楊 佳，張慧翔，羅 怡，付俊平

(西北工業(yè)大學(xué) 自動(dòng)化學(xué)院，陜西 西安 710072)

基于自組織映射的安卓惡意軟件分析研究

楊 佳，張慧翔，羅 怡，付俊平

(西北工業(yè)大學(xué) 自動(dòng)化學(xué)院，陜西 西安 710072)

隨著Android系統(tǒng)日益廣泛的應(yīng)用，其安全性也成為關(guān)注的焦點(diǎn)。由于Android系統(tǒng)的開放性，Android惡意軟件也與日俱增。分析Android惡意軟件，了解惡意行為，對(duì)惡意軟件檢測(cè)具有重要意義。文中首先總結(jié)了所收集的1 260個(gè)惡意樣本中表現(xiàn)的惡意行為；然后提取這些惡意樣本請(qǐng)求的權(quán)限信息與聲明的Action信息作為訓(xùn)練的特征向量，采用自組織映射神經(jīng)網(wǎng)絡(luò)算法對(duì)Android惡意軟件進(jìn)行聚類分析；利用U-matrix算法的熱色圖分析不同惡意Android應(yīng)用之間的聯(lián)系；利用組件平面圖分析了惡意軟件與單一特征之間的關(guān)系，了解特征參數(shù)與惡意行為的相關(guān)性。最后總結(jié)歸納了不同惡意行為頻繁使用的權(quán)限與Action特征。分析結(jié)果表明，文中所提方法能夠有效了解惡意行為的敏感特征信息組合，可為進(jìn)一步的惡意Android應(yīng)用檢測(cè)提供依據(jù)。

Android；惡意軟件；自組織映射；神經(jīng)網(wǎng)絡(luò)；可視化

0 引 言

Android是目前最受歡迎的智能手機(jī)操作系統(tǒng)，據(jù)IDC全球季度智能手機(jī)報(bào)告顯示，2014年第四季度Android占據(jù)76.6%的市場(chǎng)份額[1]。然而Android惡意軟件也與日俱增，Sophos安全報(bào)告指出，到2014年收集了650 000個(gè)不同的Android惡意軟件樣本，每天有2 000新樣本被發(fā)現(xiàn)[2]。惡意軟件變種迅速，家族種類繁多，充分分析Android惡意軟件的行為特征，對(duì)惡意軟件檢測(cè)具有重要意義。

David等[3]提出了基于自組織映射(Self-Organizing Map,SOM)算法來分析Android權(quán)限安全模型，采用可視化方法分析應(yīng)用程序與權(quán)限之間的關(guān)系。Eric等[4]采用SOM算法分析Android應(yīng)用程序權(quán)限和日志信息模型，充分了解應(yīng)用的申請(qǐng)權(quán)限和動(dòng)態(tài)行為信息。這些研究表明，采用SOM算法能有效地分析Android應(yīng)用與權(quán)限之間的聯(lián)系。但是，這些研究中分析的樣本均為Android良性程序，未考慮惡意程序。惡意程序的權(quán)限行為特征有待進(jìn)一步分析。

目前，Android惡意軟件檢測(cè)的很多工作[5-6]都是提取AndroidManifest文件中的權(quán)限特征來分析的。但僅考慮權(quán)限特征的惡意軟件檢測(cè)準(zhǔn)確率只能達(dá)到80%左右[7-8]。只考慮權(quán)限特征，不能充分反映Android應(yīng)用程序的特性。AndroidManifest文件中的Action標(biāo)記信息也能反映出惡意軟件的特點(diǎn)。Action代表Intent所需要完成的一個(gè)抽象的動(dòng)作，Intent為Android應(yīng)用的啟動(dòng)意圖，Android應(yīng)用將會(huì)根據(jù)Intent來啟動(dòng)指定的組件[9]。惡意軟件在實(shí)現(xiàn)其惡意行為時(shí)，也需要聲明相應(yīng)的Action[10]。

