移動計算環境下惡意軟件靜態檢測系統設計

賴修源

摘 要： 移動終端在互聯網中下載到惡意軟件的幾率非常高，這對用戶信息私密性造成了嚴重的威脅，但科研組織曾研究出的惡意軟件檢測系統往往誤報率過高、實用性不強。為此，設計移動計算環境下惡意軟件靜態檢測系統，其由特性提取與預處理模塊和移動計算終端組成。特性提取與預處理模塊根據靜態檢測特性數據庫中的惡意軟件標志特性，對用戶移動終端軟件的安裝包特性、資源特性和編譯特性進行提取，并使用靜態檢測函數對提取出的特性進行預處理，給出惡意與非惡意軟件的特性分類結果。系統通過移動計算終端對特性分類結果中的惡意軟件特性進行位置檢測，隔離出用戶移動終端中的惡意軟件，防止惡意軟件繼續入侵。經實驗分析可知，所設計的系統誤報率較低、實用性較強。

關鍵詞： 移動計算； 惡意軟件； 靜態檢測系統； 用戶移動終端

中圖分類號： TN911.23?34； TP309 文獻標識碼： A 文章編號： 1004?373X（2017）08?0061?04

Design of malware software static detecting system in mobile computing environment

LAI Xiuyuan

（College of Economics and Management， Chengdu Technological University， Chengdu 611730， China）

Abstract： The probability of malicious software downloaded in Internet by mobile terminal is very high， which can cause a serious threat to user information privacy. The scientific research organization has developed a malware detection system， but its false alarm rate is often too high， and its practicability is poor. Therefore， a static detecting system of malicious software is designed for the mobile computing environment， which is composed of feature extraction and preprocessing module， and mobile computing terminal. The feature extraction and preprocessing module is used to extract the software installation package， resource characteristic and compiling feature of user′s mobile terminal according to the malware software marked features in the static detection feature database. The extracted feature is pretreated with static detecting function to give out the classification results of malicious and non?malicious software features. The position of the malicious software is detected by the mobile computing terminal according to malicious software features in the feature classification result. The malicious software in user′s mobile terminal is isolated to prevent malicious software to make the continuous invasion. The experimental analysis shows that the designed system has low false alarm rate and strong practicability.

Keywords： mobile computing； malicious software； static detection system； user′s mobile terminal

0 引 言

近年來，隨著互聯網技術的持續發展，移動的終端性能也不斷提升，移動計算隨之產生。所謂移動計算，是指實現移動終端無線數據資源共享的一種傳輸技術，其高效、精準、實用的工作有效提高了各領域的運營成果[1?3]。隨著用戶對移動終端使用頻率的不斷上升，移動終端在互聯網中下載到惡意軟件的幾率非常高，這對用戶信息的私密性造成了一定威脅。為此，提出在移動計算環境下利用靜態檢測方法，設計惡意軟件檢測系統[4?6]。

科研組織曾研究出一些惡意軟件檢測系統，但由于所選取的方法處理性能不高，導致系統的誤報率過高、實用性不強。如文獻[7]設計反編譯環境下惡意軟件靜態檢測系統。這一系統根據移動終端安全弱點制定出具有較強針對性的反編譯工具，并利用特殊的審核軟件對用戶下載的互聯網軟件進行權限限制，具有較強的實用性，但誤報率過高。文獻[8]設計基于知識時間序列的惡意軟件KBTA算法檢測系統。系統可對互聯網數據和移動終端軟件進行實時檢測，并通過KBTA算法對檢測成果進行處理，擁有非常低的誤報率，但KBTA算法的檢測工作占用了較高的移動終端硬件資源，故系統的實用性不強。文獻[9]設計后臺監聽環境下惡意軟件檢測系統，這一系統主要針對用戶移動終端軟件的傳輸記錄進行后臺監聽和檢測，將不安全傳輸行為加以糾正，其誤報率較低，但由于某些惡意軟件并不會產生不安全傳輸記錄，故系統的實用性不強。文獻[10]設計TISSA模型下惡意軟件靜態檢測系統，該系統通過主動控制移動終端軟件的訪問位置，對惡意軟件的不安全行為進行封殺，取得了較強的實用性。但由于一些用戶對軟件不安全行為不夠了解，導致該系統誤報率較高。

