王思遠(yuǎn) 張仰森,2 曾健榮 黃改娟

1(北京信息科技大學(xué)智能信息處理研究所 北京 100101)

2(國(guó)家經(jīng)濟(jì)安全預(yù)警工程北京實(shí)驗(yàn)室 北京 100044)

0 引 言

Android系統(tǒng)是Google公司于2007年發(fā)布的基于Linux內(nèi)核的操作系統(tǒng)。經(jīng)過(guò)11年的優(yōu)化和升級(jí)，截至2018年8月，Google Play的應(yīng)用程序總數(shù)已超過(guò)280萬(wàn)[1]，是全球最受歡迎及市場(chǎng)占有率最高的移動(dòng)端操作系統(tǒng)。但與此同時(shí)，由于其系統(tǒng)的開(kāi)源性、自由性等特征，也使得大量的惡意應(yīng)用乘虛而入。根據(jù)相關(guān)報(bào)告[2]，Android系統(tǒng)的惡意應(yīng)用程序數(shù)量于2015年達(dá)到峰值，在隨后的幾年內(nèi)，惡意應(yīng)用程序數(shù)量雖然有所下降，但總體態(tài)勢(shì)不容樂(lè)觀。此外關(guān)于惡意應(yīng)用的檢測(cè)形式依然嚴(yán)峻，因?yàn)殡S著Android版本更新和漏洞的修補(bǔ)，惡意應(yīng)用的攻擊方法也在不斷地更新和變化。

當(dāng)前，應(yīng)用安全檢測(cè)已經(jīng)成為了一個(gè)非常熱門(mén)的研究領(lǐng)域，而且市場(chǎng)上各大安全廠商也推出了各自的安全檢測(cè)軟件，如AVG Antivirus、Lookout Security&Antivirus、Norton Mobile Security和Trend Micro Mobile Security等，但檢測(cè)結(jié)果表明，市場(chǎng)上現(xiàn)有的安全檢測(cè)軟件在惡意應(yīng)用程序的檢測(cè)方面效果不佳[3]。同時(shí)惡意應(yīng)用程序的攻擊手段也在不斷更新，這對(duì)惡意應(yīng)用檢測(cè)技術(shù)提出了更高要求。

在市場(chǎng)發(fā)展與學(xué)術(shù)界的共同推動(dòng)下，惡意應(yīng)用檢測(cè)的研究目前已形成一套較為成熟的理論成果，但學(xué)界在這一領(lǐng)域缺乏系統(tǒng)回溯與總結(jié)。本文從Android系統(tǒng)安全機(jī)制、惡意應(yīng)用程序、惡意應(yīng)用程序檢測(cè)方法等方面對(duì)惡意應(yīng)用程序檢測(cè)進(jìn)行分析，列舉總結(jié)了當(dāng)前主流廠商的安全軟件技術(shù)，并在此基礎(chǔ)上提出當(dāng)前研究的不足和今后發(fā)展方向。

1 Android系統(tǒng)的安全機(jī)制

Android系統(tǒng)是基于Linux內(nèi)核實(shí)現(xiàn)的，同時(shí)在Linux原有的安全機(jī)制基礎(chǔ)上結(jié)合移動(dòng)端的特性，設(shè)計(jì)了應(yīng)用程序簽名機(jī)制、權(quán)限機(jī)制、進(jìn)程沙箱隔離機(jī)制等安全機(jī)制，保證了應(yīng)用程序在發(fā)布、安裝和運(yùn)行過(guò)程中的安全[4]。

1.1 應(yīng)用程序簽名機(jī)制

Android應(yīng)用程序簽名機(jī)制是指在應(yīng)用程序發(fā)布時(shí)，開(kāi)發(fā)者對(duì)應(yīng)用進(jìn)行簽名和在安裝應(yīng)用程序時(shí)系統(tǒng)通過(guò)簽名對(duì)應(yīng)用進(jìn)行驗(yàn)證的機(jī)制。簽名機(jī)制有如下作用：(1) 應(yīng)用程序在未安裝時(shí)，通過(guò)數(shù)字簽名實(shí)現(xiàn)對(duì)程序的版本控制；(2) 應(yīng)用程序開(kāi)發(fā)者使用私鑰對(duì)應(yīng)用程序進(jìn)行簽名，Android系統(tǒng)使用公鑰對(duì)應(yīng)用程序進(jìn)行驗(yàn)證溯源，與程序開(kāi)發(fā)者建立信任關(guān)系；(3) 數(shù)字簽名還可以對(duì)應(yīng)用程序安裝包的完整性進(jìn)行驗(yàn)證，保證其安全。

應(yīng)用程序簽名機(jī)制有兩個(gè)版本的可選擇方案，如圖1所示。當(dāng)對(duì)應(yīng)用程序進(jìn)行簽名時(shí)，V1版本對(duì)安裝包壓縮文件的非目錄和非過(guò)濾文件進(jìn)行簽名，而V2版本則在V1版本基礎(chǔ)上對(duì)應(yīng)用程序安裝包文件整體進(jìn)行簽名。當(dāng)對(duì)應(yīng)用程序進(jìn)行驗(yàn)證時(shí)，V1版本需要解壓安裝包，然后對(duì)每個(gè)文件進(jìn)行驗(yàn)證，而V2版本直接對(duì)安裝包壓縮文件整體進(jìn)行驗(yàn)證，這種驗(yàn)證方式防止了安裝包文件被篡改，同時(shí)加快了簽名驗(yàn)證速度。應(yīng)用程序簽名機(jī)制，實(shí)現(xiàn)了對(duì)應(yīng)用重打包、應(yīng)用篡改等惡意行為的檢測(cè)和惡意應(yīng)用的過(guò)濾。

圖1 Android簽名機(jī)制

1.2 權(quán)限機(jī)制

權(quán)限機(jī)制是指應(yīng)用程序向系統(tǒng)申請(qǐng)?jiān)搼?yīng)用所需服務(wù)的權(quán)限，并根據(jù)獲取的權(quán)限運(yùn)行服務(wù)的機(jī)制。權(quán)限即定義一個(gè)對(duì)象是否具有使用系統(tǒng)某個(gè)服務(wù)的能力，權(quán)限的定義信息包括包名、標(biāo)簽、描述和保護(hù)級(jí)別。在Android特有的進(jìn)程沙箱隔離機(jī)制下，應(yīng)用程序只可訪問(wèn)當(dāng)前UID下的系統(tǒng)資源和全局可訪問(wèn)資源，當(dāng)需要使用其他系統(tǒng)資源時(shí)，需要根據(jù)資源的安全級(jí)別說(shuō)明(如表1所示)，進(jìn)行相應(yīng)的申請(qǐng)操作。

