苗博 陳子豪 殷旭東

摘 要：Android惡意軟件發(fā)展迅速，變種繁多，對Android惡意軟件檢測的研究與分析有著重要的實(shí)際意義。文章基于Android惡意軟件的類型特點(diǎn)和檢測技術(shù)，對國內(nèi)外的檢測方法進(jìn)行介紹和分析。從惡意軟件的發(fā)展角度，分析檢測方法的技術(shù)選擇；從檢測技術(shù)分析檢測方法的優(yōu)缺點(diǎn)。重點(diǎn)分析總結(jié)了基于靜態(tài)特征檢測、基于動態(tài)特征檢測和基于混合特征檢測的幾種檢測方法。最后展望了Android惡意軟件檢測方法的發(fā)展趨勢。

關(guān)鍵詞：Android；惡意軟件；檢測方法；特征；機(jī)器學(xué)習(xí)

Android是Google公司的一種基于Linux的自由、開源的操作系統(tǒng)，由于其開放、自由的原則和應(yīng)用市場的擴(kuò)大，Android惡意軟件開始泛濫。

2018年Android惡意軟件專題報(bào)告[1]中顯示，從2012年到2015年，移動端新增惡意軟件數(shù)量情況急劇惡化，2015全年新增惡意軟件數(shù)量達(dá)到約1 874.0萬個(gè)。而從2016年開始，新增惡意軟件數(shù)量逐年下降。惡意軟件新增數(shù)量減少的原因除了Google每次在升級版本時(shí)加強(qiáng)系統(tǒng)安全性，更有力的是惡意軟件檢測方法的發(fā)展和升級。

Android惡意軟件的檢測引起廣大研究人員的關(guān)注，對不同的檢測方法進(jìn)行了大量研究。本文介紹了惡意軟件的發(fā)展和種類，并對惡意軟件檢測方法進(jìn)行分析和介紹。

1 Android惡意軟件

由中國互聯(lián)網(wǎng)協(xié)會提出的惡意軟件官方定義為在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件。

1.1 惡意軟件的發(fā)展與現(xiàn)狀

自從2010年第一款A(yù)ndroid惡意軟件FakePlayer[2]出現(xiàn)開始，到目前為止，針對Android的惡意軟件層出不窮。除了傳統(tǒng)的木馬、病毒、蠕蟲、DDoS、后門等，最近幾年，又出現(xiàn)了針對信息和數(shù)據(jù)的間諜軟件、恐嚇、勒索軟件以及最普遍、最大眾化的廣告軟件。

隨著技術(shù)的發(fā)展與進(jìn)步，惡意軟件的技術(shù)也在不斷升級。2018年來，惡意軟件中利用的新興技術(shù)主要包括：利用調(diào)試接口傳播；Kotlin語言開發(fā)的惡意軟件首次發(fā)現(xiàn)；劫持路由器設(shè)置；篡改剪切板內(nèi)容等。

1.2 惡意軟件的分類

除了傳統(tǒng)的根據(jù)惡意軟件形式的分類方法，也有針對Android惡意軟件的行為特征進(jìn)行分類的[3]。（1）惡意軟件安裝：重打包、更新攻擊、誘惑下載、其他；（2）惡意軟件運(yùn)行；（3）惡意載荷：提權(quán)攻擊、遠(yuǎn)程控制、信息收集；（4）權(quán)限使用。

1.3 面臨的挑戰(zhàn)和難題

雖然近年的惡意軟件新增數(shù)量在逐年減少，但還存在著大量的惡意軟件威脅。隨著5G的到來，在全新的領(lǐng)域中，移動平臺可能又將迎來大量的新型惡意軟件的威脅。而且，隨著社會的發(fā)展，未來極大可能面臨的是通過基于內(nèi)容的惡意軟件進(jìn)行的人與人之間的斗爭，電信詐騙等極其損害大眾利益和家庭幸福的手段可能將會利用惡意軟件制造出更加讓人迷惑的騙局。

2 Android惡意軟件檢測

Android惡意軟件檢測其流程主要為樣本獲取和特征選擇，再根據(jù)不同的特征選擇不同的檢測方法?；谔卣鳈z測可以分為靜態(tài)檢測和動態(tài)檢測，近年來還出現(xiàn)了基于靜態(tài)特征和動態(tài)特征結(jié)合的檢測方法，也成為混合特征檢測。

