何遠(yuǎn)德，周序林

(1.西南民族大學(xué)外國語學(xué)院，四川 成都 610041；2.西南民族大學(xué)文學(xué)與新聞傳播學(xué)院，四川 成都 610041)

隨著我國幾大運(yùn)營商的不斷投入和持續(xù)建設(shè)，移動(dòng)互聯(lián)網(wǎng)取得了長足發(fā)展，國內(nèi)移動(dòng)設(shè)備制造商的持續(xù)發(fā)力和國民生活水平持續(xù)增長.移動(dòng)設(shè)備基本上實(shí)現(xiàn)了全面普及，根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中今年發(fā)布的《第40次｜中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[1]的數(shù)據(jù)，截止2017年6月，中國手機(jī)網(wǎng)民規(guī)模已經(jīng)達(dá)到7.24億，手機(jī)上網(wǎng)使用率為96.3%.

在智能移動(dòng)終端如火如荼發(fā)展的同時(shí)，其安全態(tài)勢也日益嚴(yán)峻.根據(jù)360互聯(lián)網(wǎng)中心發(fā)布的《2017年中國手機(jī)安全生態(tài)報(bào)告》[2]，報(bào)告主要從安卓移動(dòng)終端入手，從系統(tǒng)漏洞、預(yù)裝軟件、手機(jī)隱私權(quán)獲取、惡意程序、釣魚網(wǎng)站、騷擾電話、垃圾短信、網(wǎng)絡(luò)詐騙等8個(gè)部分就行了統(tǒng)計(jì)，其中的幾個(gè)數(shù)據(jù)很值得我們注意，各種級別的漏洞存在均在90%以上，嚴(yán)重漏洞的存在率高達(dá)90.6%以上[2].從2017年1-7月，統(tǒng)計(jì)到的惡意程序感染數(shù)高達(dá)1.3億人次[2]，每天感染量高達(dá)61.5萬人次，手機(jī)應(yīng)用程序獲取用戶的隱私權(quán)限高達(dá)30.2%[2].

上述的數(shù)據(jù)令人觸目驚心，目前安卓移動(dòng)終端已經(jīng)深入到各個(gè)領(lǐng)域，涉及到生活、生產(chǎn)、國家安全領(lǐng)域等，與人們的生活息息相關(guān).在這種情況下，關(guān)于Android系統(tǒng)安全的研究大幅度增加，來自會議、期刊和網(wǎng)絡(luò)的論文覆蓋面非常廣泛.文獻(xiàn)[3-6]從安卓系統(tǒng)的發(fā)展歷史和市場占有、安全狀況做了調(diào)查、分析和展望，并從安卓的體系結(jié)構(gòu)、安全機(jī)制、惡意軟件分類和檢測、機(jī)器學(xué)習(xí)等方面做了全面的分析和闡釋.文獻(xiàn)[7]從系統(tǒng)安全和應(yīng)用安全的角度進(jìn)行了研究.文獻(xiàn)[8]中主要從生物識別、生物認(rèn)證方面進(jìn)行了研究，主要從身份認(rèn)證的角度進(jìn)行研究.文獻(xiàn)[9-13]從惡意代碼檢測出發(fā)提出了多種解決方案，由終端和服務(wù)器協(xié)作完成，客戶端完成輕量級檢查，負(fù)責(zé)檢查交由服務(wù)器完成；通過簽名的方式對惡意代碼進(jìn)行識別等方法，或從app應(yīng)用權(quán)限著手進(jìn)行分層治理.文獻(xiàn)[10]從Dalvik指令出發(fā)進(jìn)行Android惡意代碼特征形式化描述和分析方法的研究和應(yīng)用，用來進(jìn)行惡意代碼的識別.

文獻(xiàn)[14-15]基于svm對進(jìn)行建模進(jìn)行惡意代碼識別研究.在參考文獻(xiàn)[16-17]中提出基于機(jī)器學(xué)習(xí)和行為識別的方法并進(jìn)行了測試實(shí)驗(yàn).

