0 引言

進(jìn)入移動(dòng)互聯(lián)時(shí)代以來(lái)，隨著日益豐富的應(yīng)用生態(tài)，Android系統(tǒng)的市場(chǎng)占有率也隨之增長(zhǎng)。與IOS不同，Android應(yīng)用軟件下載更加方便快捷，不同的軟件市場(chǎng)都可以下載，例如，騰訊手機(jī)管家，360手機(jī)衛(wèi)士，Google官方市場(chǎng)等。不過(guò)，如此多的軟件來(lái)源雖然為Android用戶提供了方便，但因?yàn)槠洳煌能浖踩珮?biāo)準(zhǔn)也給用戶帶來(lái)了一定的安全隱患[1]。Android軟件不需要安全機(jī)構(gòu)的認(rèn)證也可上線使用，軟件開(kāi)發(fā)者僅靠簽名與其開(kāi)發(fā)軟件建立信任關(guān)系，而且Android軟件被反編譯進(jìn)行修改的成功率比較大，這也無(wú)疑增加了Android惡意軟件的生存空間。此外黑客們攻擊Android操作系統(tǒng)所獲取的收益遠(yuǎn)大于攻擊其他操作系統(tǒng)，這也是惡意軟件瘋狂增長(zhǎng)的一大誘因[2]。層出不窮的惡意軟件和脆弱的操作系統(tǒng)對(duì)用戶的隱私信息和設(shè)備的正常使用造成了極大的威脅[3]。惡意軟件不僅會(huì)盜取隱私數(shù)據(jù)，還會(huì)濫用系統(tǒng)資源，擾亂設(shè)備的正常使用。而且如果帶有惡意軟件的智能手機(jī)接進(jìn)了一個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)中，那么該機(jī)構(gòu)其他設(shè)備的系統(tǒng)和數(shù)據(jù)都會(huì)受到很大的威脅[4]。根據(jù)CISCO的一份報(bào)告[5]顯示，大約99%的手機(jī)惡意軟件都是運(yùn)行在Android平臺(tái)中。因此，在當(dāng)前設(shè)計(jì)出一種高效的Android惡意軟件檢測(cè)方案是很有必要的。

對(duì)于Android惡意軟件檢測(cè)方案的研究越來(lái)越被重視。文獻(xiàn)[6]中實(shí)現(xiàn)了使用啟發(fā)式過(guò)濾器來(lái)檢測(cè)新的Android惡意軟件，同時(shí)通過(guò)Android軟件所獲取的權(quán)限來(lái)審核其是否為惡意軟件。文獻(xiàn)[7]提出通過(guò)對(duì)Android軟件所獲取的敏感權(quán)限進(jìn)行語(yǔ)義檢索以及分析其所獲取權(quán)限之間的聯(lián)系來(lái)判斷其是否為惡意軟件。文獻(xiàn)[8]通過(guò)總結(jié)Android惡意軟件所獲取的權(quán)限提出了一種以所需權(quán)限為依據(jù)的檢測(cè)方法。文獻(xiàn)[9]中設(shè)計(jì)了一種靜態(tài)檢測(cè)工具，此檢測(cè)工具通過(guò)對(duì)應(yīng)用程序AndroidManifest.xml文件中數(shù)據(jù)流傳輸是否符合安全規(guī)則的分析來(lái)判斷其是否為惡意軟件。文獻(xiàn)[10]中提出的方法基于應(yīng)用程序中的權(quán)限計(jì)算了程序的威脅系數(shù)，并發(fā)現(xiàn)樸素貝葉斯算法能夠在基于威脅系數(shù)的應(yīng)用程序分類方法中得到最優(yōu)結(jié)果。文獻(xiàn)[11]提出了DroidSIFT系統(tǒng)，該系統(tǒng)首先對(duì)API調(diào)用的關(guān)聯(lián)關(guān)系進(jìn)行建模，然后比較所得到的關(guān)聯(lián)關(guān)系圖，最后使用樸素貝葉斯算法進(jìn)行分類判斷。上述方案對(duì)Android惡意軟件起到了一定的檢測(cè)作用，但是這些方案都存在著檢測(cè)準(zhǔn)確性差或者檢測(cè)效率低等方面的問(wèn)題。