為了提高惡意軟件檢測系統的實用性、降低系統誤報率，設計移動計算環境下惡意軟件靜態檢測系統。經實驗分析可知，所設計的系統誤報率較低、實用性較強。

1 惡意軟件靜態檢測系統總體設計

所設計的移動計算環境下惡意軟件靜態檢測系統由特性提取與預處理模塊和移動計算終端組成，系統總體結構圖如圖1所示。

由圖1可知，移動計算環境下惡意軟件靜態檢測系統所選取的靜態檢測方法，將穿插在特性提取與預處理模塊中進行移動終端軟件的特性提取和安裝包特性、資源特性和編譯特性的預處理工作，為系統提供高效、準確的惡意軟件檢測工作。

移動計算終端是安裝于用戶移動終端的系統實現層，其可利用移動計算為用戶提供最為實際的惡意軟件檢測工作，也是評價系統性能的直接模塊。因此，這一模塊的設計需要盡可能考慮到用戶的實際需求，將系統檢測結果以可視化的方式呈現在用戶面前。

2 系統具體模塊設計

2.1 特性提取與預處理模塊設計

靜態檢測是一種在移動終端軟件處于關閉狀態下，對軟件的靜態特性進行提取、分析、對比和判斷的檢測方法。靜態檢測擁有較為完善的特性數據庫，其運算簡便，并具有較強的實用性。

由于惡意軟件的標志特性是惟一且穩定不變的，故靜態檢測的誤報率非常低。

2.1.1 特性提取

惡意軟件的標志特性有：安裝包特性、資源特性和編譯特性。特性提取與預處理模塊根據靜態檢測特性數據庫給出的惡意軟件的標志特性，對用戶移動終端軟件的安裝包特性、資源特性和編譯特性進行提取和預處理。其中，安裝包特性是移動終端軟件中最重要的參數，它在很大程度上直接決定了移動計算環境下惡意軟件靜態檢測系統的誤報率和實用性，為此，特性提取與預處理模塊針對安裝包特性的提取和檢測工作進行了重點設計，如圖2所示。

由圖2可知，特性提取與預處理模塊首先對特性數據庫中的惡意軟件標志特性進行調用，再利用CmdShell指令對移動終端的軟件安裝包進行解壓，并對解壓后的測試文件和軟件等級文件進行反向分析。分析結果將于與軟件權限文件組成安裝包特性集合進行預處理。也就是說，安裝包特性集合中包含軟件權限文件、測試文件和軟件等級文件。

2.1.2 預處理

特性提取與預處理模塊利用靜態檢測函數對安裝包特性集合進行預處理，最終給出安裝包特性集合的惡意與非惡意軟件特性分類結果。靜態檢測函數的實質是對安裝包特性集合中是否含有惡意軟件特性進行分類。假設安裝包特性集合中含有種惡意軟件特性類別，將惡意軟件特性集合設為，惡意軟件特性集合存在的概率為。用表示非惡意軟件特性集合存在的概率，那么，非惡意軟件特性集合與惡意軟件特性集合中的重疊數據可用表示。此時，安裝包特性集合中存在惡意軟件特性的概率可表示為：

（1）

將與中的刪去，可得到和，表示中剩余的數據數量，表示中剩余的數據數量。由于和相互獨立，故可根據和中存在惡意軟件特性的概率，獲取到式（1）中計算結果的最大值，用表示，有：

（2）

通常，科研組織研究出的惡意軟件檢測系統可直接用式（2）表示惡意與非惡意軟件特性分類結果，但式（2）并未對惡意軟件特性的使用權限進行分類，導致誤報率較高。為此，所設計的移動計算環境下惡意軟件靜態檢測系統在式（2）的基礎上，引入惡意軟件特性的使用權限方差和使用權限對檢測結果的影響參數。此時，靜態檢測函數給出的惡意與非惡意軟件特性分類結果可表示為：

（3）

（4）

惡意與非惡意軟件特性分類結果可限制用戶可能引發軟件變惡意的不良操作，防止用戶在軟件使用中產生惡意軟件標志特性。最后，特性提取與預處理模塊將軟件特性分類結果傳輸到移動計算終端進行惡意軟件的最終檢測。

2.2 移動計算終端設計

為了實現移動計算環境下惡意軟件靜態檢測系統誤報率低、實用性強的設計目標，要求移動計算終端除了擁有基礎的惡意軟件檢測功能外，還需具備較強的應用拓展性能。為此，本文為移動計算終端設計出如圖3所示的硬件架構。

由圖3可知，移動計算環境下惡意軟件靜態檢測系統的移動計算終端主要由電源電路、檢測電路、顯示電路、通信電路和應用拓展電路組成。其中，電源電路、檢測電路、顯示電路是移動計算終端的基礎硬件配置，通常，這三個電路一旦連接成功，便會在系統中循環使用。而通信電路和應用拓展電路是可以依照用戶需求進行隨時更換的。基礎硬件配置與通信電路和應用拓展電路均通過RS 232接口連接，RS 232接口是一種異步傳輸的標準接口，可增強系統的實用性。

