欢迎来到微传网! | 帮助中心 分享文档,创造价值!

微传网

全部分类
  • 办公文档>
    办公文档
    往来文书 招标投标 传真信函 解决方案 事务文书 活动策划 股份制文书 调研文书 规章制度 统计图表 PPT模板素材 工作计划 工作总结 会议纪要 产品手册 课程设计 求职简历 通知/申请 演讲致辞 说明文书 词典 简明教程 办公软件应用 教育范文
  • 中学教育>
    中学教育
    中学课件 中考 高考 中学作文 职业教育 试题 教学研究 竞赛题 高考英语 初中教育 高中教育 体育理论与教学 中学实验 音乐美术
  • 幼儿/小学教育>
    幼儿/小学教育
    幼儿教育 小学课件 学习方法 课外知识 爱心教育 教育管理 小学教育
  • 高等教育>
    高等教育
    研究生课件 大学课件 理学 工学 哲学 历史学 教育学 农学 思想政治 专业基础教材 生物学 语言学 微积分 统计学 实验设计 科普读物
  • 论文>
    论文
    期刊/会议论文 开题报告 经济论文 管理论文 社科论文 文学论文 医学论文 哲学论文 艺术论文 法律论文 自然科学论文 通讯论文 论文指导/设计 毕业论文 大学论文
  • 管理/人力资源>
    管理/人力资源
    经营企划 销售管理 代理连锁 工程管理 信息管理 资本运营 企业信息化 市场营销 广告经营 项目管理 营销创新 招聘面试 人事档案 员工关系 企业文化 宣传企划 企业文档 公司方案 商业合同 财务报表 励志书籍工具 咨询培训 劳动就业 商务礼仪 地方省市劳动合同 管理学资料 创业
  • 经济/贸易/财会>
    经济/贸易/财会
    经济学 财政/国家财政 商品学 市场分析 进出口许可 贸易 网络营销/经济 税收 稽查与征管/审计 资产评估/会计
  • IT计算机>
    IT计算机
    计算机原理 PHP资料 linux/Unix相关 C/C++资料 Java .NET windows相关 开发文档 管理信息系统 软件工程 网络信息安全 网络与通信 图形图像 行业软件 人工智能 计算机辅助设计 多媒体 软件测试 计算机硬件与维护 网站策划/UE 网页设计/UI 网吧管理 电子支付 搜索引擎优化 服务器 电子商务 Visual Basic 数据挖掘与模式识别 数据库 Web服务 网络资源 Delphi/Perl Python CSS/Script Flash/Flex 手机开发 UML理论/建模 并行计算/云计算 嵌入式开发 计算机应用/办公自动化 数据结构与算法 SEO
  • 资格/认证考试>
    资格/认证考试
    全国翻译资格认证 自考 成考 专升本考试 公务员考试 思科认证 微软认证 司法考试 教师资格考试 物流师考试 计算机等级考试 注册税务师 人力资源管理师 会计职称考试 出国培训 质量管理体系认证 医师/药师资格考试
  • 行业资料>
    行业资料
    社会学 纺织服装 食品饮料 家电行业 造纸印刷 酒店餐饮 物流与供应链 交通运输 旅游娱乐 文化创意 航空/航天 船工业技术 矿业工程 石油、天然气 工业冶金工业 金属学与金属工艺 武器工业 能源与动力工程 原子能技术 化学工业 轻工业/手工业 水利工程 农业工程 农作物 园艺 林业 畜牧 水产/渔业 展会 生活用品 航海/船舶 家居行业 实验 工业设计 室内设计 系统集成 国内外标准规范 新闻/广播 公共安全/安全评价
  • 金融/证券>
    金融/证券
    股票中长线技巧 股票短线技巧 股票经典资料 股票技术指标学习 金融资料 财经资料 投融资/租赁
  • 研究报告>
    研究报告
    信息产业 金融 教育 农林牧渔 冶金 石油化工 煤炭 交通 新能源 轻工 产业政策 商业贸易 国防军事 技术指导 安防行业 制药行业 统计年鉴/数据分析
  • 换一换
    首页 微传网 > 资源分类 > DOC文档下载
     

    Android恶意程序常用权限分析及统计研究.doc

    • 资源ID:1685       资源大小:96.50KB        全文页数:8页
    • 资源格式: DOC        下载权限:游客/注册会员    下载费用:10金币 【人民币10元】
    快捷注册下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要10金币 【人民币10元】   |   1元文档测试下载
    邮箱/手机:
    温馨提示:
    支付成功后,系统会自动生成账号(用户名和密码都是您填写的邮箱或者手机号),方便下次登录下载和查询订单;
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