表1 Android權(quán)限級(jí)別

在Android 6.0之前的版本，系統(tǒng)對(duì)應(yīng)用程序的權(quán)限授權(quán)結(jié)果只有兩種為永久授權(quán)和不授權(quán)，這種權(quán)限機(jī)制稱為粗粒度的權(quán)限管理，這就使得一些惡意應(yīng)用程序有了可乘之機(jī)。在Android 6.0版本之后，系統(tǒng)對(duì)安全級(jí)別為dangerous的服務(wù)進(jìn)行授權(quán)時(shí)，應(yīng)用程序必須在運(yùn)行狀態(tài)并且需要用戶授權(quán)同意，才可以獲得授權(quán)，這種方式做到了細(xì)粒度的權(quán)限管理，加強(qiáng)了用戶對(duì)應(yīng)用權(quán)限的可控性，提高了系統(tǒng)的安全系數(shù)。

1.3 進(jìn)程沙箱隔離機(jī)制

進(jìn)程沙箱隔離機(jī)制則是應(yīng)用程序運(yùn)行在系統(tǒng)為其開(kāi)辟的獨(dú)立Dalvik虛擬機(jī)中，擁有獨(dú)立的運(yùn)行空間和系統(tǒng)資源空間，保證應(yīng)用程序間獨(dú)立和系統(tǒng)安全的機(jī)制。Android系統(tǒng)將Linux系統(tǒng)的用戶隔離機(jī)制轉(zhuǎn)化為應(yīng)用程序的隔離機(jī)制，并在此基礎(chǔ)上提出了進(jìn)程沙箱隔離機(jī)制，其結(jié)構(gòu)如圖2所示。應(yīng)用程序在安裝時(shí)，被系統(tǒng)賦予了唯一的用戶標(biāo)識(shí)碼UID,在程序存續(xù)期間保持不變。程序在Dalvik虛擬機(jī)上運(yùn)行期間，系統(tǒng)對(duì)同一UID下的資源進(jìn)行唯一標(biāo)識(shí)，使得應(yīng)用程序各自的資源互不干擾，進(jìn)而使得各個(gè)應(yīng)用程序的資源都得到安全隔離和保護(hù)。在多個(gè)應(yīng)用程序間需要共享資源時(shí)，Android系統(tǒng)提供了以下幾種資源共享方式：① 完全暴露(資源對(duì)系統(tǒng)所有應(yīng)用程序完全共享)；② 權(quán)限提示暴露(當(dāng)其他應(yīng)用需要請(qǐng)求資源文件時(shí)，通過(guò)向用戶請(qǐng)求，實(shí)現(xiàn)資源的共享)；③ 私有暴露(通過(guò)設(shè)置不同應(yīng)用的共享UID，實(shí)現(xiàn)共享UID下應(yīng)用程序資源的共享如圖3所示)。

圖2 Android應(yīng)用程序沙箱機(jī)制

圖3 Android應(yīng)用程序共享UID

這種安全機(jī)制既能保證應(yīng)用運(yùn)行空間的獨(dú)立性，又能滿足資源共享的需求。在發(fā)現(xiàn)惡意軟件之后，可以通過(guò)隔離其所在的虛擬機(jī)，以保證系統(tǒng)其他應(yīng)用程序的安全。

2 Android惡意應(yīng)用檢測(cè)

2.1 Android惡意應(yīng)用程序

Android惡意應(yīng)用程序種類變換多樣，有很多分類方法。一種是按照傳統(tǒng)進(jìn)行分類，卿斯?jié)h[7]認(rèn)為可以分為木馬類、病毒類、后門(mén)類、僵尸類、間諜軟件類、恐嚇軟件類、勒索軟件類、廣告軟件類和跟蹤軟件類等。另一種是按照惡意軟件特征進(jìn)行分類，Zhou等[5]認(rèn)為可以分為惡意軟件安裝、惡意軟件運(yùn)行、惡意負(fù)載、權(quán)限使用等；同樣地按照惡意軟件特征進(jìn)行分類，Li等[9]認(rèn)為可以分為惡意扣費(fèi)類、資源消耗類、詐騙誤導(dǎo)類和系統(tǒng)破壞類等。而一種新穎的分類方法是從惡意應(yīng)用包含的惡意內(nèi)容和惡意行為兩個(gè)角度進(jìn)行分類[5-8]。該方法中包含惡意內(nèi)容的應(yīng)用程序是應(yīng)用程序自身對(duì)移動(dòng)終端設(shè)備無(wú)任何安全隱患，其帶來(lái)的危害主要是由應(yīng)用程序傳播的內(nèi)容或后臺(tái)人員行為導(dǎo)致的，如通過(guò)偽造正規(guī)網(wǎng)站對(duì)用戶實(shí)施詐騙的應(yīng)用程序、傳播淫穢色情視頻的應(yīng)用程序等；而包含惡意行為的應(yīng)用程序主要指應(yīng)用程序通過(guò)惡意代碼或者惡意行為對(duì)用戶或移動(dòng)設(shè)備產(chǎn)生危害的應(yīng)用程序。

通過(guò)對(duì)惡意應(yīng)用的攻擊方法進(jìn)行分析總結(jié)，典型的惡意應(yīng)用攻擊方法包括重打包攻擊、提權(quán)攻擊、其他攻擊、新型攻擊。

2.1.1重打包攻擊

重打包攻擊指的是反編譯第三方應(yīng)用程序，它將惡意代碼植入應(yīng)用程序，偽造第三方應(yīng)用的簽名，重新打包偽裝成第三方應(yīng)用進(jìn)行發(fā)布。病毒、木馬、廣告等惡意軟件可通過(guò)該技術(shù)進(jìn)行傳播，對(duì)用戶造成危害，針對(duì)這種攻擊方式Android官方通過(guò)更新V2版本的簽名機(jī)制，結(jié)合簽名密鑰輪換機(jī)制，防止了惡意應(yīng)用程序?qū)Φ谌桨惭b包文件的篡改。

重打包攻擊進(jìn)一步發(fā)展后，還出現(xiàn)了更新包攻擊，這是將惡意代碼的植入方式從靜態(tài)apk包植入轉(zhuǎn)到應(yīng)用程序運(yùn)行時(shí)動(dòng)態(tài)植入，繞過(guò)了靜態(tài)檢測(cè)的安全檢查，這對(duì)惡意應(yīng)用檢測(cè)提出了更高的要求。

