基于多因素聚類選擇的Android應(yīng)用程序分類風(fēng)險(xiǎn)評(píng)估方法

2021-04-24 06:38:40超凡楊智杜學(xué)繪韓冰

網(wǎng)絡(luò)與信息安全學(xué)報(bào) 2021年2期

超凡，楊智，杜學(xué)繪，韓冰

超凡，楊智，杜學(xué)繪，韓冰

（信息工程大學(xué)，河南鄭州 450001）

大多數(shù)現(xiàn)有的Android應(yīng)用程序風(fēng)險(xiǎn)評(píng)估根據(jù)經(jīng)驗(yàn)直接指定因素的權(quán)重，通過統(tǒng)計(jì)少量因素的使用頻率來計(jì)算安全風(fēng)險(xiǎn)。提出一種新的Android應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，能夠同時(shí)提供定量和定性評(píng)估。該方法融合系統(tǒng)權(quán)限、API調(diào)用、Intent Filter的action屬性以及數(shù)據(jù)流等多種風(fēng)險(xiǎn)因素，基于因素的風(fēng)險(xiǎn)分類與加成進(jìn)行風(fēng)險(xiǎn)賦值，基于層次聚類對(duì)因素子集進(jìn)行權(quán)重分配。實(shí)驗(yàn)表明，評(píng)估結(jié)果能夠有效地反映Android應(yīng)用程序的真實(shí)安全風(fēng)險(xiǎn)。

安卓；風(fēng)險(xiǎn)評(píng)估；安全威脅；靜態(tài)分析；層次聚類

1 引言

典型的Android惡意軟件檢測只能將應(yīng)用程序分類為良性、惡意或正常、異常，這樣粗糙的二元指標(biāo)無法詳細(xì)表明應(yīng)用程序安全面臨的具體風(fēng)險(xiǎn)程度。在實(shí)際情況下，惡意軟件與良性應(yīng)用的界限通常不是特別鮮明，大量“正?！睉?yīng)用蘊(yùn)含各種安全風(fēng)險(xiǎn)，可能給用戶造成隱私泄露、資費(fèi)消耗、系統(tǒng)破壞等損失。事實(shí)上，不存在完全安全的無風(fēng)險(xiǎn)應(yīng)用，但風(fēng)險(xiǎn)更小的應(yīng)用通常表明安全性更高，更值得信賴。安全風(fēng)險(xiǎn)評(píng)估是一種有效衡量應(yīng)用程序安全風(fēng)險(xiǎn)的技術(shù)，可幫助市場與用戶更好地選擇較為安全的應(yīng)用。

針對(duì)Android應(yīng)用的風(fēng)險(xiǎn)評(píng)估目標(biāo)存在多種說法，有風(fēng)險(xiǎn)評(píng)分和風(fēng)險(xiǎn)等級(jí)[1]、安全信用指數(shù)[2]、安全和隱私風(fēng)險(xiǎn)[3]、可信度[4]、隱私風(fēng)險(xiǎn)評(píng)分[5]等。評(píng)估目標(biāo)不一致，評(píng)估要素的選擇也不同。在單一準(zhǔn)則評(píng)估系統(tǒng)中，文獻(xiàn)[1]使用申請(qǐng)的權(quán)限，文獻(xiàn)[6-7]選擇了調(diào)用的API接口。文獻(xiàn)[8]將權(quán)限集分解為具有惡意傾向的組合權(quán)限、“溢權(quán)”問題和自定義權(quán)限，通過層次分析法來評(píng)估應(yīng)用的風(fēng)險(xiǎn)值。多準(zhǔn)則評(píng)估系統(tǒng)通常將權(quán)限與其他要素相結(jié)合，如文獻(xiàn)[9]的準(zhǔn)則為權(quán)限和系統(tǒng)API調(diào)用，文獻(xiàn)[10]采用了權(quán)限、Intent action以及是否使用第三方庫。除了對(duì)應(yīng)用程序進(jìn)行靜態(tài)分析，一些方法還從應(yīng)用市場上尋找相關(guān)元數(shù)據(jù)，如文獻(xiàn)[2]將權(quán)限、認(rèn)證強(qiáng)度和第三方市場違規(guī)記錄作為指標(biāo)，文獻(xiàn)[4]則結(jié)合了權(quán)限、市場收集質(zhì)量、流行度。

有許多工作通過概率生成[1]、信息熵[6]、卡方檢驗(yàn)[9-10]、互信息[11]等方法，計(jì)算要素與應(yīng)用程序性質(zhì)的相關(guān)性來衡量要素的風(fēng)險(xiǎn)值。文獻(xiàn)[7]將API調(diào)用頻率的客觀風(fēng)險(xiǎn)與專家主觀風(fēng)險(xiǎn)賦值相結(jié)合，給出要素的綜合安全等級(jí)。文獻(xiàn)[10]不僅考慮單個(gè)要素的風(fēng)險(xiǎn)，還額外考慮了某些危險(xiǎn)要素組合的風(fēng)險(xiǎn)。文獻(xiàn)[5]和RiskMon[12]利用機(jī)器學(xué)習(xí)技術(shù)構(gòu)建回歸模型，預(yù)測應(yīng)用程序的風(fēng)險(xiǎn)評(píng)分。

挖掘應(yīng)用程序的兩種比較對(duì)象之間的關(guān)系也是一種有效的風(fēng)險(xiǎn)評(píng)估手段。文獻(xiàn)[12]衡量用戶的大致期望與應(yīng)用實(shí)際行為之間的差異，WHYPER[13]比較應(yīng)用程序描述和權(quán)限使用之間的差異，文獻(xiàn)[14]挖掘應(yīng)用類別與權(quán)限之間的關(guān)系，將同一類別中安全等級(jí)相同的應(yīng)用聚集成種群。上述工作均是針對(duì)應(yīng)用程序的安全風(fēng)險(xiǎn)評(píng)估，文獻(xiàn)[15]在此基礎(chǔ)上識(shí)別用戶的隱私風(fēng)險(xiǎn)，進(jìn)而通過大規(guī)模樣本數(shù)據(jù)構(gòu)建中國隱私風(fēng)險(xiǎn)指數(shù)體系。

