Android平臺下惡意軟件分析與檢測

賈慧 李永忠

摘 要：針對Android平臺下惡意軟件侵擾問題，提出一種基于權限—敏感API特征的加權樸素貝葉斯分類算法的檢測方案。首先對Android應用程序中的配置文件進行解析，然后利用Apktool工具對APK文件進行反編譯，提取出權限—敏感API特征集，并通過信息增益算法和卡方檢驗算法過濾冗余數據，最后利用加權樸素貝葉斯分類算法的惡意軟件檢測模型進行分類判斷。實驗結果證明，該系統能有效提高分類器的效率和惡意軟件的檢測率。

關鍵詞：Android;惡意軟件;加權樸素貝葉斯算法;權限—敏感API特征

DOI：10. 11907/rjdk. 182748 開放科學（資源服務）標識碼（OSID）：

中圖分類號：TP309 文獻標識碼：A 文章編號：1672-7800（2019）007-0182-04

Analysis and Detection of Malware Under the Android Platform

JIA Hui， LI Yong-zhong

（School of Computer Science， Jiangsu University of Science and Technology， Zhenjiang 212003，China）

Abstract： Aiming at the problem of malware intrusion under Android platform at present， this paper proposes an Android malware detection scheme based on the weighted naive Bayes classification algorithm based on the permission-sensitive API features. Firstly， the configuration files in the Android application is analyzed，Then the Apktool tool to decompile the APK file is used to extract the permission-sensitive API feature set， and the residual data in the feature set is filtered by the information gain algorithm and the Chi-square test algorithm; Finally， use the weighted naive Bayesian classification algorithm to maliciously The software detection model performs classification and judgment. The experimental results verify that the system can effectively improve the efficiency of the classifier and the detection rate of malware.

Key Words： Android; malware; weighted naive Bayesian algorithm; permissions-sensitive API features

作者簡介：賈慧（1993-），女，江蘇科技大學計算機學院碩士研究生，研究方向為網絡與信息安全;李永忠（1961-），男，碩士，江蘇科技大學計算機學院教授，研究方向為網絡安全、嵌入式應用。

0 引言

Android系統在互聯網中占有極大的市場份額，相對開源的特點使得Android平臺成為惡意軟件侵襲的重災區。根據《2018年上半年手機安全報告》分析顯示[1]，360互聯網安全中心累計截獲新增惡意程序樣本1.4億個，Android平臺新增惡意程序樣本283.1萬個，平均每天截獲新增手機惡意程序樣本近1.6萬個。針對Android平臺日益嚴重的安全問題進行惡意軟件的檢測研究具有重要現實意義。Borja[2]等根據 Android系統的權限機制，采用多種分類算法對惡意軟件進行檢測，但其只采用權限特征，比較單一，不能全面考慮存在的關聯特征;文獻[3]提出了一種基于敏感權限及API的靜態綜合檢測法，但該方法比較適合已知的惡意應用程序。

為了提高分類算法準確率，同時降低分類消耗時間，本文提出將提取的權限—敏感API特征作為混合特征集[4]，通過信息增益—卡方驗證算法過濾特征集中的冗余數據，提取出比較符合樸素貝葉斯分類器特點的特征集，同時對特征屬性進行加權，以此提高樸素貝葉斯分類算法對 Android 惡意軟件的檢測性能。通過收集大量的惡意軟件進行對比實驗，結果證明此方案能明顯提高樸素貝葉斯分類器對惡意軟件檢測的效率及準確率。