目前，很多的研究人員將機(jī)器學(xué)習(xí)和傳統(tǒng)檢測方法相結(jié)合，利用不同的分類算法構(gòu)成分類器對應(yīng)用軟件進(jìn)行檢測和分類，使檢測更加快速和準(zhǔn)確。

2.1 靜態(tài)檢測

針對Android應(yīng)用程序，典型的靜態(tài)特征就是APK文件。APK文件中包括各種特征，如權(quán)限、Java代碼、網(wǎng)絡(luò)地址和硬件組件等。

最早出現(xiàn)的基于簽名的惡意軟件檢測方法，就是從APK文件中提取簽名，然后通過簽名進(jìn)行匹配檢測已知惡意軟件，但是無法對變種的、未知的惡意軟件進(jìn)行檢測。而后大量研究學(xué)者提出改進(jìn)，2013年，秦中元等[4]提出利用MD5校驗(yàn)的檢測技術(shù)以及對于未檢測過的APK文件，可根據(jù)權(quán)限來進(jìn)行檢測和分析。到目前為止，基于權(quán)限和API的靜態(tài)檢測技術(shù)[5]仍然高效可行。

卜義云[6]提出在傳統(tǒng)的靜態(tài)檢測方法中，由于研究者大都帶有個(gè)人主觀性進(jìn)行設(shè)定，這樣的不確定性很大程度影響了最終檢測結(jié)果的準(zhǔn)確性。所以基于靜態(tài)檢測的原理，引入機(jī)器學(xué)習(xí)的分類算法對個(gè)人主觀因素以及對未知惡意軟件的檢測有著很好的改進(jìn)。

許艷萍等[7]提出對Android應(yīng)用軟件提取權(quán)限為特征，采用IG特征選擇算法[8]優(yōu)化特征選擇，利用改進(jìn)樸素貝葉斯算法構(gòu)建分類器進(jìn)行檢測，大大提高了檢測的效率。

謝麗霞等[9]提出一種基于Bagging-SVM（支持向量機(jī)）算法的檢測模型。該模型首先提取應(yīng)用軟件的權(quán)限信息、組件信息作為特征，采用平衡數(shù)據(jù)集訓(xùn)練基于Bagging算法的SVM集成分類器，解決了由于數(shù)據(jù)不平衡導(dǎo)致的檢測效率低的問題。

陳蘇婷等[10]提出一種針對關(guān)聯(lián)權(quán)限的基于隨機(jī)森林的檢測方法。利用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘的方式分析樣本中提取出的關(guān)聯(lián)權(quán)限是否具有二義性，并用隨機(jī)森林分類器檢測惡意軟件。該方法突破了傳統(tǒng)方法對特定權(quán)限進(jìn)行檢測的局限性。

2.2 動態(tài)檢測

動態(tài)檢測即應(yīng)用程序在運(yùn)行時(shí)對應(yīng)用程序的動態(tài)行為和系統(tǒng)響應(yīng)進(jìn)行分析。研究最多的動態(tài)特征主要為：系統(tǒng)調(diào)用和網(wǎng)絡(luò)流量。

在早期3G時(shí)代，異常流量現(xiàn)象就普遍存在，李俊[11]提出了基于統(tǒng)計(jì)的異常流量進(jìn)行檢測和判定惡意軟件，而目前基本覆蓋的4G以及即將到來的5G時(shí)代，面臨著大量的惡意流量的威脅。因此，許多研究者把網(wǎng)絡(luò)流量作為研究對象。王閃閃[12]提出捕獲Android中網(wǎng)絡(luò)數(shù)據(jù)包的流量信息，然后使用該信息訓(xùn)練SVM分類器，通過SVM分類器進(jìn)行對惡意軟件的檢測。

除了網(wǎng)絡(luò)流量以外，動態(tài)行為的監(jiān)測也常常作為動態(tài)特征被廣大研究者研究。張吉[13]提出一個(gè)Android自動化測試搭配使用終端監(jiān)控技術(shù)的動態(tài)檢測模型。但傳統(tǒng)的方法具有不全面和不實(shí)際的缺點(diǎn)。張超欽等[14]提出一種基于馬爾可夫鏈及支持向量機(jī)的檢測方法。該方法把應(yīng)用軟件對功能的調(diào)用序列當(dāng)成離散時(shí)間Markov鏈，通過統(tǒng)計(jì)相鄰系統(tǒng)調(diào)用對的出現(xiàn)頻率來計(jì)算狀態(tài)轉(zhuǎn)移概率矩陣。把轉(zhuǎn)移概率矩陣轉(zhuǎn)化為特征向量，作為SVM的輸入進(jìn)行訓(xùn)練，從而進(jìn)行檢測，大大提高了準(zhǔn)確度。