針對(duì)上述問(wèn)題，在本文中作者通過(guò)分析Android惡意軟件的實(shí)現(xiàn)原理，基于云安全架構(gòu)提出一種靜態(tài)檢測(cè)方案，該方案借鑒云安全架構(gòu)來(lái)構(gòu)建檢測(cè)系統(tǒng)并設(shè)計(jì)異常檢測(cè)算法，使得Android惡意軟件的靜態(tài)檢測(cè)工作更加高效、準(zhǔn)確。

文章第一部分對(duì)目前安全惡意軟件檢測(cè)方案的研究進(jìn)行了比較分析，第二部分對(duì)云安全技術(shù)、分類學(xué)習(xí)算法等相關(guān)技術(shù)進(jìn)行了介紹與對(duì)比，第三部分在分析了Android惡意軟件的實(shí)質(zhì)后進(jìn)行了基于云安全架構(gòu)的整體方案設(shè)計(jì)，第四部分對(duì)客戶端系統(tǒng)進(jìn)行了設(shè)計(jì)，其主要功能模塊是APK文件信息收集和評(píng)估結(jié)果顯示，第五部分對(duì)云端服務(wù)器系統(tǒng)進(jìn)行了設(shè)計(jì)，其主要功能模塊為簽名比對(duì)、APK文件反編譯、源碼的靜態(tài)分析和結(jié)果的評(píng)估，所運(yùn)用的技術(shù)主要是Android反編譯技術(shù)和機(jī)器學(xué)習(xí)分類算法，第六部分對(duì)方案進(jìn)行了實(shí)驗(yàn)評(píng)估，最后總結(jié)了方案的優(yōu)勢(shì)。

1 相關(guān)技術(shù)

云安全技術(shù)是先進(jìn)的云計(jì)算技術(shù)的整合，作為云計(jì)算技術(shù)中的重要分支在安全領(lǐng)域中的應(yīng)用卓有成效[12]。在云安全技術(shù)中，客戶端的請(qǐng)求將根據(jù)服務(wù)器端相應(yīng)的安全策略進(jìn)行處理，處理結(jié)果直接反饋給客戶端。此外，服務(wù)器端的安全策略會(huì)根據(jù)客戶端定期獲取惡意軟件的最新信息而進(jìn)行更新。

Android惡意軟件檢測(cè)方案主要分為動(dòng)態(tài)檢測(cè)和靜態(tài)檢測(cè)兩種[13]。動(dòng)態(tài)檢測(cè)部署在手機(jī)上實(shí)時(shí)運(yùn)行進(jìn)行檢測(cè)，會(huì)消耗一定的內(nèi)存和電量，而且動(dòng)態(tài)檢測(cè)的作用主要是對(duì)惡意行為發(fā)生后進(jìn)行檢測(cè)和攔截，無(wú)法完全地消除惡意行為帶來(lái)的安全隱患。在本文中所設(shè)計(jì)的Android惡意軟件檢測(cè)方案采用了靜態(tài)檢測(cè)的思路，靜態(tài)檢測(cè)主要作用于Android程序安裝之前，通過(guò)對(duì)程序進(jìn)行源碼級(jí)的分析來(lái)檢測(cè)該程序是為惡意軟件，從而優(yōu)質(zhì)快速的減少程序的惡意行為，保證了用戶信息的相對(duì)安全。

分類學(xué)習(xí)算法是一種對(duì)大數(shù)據(jù)進(jìn)行處理的技術(shù)，目前被廣泛運(yùn)用與計(jì)算機(jī)相關(guān)的各個(gè)領(lǐng)域中[14]。分類學(xué)習(xí)算法主要包括分類器訓(xùn)練和分類器實(shí)施兩部分。在分類器訓(xùn)練階段中，首先需要準(zhǔn)備一個(gè)包含大量已知類別APK文件的訓(xùn)練集，接著通過(guò)對(duì)每個(gè)APK文件進(jìn)行分析來(lái)獲取該文件的向量模型，然后利用這些文件的向量模型和對(duì)應(yīng)的類別標(biāo)記生成所需要的分類器。在分類器實(shí)施階段中，選擇一個(gè)非訓(xùn)練集中的APK文件來(lái)進(jìn)行測(cè)試，首先獲取該APK文件的向量模型，然后使用分類器對(duì)此向量模型進(jìn)行分類，便可以得到該APK文件的分類結(jié)果。

