摘 ?要： 為了解決傳統(tǒng)惡意APP軟件檢測(cè)技術(shù)中存在的檢測(cè)準(zhǔn)確率低下的問題，引入模糊神經(jīng)網(wǎng)絡(luò)，設(shè)計(jì)惡意APP軟件的動(dòng)態(tài)檢測(cè)技術(shù)。從軟件應(yīng)用程序權(quán)限與軟件代碼兩個(gè)方面，提取惡意APP軟件特征，并得出相應(yīng)的特征向量，通過構(gòu)建模糊神經(jīng)元得出動(dòng)態(tài)模糊神經(jīng)網(wǎng)絡(luò)，將得出的APP軟件特征向量輸入到模糊神經(jīng)網(wǎng)絡(luò)當(dāng)中，針對(duì)APP軟件的惡意行為進(jìn)行特征匹配，從而輸出APP軟件的風(fēng)險(xiǎn)檢測(cè)報(bào)告。通過實(shí)驗(yàn)發(fā)現(xiàn)，模糊神經(jīng)網(wǎng)絡(luò)下的惡意APP軟件動(dòng)態(tài)檢測(cè)技術(shù)比傳統(tǒng)的檢測(cè)技術(shù)誤報(bào)率與漏檢率分別低18.5%和3.8%，準(zhǔn)確率高6.47%。

關(guān)鍵詞： 惡意APP軟件; 動(dòng)態(tài)檢測(cè); 模糊神經(jīng)網(wǎng)絡(luò); 特征向量獲取; 特征匹配; 對(duì)比驗(yàn)證

中圖分類號(hào)： TN711?34; TP183 ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? ? ? 文章編號(hào)： 1004?373X（2020）02?0049?04

Research on malicious APP software dynamic detection technology based on

fuzzy neural network

PENG Shouzhen

Abstract： A dynamic detection technology against malicious APP software is designed by introducing a fuzzy neural network to solve the low detection accuracy in the traditional malicious APP software detection technology. From the two aspects of software application permission and software code， the features of malicious APP software are extracted and the corresponding feature vectors are obtained. The dynamic fuzzy neural network is obtained by constructing the fuzzy neuron， in which the obtained feature vectors of APP software are inputted， so as to conduct the feature matching against the malicious behaviors of APP software to output the risk detection report of APP software. The experimental results show that in comparison with the traditional detection technology， the false alarm rate and the omission rate of the malicious APP software dynamic detection technology based on fuzzy neural network are decreased by 18.5% and 3.8%， respectively， and its accuracy is increased by 6.47%.

Keywords： malicious APP software; dynamic detection; fuzzy neural network; feature vector acquisition; feature matching; comparison validation

0 ?引 ?言

智能手機(jī)與傳統(tǒng)的功能機(jī)相比，延續(xù)了傳統(tǒng)手機(jī)打電話和手發(fā)短信息的功能，并在此基礎(chǔ)上添加了無線上網(wǎng)功能，實(shí)現(xiàn)網(wǎng)絡(luò)通信，并按照用戶的個(gè)人需求，支持第三方軟件下載與安裝。Android市場(chǎng)份額的擴(kuò)大和第三方軟件應(yīng)用數(shù)量的急增，也給惡意軟件的開發(fā)者創(chuàng)造了機(jī)會(huì)[1]。惡意APP軟件開發(fā)人員，利用Android系統(tǒng)源碼的隱藏漏洞，對(duì)源代碼進(jìn)行篡改，導(dǎo)致用戶隱私遭到威脅?，F(xiàn)階段出現(xiàn)的惡意APP軟件類型分為惡意吸費(fèi)、隱私竊取、遠(yuǎn)程控制、惡意推廣以及系統(tǒng)破壞。用戶在無意識(shí)的情況下安裝相應(yīng)的APK文件，被竊取短信、通話記錄等隱私信息。惡意APP軟件通過采取重打包、更新攻擊等方式入侵，重打包將軟件包裝成為正常的APK，經(jīng)過APK的反編譯、重打包、重簽名等步驟生成新的、帶有惡意功能的安裝包，誘導(dǎo)用戶下載與安裝。而更新攻擊是將連接服務(wù)器的部分代碼寫入到合法應(yīng)用當(dāng)中，當(dāng)用戶在使用APP軟件時(shí)，惡意代碼服務(wù)器連接后臺(tái)啟動(dòng)，通過遠(yuǎn)程服務(wù)器完成更新，進(jìn)而執(zhí)行惡意代碼[2]。

