，

(1. 廣東交通職業(yè)技術(shù)學院信息管理中心， 廣東廣州510650; 2. 廣東警官學院網(wǎng)絡(luò)信息中心， 廣東廣州510230)

隨著互聯(lián)網(wǎng)的發(fā)展，智能化終端設(shè)備已經(jīng)在生活與工作中越來越常見，其中，安卓(Android)系統(tǒng)以其開放性占有市場最高的份額，取得了巨大成功，但是，其開放性也導致了惡意應(yīng)用的泛濫，對用戶的信息安全造成了巨大的威脅[1]。本文中采用3種機器學習方法(支持向量機(SVM)、神經(jīng)網(wǎng)絡(luò)和樸素貝葉斯[2])進行Android系統(tǒng)惡意應(yīng)用的分類檢測。

1 Android系統(tǒng)通信技術(shù)

1.1 Android系統(tǒng)進程注入

進程注入技術(shù)也可以稱為動態(tài)注入技術(shù)，是代碼注入技術(shù)的一種，通過修改寄存器、內(nèi)存值等實現(xiàn)進程代碼注入。在Android系統(tǒng)中實現(xiàn)進程注入的一般過程如圖1所示。

圖1 Android系統(tǒng)進程注入基本過程

在本文中， 目標程序在指定的進程中被即時裝載， 使用的進程注入是使so文件注入到目標進程中， 而且進程注入技術(shù)通常是需要和HOOK技術(shù)相結(jié)合， 以達到控制目標進程， 實現(xiàn)自定義行為的目的[3]。

1.2 Android系統(tǒng)進程間通信機制

Android系統(tǒng)進程間通信主要采用Binder機制，該機制的通信模式采用客戶機/服務(wù)器(C/S)架構(gòu)，包含客戶機(client)、服務(wù)器(server)、服務(wù)管理器(server manager)和跨進程通信(binder)這4個部分的組件。跨進程通信機制的進程間通信基本過程見圖2。

圖中的客戶機、服務(wù)器和服務(wù)管理器之間交互都是虛線表示，原因是它們之間不是直接交互的，而是都是通過與跨進程通信驅(qū)動進行交互的[4]。

2 特征值提取

2.1 Android系統(tǒng)惡意應(yīng)用特征

Android系統(tǒng)惡意應(yīng)用變種迅速，家族種類繁多，確實給檢測工作帶來了很大的困難，雖然網(wǎng)絡(luò)上出現(xiàn)了各類惡意應(yīng)用，但在安裝方式、功能觸發(fā)和惡意負載方面都具有以下典型特征：

圖2 Android系統(tǒng)進程間通信機制框架

2)惡意應(yīng)用安裝后通過以下2種方式觸發(fā)啟動執(zhí)行，誘導用戶點擊運行、監(jiān)聽系統(tǒng)事件。

3)惡意負載包括特權(quán)提升、遠程控制、話費吸取、隱私竊取和自我保護。

2.2 特征值選取

現(xiàn)有惡意軟件行為提取通常有進程內(nèi)部通信(Binder IPC)和虛擬機自省(VMI)等方式。在本文中采用的是進程內(nèi)部通信注入方法進行惡意軟件特征值提取，進程通過調(diào)用ioctl()函數(shù)實現(xiàn)進程間通信[5]。

查閱最新的Android系統(tǒng)官方文檔， 目前定義了可以申請的應(yīng)用權(quán)限有137項， 參考已有的研究中對于權(quán)限的分類和敏感權(quán)限的界定， 整理出需要重點關(guān)注的敏感權(quán)限[2-3]。 表1中展示了部分敏感權(quán)限。

敏感權(quán)限和敏感應(yīng)用接口(API)存在一定的映射關(guān)系，從敏感權(quán)限尋找敏感API的思路出發(fā)，再結(jié)合已有的 Android系統(tǒng)應(yīng)用行為研究，可以進一步確定需要攔截的行為[6]。