當惡意與非惡意軟件特性分類結果通過通信電路被傳輸到移動計算終端后，檢測電路將對其中的惡意軟件特性進行惡意軟件位置檢測，惡意軟件位置檢測的作用是將用戶移動終端中含有惡意軟件特性的軟件區域進行隔離，防止惡意軟件繼續侵害用戶移動終端。移動計算終端的工作流程和檢測結果將在顯示電路中實現可視化，用戶可隨意查看，并選擇是否刪除移動終端中的惡意軟件。

3 實驗結果分析

3.1 實驗概述

為了分析本文所設計的移動計算環境下惡意軟件靜態檢測系統的誤報率和實用性，實驗將本文系統與反編譯環境下惡意軟件靜態檢測系統、后臺監聽環境下惡意軟件檢測系統在兩款用戶移動終端中進行實驗分析。實驗在兩個用戶移動終端中均安裝70個軟件，其中，終端1中有10款惡意軟件，終端2中有2款惡意軟件。

系統的誤報率是指非惡意軟件被錯誤分類到惡意軟件中的概率，系統的實用性可使用受試者工作特性曲線（ROC曲線）表示。ROC曲線能夠反映出受試者應對系統刺激所產生的感受。在本文實驗中，ROC曲線的橫、縱坐標分別用惡意軟件檢測系統的誤報率和靈敏度表示，曲線下方的面積越大，表示系統的實用性越強。

3.2 系統誤報率實驗結果分析

圖4、圖5分別表示在兩款用戶移動終端中，本文系統、反編譯環境下惡意軟件靜態檢測系統和后臺監聽環境下惡意軟件檢測系統的誤報率曲線。

由圖4和圖5可知，用戶移動終端中的惡意軟件越多，惡意軟件檢測系統的誤報率就越高。并且，其他兩個惡意軟件檢測系統的誤報率均遠高于本文系統的誤報率，證明本文系統誤報率較低。

3.3 系統實用性實驗結果分析

圖6、圖7分別表示在兩款用戶移動終端中，三個系統的ROC曲線。

由圖6和圖7可知，在用戶移動終端1，2中，本文系統ROC曲線下的面積均要高于其他兩個系統，證明本文系統具有較強的實用性。

4 結 論

移動計算是一種可實現移動終端無線數據資源共享的一種傳輸技術，其高效、精準、實用的工作在一定程度上提高了各領域的運營成果，因此，本文設計移動計算環境下惡意軟件靜態檢測系統。系統使用靜態檢測函數和移動計算，對本文系統誤報率低、實用性強的設計目標進行了較好的實現。在未來，所設計的移動計算環境下惡意軟件靜態檢測系統必將在信息挖掘和惡意軟件檢測等領域發揮較大的作用。

參考文獻

[1] 周利琴，谷林.基于高斯膚色模型的人臉區域及下巴檢測[J].西安工程大學學報，2015，29（6）：751?755.

[2] 盧文清，何加銘，曾興斌，等.基于混合特性的Android惡意軟件靜態檢測[J].無線電通信技術，2014，40（6）：64?68.

[3] 蔣煦，張長勝，戴大蒙，等.Android平臺惡意應用程序靜態檢測方法[J].計算機系統應用，2016，25（4）：1?7.

[4] 周裕娟，張紅梅，張向利，等.基于Android權限信息的惡意軟件檢測[J].計算機應用研究，2015，32（10）：3036?3040.

[5] 倪斌，李紅蘭.一種基于移動Agent的云端計算任務安全分割與分配算法[J].現代電子技術，2015，38（17）：89?92.

[6] 耿穎.基于區間數據場景級屬性可信評測的檢測能力分析[J].現代電子技術，2015，38（17）：149?150.

[7] 樊郁徽，徐寧.Andriod平臺的惡意軟件行為分析[J].重慶文理學院學報（社會科學版），2014，33（5）：144?147.

[8] 彭國軍，李晶雯，孫潤康，等.Android惡意軟件檢測研究與進展[J].武漢大學學報（理學版），2015，61（1）：21?33.

[9] 劉曉東，何加銘，馮波，等.一種靜態Android程序惡意性檢測方法[J].無線電通信技術，2014，40（2）：70?73.

[10] 文偉平，梅瑞，寧戈，等.Android惡意軟件檢測技術分析和應用研究[J].通信學報，2014，35（8）：78?85.