根據(jù)以上信息，筆者認(rèn)為大部分現(xiàn)有的Android程序風(fēng)險(xiǎn)評(píng)估研究存在以下不足：①評(píng)估因素的數(shù)量、種類較少；②簡單地使用與因素頻率相關(guān)的統(tǒng)計(jì)值來為其進(jìn)行安全風(fēng)險(xiǎn)賦值；③根據(jù)經(jīng)驗(yàn)判斷因素權(quán)重，甚至根本不考慮因素權(quán)重。為此，本文提出一種Android應(yīng)用程序的安全風(fēng)險(xiǎn)評(píng)估框架，從系統(tǒng)權(quán)限、API調(diào)用、Intent Filter的action屬性以及數(shù)據(jù)流4個(gè)方面綜合衡量應(yīng)用程序的安全風(fēng)險(xiǎn)，給出定量和定性的評(píng)估結(jié)果。本文將所有因素根據(jù)操作對(duì)象進(jìn)行分類，并通過對(duì)象與不同安全威脅之間的關(guān)系進(jìn)行風(fēng)險(xiǎn)計(jì)算，由此得到安全風(fēng)險(xiǎn)值。此外，為了衡量7個(gè)不同的因素子集在應(yīng)用總風(fēng)險(xiǎn)計(jì)算中所占的比重，本文設(shè)計(jì)了一種基于層次聚類的因素子集權(quán)重分配算法，并在此基礎(chǔ)上，給出應(yīng)用程序的安全風(fēng)險(xiǎn)計(jì)算方式。

2 風(fēng)險(xiǎn)因素

2.1 Android應(yīng)用程序的安全威脅

參考中國互聯(lián)網(wǎng)協(xié)會(huì)反網(wǎng)絡(luò)病毒聯(lián)盟制定的《移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范》[16]，本文將Android應(yīng)用程序面臨的安全威脅分為8種，并按危害程度進(jìn)行排序，如表1所示。值得注意的是，這些安全威脅均在用戶不知情或未授權(quán)的情況下發(fā)生。每個(gè)Android應(yīng)用程序可能會(huì)面臨不止一種安全威脅。

惡意軟件要實(shí)施上述安全威脅，需要對(duì)相關(guān)事件進(jìn)行監(jiān)聽或?qū)χ匾Y源進(jìn)行請(qǐng)求。對(duì)于普通應(yīng)用程序而言，開發(fā)人員需要為其功能實(shí)現(xiàn)進(jìn)行相應(yīng)的聲明，雖然主觀上不會(huì)故意對(duì)用戶造成安全威脅，但此舉同樣會(huì)給應(yīng)用程序帶來風(fēng)險(xiǎn)。

2.2 風(fēng)險(xiǎn)舉例

為了更好地闡述設(shè)計(jì)思路，本文以圖1中某種風(fēng)險(xiǎn)行為的代碼為例進(jìn)行說明。該行為主要是從設(shè)備的GPS硬件讀取地理位置，并將相關(guān)信息寫入短信發(fā)送出去。如圖1(a)所示，這一操作首先需要利用get Last Known Location(Location Manager. GPS_PROVIDER)（L2）接口來訪問用戶的最新地理位置，從而得到此時(shí)的經(jīng)緯度信息（L3~L5），然后利用send Text Message函數(shù)（L7）發(fā)送含有該信息的SMS消息。因此，存在一條從數(shù)據(jù)源get Last Known Location到泄露點(diǎn)send Text Message的數(shù)據(jù)流。除此以外，應(yīng)用程序需要在配置文件AndroidManifest.xml中申請(qǐng)相應(yīng)的權(quán)限，如圖1(b)中3個(gè)權(quán)限分別用于訪問GPS硬件，確保應(yīng)用在開機(jī)后自動(dòng)運(yùn)行和發(fā)送短信。為此，應(yīng)用程序還需要為一個(gè)Broadcast Receiver組件聲明action屬性為android.intent.action. BOOT_ COMPLETED的Intent Filter，以監(jiān)聽系統(tǒng)啟動(dòng)廣播并啟動(dòng)實(shí)施這一風(fēng)險(xiǎn)行為的Activity組件。

表1 安全威脅概述

圖1 風(fēng)險(xiǎn)行為舉例

Figure 1 Example of risky behavior

由此可見，Android應(yīng)用程序的風(fēng)險(xiǎn)行為與系統(tǒng)權(quán)限、API調(diào)用、Intent Filter的action屬性以及數(shù)據(jù)流密切相關(guān)，因此本文將這4個(gè)方面作為風(fēng)險(xiǎn)評(píng)估的考慮因素。在確定評(píng)估因素之后，本文的Android應(yīng)用風(fēng)險(xiǎn)評(píng)估系統(tǒng)需要圍繞兩個(gè)方面展開：一是如何為各個(gè)因素賦予安全風(fēng)險(xiǎn)值，二是判斷不同種類因素對(duì)應(yīng)用總風(fēng)險(xiǎn)造成的影響。

3 系統(tǒng)設(shè)計(jì)

本文的Android應(yīng)用程序風(fēng)險(xiǎn)評(píng)估框架由以下4個(gè)部分組成，如圖2所示。

1) 因素提取：給定Android應(yīng)用程序，借助靜態(tài)分析工具對(duì)APK文件進(jìn)行分析，提取與風(fēng)險(xiǎn)評(píng)估相關(guān)的各種因素。

2) 因素風(fēng)險(xiǎn)賦值：考慮Android系統(tǒng)中25個(gè)安全事件的可操作對(duì)象，按其與8種安全威脅之間的關(guān)聯(lián)來分別計(jì)算風(fēng)險(xiǎn)值。以這些對(duì)象為基準(zhǔn)將提取的因素分類，由此得到各因素對(duì)應(yīng)的風(fēng)險(xiǎn)值。