2 整體設(shè)計(jì)方案

Android惡意軟件的實(shí)質(zhì)就是利用一些涉及到用戶敏感信息的API進(jìn)行特殊的排列組合來(lái)完成惡意行為[15]。例如，abortBroadcast（）的功能是用來(lái)中斷廣播，它與用來(lái)發(fā)送短信息的sendTextMessage（）相結(jié)合，會(huì)實(shí)現(xiàn)屏蔽短信息并轉(zhuǎn)發(fā)的功能。在Android應(yīng)用程序的開(kāi)發(fā)中，如果應(yīng)用程序中要調(diào)用一個(gè)API來(lái)實(shí)現(xiàn)一些功能，則需要在AndroidManifest.xml配置文件中聲明與該API所對(duì)應(yīng)的系統(tǒng)權(quán)限。而Android系統(tǒng)采用的是靜態(tài)管理的權(quán)限控制機(jī)制，無(wú)法有效地對(duì)安裝后的應(yīng)用程序進(jìn)行權(quán)限管理，這無(wú)疑增加了惡意軟件的生存能力。所以，分析Android應(yīng)用程序的AndroidManifest.xml配置文件，通過(guò)其中的敏感權(quán)限定位敏感API，然后分析敏感API的排列組合是否具有惡意行為，可以判斷出該應(yīng)用程序是否為惡意軟件。

隨著科學(xué)技術(shù)的日益成熟，手機(jī)平臺(tái)的安全軟件也得到了快速發(fā)展，純粹的Android惡意程序也隨之減少，但是那些通過(guò)編譯普通應(yīng)用程序?qū)阂獯a嵌入被破解編譯的普通應(yīng)用程序中從而通過(guò)安全軟件檢測(cè)以實(shí)現(xiàn)惡意功能的惡意程序則與日俱增，所以說(shuō)，被修改過(guò)的Android程序通常情況下更有可能是惡意程序，而判斷一個(gè)Android應(yīng)用程序是否被修改的依據(jù)就是判斷其簽名文件是否被修改。Android程序的三個(gè)簽名文件，MANIFEST.MF、CERT.SF和CERT.RSA，保存著該程序中各個(gè)文件的加密信息。每一個(gè)應(yīng)用程序安裝包中的簽名文件都是唯一的，被修改后的應(yīng)用程序安裝包中的簽名文件無(wú)法再與原應(yīng)用程序中的簽名文件保持一致。所以，通過(guò)對(duì)簽名文件信息的匹配，可以判斷出該應(yīng)用程序是否被修改過(guò)。

圖1 檢測(cè)方案結(jié)構(gòu)

在本文中所設(shè)計(jì)的檢測(cè)方案借鑒于云安全架構(gòu)，分為客戶端和服務(wù)器端兩部分。客戶端部署在裝有Android系統(tǒng)的移動(dòng)終端上，服務(wù)器系統(tǒng)部署在云端的服務(wù)器上。客戶端的主要功能是搜集用戶所要安裝的APK文件的相關(guān)信息，將APK文件上傳到云端服務(wù)器上，接收云端服務(wù)器的反饋信息并顯示給用戶，向服務(wù)器發(fā)送客戶端上的黑白名單，接收服務(wù)器返回的黑白名單并更新。服務(wù)器系統(tǒng)的主要功能是接收客戶端所上傳的APK文件，對(duì)APK文件進(jìn)行反編譯和靜態(tài)分析，對(duì)該文件的簽名信息進(jìn)行比對(duì)，收集檢測(cè)結(jié)果并反饋給客戶端，收集客戶端發(fā)送的黑白名單并將黑白名單進(jìn)行整合處理后共享給各個(gè)客戶端。負(fù)責(zé)客戶端與云端信息傳輸?shù)木W(wǎng)絡(luò)通信模塊在客戶端和服務(wù)器系統(tǒng)中都有嵌入，該模塊通過(guò)現(xiàn)有web技術(shù)來(lái)實(shí)現(xiàn)，本文將不再詳細(xì)解說(shuō)。