2.1.2提權(quán)攻擊

提權(quán)攻擊是指惡意應(yīng)用將普通應(yīng)用程序的系統(tǒng)服務(wù)權(quán)限提升，獲取到惡意應(yīng)用需要的權(quán)限。攻擊手段包括惡意利用Android系統(tǒng)漏洞，通過(guò)第三方代理軟件獲取授權(quán)等。由于Android版本碎片化嚴(yán)重，惡意應(yīng)用程序?qū)Σ煌珹ndroid版本采用了不同的攻擊手段，而惡意應(yīng)用安全檢測(cè)無(wú)法及時(shí)更新全版本的Android檢測(cè)方法，所以如果當(dāng)惡意應(yīng)用獲取到系統(tǒng)最高權(quán)限，就可以執(zhí)行任意權(quán)限的操作，這對(duì)系統(tǒng)安全構(gòu)成了極大的威脅。

2.1.3其他攻擊

除此之外，惡意應(yīng)用攻擊方法還有資費(fèi)消耗和隱私泄露等。資費(fèi)消耗包括話費(fèi)吸取、流量消耗等惡意消耗用戶資費(fèi)的行為。話費(fèi)吸取的方式如強(qiáng)行定制特定SP(service provider)服務(wù)等，流量消耗則表現(xiàn)為后臺(tái)靜態(tài)訪問(wèn)導(dǎo)流網(wǎng)站、廣告等惡意行為。

隱私泄露指隱私竊取模塊搜集移動(dòng)端用戶通信錄、短信、定位數(shù)據(jù)，同時(shí)收集用戶訪問(wèn)第三方應(yīng)用的數(shù)據(jù)等隱私信息，將用戶隱私數(shù)據(jù)傳輸?shù)椒?wù)器后在黑市進(jìn)行交易。隱私泄露帶來(lái)多維的用戶危害，如通過(guò)對(duì)用戶多維數(shù)據(jù)分析進(jìn)行精確畫(huà)像實(shí)施電子詐騙，通過(guò)用戶位置、社交、通信等信息對(duì)用戶精確定位跟蹤等行為，對(duì)用戶安全構(gòu)成嚴(yán)重危害。

2.1.4新型攻擊

隨著Android系統(tǒng)的更新和攻擊方式變化，市場(chǎng)上也出現(xiàn)了新的惡意攻擊方式，包括：利用調(diào)試接口傳播(當(dāng)Android系統(tǒng)的ADB調(diào)試端口開(kāi)啟時(shí)，可用于惡意應(yīng)用程序的傳播，如挖礦蠕蟲(chóng)ADB.Miner惡意應(yīng)用軟件的傳播)；利用Kotlin編程語(yǔ)言開(kāi)發(fā)惡意應(yīng)用軟件，如遠(yuǎn)程控制，隱私竊取等惡意軟件；通過(guò)篡改剪切板內(nèi)容，達(dá)到特定目的，如利用篡改支付寶吱口令賺取賞金，篡改比特幣賬戶地址盜取比特幣等新型惡意攻擊方法。

2.2 靜態(tài)的惡意應(yīng)用檢測(cè)方法

靜態(tài)檢測(cè)方法是指在應(yīng)用程序不運(yùn)行的情況下，基于應(yīng)用程序特征進(jìn)行系統(tǒng)檢測(cè)分析[10-11]。靜態(tài)檢測(cè)的關(guān)鍵技術(shù)點(diǎn)在于如何選擇特征和如何分析特征，其中常用的特征包括應(yīng)用權(quán)限、Java代碼、意圖過(guò)濾器、網(wǎng)絡(luò)地址、字符串和硬件組件等，而分析特征的方法包括差異分析、特征匹配、權(quán)限檢測(cè)、函數(shù)檢查、類別檢測(cè)等。靜態(tài)檢測(cè)的優(yōu)點(diǎn)是檢測(cè)速度快、可以上傳安裝包文件到服務(wù)器端檢測(cè)等，缺點(diǎn)是無(wú)法有效識(shí)別利用Android系統(tǒng)漏洞和靜態(tài)檢測(cè)對(duì)抗技術(shù)的惡意應(yīng)用程序，其中常見(jiàn)的對(duì)抗技術(shù)有代碼混淆、多態(tài)變換等。幾種常用的靜態(tài)檢測(cè)方法包括基于應(yīng)用程序安裝包文件特征的檢測(cè)、基于應(yīng)用程序代碼分析的檢測(cè)，以及基于應(yīng)用程序其他特征分析的檢測(cè)等。

2.2.1基于應(yīng)用程序安裝包文件特征的惡意應(yīng)用檢測(cè)

Android應(yīng)用程序安裝包文件解壓縮后如表2所示，對(duì)其中非資源文件和非簽名文件進(jìn)行靜態(tài)檢測(cè)。

表2 Android安裝包文件資源

針對(duì)應(yīng)用程序安裝包文件的靜態(tài)檢測(cè)，首先對(duì)包含其中的簽名文件、資源文件、代碼文件、清單文件等文件進(jìn)行特征表征，然后進(jìn)行相似性比較，判斷是否為惡意應(yīng)用程序。DroidMOSS[12]將應(yīng)用程序代碼片段進(jìn)行哈希計(jì)算得到哈希值，以此作為應(yīng)用程序特征；通過(guò)計(jì)算編輯距離進(jìn)行相似性比較，以此判斷是否為惡意應(yīng)用程序。當(dāng)應(yīng)用程序使用無(wú)用方法注入、代碼混淆等對(duì)抗攻擊方法時(shí)，該檢測(cè)方法失效。如何實(shí)現(xiàn)對(duì)使用對(duì)抗攻擊技術(shù)的惡意應(yīng)用的檢測(cè)成了最大的問(wèn)題，為此Zheng等[13]提出了基于應(yīng)用程序方法/類和API調(diào)用序列生成應(yīng)用程序的三級(jí)簽名方法，通過(guò)應(yīng)用簽名進(jìn)行相似性比較，該方法雖然可以檢測(cè)到使用代碼混淆等攻擊方法的惡意應(yīng)用，但是檢測(cè)耗時(shí)較長(zhǎng)，效率低下。為了在保證檢測(cè)效果的基礎(chǔ)上縮短檢測(cè)時(shí)間，秦中元等[14]提出一種基于多層次簽名(API簽名、Method簽名、Class簽名、APK簽名等)的檢測(cè)方法，與惡意應(yīng)用樣本庫(kù)進(jìn)行比對(duì)，匹配惡意應(yīng)用程序，雖然該方法檢測(cè)過(guò)程較繁瑣，但在保證檢測(cè)效果的基礎(chǔ)上，有效加快了檢測(cè)速度，縮短了檢測(cè)時(shí)間。

2.2.2基于應(yīng)用程序代碼分析的惡意應(yīng)用檢測(cè)

