孫嵐 李永忠

摘 要：針對Android平臺粗粒度權限管理機制的漏洞，提出一種細粒度權限管理機制。該方案實現(xiàn)了惡意軟件識別、隱私權限分析與警告，以及權限選擇與修改功能。其中惡意權限識別功能中采用了卡方檢驗法、聚類算法及改進的樸素貝葉斯算法。運用該系統(tǒng)對1 000個樣本進行實驗，得出惡意軟件誤判率約為9.75%，檢測準確率約為90.25%。實驗結果表明，該方案使普通用戶在面對各種應用時能更合理地授予及修改權限，從而大幅降低了Android平臺下權限控制的危險性。

關鍵詞：Android;細粒度權限管理機制;權限控制;惡意權限檢測

DOI：10. 11907/rjdk. 182794 開放科學（資源服務）標識碼（OSID）：

中圖分類號：TP319文獻標識碼：A 文章編號：1672-7800（2019）008-0131-05

Design and Implementation of Fine-grained Rights

Management Mechanism under Android Platform

SUN Lan， LI Yong-zhong

（School of Computer， Jiangsu University of Science and Technology， Zhenjiang 212003， China）

Abstract： In order to solve the problem of the coarse-grained permissions management system of the Android platform， this paper proposes a fine-grained permissions management system. This program implements many functions， including identification of malware， analysis of privacy permissions， selection and modification of permissions. Chi-square test， clustering algorithm and improved naive Bayesian algorithm are adopted by malicious identification function. This system was used to conduct experiments on 1000 samples， the false positive rate of malware was about 9.75%， and the detection accuracy was about 90.25%. Experiment result have shown that the control of privacy-related permissions is more secure and reliable， so that this solution allows ordinary users to grant and modify permissions more reasonably when faced with various applications， greatly reducing the risk of permission control under the Android platform.

Key Words： Android; fine-grained permissions management system; permission control; malicious permission detection

作者簡介：孫嵐（1994-），女，江蘇科技大學計算機學院碩士研究生，研究方向為網(wǎng)絡與信息安全;李永忠（1961-），男，碩士，江蘇科技大學計算機學院教授，研究方向為網(wǎng)絡安全、嵌入式應用。

0 引言

隨著Android智能手機的普及，Android系統(tǒng)的市場占有率不斷提高，然而，Android因其系統(tǒng)結構及開源性引發(fā)的安全問題也亟待解決。根據(jù)市場調(diào)研機構Kantar發(fā)布的2018年Q2季度智能手機行業(yè)最新調(diào)查報告顯示，Android手機占據(jù)了中國市場80.4%的市場份額，在德國、美國、法國、意大利、日本、西班牙等國家，Android手機的市場占有率也穩(wěn)居第一[1]。

自2009年起，學者們對Android平臺的權限管理機制展開研究。2009年，Enck等[2]建立Kirin安全服務以檢測違反權限策略的軟件，并拒絕對其進行安裝;2010年，Shin等[3]構建形式化模型以檢測權限機制的安全性;同年，美國賓夕法尼亞州立大學、杜克大學及英特爾實驗室研究人員開發(fā)出TaintDroid系統(tǒng)[4]，對應用如何使用隱私數(shù)據(jù)進行了分析;2011年，F(xiàn)elt等[5]利用Stowaway工具檢測出符合應用功能需求的最小權限集，并將其與被應用申請的權限集進行比較;同年，著名的TISSA[6]系統(tǒng)被開發(fā)出來，該系統(tǒng)實現(xiàn)了Android平臺的多粒度控制，但其難以避免應用之間的串謀攻擊;近年來，戴維等開發(fā)了CrossDroid系統(tǒng)，以進一步改善TISSA系統(tǒng)中應用之間的串謀攻擊問題。目前，Android權限控制方面應用最廣泛的方案即是上述的TaintDroid、TISSA、CrossDroid 3項。

以上3種方案為之后的權限控制研究奠定了基礎，其可最大限度地維護Android 平臺權限管理的安全性，但仍存在許多漏洞，比如用戶僅能在軟件安裝時進行權限管理，用戶若拒絕軟件權限申請則會取消安裝[7-8]。因此，本文研究一種細粒度權限管理機制，使用戶能夠自主進行權限管理。安裝應用時，系統(tǒng)將彈出權限申請框以提示有權限正試圖提出申請，后臺將對其進行識別，檢測該權限是否帶有惡意傾向?qū)⒃搼棉D(zhuǎn)變?yōu)閻阂鈶?，并將結果反饋給用戶，以供用戶參考并進行選擇，從而極大提升了用戶隱私的安全性。