為了保證用戶手機(jī)的使用安全，需要在安裝之前對(duì)APP軟件進(jìn)行安全檢測(cè)，由此也就產(chǎn)生了惡意APP軟件檢測(cè)技術(shù)?，F(xiàn)階段的檢測(cè)技術(shù)包括基于源碼分析的靜態(tài)檢測(cè)技術(shù)和基于行為模擬的動(dòng)態(tài)檢測(cè)方法。基于源碼分析的靜態(tài)檢測(cè)技術(shù)可以有效地檢測(cè)出以重打包為主要入侵攻擊方式的惡意軟件，但由于更新攻擊的源碼是隱藏在正常應(yīng)用程序當(dāng)中的，因此使用這種靜態(tài)分析技術(shù)不能檢測(cè)出隱藏的惡意功能[3]。基于行為模擬的動(dòng)態(tài)檢測(cè)方法有效地解決了靜態(tài)檢測(cè)技術(shù)當(dāng)中的問題，但與此同時(shí)降低了檢測(cè)的準(zhǔn)確率。綜合現(xiàn)階段傳統(tǒng)檢測(cè)技術(shù)中存在的問題，引入了模糊神經(jīng)網(wǎng)絡(luò)的概念，對(duì)惡意APP軟件動(dòng)態(tài)檢測(cè)技術(shù)進(jìn)行優(yōu)化設(shè)計(jì)，在擴(kuò)大檢測(cè)范圍的同時(shí)，保證檢測(cè)的準(zhǔn)確性與精確性。

1 ?特征向量提取

通過對(duì)惡意APP軟件中的特征提取作為檢測(cè)惡意軟件的依據(jù)。具體的特征提取分為兩個(gè)方面，分別為應(yīng)用程序權(quán)限提取和代碼特征提取。特征提取的方式是逆向分析APP軟件的安裝包，即APK文件，從中獲得軟件程序的調(diào)用信息;惡意APP軟件這兩個(gè)方面的特征組合成為混合特征，構(gòu)建特征向量。

1.1 ?應(yīng)用程序權(quán)限提取

應(yīng)用程序在執(zhí)行功能時(shí)需要申請(qǐng)相應(yīng)的權(quán)限，因此一個(gè)應(yīng)用程序軟件的權(quán)限列表能夠反映該程序的功能和行為。在SDK提供的權(quán)限中，例如統(tǒng)計(jì)電量、設(shè)置壁紙等權(quán)限是不會(huì)產(chǎn)生惡意行為的[4]。惡意APP程序常用權(quán)限包括：撥打電話、發(fā)送短信、聯(lián)網(wǎng)、安裝程序包、讀取手機(jī)狀態(tài)、讀取手機(jī)聯(lián)系人信息等。提取按照?qǐng)D1中的流程對(duì)應(yīng)用程序權(quán)限特征進(jìn)行提取。

定義特征權(quán)限向量為[P=p1，p2，…，pm]，其中[pm]表示的是在惡意應(yīng)用軟件中通話權(quán)限的次數(shù)從高到低排序?yàn)榈趍位的權(quán)限，由此得出的特征權(quán)限既具有代表性，同時(shí)可以避免統(tǒng)計(jì)過多權(quán)限特征，導(dǎo)致算法時(shí)間效率低下的問題。在此基礎(chǔ)上定義權(quán)限惡意程度值函數(shù)為：

[?p=λ2mpλnp] （1）

式中：[p∈P];[λm]為惡意行為概率;[λn]為正常行為概率。

1.2 ?代碼特征提取

代碼特征的提取對(duì)象是解壓后得到的應(yīng)用程序軟件文件，文件中包含APK的包名和權(quán)限。其中包名可以當(dāng)成APK文件的身份信息[5];而權(quán)限可以用來判斷APK對(duì)手機(jī)系統(tǒng)的調(diào)用情況。將代碼特征提取結(jié)果用[η]來表示，[η]的提取過程如圖2所示。

通過圖2可以看到，圖中所示的.dex文件反編譯模塊和Java反編譯模塊可以將dex文件逐步由Dalvik虛擬機(jī)可執(zhí)行文件轉(zhuǎn)換為Java字節(jié)碼文件直至Java代碼文件。

