随着信息技术的高速发展,人们积累的数据量急剧增长,从海量的数据中提取有用的知识成为当务之急,数据挖掘的出现帮助人们解决了面临的难题。数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。它是一门以统计学、机器学习、数据库等多个学科为基础的新兴学科,作为一门面向应用的学科分支数据挖掘已经在许多领域取得了成功的应用,如电信、银行、零售等行业。
Android的流行使其已成为众多恶意软件的攻击目标[13],针对Android的木马、Rootkit和应用层特权提升攻击等安全威胁不断出现。同时,Android源代码开放的特性也吸引了研究人员的广泛关注,提出和实现了很多Android安全增强工作。介绍Android本身的安全机制及安全缺陷,按照硬件层、虚拟机监视器层、Linux内核层、Android应用框架层的层次化分类方式对已有An-droid增强工作的原理进行描述和分析,并指出了将来可能的研究方向。
为了应对大规模的恶意程序,提高检测时效性和准确度,最近许多国外学者将数据挖掘技术应用于对抗恶意程序的研究中,恶意程序检测是分类过程,即将样本数据分为正常程序和恶意程序。当前用于恶意程序检测的分类技术种类繁多,在[3]中,如果应用程序请求特定或关键权限的组合,将会引发一个风险信号。 在[4]中,根据应用程序请求的权限,以及和该应用程序属于同一类别的应用程序请求的权限,提出了几个风险信号。 在[5]中,使用概率生成模型设计了不同的风险评分方案。在[1]中,目前研究的比较多,综合性能较好的分类技术包括神经网络、贝叶斯、SVM(支持向量机)、决策树和关联规则等几种。
在[14],指出了当前主流的静态代码分析技术,在分析讨论其优缺点的基础上提出了一种新的静态代码检测模型。该模型结合了当前成熟的静态分析技术,并借鉴了编译器中数据流和控制流分析的思想,获取上下文关联的数据信息,从而更加准确地分析代码中存在的安全问题。
在[6]中,针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统。在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码。经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率。所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务。
在[12]中,针对持续恶化的Android安全形势,从恶意软件检测的角度,首先总结了Android恶意软件在安装、触发和恶意负载方面的特征和发展趋势;以此为基础,结合Android平台特性和移动智能终端环境限制,系统化论述了现有Android恶意软件分析与判定技术,指出了权限分析、动态分析和静态分析的实现方法及其优缺点;介绍了基于特征值和基于启发式的恶意软件判定方法.最后,根据已有Android恶意软件检测研究的不足,提出了未来的研究方向和发展趋势. 更多还原
针对现有Android平台隐私数据泄露动态检测方法检测效率较低的情况,在[15]中,文章设计并实现了一种基于权限分析的Android隐私数据泄露动态检测方法。该方法将Android静态检测中的权限分析与动态污点检测结合,根据应用程序申请的权限确定动态污点检测的隐私数据类型和隐私出口类型。检测选项保存在系统属性中。实验结果显示,该方法能够在保证隐私数据泄露检测有效性的前提下,提高动态污点检测的效率。
在Android应用程序中,从另一个方向来检测恶意活动依赖于应用程序的字节码的语义信息。CHEX[8]通过执行数据流分析和对生成的系统进行可达性测试,静态地审查Android应用程序的组件劫持漏洞,并依赖关系图来检测潜在的劫持使能流。类似地,啄木鸟[7]通过使用数据流分析和探索来自非保护接口的危险许可的可达性来暴露能力泄漏。另一方面,DroidRanger [9]结合了基于权限的行为脚印和基于启发式的过滤方案来检测恶意应用程序。尽管这些方法在检测特定漏洞方面是有效的,但是他们却没达成既定的目标,因为他们不能将这些方法推广到检测其他恶意活动上面去。
而在[2]中,介绍了一种强大而有效的方法来描述Android恶意软件。它依赖于API,包和参数级别信息。并根据Android恶意软件的标识功能集,进行对API级恶意软件行为的深入了解。他们为Android应用程序生成和评估不同的类。为了执行API级特征提取和数据流分析,开发了一个名为DroidAPIMiner的工具,该工具基于Androguard [10]逆向工程工具构建。并使用RapidMiner [11]建立分类模型。他们的测试表明与基于权限的分类器相比,KNN可以实现99%的准确率和2.2%的假阳性率。
参考文献:
