基于權(quán)限相關(guān)性的Android惡意軟件檢測研究

顏瑩

摘要：隨著科學(xué)技術(shù)發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷創(chuàng)新與完善，更多先進技術(shù)得以創(chuàng)新與研發(fā)，這給各個行業(yè)的發(fā)展提供巨大便利。但是市場經(jīng)濟的快速發(fā)展使得各個領(lǐng)域之間的競爭更加激烈，當然惡性競爭也無法避免，這樣對整個行業(yè)的發(fā)展秩序造成很大的影響。在軟件開發(fā)領(lǐng)域，有大量的惡意軟件得以開發(fā)，直接對廣大互聯(lián)網(wǎng)用戶的財產(chǎn)安全造成很大的威脅，影響社會穩(wěn)定。本文從權(quán)限機制進行分析，利用基于權(quán)限相關(guān)性的處理方案和實驗方式進行更加深入探討。

關(guān)鍵詞：權(quán)限相關(guān)性；安卓系統(tǒng)；惡意軟件檢測

0引言

現(xiàn)階段，我國科學(xué)技術(shù)以及互聯(lián)網(wǎng)技術(shù)得到更大的創(chuàng)新與發(fā)展，同時智能手機的大量普及，已經(jīng)成為我國廣大用戶的生活必需品，各種應(yīng)用程序使得人們的生活方式得到翻天覆地的變化，例如支付寶的支付功能，人們只需要簡單的操作就能實現(xiàn)在線交易，打破時間與空間上的限制；微信軟件，可以實現(xiàn)隨時隨地的視頻功能，創(chuàng)新人們的溝通方式；游戲軟件更加豐富人們的娛樂生活。這些智能軟件的開發(fā)與廣泛普及，迅速占領(lǐng)市場，給廣大用戶的生產(chǎn)生活帶來巨大的便利。但是同時近年安卓系統(tǒng)智能手機中惡意軟件的增加速度也在加快。不良分子通過這些惡意軟件對廣大智能手機用戶進行遠程控制，非法竊取他人信息，甚至是竊取錢財，給用戶造成很大的財產(chǎn)損失以及生活困擾。

1權(quán)限機制

由于當前廣大用戶對智能手機的依賴性較強，很多人都在使用支付寶或是微信紅包進行交易，這樣廣大用戶的財產(chǎn)信息全部在手機上，同時更多重要聯(lián)系人的信息也在手機上，手機安全成為現(xiàn)階段廣大用戶最為關(guān)心的問題，一旦手機信息泄露將給廣大用戶造成巨大的經(jīng)濟損失以及生活不便。為了進一步提高安卓智能手機的安全性，權(quán)限機制成為最為核心的技術(shù)。要想在安卓系統(tǒng)上發(fā)揮一系列的軟件，必須嚴格按照manifest文件規(guī)定，所有軟件在運行過程中必須首先得到權(quán)限信息，只有在通過所有權(quán)限的前提下，廣大安卓系統(tǒng)智能機用戶才能下載軟件。同時為了更加有效提高軟件的安全性，保證用戶安心，用戶在訪問可能存在危險的系統(tǒng)資源或是訪問聲明外的軟件時，安卓系統(tǒng)會進行提醒、限制。在所有安卓系統(tǒng)的智能手機上，一共羅列出多達134種的權(quán)限信息，同時根據(jù)每條信息進行詳細闡述與解釋。當前，主要分為normal、dangerous、signature和signatureor svstem這四種權(quán)限類別，是按照由低風(fēng)險到高風(fēng)險的順序排列。屬于normal這一類別的軟件程序，由于風(fēng)險較低，因此不會對整個安卓系統(tǒng)、用戶或是手機上的其他應(yīng)用軟件造成危害；第二類別中的軟件系統(tǒng)屬于高風(fēng)險權(quán)限，只用在用戶輸入相關(guān)信息后系統(tǒng)才會給予此權(quán)限；第三類別中軟件只有在應(yīng)用程序使用的數(shù)字簽名與聲明權(quán)限中應(yīng)用程序的簽名一致時才能通過權(quán)限。專業(yè)技術(shù)人員通過對大量的安卓應(yīng)用程序權(quán)限信息進行白組織映射神經(jīng)網(wǎng)絡(luò)分析計算后得出：大部分應(yīng)用程序都很少用到Android權(quán)限。而大部分惡意程序與良性程序都在廣泛地使用訪問網(wǎng)絡(luò)、讀手機狀態(tài)以及寫SD卡等權(quán)限。不同的是有62.7%的使用短信有關(guān)權(quán)限、54.6%開機自啟動權(quán)限被惡意軟件攻擊，但是這些權(quán)限良性程序不會使用。因此各種安卓權(quán)限使用頻率存在很大的差別，同時對權(quán)限使用組合和類別傾向上良性軟件與惡意軟件存在較大的差異。

