張葉慧，彭新光，蔡志標

（太原理工大學 計算機科學與技術學院，山西 太原030024）

0 引 言

Android作為一款開放的手機操作系統(tǒng)，帶給我們便利的同時其安全問題也漸漸凸顯。用戶可以在Google Play上瀏覽、下載以及購買各式各樣的第三方應用程序，但是Google Play的檢測機制并不完善，不能保證第三方應用程序的安全性。

通常，惡意軟件會訪問一些敏感的權限，一旦用戶授權成功，它們就會濫用這些權限在后臺進行一些惡意行為，比如發(fā)送用戶的隱私信息，或者通過發(fā)送短信息等方式消耗用戶的資費，給用戶帶來各種危害。針對這些問題，本文提出了一種基于類別以及權限的Android惡意程序檢測方法，分析應用程序所要申請的權限來判斷該程序是否是惡意的應用程序，從而保護手機用戶隱私信息的安全。

1 概 述

1.1 Android安全機制

Android安全機制包括傳統(tǒng)的Linux安全機制，以及Google為Android設計的特有安全機制。Linux安全機制下，Linux內核保證每個應用程序在自己的進程和數(shù)據(jù)空間內運行，以達到隔離的目的。Android特有的安全機制主要包括：簽名機制，組件封裝以及基于權限的安全機制。

簽名機制：在Android中所有的應用程序必須都是經過數(shù)字簽名認證的。只有經過數(shù)字簽名的應用程序才能進行安裝，并且只有用同一個證書簽名的應用程序才能安裝升級的應用程序；

組件封裝：Android主要通過組件間的封裝來保護應用程序的運行［1］。

權限機制：權限是用來描述是否擁有做某事的權利。默認設置下，Android應用程序都沒有干擾其它應用程序、系統(tǒng)或用戶的權限，除非應用程序依據(jù)要實現(xiàn)的功能，提出申請，要求合理的權限。這樣用戶就可以通過分析應用程序申請的權限來簡單判斷該程序是否安全。權限機制會在安裝包安裝和升級的時候對應用包中的權限信息在基于簽名的基礎上進行抽取、初始化、檢測并授權，建立相應的數(shù)據(jù)結構［2］。

1.2 Android權限

Android權限大致可以分為3類：①Android手機所有者權限：用戶具有的安裝使用應用程序的權限。②Android root權限：Android系統(tǒng)的最高權限，可以對系統(tǒng)文件進行任意操作。③Android應用程序權限：應用程序對系統(tǒng)資源的訪問權限。

Android應用程序獲取權限分兩個步驟，首先在AndroidManifest.xml文件中設置相應的標簽和屬性來申請自己想要的權限，然后在應用程序安裝時，用戶授予應用程序申請的權限。權限的授予只在應用程序安裝時發(fā)生，而且是一次性授予，用戶一旦授予成功，在應用程序的運行期間就不能更改，所有未經申請的權限系統(tǒng)都會拒絕。系統(tǒng)內置100多種可供應用程序申請的權限。

AndroidManifest.xml文件中與權限相關的標簽有＜uses－permission＞、＜permission＞、＜permission－group＞等。其中，＜permission＞標簽是用于聲明自定義權限的，＜uses－permission＞標簽則是用來聲明應用程序申請的系統(tǒng)權限，這部分權限是本文中主要用到的權限。

2 相關研究

近年來，Android惡意程序檢測方法層出不窮，2010年，Enck利用跟蹤的技術，將敏感數(shù)據(jù)標記出來，通過跟蹤數(shù)據(jù)的流向，根據(jù)預先定義好的規(guī)則，來判斷該程序是否是惡意程序，是否要給該程序使用這些數(shù)據(jù)，但是用戶必須要修改系統(tǒng)才能應用這個機制［3］。2011年Shahzad通過分析應用程序在執(zhí)行期間所占用的幾個主要的系統(tǒng)資源來判斷該軟件是否為惡意軟件，但是主要依據(jù)還是Linux的惡意程序資料庫［4］。2011年Igor采用了一種分類學習的方法來檢測惡意軟件。文章使用一個已標記的惡意的或是正常的應用程序和未標記的程序集合來建立不同的機器學習分類器［5］。也有不少文章通過分析程序使用權限來判定程序的安全性。Barrera發(fā)表了一篇研究權限分布的文章，論文中展示了各種權限分布的不規(guī)則性，指出大多數(shù)的權限只會出現(xiàn)在特定的幾個類別中［6］。Nauman提出了通過修改系統(tǒng)，安裝應用程序時，用戶可以動態(tài)選擇是否要開放權限以降低惡意程序帶來的危害［7］。Batyuk設計了一個網(wǎng)站，用戶可以上傳應用程序，通過反編譯獲得應用程序所使用的API調用以及權限列表，并將其反饋給用戶，讓用戶判斷是否安裝該應用程序［8］。