綜上所述，綜合應(yīng)用程序權(quán)限提取與代碼特征提取結(jié)果，可以將惡意APP軟件提取的特征向量表示為：

[QA=q1，q2，…，qm=ηp??p] （2）

式中：[ηp]與[?p]分別表示特征提取的結(jié)果;[qi]的取值范圍為0～1。

2 ?動(dòng)態(tài)模糊神經(jīng)網(wǎng)絡(luò)建模

模糊神經(jīng)網(wǎng)絡(luò)就是具有模糊權(quán)系數(shù)或者輸入信號(hào)是模糊量的神經(jīng)網(wǎng)絡(luò)[6]。利用邏輯模糊神經(jīng)網(wǎng)絡(luò)中的誤差學(xué)習(xí)算法，即是監(jiān)視學(xué)習(xí)算法，針對(duì)惡意APP軟件檢測(cè)建立動(dòng)態(tài)網(wǎng)絡(luò)模型。

建立動(dòng)態(tài)模糊神經(jīng)網(wǎng)絡(luò)模型首先需要建立模糊神經(jīng)元模型。模糊神經(jīng)元是模糊神經(jīng)網(wǎng)絡(luò)的基本組成單位，主要是指一類可以實(shí)施模糊信息處理模糊邏輯運(yùn)算的神經(jīng)元。模糊神經(jīng)元模型的基本表達(dá)式如下：

[r=hω1x1，ω2x2，…，ωnxnk=fr-Tyj=gjk] （3）

式中：[r]表示的是模糊神經(jīng)元的輸入值;h表示的是模糊神經(jīng)元的聚合函數(shù);k表示的是模糊神經(jīng)元的狀態(tài)，一般情況下取值為0或1;[f]表示的是輸入值在模糊神經(jīng)元當(dāng)中的傳遞函數(shù);T為閾值[7];[gj]為一個(gè)模糊神經(jīng)元對(duì)應(yīng)的n個(gè)輸出函數(shù)，其中[j]的取值為[0，1，2，…，n]。

在建立模糊神經(jīng)元模型基礎(chǔ)上進(jìn)行模糊神經(jīng)元的分類，按照分類單元對(duì)惡意APP元件代碼進(jìn)行分類。按照模糊化圣經(jīng)元和模糊邏輯神經(jīng)元的分類原則，可以將模糊神經(jīng)元?jiǎng)澐譃榈谝活惸：窠?jīng)元和第二類模糊神經(jīng)元，兩類神經(jīng)元的模型結(jié)構(gòu)如圖3所示。

圖3中：[xi]為第i個(gè)模糊神經(jīng)元的輸入值;y為當(dāng)前的輸出值;圖中“[?]”表示的是累計(jì)算子;[μi]為修正處理函數(shù)。而第二類模糊神經(jīng)元的加權(quán)操作是對(duì)每一個(gè)模糊輸入的值進(jìn)行修正的操作。

3 ?神經(jīng)網(wǎng)絡(luò)動(dòng)態(tài)特征匹配

對(duì)惡意APP軟件進(jìn)行動(dòng)態(tài)跟蹤，得到初始的跟蹤數(shù)據(jù)。在敏感數(shù)據(jù)來源上分配模糊神經(jīng)元標(biāo)簽，帶有標(biāo)簽的神經(jīng)元隨著數(shù)據(jù)和變量的移動(dòng)自由傳播，在模糊神經(jīng)元流動(dòng)路徑以及終端的位置添加檢測(cè)標(biāo)簽。惡意軟件啟動(dòng)會(huì)調(diào)用本地的方法和數(shù)據(jù)，變量的值會(huì)與神經(jīng)元同時(shí)作為參數(shù)進(jìn)行傳輸。通過模糊神經(jīng)元的標(biāo)記，在惡意軟件啟動(dòng)的過程中，神經(jīng)元隨著軟件應(yīng)用程序進(jìn)行流通，因此神經(jīng)元的運(yùn)行路徑即為軟件的執(zhí)行路徑。當(dāng)有軟件結(jié)束調(diào)用時(shí)，觀察并檢測(cè)被操作的數(shù)據(jù)是否與標(biāo)記的模糊神經(jīng)元重合，以此來判定APP軟件是否存在惡意行為。接著進(jìn)行特征向量匹配檢測(cè)，檢測(cè)過程如圖4所示。