基于應(yīng)用程序代碼分析的檢測(cè)是將應(yīng)用程序代碼抽象為控制流圖、數(shù)據(jù)流圖和程序依賴圖，提取特征后通過(guò)計(jì)算相似性，進(jìn)而確定是否為惡意應(yīng)用程序。代碼是應(yīng)用程序的基礎(chǔ)，而程序控制流圖又是對(duì)代碼的抽象概括，文獻(xiàn)[16-17]提出了一種基于程序三維控制流圖實(shí)現(xiàn)的檢測(cè)方法，該方法首先根據(jù)控制流圖的重心坐標(biāo)構(gòu)造惡意應(yīng)用特征庫(kù)，然后通過(guò)相似性判斷，確定是否為惡意應(yīng)用程序。該方法雖然有較高的檢測(cè)精確度，但是在特征表示階段，抽象應(yīng)用程序的控制流圖工作量較大，導(dǎo)致檢測(cè)效率較低。而且重心坐標(biāo)計(jì)算的精確性會(huì)直接影響檢測(cè)精度，所以當(dāng)惡意應(yīng)用使用代碼混淆技術(shù)時(shí)會(huì)導(dǎo)致檢測(cè)失效。為了解決代碼混淆技術(shù)帶來(lái)的影響，Tian等[18]提出了基于應(yīng)用程序類依賴圖和函數(shù)調(diào)用圖的檢測(cè)方法，該方法對(duì)應(yīng)用程序的用戶交互、API調(diào)用、權(quán)限請(qǐng)求等進(jìn)行特征表征，然后使用分類器進(jìn)行分類，實(shí)現(xiàn)對(duì)惡意應(yīng)用的檢測(cè)，降低了對(duì)程序代碼的依賴。由于該方法對(duì)應(yīng)用程序進(jìn)行了全面的特征表征，故導(dǎo)致檢測(cè)效率較低。同樣地，F(xiàn)an等[19]提出了基于敏感API函數(shù)子圖的檢測(cè)方法，該方法對(duì)敏感API函數(shù)子圖進(jìn)行特征表征，然后使用隨機(jī)森林、決策樹(shù)等方法進(jìn)行分類完成檢測(cè)。該方法降低了對(duì)代碼特征的依賴，可以抵御典型的混淆攻擊技術(shù)，但無(wú)法檢測(cè)使用加密攻擊方法的惡意應(yīng)用。由于提取代碼深層語(yǔ)義信息，可以有效降低代碼形式變化帶來(lái)的影響，汪潤(rùn)等[15]提出了一種基于程序依賴圖的語(yǔ)義信息的檢測(cè)方法，通過(guò)計(jì)算應(yīng)用程序間的Jaccard距離進(jìn)行相似性比較，實(shí)現(xiàn)粗分類，然后基于程序依賴圖的語(yǔ)義信息進(jìn)行細(xì)粒度分類比較。該方法可以有效抵御常見(jiàn)的混淆攻擊，但會(huì)存在一定的漏報(bào)和誤報(bào)現(xiàn)象。

2.2.3基于應(yīng)用程序其他特征分析的惡意應(yīng)用檢測(cè)

基于應(yīng)用程序其他特征分析的檢測(cè)，首先是將應(yīng)用程序的UI界面、多媒體文件、APP名稱、圖標(biāo)等做特征表示，然后在進(jìn)行相似度計(jì)算，進(jìn)而確定是否為惡意應(yīng)用程序。根據(jù)應(yīng)用布局特征，Sun等[20]首先用程序的布局文件得到視圖的層次結(jié)構(gòu)，接著計(jì)算布局間的編輯距離和哈希值，通過(guò)和樣本庫(kù)對(duì)比，最終實(shí)現(xiàn)惡意應(yīng)用的檢測(cè)。同樣地，Lyu等[21]基于應(yīng)用布局文件，得到應(yīng)用的全局層次結(jié)構(gòu)，然后計(jì)算哈希值，進(jìn)行相似性對(duì)比，最終實(shí)現(xiàn)惡意應(yīng)用的檢測(cè)。根據(jù)應(yīng)用界面特征，Chen等[17]先定位應(yīng)用Activity界面和Dialog界面，進(jìn)而得到應(yīng)用的界面跳轉(zhuǎn)關(guān)系圖，然后通過(guò)計(jì)算圖重心坐標(biāo)相似性實(shí)現(xiàn)惡意應(yīng)用檢測(cè)。該方法有較快的檢測(cè)速度，可用于大規(guī)模的惡意應(yīng)用檢測(cè)。將界面特征和代碼特征結(jié)合，可以兼顧檢測(cè)速度和精度，所以汪潤(rùn)等[22]提出基于應(yīng)用UI和程序依賴圖的兩級(jí)惡意應(yīng)用檢測(cè)方法，使用UI結(jié)構(gòu)進(jìn)行快速相似性檢測(cè)，通過(guò)程序依賴圖特征做相似性對(duì)比，該方法在檢測(cè)速度和準(zhǔn)確度上均有較好表現(xiàn)。

2.3 動(dòng)態(tài)的惡意應(yīng)用檢測(cè)方法

動(dòng)態(tài)檢測(cè)方法是指在應(yīng)用程序運(yùn)行時(shí)，通過(guò)收集系統(tǒng)信息構(gòu)建特征庫(kù)，之后進(jìn)行相似度比較，實(shí)現(xiàn)對(duì)惡意應(yīng)用檢測(cè)的方法。動(dòng)態(tài)檢測(cè)可以分為兩大類，一類是基于應(yīng)用行為分析進(jìn)行檢測(cè)，另一類是基于污點(diǎn)跟蹤追蹤進(jìn)行檢測(cè)。動(dòng)態(tài)檢測(cè)的難點(diǎn)在于選取特征和實(shí)現(xiàn)對(duì)應(yīng)用功能的全面檢測(cè)，其中特征的選取從系統(tǒng)調(diào)用、API調(diào)用、資源訪問(wèn)、網(wǎng)絡(luò)特征等[23]方面進(jìn)行，而如何提高應(yīng)用程序功能檢測(cè)的覆蓋率(代碼覆蓋率)仍沒(méi)有一個(gè)最好的解決方案。

2.3.1基于應(yīng)用行為分析的惡意應(yīng)用檢測(cè)