圖2 檢測(cè)步驟

檢測(cè)方案的主要工作步驟如下：

1）客戶端確定所要進(jìn)行檢測(cè)的APK文件，收集該文件的名稱、版本和下載來(lái)源信息，然后將APK文件和所獲取的相關(guān)信息發(fā)送給服務(wù)器端。

2）服務(wù)器系統(tǒng)接收到客戶端發(fā)送來(lái)的信息后，將該APK文件進(jìn)行解壓縮和反編譯，然后根據(jù)官方市場(chǎng)中相同的APK文件對(duì)該文件的簽名信息進(jìn)行比對(duì)。

3）服務(wù)器系統(tǒng)根據(jù)反編譯所得到的配置文件分析該軟件所用到的敏感權(quán)限，并通過(guò)其對(duì)敏感API進(jìn)行定位，然后提取出敏感API的排列組合信息。

4）服務(wù)器系統(tǒng)將所得到的敏感API的排列組合信息，使用所設(shè)計(jì)的異常檢測(cè)算法將其與從官方市場(chǎng)中獲取的相同APP進(jìn)行對(duì)比處理，判斷其是否具有異常情況。

5）服務(wù)器系統(tǒng)將簽名比對(duì)的結(jié)果和排列組合信息的處理結(jié)果進(jìn)行整合評(píng)估，判斷該軟件是否為惡意軟件，將其加入到黑白名單并反饋到客戶端，由客戶端顯示給用戶。

3 客戶端系統(tǒng)的設(shè)計(jì)

Android操作系統(tǒng)的移動(dòng)終端設(shè)備是客戶端系統(tǒng)的主要部署環(huán)境，主要功能模塊是APK文件信息收集和評(píng)估結(jié)果顯示。

3.1 APK文件信息收集

APK文件信息收集主要作用是收集APK文件的名稱、版本和下載來(lái)源等相關(guān)信息，這些信息收集完畢后會(huì)和APK文件一同發(fā)送到云端的服務(wù)器系統(tǒng)中。

3.2 黑白名單機(jī)制

黑白名單機(jī)制的主要作用是在Android手機(jī)上完成惡意軟件的安裝攔截功能，并且與服務(wù)器端進(jìn)行信息交互，手機(jī)本地的黑白名單與云端服務(wù)器進(jìn)行實(shí)時(shí)同步，同時(shí)接受云端服務(wù)器將黑白名單信息進(jìn)行實(shí)時(shí)共享以及更新。

3.3 評(píng)估結(jié)果顯示

云端服務(wù)器系統(tǒng)生成評(píng)估結(jié)果并將評(píng)估結(jié)果反饋給客戶端，接到反饋的客戶端會(huì)將評(píng)估結(jié)果傳輸?shù)揭苿?dòng)終端，從而以視圖的形式展示該軟件的檢測(cè)信息給用戶。

4 云端服務(wù)器系統(tǒng)的設(shè)計(jì)

本文檢測(cè)方案的最重要組成部分就是云端服務(wù)器系統(tǒng)，其主要功能模塊為簽名比對(duì)、APK文件反編譯、源碼的靜態(tài)分析和結(jié)果的評(píng)估，所運(yùn)用的技術(shù)主要是Android反編譯技術(shù)和機(jī)器學(xué)習(xí)分類算法。在對(duì)APK文件進(jìn)行檢測(cè)之前，服務(wù)器系統(tǒng)會(huì)根據(jù)該文件的名稱、版本號(hào)和下載來(lái)源信息來(lái)確定該軟件是否在黑白名單中，若已經(jīng)檢測(cè)過(guò)則直接向客戶端反饋信息，若沒(méi)有進(jìn)行過(guò)檢測(cè)則對(duì)其進(jìn)行檢測(cè)工作。其檢測(cè)流程如圖3所示[17]。

