移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)設(shè)計(jì)

賴(lài)修源

摘 要： 移動(dòng)終端在互聯(lián)網(wǎng)中下載到惡意軟件的幾率非常高，這對(duì)用戶(hù)信息私密性造成了嚴(yán)重的威脅，但科研組織曾研究出的惡意軟件檢測(cè)系統(tǒng)往往誤報(bào)率過(guò)高、實(shí)用性不強(qiáng)。為此，設(shè)計(jì)移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)，其由特性提取與預(yù)處理模塊和移動(dòng)計(jì)算終端組成。特性提取與預(yù)處理模塊根據(jù)靜態(tài)檢測(cè)特性數(shù)據(jù)庫(kù)中的惡意軟件標(biāo)志特性，對(duì)用戶(hù)移動(dòng)終端軟件的安裝包特性、資源特性和編譯特性進(jìn)行提取，并使用靜態(tài)檢測(cè)函數(shù)對(duì)提取出的特性進(jìn)行預(yù)處理，給出惡意與非惡意軟件的特性分類(lèi)結(jié)果。系統(tǒng)通過(guò)移動(dòng)計(jì)算終端對(duì)特性分類(lèi)結(jié)果中的惡意軟件特性進(jìn)行位置檢測(cè)，隔離出用戶(hù)移動(dòng)終端中的惡意軟件，防止惡意軟件繼續(xù)入侵。經(jīng)實(shí)驗(yàn)分析可知，所設(shè)計(jì)的系統(tǒng)誤報(bào)率較低、實(shí)用性較強(qiáng)。

關(guān)鍵詞： 移動(dòng)計(jì)算； 惡意軟件； 靜態(tài)檢測(cè)系統(tǒng)； 用戶(hù)移動(dòng)終端

中圖分類(lèi)號(hào)： TN911.23?34； TP309 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）08?0061?04

Design of malware software static detecting system in mobile computing environment

LAI Xiuyuan

（College of Economics and Management， Chengdu Technological University， Chengdu 611730， China）

Abstract： The probability of malicious software downloaded in Internet by mobile terminal is very high， which can cause a serious threat to user information privacy. The scientific research organization has developed a malware detection system， but its false alarm rate is often too high， and its practicability is poor. Therefore， a static detecting system of malicious software is designed for the mobile computing environment， which is composed of feature extraction and preprocessing module， and mobile computing terminal. The feature extraction and preprocessing module is used to extract the software installation package， resource characteristic and compiling feature of user′s mobile terminal according to the malware software marked features in the static detection feature database. The extracted feature is pretreated with static detecting function to give out the classification results of malicious and non?malicious software features. The position of the malicious software is detected by the mobile computing terminal according to malicious software features in the feature classification result. The malicious software in user′s mobile terminal is isolated to prevent malicious software to make the continuous invasion. The experimental analysis shows that the designed system has low false alarm rate and strong practicability.

Keywords： mobile computing； malicious software； static detection system； user′s mobile terminal

0 引 言

近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的持續(xù)發(fā)展，移動(dòng)的終端性能也不斷提升，移動(dòng)計(jì)算隨之產(chǎn)生。所謂移動(dòng)計(jì)算，是指實(shí)現(xiàn)移動(dòng)終端無(wú)線(xiàn)數(shù)據(jù)資源共享的一種傳輸技術(shù)，其高效、精準(zhǔn)、實(shí)用的工作有效提高了各領(lǐng)域的運(yùn)營(yíng)成果[1?3]。隨著用戶(hù)對(duì)移動(dòng)終端使用頻率的不斷上升，移動(dòng)終端在互聯(lián)網(wǎng)中下載到惡意軟件的幾率非常高，這對(duì)用戶(hù)信息的私密性造成了一定威脅。為此，提出在移動(dòng)計(jì)算環(huán)境下利用靜態(tài)檢測(cè)方法，設(shè)計(jì)惡意軟件檢測(cè)系統(tǒng)[4?6]。