1 權限—敏感API特征集提取

1.1 權限特征屬性分析與提取

為防止用戶信息被越權訪問，造成信息泄露[5]，Android平臺提供的權限機制是對應用程序訪問系統功能或資源都進行相應的權限檢測[6]，同時要求開發者在AndroidManifest.xml文件中聲明相對應的〈uses-permission〉標簽，用戶在安裝軟件時需要接受相關權限[7]才能完成軟件安裝。Yajin Zhou [8]建立了一個超過1 200 種Android 惡意軟件的數據集，通過對比良性軟件與惡意軟件中配置文件（AndroidManifest.xml）中的user-permission 權限標簽，發現惡意軟件調用敏感權限行為[9]的次數明顯比良性軟件要多。比較常見的敏感權限有SEND_SMS、WRITE_SMS、RECEIVE_SM、CALL_PHONE等權限標簽。惡意軟件為了實現其功能，必須獲取相應的權限。所以提取Android應用程序的配置文件信息很有必要。如果在程序的靜態配置文件中含有該權限標簽用1表示，不包含則用0表示。權限特征提取流程如圖1所示。

圖1 權限特征提取流程

1.2 敏感API特征屬性分析與提取

本文中的API指Android 系統本身所提供的函數接口[10]。應用程序可以通過這些函數接口訪問和獲取用戶的敏感數據，例如獲取賬戶信息、手機照片、發送扣費短信等，這些敏感行為稱之為敏感API。通過對AndroidManifest.xml文件中的jar包的源代碼進行敏感API調用掃描，發現惡意軟件樣本中對getSubscriberId（）、getDeviceId（）、getNETWORKCountryIso（）、getLatitude（）等敏感API調用較多。本文通過KMP 字符串匹配算法[11]對應用程序進行敏感 API 調用匹配，如果在程序的源代碼中含有該敏感API標簽用1表示，不包含則用0表示。敏感API特征提取流程如圖2所示。

2 基于權限相關性的處理方案

2.1 信息增益算法

信息增益算法[12]通過過濾特征集中的冗余數據，提取出與類別屬性相關度較大的特征屬性。通過信息增益算法，當權限—敏感API特征集中某一個特征屬性對應分類的信息增益值越大，說明該特征屬性對分類的影響越大，需要提取該特征屬性。相反，信息增益很小則對正確分類影響不大，但會降低分類性能，所以要去除這些冗余數據[13]。設置[θ]值為0.2，當[Gain（Y）>θ]時，特征集變為X與Y的合集，特征屬性 Y 的信息增益計算公式如下：

[Gain（Y）=I（X1，X2，？，Xm）-E（Y）] （1）

其中

[I（X1，X2，？Xm）=-i=1mP（ci）bP（ci）] （2）

[E（Y）=j=1zXj1+Xj2+…+XjmXI（Xj1+Xj2+？+Xjm）] （3）

公式（1）是計算特征屬性 Y 與權限—敏感API分類的信息增益值，[Xi]是訓練樣本中對應的分類，m表示分類個數。公式（2）是計算樣本所需的期望信息，其中[P（Ci）]是在樣本空間中該類別占有的比重。公式（3）是計算樣本空間中特征屬性 Y 的熵。

2.2 卡方檢驗

卡方檢驗[14]是通過計算兩個分類變量之間的卡方值，查表得出其對應概率，判斷這兩個變量之間是否相互獨立[15]。四格卡方檢驗公式如下：

[X2=（ad-bc）？N（a+b）（c+d）（a+c）（b+d）] （4）

公式（4）中a，b，c，d代表了兩種條件屬性構成的4種情況，N 是a，b，c，d頻數之和。將經過信息增益算法處理的特征集作為數據輸入，通過公式（4）計算得出相應的卡方值，當概率大于0.95時，這兩個特征屬性就是相關的，否則就剔除這個特征屬性。由此可以通過信息增益—卡方檢驗得到適合樸素貝葉斯分類器特點的特征集F。

3 木馬檢測系統設計與實現

通過比較幾種常見的檢測技術，本文提出基于權限—敏感API特征的樸素貝葉斯分類算法的Android惡意軟件檢測方案。

3.1 系統整體架構

系統分為文件解析、特征提取、數據處理、樸素貝葉斯分類算法模型建立和結果顯示5個模塊，系統整體架構如圖3所示。

圖3 系統架構

3.2 文件解析模塊

文件掃描模塊主要對導入的API文件進行解析。首先掃描系統中的文件，然后判斷是否是壓縮形式。如果是壓縮形式，進行解壓縮操作。該模塊工作流程如圖4所示。

圖4 文件掃描模塊流程

3.3 數據處理模塊

數據預處理的主要目的是對權限—敏感API特征集去除冗余特征，以有效提高分類器的性能以及準確性。本文利用信息增益和卡方檢驗組合算法對提取的組合特征進行數據預處理，預處理流程如圖5所示。