1 Android安全機制

Android系統(tǒng)完整的安全架構與嚴謹?shù)陌踩?guī)范保證了系統(tǒng)架構每個層面的系統(tǒng)及用戶信息安全。Android安全體系框架如圖1所示，主要包括3部分：Android內(nèi)核安全、Android應用層安全與Android用戶層安全[9]。

圖1 Android安全體系

由于權限機制能允許或拒絕應用程序訪問API或系統(tǒng)資源，故其實質(zhì)上是一種訪問控制機制[10]。然而，權限機制還存在以下隱患：①用戶在安裝軟件時，無法對權限進行篩選，只能全部接受，否則將結束安裝;②用戶難以區(qū)分權限是否具有惡意特征;③用戶無法對已授權的權限進行更改。針對這些弊端，本文提出的模型不僅對隱私數(shù)據(jù)提取進行了權限控制，還評估了隱私權限組合，并在用戶授權時給予警告，從而提升了Android系統(tǒng)權限控制的安全性[11]。

2 Android系統(tǒng)架構

Android系統(tǒng)架構采用分層架構思想，圖2為Android系統(tǒng)總體架構[7]。系統(tǒng)自上而下分為應用層、框架層、系統(tǒng)庫與Linux內(nèi)核4層[12]。應用層位于Android系統(tǒng)架構頂層，該層存放了開發(fā)人員利用Java編寫的Android第三方應用程序;框架層為應用程序開發(fā)提供API調(diào)用接口，如Android四大組件，以及豐富且可拓展的視圖控件等[13]。同時，該層還能提供大量系統(tǒng)服務，使應用能夠獲取系統(tǒng)與其相關信息;系統(tǒng)庫層包含系統(tǒng)類庫與Android Runtime兩部分，可促進Linux內(nèi)核與框架層之間的溝通;Linux內(nèi)核為Android奠定了基礎，Android憑借該層實現(xiàn)了許多重要功能，如無線通信、硬件設備驅(qū)動、進程與內(nèi)存管理、電源管理等[13]。

圖2 Android系統(tǒng)總體架構

3 惡意權限檢測算法

3.1 權限特征選取

權限特征選取中運用了卡方檢驗法，該方法主要用于計算權限與惡意傾向的相關性[14]。四格卡方檢驗公式為：

[x2=（ad-bc）2？N（a+b）（c+d）（a+c）（b+d）] （1）

式中，a、b、c、d分別代表四格頻數(shù)，N為樣本容量，即a、b、c、d之和。利用式（1）對權限進行計算，進而得出[x]2，再參考卡方界值表，將檢驗水準[α]（默認值0.05）與卡方界值表對應的臨界值進行比較，若卡方值大于查表值，則視該權限為冗余權限并將其去除。以上步驟實現(xiàn)了權限特征集合的降維操作，得到權限特征集合T。

3.2 權限特征聚類去冗余

根據(jù)對權限特征集合T的分析發(fā)現(xiàn)，權限之間具有相關性，許多權限都是捆綁出現(xiàn)的。因此，需要去除T的冗余特征，以提高權限特征的代表性，減少分類開銷。本文采用基于熵的互信息法進行相似性度量，該方法可通過計算，從全局層次把握特征間的相關性大小[14]。信息熵[H（x）]與變量x的關系表達式如式（2）所示，已知變量y后x的條件信息熵公式如式（3）所示。

[H（x）=-iP（xi）lbP（yi）] （2）

[H（x|y）=-jP（yj）iP（xi|yj）lbP（xi|yj）] （3）

變量x與y之間的互信息[MI（x，y）]為：

[MI（x，y）=H（x）-H（x|y）=H（y）-H（x|y）=]

[x，yP（x，y）lbP（xy）P（x）P（y）]? ? ? ? （4）

特征[x、y]之間的相關性計算如式（5）所示。

[Sim（x，y）=2MI（x，y）H（x）+H（y）] （5）

其中，相關性區(qū)間為[0，1]，0代表特征[x]與[y]不相關，1表示[x、y]完全相關。之后，采用[Sim（x，y）]值對特征集進行簡單聚類，去除冗余權限[14]。聚類算法將權限特征集T作為輸入，將去冗余后的權限特征集[T]作為輸出，詳細步驟如圖3所示。

圖3 權限特征聚類

通過以上步驟，可降低[T]屬性維數(shù)與權限之間的相關性，并提高了其與惡意軟件分類決策的相關性。

3.3 改進的樸素貝葉斯分類

本文為實現(xiàn)對Android惡意軟件和非惡意軟件的分類操作，采用樸素貝葉斯分類法[15]。條件概率P（X|Y）與P（Y|X） 的貝葉斯公式為：

[P（Y|X）=P（X|Y）P（Y）P（X）] （6）

由于P（X）為常數(shù)，若要為待分類對象找出最大可能的類別，只需使P（X|Y）P（Y）最大即可。然而在實際應用中，一個屬性值對分類的影響并不能完全獨立于其它屬性值，常見的樸素貝葉斯分類法通常無法解決該問題，而本文之前得到的[T']可滿足實際需求，使特征權限間實現(xiàn)相對獨立，特征代表分類效果顯著[15]。