該過程主要通過應(yīng)用程序調(diào)用相關(guān)工具獲取APK的文件包名、版本信息等內(nèi)容，從中提取MD5的值為APK的特征碼。首先將得到的APP軟件應(yīng)用程序代碼和惡意代碼按照黑白名單入庫，將提取出的文件特征與數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行匹配，若待檢測(cè)軟件的提取特征與正常軟件的匹配度達(dá)到95%以上，可以判定為正常軟件;如果提取的特征與惡意特征匹配度僅達(dá)到5%，則判定為惡意APP軟件。

4 ?輸出軟件風(fēng)險(xiǎn)檢測(cè)報(bào)告

利用特征動(dòng)態(tài)匹配對(duì)比結(jié)果得出相應(yīng)的程序隱私分?jǐn)?shù)，進(jìn)而得出軟件風(fēng)險(xiǎn)檢測(cè)報(bào)告[8]。通過特征比對(duì)的結(jié)果，對(duì)應(yīng)用與類的相似性進(jìn)行加權(quán)處理，獲得風(fēng)險(xiǎn)模式指標(biāo)。結(jié)合指標(biāo)的最終相似性，得出風(fēng)險(xiǎn)閾值參數(shù)[β]，當(dāng)[β]為0時(shí)，APP軟件的風(fēng)險(xiǎn)取值會(huì)固定為給定的特征匹配比對(duì)值;當(dāng)[β]為1時(shí)，需要通過應(yīng)用權(quán)限計(jì)算的平均相似性來決定風(fēng)險(xiǎn)的閾值;當(dāng)[β]大于1時(shí)，風(fēng)險(xiǎn)閾值使相似性低的應(yīng)用設(shè)置高風(fēng)險(xiǎn)值，即應(yīng)用的權(quán)限越多，相似性閾值則越高。

5 ?實(shí)驗(yàn)分析

5.1 ?實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)平臺(tái)環(huán)境主要由支持APP運(yùn)行的Android手機(jī)和用于相關(guān)檢測(cè)的服務(wù)器兩部分組成。選用的運(yùn)行檢測(cè)服務(wù)器為云端服務(wù)器，其基本配置為Intel 2.94 GHz CPU，2 GB RAM，操作系統(tǒng)為Windows XP。而Android手機(jī)的版本為Android 2.4.4版本，SD卡的容量為1.86 GB。

5.2 ?實(shí)驗(yàn)樣本

實(shí)驗(yàn)中選用的實(shí)驗(yàn)樣本分別為APP軟件10組，且正常APP軟件有5組，惡意APP軟件5組。具體的測(cè)試樣本APP設(shè)置情況如表1所示。

另外，在實(shí)驗(yàn)中將部分已知惡意軟件的特征添加到檢測(cè)環(huán)境中的惡意軟件樣本特征庫中。

5.3 ?實(shí)驗(yàn)過程

將實(shí)驗(yàn)樣本輸入到實(shí)驗(yàn)環(huán)境中，利用Eclipse檢測(cè)技術(shù)進(jìn)行后臺(tái)檢測(cè)，最終輸出檢測(cè)報(bào)告。具體的實(shí)驗(yàn)過程如圖5所示。

在此次實(shí)驗(yàn)當(dāng)中設(shè)立傳統(tǒng)的檢測(cè)技術(shù)和靜態(tài)檢測(cè)技術(shù)作為實(shí)驗(yàn)的對(duì)比方法，將實(shí)驗(yàn)樣本輸入到檢測(cè)環(huán)境當(dāng)中，分別按照檢測(cè)的技術(shù)流程進(jìn)行檢驗(yàn)。相比于設(shè)計(jì)出的檢測(cè)技術(shù)，傳統(tǒng)的檢測(cè)技術(shù)沒有輸入模糊神經(jīng)網(wǎng)絡(luò)的步驟。通過兩種實(shí)驗(yàn)檢測(cè)方法得出惡意APP軟件的最終檢驗(yàn)結(jié)果。