動(dòng)態(tài)檢測(cè)只在應(yīng)用運(yùn)行時(shí)進(jìn)行檢測(cè)，無(wú)法做到對(duì)應(yīng)用全部功能進(jìn)行測(cè)試，Wong等[24]提出IntelliDroid應(yīng)用輸入生成器，可以自主配置，然后生成特定的應(yīng)用功能觸發(fā)行為，解決了動(dòng)態(tài)檢測(cè)只能檢測(cè)應(yīng)用程序動(dòng)態(tài)運(yùn)行時(shí)產(chǎn)生的惡意行為的問(wèn)題，可以盡可能多地對(duì)應(yīng)用程序功能進(jìn)行檢測(cè)。

對(duì)應(yīng)用功能的檢測(cè)，可以通過(guò)檢測(cè)對(duì)系統(tǒng)服務(wù)的調(diào)用實(shí)現(xiàn)，CopperDroid[25]結(jié)合系統(tǒng)調(diào)用和Binder通信行為數(shù)據(jù)，可以重建出惡意應(yīng)用的高級(jí)語(yǔ)義行為，它包括應(yīng)用系統(tǒng)內(nèi)核行為和Android應(yīng)用的特定行為，可以用來(lái)準(zhǔn)確地描述應(yīng)用程序功能。該方法不需要修改Android操作系統(tǒng)即可實(shí)現(xiàn)以上功能，但只能對(duì)應(yīng)用程序進(jìn)行離線分析，而不能在終端實(shí)時(shí)分析[29]。

應(yīng)用運(yùn)行時(shí)，非系統(tǒng)調(diào)用信息同樣可以對(duì)應(yīng)用進(jìn)行特征刻畫(huà)，Gianazza等[26]提出PuppetDroid惡意應(yīng)用檢測(cè)系統(tǒng)，通過(guò)搜集用戶與應(yīng)用程序間的實(shí)時(shí)交互行為，刻畫(huà)出了惡意應(yīng)用程序特征，以此進(jìn)行惡意應(yīng)用的檢測(cè)。同樣地，Shabtai等[27]提出Andromaly檢測(cè)系統(tǒng)，搜集應(yīng)用運(yùn)行信息作為應(yīng)用程序的特征，如CPU、內(nèi)存消耗、進(jìn)程狀態(tài)等，訓(xùn)練一個(gè)有監(jiān)督的分類器實(shí)現(xiàn)對(duì)惡意應(yīng)用的快速檢測(cè)。Saracino等[28]提出MADAM檢測(cè)系統(tǒng)，從內(nèi)核層面、APP層面、用戶層面和應(yīng)用層面對(duì)應(yīng)用程序進(jìn)行特征表征，特征融合對(duì)應(yīng)用程序關(guān)聯(lián)分析，實(shí)現(xiàn)惡意應(yīng)用的檢測(cè)。

通過(guò)上述分析可以看出，現(xiàn)有的動(dòng)態(tài)檢測(cè)方法無(wú)法同時(shí)對(duì)操作系統(tǒng)與應(yīng)用程序、應(yīng)用程序內(nèi)部進(jìn)行表征[30]，應(yīng)用程序的輸入生成也停留在UI觸發(fā)層面，還不能全面地表征應(yīng)用程序。

2.3.2基于污點(diǎn)跟蹤的惡意應(yīng)用檢測(cè)

對(duì)于應(yīng)用數(shù)據(jù)的特征提取，無(wú)法做到對(duì)應(yīng)用功能全流程的刻畫(huà)，針對(duì)這一問(wèn)題，Enck等[31]提出基于污點(diǎn)跟蹤的TaintDroid惡意應(yīng)用檢測(cè)系統(tǒng)，通過(guò)修改Android操作系統(tǒng),能夠動(dòng)態(tài)跟蹤惡意應(yīng)用的數(shù)據(jù)流和系統(tǒng)調(diào)用。TaintDroid實(shí)現(xiàn)四個(gè)層面的追蹤:變量級(jí),方法級(jí),信息級(jí)和文件級(jí)，但是TaintDroid無(wú)法實(shí)現(xiàn)應(yīng)用程序控制流的跟蹤和信息流泄露的檢測(cè)。在此基礎(chǔ)上，Zhang等[32]開(kāi)發(fā)了VetDroid檢測(cè)系統(tǒng)，基于應(yīng)用對(duì)敏感行為、權(quán)限和資源的調(diào)用，構(gòu)造出了應(yīng)用程序的隱私數(shù)據(jù)權(quán)限使用圖，重建了細(xì)粒度的應(yīng)用行為，用于惡意應(yīng)用的檢測(cè)。

將多種動(dòng)態(tài)檢測(cè)特征結(jié)合，Lindorfer等[33]提出的AppsPlayground檢測(cè)系統(tǒng)，綜合了污點(diǎn)分析、API監(jiān)控、系統(tǒng)調(diào)用監(jiān)控等多種動(dòng)態(tài)分析方法，對(duì)應(yīng)用程序進(jìn)行檢測(cè)分析，對(duì)隱私泄露和惡意應(yīng)用行為的檢測(cè)效果較好?？梢钥闯?，現(xiàn)有的污點(diǎn)分析技術(shù)只能針對(duì)數(shù)據(jù)流和系統(tǒng)調(diào)用的追蹤，對(duì)于控制流和本地代碼無(wú)法進(jìn)行有效跟蹤[34]。

2.4 基于網(wǎng)絡(luò)流量的惡意應(yīng)用檢測(cè)方法

基于網(wǎng)絡(luò)流量數(shù)據(jù)的檢測(cè)是指，檢測(cè)系統(tǒng)首先對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行特征提取，通過(guò)相似性計(jì)算，最終實(shí)現(xiàn)對(duì)惡意應(yīng)用的檢測(cè)。移動(dòng)端的惡意應(yīng)用程序，大都通過(guò)網(wǎng)絡(luò)數(shù)據(jù)傳輸實(shí)現(xiàn)對(duì)惡意行為的控制，Zhou等[3]指出，90%以上的惡意軟件通過(guò)僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)傳輸控制惡意行為，所以在網(wǎng)絡(luò)流量數(shù)據(jù)中，可以通過(guò)特征表征實(shí)現(xiàn)惡意應(yīng)用程序的檢測(cè)。根據(jù)特征提取的途徑不同，把基于網(wǎng)絡(luò)流量的檢測(cè)分為兩大類，一類是基于網(wǎng)絡(luò)流量數(shù)據(jù)統(tǒng)計(jì)特征進(jìn)行檢測(cè)，另一類是基于網(wǎng)絡(luò)流量數(shù)據(jù)內(nèi)容特征進(jìn)行檢測(cè)。

2.4.1基于網(wǎng)絡(luò)流量數(shù)據(jù)統(tǒng)計(jì)特征的惡意應(yīng)用檢測(cè)