基于上述考慮，文中提出采用SOM算法對(duì)Android惡意軟件進(jìn)行可視分析。通過提取惡意軟件樣本的權(quán)限和Action特征作為訓(xùn)練的輸入向量，生成熱色圖來分析聚類結(jié)果，進(jìn)一步采用組件平面來分析惡意軟件與單一特征之間的關(guān)系。最后，歸納總結(jié)惡意行為與權(quán)限、Action特征之間的相關(guān)性。

1 基于SOM的分析方法

文中使用來源于Android惡意軟件基因組的1 260個(gè)應(yīng)用程序作為樣本集，共49個(gè)惡意家族[11]。在49個(gè)家族中，惡意行為主要表現(xiàn)為惡意扣費(fèi)、遠(yuǎn)程控制、隱私竊取、資費(fèi)消耗、流氓軟件等。

通過apktool工具可得到惡意軟件的Androidmanifest.xml文件[12]，分別提取文件中與標(biāo)簽中的信息，提取得到不同的權(quán)限有117個(gè)，Action有258個(gè)。利用這些權(quán)限與Action特征分別構(gòu)造二元特征向量，用于訓(xùn)練SOM模型。如果權(quán)限被申請(qǐng)或Action被聲明，對(duì)應(yīng)向量中的特征為1，否則為0。

SOM算法是一種無監(jiān)督聚類算法，將高維空間的樣本在保持拓?fù)浣Y(jié)構(gòu)不變的條件下投影到低維空間。無論輸入樣本空間是多少維，其模式都可以在SOM網(wǎng)輸出層的某個(gè)區(qū)域得到響應(yīng)。SOM網(wǎng)絡(luò)經(jīng)過訓(xùn)練以后，在高維空間輸入相近的樣本，其輸出相應(yīng)的位置也相近[13]。將輸入向量通過SOM訓(xùn)練得出二維可視化結(jié)果，采用熱色圖來顯示臨近權(quán)值大小。另外，每個(gè)特征參數(shù)的組件平面圖，可用于分析每一個(gè)競(jìng)爭(zhēng)神經(jīng)元和輸入數(shù)據(jù)單個(gè)特征之間的關(guān)系。組件平面分析被認(rèn)為是SOM的一種切片的可視化圖[14]。

2 基于SOM的權(quán)限分析

(1)聚類結(jié)果分析。

圖1為SOM網(wǎng)絡(luò)臨近權(quán)值距離的可視化圖，通過熱色圖表示了神經(jīng)元之間的臨近關(guān)系，熱色圖的范圍是根據(jù)灰色圖的不同灰度值，從黑色到白色的256階的灰度范圍，其中小六邊形代表神經(jīng)元，之間灰色線連接鄰近的神經(jīng)元，神經(jīng)元之間的區(qū)域表示連接的權(quán)值，越亮的區(qū)域表示權(quán)值越大，神經(jīng)元之間的距離越小，反之亦然。

圖1 權(quán)限的臨近權(quán)值距離圖

為了更好地分析結(jié)果，將家族類別標(biāo)記于神經(jīng)元上，標(biāo)記SOM神經(jīng)元采用勝者為王的規(guī)則。要注意的是，雖然有些惡意軟件請(qǐng)求相似權(quán)限，只能意味著它有相似的功能特點(diǎn)，并不意味是同一家族的，所以會(huì)導(dǎo)致在基于惡意家族分類時(shí)的誤分。有時(shí)候一個(gè)神經(jīng)元的初始權(quán)值向量離輸入向量太遠(yuǎn)，以至于它從未在競(jìng)爭(zhēng)中獲取勝利，因而也從未得到學(xué)習(xí)，將形成毫無用處的“死”神經(jīng)元。圖2是聚類的標(biāo)記結(jié)果。