3) 因素子集權(quán)重分配：由于7個(gè)因素子集在風(fēng)險(xiǎn)評(píng)估中發(fā)揮的作用不同，采用一種基于層次聚類的權(quán)重分配算法來衡量各因素子集的權(quán)重。

4) 應(yīng)用風(fēng)險(xiǎn)評(píng)估：根據(jù)因素的分布情況、所屬對(duì)象的風(fēng)險(xiǎn)值與各因素子集的權(quán)重，可以對(duì)Android應(yīng)用程序的安全風(fēng)險(xiǎn)進(jìn)行定性和定量評(píng)估。

3.1 因素提取

為了獲得Android應(yīng)用程序的相關(guān)信息，本文借助靜態(tài)分析工具Androguard[17]和FlowDroid[18]對(duì)APK文件進(jìn)行分析，提取系統(tǒng)權(quán)限、API調(diào)用、Intent Filter的action屬性以及數(shù)據(jù)流這4類因素。應(yīng)用程序在Android系統(tǒng)中進(jìn)行各種安全操作，最終都要通過調(diào)用系統(tǒng)API來具體實(shí)現(xiàn)，受到權(quán)限保護(hù)的API調(diào)用往往具有更高的風(fēng)險(xiǎn)性，應(yīng)用程序需要在配置文件中申請(qǐng)相應(yīng)的權(quán)限。組件通過注冊(cè)Intent Filter來監(jiān)聽關(guān)注的事件，action屬性直接表明了要執(zhí)行的動(dòng)作名稱，這些動(dòng)作通常會(huì)引發(fā)一些安全風(fēng)險(xiǎn)。數(shù)據(jù)流由數(shù)據(jù)源和數(shù)據(jù)泄露點(diǎn)組成，分別稱為source和sink函數(shù)，它們是一對(duì)API接口，不同的組合會(huì)產(chǎn)生不同程度的安全影響。具體的風(fēng)險(xiǎn)評(píng)估因素組成如表2所示。

圖2 系統(tǒng)設(shè)計(jì)

Figure 2 System design

表2 評(píng)估因素組成

3.2 因素風(fēng)險(xiǎn)賦值

根據(jù)Android安全領(lǐng)域的相關(guān)研究，本文列舉了25個(gè)Android系統(tǒng)中與安全事件相關(guān)的可操作對(duì)象，涉及Android移動(dòng)安全的方方面面。本文提取的因素與這些對(duì)象息息相關(guān)，可以依據(jù)對(duì)象將相關(guān)因素進(jìn)行分類，以便更好地為因素賦予安全風(fēng)險(xiǎn)值。

本文主要借鑒《移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范》來確定因素風(fēng)險(xiǎn)值。表1將8種安全威脅按危害程度由大到小進(jìn)行排序，本文依次賦予8-1的危害等級(jí)，并基于對(duì)象與安全威脅之間的關(guān)系來判斷對(duì)象的安全風(fēng)險(xiǎn)。同一操作對(duì)象可能受到不止一種安全威脅，本文將排名最高的安全威脅稱為對(duì)象的主安全威脅，它直接決定了對(duì)象的風(fēng)險(xiǎn)等級(jí)。除此以外，其余的相關(guān)安全威脅也要在對(duì)象的安全風(fēng)險(xiǎn)中有所體現(xiàn)。具體來說，主安全威脅的危害等級(jí)為對(duì)象的風(fēng)險(xiǎn)等級(jí)；計(jì)算其余安全威脅的危害等級(jí)之和占排名在主安全威脅之后所有安全威脅危害等級(jí)之和的比重，稱為風(fēng)險(xiǎn)加成。

根據(jù)《移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范》中對(duì)各安全威脅典型行為的具體描述，本文將各操作對(duì)象對(duì)應(yīng)的安全威脅列舉如下，并給出風(fēng)險(xiǎn)計(jì)算結(jié)果，如表3所示。

表3 安全操作對(duì)象風(fēng)險(xiǎn)賦值

可以觀察到，這些安全威脅均離不開NETWORK對(duì)象，它在構(gòu)成風(fēng)險(xiǎn)行為方面有著最廣泛的使用，因此風(fēng)險(xiǎn)值具有最高的100分。相比之下，SETTING和TEST對(duì)象僅與系統(tǒng)破壞有關(guān)，而系統(tǒng)破壞的危害程度排名第六，相對(duì)來說危害較小，因此這兩個(gè)對(duì)象的風(fēng)險(xiǎn)值最低。將因素依據(jù)對(duì)象進(jìn)行分類，系統(tǒng)權(quán)限、API調(diào)用、Intent Filter action的風(fēng)險(xiǎn)值即為所屬對(duì)象的風(fēng)險(xiǎn)值，數(shù)據(jù)流的風(fēng)險(xiǎn)值取決于對(duì)應(yīng)source和sink API中的較高風(fēng)險(xiǎn)值。

3.3 因素子集權(quán)重分配

本文根據(jù)因素與安全威脅之間的聯(lián)系來評(píng)定安全風(fēng)險(xiǎn)，無論是權(quán)限、API調(diào)用、Intent Filter action還是數(shù)據(jù)流，只要屬于同一對(duì)象都具有相同的安全風(fēng)險(xiǎn)值。例如，與BLUETOOTH對(duì)象相關(guān)的因素有：①系統(tǒng)權(quán)限BLUETOOTH；②受BLUETOOTH權(quán)限保護(hù)的API調(diào)用，如android. bluetooth.BluetoothAdapter類的disable函數(shù)，起到關(guān)閉藍(lán)牙的效果；③Intent Filter的action屬性android. bluetooth.adapter.action.STATE_CHANGED，供Broadcast Receiver組件聲明，監(jiān)聽藍(lán)牙的狀態(tài)變化；④讀取藍(lán)牙數(shù)據(jù)或?qū)⑿畔乃{(lán)牙泄露出去的數(shù)據(jù)流，即source或sink函數(shù)為受BLUETOOTH保護(hù)的API調(diào)用。除數(shù)據(jù)流需權(quán)衡source與sink兩方面風(fēng)險(xiǎn)外，其他因素均享有與BLUETOOTH對(duì)象相同的風(fēng)險(xiǎn)值55.6。