    Android恶意程序常用权限分析及统计研究.doc

    Android 恶意 程 序 常 用权 限 分 析 及统 计 研究 李红灵 詹翊 云 南 大学 信 息学 院 计算 机 科学 与 工程 系 云南 省 信息 安 全 测评 中 心 摘 要 为解决Android 恶意程序检测中代码分析量大、 核心代码定位难、 检 测判断效率 低等问题, 提出了将静态分析与动态分析相结合的 Android 恶意程序行为监测 和分析的复合检测方法。 该方法在对收集整理的 226 个和开放的恶意程序样本进 行综合分析的基础上, 用Python 语言编写了自动化 Android 恶意程序权限统计 程序, 并统计分析了打开网络套接字、 将数据写到外部存储设备和接收系统启动 时的广播事件动作等 15 种常用权限, 确定了静 态分析中需要重点关注的权限及 其调用函数。以Android 恶意程序Cute Puppies Wallpaper.apk 作为实例, 应 用Apktool 工具对待检 测APK 文件进行反编译, 得到反汇编后的Smali 文件, 通 过定位程序关键代码、 定位重要权限关联 API 函数两种途径快速找到程序的入口 和其重要功能代码部分。 同时, 采用沙箱系统的 Android 恶意软件动态分析方法, 得到开机启动、 应用程序变更等事件及其对应的激活方式。 研究表明, 使用该复 合检测方法可以有效提高分析效率, 缩短恶意代码分析时间, 快速定位核心 代 码, 及时阻止恶意程序传播。 关键词 Android 恶意程序; 检测; 常用权限; 静态分析; 动态分析; 作 者简 介 李红灵 1966- , 女, 副教授, 研究方向为计算机网络、 信息安全。 基 金 国家自然科学基 金资助项目 61562090 Statistics Analysis and Research on Common Permissions of Android Malwares LI Hong-ling ZHAN Yi Department of Computer Science and Engineering, School of Ination Science and Engineering, Yunnan University; Ination Security uation Center of Yunnan Province; Abstract In order to solve problems including excessive codes, key-permission orientation difficulty and lowdetection efficiency in Android malware detection, a composite detection solution with static and dynamic analysis is proposed for Android malware monitoring and analyzing.On the basis of synthetic analysis of collected 226 samples and public malware samples, it uses Python language to compile an automatic Android malware permissions statistical program.Besides, 15 most common permissions including unfolding network socket and activating broadcast event action while transferring data to external storage device or receiving system are carried on statistical analysis, determination of those key permissions and corresponding call functions which required further attention.Malware Cute Puppies Wallpaper.apk, taken as an example, has been decompiled via APKtool and the decompiled Smali file has been obtained.By locating key codes of the malware and locating crucial permission-related API functions the entering and crucial functioning parts of the codes have been efficiently located.Meanwhile, Sandbox Android malware dynamic analysis on events including booting up and application change along with their corresponding activation patterns have been