曹 咪， 王繼剛， 王 偉， 邵 坤， 何永忠

(1.北京交通大學(xué) 智能交通數(shù)據(jù)安全與隱私保護(hù)技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室 北京 100044;2.中興通訊股份有限公司 技術(shù)規(guī)劃部 江蘇 南京 210012)

0 引言

TVOS是我國廣電總局科技司組織研發(fā)的一款新型智能電視操作系統(tǒng)，目的是實(shí)現(xiàn)智能電視操作系統(tǒng)的自主安全，增強(qiáng)廣播電視的信息安全管控能力.TVOS與Android相比，具備Android的基本功能，其采用“墊片”機(jī)制，實(shí)現(xiàn)了對Android應(yīng)用的兼容.圍繞TVOS，可以建立與Android一樣的生態(tài)系統(tǒng)，由于TVOS中加入了更多的組件，能夠支持比Android更豐富的功能，如DTV、DCAS等與數(shù)字電視相關(guān)的服務(wù)，具有面向廣電行業(yè)及媒體融合的特點(diǎn).TVOS制定了全局的安全管理框架，采用多種安全技術(shù)手段，實(shí)現(xiàn)TVOS系統(tǒng)安全的全局防控，形成了硬件安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全等全方位的安全防護(hù)能力[1].智能電視的快速發(fā)展激活了應(yīng)用開發(fā)市場，2016年TV端應(yīng)用分發(fā)量比2015年增長了近10倍，與此同時(shí)，智能電視平臺的惡意軟件數(shù)量也大幅增長.另外，由于TVOS完全兼容Android應(yīng)用，針對Android手機(jī)的惡意應(yīng)用也有可能被用來針對智能電視.目前，智能電視應(yīng)用安全的研究，仍然處于起步階段，其安全防御水平遠(yuǎn)遠(yuǎn)落后于智能手機(jī)和桌面計(jì)算機(jī)，使得智能電視很容易成為網(wǎng)絡(luò)犯罪分子新的攻擊目標(biāo).

針對TVOS惡意應(yīng)用檢測的問題，本文進(jìn)行了深入研究.由于當(dāng)前TVOS應(yīng)用商店中的應(yīng)用多為Android應(yīng)用，本文主要研究了TVOS上Android應(yīng)用的惡意應(yīng)用檢測方法.本文以應(yīng)用的特征為基礎(chǔ)，全面分析了TVOS應(yīng)用與Android應(yīng)用的差異；提取了TVOS應(yīng)用的11類特征， 并提出了基于支持向量機(jī)、邏輯回歸、決策樹、隨機(jī)森林的4種TVOS惡意應(yīng)用檢測方法；以真實(shí)的歡視網(wǎng)應(yīng)用市場的所有應(yīng)用為基礎(chǔ)，做了大量的實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果證明，本文基于支持向量機(jī)的惡意應(yīng)用檢測方法效果良好，準(zhǔn)確率達(dá)到98.67%.

1 基于靜態(tài)特征的TVOS應(yīng)用分析與惡意應(yīng)用檢測方法

目前Android惡意應(yīng)用檢測有較多的研究成果，大量企業(yè)、研究院和高等院校也進(jìn)行了更加深入的研究.靜態(tài)分析是惡意應(yīng)用檢測的重要方法.許多靜態(tài)特征，如權(quán)限[2-8]、意圖[9-10]、API調(diào)用[11-14]、進(jìn)程間通信(IPC)[7]、代碼語義[12，15-16]、字符串[17]、組件[18-19]或其中某些特征的組合[20-24]等已被用于惡意應(yīng)用檢測當(dāng)中.本文在Android惡意應(yīng)用檢測相關(guān)研究的基礎(chǔ)上，基于靜態(tài)特征分析TVOS應(yīng)用并研究TVOS惡意應(yīng)用檢測方法.本文的具體實(shí)驗(yàn)方法及過程如圖1所示.