2.3 混合特征檢測

混合特征即靜態(tài)特征和動態(tài)特征的結(jié)合。靜態(tài)特征檢測最為方便，特征提取較為容易，但存在難以解決加殼、代碼混淆等問題。動態(tài)特征檢測相比前者更加全面，但是動態(tài)特征提取難度相對較大，且需要root設(shè)備。由于基于單一特征的檢測方法各有利弊，選用混合特征進(jìn)行檢測相對兩者較為全面，但增加了檢測難度。

馮擘[15]利用靜態(tài)分析和動態(tài)分析提取到相應(yīng)的特征，基于靜態(tài)特征和動態(tài)特征得到混合特征，再利用改進(jìn)的AdaBoost-RBFSVM算法對混合特征進(jìn)行分類，然后進(jìn)行檢測。

3 結(jié)語

本文介紹了Android惡意軟件的發(fā)展和分類，以及基于Android應(yīng)用軟件的靜態(tài)特征、動態(tài)特征和混合特征，分別分析了相對應(yīng)的檢測方法。

Android惡意軟件檢測技術(shù)已經(jīng)取得很大的進(jìn)步，但是目前仍存在大量惡意軟件以及將來還可能會出現(xiàn)的未知惡意軟件。惡意軟件技術(shù)在不斷地升級變種，研究者還需持續(xù)關(guān)注新型技術(shù)以及針對新型惡意軟件檢測方法進(jìn)行開發(fā)。

隨著人工智能時(shí)代的到來，越來越多的機(jī)器學(xué)習(xí)算法被運(yùn)用到Android惡意軟件檢測技術(shù)領(lǐng)域中，未來人們與惡意軟件的斗爭可能會成為機(jī)器之間的斗爭、算法之間的斗爭。

[參考文獻(xiàn)]

[1] 360烽火實(shí)驗(yàn)室.2018年Android惡意軟件專題報(bào)告[EB/OL].（2019-02-18）[2019-03-01].http：//blogs.#/post/review_android_malware_of_2018.html.

[2]JIANG X X，ZHOU Y J.Dissecting Android malware： characterization and evolution [C].San Francisco：Proceeding of IEEE Symposium on Security and Privacy，2012：95-109.

[3]卿斯?jié)h.Android安全研究進(jìn)展[J].軟件學(xué)報(bào)，2016（1）：45-71.

[4]秦中元，徐毓青，梁彪，等.一種Android平臺惡意軟件靜態(tài)檢測[J].東南大學(xué)學(xué)報(bào)（自然科學(xué)版），2013（6）：1162-1167.

[5]陳紅閔，胡江村.安卓惡意軟件的靜態(tài)檢測方法[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2018（7）：26-33.

[6]卜義云.基于機(jī)器學(xué)習(xí)的Android惡意軟件靜態(tài)檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2016.

[7]許艷萍，伍淳華，侯美佳，等.基于改進(jìn)樸素貝葉斯的Android惡意應(yīng)用檢測技術(shù)[J].北京郵電大學(xué)學(xué)報(bào)，2016（2）：43-47.

[8]FEIZOLLAH A，ANUAR N B，SALLEH R，et al.A review on feature selection in mobile malware detection[J].Digital Investigation，2015（13）：22-37.

[9]謝麗霞，李爽.基于Bagging-SVM的Android惡意軟件檢測模型[J].計(jì)算機(jī)應(yīng)用，2018（3）：818-823，878.

[10]陳蘇婷，王軍華，張艷艷.基于隨機(jī)森林的Android惡意軟件檢測方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2017（9）：2374-2378.

[11]李俊.Android平臺下基于流量監(jiān)測的安全軟件設(shè)計(jì)與實(shí)現(xiàn)[D].成都：西南交通大學(xué)，2014.

[12]王閃閃.基于網(wǎng)絡(luò)流量的Android惡意應(yīng)用識別方法研究[D].濟(jì)南：濟(jì)南大學(xué)，2018.

[13]張吉.Android平臺下惡意軟件動態(tài)檢測技術(shù)研究[D].天津：天津大學(xué)，2012.

[14]張超欽，胡光武，王振龍，等.一種基于支持向量機(jī)的安卓惡意軟件新型檢測方法[J].計(jì)算機(jī)應(yīng)用與軟件，2018（10）：292-298.

[15]馮擘.Android平臺惡意軟件檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京交通大學(xué)，2018.