3.4 檢測模塊

惡意軟件檢測模塊主要運用加權樸素貝葉斯算法對樣本中提取的特征集進行計算，判斷是否為惡意軟件。加權主要是因為每個特征屬性對分類的影響不一樣，根據每個特征屬性對類別變量的相關度量化相應的權重值，以此提高樸素貝葉斯分類算法的分類性能。設C表示屬性的類別集合，其中有m個類C（C1，C2，…Cm），利用信息增益算法和卡方檢驗算法得到適合樸素貝葉斯分類算法的權限-敏感API特征集F[（F1，F2，？Fj）]，根據樸素貝葉斯算法定理[16-18]可得：

[P（CiF）=P（Ci）P（FCi）P（F）] （5）

式（5）中，[P（F）]是常數，只需判斷[P（Ci）P（FCi）]的值就可得到概率的值。通過對每個特征屬性進行相應的加權處理，得到如下公式：

[P（FCi）=k=1jPFkCiWi] （6）

若樣本 F 屬于某一類，只需滿足：

[C（F）=arg maxP（ci）k=1jPFkCiWi]

[（1kj，1im）] （7）

其中，[Wi]是對應特征屬性的權重系數，相應特征屬性的權重越大該特征屬性就越明顯[19]。權重系數[Wi]根據信息增益算法中的特征屬性Y[（Y1，Y2，？Yp）]進行計算：

[Wi=Gain（Yn）n=1pGain（Yn）] （8）

根據公式（7），加權樸素貝葉斯算法可將樣本對象歸類，從而完成分類并顯示結果。

4 實驗結果分析

Android 平臺對應用軟件的敏感權限進行檢測，運行如圖6所示。

本文采用大量的訓練樣本進行實驗對比，其中惡意樣本來源于 Contagiodump[20]，實驗對比結果如表1所示，運行結果如圖7所示。

表1 不同特征集實驗對比結果

其中，TP——檢測正確的惡意軟件樣本數量;

FN——檢測錯誤的惡意軟件樣本數量;

FP——檢測錯誤的良性軟件樣本數量;

TN——檢測正確的良性軟件樣本數量;

FPR——正常程序中的誤報率FPR=[FPFP+TN];

TPR——惡意軟件中的正報率TPR=[TPTP+FN];

ACC——檢測率ACC=[TP+TNTP+FN+FP+TN]。

圖7 不同特征集處理實驗對比

將未處理的權限—敏感API特征集與剔除冗余數據的特征集進行比較，進一步證明通過信息增益—卡方驗證算法提取的特征集能提高樸素貝葉斯分類器性能。實驗對比結果如表2所示，運行結果如圖8所示。

表2 不同處理方式實驗對比結果

[處理方式＼&檢測率＼&FPR＼&TPR＼&ACC＼&未處理＼&0.204＼&0.853＼&0.832＼&信息增益＼&0.113＼&0.860＼&0.873＼&卡方驗證＼&0.121＼&0.845＼&0.876＼&信息增益-卡方驗證＼&0.079＼&0.907＼&0.915＼&]

為評估本系統工作效率，將本實驗與基于權限的樸素貝葉斯分類算法的惡意軟件檢測系統進行對比實驗，結果表明：采用權限—敏感API特征集明顯提高了樸素貝葉斯分類算法的分類性能。實驗結果如表3所示。

圖8 不同數據處理方式實驗對比

表3 本系統與不同算法對比

綜上所述，本文采用基于權限—敏感API特征集，利用加權樸素貝葉斯分類算法的惡意軟件檢測模型，能夠實現更加精準、快速的檢測，達到預期效果。

5 結語

本文使用基于權限—敏感API特征的樸素貝葉斯分類算法檢測模型檢測軟件是否為惡意軟件，使用權限—敏感API特征集以及信息增益—卡方驗證算法，降低了分類消耗時間，對特征屬性加權提高了分類效率，增加了系統檢測準確率，達到了設計目的。

參考文獻：

[1] 360安全衛士. 2018年上半年中國互聯網安全告[EB/OL]. http：//www.freebuf.com.