在Android平臺下，各種權限對不同惡意軟件決策的影響也有所差別。所以權限需要作出區(qū)分，以提升分類準確率[16]。以3.1章中計算出的卡方值[x2]為基礎，引入權重影響因子[β]，進而對樸素貝葉斯分類后驗證概率計算進行改進，將式（6）變形為式（7）、式（8）[15-16]。

[P（Y|X）=P（Y）k=1mP（Xk|Y）βkP（X）] （7）

[βk=1x2k×i=1mx2i] （8）

其中，[βk]表示該權限特征占所有分類影響中的比重。由式（8）求得待檢測軟件為非惡意軟件及惡意軟件的后驗概率，從而能夠更準確地判斷出該軟件是否為惡意軟件。

4 Android平臺安全系統(tǒng)設計與實現(xiàn)

4.1 系統(tǒng)總體框架設計

Android平臺權限管理機制無法實現(xiàn)用戶對所需權限的自由篩選功能，若用戶想安裝某個應用，只能被迫同意所有權限才能對其進行安裝，但該做法可能導致用戶隱私被竊取。因此，本文設計了一個細粒度權限管理機制對其進行優(yōu)化。該機制一方面能實現(xiàn)用戶對權限數(shù)據(jù)的獲取與選擇，另一方面能夠識別權限是否會引入惡意應用，從而為用戶提供授權建議[17]。

Android平臺細粒度權限管理系統(tǒng)共分為3個模塊，分別為隱私分析報告模塊、權限設置管理模塊與惡意權限識別模塊。系統(tǒng)總體框架如圖4所示。

圖4 系統(tǒng)總體框架

4.2 隱私分析報告模塊

隱私分析報告模塊的主要作用在于當應用軟件獲取隱私權限時，該模塊可將其攔截，并通過比較原有數(shù)據(jù)庫中的權限對其作出分析。當數(shù)據(jù)庫中存在該權限時則允許訪問，否則，將在跳轉(zhuǎn)至權限設置管理模塊時立刻啟動惡意識別模塊[17]。隱私權限控制流程如圖5所示。

圖5 隱私權限控制流程

4.3 權限設置管理模塊

權限設置管理模塊主要滿足了用戶自主篩選軟件中與隱私相關權限的功能，詳細過程為先從系統(tǒng)中獲取第三方應用軟件，再對應用提取權限，從而過濾出隱私相關權限，最后存儲到專門設計的SQLite數(shù)據(jù)庫中[18] ，并通過用戶與權限設置管理模塊的交互實現(xiàn)數(shù)據(jù)庫更新，其基本步驟如圖6所示。

4.4 惡意權限識別模塊

惡意權限識別模塊是在應用申請權限后啟用的模塊，主要對輸入的權限信息進行檢測分析，并返回判斷結果[19-20]，惡意權限識別流程如圖7所示。

圖6 權限設置管理流程? ? ? ? ? ? ? ? ?圖7 惡意權限識別流程

惡意識別模塊主要使用了卡方檢驗法、聚類算法及樸素貝葉斯分類法[15]。首先采用卡方檢驗法對特征權限進行篩選，得到相關性較高的權限集，然后通過權限間的互信息計算出權限間的相似度，并對其進行聚類與去冗余操作，從而使特征權限之間相對獨立，最后采用樸素貝葉斯算法對特征權限進行分類，以達到區(qū)分正常軟件與惡意軟件的目的[21]。

5 系統(tǒng)測試

系統(tǒng)測試主要分為3部分進行，包括隱私分析報告模塊測試、權限設置管理模塊測試與惡意權限識別模塊測試。

隱私分析報告模塊測試主要測試應用提取隱私相關權限并與數(shù)據(jù)庫中的數(shù)據(jù)進行對比，若不符合，則跳轉(zhuǎn)至權限管理模塊。隱私權限控制模塊攔截效果如圖8所示。

權限設置管理模塊測試主要測試用戶能否對權限進行自由篩選。具體而言，應測試系統(tǒng)能否成功獲取第三方應用軟件并提取其權限列表，用戶是否能夠?qū)ο胍臋嘞捱M行勾選，并成功保存篩選結果，以及該結果是否能夠生成權限數(shù)據(jù)庫。權限設置功能測試如圖9所示。

