考慮云端協作的方式，如Crowdroid方案[9]。但是Crowdroid方案執行檢測時需要實時有網絡連接，而大多數人的手機并不總是都處于聯網狀態。所以，對于重打包應用的檢測，需要一種符合用戶習慣的云端協作方案。

2　云端協作的方案設計

基于對現有研究不足的分析，本文提出了一種云端協作的方案，將復雜的運算放在云端進行，在終端利用云端的模式庫來進行安全檢測。在對正常應用和重打包惡意應用的區分上面，采用了系統調用短序列的方案。云端的應用的正常行為的模式庫只對正常應用有依賴，避免了Crowdroid方案中新應用無重打包版本的弊端。系統調用短序列的有效性在文獻[13]中對傳統Unix系統的入侵檢測中有過成功應用，同樣文獻[12]的時序邏輯描述方案在本質上也是對“短序列”可以作為應用行為代表的一個佐證。

如圖1所示，Android系統基于Linux內核，其上是C++組件庫和Java框架層，Android運行時環境主要包含Dalvik虛擬機和其核心庫，系統對上提供Java開發方式和NDK開發(利用C/C++語言)方式。所以，在Android平臺，無論采用Java開發還是NDK開發，涉及到系統功能如連接網絡、讀寫文件、進程控制、內存管理和用戶管理等，底層最終都會進行Linux系統編程接口的調用。基于對系統調用序列的分析，尤其是短序列反映應用行為的分析，提出了如圖2所示的云端協作的安全架構。

圖1　Android系統架構圖

圖2　云端協作的安全架構

安全架構分為云端和終端兩部分，在云端的主要步驟是：

(1) 從Google官方應用市場，或應用官方網站下載正常的應用，分發給眾多測試用戶在不同設備使用，系統調用序列收集器進行記錄并上傳用戶使用過程產生的系統調用記錄；

(2) 對收集到的正常應用的海量使用序列進行基于短序列行為的分析，生成這個應用的正常行為模式庫。

在終端的主要步驟是：

(1) 終端運行安全服務，以Android服務的形式存在；服務在第一次啟動時獲取系統已安裝的應用，并從云端更新“正常行為模式庫”；當有新應用安裝或舊應用卸載時，安全服務也會下載或刪除其對應的正常行為模式庫。

(2) 系統調用序列收集器，首先通過ActivityManager類的getRunningAppProcesses方法獲取Android系統正在運行的進程信息，包括進程號PID、進程名NAME和應用包名pkg等；然后對未標記為安全的應用的進程進行序列采樣；Linux系統的程序strace可以跟蹤進程的系統調用，比如要跟蹤進程PID是1000的進程的系統調用，可以使用strace-p 1000，在Android系統執行可以使用Runtime.getRuntime().exec(“strace-p 1000”)。

(3) 行為分析器，對收集到的應用一段時間內的系統調用序列，進行短序列提取(見3.1節)，然后基于正常行為模式庫計算異常率(見3.2節)。

(4) 根據行為分析器得到的異常率，由管理進程仲裁是否超過閾值，如果被認定為惡意重打包應用，則通過惡意應用提示器對用戶進行有效的提示；經多次檢測均為正常的應用被管理進程標記為安全。

相比于現有的Android安全檢測方案[14]，本方案中云端協作的技術特點是：利用了云端豐富的存儲計算能力，在云端訓練正常行為模式庫；同時也考慮到手機并不是時刻聯網的現狀，在用戶聯網時將手機上安裝應用對應的行為模式庫下載到手機。

3　基于系統調用行為的算法設計

3.1正常行為模式庫

對于正常的應用，在云端收集多個用戶的長時間操作生成的系統調用序列Γ={c1,c2,…,cn}。其中ci(1≤i≤n )表示一個Linux系統調用，短序列長度為k，則序列Γ生成行為模式庫的方法是：1)分別以ci(1≤i≤n-k+1)開始，截取k個系統調用，構成短序列集合；2)對1)中生成的短序列集合進行去除重復的操作。下面以包含7個系統調用的序列為例進行行為模式庫的生成：

(1) clock_gettime(2) ioctl(3) clock_gettime(4) ioctl

(5) clock_gettime(6) getpid(7) getuid32

選定短序列的長度為k=3，則生成的行為模式庫如圖3所示。

圖3　短序列行為模式庫示例

7個系統調用，以序列長度為3，去除重復序列后可以生成4個短序列。在實際的應用中，至少需要生成數以千萬條系統調用序列來提取短序列。Linux內核(版本大于2.6)的系統調用有超過250個，如果短序列的長度為k，則短序列的可能個數為250k，系統調用函數的平均長度為len。那么一個短序列的平均長度為k×len，存儲的空間復雜度最大是O(250k×len×k)。所以可以采用哈希映射和字典樹組合的數據結構來對存儲和時間空間進行優化。