然而，不同種類因素具有不同的性質(zhì)，而某些因素集也可以進(jìn)一步細(xì)分，因此每種因素的實(shí)際影響不能一概而論。本文為表2中7個(gè)因素子集設(shè)計(jì)了一種權(quán)重分配算法，根據(jù)依次移去某一因素子集后數(shù)據(jù)集層次聚類產(chǎn)生的偏差對(duì)其進(jìn)行權(quán)重賦值。

3.4 應(yīng)用程序風(fēng)險(xiǎn)評(píng)估

為了更好地進(jìn)行Android應(yīng)用程序風(fēng)險(xiǎn)評(píng)估，本文通過矩陣的形式來表達(dá)風(fēng)險(xiǎn)計(jì)算的過程。首先，為每個(gè)應(yīng)用程序建立因素分布矩陣，以便描述其中包含因素所屬的子集及對(duì)象類別的分布情況。然后，將因素分布矩陣進(jìn)行歸一化，即可得到便于計(jì)算的因素頻率分布矩陣。此外，需要將3.2節(jié)給出的對(duì)象風(fēng)險(xiǎn)值以及3.3節(jié)求得的因素子集權(quán)重轉(zhuǎn)化為向量的形式。

定義2 因素分布矩陣= (f)描述各因素子集中因素的分布情況，其中為因素子集的數(shù)量，為對(duì)象數(shù)量，元素f為第個(gè)因素子集中含有屬于第個(gè)對(duì)象類別的因素個(gè)數(shù)（1≤≤，1≤≤）。在本文的工作中，=7，=25。

定義3 因素頻率分布矩陣= (q)描述各因素子集中因素的頻率分布，其中

定義4 對(duì)象風(fēng)險(xiǎn)向量= [1,2, …,o]是所有對(duì)象的安全風(fēng)險(xiǎn)值組成的集合，其中為對(duì)象數(shù)量，元素o代表第個(gè)對(duì)象的安全風(fēng)險(xiǎn)值（1≤≤）。

定義5 權(quán)重分布向量= [1,2, …,w]是所有因素子集的權(quán)重組成的集合，其中為因素子集數(shù)量，元素w代表第個(gè)因素子集的權(quán)重（1≤≤）。

由因素頻率分布矩陣和對(duì)象風(fēng)險(xiǎn)向量可計(jì)算因素子集風(fēng)險(xiǎn)向量

其中，r代表第個(gè)因素子集的安全風(fēng)險(xiǎn)值（1≤≤）。

進(jìn)一步，由因素子集風(fēng)險(xiǎn)向量和權(quán)重分布向量可計(jì)算應(yīng)用程序的安全風(fēng)險(xiǎn)值

最終得到的是一個(gè)百分制的數(shù)值，即定量評(píng)估結(jié)果。

參考GB/T 20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》[19]，本文將Android應(yīng)用程序的安全風(fēng)險(xiǎn)劃分為5個(gè)等級(jí)，分別標(biāo)識(shí)為很低、低、中等、高、很高，并定義風(fēng)險(xiǎn)值與等級(jí)的關(guān)系：當(dāng)?[0, 20]時(shí)，風(fēng)險(xiǎn)等級(jí)為1；當(dāng)?(20, 40]時(shí)，風(fēng)險(xiǎn)等級(jí)為2；當(dāng)?(40, 60]時(shí)，風(fēng)險(xiǎn)等級(jí)為3；當(dāng)?(60, 80]時(shí)，風(fēng)險(xiǎn)等級(jí)為4；當(dāng)?(80, 100]時(shí)，風(fēng)險(xiǎn)等級(jí)為5。

4 基于層次聚類的因素子集權(quán)重分配

上文闡述了Android應(yīng)用程序的安全風(fēng)險(xiǎn)評(píng)估框架，涉及的7個(gè)因素子集都發(fā)揮了一定的作用。然而，各因素子集對(duì)安全風(fēng)險(xiǎn)評(píng)估的貢獻(xiàn)是不同的，因此有必要設(shè)計(jì)一個(gè)權(quán)重分配算法來衡量它們的重要性。本文算法的主要思想是，因素子集的權(quán)重能夠反映它對(duì)安全風(fēng)險(xiǎn)評(píng)估結(jié)果的影響程度，而這一影響可以量化為完整因素集與缺少該因素子集時(shí)，應(yīng)用程序安全風(fēng)險(xiǎn)評(píng)分造成的聚類效果之差。下面依次介紹層次聚類算法、最優(yōu)聚類選擇、聚類相似度計(jì)算方法，并在此基礎(chǔ)上引出本文的權(quán)重分配算法。圖3是因素子集權(quán)重分配的流程示意，最終可以得到因素子集的權(quán)重分布向量。

4.1 層次聚類算法

聚類是一種重要的無監(jiān)督機(jī)器學(xué)習(xí)方法，用于挖掘大量樣本之間未知的內(nèi)在關(guān)聯(lián)。層次聚類是一種常見的聚類原型，具有操作簡單、對(duì)噪聲數(shù)據(jù)不敏感、不依賴于初始值的選擇等優(yōu)點(diǎn)。本文采用一種稱為聚合嵌套（AGNES，agglomerative nesting）[20]的凝聚式層次聚類方法，基本步驟如下：①將每個(gè)樣本都視為一個(gè)單獨(dú)的類簇；②計(jì)算類簇之間的相似度；③在所有類簇中，將具有最大相似度的兩個(gè)類簇合并成一個(gè)新類簇；④計(jì)算新類簇與其他類簇之間的相似度；⑤重復(fù)第③、④步直至達(dá)到終止條件。下面給出算法的實(shí)現(xiàn)細(xì)節(jié)。