科研組織曾研究出一些惡意軟件檢測(cè)系統(tǒng)，但由于所選取的方法處理性能不高，導(dǎo)致系統(tǒng)的誤報(bào)率過(guò)高、實(shí)用性不強(qiáng)。如文獻(xiàn)[7]設(shè)計(jì)反編譯環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)。這一系統(tǒng)根據(jù)移動(dòng)終端安全弱點(diǎn)制定出具有較強(qiáng)針對(duì)性的反編譯工具，并利用特殊的審核軟件對(duì)用戶(hù)下載的互聯(lián)網(wǎng)軟件進(jìn)行權(quán)限限制，具有較強(qiáng)的實(shí)用性，但誤報(bào)率過(guò)高。文獻(xiàn)[8]設(shè)計(jì)基于知識(shí)時(shí)間序列的惡意軟件KBTA算法檢測(cè)系統(tǒng)。系統(tǒng)可對(duì)互聯(lián)網(wǎng)數(shù)據(jù)和移動(dòng)終端軟件進(jìn)行實(shí)時(shí)檢測(cè)，并通過(guò)KBTA算法對(duì)檢測(cè)成果進(jìn)行處理，擁有非常低的誤報(bào)率，但KBTA算法的檢測(cè)工作占用了較高的移動(dòng)終端硬件資源，故系統(tǒng)的實(shí)用性不強(qiáng)。文獻(xiàn)[9]設(shè)計(jì)后臺(tái)監(jiān)聽(tīng)環(huán)境下惡意軟件檢測(cè)系統(tǒng)，這一系統(tǒng)主要針對(duì)用戶(hù)移動(dòng)終端軟件的傳輸記錄進(jìn)行后臺(tái)監(jiān)聽(tīng)和檢測(cè)，將不安全傳輸行為加以糾正，其誤報(bào)率較低，但由于某些惡意軟件并不會(huì)產(chǎn)生不安全傳輸記錄，故系統(tǒng)的實(shí)用性不強(qiáng)。文獻(xiàn)[10]設(shè)計(jì)TISSA模型下惡意軟件靜態(tài)檢測(cè)系統(tǒng)，該系統(tǒng)通過(guò)主動(dòng)控制移動(dòng)終端軟件的訪(fǎng)問(wèn)位置，對(duì)惡意軟件的不安全行為進(jìn)行封殺，取得了較強(qiáng)的實(shí)用性。但由于一些用戶(hù)對(duì)軟件不安全行為不夠了解，導(dǎo)致該系統(tǒng)誤報(bào)率較高。

為了提高惡意軟件檢測(cè)系統(tǒng)的實(shí)用性、降低系統(tǒng)誤報(bào)率，設(shè)計(jì)移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)。經(jīng)實(shí)驗(yàn)分析可知，所設(shè)計(jì)的系統(tǒng)誤報(bào)率較低、實(shí)用性較強(qiáng)。

1 惡意軟件靜態(tài)檢測(cè)系統(tǒng)總體設(shè)計(jì)

所設(shè)計(jì)的移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)由特性提取與預(yù)處理模塊和移動(dòng)計(jì)算終端組成，系統(tǒng)總體結(jié)構(gòu)圖如圖1所示。

由圖1可知，移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)所選取的靜態(tài)檢測(cè)方法，將穿插在特性提取與預(yù)處理模塊中進(jìn)行移動(dòng)終端軟件的特性提取和安裝包特性、資源特性和編譯特性的預(yù)處理工作，為系統(tǒng)提供高效、準(zhǔn)確的惡意軟件檢測(cè)工作。

移動(dòng)計(jì)算終端是安裝于用戶(hù)移動(dòng)終端的系統(tǒng)實(shí)現(xiàn)層，其可利用移動(dòng)計(jì)算為用戶(hù)提供最為實(shí)際的惡意軟件檢測(cè)工作，也是評(píng)價(jià)系統(tǒng)性能的直接模塊。因此，這一模塊的設(shè)計(jì)需要盡可能考慮到用戶(hù)的實(shí)際需求，將系統(tǒng)檢測(cè)結(jié)果以可視化的方式呈現(xiàn)在用戶(hù)面前。

2 系統(tǒng)具體模塊設(shè)計(jì)

2.1 特性提取與預(yù)處理模塊設(shè)計(jì)