5.4 ?實(shí)驗(yàn)結(jié)果與分析

通過APP軟件檢測(cè)方法輸出最終的檢測(cè)報(bào)告，針對(duì)兩種實(shí)驗(yàn)技術(shù)得出實(shí)驗(yàn)結(jié)果進(jìn)行具體分析，得出有關(guān)于檢測(cè)技術(shù)效率相關(guān)系數(shù)的實(shí)驗(yàn)結(jié)果。檢測(cè)效率相關(guān)系數(shù)包括APP軟件檢測(cè)的準(zhǔn)確率、檢測(cè)率、誤報(bào)率、漏檢率等，最終明確檢測(cè)精度。APP軟件檢測(cè)的準(zhǔn)確率為實(shí)驗(yàn)正確檢測(cè)樣本數(shù)與總樣本數(shù)的商;檢測(cè)率為檢測(cè)出的惡意APP樣本數(shù)與總惡意APP樣本數(shù)的商;誤報(bào)率為錯(cuò)誤檢測(cè)樣本數(shù)與總樣本之間的商;漏檢率為未檢測(cè)出的惡意APP樣本數(shù)與惡意APP樣本總數(shù)之間的商。由此便可得出有關(guān)于檢測(cè)技術(shù)效率的實(shí)驗(yàn)對(duì)比結(jié)果如表2所示。

從表中的數(shù)據(jù)可以看出，基于模糊神經(jīng)網(wǎng)絡(luò)的惡意APP軟件檢測(cè)技術(shù)比傳統(tǒng)技術(shù)的檢測(cè)率高3.665%，誤報(bào)率低18.5%，漏檢率低3.8%，準(zhǔn)確率高6.47%。由此可以看出，借助模糊神經(jīng)網(wǎng)絡(luò)理論，設(shè)計(jì)出的惡意APP軟件檢測(cè)技術(shù)精度較高。

6 ?結(jié) ?語

綜上所述，借助模糊神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)出的惡意APP軟件檢測(cè)方法，具有較高的使用價(jià)值。在實(shí)際的生活與工作當(dāng)中應(yīng)用這種軟件檢測(cè)方法也達(dá)到了相應(yīng)的預(yù)期效果，與傳統(tǒng)的檢測(cè)方法相比，在準(zhǔn)確率和誤報(bào)率等方面都有一定的提升。然而由于研究時(shí)間和研究水平的限制，設(shè)計(jì)出的檢測(cè)技術(shù)仍存在諸多不足之處，希望可以在今后的研究中不斷得到完善。

參考文獻(xiàn)

[1] 秦玉海，候世恒，楊嵩.Android平臺(tái)惡意APP的檢驗(yàn)方法[J].中國(guó)刑警學(xué)院學(xué)報(bào)，2017，23（3）：121?124.

[2] 孫偉，孫雅杰，夏孟友.一種靜態(tài)Android重打包惡意應(yīng)用檢測(cè)方法[J].信息安全研究，2017，3（8）：692?700.

[3] 蘭雪梅，董純，季啟政.基于LabVIEW的計(jì)量校準(zhǔn)軟件動(dòng)態(tài)量限自動(dòng)測(cè)試方法研究[J].計(jì)測(cè)技術(shù)，2017，37（z1）：236?240.

[4] 張海艦，方舟，陳新.基于深度學(xué)習(xí)技術(shù)的惡意APP檢測(cè)方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，22（3）：108.

[5] 宋秋雨.軟件安全漏洞檢測(cè)技術(shù)[J].數(shù)字通信世界，2017，20（7）：74.

[6] 王濤，李劍.基于深度學(xué)習(xí)的Android惡意軟件檢測(cè)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)[J].信息安全研究，2018，37（2）：25?29.

[7] 郗桐，金昊，徐根煒，等.基于卷積神經(jīng)網(wǎng)絡(luò)的Android惡意應(yīng)用檢測(cè)方法[J].信息安全研究，2018，35（8）：41?47.

[8] 權(quán)鵬宇，車文剛，余任，等.基于混沌時(shí)間序列的模糊神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)研究[J].軟件導(dǎo)刊，2018，11（2）：23?27.

[9] 沈斐揚(yáng).鋼軌超聲導(dǎo)波動(dòng)態(tài)檢測(cè)關(guān)鍵技術(shù)研究[D].杭州：浙江大學(xué)，2018.

[10] 龔琪，曹金璇，蘆天亮.基于序列比對(duì)的勒索病毒同源性分析[J].計(jì)算機(jī)與現(xiàn)代化，2018（2）：1?5.

作者簡(jiǎn)介：彭守鎮(zhèn)（1979—），男，江西九江人，碩士，講師，研究方向?yàn)閿?shù)據(jù)挖掘和決策算法、信息安全。