（1）算法輸入：根據(jù)3.4節(jié)給出的公式，分別計(jì)算數(shù)據(jù)集中每個(gè)樣本的因素子集風(fēng)險(xiǎn)向量，進(jìn)一步得到數(shù)據(jù)集風(fēng)險(xiǎn)分布矩陣作為AGNES算法的輸入。由于需要衡量因素子集在安全風(fēng)險(xiǎn)評(píng)估中發(fā)揮的作用，因而以因素子集的安全風(fēng)險(xiǎn)值為特征，由此聚集的類簇是各因素子集安全風(fēng)險(xiǎn)值類似的樣本團(tuán)體。

定義6 數(shù)據(jù)集風(fēng)險(xiǎn)分布矩陣= (d)描述各樣本中因素子集的風(fēng)險(xiǎn)分布情況，其中，為數(shù)據(jù)集中的樣本數(shù)量，為因素子集的數(shù)量，元素d代表第個(gè)樣本中第個(gè)因素子集的安全風(fēng)險(xiǎn)值（1≤≤，1≤≤）。

（2）類簇相似度：本文用類簇之間的距離來衡量它們的相似度，距離越小，相似度越大。類簇之間的距離應(yīng)當(dāng)以某兩個(gè)樣本之間的距離來表示，本文采用一種稱為豪斯多夫距離的計(jì)算方法，可以度量兩個(gè)類簇間的最大不匹配程度。式(5)和式(6)給出類簇、之間的豪斯多夫距離

其中，(,)代表樣本、之間的距離，本文采用歐氏距離。

定義7 類簇距離矩陣描述第k層兩兩類簇之間的相似度，其中，k為生成新類簇的迭代次數(shù)，nk為此時(shí)的類簇?cái)?shù)量，元素eij代表第i個(gè)類簇與第j個(gè)類簇之間的距離。當(dāng)進(jìn)行迭代時(shí)，從當(dāng)前矩陣中尋找大于0的最小元素，將對(duì)應(yīng)的兩個(gè)類簇合并成一個(gè)整體，并計(jì)算新的距離來替代與原先兩個(gè)類簇有關(guān)的元素。

Figure 3 Weight distribution process of factor subsets

（3）最大相似度不唯一的處理：當(dāng)最大相似度不唯一時(shí)，列舉出所有具有最大相似度的樣本對(duì)，然后隨機(jī)選擇一對(duì)樣本合并成一個(gè)類簇，并將涉及這兩個(gè)樣本的所有樣本對(duì)刪除。重復(fù)此過程直至沒有樣本對(duì)存在。

（4）終止條件：設(shè)定生成的類簇?cái)?shù)量或限定類簇間的最大距離是兩種常見的終止條件，但是都很難在算法執(zhí)行之前人工確定。因此，本文完整地執(zhí)行算法流程直到所有類簇聚合成一個(gè)整體，再判斷最合適的聚類層次。

（5）算法輸出：執(zhí)行上述步驟，最終可以得到一個(gè)樹狀的聚類層次結(jié)構(gòu)圖。每一層上的類簇組成、類簇?cái)?shù)量以及類簇之間的距離都有所體現(xiàn)，可以基于實(shí)際需要選擇限制條件，獲取此時(shí)的社區(qū)結(jié)構(gòu)。

4.2 最優(yōu)聚類選擇

由AGNES算法的輸出可以得到，數(shù)據(jù)集在不同層次上有著不同的聚類結(jié)構(gòu)。為了確定最優(yōu)的聚類方式，本文以層次為單位考察聚類結(jié)果，分別度量其性能。一個(gè)好的聚類劃分，應(yīng)當(dāng)保證屬于同一簇的樣本相似度較高，而不同簇樣本的相似度較低。本文采用一種稱為DB指數(shù)[20]的內(nèi)部指標(biāo)，在沒有外部參考模型的情況下衡量簇內(nèi)緊密程度和簇間分散程度。

因此，第層聚類的DB指數(shù)可以表達(dá)為

DB指數(shù)的值越小，聚類效果越好。比較不同層次的DB指數(shù)，具有最小值的聚類方式即為最優(yōu)聚類。

4.3 聚類相似度計(jì)算

FM指數(shù)[20]可用于評(píng)判兩種聚類方式之間的相似程度，它的計(jì)算公式為

FM指數(shù)的值位于[0,1]內(nèi)，其值越大，說明兩者越相似。

4.4 權(quán)重分配算法

以層次聚類算法、最優(yōu)聚類選擇和聚類相似度計(jì)算為基礎(chǔ)，算法1給出了基于層次聚類的因素子集權(quán)重分配算法，主要依據(jù)因素子集在以安全風(fēng)險(xiǎn)值為標(biāo)準(zhǔn)的聚類劃分中發(fā)揮的作用來評(píng)定權(quán)重。

算法1 因素的權(quán)重分配算法

輸入0——數(shù)據(jù)集風(fēng)險(xiǎn)分布矩陣

輸出——權(quán)重分布向量

Procedure Factor_WeightDistribution

begin

CT0←AGNES(0)

OC0←OptimalCluster(CT0)

for(=1,<+1,++) do

begin

1?FMI

end

即可得到因素子集的權(quán)重分布向量。

5 實(shí)驗(yàn)分析

為了說明本文方法的有效性，將其與靜態(tài)分析工具Androguard進(jìn)行比較。實(shí)驗(yàn)結(jié)果表明，Androguard的風(fēng)險(xiǎn)評(píng)估存在明顯不合理之處，而本文方法更能反映Android應(yīng)用程序的實(shí)際風(fēng)險(xiǎn)。

