安卓惡意軟件檢測模型研究

滕越　王天寶

摘 要：文章對現有的Android程序的行為特征提取技術和惡意軟件檢測算法進行研究。由于現有Android惡意軟件靜態檢測模型主要是對Android程序的行為特征即敏感api和敏感權限的調用進行數據挖掘，從而產生能夠對Android程序進行檢測分類的分類器。通過對Android行為特征提取和數據挖掘算法的改進和創新是未來Android惡意軟件靜態檢測的方向。

關鍵詞：Android惡意軟件；靜態檢測；數據挖掘；機器學習

最近幾年，隨著移動互聯網的迅猛發展，以及智能手機的生產成本不斷降低，智能手機在人們的日常生活和工作中扮演的角色越來越重要，在移動互聯網時代，智能手機將成為訪問互聯網的主要設備。

智能手機像PC一樣擁有自己獨立的操作系統，而不再是傳統意義上的單純的語音通訊設備，用戶可以根據自己的喜好隨意的安裝和卸載各種應用程序。瀏覽網頁、娛樂辦公、購物支付、社交聊天，可以說智能手機已經滲入到人們生活的方方面面，同時，也給人們帶來了實實在在的方便。

最新發布的數據顯示，高達97%的移動惡意軟件將Android設備列為攻擊目標，這也就意味著其他平臺遭到惡意軟件攻擊的幾率是相當低的，所以Android的安全性已經到了不得不改善的地步。毫無疑問，安全問題將會是Android未來幾年的發展中所要面臨的重要問題。

一、Android程序行為特征提取

（一）dex文件逆向分析

現有的Android程序行為特征提取大多都是基于dex文件逆向，由于Android采用Dalvik虛擬機作為平臺運行環境，dex文件就是Dalvik虛擬機的可執行文件。通過dex文件可以得到Android程序的內部信息，閱讀反匯編形成的Dalvik字節碼可以通過IDA PO分析dex文件。或者通過文本編輯器baksmali反編譯生成的smali文件。也可以利用反編譯生成java源碼，可以用dex2jar生成jar文件，然后使用jd-gui閱讀jar文件代碼。

（二）ARM匯編逆向分析

由于現在惡意軟件的不斷進化，代碼混淆技術的不斷發展，使得應用層代碼的分析越來越疲軟。對于使用ARM處理器的Andorid手機來說，它終將會生成對應的ARM elf可執行文件。對于底層的代碼逆向更容易突破各種惡意軟件的逃避檢測機制，但是分析ARM elf可執行文件的難度較大，要求具有基本的ARM反匯編代碼閱讀能力，所以目前使用較少，但是這種逆向分析機制可能是Android惡意軟件檢測的一個突破口。

（三）行為特征提取

有了大量逆向工具的幫助，由于一個Android程序反編譯過后的代碼量會非常龐大，所以行為特征提取的重點在于獲取我們想要的關鍵代碼。關鍵代碼的識別需要對Android應用層代碼非常熟悉，可通過程序的反饋信息、特征函數定位關鍵代碼，也可以通過代碼注入觀察程序運行到指定位置的狀態數據，或是跟蹤棧信息，觀察函數的調用關系。對于數據的抓取，大多需要自己編寫如python腳本的爬蟲程序，獲取關注的特征信息，為后面的檢測算法提供支持。

二、Android惡意軟件檢測算法

對于Android 的行為特征提取方法固定，而將行為特征數據用于數據挖掘是Android惡意軟件靜態檢測的核心。所以算法的選取是訓練產生好的檢測分類器的關鍵，下面舉幾種適合用于Android惡意軟件檢測的算法進行簡單介紹。

（一）關聯規則挖掘

關聯規則挖掘發現大量數據中項集之間的聯系，可以對大量樣本（已知其良惡性）Android程序的敏感api和敏感權限進行頻繁集的獲取。每一個 Android 程序均可以映射為一個包含所有敏感 API 調用的事務， 每個API為一個項， API 項的集合為項集，最小支持度為 min _ suppor。最著名的關聯規則發現方法是R.Agrawal提出的Apriori算法，其核心思想是通過對數據樣本的多次掃描來計算項集的支持度，發現所有的頻繁項集從而生成關聯規則。