通常敏感行為可大致分為2種，即單一組合和行為組合。通過總結(jié)文獻報道[2-3]，本文中自定義了需要攔截的一系列行為組合，它們的共同特征都是需要獲取用戶隱私信息。本方案最終定義需要記錄的敏感行為和敏感行為組合共計17項，作為特征值來構(gòu)造特征向量，如表2所示。

表1 Android系統(tǒng)部分敏感權(quán)限列表

表2 需要記錄的敏感行為

3 特征值評價

3.1 最優(yōu)評估方法

特征值尋優(yōu)一直是熱點關(guān)注的問題， 主要內(nèi)容是從一個樣本存在的許多特征屬性中選取其中的一部分對回歸結(jié)果和分類結(jié)果等影響最大的特征值。 當前國內(nèi)該方法的研究并不多， 而國際上對它的研究主要以下幾種： 1)基于相互關(guān)系度量的算法(fast correlation based filter， FCBF)； 2)冗余度算法(mRMR algorithm)； 3)費希爾算法(Fisher score algorithm，F(xiàn)S)； 4)T檢驗算法(T-test algorithm)； 5)可靠性算法(ReliefF algorithm，RF)[7]。

教師導入：時間就是生命。心臟驟停，大腦長時間缺血缺氧，腦細胞會出現(xiàn)不可逆地損傷。4 min內(nèi)，搶救成功率約50%；4～6 min，搶救成功率約10%；6～10 min，成功率僅為4%，超過10 min，搶救成功率幾乎為0。而絕大多數(shù)救護車都無法在患者突發(fā)急情后的4～6 min內(nèi)趕到現(xiàn)場。那么，現(xiàn)場的人該怎么辦？

3.2 Fisher score實現(xiàn)最優(yōu)排序

在本文中，經(jīng)過對原始數(shù)據(jù)的整理和特征值提取后的數(shù)據(jù)集共有300個樣本，17個特征屬性，并按照從a到q逐漸遞增，形成序號為a—q的17種特征值組合。

根據(jù)國際上通用最優(yōu)特征值選取算法的研究，最后選擇了Fisher score算法對300×17型特征值矩陣進行排序見表3。結(jié)果表明，排名第1的是第10個特征值，分數(shù)為5.35，而得分小于1的特征值視為2個藍牙操作，一個為發(fā)送文本，排名靠前的特征值當中大部分與Internet有關(guān)，也間接證明了在獲得權(quán)限后進行聯(lián)網(wǎng)操作對系統(tǒng)安全最為重要。

表3 最優(yōu)特征值排序

4 Android系統(tǒng)惡意應(yīng)用的自動分類

在收集的300個樣本數(shù)據(jù)中，良性應(yīng)用和惡意應(yīng)用各占150個，良性應(yīng)用源自第三方應(yīng)用市場中熱度最高的應(yīng)用，惡意應(yīng)用則在庫中抽取。

以下采用3種不同的分類算法(支持向量機、神經(jīng)網(wǎng)絡(luò)和樸素貝葉斯)對惡意應(yīng)用進行分類檢測。

4.1 支持向量機

支持向量機是由Vapnik等于1955年提出的一種機器學習方法。由于本文中的樣本數(shù)據(jù)集呈非線性，不屬于線性可分的范圍，需要將低維度樣本點通過核函數(shù)映射的方式轉(zhuǎn)入到高維度空間中，生成多個不同的最優(yōu)分類超平面，進行多維度平面的分類，因此本文中采用的是網(wǎng)格搜索法的支持向量機[8]，同時添加了5折式交叉檢驗。

在前期對特征值最優(yōu)選進行選取之后，將形成17個新的特征值樣本組，且每個組合都是依次遞增的。將17個特征值按照打分排序的結(jié)果分別組成了a—q共17組樣本數(shù)據(jù)集，應(yīng)用網(wǎng)格搜索支持向量機對該17組樣本數(shù)據(jù)集進行分類，并且構(gòu)造識錯數(shù)矩陣。

表4中列出了采用支持向量機算法對a組樣本數(shù)據(jù)集的分類實驗結(jié)果。從表中數(shù)據(jù)可以看出，a組樣本集進行了5次交叉驗證，平均分類準確率為64.75%。