5.1 實(shí)驗(yàn)數(shù)據(jù)集

為了更好地觀察良性應(yīng)用與惡意軟件的安全風(fēng)險(xiǎn)，本文收集了Android Malware Genome Project[21]的惡意軟件，并在華為應(yīng)用市場上下載了各個(gè)類別的流行Android應(yīng)用程序。同時(shí)，為確保良性樣本真實(shí)可靠，本文將市場應(yīng)用發(fā)送到VirusTotal[22]進(jìn)行檢查。當(dāng)VirusTotal的所有反病毒掃描程序均未檢測到異常時(shí)，該應(yīng)用程序被認(rèn)為是良性樣本。最終，本文的數(shù)據(jù)集由包含49個(gè)家族的1 260個(gè)惡意軟件，以及涉及華為市場17個(gè)類別的1 340個(gè)良性應(yīng)用組成，共計(jì)2 600個(gè)實(shí)驗(yàn)樣本。

5.2 權(quán)重分布

本文提取數(shù)據(jù)集中樣本的相關(guān)因素，并采用基于層次聚類的權(quán)重分配算法來計(jì)算各因素子集的權(quán)重，以識(shí)別各因素子集對(duì)Android應(yīng)用程序總風(fēng)險(xiǎn)評(píng)估的重要性。該方法將因素子集的影響量化為完整因素集與缺少該因素子集時(shí)安全風(fēng)險(xiǎn)評(píng)分的樣本聚類效果差別，主要通過層次聚類、最優(yōu)聚類選擇、聚類相似度計(jì)算、歸一化等步驟完成。算法利用python語言編程實(shí)現(xiàn)，運(yùn)行結(jié)果如表4所示?？梢钥吹?，權(quán)限及其保護(hù)的API調(diào)用在風(fēng)險(xiǎn)評(píng)估中具有較為重要的作用，此外，Broadcast Receiver關(guān)注的廣播事件也是風(fēng)險(xiǎn)評(píng)估的關(guān)鍵因素。

表4 權(quán)重分布

5.3 樣本風(fēng)險(xiǎn)評(píng)估

Androguard的Androrisk.py模塊可以對(duì)應(yīng)用程序的APK文件進(jìn)行風(fēng)險(xiǎn)評(píng)分，通過Fuzzy算法從DEX代碼、APK文件、權(quán)限3個(gè)方面進(jìn)行計(jì)算。相比之下，本文選擇的評(píng)估因素種類更為豐富，不同類因素對(duì)總風(fēng)險(xiǎn)影響的權(quán)重分配更為合理，而Androguard簡單地統(tǒng)計(jì)了一些孤立的因素且沒有分配權(quán)重，導(dǎo)致其風(fēng)險(xiǎn)評(píng)估模型較為粗糙。

（1）惡意樣本

在本文的數(shù)據(jù)集中，共有122個(gè)樣本屬于惡意軟件家族BaseBridge，Androguard對(duì)它們的平均風(fēng)險(xiǎn)評(píng)分為62，并且存在大量達(dá)到91最高分的家族成員，但有6個(gè)樣本的風(fēng)險(xiǎn)評(píng)分為0。在這些0分的惡意樣本中，以SHA-1哈希值為7c0af89dd083b97db3dd70b7a2329c4a21a2c592的APK文件為例，表5說明了其中存在的風(fēng)險(xiǎn)因素，并給出風(fēng)險(xiǎn)計(jì)算結(jié)果。

根據(jù)表5中的數(shù)據(jù)，可以計(jì)算因素子集風(fēng)險(xiǎn)向量= [37, 37, 100, 59, 0, 0,76]，得到該惡意樣本的安全風(fēng)險(xiǎn)值= 43，風(fēng)險(xiǎn)等級(jí)為3。BaseBridge家族的惡意軟件通常會(huì)在用戶不知情的情況下進(jìn)行以下行為：①將與設(shè)備ID有關(guān)的信息發(fā)送到遠(yuǎn)程服務(wù)器；②通過撥號(hào)、發(fā)短信等手段訂購增值服務(wù)，并攔截運(yùn)營商的確認(rèn)短信；③殺死設(shè)備中運(yùn)行的安全軟件進(jìn)程。與BaseBridge家族的其他成員相比，該樣本的惡意行為簡單得多，主要是使屏幕關(guān)閉之后仍然在后臺(tái)運(yùn)行，通過聯(lián)網(wǎng)接收遠(yuǎn)程服務(wù)器的指令實(shí)施操作。因此，本文的評(píng)估框架判定該惡意樣本的安全風(fēng)險(xiǎn)值為43（中等風(fēng)險(xiǎn)）是比較合理的。

（2）良性樣本

圖4顯示了華為應(yīng)用市場分類下良性樣本的Androguard安全風(fēng)險(xiǎn)評(píng)分情況。可以看到，Androguard對(duì)許多良性應(yīng)用給出100分的風(fēng)險(xiǎn)值，幾乎涵蓋各個(gè)類別。Androguard的風(fēng)險(xiǎn)評(píng)定范圍為0~100，從這個(gè)意義上說100是理論上才會(huì)達(dá)到的風(fēng)險(xiǎn)值，將如此多的良性應(yīng)用判定為最高風(fēng)險(xiǎn)值是不太科學(xué)的。

圖4 良性應(yīng)用的Androguard風(fēng)險(xiǎn)評(píng)分

Figure 4 Risk score distribution of benign applications given by Androguard

在這些100分的良性樣本中，以SHA-1哈希值為ff5a77e5dce38bbc2e9f46eb031bb435d8c052 40的APK文件為例說明其中存在的風(fēng)險(xiǎn)因素，并給出風(fēng)險(xiǎn)計(jì)算結(jié)果。由于該樣本具有較多的風(fēng)險(xiǎn)因素，本文在表6中分3個(gè)子表顯示，并且對(duì)部分因素進(jìn)行了概括。