綜上所述，當(dāng)前Android安全研究主要還是傾向于被動(dòng)防御，對包進(jìn)行解析、敏感api調(diào)用、應(yīng)用特征碼識別、已知漏洞對抗分析等.鑒于用戶在Wifi環(huán)境下、不使用運(yùn)營商網(wǎng)接入、固定終端組網(wǎng)、使用固定的應(yīng)用程的使用場景研究相對較少；本文將基于主動(dòng)防御的模式下對安卓的安全進(jìn)行研究，提出應(yīng)用白名單與主動(dòng)防御混搭的安全框架，用于解決面向安卓集群工作環(huán)境下Android的終端安全以及集群安全.

1 Android主動(dòng)防御體系架構(gòu)

主動(dòng)防御體系從底至上依次分為三個(gè)層次:安卓傳感及防護(hù)層 、數(shù)據(jù)處理中心GMC、管理臺.

其中核心部分為安卓傳感及防護(hù)層，主要包括底層傳感器、組件傳感器、應(yīng)用傳感器等為主動(dòng)防御引擎提供支撐；主動(dòng)防御引擎提供防護(hù)模式、誘捕模式、情報(bào)模式等三種使用模式；實(shí)現(xiàn)對各種攻擊行為的感知和查殺，兼?zhèn)浞烙⑶閳?bào)收集、攻擊行為收集功能，主動(dòng)防御主要依賴攻擊行為的識別.數(shù)據(jù)處理中心GMC負(fù)責(zé)處理由安卓防護(hù)層上傳的數(shù)據(jù)；管理臺為用戶展示整個(gè)網(wǎng)絡(luò)空間的態(tài)勢狀態(tài).Android主動(dòng)防御體系的總體架構(gòu)如圖1所示:

圖1 Android主動(dòng)防御體系Fig.1 Active defense architecture

鑒于本研究中安卓終端使用場景主要限于終端無線組網(wǎng)，后面不再討論Sim卡方面的問題.主動(dòng)防

御系統(tǒng)總體結(jié)構(gòu)如下圖2所示:

圖2 Android主動(dòng)防御系統(tǒng)Fig.2 Android active defense system

應(yīng)用場景Android系統(tǒng)使用對象:個(gè)體手持移動(dòng)終端、車載設(shè)備、固定終端；

以獨(dú)立客戶端為單位組件的Android終端通信網(wǎng)絡(luò)場景如下圖3所示:

圖3 Android終端應(yīng)用場景Fig.3 Android terminal application scene

2 Android主動(dòng)防御系統(tǒng)技術(shù)架構(gòu)

Android主動(dòng)防御系統(tǒng)從技術(shù)上分為為兩級架構(gòu)，客戶端和后端管理中心.防御客戶端運(yùn)行在個(gè)體手持移動(dòng)終端、車載設(shè)備、固定終端等；管理中心運(yùn)行在后端管理集群.

2.1 防御客戶端

防御客戶端系統(tǒng)基于三層結(jié)構(gòu)進(jìn)行設(shè)計(jì)分為展示層、功能層、引擎層三層，以簡潔的方式進(jìn)行人機(jī)交互，讓用戶掌握終端的安全狀況.功能層處理應(yīng)用防御、組件防御、安全策略管理、日志管理、賬號權(quán)限管理、外設(shè)管理等.引擎層從Linux內(nèi)核、虛擬機(jī)安全、硬件訪問等層面進(jìn)行監(jiān)控和主動(dòng)防御.

2.2 防御系統(tǒng)管理中心

防御系統(tǒng)管理中心基于用戶專用網(wǎng)絡(luò)鏈接，采用加密鏈路與各客戶端進(jìn)行信息流和控制流的傳輸.防御系統(tǒng)管理中心對通信內(nèi)容進(jìn)行加密，支持對客戶端的認(rèn)證、鑒權(quán)功能.完成和客戶端的數(shù)據(jù)安全交互，實(shí)時(shí)掌控客戶端位置、活動(dòng)情況；并形成終端的安全態(tài)勢圖，并根據(jù)終端的態(tài)勢進(jìn)行適當(dāng)?shù)母深A(yù)，緊急情況可以發(fā)出指令讓終端下線、甚至自毀.