圖2 聚類的標(biāo)記結(jié)果

圖1中有幾處神經(jīng)元之間的顏色較亮，其距離較近，分別為同一家族，但卻在不同神經(jīng)元中，意味著來自相同家族的惡意軟件請(qǐng)求不同的權(quán)限，其行為也不相同。不同家族的惡意軟件也可能被分在同一神經(jīng)元中，例如圖2中的右下角部分，這就意味著不同種類的軟件有時(shí)也會(huì)請(qǐng)求相同的權(quán)限。圖1中左上角的神經(jīng)元之間的距離比較小，對(duì)應(yīng)的是AnserverBot家族，最復(fù)雜的惡意家族之一,占總樣本數(shù)的14.8%，包括重打包和自更新的惡意APK。

圖2中右上角基本上是DroidKungFu家族，以及它的后期衍生版本。該家族數(shù)量比較多，占據(jù)總樣本數(shù)的37.5%。DroidKungFu病毒的主體是一個(gè)Android原生程序，通常被捆綁到正常的軟件中，用戶只要安裝這個(gè)軟件就會(huì)感染病毒。該家族的惡意行為也從原先下載惡意廣告軟件到現(xiàn)在的篡改手機(jī)系統(tǒng)，連接遠(yuǎn)程的服務(wù)器接收控制指令等。

(2)組件平面分析。

該部分提供了個(gè)別維度的組件平面分析圖，顏色越亮的區(qū)域代表較大的權(quán)重，聯(lián)系越強(qiáng)，反之亦然。即亮顏色區(qū)域表示頻繁使用，而暗顏色區(qū)域表示罕見使用。

惡意扣費(fèi)類的惡意軟件主要特征就是會(huì)在系統(tǒng)后臺(tái)執(zhí)行扣費(fèi)操作，如自動(dòng)發(fā)送短信或彩信、自動(dòng)撥打電話或者自動(dòng)聯(lián)網(wǎng)消耗流量等方式，對(duì)用戶造成經(jīng)濟(jì)損失。從圖3中(a)可以看出，在數(shù)據(jù)集中90%以上申請(qǐng)INTERNET權(quán)限。例如DroidKunFu3中(94bf70ca8c44 4b7bec79efa0807a282fb8c61964.apk)開機(jī)自啟動(dòng)，并含有12條廣告，常見有微云、有米廣告等，該應(yīng)用程序會(huì)大量消耗流量。如圖3(g)、(h)所示，RECEIVE_SMS和SEND_SMS平面圖比較相近，這意味著這些權(quán)限是成對(duì)出現(xiàn)的，且權(quán)限之間的關(guān)系也緊密，在數(shù)據(jù)集中就有45%惡意軟件都有與短信相關(guān)的惡意功能。例如BgServ家族中(03f9fc8769422 f66c59922319bffad46d0ceea94.apk)主要惡意行為是發(fā)送短信內(nèi)容“1234567”至10086；攔截包含“10086”的短信號(hào)碼。如圖3中(m)、(n)所示，CALL_PHONE允許應(yīng)用程序在用戶不介入的情況下?lián)艽螂娫?。惡意?yīng)用程序可借此在您的話費(fèi)單上產(chǎn)生意外通話費(fèi)。PROCESS_OUTGOING_CALLS攔截外撥電話，允許應(yīng)用程序處理外撥電話或更改要撥打的號(hào)碼。惡意應(yīng)用程序可能會(huì)借此監(jiān)視，自行轉(zhuǎn)接甚至阻止外撥電話。