根據(jù)表6中的數(shù)據(jù)，可以計(jì)算因素子集風(fēng)險(xiǎn)向量= [70,80, 0,77, 0,55,56]，得到該良性樣本的安全風(fēng)險(xiǎn)值= 52，風(fēng)險(xiǎn)等級(jí)為3。與表5相比，該樣本因功能需要而具有更多的風(fēng)險(xiǎn)因素，但相對(duì)來說因素子集的風(fēng)險(xiǎn)分布較為平均，因此本文的評(píng)估框架判定它的風(fēng)險(xiǎn)值為52，略高于前一樣本，但同樣是中等風(fēng)險(xiǎn)應(yīng)用。通過以上兩個(gè)例子可以說明，本文的風(fēng)險(xiǎn)評(píng)估結(jié)果有側(cè)重地受到所有因素子集的影響，綜合考慮了應(yīng)用程序中各個(gè)因素的分布情況，因此可以更合理地給出風(fēng)險(xiǎn)評(píng)分，不會(huì)出現(xiàn)較為極端的情況。

表5 示例惡意樣本的風(fēng)險(xiǎn)因素

表6 示例良性樣本的風(fēng)險(xiǎn)因素

(b) 因素子集2中的相關(guān)因素

5.4 性能開銷

本文在一臺(tái)搭載6核1.10 GHz的Intel Core i7-10710U處理器和16 GB內(nèi)存的筆記本計(jì)算機(jī)上進(jìn)行實(shí)驗(yàn)，運(yùn)行時(shí)間開銷主要分為因素提取、矩陣的生成與計(jì)算、權(quán)重分配3部分。首先，在靜態(tài)分析工具Androguard和FlowDroid的幫助下，平均為每個(gè)應(yīng)用程序提取因素的時(shí)間為23.7 s。然后，分類并生成對(duì)應(yīng)的因素分布矩陣，據(jù)此計(jì)算出因素頻率分布矩陣、因素子集風(fēng)險(xiǎn)向量，平均用時(shí)4.8 s。其次，根據(jù)數(shù)據(jù)集所有樣本的因素子集風(fēng)險(xiǎn)向量運(yùn)行基于層次聚類的權(quán)重分配算法。這一過程涉及大量計(jì)算與比較，在運(yùn)行了56 h之后，得到了權(quán)重分布向量。權(quán)重分配算法只需運(yùn)行一次。此后，對(duì)于任意應(yīng)用程序而言，只需經(jīng)過因素提取、矩陣生成、風(fēng)險(xiǎn)計(jì)算步驟即可得到風(fēng)險(xiǎn)評(píng)估結(jié)果，瓶頸主要在于因素提取。圖5表明在給定的單個(gè)樣本評(píng)估時(shí)間內(nèi)，數(shù)據(jù)集中有多少應(yīng)用程序可以完成風(fēng)險(xiǎn)評(píng)估結(jié)果。

圖5 樣本風(fēng)險(xiǎn)評(píng)估耗時(shí)分布

Figure 5 Time distribution of risk assessment for the dataset

6 結(jié)束語

評(píng)估Android應(yīng)用程序造成的風(fēng)險(xiǎn)是移動(dòng)安全領(lǐng)域中一個(gè)非常重要的研究方向。本文提出一種基于系統(tǒng)權(quán)限、API調(diào)用、Intent Filter的action屬性以及數(shù)據(jù)流等多因素的Android應(yīng)用程序風(fēng)險(xiǎn)評(píng)估方法，能夠給出定量的風(fēng)險(xiǎn)值和定性的風(fēng)險(xiǎn)等級(jí)，具有較強(qiáng)的可擴(kuò)展性。將評(píng)估因素進(jìn)一步細(xì)分為7個(gè)因素子集，全面地展示了應(yīng)用程序的風(fēng)險(xiǎn)來源。根據(jù)與安全事件有關(guān)的操作對(duì)象將因素進(jìn)行分類，參考《移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范》并結(jié)合對(duì)象與安全威脅的關(guān)系來計(jì)算對(duì)象風(fēng)險(xiǎn)，以便為因素賦予安全風(fēng)險(xiǎn)值。為了識(shí)別不同因素子集對(duì)應(yīng)用風(fēng)險(xiǎn)評(píng)估的影響，本文提出一種基于層次聚類的權(quán)重分配算法，使評(píng)估結(jié)果更加合理。實(shí)驗(yàn)表明，本文的評(píng)估方法能夠有效地反映出Android應(yīng)用的真實(shí)風(fēng)險(xiǎn)，可幫助用戶選擇風(fēng)險(xiǎn)更低的應(yīng)用。

[1]PENG H, GATES C, SARMA B, et al. Using probabilistic generative models for ranking risks of Android Apps[C]//The 19th ACM Conference on Computer and Communications Security (CCS). 2012: 241-252.

[2]徐君鋒, 王嘉捷, 朱克雷, 等. 基于AHP的安卓應(yīng)用安全信用指數(shù)度量方法[J]. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2018, 58(2): 131-136.

XU J F, WANG J J, ZHU K L, et al. Credit index measurement method for Android application security based on AHP[J]. Journal of Tsinghua University(Science and Technology), 2018, 58(2): 131-136.

[3]RAHMAN A, PRADHAN P, PARTHO A, et al. Predicting Android application security and privacy risk with static code metrics[C]//2017 IEEE International Conference on Mobile Software Engineering and Systems. 2017: 149-153.

[4]DINI G, MARTINELLI F, MATYEUCCI I, et al. Risk analysis of Android applications: a user-centric solution[J]. Future Generation Computer Systems, 2018, 80: 505-518.

[5]張賢賢. 安卓應(yīng)用隱私評(píng)分技術(shù)的研究與實(shí)現(xiàn)[D]. 北京: 北京郵電大學(xué), 2018.

ZHANG X X. Research and implementation of Android application privacy rating technology[D]. Beijing: Beijing University of Posts and Telecommunications, 2018.

[6]李舟軍, 吳春明, 王嘯. 基于沙盒的 Android 應(yīng)用風(fēng)險(xiǎn)行為分析與評(píng)估[J]. 清華大學(xué)學(xué)報(bào)(自然科學(xué)版), 2016, 56(5): 453-460.