3 核心功能設(shè)計(jì)

Android主動(dòng)防御客戶端防御能力分兩層防護(hù):

白名單防護(hù)、基于主動(dòng)防御的防護(hù).Android管理臺主要用于對組網(wǎng)中的Android終端之間的通訊鏈路進(jìn)行安全加密，主動(dòng)防御安全策略下發(fā)，終端安全狀態(tài)呈現(xiàn)，對Android終端進(jìn)行有效管控(遠(yuǎn)程數(shù)據(jù)銷毀、系統(tǒng)自毀等).

3.1 Android主動(dòng)防御客戶端核心功能

3.1.1 白名單防護(hù)功能

根據(jù)Android系統(tǒng)的特點(diǎn)及用戶使用的場景，用戶只會固定使用指定的應(yīng)用程序，采用白名單機(jī)制更適合；凡是出現(xiàn)在白名單的應(yīng)用，終端無條件的對應(yīng)用的各種行為放行.Android主動(dòng)防御白名單通過如下四個(gè)方面進(jìn)行處理:

1)白名單中應(yīng)用進(jìn)程監(jiān)控，確保其應(yīng)用進(jìn)程不被非法改變篡改，根據(jù)應(yīng)用md5指紋進(jìn)行校驗(yàn)；

2)防御客戶端?；?，確保主動(dòng)防御程序不被非法強(qiáng)制結(jié)束，也是主動(dòng)防御程序的關(guān)鍵之一，也是目前業(yè)界主要研究的內(nèi)容之一；

3)應(yīng)用白名單更新，Android終端應(yīng)收到下發(fā)的白名單之后，能正常進(jìn)行本地白名單更新和當(dāng)前活動(dòng)應(yīng)用的處理.

4)硬件白名單機(jī)制，藍(lán)牙、紅外、WIFI、Nfc等硬件的白名單管控.

3.1.2 基于主動(dòng)防御的防護(hù)體

基于主動(dòng)防御的防護(hù)功能主要確保Android終端上進(jìn)程、數(shù)據(jù)及文件受到實(shí)時(shí)防護(hù)，不被篡改、修改、劫持，由如下幾部分構(gòu)成防護(hù)體系.

1)對應(yīng)用程序的權(quán)限清單入庫建立權(quán)限匹配庫，對應(yīng)用權(quán)限進(jìn)行安全等級劃分；

2)列出安卓系統(tǒng)的實(shí)時(shí)活躍應(yīng)用進(jìn)程，自動(dòng)終止非白名單應(yīng)用；

3)終端現(xiàn)階段對藍(lán)牙、紅外、NFC等近場通訊設(shè)備進(jìn)行連接探測和檢查，自動(dòng)終止異常連接；

4)對物理文件和內(nèi)存文件進(jìn)行自我保護(hù)，防止被非法拷貝和復(fù)制；

5)基于logcat記錄終端運(yùn)行日志，通過安全鏈路提交到管理平臺進(jìn)行入庫，進(jìn)行完整分析和安全評估；同時(shí)解讀敏感日志進(jìn)行終端預(yù)警；

6)網(wǎng)絡(luò)訪問行為沉淀生成網(wǎng)絡(luò)行為數(shù)據(jù)庫，基于此數(shù)據(jù)生成網(wǎng)絡(luò)行為鏈，如果發(fā)現(xiàn)陌生網(wǎng)絡(luò)行為，即時(shí)預(yù)警和處理；

7)安全評測:基于上述1)-6)，進(jìn)行安全評判，對安全級別進(jìn)行數(shù)字化展示，讓終端用戶對當(dāng)前的安全態(tài)勢進(jìn)行直觀評判.