遠(yuǎn)程控制通常分為兩種，通過發(fā)送短信或者通過網(wǎng)絡(luò)來進(jìn)行遠(yuǎn)程控制。基于網(wǎng)絡(luò)控制的惡意軟件通常會(huì)申請(qǐng)圖3(a)的INTERNET權(quán)限，數(shù)據(jù)集中93%的惡意軟件使用基于HTTP的網(wǎng)絡(luò)流量來接收遠(yuǎn)程服務(wù)器的命令。例如DroidCoupon中(1c0a6b1c5d24cbba9 b11020231fffc0840dd7e10.apk),會(huì)在后臺(tái)啟動(dòng)負(fù)載，同遠(yuǎn)程的C&C服務(wù)器(http://a.xxxxxxx-inc.net:9000)通信，然后從服務(wù)器接收指令，下載并安裝附加的軟件到設(shè)備上?；诙绦趴刂频膼阂廛浖瑫?huì)成對(duì)申請(qǐng)圖3(e)～(h)的權(quán)限。例如NickyBot(f8eac76f3c50be40 945cc562a53f5c661454cd.apk)同時(shí)申請(qǐng)READ_SMS，WRITE_SMS，RECEIVE_SMS和SEND_SMS權(quán)限,通過短信進(jìn)行惡意操作。

隱私竊取類主要是竊取用戶的敏感信息，并將這些信息發(fā)送給指定的接收者。獲取用戶地理位置會(huì)成對(duì)地申請(qǐng)圖3中(i)，(j)和(k),(l)，惡意應(yīng)用程序可能會(huì)借此確定您所處的位置，并可能消耗額外的電池電量。例如GoldDream家族中(2950164750c6e36322 f1dac810a7a4b4.apk)，該應(yīng)用就是快速耗電惡意軟件，運(yùn)行后在鎖屏待機(jī)下，未注銷GPS，手機(jī)無法進(jìn)入休眠狀態(tài)，導(dǎo)致手機(jī)電量快速流失。竊取隱私的惡意軟件還可能讀取手機(jī)狀態(tài)，讀取短信、聯(lián)系人等行為。如圖3(b)，(e)，(o)所示，惡意軟件頻繁申請(qǐng)READ_PHONE_STATE,READ_SMS,READ_CONTACTS的權(quán)限。

圖3 申請(qǐng)權(quán)限組件平面分析圖

流氓軟件類主要是強(qiáng)行安裝和難以卸載，即使用戶拒絕安裝，它也會(huì)在后臺(tái)自動(dòng)安裝。流氓軟件會(huì)通過聯(lián)網(wǎng)后臺(tái)下載惡意軟件，申請(qǐng)如圖3(a)，(c)，(d)所示的三個(gè)權(quán)限INTERNET，INSTALL_PACKAGES，DELETE_PACKAGES。例如JSMSHider家族的主要惡意行為就是樣本運(yùn)行后就會(huì)嘗試獲得root權(quán)限來安裝惡意apk。

3 基于SOM的Action分析

(1)聚類結(jié)果分析。

如圖4所示，大部分的神經(jīng)元之間的距離都比較相近，聲明的Action比較相近，除去偏上中間的位置填充著黑色陰影。圖中右上角偏下區(qū)域填充著亮白色，根據(jù)結(jié)果可知，該區(qū)域?qū)?yīng)的是DroidKungFu家族，在數(shù)據(jù)集中該家族有473個(gè)樣本，該家族是重打包應(yīng)用程序，在原有的APK中嵌入惡意病毒，主要聲明了BOOT_COMPLETED相關(guān)的Action，可以自動(dòng)啟動(dòng)服務(wù)，不需要與用戶交互，用戶察覺不到惡意服務(wù)在后臺(tái)運(yùn)行，收集竊取信息。圖中左上角區(qū)域神經(jīng)元的距離比較相近，屬于AnserverBot家族，聲明了10種不同的Action，大量的Action會(huì)加快應(yīng)用程序的惡意行為。

圖4 Action的臨近權(quán)值距離圖

(2)組件平面分析。

圖5(a)、(b)所聲明的Action在惡意軟件中是頻繁使用的。隱私竊取、惡意扣費(fèi)類的惡意軟件一般會(huì)聲明這些Action。android.intent.action.MAIN是程序的入口，惡意軟件通常會(huì)在激活其他惡意的服務(wù)。Zsone家族中 (00d6e661f90663eeffc10f64441b170 79ea6f819.apk)在程序入口中通過點(diǎn)擊屏幕操作來調(diào)用發(fā)送短信的代碼。android.intent.action.BOOT_COMPLETED是程序自啟動(dòng)服務(wù)，由圖5(b)可以看出80%以上的惡意軟件都聲明了，Pjapps家族中(f051eeab57e42d569d298a d076c9fb47610e201e.apk)通過開機(jī)自啟動(dòng)來觸發(fā)啟動(dòng)服務(wù)com.android.MainService，執(zhí)行被植入的惡意軟件。該服務(wù)是主要的惡意模塊，訪問指定的網(wǎng)站，發(fā)送短信。

