基于權(quán)限相關(guān)性的Android惡意軟件檢測研究

顏瑩

摘要：隨著科學(xué)技術(shù)發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷創(chuàng)新與完善，更多先進(jìn)技術(shù)得以創(chuàng)新與研發(fā)，這給各個行業(yè)的發(fā)展提供巨大便利。但是市場經(jīng)濟(jì)的快速發(fā)展使得各個領(lǐng)域之間的競爭更加激烈，當(dāng)然惡性競爭也無法避免，這樣對整個行業(yè)的發(fā)展秩序造成很大的影響。在軟件開發(fā)領(lǐng)域，有大量的惡意軟件得以開發(fā)，直接對廣大互聯(lián)網(wǎng)用戶的財產(chǎn)安全造成很大的威脅，影響社會穩(wěn)定。本文從權(quán)限機(jī)制進(jìn)行分析，利用基于權(quán)限相關(guān)性的處理方案和實驗方式進(jìn)行更加深入探討。

關(guān)鍵詞：權(quán)限相關(guān)性；安卓系統(tǒng)；惡意軟件檢測

0引言

現(xiàn)階段，我國科學(xué)技術(shù)以及互聯(lián)網(wǎng)技術(shù)得到更大的創(chuàng)新與發(fā)展，同時智能手機(jī)的大量普及，已經(jīng)成為我國廣大用戶的生活必需品，各種應(yīng)用程序使得人們的生活方式得到翻天覆地的變化，例如支付寶的支付功能，人們只需要簡單的操作就能實現(xiàn)在線交易，打破時間與空間上的限制；微信軟件，可以實現(xiàn)隨時隨地的視頻功能，創(chuàng)新人們的溝通方式；游戲軟件更加豐富人們的娛樂生活。這些智能軟件的開發(fā)與廣泛普及，迅速占領(lǐng)市場，給廣大用戶的生產(chǎn)生活帶來巨大的便利。但是同時近年安卓系統(tǒng)智能手機(jī)中惡意軟件的增加速度也在加快。不良分子通過這些惡意軟件對廣大智能手機(jī)用戶進(jìn)行遠(yuǎn)程控制，非法竊取他人信息，甚至是竊取錢財，給用戶造成很大的財產(chǎn)損失以及生活困擾。

1權(quán)限機(jī)制

由于當(dāng)前廣大用戶對智能手機(jī)的依賴性較強(qiáng)，很多人都在使用支付寶或是微信紅包進(jìn)行交易，這樣廣大用戶的財產(chǎn)信息全部在手機(jī)上，同時更多重要聯(lián)系人的信息也在手機(jī)上，手機(jī)安全成為現(xiàn)階段廣大用戶最為關(guān)心的問題，一旦手機(jī)信息泄露將給廣大用戶造成巨大的經(jīng)濟(jì)損失以及生活不便。為了進(jìn)一步提高安卓智能手機(jī)的安全性，權(quán)限機(jī)制成為最為核心的技術(shù)。要想在安卓系統(tǒng)上發(fā)揮一系列的軟件，必須嚴(yán)格按照manifest文件規(guī)定，所有軟件在運行過程中必須首先得到權(quán)限信息，只有在通過所有權(quán)限的前提下，廣大安卓系統(tǒng)智能機(jī)用戶才能下載軟件。同時為了更加有效提高軟件的安全性，保證用戶安心，用戶在訪問可能存在危險的系統(tǒng)資源或是訪問聲明外的軟件時，安卓系統(tǒng)會進(jìn)行提醒、限制。在所有安卓系統(tǒng)的智能手機(jī)上，一共羅列出多達(dá)134種的權(quán)限信息，同時根據(jù)每條信息進(jìn)行詳細(xì)闡述與解釋。當(dāng)前，主要分為normal、dangerous、signature和signatureor svstem這四種權(quán)限類別，是按照由低風(fēng)險到高風(fēng)險的順序排列。屬于normal這一類別的軟件程序，由于風(fēng)險較低，因此不會對整個安卓系統(tǒng)、用戶或是手機(jī)上的其他應(yīng)用軟件造成危害；第二類別中的軟件系統(tǒng)屬于高風(fēng)險權(quán)限，只用在用戶輸入相關(guān)信息后系統(tǒng)才會給予此權(quán)限；第三類別中軟件只有在應(yīng)用程序使用的數(shù)字簽名與聲明權(quán)限中應(yīng)用程序的簽名一致時才能通過權(quán)限。專業(yè)技術(shù)人員通過對大量的安卓應(yīng)用程序權(quán)限信息進(jìn)行白組織映射神經(jīng)網(wǎng)絡(luò)分析計算后得出：大部分應(yīng)用程序都很少用到Android權(quán)限。而大部分惡意程序與良性程序都在廣泛地使用訪問網(wǎng)絡(luò)、讀手機(jī)狀態(tài)以及寫SD卡等權(quán)限。不同的是有62.7%的使用短信有關(guān)權(quán)限、54.6%開機(jī)自啟動權(quán)限被惡意軟件攻擊，但是這些權(quán)限良性程序不會使用。因此各種安卓權(quán)限使用頻率存在很大的差別，同時對權(quán)限使用組合和類別傾向上良性軟件與惡意軟件存在較大的差異。