(1) 哈希映射

圖4　哈希映射后的知識庫示例

一個Linux系統調用函數一般由幾個字符組成，如clock_gettime占13個字節，ioctl占5個字節。同時對于Linux系統調用函數來說，在內核的unistd.h頭文件中，對應著一個整數數值的系統調用號，以ARM架構對應的unistd.h為例，clock_gettime對應263，ioctl對應54。為了節省存儲空間，我們可以使用hash map的結構，鍵為字符串string類型，值為short類型，這樣在調用序列中可以直接用2個字節的short數值來表示系統調用函數。那么圖3的短序列就轉換為圖4所示。

(2) 字典樹

字典樹又稱為前綴樹，是一種快速檢索的多叉樹結構，標準的字典樹節點存儲的是字符。我們這里存儲的是short類型的整數值，用字典樹表示圖4的短序列知識庫如圖5所示。

圖5　知識庫的字典樹結構

因為系統調用數是有限的(最新的Linux 3.18.1內核有300多個)，所以在實際數據的海量序列中，同一個節點將多次被重用，空間復雜度會大幅度降低。而對于查詢復雜度 ，因為k為序列長度是一個常數，所以查詢復雜度為O(1)。

3.2異常行為檢測

正常應用的行為模式庫N={n1,n2,…,nt}包含t個短序列nj(1≤j≤t)，nj={c1,c2,…,ck}是維度為k的向量。行為模式庫N的生成及存儲方式見3.1節介紹。終端以行為模式庫為基礎，在一定時間內收集到的短序列模式為M={m1,m2,…,ms}，mi={d1,d2,…,dk}也是維度為k的向量。對于k維度向量mi和nj相似性度量，傳統的相似性度量采用余弦相似度，但是此處的向量各維度屬性的數值代表的是系統調用號，而不是數量，所以采用余弦相似性不合適。漢明距離可以用來表示兩個序列不同字符的個數，所以基于漢明距離，給出兩個短序列相似性的度量定義。

定義1對于兩個k維度的短序列：mi={d1,d2,…,dk}，nj={c1,c2,…,ck}，其相似度由式(1)表示：

(1)

定義2對于短序列mi={d1,d2,…,dk}，短序列集合N={n1,n2,…,nt}，其相似度如式(2)：

(2)

即短序列相對于短序列集合的相似度，是其與集合中每個元素相似度的最大值。為了給出短序列異常度的定義，我們定義符號函數如下：

(3)

定義3集合N={n1,n2,…,nt}為給定某一應用的正常的行為模式庫，短序列mi={d1,d2,…,dk}相對于行為模式庫的異常度是TSgn(sim(mi,N),C)。

根據定義3可知，當短序列mi的相似度小于閾值C時，被認為是異常的，異常度為1；反之，被認為是正常的，異常度為0，閾值C可以用來調節檢測的嚴格程度。進一步地，基于單個短序列的異常度，給出序列集合的異常率的定義：

定義4給定某個應用的正常行為模式庫N={n1,n2,…,nt}，當一段時間內，終端設備收集到應用的短序列集合為M={m1,m2,…,ms}，則集合M相對N的異常率為：

(4)

如式(4)所示，短序列集合M相對于正常行為行為模式庫的異常概率，由集合M中異常的序列所占的比例所決定。參數C為單個序列異常度的閾值，可以用來設置檢測的嚴格程度，極度嚴格的情況下(C=1)，此時任何與知識庫相似度不為1的序列都被認為是異常的。閾值C的選取則取決于正常應用的行為模式庫N的訓練是否充分。

4　實驗與分析

為了說明本文所提方案的通用性，實驗分為兩部分：首先對自己編寫的重打包版本的應用進行檢測，然后對已有的真實重打包應用進行檢測。

4.1對自己編寫的應用的檢測

以計算器應用為例，計算器應用包含四則運算和三角函數運算等功能。計算器應用的重打包版本，則注入讀取通訊錄并發送到遠程服務器的惡意代碼。

(1) 生成應用的正常行為模式庫

如3.1節所述，選取五個用戶分別安裝正常的計算器應用，正常使用15天，共生成約1000萬條系統調用序列。由系統調用序列生成短序列組成的正常行為模式庫的過程，關鍵因素是短序列長度k的選取。太小的k不足以體現用戶行為序列特征，而太大的k值又使得短序列行為模式庫占用太多的存儲空間。文獻[13]的實驗說明短序列長度不小于6時都可以生成有效的行為模式庫。此處選取k=6,7,8,9,10,11,12進行實驗，圖6為不同值時生成的行為模式庫所含的短序列條數。