靜態(tài)檢測(cè)是一種在移動(dòng)終端軟件處于關(guān)閉狀態(tài)下，對(duì)軟件的靜態(tài)特性進(jìn)行提取、分析、對(duì)比和判斷的檢測(cè)方法。靜態(tài)檢測(cè)擁有較為完善的特性數(shù)據(jù)庫(kù)，其運(yùn)算簡(jiǎn)便，并具有較強(qiáng)的實(shí)用性。

由于惡意軟件的標(biāo)志特性是惟一且穩(wěn)定不變的，故靜態(tài)檢測(cè)的誤報(bào)率非常低。

2.1.1 特性提取

惡意軟件的標(biāo)志特性有：安裝包特性、資源特性和編譯特性。特性提取與預(yù)處理模塊根據(jù)靜態(tài)檢測(cè)特性數(shù)據(jù)庫(kù)給出的惡意軟件的標(biāo)志特性，對(duì)用戶(hù)移動(dòng)終端軟件的安裝包特性、資源特性和編譯特性進(jìn)行提取和預(yù)處理。其中，安裝包特性是移動(dòng)終端軟件中最重要的參數(shù)，它在很大程度上直接決定了移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)的誤報(bào)率和實(shí)用性，為此，特性提取與預(yù)處理模塊針對(duì)安裝包特性的提取和檢測(cè)工作進(jìn)行了重點(diǎn)設(shè)計(jì)，如圖2所示。

由圖2可知，特性提取與預(yù)處理模塊首先對(duì)特性數(shù)據(jù)庫(kù)中的惡意軟件標(biāo)志特性進(jìn)行調(diào)用，再利用CmdShell指令對(duì)移動(dòng)終端的軟件安裝包進(jìn)行解壓，并對(duì)解壓后的測(cè)試文件和軟件等級(jí)文件進(jìn)行反向分析。分析結(jié)果將于與軟件權(quán)限文件組成安裝包特性集合進(jìn)行預(yù)處理。也就是說(shuō)，安裝包特性集合中包含軟件權(quán)限文件、測(cè)試文件和軟件等級(jí)文件。

2.1.2 預(yù)處理

特性提取與預(yù)處理模塊利用靜態(tài)檢測(cè)函數(shù)對(duì)安裝包特性集合進(jìn)行預(yù)處理，最終給出安裝包特性集合的惡意與非惡意軟件特性分類(lèi)結(jié)果。靜態(tài)檢測(cè)函數(shù)的實(shí)質(zhì)是對(duì)安裝包特性集合中是否含有惡意軟件特性進(jìn)行分類(lèi)。假設(shè)安裝包特性集合中含有種惡意軟件特性類(lèi)別，將惡意軟件特性集合設(shè)為，惡意軟件特性集合存在的概率為。用表示非惡意軟件特性集合存在的概率，那么，非惡意軟件特性集合與惡意軟件特性集合中的重疊數(shù)據(jù)可用表示。此時(shí)，安裝包特性集合中存在惡意軟件特性的概率可表示為：

（1）

將與中的刪去，可得到和，表示中剩余的數(shù)據(jù)數(shù)量，表示中剩余的數(shù)據(jù)數(shù)量。由于和相互獨(dú)立，故可根據(jù)和中存在惡意軟件特性的概率，獲取到式（1）中計(jì)算結(jié)果的最大值，用表示，有：

（2）

通常，科研組織研究出的惡意軟件檢測(cè)系統(tǒng)可直接用式（2）表示惡意與非惡意軟件特性分類(lèi)結(jié)果，但式（2）并未對(duì)惡意軟件特性的使用權(quán)限進(jìn)行分類(lèi)，導(dǎo)致誤報(bào)率較高。為此，所設(shè)計(jì)的移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)在式（2）的基礎(chǔ)上，引入惡意軟件特性的使用權(quán)限方差和使用權(quán)限對(duì)檢測(cè)結(jié)果的影響參數(shù)。此時(shí)，靜態(tài)檢測(cè)函數(shù)給出的惡意與非惡意軟件特性分類(lèi)結(jié)果可表示為：

（3）

（4）

惡意與非惡意軟件特性分類(lèi)結(jié)果可限制用戶(hù)可能引發(fā)軟件變惡意的不良操作，防止用戶(hù)在軟件使用中產(chǎn)生惡意軟件標(biāo)志特性。最后，特性提取與預(yù)處理模塊將軟件特性分類(lèi)結(jié)果傳輸?shù)揭苿?dòng)計(jì)算終端進(jìn)行惡意軟件的最終檢測(cè)。