3.1.3 異常處理機(jī)制

Android主動(dòng)防御客戶端以保護(hù)重要文檔數(shù)據(jù)及關(guān)鍵進(jìn)程的正常運(yùn)行為核心，當(dāng)主動(dòng)防御系統(tǒng)的異常閥值被觸發(fā)時(shí)，啟動(dòng)主動(dòng)防御文件防護(hù)進(jìn)程，使得所有閱讀文檔的應(yīng)有無法打開，也無法在此Android終端上安裝具有文檔閱讀功能的應(yīng)用；結(jié)束該Android終端上白名單中的重要進(jìn)程，并阻止其再次啟動(dòng)，使得發(fā)生異常的終端失效；

3.2 Android主動(dòng)防御總控中心

Android主動(dòng)防御管理臺主要用于對組網(wǎng)中所有Android終端進(jìn)行有效管控，并實(shí)時(shí)呈現(xiàn)總體安全態(tài)勢，集群中心可以進(jìn)行總體管控和決策下達(dá)，由以下幾部分構(gòu)成:終端聯(lián)網(wǎng)安全準(zhǔn)入認(rèn)證、離線銷毀體系建立、終端運(yùn)行狀態(tài)展現(xiàn)、安全狀態(tài)指標(biāo)呈現(xiàn)、終端在組網(wǎng)中的實(shí)時(shí)位置圖.

3.3 Android主動(dòng)防御原理

3.3.1 基于主動(dòng)防御的防護(hù)機(jī)制

當(dāng)攻擊方第一層白名單機(jī)制的限制，將非法進(jìn)程添加入白名單或者非法入侵并控制白名單中的應(yīng)用進(jìn)程時(shí)，其之后所做的任何非法異常操作將被基于主動(dòng)防御的防護(hù)機(jī)制識別、監(jiān)控、并阻止；安卓主動(dòng)防御引擎主要解決防御鏈與殺傷鏈之間的對抗.殺傷鏈通常是指網(wǎng)絡(luò)攻擊殺傷鏈中的各個(gè)鏈?zhǔn)江h(huán)節(jié)，結(jié)構(gòu)常見如下表1:

表1 殺傷鏈構(gòu)成Table 1 Killing chain composition

主動(dòng)防御鏈引擎構(gòu)成參見下表2.

表2 防御鏈構(gòu)成Table 2 Defense chain composition

3.3.2 底層Linux內(nèi)核行為感知與防護(hù)

在操作系統(tǒng)底層建立驅(qū)動(dòng)級的進(jìn)程、設(shè)備調(diào)度、文件系統(tǒng)管控驅(qū)動(dòng).主動(dòng)防御激活之后，會啟動(dòng)文件監(jiān)控、進(jìn)程監(jiān)控、Prop監(jiān)控、自我防護(hù)、行為識別五個(gè)線程進(jìn)行防護(hù).

文件系統(tǒng)過濾驅(qū)動(dòng)將捕獲文件創(chuàng)建、打開、刪除、重命名、讀寫、設(shè)置、查詢等動(dòng)作；進(jìn)程監(jiān)控實(shí)時(shí)將捕獲進(jìn)程創(chuàng)建、進(jìn)程終止、進(jìn)程命令行及參數(shù)、本地線程創(chuàng)建、遠(yuǎn)線程創(chuàng)建、線程終止、驅(qū)動(dòng)加載等；Prop監(jiān)控將實(shí)時(shí)獲取Android系統(tǒng)配置信息表的打開、創(chuàng)建、刪除、寫入、查詢等；自我防護(hù)從內(nèi)核層和應(yīng)用層進(jìn)行雙重防護(hù)，如果發(fā)現(xiàn)有重要進(jìn)程被終止，并立即進(jìn)行二次啟動(dòng)，如果多次啟動(dòng)失敗將把系統(tǒng)轉(zhuǎn)入異常模式；行為識別線程基于行為庫，對當(dāng)前終端的行為鏈進(jìn)行判別.