圖6　不同序列長度對應的模式庫大小

從圖中可以看出，隨著序列長度k的增加，生成的行為模式庫的大小增長非常明顯。考慮到存儲空間與計算速度的問題，選取k=6時生成的行為模式庫為例，進行重打包應用檢測。

(2) 重打包應用檢測

選取5個用戶，安裝重打包版本的計算器應用，每個用戶分別收集40 000條左右的系統調用序列，以4.1節生成的模式庫為基礎，根據3.2節的異常行為檢測方法，計算異常率。作為對比，5個用戶卸載重打包版本的應用，然后安裝正常版本的計算器應用，按照同樣的方式計算異常率。式(4)中參數C作為異常度的閾值，其取值影響到檢測的嚴格程度。在極度嚴格情況下(C=1)，用戶分別安裝正常版本應用和重打包版本應用時檢測到的異常率，如表1所示。

表1　閾值C=1時異常率對比

由表1可以看出，在閾值C=1時，5個用戶安裝正常應用，檢測到的異常率的最大值為0.000230，而5個用戶安裝重打包版本的應用，檢測到的異常率的最小值即為0.005232。重打包版本的異常率的最小值依然比正常版本的異常率高了一個數量級，所以正常應用和重打包應用可以正常地區分。同時，正常行為模式庫的生成，是眾多測試用戶長時間使用正常應用生成的，當訓練時間短、數據不足夠多時，可以調整異常度閾值C。當C=0.8時，5個用戶分別安裝正常應用和重打包版本的應用，所檢測到的應用的異常率對比如表2所示。

表2　閾值C=0.8時異常率對比

在調整閾值C為0.8后，式(4)在計算異常概率時，會降低檢測的嚴格程度。正如表2所示，正常應用的異常率都變為了0，重打包版本的應用的異常率雖然也隨之降低，但5個用戶異常率的最小值依然為0.000356。正常應用和重打包版本可以依據異常率的分布區間不同，而非常容易地進行區分。綜合表1和表2，可以看出本文提出的方案可以有效地對重打包應用進行檢測，而閾值C的選擇與正常行為模式庫的訓練是否充分有關，合適的C值使得重打包應用更容易區分。

4.2對已有的真實重打包應用的檢測

對已經存在的真實的重打包應用進行檢測，以“動態腳印壁紙”應用為例，在官方網站下載該應用的正常版本，同時在“Contagio mobile”網站[15]下載真實的重打包版本。該重打包版本對原始應用注入了PJApps病毒，會自動與后臺聯網并泄露用戶隱私和惡意消耗用戶資費等。根據4.1節對自己編寫的重打包版本應用的檢測方法，對“動態腳印壁紙”的正常版本和重打包版本進行檢測，在閾值C=0.8時所檢測到的異常率對比如表3所示。

表3　閾值C=0.8時異常率對比

由表3可以看出，根據異常率的不同，該應用的正常版本和重打包版本也很容易進行區分，說明了本文的方案對真實的重打包版本應用也是有效的。

4.3性能分析

考慮本文提出的方案對手機終端性能的影響，正常行為模式庫的生成是在云端的服務器上面進行的，對手機等終端設備的性能是沒有影響的。而在手機端進行的重打包應用檢測，則需要對其進行性能分析。通過對真實用戶使用安全服務程序時的監測和統計，性能指標如表4所示。

表4　安全服務程序資源消耗

從表4可以看出，安全服務程序的資源消耗的峰值都比較小，這是因為應用的正常行為模式庫不大，同時引入了哈希映射和字典樹(見3.1節)，大大地優化了內存消耗和計算量。所以，安全服務方案在保障安全的同時，并不會明顯影響手機性能。

5　結　語

本文通過對應用運行時產生的系統調用序列進行分析，提出了基于系統調用短序列的重打包應用檢測方案。方案采用了云端協作的架構，在云端進行正常行為模式庫的生成，終端基于模式庫進行異常行為的檢測。為了準確地鑒別應用是否為重打包版本，給出了系統調用短序列的相似性定義，以及系統調用序列集合的異常率定義。針對終端有限資源的現狀，提出了哈希映射與字典樹的方案，優化了內存使用和計算速度。以自己編寫的重打包應用和已有的真實重打包應用為例，在真實設備上進行了實驗，證明了本文所提方案的有效性。

[1] IDC.Press Release[EB/OL].2014-08-14.http://www.idc.com/getdoc.jsp?containerId=prUS25037214.