總結(jié)：隨著人們生活水平的不斷提高，人們對智能機(jī)的依賴程度將更加嚴(yán)重。因此安卓智能手機(jī)的安全性直接關(guān)系到廣大用戶的財產(chǎn)安全與信息安全，甚至關(guān)系到整個社會的穩(wěn)定性。因此這就需要科研人員必須樹立強(qiáng)烈的責(zé)任感和使命感，研發(fā)更多良性軟件，為人們的生產(chǎn)生活提供便利，同時加強(qiáng)對惡意軟件的研究，制定具有針對性的解決方案，進(jìn)一步提高惡意軟件檢測的準(zhǔn)確率。相關(guān)部門一定要加強(qiáng)對軟件使用的監(jiān)督管理制度，加強(qiáng)打擊手段，拓展宣傳方式，提高廣大用戶智能機(jī)安全使用意識，從而保證廣大智能機(jī)用戶財產(chǎn)與信息安全，為軟件使用創(chuàng)造一個良好的環(huán)境。

2基于權(quán)限相關(guān)性的處理方案

2.1權(quán)限特征選取

上文針對安卓權(quán)限機(jī)制進(jìn)行全面分析，本文在對各種權(quán)限同惡意傾向的相關(guān)性進(jìn)行計算時，主要采用引入卡方檢驗方式，抽取關(guān)鍵權(quán)限特征。1990年現(xiàn)代統(tǒng)計學(xué)的創(chuàng)始人之一K.Pearson提出卡方檢驗，采用卡方檢驗方法能夠?qū)煞N成分的權(quán)限相關(guān)性進(jìn)行準(zhǔn)確、快速的分析。但是，在采用該種方式時可能出現(xiàn)‘低頻缺陷”問題，導(dǎo)致出現(xiàn)該種問題的原因是該種方式在設(shè)計過程中，需要對樣本的特征性進(jìn)行分析，如果樣本特征差異性較小，則會影響權(quán)限特征的選取。在安卓系統(tǒng)的所有權(quán)限聲明信息里，為了防止出現(xiàn)低頻缺陷的問題，在進(jìn)行權(quán)限信息選定時，需要保證所有權(quán)限信息的唯一性，保證卡方檢驗方式能夠正確的選擇關(guān)鍵權(quán)限特征。

2.2權(quán)限特征聚類去冗余

站在直觀角度，只有和分類結(jié)果相關(guān)性高，且和其他特征不相關(guān)或者弱相關(guān)，這才是最為理想的權(quán)限特征。科研人員在運用樸素貝葉斯算法時對特征屬性進(jìn)行假設(shè)，一個屬性對于分類的影響?yīng)毩⒂谄渌麑傩?。根?jù)對大量的權(quán)限特征集合，科研人員發(fā)現(xiàn)權(quán)限之間存在明顯的相關(guān)性，這些權(quán)限在樣本中成組出現(xiàn)或者沒有。分別以SUBSC R IBED_FEEDS_R EAD、SUBSCRIBED_FEEDS_wRlTE兩個權(quán)限為例，二者之間都具有較強(qiáng)的相關(guān)性，同時都會在樣本信息中成組出現(xiàn)。如果同時作為權(quán)限特征，就會直接影響到分類結(jié)果。因此為了進(jìn)一步提高權(quán)限特征的代表性，盡量減少分類開銷，需要對權(quán)限特征集合中的冗余特征進(jìn)行去除。

3實驗

3.1實驗過程

科研人員可以隨機(jī)從兩個商店分別獲取正常軟件樣本和惡意軟件樣板，樣本數(shù)量均為1000，腳本編寫時采用python語言，在進(jìn)行權(quán)限信息儲存時，需要先采用Andfod-SDK工具進(jìn)行aapt工具下載，當(dāng)上述準(zhǔn)備工作結(jié)束后，對特征進(jìn)行預(yù)處理，將冗余的權(quán)限屬性去除，并選擇準(zhǔn)確的關(guān)鍵權(quán)特征。同時，在進(jìn)行權(quán)限聚類參數(shù)的確定工作時，需要合理地選擇n（權(quán)限相關(guān)度閥值），該閥值對權(quán)限聚類參數(shù)選擇影響程度非常高，如果n過小，則會導(dǎo)致出現(xiàn)權(quán)限聚類不夠的現(xiàn)象，不能夠滿足簡化特征的要求；如果n過小，則會導(dǎo)致出現(xiàn)聚類過度的現(xiàn)象，其產(chǎn)生的相關(guān)權(quán)限簇不能夠正確解釋權(quán)限含義。通過當(dāng)n=0.4時，得到以下成組的強(qiáng)相關(guān)權(quán)限簇。以Android權(quán)限含義作為背景知識理解，分組結(jié)果恰好把功能接近相關(guān)性高的權(quán)限歸為一組，同時又沒有過度聚類，遺漏重要權(quán)限特征，符合預(yù)期。經(jīng)過兩輪特征預(yù)處理，權(quán)限特征從134個減少到68個。接下來從樣本中選取800個惡意軟件和800個正常軟件的權(quán)限信息，進(jìn)行樣本學(xué)習(xí)，計算貝葉斯先驗概率。最后利用帶權(quán)重的后驗概率式分別計算其屬于正常軟件和惡意軟件的概率值，通過比較得到軟件檢測結(jié)果。

3.2實驗結(jié)果

通過該實驗證明，基于權(quán)限相關(guān)性的惡意軟件檢測方案，即使分類結(jié)果存在一定的誤差，但是對各種權(quán)限進(jìn)行初步檢測是具有可行性的。并且所需特征數(shù)量較少，容易獲取，因此在進(jìn)行輕量級檢測時使用，檢測結(jié)果可以作為后期科研人員研究的重要參考依據(jù)。endprint