2.2 移動(dòng)計(jì)算終端設(shè)計(jì)

為了實(shí)現(xiàn)移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)誤報(bào)率低、實(shí)用性強(qiáng)的設(shè)計(jì)目標(biāo)，要求移動(dòng)計(jì)算終端除了擁有基礎(chǔ)的惡意軟件檢測(cè)功能外，還需具備較強(qiáng)的應(yīng)用拓展性能。為此，本文為移動(dòng)計(jì)算終端設(shè)計(jì)出如圖3所示的硬件架構(gòu)。

由圖3可知，移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)的移動(dòng)計(jì)算終端主要由電源電路、檢測(cè)電路、顯示電路、通信電路和應(yīng)用拓展電路組成。其中，電源電路、檢測(cè)電路、顯示電路是移動(dòng)計(jì)算終端的基礎(chǔ)硬件配置，通常，這三個(gè)電路一旦連接成功，便會(huì)在系統(tǒng)中循環(huán)使用。而通信電路和應(yīng)用拓展電路是可以依照用戶(hù)需求進(jìn)行隨時(shí)更換的?；A(chǔ)硬件配置與通信電路和應(yīng)用拓展電路均通過(guò)RS 232接口連接，RS 232接口是一種異步傳輸?shù)臉?biāo)準(zhǔn)接口，可增強(qiáng)系統(tǒng)的實(shí)用性。

當(dāng)惡意與非惡意軟件特性分類(lèi)結(jié)果通過(guò)通信電路被傳輸?shù)揭苿?dòng)計(jì)算終端后，檢測(cè)電路將對(duì)其中的惡意軟件特性進(jìn)行惡意軟件位置檢測(cè)，惡意軟件位置檢測(cè)的作用是將用戶(hù)移動(dòng)終端中含有惡意軟件特性的軟件區(qū)域進(jìn)行隔離，防止惡意軟件繼續(xù)侵害用戶(hù)移動(dòng)終端。移動(dòng)計(jì)算終端的工作流程和檢測(cè)結(jié)果將在顯示電路中實(shí)現(xiàn)可視化，用戶(hù)可隨意查看，并選擇是否刪除移動(dòng)終端中的惡意軟件。

3 實(shí)驗(yàn)結(jié)果分析

3.1 實(shí)驗(yàn)概述

為了分析本文所設(shè)計(jì)的移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)的誤報(bào)率和實(shí)用性，實(shí)驗(yàn)將本文系統(tǒng)與反編譯環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)、后臺(tái)監(jiān)聽(tīng)環(huán)境下惡意軟件檢測(cè)系統(tǒng)在兩款用戶(hù)移動(dòng)終端中進(jìn)行實(shí)驗(yàn)分析。實(shí)驗(yàn)在兩個(gè)用戶(hù)移動(dòng)終端中均安裝70個(gè)軟件，其中，終端1中有10款?lèi)阂廛浖?，終端2中有2款?lèi)阂廛浖?/p>

系統(tǒng)的誤報(bào)率是指非惡意軟件被錯(cuò)誤分類(lèi)到惡意軟件中的概率，系統(tǒng)的實(shí)用性可使用受試者工作特性曲線(xiàn)（ROC曲線(xiàn)）表示。ROC曲線(xiàn)能夠反映出受試者應(yīng)對(duì)系統(tǒng)刺激所產(chǎn)生的感受。在本文實(shí)驗(yàn)中，ROC曲線(xiàn)的橫、縱坐標(biāo)分別用惡意軟件檢測(cè)系統(tǒng)的誤報(bào)率和靈敏度表示，曲線(xiàn)下方的面積越大，表示系統(tǒng)的實(shí)用性越強(qiáng)。

3.2 系統(tǒng)誤報(bào)率實(shí)驗(yàn)結(jié)果分析

圖4、圖5分別表示在兩款用戶(hù)移動(dòng)終端中，本文系統(tǒng)、反編譯環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)和后臺(tái)監(jiān)聽(tīng)環(huán)境下惡意軟件檢測(cè)系統(tǒng)的誤報(bào)率曲線(xiàn)。