圖5 申請(qǐng)Action組件平面分析圖

由圖5(c)看出，惡意扣費(fèi)、遠(yuǎn)程控制類惡意軟件與短信有關(guān)的惡意行為都會(huì)聲明android.provider.Telephony.SMS_RECEIVED，占據(jù)樣本的60%以上的惡意家族。該Action主要是監(jiān)控短信，攔截或響應(yīng)傳入的短信。HippoSMS家族中(619389e71656f3198ede0b 249c45455898d60483.apk)注冊(cè)短信接收消息，發(fā)送短信內(nèi)容“8”至1066156686，發(fā)送這些短信與訂購(gòu)SP服務(wù)，暗中扣費(fèi)有關(guān)。攔截短信號(hào)碼是“10”的短信，使SP返回的短信無法被用戶查看。Zsone家族中(31c8bd21fff04f233e0f00e9c8007bb37 c567544.apk)注冊(cè)該事件，攔截短信號(hào)碼以10086或者10000開始的短信。

圖5(d)～(f)廣播消息通常成對(duì)被聲明，分別是有應(yīng)用程序被添加，有應(yīng)用程序被刪除和應(yīng)用程序被替換。通過這三個(gè)廣播消息可以監(jiān)控到Android應(yīng)用程序的安裝和刪除。通常流氓軟件會(huì)在后臺(tái)下載一些惡意程序，在Android中安裝和卸載程序時(shí)通常會(huì)有系統(tǒng)廣播，但是一些惡意木馬等通過屏蔽廣播等手段，使得用戶不知道后臺(tái)私自下載程序。圖中右下角神經(jīng)元填充著亮白色，家族jSMSHider全部注冊(cè)這些事件，該病毒在用戶手機(jī)安裝后無圖標(biāo)，會(huì)私自下載具有惡意行為的應(yīng)用，并嘗試獲得root權(quán)限進(jìn)行安裝，花費(fèi)用戶的流量。

最后，總結(jié)歸類了惡意行為中相對(duì)應(yīng)的頻繁申請(qǐng)的權(quán)限及Action，如表1所示。

表1 惡意行為對(duì)應(yīng)頻繁申請(qǐng)權(quán)限及Action

4 結(jié)束語

文中采用SOM算法對(duì)Android惡意軟件進(jìn)行分析研究。通過提取惡意軟件中的權(quán)限及Action特征，利用SOM熱色圖與組件平面圖，分析了不同家族惡意軟件的權(quán)限與Action使用情況。最后，總結(jié)歸納了各種惡意行為對(duì)應(yīng)頻繁申請(qǐng)權(quán)限及Action。根據(jù)這些特點(diǎn)，可為惡意軟件檢測(cè)提供參考，以提高檢測(cè)的精度。這也是下一步要進(jìn)行的工作。

[1] IDC. Smartphone OS market share,Q42014[R/OL].2014.http://www.idc.com/prodserv/smartphone-os-market-share.jsp.

[2]SvajcerV.Sophosmobilesecuritythreatreport[R/OL].2014.http://www.sophos.com/en-us/medialibrary/PDFs/other/sophos-mobilesecurity-threat-report.ashx.

[3]BarreraD,KayacikH.Amethodologyforempiricalanalysisofpermission-basedsecuritymodelsanditsapplicationtoandroid[C]//Proceedingsofthe17thACMconferenceoncomputerandcommunicationssecurity.[s.l.]:ACM,2010:73-84.