由于網(wǎng)絡(luò)流量數(shù)據(jù)量巨大，無(wú)法對(duì)全部數(shù)據(jù)進(jìn)行特征構(gòu)建，Gu等[35]基于深度包解析(DPI)技術(shù)提出BotHunter檢測(cè)系統(tǒng)，通過(guò)對(duì)惡意應(yīng)用程序產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析，得到惡意應(yīng)用程序網(wǎng)絡(luò)流量的特征字符串，通過(guò)對(duì)特征字符串的匹配實(shí)現(xiàn)惡意應(yīng)用檢測(cè)。基于網(wǎng)絡(luò)異常數(shù)據(jù)，識(shí)別僵尸網(wǎng)絡(luò)命令與控制通信的行為數(shù)據(jù)并進(jìn)行特征表征，同時(shí)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包大小進(jìn)行統(tǒng)計(jì)特征表征，通過(guò)聚類方法實(shí)現(xiàn)惡意應(yīng)用的檢測(cè)，提出BotMiner檢測(cè)系統(tǒng)[36-37]，該系統(tǒng)檢測(cè)不受網(wǎng)絡(luò)協(xié)議和僵尸網(wǎng)絡(luò)結(jié)構(gòu)影響，有較好的可擴(kuò)展性，但是檢測(cè)精度較低。

對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸時(shí)間特征進(jìn)行分析，Zhao等[38]基于網(wǎng)絡(luò)請(qǐng)求間隔時(shí)間構(gòu)建特征集，然后結(jié)合機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)對(duì)惡意應(yīng)用的檢測(cè)，但是網(wǎng)絡(luò)請(qǐng)求時(shí)間間隔的影響因素較多，使得該系統(tǒng)的準(zhǔn)確率較低，誤判率較高。通過(guò)分析網(wǎng)絡(luò)解析協(xié)議，Wang等[39]基于DNS解析，匹配惡意域名和IP地址，實(shí)現(xiàn)了對(duì)僵尸網(wǎng)絡(luò)的解析。該系統(tǒng)對(duì)惡意應(yīng)用的檢測(cè)，基于已經(jīng)構(gòu)建好的惡意應(yīng)用請(qǐng)求特征庫(kù)，所以檢測(cè)速度快，但無(wú)法檢測(cè)新出現(xiàn)的惡意應(yīng)用。同樣地，Sharifnya等[40]基于DNS流量分析提出DFBotKiller僵尸網(wǎng)絡(luò)檢測(cè)系統(tǒng)，通過(guò)對(duì)可疑群體活動(dòng)和可疑故障進(jìn)行特征表征，實(shí)現(xiàn)對(duì)僵尸網(wǎng)絡(luò)的識(shí)別。流量包數(shù)據(jù)對(duì)應(yīng)用也有一定的區(qū)分度，Arora等[41]基于流量包統(tǒng)計(jì)信息，構(gòu)建了惡意應(yīng)用特征庫(kù)，最終了對(duì)惡意應(yīng)用的檢測(cè)，檢測(cè)速度較快，但是該系統(tǒng)基于已知惡意應(yīng)用特征庫(kù)，無(wú)法檢測(cè)新出現(xiàn)的惡意應(yīng)用。

加密流量的出現(xiàn)，使得傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)方式失效，Taylor等[42]基于TCP和IP報(bào)文頭部結(jié)構(gòu)數(shù)據(jù)進(jìn)行特征表征，提出APPScanner檢測(cè)系統(tǒng)。系統(tǒng)共提取54種特征，然后通過(guò)隨機(jī)森林算法實(shí)現(xiàn)對(duì)惡意應(yīng)用程序的檢測(cè)，該系統(tǒng)可以對(duì)加密流量進(jìn)行檢測(cè)。Conti等[43]基于加密流量進(jìn)行特征統(tǒng)計(jì)，構(gòu)建了應(yīng)用的加密流量特征庫(kù)，實(shí)現(xiàn)了對(duì)惡意應(yīng)用的識(shí)別，該系統(tǒng)不涉及流量?jī)?nèi)容的識(shí)別，可以檢測(cè)加密流量。對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行挖掘，Kwon等[44]基于DNS響應(yīng)時(shí)間特征進(jìn)行惡意應(yīng)用的檢測(cè)，實(shí)現(xiàn)了對(duì)加密流量的檢測(cè)，同時(shí)由于影響DNS響應(yīng)時(shí)間的因素較多，導(dǎo)致該方法會(huì)有較大的誤報(bào)率。

2.4.2基于網(wǎng)絡(luò)流量數(shù)據(jù)內(nèi)容特征的惡意應(yīng)用檢測(cè)

網(wǎng)絡(luò)流量數(shù)據(jù)的內(nèi)容和應(yīng)用程序行為密切相關(guān)，Asdroid等[45]基于網(wǎng)絡(luò)流量?jī)?nèi)容匹配進(jìn)行惡意應(yīng)用檢測(cè)，通過(guò)將UI數(shù)據(jù)內(nèi)容和應(yīng)用程序?qū)嶋H調(diào)用操作進(jìn)行對(duì)比，進(jìn)行惡意應(yīng)用特征表征，最終實(shí)現(xiàn)惡意應(yīng)用檢測(cè)。信息的交互是通過(guò)網(wǎng)絡(luò)數(shù)據(jù)傳輸實(shí)現(xiàn)的，Ren等[46]對(duì)HTTP流量文本進(jìn)行分析，通過(guò)對(duì)敏感信息、關(guān)鍵字匹配，判斷應(yīng)用是否存在用戶隱私泄露等惡意應(yīng)用行為，但是該方法不適用于檢測(cè)加密流量。Nan等[47]通過(guò)對(duì)比應(yīng)用申明行為和實(shí)際行為，構(gòu)建惡意應(yīng)用特征庫(kù)，實(shí)現(xiàn)了對(duì)惡意應(yīng)用程序的識(shí)別。因?yàn)閷?duì)應(yīng)用程序的網(wǎng)絡(luò)行為進(jìn)行了細(xì)粒度的重現(xiàn)，所以檢測(cè)精度較高。

網(wǎng)絡(luò)數(shù)據(jù)傳輸需要在網(wǎng)絡(luò)協(xié)議下進(jìn)行，而網(wǎng)絡(luò)協(xié)議中肯定包含網(wǎng)絡(luò)報(bào)文，Zaman等[48]通過(guò)對(duì)HTTP報(bào)文中的URL進(jìn)行匹配，然后將URL與惡意域名庫(kù)比對(duì)，實(shí)現(xiàn)對(duì)惡意應(yīng)用程序的檢測(cè)。同樣地，Wang等[49]分別基于TCP和HTTP報(bào)文數(shù)據(jù)提出了TrafficAV檢測(cè)系統(tǒng)，由于HTTP報(bào)文包含信息較多，使得系統(tǒng)具有較高的檢測(cè)精度，但是不能檢測(cè)加密流量，而TCP報(bào)文既能保證檢測(cè)精度又不受加密流量的影響。