圖3 服務(wù)器檢測(cè)流程

4.1 簽名比對(duì)

APK文件經(jīng)過(guò)解壓縮后就會(huì)得到保存有簽名信息的文件夾，該文件夾下存放著CERT.RSA、CERT.SF和MANIFEST.MF三個(gè)簽名文件，對(duì)這些簽名文件中的信息進(jìn)行提取后就可進(jìn)行簽名信息的比對(duì)工作。簽名比對(duì)的工作步驟如下：

1）將所要進(jìn)行檢測(cè)的APK文件進(jìn)行解壓縮得到其簽名文件，并對(duì)簽名文件中的簽名信息進(jìn)行提取。

2）根據(jù)客戶端所上傳的APK文件的相關(guān)信息，在Android官方市場(chǎng)中找到并下載相對(duì)應(yīng)的軟件，并對(duì)其進(jìn)行解壓縮和簽名信息的提取。

3）對(duì)兩次獲得的簽名信息進(jìn)行匹配，若簽名信息相同則說(shuō)明該軟件未被修改，若簽名信息不同則說(shuō)明該軟件被修改的可能性極大。簽名檢測(cè)使用的算法和API信息比對(duì)檢測(cè)都使用所設(shè)計(jì)的異常檢測(cè)算法，算法偽代碼如表1所示。

4）將匹配結(jié)果發(fā)送到服務(wù)器的評(píng)估模塊中用來(lái)進(jìn)行最后的結(jié)果評(píng)估。

4.2 APK文件反編譯

APK文件的反編譯就是應(yīng)用Android的反編譯技術(shù)，所需要的工具為APKTool、dex2jar和jd-gui這三種工具。APK文件反編譯后，該軟件中擁有權(quán)限信息的AndroidManifest.xml文件和能夠閱讀該軟件Java源代碼的jar文件將會(huì)被反編譯者得到。APK文件反編譯的工作步驟如下：

1）將目標(biāo)軟件的APK文件復(fù)制到APKTool工具的根目錄下，使用反編譯指令apktool.bat d test.apk test得到該程序的AndroidManifest.xml配置文件。

2）將目標(biāo)軟件的APK文件解壓縮，得到其classes.dex文件。將該文件復(fù)制到dex2jar工具的根目錄下，使用反編譯指令dex2jar.bat classes.dex得到對(duì)應(yīng)的classes_dex2jar.jar文件。然后使用jd-gui工具打開(kāi)classes_dex2jar.jar文件，查看該程序的Java源代碼。

4.3 源碼的靜態(tài)分析

根據(jù)APK文件反編譯的結(jié)果來(lái)對(duì)該軟件進(jìn)行源碼級(jí)別的靜態(tài)分析。AndroidManifest.xml中文件可以得到該軟件中所調(diào)用的權(quán)限信息，能夠用來(lái)定位敏感API。深度研發(fā)的jar文件功能十分強(qiáng)大，可以直接用于部署和封裝庫(kù)，也可以直接使用到組件以及插件程序中，并且能夠被大型編譯器和Java虛擬機(jī)直接操作，能夠從中提取出所有的Java字節(jié)信息和內(nèi)容。在該功能模塊中還會(huì)用到機(jī)器學(xué)習(xí)分類算法來(lái)對(duì)所提取到的敏感API信息進(jìn)行分類處理。源碼靜態(tài)分析的工作步驟如下：

1）通過(guò)AndroidManifest.xml文件中敏感權(quán)限的信息對(duì)源碼中的敏感API進(jìn)行定位。

2）找到敏感API的位置后，使用基于學(xué)習(xí)分類的異常檢測(cè)算法首先提取敏感API的排列組合信息并生成向量模型，然后通過(guò)預(yù)生成的分類器對(duì)所生成的向量模型進(jìn)行分類處理得到分類結(jié)果。異常檢測(cè)算法的偽代碼如表1所示。