[2] BORJA S，IGOR S，LAORDEN C，et al. PUMA： permission usage to detect malware in Android[C]. International Jiont Conference CISIS 12-ICEUTE 12-SOCO 12 Special Sessions. Berlin，Germany：Springer，2012：289-298.

[3] ZHU X L，WANG J F，DU Y，et al. Detecting android malware based on sensitive permissions and function-call graphs[J]. Journal of Sichuan University：Natural Science Edition， 2016，53（3）：526-533.

[4] 盛超，魏盛娜. 基于權限與敏感API的惡意程序檢測方法[J]. 網絡通信及安全，2017（1）：96-101.

[5] YAN M，PENG X G. Permission detection system based on Android security mechanism[J]. Computer Engineering and Design，2013，34（3）：854-858.

[6] 陳偉鶴，邱道龍. 一種增強的Android安全機制模型[J]. 無線通信技術，2014（3）：152-157.

[7] SHI R，JIANGSU N. Detection of malicious application based on improved na？ve Bayesian algorithm Android[J]. Journal of Security and Safety Technology，2016，4（3）：39-44.

[8] ZHOU Y J，JIANG X X. Dissecting Android malware： characterization and evolution. north carolina state university[J]. Security and Privacy（SP）， IEEE，2012（5）：43-46.

[9] ZHOU Y，JIANG X. Dissecting android malware：characterization and evolution[C]. Proceedings of the 2012 IEEE Symposium on Security and Privacy. Washington，D.C.：IEEE Computer Society，2012：95-109.

[10] 邵舒迪，虞慧群，范貴生. 基于權限和API特征結合的Android惡意軟件檢測方法[J]. 計算機科學，2017（8）：139-141.

[11] 劉磊，李廣力，徐玥，等. 基于移動平臺的異構并行字符串匹配算法[J]. 吉林大學學報，2017（5）：88-92.

[12] 任克強，張國萍. 基于相對文檔頻的平衡信息增益降維方法[J]. 江西理工大學學報，2008（3）：92-96.

[13] FEIZOLLAH A， ANUAR N B， SALLEH R， et al. A review on feature selection in mobile malware detection[J].? Digital Investigation， 2015（13）：22-37.

[14] 鄭艷梅，鮮茜. 基于權限信息的 Android 惡意軟件分類檢測[J]. 現代計算機學報，2018（11）：76-79.

[15] ZHANG R， YANG J Y. Android malware detection based on permission correlation[J]. Journal of Computer Applications，2014，34（5）：1322-1325.

[16] 張立民，劉峰，張瑞峰.? 一種構造系數的自相關函數特征提取算法[J]. 無線電通信技術，2012，38（5）：56-59.

[17] MITCHELL T. Machine learning[M]. Beijing：China Machine Press， 2012：112-136.

[18] GOU K X， JUN G X， ZHAO Z. Learning Bayesian network structure from distributed homogeneous data[C]. Eighth ACIS International Conference on Software Engineering， Artificial Intelligence，Networking， and Parallel/Distributed Computing，2007： 250-254.

[19] 居友道. 基于改進樸素貝葉斯算法的Android惡意軟件檢測[D]. 南京：南京郵電大學，2016.

[20] STUTTARD D， PINTO M. The Web application hackers handbook： finding and exploiting security flaws[M]. [S.l. ]. Wiley，2011.

（責任編輯：杜能鋼）