[4]FinickelE,LahmadiA.EmpiricalanalysisofAndroidlogsusingself-organizingmaps[C]//ProcofIEEEinternationalconferenceoncommunications.[s.l.]:IEEE,2014:1802-1807.

[5] 張 銳,楊吉云.基于權(quán)限相關(guān)性的Android惡意軟件檢測(cè)[J].計(jì)算機(jī)應(yīng)用,2014,34(5):1322-1325.

[6] 張葉慧,彭新光,蔡志標(biāo).基于類別以及權(quán)限的Android惡意程序檢測(cè)[J].計(jì)算機(jī)工程與設(shè)計(jì),2014,35(5):1568-1571.

[7] 彭國(guó)軍,李晶雯,孫潤(rùn)康,等.Android惡意軟件檢測(cè)研究與進(jìn)展[J].武漢大學(xué)學(xué)報(bào):理學(xué)版,2015,61(1):21-33.

[8] 楊 歡,張玉清,胡予濮,等.基于權(quán)限頻繁模式挖掘算法的Android惡意應(yīng)用檢測(cè)方法[J].通信學(xué)報(bào),2013,34(Z1):106-115.

[9] 胡文君,趙 雙,陶 敬,等.一種針對(duì)Android平臺(tái)惡意代碼的檢測(cè)方法及系統(tǒng)實(shí)現(xiàn)[J].西安交通大學(xué)學(xué)報(bào),2013,47(10):37-43.

[10] 邊 悅,戴 航,慕德俊.Android惡意軟件特征研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2014,24(11):178-181.

[11]ZhouYajin,JiangXuxian.DissectingAndroidmalware:characterizationandevolution[C]//ProcofIEEEsymposiumonsecurityandprivacy.SanFrancisco,CA:IEEE,2012:95-109.

[12] 樓赟程,施 勇,薛 質(zhì).基于逆向工程的Android惡意行為檢測(cè)方法[J].信息安全與通信保密,2015(4):83-87.

[13]KohonenT.Self-organizingmaps[M].3rded.[s.l.]:Springer,2001.

[14] 芮小平,張立強(qiáng).基于SOM的多維信息可視化研究[J].應(yīng)用基礎(chǔ)與工程科學(xué)學(xué)報(bào),2011,19(3):379-388.

Research on Empirical Analysis of Android Malware Based on SOM

YANG Jia,ZHANG Hui-xiang,LUO Yi,FU Jun-ping

(School of Automation,Northwestern Polytechnical University,Xi’an 710072,China)

With the increasingly extensive application of Android operation system,its security becomes the focus of attention.Due to the openness of Android OS,malicious applications grow rapidly.In order to detect malicious applications,the primary task is to analyze the malicious behaviors of Android malwares.In this paper,the malicious behaviors are summarized from 1260 collected samples firstly.Then,the Self-Organizing Map (SOM) algorithm is used to perform visual analysis for Android malwares.The requested permissions and declared actions in the manifest files of Android applications are retrieved as the features to train the classifier.The SOM clustering results are visualized by heat color map using U-matrix algorithm,and then the component plane analysis of SOM is used to understand the correlation between features and malicious behaviors.In the end,the malicious behaviors and their corresponding features are summarized.The result of experiments shows that the method is practical,and can identify the combination of sensitive characteristic from malicious behavior.These are helpful for Android malware detection.

Android；malware；self-organizing map；neural networks；visualization

2015-04-15

2015-07-22

時(shí)間：2016-01-04

國(guó)家自然科學(xué)基金資助項(xiàng)目(61303224)；西北工業(yè)大學(xué)研究生創(chuàng)業(yè)種子基金(Z2015126)

楊 佳(1991-)，女，碩士研究生，CCF會(huì)員，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全；張慧翔，碩士生導(dǎo)師，CCF會(huì)員，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160104.1510.044.html

TP31

A

1673-629X(2016)01-0086-04

10.3969/j.issn.1673-629X.2016.01.018