表4 采用支持向量機算法的a組樣本集分類實驗結(jié)果

4.2 神經(jīng)網(wǎng)絡(luò)

本文中采用反向傳遞(BP)神經(jīng)網(wǎng)絡(luò)進行惡意軟件分類檢測。BP神經(jīng)網(wǎng)絡(luò)根據(jù)誤差調(diào)整各層的連接權(quán)值，再用調(diào)整后的連接權(quán)值重新計算輸出誤差，直到輸出的誤差達到要求或者迭代次數(shù)溢出設(shè)定值[9]。

針對17組樣本數(shù)據(jù)集，根據(jù)神經(jīng)網(wǎng)絡(luò)分類經(jīng)驗，選取1/2以上樣本作為神經(jīng)元訓練分類算法，剩下的數(shù)據(jù)為測試樣本，表5中給出了采用BP神經(jīng)網(wǎng)絡(luò)算法對a組樣本集的惡意應(yīng)用分類檢測結(jié)果。結(jié)果顯示，5次交叉驗證的平均分類準確率為62.14%。

表5 采用神經(jīng)網(wǎng)絡(luò)算法的a組樣本集分類實驗結(jié)果

4.3 樸素貝葉斯

樸素貝葉斯(又稱為信度網(wǎng)絡(luò))是一種基于概率推理的概率網(wǎng)絡(luò)，是為解決不定性和不完整性問題而提出的。表6中給出了采用樸素貝葉斯算法對a組樣本集的惡意應(yīng)用分類檢測結(jié)果。結(jié)果顯示，5次交叉驗證的平均分類準確率為61.37%。

表6 采用樸素貝葉斯算法的a組樣本集分類實驗結(jié)果

4.4 結(jié)果分析

應(yīng)用以上3種分類算法，按照從a—q(17種特征值組合)的順序進行實驗，每次實驗共進行5次交叉驗證，取平均值，實驗結(jié)果列于表7中。根據(jù)實驗結(jié)果分析討論如下。

表7 3種分類算法對17種特征值組合的分類結(jié)果

1)針對本文中的300個樣本的17種特征值組合組成的樣本數(shù)據(jù)集，得到分類準確率最高的是支持向量機分類算法，準確率為82.78%，最低的是樸素貝葉斯分類算法，準確率為71.43%。

2)針對17個特征值組合，經(jīng)過權(quán)重更新計算，發(fā)現(xiàn)排序后影響最大和相關(guān)性最高的特征值是第10組。

3)2個對支持向量機分類算法和BP神經(jīng)網(wǎng)絡(luò)分類算法影響最大的特征值是得分第3、7位的特征值，而對樸素貝葉斯分類算法有影響的是得分第7位的特征值，得分排在第3位的特征值對它沒影響。

4)將最優(yōu)排序后的17個特征值組成17組樣本數(shù)據(jù)集后，發(fā)現(xiàn)支持向量機的最佳樣本組為第o組，BP神經(jīng)網(wǎng)絡(luò)的最佳樣本組為第o組，樸素貝葉斯的最佳樣本組為第p組。

從3種分類算法隨著樣本最優(yōu)特征值組合變化的分類準確率可以看出， 支持向量機、 BP神經(jīng)網(wǎng)絡(luò)、 樸素貝葉斯3種分類算法針對的17組樣本進行訓練和測試的分類結(jié)果中， 三者從第g組開始就處于一個比較平穩(wěn)的狀態(tài)， 而且支持向量機的分類準確率要高于其他2種分類算法。

5 結(jié)論

本文中分別采用支持向量機、神經(jīng)網(wǎng)絡(luò)和樸素貝葉斯3種不同的機器學習方法對Android系統(tǒng)惡意應(yīng)用進行分類檢測，并從檢測率、誤報率和分類精度3個方面對分類結(jié)果進行評價。可以看出，支持向量機方法在Android惡意應(yīng)用的分類檢測上具有一定的優(yōu)勢。在今后的研究工作中，將進一步改進各類機器學習算法，以更好地應(yīng)用到Android系統(tǒng)惡意應(yīng)用的分類檢測中去。