summarized.The time consumption of codes analysis has been reduced by using it and the key codes have been quickly located while spreading of malware is terminated in time. Keyword Android malware program; detection; common permissions; static analysis; dynamic analysis; 1 概述 随着移动智能设备的普及, Android 系统的发展也十分迅速, 同时也使 Android 恶意程序快速发展和广泛传播, 给Android 用户带来了严重的安全隐患[1]。 恶意程序是一种软件程序代码, 旨在干扰正常的使用, 收集系统/用户的敏感信 息, 获取未经授权的信息等等。 恶意程序包括病毒、 蠕虫、 木马、 后 门、 逻辑炸 弹、 漏洞攻击程序、 间 谍软件、 广告软件、rootkit 后门以及其他恶意程序代码 [2] 。Android 恶意程序是指在用户不知情或未授权的情况下, 在移动智能终端 系统中安装、运行, 以达到不正当目的的APK 文件[3]。 国内在Android 安全研究及 Android 恶意程序检测等方面卓有成效。 例如, 蒋绍 林等[4] 通过分析Android 安全机制, 认为 Android 通过adb 工具可以获取系统 root 权限, 会对文件造成 安全威胁, 指出增强Android 应用框架层的安全机制; 张志远等[5]通过静态分析和动态调试以及反逆向技术等方法来介绍怎样对 Android 应用进行逆向分析, 从而实现Android 应用的安全可控;李子锋等[6]提 出一种采用静态分析检测 Android 恶意程序的方法。 该方法使用静态数据流分析 技术实现常量分析算法, 通过追踪Android 应用程序使用常量值的序列, 达到 检 测应用程序恶意行为的目的。吴俊昌等[7] 提出一种基于Android 权限分类的 静态分析方法, 用于检测 Android 应用程序的恶意代码。王志强等[8] 采用静态 分析与动态分析相结合的方式, 对Android 应用程序的关键系统调用和方法的 控制流序列进行提取。 研究分析了已知恶意软件样本库, 成功训练出恶意软件特 征集合和恶意判定阈值, 通过比对Android 应用程序与恶意特征集的相似度判 定是否为恶意程序。 最终设计并实现了Android 恶意行为检测系统SCADect 。 Zhou Yajin 等[9]通过分析 1 260 个正常应用的权限使用, 与收集的恶意应用申请的 权限进行对比, 在恶意应用和正常应用中, 访问网络、 读手机状态、 访问网络状 态、写SD 卡等权限都被广泛使用, 但恶意应用更倾向于使用短信相关的权限、 开机自启动权限、更改网络状态的权限, 正常应用很少使用这些权限。在国外, Akash Malhotra 等[10]通过静态分析和动态分析结合黑白名单的方法, 对 Android 恶意软件进行研究, 使用逆向分析检查恶意代码, 又使用工具来识别 包结构, 再用白名单过滤的策略来识别恶意程序。Thomas 等[11]提出一种 Android 应用程序沙箱。该沙箱使用 Android SDK 中的Monkey 工具, 生成伪随 机事件流, 并模拟用户点击、 触摸、 手势或系 统事件等操作, 通过监测系统和库 函数调用, 生成的日志记录, 来分析Android 应用程序是否存在恶意行为。 在对工作中收集整理到的226 份Android 恶意 程序样本和一些公开的恶意程序样 本进行综合分析的基础上, 应用Python 编写了相关的统计程序, 统计出 Android 恶意程序常用的权限类型与使用频度, 并确定了静态分析环节中需要 重点关注的权限。另外, 结合信息安全测评工作的实践活动, 基于沙箱系统的 Android 恶意程序动态分析方法, 进行了Android 恶意程序激活方式研究, 归纳 了动态分析中激活恶意程序的方法。 结合静态分析与动态 分析, 总结出恶意程序 行为分析的有效方法。 2 Android 恶意程序 常用权限统计 访问控制是系统实施安全控制的有效手段之一, 而访问控制具体体现在主体对 客体的访问权, 即主体对系统资源的访问权限上[12], 因此对恶意程序常用权 限的统计分析是恶意程序行为研究的基础。 2.1 Android 恶意 程序常 用权 限统计 的目 的 Android 系统在应用程序框架中提供了权限许可机制, 为开发者定义了一百多 种权限用于保护系统资源, 并提供了对应的 API 用于访问上述系统资源。 由于Android 严格的权限许可机制, 恶意程序如果试图获取用户隐私、 系统信息 或者执行系统操作, 都必须在Android Manifest.xml 文件中申明相应的权限, 否则在程序运行时就会触发安全异常[13]。Android 系统也规定应用程序在运行 过程中无法动态地改变自身权限。 故恶意权限的使用情况可以作为 Android 应用 恶意行为判别的重要依据。 因此有必要针对 Android 恶意程序进行权限统计, 由 此得到恶意 程序最常用的权限。 这些权限使用情况及其对应的 API 函数, 是静态 分析的核心部分, 优先分析这些权限组合及函数调用可以大幅缩减代码分析量, 有效降低人为分析的强度, 提高恶意程序分析的效率。 