LI Z J, WU C M, WANG X. Analysis and assessment of Android application’s risk behavior based on sandbox[J]. Journal of Tsinghua University (Science and Technology), 2016, 56(5): 453-460.

[7]余小秋. 基于行為分析的Android應(yīng)用程序安全評(píng)估技術(shù)研究與系統(tǒng)設(shè)計(jì)[D]. 北京: 北京郵電大學(xué), 2015.

YU X Q. The research and system design of Android application's safety assessment based on behavior analysis[D]. Beijing: Beijing University of Posts and Telecommunications, 2015.

[8]卜同同, 曹天杰. 基于權(quán)限的Android應(yīng)用風(fēng)險(xiǎn)評(píng)估方法[J]. 計(jì)算機(jī)應(yīng)用, 2019, 39(1): 131-135.

BU T T, CAO T J. Risk assessment method of Android application based on permission[J]. Journal of Computer Applications, 2019, 39(1): 131-135.

[9]王家琰. Android應(yīng)用軟件安全檢測與風(fēng)險(xiǎn)評(píng)估方法研究[D]. 鄭州: 戰(zhàn)略支援部隊(duì)信息工程大學(xué), 2018.

WANG J Y. Research on Android application security detection and risk assessment method[D]. Zhengzhou: Information Engineering University, 2018.

[10]黃心依, 曾凡平. 基于多重對(duì)應(yīng)分析的Android應(yīng)用安全等級(jí)評(píng)估[J]. 電子技術(shù), 2016, 8(18): 72-78.

HUANG X Y, ZENG F P. The security level assessment model for Android application based on multiple correspondence analysis[J]. Electronic Technology, 2016, 8(18): 72-78.

[11]魏娟. Android應(yīng)用風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 成都: 電子科技大學(xué), 2015.

WEI J. The design and implementation of application risk assessment system based on Android[D]. Chengdu: University of Electronic Science and Technology of China, 2015.

[12]JING Y, AHN G J, ZHAO Z, et al. RiskMon: Continuous and automated risk assessment of mobile applications[C]//The 4th ACM Conference on Data and Application Security and Privacy.2014: 99-110.

[13]PANDITA R, XIAO X, YANG W, et al. WHYPER: Towards automating risk assessment of mobile applications[C]//The 22th USENIX Security Symposium. 2013: 527-542.

[14]肖智婕. 面向種群的Android安全風(fēng)險(xiǎn)評(píng)估和惡意應(yīng)用檢測[D]. 武漢: 武漢科技大學(xué), 2019.

XIAO Z J. Population-based Android security risk assessment and malicious application detection[D]. Wuhan: Wuhan University of Science and Technology, 2019.

[15]孟小峰, 朱敏杰, 劉俊旭. 基于Android權(quán)限機(jī)制的應(yīng)用安全檢測方法[J]. 信息安全研究, 2019, 5(9): 778-788.

MENG X F, ZHU M J, LIU J X. Quantitative research on privacy risk of large-scale mobile users[J]. Journal of Information Security Research, 2019, 5(9): 778-788.

[16]中國互聯(lián)網(wǎng)協(xié)會(huì)反網(wǎng)絡(luò)病毒聯(lián)盟. 移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范[R]. 2011.

Anti Network-Virus Alliance of China. Specification for mobile Internet malicious code[R]. 2011.

[17]DESNOS A. Androguard documentation, release 3.3.5[R]. 2019.

[18]ARZT S, RASTHOFER S, FRITZ C, et al. FlowDroid: precise context, flow, field, object-sensitive and lifecycle-aware taint analysis for Android apps[C]//The 35th ACM SIGPLAN Conference on Programming Language Design and Implementation (PLDI). 2014: 259-269.

[19]GB/T 20984-2007, 信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].

GB/T 20984-2007, Information security technology-risk assessment specification for information security[S].

[20]周志華. 機(jī)器學(xué)習(xí)[M]. 北京: 清華大學(xué)出版社, 2016.

ZHOU Z H. Machine learning[M]. Beijing: Tsinghua University Press, 2016.

[21]ZHOU Y J, JIANG X X. Dissecting Android malware: characterization and evolution[C]//The 33rd IEEE Symposium on Security and Privacy (Oakland). 2012: 95-109.

[22]GoogleGroups. VirusTotal[EB].

Classified risk assessment method of Android application based on multi-factor clustering selection

CHAO Fan, YANG Zhi, DU Xuehui, HAN Bing

Information Engineering University, Zhengzhou 450001, China

Most existing risk assessments of Android applications directly assign weights to factors according to experience, and calculate security risks by counting the frequency statistics of few factors. A new method for risk assessment of Android applications is proposed, which can provide both quantitative and qualitative assessment. This method integrates multiple risk factors such as system permissions, API calls, the action properties of Intent Filter, and data flow. The risks of factors are assigned based on their risk classification and addition, and the weights of factor subsets are distributed based on hierarchical clustering. Experiments show that the assessment results can effectively reflect the real security risks of Android applications.

Android, risk assessment, security threat, static analysis, hierarchical clustering

TP309.2

10.11959/j.issn.2096?109x.2021023

2020?02?07；

2020?04?12

楊智，zynoah@163.com

國家重點(diǎn)研發(fā)計(jì)劃（2018YFB0803603）；國家自然科學(xué)基金（61802436）

The National Key R&D Program of China (2018YFB0803603), The National Natural Science Foundation of China (61802436)

超凡, 楊智, 杜學(xué)繪, 等. 基于多因素聚類選擇的Android應(yīng)用程序分類風(fēng)險(xiǎn)評(píng)估方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(2): 161-173.

CHAO F, YANG Z, DU X H, et al. Classificationrisk assessment method of Android applicationbased on multi-factorclustering selection [J]. Chinese Journal of Network and Information Security, 2021, 7(2): 161-173.

超凡（1995? ），女，江蘇啟東人，信息工程大學(xué)碩士生，主要研究方向?yàn)樾畔踩?、代碼信息流分析。