圖1 TVOS應(yīng)用分析與惡意應(yīng)用檢測方法及過程Fig.1 The methods and process for vetting TVOS apps and detecting malicious apps

首先，下載并收集實(shí)際的TVOS應(yīng)用和Android應(yīng)用，提取所有應(yīng)用的特征并對特征進(jìn)行量化分析比較；其次，檢測并標(biāo)定TVOS應(yīng)用，對TVOS應(yīng)用進(jìn)行特征提??；再次，量化分析比較TVOS正常應(yīng)用與惡意應(yīng)用的特征，并將應(yīng)用特征轉(zhuǎn)化為特征矩陣，使用支持向量機(jī)(SVM)、邏輯回歸(LR)、決策樹(DT)及隨機(jī)森林(RF) 4種檢測方法對應(yīng)用進(jìn)行檢測；最后，深入分析檢測結(jié)果，討論本文中基于靜態(tài)特征的TVOS惡意應(yīng)用檢測方法的可行性與局限性.

1.1 TVOS應(yīng)用標(biāo)定方法

本實(shí)驗(yàn)使用防病毒引擎VirusTotal(https://www.virustotal.com)在線服務(wù)對所有應(yīng)用進(jìn)行檢測，標(biāo)定正常應(yīng)用和惡意應(yīng)用.本文中正常應(yīng)用和惡意應(yīng)用的標(biāo)定方法如下.

定義1正常應(yīng)用：檢出率<1/58，至少有57家防毒軟件報(bào)告了檢測結(jié)果，且均未檢出任何后門、木馬等惡意代碼的應(yīng)用標(biāo)定為正常應(yīng)用.

定義2惡意應(yīng)用：檢出率>30/60，至少有30家防毒軟件報(bào)告出了惡意檢測結(jié)果，或檢出應(yīng)用程序中包含后門、木馬、勒索欺詐、間諜程序等惡意代碼的應(yīng)用標(biāo)定為惡意應(yīng)用，如檢出者為Android.Trojan.Slocker、Android.Trojan.Adwo、Android.Exploit.Lootor.D、Android.Riskware.Agent、Andr.Exploit.CVE_2014_7911-1等.

為了保證應(yīng)用質(zhì)量，本文對應(yīng)用進(jìn)行了兩輪篩選，兩輪均滿足正常應(yīng)用標(biāo)定要求的應(yīng)用標(biāo)定為正常應(yīng)用，均滿足惡意應(yīng)用標(biāo)定要求的應(yīng)用標(biāo)定為惡意應(yīng)用，兩輪篩選分別于2016年11—12月和2017年2—3月進(jìn)行.

1.2 特征提取及特征分析

本文提取了所有應(yīng)用的11種靜態(tài)特征，分別為：Permissions、Filtered Intents、Restricted API Calls、Components、Code Related Features、Payload Information、Certificate Information、Strings、Used Permissions、Hardwares及Suspicious API Calls[20-22]，并對歡視網(wǎng)(http://app.tvhuan.com)的所有3 425個(gè)TVOS應(yīng)用與55 819個(gè)Android應(yīng)用的每種特征進(jìn)行了量化分析.同時(shí)也對TVOS應(yīng)用和Android應(yīng)用做了分類比較，分別為游戲應(yīng)用和影視應(yīng)用，用來發(fā)現(xiàn)特征在類別上的差異.本文也對TVOS應(yīng)用的11種靜態(tài)特征進(jìn)行了進(jìn)一步的分析，對TVOS正常應(yīng)用和惡意應(yīng)用的特征進(jìn)行了比較.比較結(jié)果將在2.2節(jié)進(jìn)行詳細(xì)介紹.

1.3 檢測方法

本文基于TVOS應(yīng)用的特征，使用支持向量機(jī)、邏輯回歸、決策樹及隨機(jī)森林4種檢測方法對TVOS應(yīng)用進(jìn)行檢測.

支持向量機(jī)是一種二類分類模型，其基本模型定義為特征空間上的間隔最大的線性分類器，支持向量機(jī)在解決小樣本、非線性及高維模式識別中有許多特有的優(yōu)勢，可以分析數(shù)據(jù)，識別模式，用于分類和回歸分析.

邏輯回歸是一種通過歷史數(shù)據(jù)的表現(xiàn)對未來結(jié)果發(fā)生的概率進(jìn)行預(yù)測的分類方法.對于分類問題，首先建立代價(jià)函數(shù)，通過優(yōu)化方法迭代求解出最優(yōu)的模型參數(shù)，然后測試驗(yàn)證求解模型的好壞，可用于各種分類判別和預(yù)測.