2.2 Android 恶意 程序样 本介 绍 对于此次研究, 统计分析的 Android 恶意程序样本部分源于以下各开放网 站https// com/78npy8h7h0g9y;http// 。 其余样本是由实际 工作中收集整理的, 共226 个。 2.3 Android 恶意 程序常 用权 限统计 的实 现 所用命令与参数如下 程序输出结果略 鉴于篇幅 。 2.4 Android 恶意 程序常 用权 限统计 结果 分析 根据以上样本及程序分析得出如表 1 所示的统计结果。 表中所反映的这些权限及 相关的API 函数就是在静态分析中需要重点关注的部分。 3 Android 恶意程序 反编译实例 3.1 Android 恶意 程序反 编译 下面以分析Android 恶意程序Cute Puppies Wallpaper.apk 为例进行说明。通 过使用Apktool 工具可对待检测 APK 文件进行反编译 过程略 。 编译后可以产生和程序包层次结构相同的 Smali 目录, 目录中包含着反汇编后 的Smali 文件[14]。 表1 恶意程序常用权限及使用频率 下载原表 反编译后的Smali 文件代码通常较长, 而且指令繁多, 代码分析时很难捕捉到 重点, 因此有必要快速定位程序关键代码, 提高分析效率, 降低分析强度。 3.2 快速 定位程 序关 键代 码 Android 程序由一个或多个Activity 以及其他组件构成, 不同的Activity 实现 不同的功能, 但每个程序有且只有一个主 Activity 。 对于大多数应用程序而言, 主Activity 的On Create 就是程序的代码入口, 所有功能从这里开始执行 [14] 。 以下是快速定位的操作步骤。 步骤1 先解析出Android Manifest.xml 文件, 找到主Activity, 如图 1 所示。 图1 解析 Android Manifest.xml 文件找到主 Activity 下载原图 步骤2 查看其所在类的 On Create 方法 的反汇编代码, 提高分析效率, 如图 2 所示。 图2 定位 On Create 方法 下载原图 通过以上两个步骤就可以定位到程序的代码入口。 3.3 快速 定位重 要权 限关 联 API 函数 还需要根据表1, 重点分析恶意程序常用权限的函数调用情况。 通过定位程序关键代码、 定位重要权限关联 API 函数两种途径, 就可以快速找到 程序的入口及其重要功能代码部分。 在源代码分析过程中, 优先分析程序关键代 码可以避免顺序分析中阅读大量无关代码, 加快了分析速度, 提高了分析效率。 4 Android 恶意程序 动态分析 Android 恶意程序动态分析利用沙箱原理, 即在计算机系统内部构造一个独立 的虚拟空间, 恶意程序所作的任何写磁盘操作, 都将重定向到这个虚拟空间 [15] 。 这样将阻止可疑程序对系统访问, 转变成将可疑程序对磁盘、 注册表等的 访问重定向到指定文件夹下, 从而消除恶意程序对系统的危害。 4.1 分析 环境搭 建 将装有Droidbox、Wireshark 、Androguard 等检测分析工具的主机 或是笔记本 电脑 通过有线或无线方式接入互联网, 打开笔记本电脑无线网络, 将其设置 为访问接入点AP SSIDTest , 打开待检测手机的 WIFI 功能, 接入无线网络, 这样就完成了分析环境的搭建。其拓扑结 构如图 3 所示。 4.2 触发 恶意程 序 以下从分析恶意程序的激活方式, 创建激活条件激活恶意程序, 使用 APIMonitor 对恶意程序进行分析三个方面进行介绍。 图3 分析环境网络拓扑 下载原图 1 恶意 程序激 活方 式。 经对Android 恶意程序实例分析并结合工作实践经验, 分析和总结了 Android 恶意程序的主要激活方式, 如表2 所示。 表2 运行 main.py 程序的输出内容 下载原表 2 创建 激活条 件激 活恶 意程 序。 通过以下四个步骤可以完成恶意程序激活的全过程。 步骤1 提供WIFI 与移动数据网络两个 Internet 网络出口。有些恶意程序为了 规避流量监测, 采取了智能判断, 仅当有WIFI 连接时才有网络行为。 步骤2 需更改测试环境的时区及时间设置。 有些恶意程序, 为了提高其隐蔽性, 在其源代码中加入了时间判断, 在正常工作时间 0700-2400 不工作, 有效 规避了分析人员在正常时间内对其进行动态分析。 步骤3 尽可能尝试多种网络协议类型的操作。有些恶意程序通常 在用户主动进 行网络操作时才运行, 如打开浏览器 HTTP 、网络下载 FTP 等, 因此在动 态分析时需要主动尝试多种网络行为。 步骤4 根据表2 总结的恶意程序激活方式尽可能模拟很多的监听事件, 触发木 马恶意行为。 3 使用 APIMonitor 对 恶意 程序进 行分 析。 APIMonitor 是Droid Box 中独立的动态分析工具, 它通过向目标APK 包中插入 监视代码来监测应用程序在运行过程中调用的 API。 APIMonitor 首先反编译所要处理的 APK 包, 接着遍历Smali 代码。如果找到在 配置文件中 配置的需要监测的 API, 则分析这个 API 参数, 插入Droid Box 包下 相应的类的静态函数, 最后重新打包这个APK 包。 