惡意權限識別模塊測試旨在測試是否可以完成對惡意軟件及非惡意軟件的分類，即測試基于樸素貝葉斯算法的檢測是否有效。然而要想測試系統(tǒng)的檢測是否有效，則首先要過濾出非惡意軟件配置文件AndroidManifest.xml的權限，再將其作為輸入，并將最后一個權限作為識別點，判斷該軟件是否會轉(zhuǎn)變成惡意軟件[21]。

圖8 隱私權限控制模塊攔截效果? ? ? ? ? ? ?圖9 權限設置

分別選取500個惡意軟件及非惡意軟件對其進行檢測，將實驗分為2組，準確率及誤判率測試結果分別如表1、表2所示。

表1 惡意軟件樣本檢測結果

表2 非惡意軟件樣本檢測結果

由表1可以看出，系統(tǒng)平均誤判率為9.75%，總體平均準確率為90.25%。

功能測試結果如圖10所示。

圖10 惡意權限檢測模塊結果

6 結語

本系統(tǒng)能夠?qū)崿F(xiàn)惡意軟件識別、隱私權限分析與警告功能，可使用戶自定義設置權限。運用該系統(tǒng)對1 000個樣本進行實驗，得出惡意軟件誤判率約為9.75%，檢測準確率約為90.25%。該方案使普通用戶在面對各種應用時能更合理地授予及修改權限，從而大大降低了系統(tǒng)被攻擊的可能性，提高了Android系統(tǒng)的安全性。

參考文獻：

[1] 李俊輝. 基于Android安全機制的權限控制系統(tǒng)[J]. 信息技術， 2014（9）：125-128.

[2] 戴威，鄭滔. 基于Android權限機制的動態(tài)隱私保護模型[J]. 計算機應用研究， 2012， 29（9）：3478-3482.

[3] SHIN W，KIYOMOTO S， FUKUSHIMA K， et al. A formal model to analyze the permission authorization and enforcement in the Android framework[C].IEEE Second International Conference on Social Computing， 2010.

[4] ENCK W，GILBERT P，CHUN B G，et al. TaintDroid： an information-flow tracking system for realtime privacy monitoring on smartphones[J]. ACM Transactions on Computer Systems，2014， 32（2）：1-29.

[5] FELT A P， CHIN E， HANNA S， et al. Android permissions demystified[C]. ACM Conference on Computer & Communications Security. ACM， 2011.

[6] ZHOU Y， ZHANG X， JIANG X， et al. Taming information-stealing smartphone applications （on Android）[C]. International Conference on Trust and Trustworthy Computing，2011.

[7] 戈亞光. Android細粒度授權管理系統(tǒng)設計與實現(xiàn)[D].北京：北京交通大學， 2015.

[8] 湯瑾. Android平臺下的隱私數(shù)據(jù)保護方法的研究與實現(xiàn)[D].北京：北京郵電大學， 2014.

[9] 王鵬. Android隱私保護機制的分析與改進[D]. 北京： 北京郵電大學， 2013.

[10] 符易陽，周丹平. Android安全機制分析[J]. 信息網(wǎng)絡安全， 2011（9）：23-25.

[11] 朱業(yè)豐. Android安全機制分析[J]. 電子世界， 2012（14）：17.

[12] 張娜. Android系統(tǒng)架構研究與應用[D]. 西安：西安科技大學， 2013.

[13] JIANG X， ZHOU Y. A survey of Android malware[M]. Android Malware， 2013：3-20.

[14] 初建朝，鄭力明. Android安全性分析[J]. 微型機與應用， 2013（20）：1-3.

[15] 劉彧. 基于貝葉斯理論的文本分類技術的研究與實現(xiàn)[D].長春：吉林大學，2009.

[16] 王國才.樸素貝葉斯分類器的研究與應用[D].重慶：重慶交通大學， 2010.

[17] MELO L L D，ZORZO S D. PUPDroid - personalized user privacy mechanism for android[C]. IEEE International Conference on Systems. IEEE， 2012.

[18] 李欣. 一種基于智能卡的Android權限管理方法研究[J].信息網(wǎng)絡安全，2012（8）：57-60.

[19] 張中文，雷靈光，王躍武. Android Permission機制的實現(xiàn)與安全分析[C].全國計算機安全學術交流會， 2012.

[20] AU K W Y，ZHOU Y F，HUANG Z，et al. PScout：analyzing the Android permission specification[C]. ACM Conference on Computer & Communications Security，2012.

[21] 張銳，楊吉云. 基于權限相關性的Android惡意軟件檢測[J]. 計算機應用，2014，34（5）：1322-1325.

（責任編輯：黃 ?。?/p>