因?yàn)閷?duì)流量數(shù)據(jù)內(nèi)容的依賴，始終無(wú)法對(duì)加密流量有好的檢測(cè)效果，Arora等[50]基于網(wǎng)絡(luò)層信息特征，通過(guò)樸素貝葉斯算法實(shí)現(xiàn)惡意應(yīng)用程序的檢測(cè)。該方法中的特征選取算法，有效減少了對(duì)特征數(shù)的依賴，而是選取了報(bào)文接收時(shí)間間隔、網(wǎng)絡(luò)傳輸字節(jié)數(shù)等信息作為網(wǎng)絡(luò)層特征，解決了無(wú)法對(duì)加密流量數(shù)據(jù)進(jìn)行檢測(cè)的問(wèn)題。

3 主流廠商的Android軟件檢測(cè)技術(shù)

當(dāng)前提供Android軟件檢測(cè)服務(wù)的國(guó)內(nèi)外廠商有騰訊、百度、360、Google、LookOut、ZimPerium等。其中騰訊和Google的Android軟件檢測(cè)技術(shù)在國(guó)內(nèi)外廠商中又具有代表性，因此本文對(duì)這兩家公司的Android軟件檢測(cè)技術(shù)進(jìn)行分析和總結(jié)。

3.1 Google Play Protect移動(dòng)端安全服務(wù)

Google Play Protect[51]是Google在2017年5月提出的，支持云端和離線兩種方式掃描惡意應(yīng)用的安全服務(wù)。Google實(shí)現(xiàn)該檢測(cè)模型的過(guò)程如下：(1) 數(shù)據(jù)集的構(gòu)建。Google對(duì)谷歌應(yīng)用商店和網(wǎng)頁(yè)上可以找到的所有應(yīng)用，進(jìn)行靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)分析，構(gòu)建了應(yīng)用特征數(shù)據(jù)集；同時(shí)收集谷歌應(yīng)用商店中用戶反饋信息、開(kāi)發(fā)人員信息等對(duì)識(shí)別惡意應(yīng)用有價(jià)值的數(shù)據(jù)，構(gòu)建了應(yīng)用商店數(shù)據(jù)集。(2) 檢測(cè)算法的實(shí)現(xiàn)。使用了邏輯回歸、深度神經(jīng)網(wǎng)絡(luò)等機(jī)器學(xué)習(xí)算法，構(gòu)建了識(shí)別特定類別、特定家族等多級(jí)惡意應(yīng)用檢測(cè)模型，該模型實(shí)現(xiàn)了對(duì)惡意應(yīng)用的檢測(cè)和分類。

Google2018年度大會(huì)指出，移動(dòng)設(shè)備從谷歌商店下載應(yīng)用，導(dǎo)致感染一個(gè)或多個(gè)惡意應(yīng)用的概率為0.08%；移動(dòng)設(shè)備從外部來(lái)源下載應(yīng)用，導(dǎo)致感染惡意應(yīng)用的概率要比前者高出8倍為0.68%。由此可見(jiàn)，Google Play Protect在一定程度上保證了用戶免于惡意應(yīng)用的侵害。但賽門(mén)鐵克公司研究發(fā)現(xiàn)，Google Play中存在之前已被發(fā)現(xiàn)的惡意應(yīng)用，通過(guò)更改應(yīng)用名稱而重新發(fā)布在Google Play的現(xiàn)象，這表明Google Play Protect的檢測(cè)仍然需要進(jìn)一步完善。

3.2 騰訊手機(jī)管家移動(dòng)端安全服務(wù)

騰訊手機(jī)管家[52]是騰訊公司研發(fā)的，支持傳統(tǒng)方式和AI云端方式掃描惡意應(yīng)用的手機(jī)安全軟件。該軟件核心包括兩部分：(1) 鷹眼(TAV反病毒引擎)，使用傳統(tǒng)的靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)方法對(duì)應(yīng)用進(jìn)行分析檢測(cè)，同時(shí)在云端結(jié)合大數(shù)據(jù)、機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)，對(duì)海量樣本數(shù)據(jù)進(jìn)行分析處理，使其檢測(cè)方法具有自學(xué)習(xí)、抗變形、難對(duì)抗的特點(diǎn)。(2) 哈勃文件分析系統(tǒng)，在云端動(dòng)態(tài)分析海量應(yīng)用樣本，找到惡意應(yīng)用的特征，生成惡意樣本庫(kù)，提供給TAV引擎。

在2018年度AV-Comparatives評(píng)測(cè)中，騰訊手機(jī)管家以“100%檢測(cè)率”和“零誤報(bào)”的成績(jī)名列前茅，獲得了國(guó)內(nèi)外安全廠商的認(rèn)可，成為了國(guó)內(nèi)市場(chǎng)占有率較高的手機(jī)安全軟件。同時(shí)，由于國(guó)內(nèi)用戶不能訪問(wèn)谷歌應(yīng)用商店，各大手機(jī)廠商如華為、小米、vivo等應(yīng)用商店有各自不同的安全檢測(cè)標(biāo)準(zhǔn)，使得惡意應(yīng)用更容易流入市場(chǎng)，這就對(duì)安全軟件的檢測(cè)能力提出了更高的需求。

當(dāng)前主流安全軟件普遍采用動(dòng)靜結(jié)合的分析方法和離線加云端的部署方式對(duì)惡意應(yīng)用進(jìn)行檢測(cè)，同時(shí)結(jié)合機(jī)器學(xué)習(xí)方法來(lái)應(yīng)對(duì)海量的惡意應(yīng)用，但仍然無(wú)法做到對(duì)惡意應(yīng)用的完全檢測(cè)。

4 當(dāng)前研究中存在的問(wèn)題

4.1 靜態(tài)檢測(cè)存在的問(wèn)題

靜態(tài)檢測(cè)是通過(guò)構(gòu)建惡意應(yīng)用特征庫(kù)實(shí)現(xiàn)檢測(cè)的方法，特征包括應(yīng)用程序安裝包文件、通過(guò)程序代碼構(gòu)建的各類流圖、應(yīng)用圖片、媒體文件、界面布局等。但當(dāng)前特征提取局限于表層信息，欠缺對(duì)深層語(yǔ)義信息的提取，同時(shí)特征庫(kù)的更新也不能做到及時(shí)全面，導(dǎo)致漏報(bào)和誤報(bào)的現(xiàn)象。