找出頻繁項集的關鍵是連接和剪枝兩步，安卓的行為特征數據適合于使用頻繁集關聯的規則，但缺點也比較明顯，需要多次掃描事物數據庫，可能產生龐大的候選集，并且在頻發項集長多變大的情況下，運算效率降低。

（二）貝葉斯分類算法

貝葉斯分類器諸多算法中樸素貝葉斯分類模型是最早的，也大量利用于Android惡意軟件檢測當中。根據貝葉斯公式能夠獲取訓練樣本的先驗概率，通過選取合適行為特征的Android程序屬性來計算樣本的后驗概率。在Android惡意軟件檢測中使用貝葉斯分類算法的關鍵在于關鍵屬性的選取，需盡量保證其獨立性。

大量研究表明可以通過各種改進方法來提高樸素貝葉斯分類器的性能，在樸素貝葉斯分類器的基礎上構建屬性間的相關性，如構建相關性量度公式，增加屬性間可能存在的依賴關系，或是構建新的樣本集合，在樣本集合之間存在較好的類條件獨立關系。

在滿足以上條件的情況下，貝葉斯算法分類性能較好，貝葉斯分類模型還具有形式簡單、可擴展性很強和可理解性好等優點，適合作為安卓惡意軟件算法的入門。

（三）支持向量機（SVM）

在統計學習的理論基礎上，SVM成為了一種專門研究有限樣本預測的學習方法，與傳統統計學相比較，SVM算法沒有以傳統的經驗風險最小化原則作為基礎，而是建立在結構風險最小化原理的基礎之上，在模型的復雜性和學習能力之間尋求最佳折中，即在所有的超平面中，最大間隔分類器要尋找一個最優超平面。

Android惡意軟件檢測使用SVM的基礎是提取關鍵特征值進行規則的線性可分，對特征屬性進行線性回歸，建立回歸分析方程，即回歸分析預測。SVM的優點在于基本不涉及概率測度及大數定律，不同于現有的統計方法，避開了歸納到演繹的傳統過程，實現了高效的從訓練樣本到預報樣本的轉導推理，大大簡化了通常的分類和回歸等問題。

Android惡意軟件檢測使用SVM能夠具有較高的檢測準確率，但是對大規模訓練樣本難以實施。對于惡意軟件檢測可用于一類惡意家族或一種類型的Android程序的模型建立，對于SVM的改進可以通過多個二類SVM的組合或構造多個分類器的組合來解決SVM的固有缺點。

三、Android惡意軟件檢測基本模型

對于現有的Android程序行為特征提取技術和Android惡意軟件檢測算法，Android惡意軟件檢測模型可歸納于圖1所示。

首先需要收集大量的惡意軟件樣本和正常軟件樣本，正常軟件樣本容易收集，惡意軟件樣本可以從VirusShare組織獲取，然后對樣本提取行為特征屬性，根據不同的分類算法制定不同的提取方案，將行為特征抽象化為算法的可用數據類型，然后通過數據挖掘產生分類器，最終通過多次的訓練達到能夠檢測惡意軟件的目的。 四、結語

本文給出了Android惡意軟件檢測的基本模型，描述Android行為特征獲取方法，簡要說明了各種檢測算法如何與Android行為特征相結合。對于靜態Android惡意軟件檢測，基于行為特征提取和機器學習和數據挖掘算法結合是目前的主流方案。檢測方法智能化，能夠對未知惡意軟件進行檢測是彌補Android安全機制最有效的措施，也是Android惡意軟件檢測以及整個安全行業的發展方向。

參考文獻：

[1] 閆友彪，陳無琰.機器學習的主要策略綜述[J].計算機應用研究，2004， No. 5：4-13.

[2] M. Zhao，T.Zhang，F.Ge，and Z.Yuan， “Robotdroid： A lightweightmalware detection framework on smartphones，”Journal of Networks，vol.7，no.4，pp.715-722，2012.

[3] Dong-Jie Wu，Ching-Hao Mao，Te-En Wei，Hahn-Ming LeeDroidMat： Android Malware Detection throughManifest and API Calls Tracing，2012：13.

[4] 張文，嚴寒冰，文偉平.一種 Android 惡意程序檢測工具的實現[J].信息網絡安全，2013（1）：27-32.

[5] 張金鑫，楊曉輝.基于權限分析的Android應用程序檢測系統[J].信息網絡安全，2014，7（1）：30-34.