總結(jié)：隨著人們生活水平的不斷提高，人們對智能機的依賴程度將更加嚴重。因此安卓智能手機的安全性直接關(guān)系到廣大用戶的財產(chǎn)安全與信息安全，甚至關(guān)系到整個社會的穩(wěn)定性。因此這就需要科研人員必須樹立強烈的責任感和使命感，研發(fā)更多良性軟件，為人們的生產(chǎn)生活提供便利，同時加強對惡意軟件的研究，制定具有針對性的解決方案，進一步提高惡意軟件檢測的準確率。相關(guān)部門一定要加強對軟件使用的監(jiān)督管理制度，加強打擊手段，拓展宣傳方式，提高廣大用戶智能機安全使用意識，從而保證廣大智能機用戶財產(chǎn)與信息安全，為軟件使用創(chuàng)造一個良好的環(huán)境。

2基于權(quán)限相關(guān)性的處理方案

2.1權(quán)限特征選取

上文針對安卓權(quán)限機制進行全面分析，本文在對各種權(quán)限同惡意傾向的相關(guān)性進行計算時，主要采用引入卡方檢驗方式，抽取關(guān)鍵權(quán)限特征。1990年現(xiàn)代統(tǒng)計學(xué)的創(chuàng)始人之一K.Pearson提出卡方檢驗，采用卡方檢驗方法能夠?qū)煞N成分的權(quán)限相關(guān)性進行準確、快速的分析。但是，在采用該種方式時可能出現(xiàn)‘低頻缺陷”問題，導(dǎo)致出現(xiàn)該種問題的原因是該種方式在設(shè)計過程中，需要對樣本的特征性進行分析，如果樣本特征差異性較小，則會影響權(quán)限特征的選取。在安卓系統(tǒng)的所有權(quán)限聲明信息里，為了防止出現(xiàn)低頻缺陷的問題，在進行權(quán)限信息選定時，需要保證所有權(quán)限信息的唯一性，保證卡方檢驗方式能夠正確的選擇關(guān)鍵權(quán)限特征。

2.2權(quán)限特征聚類去冗余

站在直觀角度，只有和分類結(jié)果相關(guān)性高，且和其他特征不相關(guān)或者弱相關(guān)，這才是最為理想的權(quán)限特征。科研人員在運用樸素貝葉斯算法時對特征屬性進行假設(shè)，一個屬性對于分類的影響?yīng)毩⒂谄渌麑傩浴８鶕?jù)對大量的權(quán)限特征集合，科研人員發(fā)現(xiàn)權(quán)限之間存在明顯的相關(guān)性，這些權(quán)限在樣本中成組出現(xiàn)或者沒有。分別以SUBSC R IBED_FEEDS_R EAD、SUBSCRIBED_FEEDS_wRlTE兩個權(quán)限為例，二者之間都具有較強的相關(guān)性，同時都會在樣本信息中成組出現(xiàn)。如果同時作為權(quán)限特征，就會直接影響到分類結(jié)果。因此為了進一步提高權(quán)限特征的代表性，盡量減少分類開銷，需要對權(quán)限特征集合中的冗余特征進行去除。

3實驗

3.1實驗過程

科研人員可以隨機從兩個商店分別獲取正常軟件樣本和惡意軟件樣板，樣本數(shù)量均為1000，腳本編寫時采用python語言，在進行權(quán)限信息儲存時，需要先采用Andfod-SDK工具進行aapt工具下載，當上述準備工作結(jié)束后，對特征進行預(yù)處理，將冗余的權(quán)限屬性去除，并選擇準確的關(guān)鍵權(quán)特征。同時，在進行權(quán)限聚類參數(shù)的確定工作時，需要合理地選擇n（權(quán)限相關(guān)度閥值），該閥值對權(quán)限聚類參數(shù)選擇影響程度非常高，如果n過小，則會導(dǎo)致出現(xiàn)權(quán)限聚類不夠的現(xiàn)象，不能夠滿足簡化特征的要求；如果n過小，則會導(dǎo)致出現(xiàn)聚類過度的現(xiàn)象，其產(chǎn)生的相關(guān)權(quán)限簇不能夠正確解釋權(quán)限含義。通過當n=0.4時，得到以下成組的強相關(guān)權(quán)限簇。以Android權(quán)限含義作為背景知識理解，分組結(jié)果恰好把功能接近相關(guān)性高的權(quán)限歸為一組，同時又沒有過度聚類，遺漏重要權(quán)限特征，符合預(yù)期。經(jīng)過兩輪特征預(yù)處理，權(quán)限特征從134個減少到68個。接下來從樣本中選取800個惡意軟件和800個正常軟件的權(quán)限信息，進行樣本學(xué)習(xí)，計算貝葉斯先驗概率。最后利用帶權(quán)重的后驗概率式分別計算其屬于正常軟件和惡意軟件的概率值，通過比較得到軟件檢測結(jié)果。

3.2實驗結(jié)果

通過該實驗證明，基于權(quán)限相關(guān)性的惡意軟件檢測方案，即使分類結(jié)果存在一定的誤差，但是對各種權(quán)限進行初步檢測是具有可行性的。并且所需特征數(shù)量較少，容易獲取，因此在進行輕量級檢測時使用，檢測結(jié)果可以作為后期科研人員研究的重要參考依據(jù)。endprint