表1 本地學(xué)習(xí)算法

表2 異常檢測(cè)算法

3）將所得到的分類結(jié)果發(fā)送到服務(wù)器的評(píng)估模塊中來(lái)進(jìn)行最后的結(jié)果評(píng)估。

4.4 結(jié)果評(píng)估

結(jié)果評(píng)估是根據(jù)簽名比對(duì)和源碼的靜態(tài)分析兩個(gè)模塊所發(fā)送的結(jié)果來(lái)評(píng)估該軟件的安全性。評(píng)估規(guī)則如下：

1）若簽名信息一致，不存在惡意行為，則該軟件安全；

2）若簽名信息一致，存在惡意行為，則該軟件為惡意軟件；

3）若簽名信息不一致，不存在惡意行為，則該軟件存在安全風(fēng)險(xiǎn)；

4）若簽名信息不一致，存在惡意行為，則該軟件為經(jīng)過(guò)篡改的惡意軟件。

最后的評(píng)估結(jié)果由服務(wù)器端發(fā)送到客戶端并顯示給客戶。

5 實(shí)驗(yàn)評(píng)估

針對(duì)本文中所設(shè)計(jì)的靜態(tài)檢測(cè)方案，我們收集了1143個(gè)惡意軟件樣本和2937個(gè)正常應(yīng)用程序樣本來(lái)對(duì)該方案進(jìn)行評(píng)估，驗(yàn)證其檢測(cè)準(zhǔn)確度和檢測(cè)效率。另外我們也選擇了一些常見(jiàn)的安全軟件使用同樣的惡意樣本來(lái)進(jìn)行比較。

規(guī)則1）為評(píng)估實(shí)驗(yàn)中計(jì)算檢測(cè)準(zhǔn)確度的公式，TP為正確判斷出的惡意樣本數(shù)，TN為正確判斷出正常樣本的數(shù)量，F(xiàn)P為沒(méi)有判斷成功的惡意樣本數(shù)量，F(xiàn)N為沒(méi)有判斷成功的正常樣本數(shù)量。各個(gè)檢測(cè)系統(tǒng)的檢測(cè)準(zhǔn)確度結(jié)果如表3所示。

表3 系統(tǒng)檢測(cè)準(zhǔn)確度

從表1中可以看出，針對(duì)我們收集的檢測(cè)樣本所進(jìn)行的準(zhǔn)確度評(píng)估實(shí)驗(yàn)中，我們所設(shè)計(jì)的惡意程序靜態(tài)檢測(cè)方案的檢測(cè)準(zhǔn)確度要優(yōu)于百度、金山和360的安全軟件。不過(guò)除了檢測(cè)準(zhǔn)確度之外，我們還應(yīng)該考慮單個(gè)檢測(cè)流程所產(chǎn)生的時(shí)間損耗，各個(gè)檢測(cè)系統(tǒng)的檢測(cè)時(shí)間如表4所示。

表4 系統(tǒng)檢測(cè)時(shí)間損耗

從表4中可以看出，我們所設(shè)計(jì)的檢測(cè)系統(tǒng)在檢測(cè)流程上花費(fèi)的時(shí)間最多，我們經(jīng)過(guò)分析后發(fā)現(xiàn)該問(wèn)題產(chǎn)生的原因主要是APK從客戶端傳輸?shù)皆贫说木W(wǎng)絡(luò)時(shí)間損耗以及部署在云端服務(wù)器的性能劣勢(shì)。關(guān)于如何提高檢測(cè)效率，減少檢測(cè)花費(fèi)的時(shí)間是我們今后研究工作的一個(gè)主要方向。

6 結(jié)束語(yǔ)

本文設(shè)計(jì)了一種基于云安全架構(gòu)的Android惡意軟件靜態(tài)檢測(cè)方案，該方案具有以下優(yōu)勢(shì)：

1）本方案的設(shè)計(jì)立足于云端服務(wù)器，使用功能完備的服務(wù)器處理大量復(fù)雜的操作過(guò)程，從而極大地減輕移動(dòng)設(shè)備終端的使用率，并且提高了檢測(cè)效率。

2）本方案中設(shè)計(jì)了基于分類學(xué)習(xí)的異常檢測(cè)算法，用來(lái)對(duì)所提取的向量模型進(jìn)行分類檢測(cè)處理，可以很大地提高靜態(tài)檢測(cè)工作的準(zhǔn)確率。