由圖4和圖5可知，用戶(hù)移動(dòng)終端中的惡意軟件越多，惡意軟件檢測(cè)系統(tǒng)的誤報(bào)率就越高。并且，其他兩個(gè)惡意軟件檢測(cè)系統(tǒng)的誤報(bào)率均遠(yuǎn)高于本文系統(tǒng)的誤報(bào)率，證明本文系統(tǒng)誤報(bào)率較低。

3.3 系統(tǒng)實(shí)用性實(shí)驗(yàn)結(jié)果分析

圖6、圖7分別表示在兩款用戶(hù)移動(dòng)終端中，三個(gè)系統(tǒng)的ROC曲線(xiàn)。

由圖6和圖7可知，在用戶(hù)移動(dòng)終端1，2中，本文系統(tǒng)ROC曲線(xiàn)下的面積均要高于其他兩個(gè)系統(tǒng)，證明本文系統(tǒng)具有較強(qiáng)的實(shí)用性。

4 結(jié) 論

移動(dòng)計(jì)算是一種可實(shí)現(xiàn)移動(dòng)終端無(wú)線(xiàn)數(shù)據(jù)資源共享的一種傳輸技術(shù)，其高效、精準(zhǔn)、實(shí)用的工作在一定程度上提高了各領(lǐng)域的運(yùn)營(yíng)成果，因此，本文設(shè)計(jì)移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)。系統(tǒng)使用靜態(tài)檢測(cè)函數(shù)和移動(dòng)計(jì)算，對(duì)本文系統(tǒng)誤報(bào)率低、實(shí)用性強(qiáng)的設(shè)計(jì)目標(biāo)進(jìn)行了較好的實(shí)現(xiàn)。在未來(lái)，所設(shè)計(jì)的移動(dòng)計(jì)算環(huán)境下惡意軟件靜態(tài)檢測(cè)系統(tǒng)必將在信息挖掘和惡意軟件檢測(cè)等領(lǐng)域發(fā)揮較大的作用。

參考文獻(xiàn)

[1] 周利琴，谷林.基于高斯膚色模型的人臉區(qū)域及下巴檢測(cè)[J].西安工程大學(xué)學(xué)報(bào)，2015，29（6）：751?755.

[2] 盧文清，何加銘，曾興斌，等.基于混合特性的Android惡意軟件靜態(tài)檢測(cè)[J].無(wú)線(xiàn)電通信技術(shù)，2014，40（6）：64?68.

[3] 蔣煦，張長(zhǎng)勝，戴大蒙，等.Android平臺(tái)惡意應(yīng)用程序靜態(tài)檢測(cè)方法[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2016，25（4）：1?7.

[4] 周裕娟，張紅梅，張向利，等.基于Android權(quán)限信息的惡意軟件檢測(cè)[J].計(jì)算機(jī)應(yīng)用研究，2015，32（10）：3036?3040.

[5] 倪斌，李紅蘭.一種基于移動(dòng)Agent的云端計(jì)算任務(wù)安全分割與分配算法[J].現(xiàn)代電子技術(shù)，2015，38（17）：89?92.

[6] 耿穎.基于區(qū)間數(shù)據(jù)場(chǎng)景級(jí)屬性可信評(píng)測(cè)的檢測(cè)能力分析[J].現(xiàn)代電子技術(shù)，2015，38（17）：149?150.

[7] 樊郁徽，徐寧.Andriod平臺(tái)的惡意軟件行為分析[J].重慶文理學(xué)院學(xué)報(bào)（社會(huì)科學(xué)版），2014，33（5）：144?147.

[8] 彭國(guó)軍，李晶雯，孫潤(rùn)康，等.Android惡意軟件檢測(cè)研究與進(jìn)展[J].武漢大學(xué)學(xué)報(bào)（理學(xué)版），2015，61（1）：21?33.

[9] 劉曉東，何加銘，馮波，等.一種靜態(tài)Android程序惡意性檢測(cè)方法[J].無(wú)線(xiàn)電通信技術(shù)，2014，40（2）：70?73.

[10] 文偉平，梅瑞，寧戈，等.Android惡意軟件檢測(cè)技術(shù)分析和應(yīng)用研究[J].通信學(xué)報(bào)，2014，35（8）：78?85.