3.3.3 主動(dòng)防御核心算法

文獻(xiàn)[18]指出Android系統(tǒng)的Android Permission機(jī)制作為一種粗粒度的訪問控制機(jī)制，不能有效地阻斷應(yīng)用程序?qū)ο到y(tǒng)資源的濫用，使得Android惡意代碼容易借此實(shí)施攻擊.因此在安卓權(quán)限的基礎(chǔ)上，在應(yīng)用層采用基于行為的系統(tǒng)資源訪問控制方法，對應(yīng)用程序?qū)Y源的行為進(jìn)行規(guī)范，防止系統(tǒng)資源被濫用造成對系統(tǒng)安全的破壞.

主要利用TLCK時(shí)序邏輯描述語言，為與系統(tǒng)安全相關(guān)的關(guān)鍵系統(tǒng)資源訪問定義安全的行為模式，并對應(yīng)用程序執(zhí)行過程中的行為進(jìn)行動(dòng)態(tài)監(jiān)視，通過匹配該應(yīng)用的行為模型和資源訪問的行為模型，實(shí)施訪問控制，與基于惡意行為特征的惡意代碼檢測方法相比，資源訪問行為模型更容易定義，并且能夠應(yīng)對未知攻擊.

主動(dòng)防御算法基于行為權(quán)重和遞歸出應(yīng)用所有相關(guān)線程的行為權(quán)重進(jìn)行加權(quán)判斷，這樣在實(shí)際訓(xùn)練過程中調(diào)整權(quán)重來實(shí)現(xiàn)權(quán)重配比的最優(yōu)，具體如下:

1)算法訓(xùn)練期

在針對已有的惡意代碼行為分析實(shí)驗(yàn)中，基于概率論中的大數(shù)定律建立惡意行為庫，行為庫作為文件分離出來并在Android內(nèi)核層進(jìn)行保護(hù)，以后只要更新行為庫就可以進(jìn)行功能強(qiáng)化和算法升級，所采用的常用算法和主機(jī)監(jiān)控類似，但行為庫及規(guī)則不一樣

2)算法自我更新

在一個(gè)行為庫更新發(fā)布時(shí)，即可采用回溯算法得到:能夠造成泄密的所有庫中行為組合并保存.在主動(dòng)防御過程中，通過判斷應(yīng)用的自身進(jìn)程樹上的行為鏈?zhǔn)欠癜性撔袨榈慕M合，就可以識別這一行為鏈?zhǔn)欠衿ヅ鋹阂庑袨?，如果滿足觸發(fā)主動(dòng)防御系統(tǒng)就進(jìn)行防御處理；如果在這個(gè)處理過程中出現(xiàn)誤判，可以人工干預(yù)，將此行為鏈標(biāo)記為良性行為.

3)基于權(quán)重閥值的惡意行為判定

行為庫中的每種行為都是惡意程序中出現(xiàn)概率較高的，正常程序出現(xiàn)概率較低的.而且每種行為都有一個(gè)權(quán)重值，竊密性越明顯的通信行為權(quán)重值越高，權(quán)重值的設(shè)定基于我們的誘捕系統(tǒng)和自我學(xué)習(xí)行為.

步驟一:設(shè)一棵進(jìn)程樹上每個(gè)行為的權(quán)重值為Wi(i＝1，2，…n)，則具有庫中n個(gè)行為的進(jìn)程A得出的總權(quán)重值為:

步驟二:進(jìn)程A的所有m個(gè)子進(jìn)程(包括直接的及間接的)所產(chǎn)生的行為鏈的總權(quán)重值為:SubX＝，如果進(jìn)程 X 有子進(jìn)程，則:WX ＝AX+SubX 否則 WX＝AX.