这样, 当应用程序在运行过程 中调用到插入了监视代码的API 后, 系统日志 就会出现标签Droid Box 标记的日 志信息, 只需过滤出这些日志信息, 就可以获得应用程序调用系统 API 的信息。 默认监控的API 列表存放在 config/default_api_collection 文件下。 其内容如 图4 所示。 图4 程序调用系统 API 的信息 下载原图 通过静态分析结合动态分析, 可在短时间内快速全面掌握 Android 恶意程序的 基本功能、 程序流程、 网络行为。 较传统分析而言, 大大缩短了分析时间, 提高 了分析效率。 5 结束语 为解决Android 恶意程序检测中代码分析量大、 核心代码定位难、 检 测判断效率 低等问题, 提出了将静态分析与动态分析相结合的 Android 恶意程序行为监测 和分析的复合检测方法。 该方法对收集整理的 226 个和开放的恶意程序样本进行 了综合分析, 应用 Python 语言编写了自动化 Android 恶意程序权限统计程序, 统计分析了打 开网络套接字、 将数据写到外部存储设备和接收系统启动时的广播 事件动作等15 种常用权限, 并以此确定静态分析中需要重点关注的权限及其调 用函数。以Android 恶意程序Cute Puppies Wallpaper.apk 为验证实例, 使用 Apktool 工具对待检测的APK 文件进行了反编译, 得到了反汇编后的Smali 文件, 通过定位程序关键代码、 定位重要权限关联 API 函数两种途径快速找到程序入口 及其重要功能代码部分。 同时, 采用沙箱系统的 Android 恶意软件动态分析方法, 得到开机启动、 应用程序变更等事件及其对 应的激活方式。 使用该方法, 可以有 效提高分析效率, 缩短恶意代码分析时间, 快速定位核心代码, 及时阻止恶意 程序传播。 参考文献 [1] 张艺腾.基于并行计 算弱 KMP 模式挖掘算法的 Android 恶意应用检测 [EB/OL].2014.http// [2]Stallings W, Brown L. 计算机安全原理与实践[M].贾春福, 刘春波, 高敏芬, 等, 译. 北京机械工业出版社, 200875-142. [3] 王叶.PC 与智能手 机黑客攻防大全[M].北京机械工业出版社, 2015. [4] 蒋绍林, 王金双, 张涛, 等.Android 安全研究综述[J].计算机应用与软件, 2012, 29 10 205-210. [5] 张志远, 万月亮, 翁越龙, 等.Android 应用逆向分析方法研究[J]. 信息网 络安全, 2013 6 65-68. [6] 李子锋, 程绍银, 蒋凡.一种 Android 应用程序恶意行为的静态检测方法[J]. 计算机系统应用, 2013, 22 7 148-151. [7] 吴俊昌, 骆培杰, 程绍银, 等.基于权限分类的 Android 应用程序的静态分 析[C]// 第四届信息安全漏洞分析与风险评估大会.出版地不详出版者不详, 201124-28. [8] 王志强, 张玉清, 刘奇旭, 等.一种Android 恶意行为检测算法[J]. 西安电 子科技大学学报, 2015, 42 3 8-14. [9]Zhou Y, Jiang X.Dissecting android malwarecharacterization and evolution[C]//2012 IEEE symposium on security and privacy.[s.l.]IEEE, 201295-109. [] [11] system for suspicious software detection[C]//International conference on malicious and unwanted software.[s.l.][s.n.], 201055-62. [12] 李洋.Android 安 全架构及权限控制机制剖析 [EB/OL].2013-09-08.http// [13] 高岳, 胡爱群. 基 于权限分析的Android 隐私数据泄露动态检测方法 [EB/OL].2013-08-09.http// [14] 丰生强.Android 软件安全与逆向分析[M]. 北京人民邮电出版社, 2013. [15] 刘志永, 王红凯, 李高磊, 等.一种基于主机特征的未知恶意程序动态识别 系统[J]. 计算机与现代化, 2016 3 105-110.

    注意事项

    本文(Android恶意程序常用权限分析及统计研究.doc)为本站会员(admin)主动上传,微传网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知微传网(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    微传网是一个办公文档、学习资料下载的在线文档分享平台!

    网站资源均来自网络,如有侵权,请联系客服删除!

     网站客服QQ:80879498  会员QQ群:727456886

    copyright@ 2018-2028 微传网络工作室版权所有

         经营许可证编号:冀ICP备18006529号-1 ,公安局备案号:13028102000124

    收起
    展开