決策樹算法是一種逼近離散函數(shù)值的方法.首先對數(shù)據(jù)進(jìn)行處理，利用歸納算法生成可讀的規(guī)則和決策樹，然后使用決策樹對新數(shù)據(jù)進(jìn)行分析.決策樹是一個(gè)預(yù)測模型，代表對象屬性與對象值之間的一種映射關(guān)系，用于數(shù)據(jù)分析和預(yù)測.

隨機(jī)森林是一個(gè)包含多個(gè)決策樹的分類器，其輸出的類別由個(gè)別樹輸出的類別的眾數(shù)而定.隨機(jī)森林算法較好地解決了單分類器在性能上無法提升的瓶頸，具有較好的性能，能應(yīng)用于各種分類篩選和預(yù)測.

2 實(shí)驗(yàn)及結(jié)果分析

2.1 實(shí)驗(yàn)數(shù)據(jù)集

本實(shí)驗(yàn)共下載收集了62 235個(gè)應(yīng)用，其中包含6 416個(gè)智能電視應(yīng)用和55 819個(gè)Android手機(jī)應(yīng)用(分別收集于2016年2—12月及2017年4—6月)，所下載應(yīng)用的詳細(xì)來源及數(shù)量情況如表1所示.

表1 實(shí)驗(yàn)所下載應(yīng)用來源及數(shù)量情況

本文以TVOS的典型應(yīng)用市場歡視網(wǎng)應(yīng)用市場為例，下載了歡視網(wǎng)應(yīng)用市場中的所有應(yīng)用作為TVOS應(yīng)用，歡視網(wǎng)應(yīng)用市場是歡網(wǎng)科技的官方應(yīng)用市場，歡網(wǎng)科技是目前國內(nèi)最大的智能電視服務(wù)商，河南省廣電、江蘇省廣電、新疆維吾爾自治區(qū)廣電、秦皇島廣電、歌華有線、陜西省廣電等多家廣電與歡網(wǎng)科技合作共建TVOS應(yīng)用商店，歡視網(wǎng)應(yīng)用市場中的部分智能電視應(yīng)用已經(jīng)運(yùn)行于TVOS系統(tǒng)之上，歡視網(wǎng)應(yīng)用市場對TVOS應(yīng)用商店具有很強(qiáng)的代表性.H.TV(http://www.htvmarket.com/webMain.isp)是專門散布包含ANDROIDOS_ROOTSTV.A等惡意程序的智能電視應(yīng)用市場，本文下載了H.TV應(yīng)用市場中的所有應(yīng)用，用于發(fā)現(xiàn)并收集智能電視惡意應(yīng)用.當(dāng)貝市場(http://down.znds.com)是具有代表性的Android智能電視應(yīng)用市場，由于TVOS系統(tǒng)完全兼容Android應(yīng)用，故當(dāng)貝市場的所有應(yīng)用均適用于TVOS，本文下載并檢測了當(dāng)貝市場中的所有應(yīng)用，使用其中的部分惡意應(yīng)用評估本文惡意應(yīng)用檢測方法的有效性.通過GitHub(http://github.com)搜索收集了21個(gè)智能電視勒索軟件樣本，也作為本文的惡意應(yīng)用樣本.安智市場(http://www.anzhi.com)是國內(nèi)最專業(yè)的Android手機(jī)應(yīng)用市場，具有海量的Android手機(jī)應(yīng)用，本文將安智市場所有類別的1/4應(yīng)用用于實(shí)驗(yàn)(本文所述Android應(yīng)用均表示Android手機(jī)應(yīng)用).實(shí)驗(yàn)所用應(yīng)用涵蓋了以上各個(gè)應(yīng)用市場所有類別的應(yīng)用，保證了應(yīng)用的全面可靠.

本文將歡視網(wǎng)應(yīng)用市場的3 425個(gè)應(yīng)用與安智市場的55 819個(gè)應(yīng)用進(jìn)行了特征的比較，使用1 438個(gè)應(yīng)用進(jìn)行惡意應(yīng)用檢測方法的研究.1 438個(gè)應(yīng)用中正常應(yīng)用的數(shù)量為1 288個(gè).惡意應(yīng)用的數(shù)量為150個(gè)，分別來源于歡視網(wǎng)應(yīng)用市場(84個(gè))、H.TV應(yīng)用市場(14個(gè))、當(dāng)貝市場(31個(gè))及GitHub網(wǎng)站(21個(gè)).所有正常應(yīng)用和惡意應(yīng)用均符合相應(yīng)的標(biāo)定要求.