步驟三:遞歸算出所有線程的權(quán)重，以不再有子進(jìn)程為遞歸結(jié)束.即可計(jì)算出這一系列通信行為鏈的總權(quán)重值Wt.

步驟四:如果權(quán)重值達(dá)到了設(shè)定閥值，則說明:這一行為鏈具有明顯的惡意行為.

步驟五:例外處理.比如:向遠(yuǎn)程傳輸文件等行為可以直接把權(quán)重值規(guī)定為閥值，立即判為異常.對一些特殊進(jìn)程(配合進(jìn)程名和文件內(nèi)容校驗(yàn))需要設(shè)置經(jīng)驗(yàn)策略.

通過步驟一到步驟五構(gòu)成主動(dòng)防御的核心算法基礎(chǔ).

4)行為庫建立

安卓應(yīng)用大多數(shù)都通過安卓sdk開發(fā)完成，個(gè)別應(yīng)用會輔助Ndk進(jìn)行原生開發(fā).行為鏈的構(gòu)建主要基于安卓權(quán)限、Api調(diào)用、系統(tǒng)配置修改、文件操作、硬件調(diào)用、網(wǎng)絡(luò)操縱六個(gè)部分進(jìn)行建設(shè).

主動(dòng)算法行為鏈中主要對安卓權(quán)限、Api調(diào)用進(jìn)行權(quán)重維護(hù).安卓權(quán)限目前具有一百多種，例如:“android.permission.WRITE_EXTERNAL_STORAG”是允許寫外部存儲權(quán)限，屬于高權(quán)值權(quán)重；而“android.permission.READ_EXTERNAL_STORAGE”是允許讀外部存儲權(quán)限，屬于低權(quán)值權(quán)重.安卓公開了若干Api，我們對Api進(jìn)行分組整理建立權(quán)值庫，如“Android.telephony.TelephonyManager.getCellLocation()”是進(jìn)行位置獲取的 Api，是屬于高權(quán)值 Api；而“android.telephony.TelephonyManager.getDeviceId()”獲取設(shè)備id信息，權(quán)值相對偏低.其他部分的權(quán)重信息采集先對單純一些，不再贅述.

4 關(guān)鍵實(shí)現(xiàn)

主動(dòng)防御客戶端在安卓5.0，6.0下面開發(fā)測試通過，在程序?qū)崿F(xiàn)上主要需要解決活躍進(jìn)程的讀取、有異常行為的進(jìn)程的關(guān)閉、應(yīng)用權(quán)限列表的獲取等.

4.1 活躍進(jìn)程的讀取和終止

客戶端通過調(diào)用 ActivityManager的 getRunningAppProcesses()方法獲得當(dāng)前系統(tǒng)里所有正在運(yùn)行的應(yīng)用進(jìn)程 ，此代碼在安卓5.x和安卓6.x下面調(diào)試通過.安卓版本更迭快速，關(guān)鍵位置的處理需要針對不同的版本進(jìn)行不同的處理，運(yùn)行效果如下圖4所示.關(guān)鍵代碼如下:

圖 4后臺進(jìn)程展示Fig. 4Background process display

Android進(jìn)程終止處理早期在安卓4.x以前的版本中，可以調(diào)用 ActivityManagerNative的 killBackgroundProcesses()方法.但是 5.x，6.x版本中此方法已經(jīng)失效，只能通過調(diào)用安卓的輔助服務(wù)功能進(jìn)行進(jìn)程的關(guān)停.

4.2 應(yīng)用權(quán)限列表的抽取

安卓系統(tǒng)中PackageManger的主要職責(zé)是對應(yīng)用程序包進(jìn)行管理，通過它可以獲取應(yīng)用程序的相關(guān)信息，抽取權(quán)限的部分代碼如下:

5 結(jié)語

白名單+主動(dòng)防御的安全體系架構(gòu)是針對國內(nèi)特殊行業(yè)的需求做的定制設(shè)計(jì)，目前處于測試運(yùn)行中，系統(tǒng)運(yùn)行穩(wěn)定，管理中心對終端集群整個(gè)運(yùn)行態(tài)勢、安全態(tài)勢做到了集中可控.