[2] Shabtai A,Fledel Y,Kanonov U,et al.Google android:A comprehensive security assessment[J].IEEE security and Privacy,2010,8(2):35-44.

[3] 楊珉,王曉陽,張濤,等.國內Android應用商城中程序隱私泄露分析[J].清華大學學報:自然科學版,2013,52(10):1420-1426.

[4] Zhou Y,Jiang X.Dissecting android malware:Characterization and evolution[C]//Security and Privacy (SP),2012 IEEE Symposium on.Piscataway,NJ:IEEE,2012:95-109.

[5] Zhou W,Zhou Y,Jiang X,et al.Detecting repackaged smartphone applications in third-party android marketplaces[C]//Proceedings of the second ACM conference on Data and Application Security and Privacy.New York,NY:ACM,2012:317-326.

[6] Enck W,Ongtang M,McDaniel P.On lightweight mobile phone application certification[C]//Proceedings of the 16th ACM conference on Computer and communications security.New York,NY:ACM,2009:235-245.

[7] Tang W,Jin G,He J,et al.Extending Android security enforcement with a security distance model[C]//Internet Technology and Applications (iTAP),2011 International Conference on.Piscataway,NJ:IEEE,2011:1-4.

[8] 楊歡,張玉清,胡予濮,等.基于權限頻繁模式挖掘算法的Android惡意應用檢測方法[J].通訊學報,2013,34(S1):106-115.

[9] Burguera I,Zurutuza U,Nadjm-Tehrani S.Crowdroid:behavior-based malware detection system for android[C]//Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices.New York,NY:ACM,2011:15-26.

[10] Shabtai A,Kanonov U,Elovici Y,et al.“Andromaly”:a behavioral malware detection framework for android devices[J].Journal of Intelligent Information Systems,2012,38(1):161-190.

[11] Wu D J,Mao C H,Wei T E,et al.Droidmat:Android malware detection through manifest and API calls tracing[C]//Information Security (Asia JCIS),2012 Seventh Asia Joint Conference on.Piscataway,NJ:IEEE,2012:62-69.

[12] 雷靈光,荊繼武,王躍武,等.一種基于行為的Android系統資源訪問控制方案[J].計算機研究與發展,2014,51(5):1028-1038.

[13] Hofmeyr S A,Forrest S,Somayaji A.Intrusion detection using sequences of system calls[J].Journal of computer security,1998,6(3):151-180.

[14] 蔣紹林,王金雙,張濤,等.Android安全研究綜述[J].計算機應用與軟件,2012,29(10):205-210.

[15] Contagio mobile[EB/OL].2015-03-20.http://contagiominidump.blo gspot.com/.

A BEHAVIOUR-BASED DETECTION SCHEME FOR ANDROID REPACKAGED APPLICATION

Huan Ziqiang1,2Ni Hong1Hu Linlin1Guo Zhichuan1

1(NationalNetworkNewMediaEngineeringResearchCenter,InstituteofAcoustics,ChineseAcademyofSciences,Beijing100190,China)2(UniversityofChineseAcademyofSciences,Beijing100049,China)

Malicious applications of repackaged types are generated by injecting the malicious code into normal applications, which accounts for a large percentage of malicious applications in Android platforms. To solve this problem, we propose a behaviour-based detection scheme for Android repackaged application. The scheme uses the software architecture with cloud collaboration, analyses in the cloud the behaviour patterns on normal applications based on short sequences of system calls so that forms a normal behaviour pattern database. In terminal device, it downloads from the cloud the normal behaviour pattern databases with the applications installed, monitors the system call sequences with the applications installed, and calculates their abnormal rate. Experimental result shows that the proposed method is effective, and it can accurately identify the malicious repackaged applications.

Repackaged applicationsAndroid securitySystem callShort sequenceCloud collaboration

2015-02-09。國家科技支撐計劃課題(2012BAH73F 01)；中國科學院先導專項課題(XDA06040501)。桓自強，博士生，主研領域：智能終端系統，終端安全技術。倪宏，研究員。胡琳琳，副研究員。郭志川，副研究員。

TP309

A

10.3969/j.issn.1000-386x.2016.08.066