本方案同樣具備不足之處，首先缺乏足夠數(shù)量的惡意軟件樣本來(lái)進(jìn)行分類器訓(xùn)練，這會(huì)影響分類器的準(zhǔn)確性；而且本方案所花費(fèi)的檢測(cè)時(shí)間雖然相對(duì)較少，但是距離理想的標(biāo)準(zhǔn)還有一定的差距，更加系統(tǒng)化地實(shí)現(xiàn)該檢測(cè)方案，精簡(jiǎn)檢測(cè)步驟，減少檢測(cè)花費(fèi)的時(shí)間也將是進(jìn)一步研究工作的主體。

參考文獻(xiàn)：

[1]2015年中國(guó)手機(jī)安全狀況報(bào)告.360互聯(lián)網(wǎng)安全中心[EB/OL].2016-03-20.http://zt.#/1101061855.php?dtid=1101061451&did=1101205565.

[2]Mylonas A,Theoharidou M,Gritzalis D.Assessing privacy risks in Android: a user-centric approach[J].Lecture Notes in Computer Science,2014,8418:21-37.

[3]楊歡.協(xié)議漏洞挖掘及Android平臺(tái)惡意應(yīng)用檢測(cè)技術(shù)研究[D].西安電子科技大學(xué),2014.

[4]楊歡,張玉清,胡予濮,等.基于多類特征的Android應(yīng)用惡意行為檢測(cè)系統(tǒng)[J].計(jì)算機(jī)學(xué)報(bào),2014,37(1):15-27.

[5]CISCO. CISCO 2015 annual security report [EB/OL].2015.

[6]Zhou Y, Wang Z, Zhou W, et al. Hey, you, get off my market:Detecting malicious apps in official and alternative Android markets[A].In Proceedings of the 19th Annual Network&Distributed System Security Symposium[C].2012:1-13.

[7]Gianazza A, Maggi F, Fattori A, et al. Puppetdroid: a user-centric ui exerciser for automatic dynamic analysis of similar android applications[J].Eprint Arxiv,2014:1-12.

[8]Feizollah A,Anuar N, Salleh R, et al. Comparative study of k-means and mini batch k-means clustering algorithms in android malware detection using network traffic analysis[A].International Symposium on Biometrics and Security Technologies[C].2014:198-202.

[9]Sanz B, Santos I, Ugarte-Pedrero X, et al. Anomaly detection using string analysis for android malware detection[A].International Joint Conference SOCO’13-CISIS’13-ICEUTE’13[C].2014:469-478.

【】【】

[10]Yerima SY, Sezer S,McWilliams G.Analysis of bayesian classification based approaches for android malware detection[J].Iet Information Security,2014,8(1):25-36.

[11]Zhang M,Duan Y,Yin H,et al.Semantics-aware Android malware classification using weighted contextual API dependency graphs[A].ACM Sigsac Conference on Computer & Communications Security[C].2014:1105-1116.

[12]Cai M, Hou Q-S, Jing F,et al.Research of cloud security communication firewall based on Android platform[A].ICCSEE-13[C].2013.

[13]彭國(guó)軍,李晶雯,孫潤(rùn)康,等.Android惡意軟件檢測(cè)研究與進(jìn)展[J]. 武漢大學(xué)學(xué)報(bào)(理學(xué)版),2015,61(1):21-33.

[14]Feizollah A, Anuar N, Salleh R,et al. A review on feature selection in mobile malware detection[J].Digital Investigation,2015,13:22-37.

[15]侯勤勝,曹天杰.安卓惡意軟件的分析與檢測(cè)[J].河南科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2015,36(5):52-56.

[16]Karim O-E,Xiaokui S,Danfeng Y,et al.Profiling user-trigger dependence for Android malware detection[J].Computer &Security,2015(49):255-273.

[17]候勤勝,曹天杰,陳秀清.基于網(wǎng)絡(luò)行為的Android惡意軟件檢測(cè)方案[J].安徽大學(xué)學(xué)報(bào)（自然科學(xué)版）,2016,40(5):32-36.