以上方法雖然有的從不同方面對應用程序的權限進行了分析，但是并沒有以類別和權限為依據(jù)進行研究。某一個特定類別的應用程序所實現(xiàn)的功能相似，因此要訪問的權限類似，文章就利用這一點先將應用程序進行分類，再對該程序要訪問的權限進行分析研究，根據(jù)該程序所屬的類別給用戶提供建議。

3 Android惡意程序檢測的實現(xiàn)

3.1 Android惡意程序檢測流程

權限安全模型是Android設備最重要的安全防護措施之一，它可以限制訪問特殊資源，也就是說，可以限制某些惡意行為。如果一個應用程序想要完成一些特定的功能，就必須訪問相應的權限，所以一個應用程序的權限列表反映了程序的功能以及行為。Google Play把應用程序分為26個類別，同一個類別的應用程序它所實現(xiàn)的功能相近，因此認為所需要的權限也相似，依照這個結論，提出了一種基于類別以及權限的Android惡意應用程序檢測方法，方法的流程如圖1所示。

圖1 檢測流程

3.2 類別惡意閾值的計算

依據(jù)Google Play，將所有的應用程序分為26個類別，每個類別搜集足夠多的應用程序，利用Android資源打包工具 （android asset packaging tool，aapt）提取搜 集程序AndroidManifest.xml文件中的權限列表。aapt.exe在SDK的platform－tools目錄下，也可以用來查看、添加、刪除壓縮包里的內容。使用aapt dump permissions ABC.apk，作用是提取ABC.apk文件中的權限列表。再將所有應用程序的權限使用情況統(tǒng)計到一個excel文件中，其中每一行代表一個應用程序權限使用情況，格式如下：（p1，p2，p3，…，p126，S127，name），p1－p126是統(tǒng)計的 Android126個權限，該應用程序使用的記為1，未使用的記為0，S127記錄該應用程序所使用的權限總數(shù)，name是應用程序的名稱。所有這些記錄就構成了該類別權限使用集。

選取Google Play中所有的類別作為依據(jù)來建立資料庫，總共搜集了1027個不同的Android應用程序。為了給能給它們正確的分類，并沒有改動應用程序原來的名稱，通過獲取應用程序的權限列表以及統(tǒng)計用到的權限總數(shù)，最終獲得了應用程序的權限集合。要想每個類別程序的權限呈現(xiàn)一定的規(guī)律性，就必須選擇足夠數(shù)量的程序，一旦要搜集的應用程序的個數(shù)定了，就從對應類別中隨機選擇應用程序。每個類別所搜集的程序個數(shù)見表1。

表1 不同種類搜集應用程序數(shù)

這里統(tǒng)計了126個不同的權限。把每個程序看作一個向量，每個向量有126個選項來代表有無對應項的權限，然后生成一個.csv格式的文件。收集到的天氣類以及保健與健身類的應用程序的權限分布情況如圖2和圖3所示。圖中橫軸代表對應的權限，順序是權限按照字母的順序排列，比如圖2代表android.permission.ACCESS＿COARSE＿LOCATION，53則代表android.permission.INTERNET。

提取不同類別各個應用程序的使用權限，并統(tǒng)計權限在該類別的使用頻率，根據(jù)使用頻率給不同權限賦予不同的權值，這里認為使用頻率越大，在該類別的應用程序中出現(xiàn)該權限越合理，設置權值越小。

圖2 天氣類權限分布

圖3 保健與健身類權限分布

定義R（pi，c）：權限pi在該類別c出現(xiàn)的頻率；W（pi，c）：權限pi在類別c中的權值；T（c）：類別惡意閾值；T（a）：應用程序惡意值。其中

權限的使用率越高，則該類別其它程序使用該權限就越安全，惡意影響就越小。由式 （1）也可以看出權限的使用頻率越高，則其權值越小，反之越大。由式 （2）根據(jù)這些權限在該類別的權值計算該類別的惡意閾值，以便進行比較。由于不同類別的權限使用率不同，因此對應的權限權值也不同，計算出的惡意閾值也不相同。

4 實驗過程及結果分析

4.1 實驗過程

用戶安裝應用程序時，必須選擇該應用程序所屬的類別，這里利用數(shù)據(jù)挖掘的方法，根據(jù)搜集到不同類別的權限使用情況，建立不同類別間的判斷準則，從而幫助用戶判斷應用程序所屬類別。使用支持向量機 （support vector machine，SVM）的一種序列最小優(yōu)化算法進行判定。序列最小優(yōu)化算法是一種用于解決支持向量機訓練過程中所產生優(yōu)化問題的算法。簡單描述該算法要解決的問題就是用分類超平面將空間中的兩類樣本正確分離，并取得最大邊緣。實驗中給多于兩個類進行分類時，依然是每兩個類都會兩兩比較，并正確分離。假設有數(shù)據(jù)集為： （p1，C1），…，（pn，Cn），要將其分為兩類，其中pi是代表應用程序的權限的情況 （例如p1＝ （1，0，1，0）代表app1使用了第1個以及第3個權限），Ci∈｛－1，1｝是類別標簽，只允許取兩個值。1代表一類，－1代表另一類。而且，兩類之間的距離越大越好。距離越大，代表分類越明確，證明分類越成功。分類完成后天氣、通訊、游戲以及健康與保健四類的分類結果的精確率，召回率，以及ROC（receiver operating characteristic）曲線下面積值 AUC （area under the ROC curve）見表2。