圖2 不同類別應(yīng)用所占比例情況Fig.2 The ratio of different application categories between TVOS and Android

2.2 特征對比及結(jié)果分析

本文對應(yīng)用特征進(jìn)行了大量的分析和比較，實(shí)驗(yàn)發(fā)現(xiàn)TVOS應(yīng)用和Android應(yīng)用在多個(gè)方面存在差異.不同類別的應(yīng)用所占應(yīng)用市場的數(shù)量比例差異較大，相同類別應(yīng)用的特征也存在不同程度的差異.

由于智能電視和智能手機(jī)在使用環(huán)境及使用人群上的側(cè)重點(diǎn)有所不同，比如智能電視多固定在家庭、辦公區(qū)等場所，智能手機(jī)多為隨身攜帶，智能電視多針對家庭使用，而手機(jī)多針對個(gè)人使用等，導(dǎo)致智能電視和智能手機(jī)對不同類別的應(yīng)用有不同程度的需求，所以智能電視應(yīng)用和智能手機(jī)應(yīng)用在各個(gè)類別上的比例差異較大.圖2顯示了歡視網(wǎng)應(yīng)用市場與安智市場不同類別的應(yīng)用所占市場比例的對比情況.

由于智能電視和智能手機(jī)在功能和交互方式上的側(cè)重點(diǎn)有所不同，比如智能電視側(cè)重于家庭共享，智能手機(jī)更側(cè)重于人機(jī)交互，智能電視多用遙控器或游戲手柄進(jìn)行操作，而智能手機(jī)多使用觸屏操作，使得即使是相同類別的應(yīng)用在相同特征上的使用頻率和數(shù)量也存在差異，對于不同的類別，差異情況也有所不同.本文對游戲類別的應(yīng)用和影視類別的應(yīng)用做了特征的詳細(xì)分析和對比，圖3和圖4分別顯示了游戲應(yīng)用和影視應(yīng)用在9種特征上的對比情況，由圖3和圖4可以看出，游戲類別的應(yīng)用特征差異較為明顯.圖5以游戲應(yīng)用的Hardwares特征為例，顯示了TVOS智能電視應(yīng)用與Android手機(jī)應(yīng)用在具體特征上細(xì)化的差異.

圖3 游戲應(yīng)用特征對比情況Fig.3 The number of features on game apps

圖4 影視應(yīng)用特征對比情況Fig.4 The number of features on video apps

圖5 游戲應(yīng)用Hardwares特征使用情況Fig.5 Occurrence percentage of Hardwares features of game category in TVOS apps and Android apps

另外，本文也對TVOS正常應(yīng)用和惡意應(yīng)用進(jìn)行了特征分析和特征對比.總的來說，正常應(yīng)用和惡意應(yīng)用所請求的特征數(shù)量和具體類型均存在差異，惡意應(yīng)用對特定的特征集的請求率普遍較高，并且存在一些特征是惡意應(yīng)用所特有的，這些特征集有利于我們區(qū)分特征明顯的正常應(yīng)用和惡意應(yīng)用.通過大量的對比分析，本文選取Permissions、Restricted API Calls、Components、Code Related Features、Strings、Used Permissions、Hardwares、Suspicious API Calls 8種特征用于惡意應(yīng)用檢測，相較于DREBIN中使用的特征，本文去掉了Filtered Intents特征，加上了Code Related Features特征，實(shí)驗(yàn)結(jié)果表明，本文的方法對于TVOS惡意應(yīng)用檢測更為有效，惡意應(yīng)用與正常應(yīng)用的Code Related Features對比情況如圖6所示.

圖6 TVOS應(yīng)用Code Related Features特征使用情況Fig.6 Occurrence percentage of Code Related Features in TVOS benign apps and malware apps

表2 4種檢測方法及與DREBIN對比的檢測結(jié)果

2.3 檢測結(jié)果及分析

本文基于4種檢測方法對TVOS應(yīng)用進(jìn)行了檢測，表2顯示了4種方法的檢測結(jié)果.由表2可以看出，基于SVM的檢測方法的準(zhǔn)確率最高，在FPR為0.54%的情況下準(zhǔn)確率達(dá)到98.67%，相比DREBIN的檢測效果更好.SVM、LR、DT、RF 4種檢測方法的AUC值分別為99.88%、99.76%、99.80%、99.58%，SVM檢測方法的AUC最高，結(jié)合準(zhǔn)確率和AUC可知，基于SVM的TVOS惡意應(yīng)用檢測方法的效果最好.為公平比較4種檢測方法，本文的檢測結(jié)果均來自10重交叉驗(yàn)證.下面分析討論實(shí)驗(yàn)方法的可行性與局限性.