但是安卓的版本不斷升級演進(jìn)，整套體系架構(gòu)目前大部分功能還是基于應(yīng)用層來展開；現(xiàn)在存在的問題在于安卓版本一旦升級，通常都會涉及安全架構(gòu)的升級，影響安全客戶端的有效工作；后續(xù)的研究需要基于安卓源代碼進(jìn)行，進(jìn)行安全線程的底層植入，確保更加自主可控；進(jìn)行惡意行為判定算法的深入研究向智能算法升級.

[1]中國互聯(lián)網(wǎng)絡(luò)信息中心.第40次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R/OL].(2017-08-07)[2017-12-01].http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201708/P020170807351923262153.pdf.

[2]360互聯(lián)網(wǎng)安全中心.2017中國手機(jī)安全生報(bào)[R/OL].(2017-09-13)[2017-12-01].http://zt.#/dl.php?filename＝2017中國手機(jī)安全生態(tài)報(bào)告.pdf.

[3]卿斯?jié)h.Android安全研究進(jìn)展[J].軟件學(xué)報(bào)，2016，27(1):45-71.

[4]LA POLLA M，MARTINELLI F，SGANDURRA D.A survey on security for mobile devices[J].IEEE Communications Surveys ＆ Tutorials，2013，15(1):446-471.

[5]卿斯?jié)h.Android安全的研究現(xiàn)狀與展望[J].電信科學(xué)，2016，32(10):2-14.

[6]FANG Z，HAN W，LI Y.Permission-Based Android security:Issues and countermeasures[J].Computers ＆ Security，2014，43:205-218.

[7]張玉清，王凱，楊歡，等.Android安全綜述[J].計(jì)算機(jī)研究與發(fā)展，2014，51(7):1385-1396.

[8]許艷萍，馬兆豐，王中華，等.Android智能終端安全綜述[J].通信學(xué)報(bào)，2016 ，37(6):169-184.

[9]文偉平，梅瑞，寧戈，等.Android惡意軟件檢測技術(shù)分析和應(yīng)用研究[J].通信學(xué)報(bào)，2014，35(8):78-85.

[10]李挺，董航，袁春陽，等.基于Dalvik指令的Android惡意代碼特征描述及驗(yàn)證[J].計(jì)算機(jī)研究與發(fā)展，2014，51(7):1458-1466.

[11]ELISH KO，SHU X，YAO D，et al.Profiling user-trigger dependence for Android malware detection[J].Computers ＆ Security，2015，49(C):255-273.

[12]FARUKI P，LAXMI V，BHARMAL A，et al.Andro Similar:Robust signature for detecting variants of Android malware[J].Journal of Information Security and Applications，2015，22:66-80.

[13]LIU X，LIU J.A two-layered permission-based Android malware detection scheme[C].2014 2nd IEEE International Conference on Mobile Cloud Computing，Services，and Engineering，2014，142-148.

[14]龔明明，吳漢，孫知信.基于SVM的Android應(yīng)用程序安全檢測綜述[J].計(jì)算機(jī)應(yīng)用研究，2017，34(4):965-971.

[15]董航，李祺，董楓，等.基于HMMs-SVM的Android惡意行為動(dòng)態(tài)檢測模型[J].北京郵電大學(xué)學(xué)報(bào)，2014:10-19.

[16]雷經(jīng)緯.一種基于行為的Android惡意軟件檢測系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)[D].武漢:華中科技大學(xué)，2015.

[17]卜義云.基于機(jī)器學(xué)習(xí)的Android惡意軟件靜態(tài)檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué)，2016.

[18]雷靈光，荊繼武，王躍武，等.一種基于行為的Android系統(tǒng)資源訪問控制方案[J].計(jì)算機(jī)研究與發(fā)展，2014，51(5):1028-1038.