靜態(tài)檢測(cè)目前主要有兩種運(yùn)行形式，一種在應(yīng)用程序安裝時(shí)運(yùn)行，因兼顧用戶體驗(yàn)，會(huì)簡(jiǎn)化檢測(cè)流程，從而導(dǎo)致檢測(cè)效果較差；另一種在云平臺(tái)遠(yuǎn)程運(yùn)行，當(dāng)用戶安裝時(shí)安裝包可能被篡改，導(dǎo)致不能完全保證應(yīng)用安全。

此外，靜態(tài)檢測(cè)無(wú)法有效應(yīng)對(duì)惡意應(yīng)用采用對(duì)抗技術(shù)的場(chǎng)景，如會(huì)出現(xiàn)使用代碼混淆、無(wú)用代碼注入、加密技術(shù)、多態(tài)變化等攻擊技術(shù)的惡意應(yīng)用程序，導(dǎo)致檢測(cè)效果較差或者失效。

4.2 動(dòng)態(tài)檢測(cè)存在的問(wèn)題

(1) 由于動(dòng)態(tài)檢測(cè)必須在應(yīng)用程序運(yùn)行時(shí)檢測(cè)，這樣一方面會(huì)提高能耗縮短待機(jī)時(shí)間，另一方面也會(huì)占用系統(tǒng)資源導(dǎo)致運(yùn)行卡頓，因此用戶體驗(yàn)較差，難以在用戶中大規(guī)模部署。

(2) 動(dòng)態(tài)檢測(cè)在執(zhí)行有效的代碼測(cè)試用例時(shí)才可以檢測(cè)應(yīng)用程序?qū)?yīng)的功能項(xiàng)，只有覆蓋率高的代碼測(cè)試用例才能做到對(duì)應(yīng)用的全面檢測(cè)，但是高覆蓋率的代碼測(cè)試用例是當(dāng)前需要解決和完善的問(wèn)題。

(3) 動(dòng)態(tài)檢測(cè)在生成測(cè)試用例時(shí)，往往是從應(yīng)用功能出發(fā)，制定相應(yīng)的調(diào)用策略，沒(méi)有結(jié)合應(yīng)用場(chǎng)景中用戶的實(shí)際使用經(jīng)驗(yàn)，導(dǎo)致測(cè)試用例的真實(shí)性較低，實(shí)際檢測(cè)效果較差。

4.3 基于網(wǎng)絡(luò)流量檢測(cè)存在的問(wèn)題

(1) 基于網(wǎng)絡(luò)流量檢測(cè)，通過(guò)對(duì)惡意應(yīng)用分析，構(gòu)建惡意應(yīng)用網(wǎng)絡(luò)流量數(shù)據(jù)庫(kù)，在應(yīng)用運(yùn)行期間進(jìn)行實(shí)時(shí)數(shù)據(jù)采集，通過(guò)與特征庫(kù)比對(duì)實(shí)現(xiàn)檢測(cè)。存在特征庫(kù)更新不及時(shí)、系統(tǒng)資源開(kāi)銷(xiāo)較大、無(wú)法大規(guī)模部署的問(wèn)題。

(2) 基于網(wǎng)絡(luò)流量檢測(cè)，需要采集網(wǎng)絡(luò)協(xié)議報(bào)文的特定數(shù)據(jù)做檢測(cè)[51]，對(duì)于加密網(wǎng)絡(luò)數(shù)據(jù)，無(wú)法提取到相應(yīng)信息，導(dǎo)致檢測(cè)效果較差或失效。

5 結(jié) 語(yǔ)

Android惡意應(yīng)用程序檢測(cè)在經(jīng)過(guò)十多年的技術(shù)積淀后，已經(jīng)取得了非常豐碩的研究成果，但是目前仍然沒(méi)有一種檢測(cè)方法可以實(shí)現(xiàn)對(duì)惡意應(yīng)用的完全檢測(cè)，因此針對(duì)Android惡意應(yīng)用程序的檢測(cè)仍然值得廣大學(xué)者繼續(xù)研究。

(1) 加深對(duì)代碼語(yǔ)義特征的提取。惡意應(yīng)用檢測(cè)使用的特征多種多樣，但是應(yīng)用程序代碼是構(gòu)成應(yīng)用程序的基石，因此對(duì)于代碼的特征提取仍然是最具價(jià)值的。同時(shí)，隨著混淆技術(shù)、多態(tài)分布等對(duì)抗技術(shù)的出現(xiàn)，使得有效代碼特征提取更為困難，基于此，在未來(lái)的研究中需要繼續(xù)探索多文件聯(lián)合提取及基于機(jī)器學(xué)習(xí)、深度學(xué)習(xí)進(jìn)行語(yǔ)義信息表征等技術(shù)。

(2) 結(jié)合多種檢測(cè)方式進(jìn)行檢測(cè)。惡意應(yīng)用的檢測(cè)，可以建立多級(jí)檢測(cè)機(jī)制，包括靜態(tài)檢測(cè)快速初檢、動(dòng)態(tài)檢測(cè)運(yùn)行時(shí)監(jiān)測(cè)、基于網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)云端檢測(cè)。同時(shí)，當(dāng)前動(dòng)靜結(jié)合的檢測(cè)方法也已經(jīng)取得了一定成功，而且這種檢測(cè)方式仍是未來(lái)公認(rèn)的發(fā)展方向。

(3) 加大對(duì)網(wǎng)絡(luò)數(shù)據(jù)特征的挖掘?；诰W(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)，一直被認(rèn)為是靜態(tài)檢測(cè)或者動(dòng)態(tài)檢測(cè)的一個(gè)子項(xiàng)研究，本文單獨(dú)列出進(jìn)行分析是因?yàn)樵贫藱z測(cè)對(duì)于數(shù)據(jù)特征的提取更全面，云計(jì)算和大數(shù)據(jù)技術(shù)的發(fā)展使得檢測(cè)精度更高，釋放了用戶系統(tǒng)資源，有良好的用戶體驗(yàn)，這將會(huì)是未來(lái)的發(fā)展方向。

(4) 構(gòu)建全面的惡意應(yīng)用特征庫(kù)。當(dāng)前特征庫(kù)的構(gòu)建，局限于從應(yīng)用本身提取，對(duì)于應(yīng)用的衍生數(shù)據(jù)收集不足，如應(yīng)用市場(chǎng)中的用戶評(píng)價(jià)、應(yīng)用程序功能描述等數(shù)據(jù)，上述數(shù)據(jù)都可以深入挖掘，對(duì)應(yīng)用做很好的表征。特征庫(kù)構(gòu)建如果打破應(yīng)用自身的局限，會(huì)有更好的發(fā)展。