方法的可行性.首先，本文選取具有代表性的歡視網(wǎng)應(yīng)用市場的所有應(yīng)用進(jìn)行實(shí)驗(yàn)，保證應(yīng)用的豐富性和可靠性.通過對應(yīng)用進(jìn)行兩輪高標(biāo)準(zhǔn)的篩選，保證應(yīng)用分類的準(zhǔn)確性和可靠性.其次，通過TVOS惡意應(yīng)用與正常應(yīng)用的特征統(tǒng)計(jì)情況，可以發(fā)現(xiàn)惡意應(yīng)用和正常應(yīng)用對相同類型不同特征的請求，情況差異明顯，對不同類型不同特征的請求，情況差異更大，使用上述8類靜態(tài)特征對應(yīng)用進(jìn)行建模分析，可以有效區(qū)分特征明顯的正常應(yīng)用和惡意應(yīng)用.最后，使用4種檢測方法對TVOS應(yīng)用進(jìn)行檢測，基于SVM的檢測方法準(zhǔn)確率達(dá)到98.67%，實(shí)驗(yàn)結(jié)果證明，本文的惡意應(yīng)用檢測方法可行有效，效果良好.

方法的局限性.首先，存在一些惡意應(yīng)用并不需要太多的特征請求即可實(shí)施惡意行為，由此檢測到的惡意應(yīng)用的特征與正常應(yīng)用并無太大差別，從而影響檢測精度.據(jù)實(shí)驗(yàn)統(tǒng)計(jì)結(jié)果發(fā)現(xiàn)，惡意應(yīng)用各類特征的平均請求數(shù)量均高于正常應(yīng)用.如果實(shí)驗(yàn)中惡意應(yīng)用請求的特征數(shù)量明顯低于正常應(yīng)用請求的平均特征數(shù)量，在這種情況下，檢測方法不能產(chǎn)生穩(wěn)定的結(jié)果，就會導(dǎo)致漏報(bào)惡意應(yīng)用.其次，一些正常應(yīng)用在開發(fā)過程中被加入了過多的請求，有些請求并不真正需要或者并不被真正使用，導(dǎo)致從這些正常應(yīng)用提取出的特征數(shù)量超過正常應(yīng)用的一般水平，從而影響檢測精度.另外，惡意應(yīng)用檢測所使用的TVOS應(yīng)用特征總量為41 381個(gè)，而實(shí)驗(yàn)中使用的所有應(yīng)用的平均特征數(shù)量為180個(gè)，41 381維特征向量十分稀疏，而且實(shí)驗(yàn)所用的特征向量為布爾類型，使得稀疏矩陣向量不足以全面描述應(yīng)用程序的行為，這也增加了惡意應(yīng)用檢測的難度.

3 總結(jié)

本文通過分析比較TVOS應(yīng)用和Android應(yīng)用，發(fā)現(xiàn)TVOS應(yīng)用和Android應(yīng)用的各種特征在數(shù)量和類別上均存在一定程度的差異，研究有效針對TVOS的惡意應(yīng)用檢測方法，有助于更大程度保障TVOS應(yīng)用商店中應(yīng)用的安全.通過使用4種檢測方法對TVOS應(yīng)用進(jìn)行檢測，實(shí)驗(yàn)結(jié)果表明，本文基于SVM的惡意應(yīng)用檢測方法在誤報(bào)率為0.54%的條件下，能夠有效檢測出98.67%的潛在惡意應(yīng)用.

隨著廣電總局對TVOS智能電視操作系統(tǒng)的大力推進(jìn)，TVOS惡意應(yīng)用檢測方法的研究將成為TVOS推進(jìn)中的重要一環(huán).隨著惡意應(yīng)用的日益復(fù)雜化和多態(tài)化，下一步我們還將提取更多的有效特征和方法來提高惡意應(yīng)用的檢測準(zhǔn)確率.