表2 分類結果

Borja發(fā)表了一篇基于權限的惡意軟件檢測的文章中，論文沒有將應用程序進行分類，只是根據(jù)應用程序的權限使用情況判定程序是否是惡意程序［9］。論文中使用SMO算法分類器分類后的結果見表3。

表3 SMO算法惡意程序檢測結果

應用程序分類完成后，利用aapt命令提取應用程序的訪問權限，生成對應向量。利用式 （3）按照該類別對應權限的權值，計算該應用程序的惡意值。再將惡意值與該類別的惡意閾值做比較，若小于或等于惡意閾值，認為該應用程序是安全的，建議用戶可以安裝。否則，提醒用戶該應用程序可能會有異常，通知用戶，讓用戶來選擇是否進行安裝。

4.2 實驗結果與分析

實驗以類別和權限使用情況為依據(jù)對應用程序進行分析，所以驗證包括兩方面的內容。一是惡意應用程序的檢測，二是正常的應用程序在不同類別中的驗證結果。實驗搜集了37個不同種類的Android惡意應用程序做測試，發(fā)現(xiàn)了34個可以檢測被認為是惡意應用程序。表4所示為一個未被感染病毒的正常的onchat.apk應用程序，按照Google Play的分類，應該將其歸為通訊類，但是如果將其看作是攝影類或是工具類或是游戲類的進行驗證，計算其惡意值，就會發(fā)現(xiàn)該惡意值要大于該類的惡意閾值，從而被判定為惡意應用程序。所以該方法中應用程序所屬的類別是判定該應用程序是否有惡意的一個重要依據(jù)。

表4 onchat.apk檢測結果

5 結束語

本文通過對Android安全機制的研究，提出了一種新的基于類別以及權限使用情況的Android惡意程序檢測方法。不同類別建立不同的數(shù)據(jù)集，在此基礎上進行權限分析，大大提高了分析的準確度。本文在解決實用問題的同時也是對以類別和權限為依據(jù)進行惡意應用程序檢測領域進行的嘗試。下一步將繼續(xù)搜集應用程序以擴大數(shù)據(jù)集，在數(shù)據(jù)集擴大的基礎上再提出更加優(yōu)化的檢測方法，以提高檢測的準確率。

［1］Enck W，OngTang M，McDaniel P.Understanding Android security ［J］.IEEE Security and Privacy，2009，7 （1）：50－57.

［2］Felt A P，Greenwood K，Wagner D.The effectiveness of application permission ［C］／／Proceedings of the 2nd USENIX Conference on Web Application Development.USA：USENIX Association，2011：7－7.

［3］Enck W，Gilbert P，Chun B，et al.An information－flow tracking system for realtime privacy monitoring on smartphones［C］／／Proceedings of the 9th USENIX Conference on Operating Systems Design and Implementation.USA：USENIX Association，2010：255－270.

［4］Shahzad F，Bhatti S，Shahzad M，et al.Inexecution malware detection using task structures of Linux processes ［C］／／USA：Proceedings of the IEEE International Conference on Communication，2011：1－6.

［5］Santos I，Laorden C，Bringas P G.Collective Classification for unknown malware detection ［C］／／USA：SECRYPT，2011：251－256.

［6］Barrera D，Kayacik H G，Van Oorschot P C，et al.A methodology for empirical analysis of permission－based security models and its application to android ［C］／／Proceedings of the 17th ACM Conference on Computer and Communications Security.USA：ACM，2010：73－84.

［7］Nauman M，Khan S，Zhang X.Extending android permission model and enforcement with user defined runtime constraints ［C］／／Proceedings of the 5th ACM Symposium on Information，Computer and Communications Security.USA：ACM，2010：328－332.

［8］Batyuk L，Herpich M，Camtepe S A，et al.Using static analysis for automatic assessment and mitigation of unwanted and malicious activities within Android applications ［C］／／Malicious and Unwanted Software （MALWARE），USA：IEEE，2011：66－72.

［9］Sanz B，Santos I，Laorden C，et al.Permission usage to detect Malware in android ［C］／／International Joint Conference CISIS’12－ICEUTE’12－SOCO’12Special Seesions，2013：289－298.