賀 強(qiáng)，王雙喜，李劍勇，曲長征

(1.山西農(nóng)業(yè)大學(xué) 信息學(xué)院，山西 晉中 030800； 2.太原市電子研究設(shè)計(jì)院，太原 030002)

基于Android網(wǎng)絡(luò)惡意行為檢測系統(tǒng)的應(yīng)用研究

賀 強(qiáng)1,2，王雙喜1，李劍勇1，曲長征1

(1.山西農(nóng)業(yè)大學(xué) 信息學(xué)院，山西 晉中 030800； 2.太原市電子研究設(shè)計(jì)院，太原 030002)

目前，Android系統(tǒng)是當(dāng)今網(wǎng)絡(luò)用戶最對(duì)的應(yīng)用系統(tǒng)之一，而隨著科學(xué)技術(shù)的發(fā)展，對(duì)于Android系統(tǒng)的惡意行為軟件也逐漸增多，給當(dāng)前的應(yīng)用用戶的財(cái)產(chǎn)以及私人信息安全帶來了很大的威脅，嚴(yán)重的遲緩了當(dāng)前移動(dòng)通信網(wǎng)絡(luò)技術(shù)以及相關(guān)于應(yīng)用客戶端的推廣；為此，根據(jù)Android系統(tǒng)的特有機(jī)構(gòu)設(shè)計(jì)出一種基于Binder信息流的自動(dòng)檢測惡意行為系統(tǒng)，以此來解決對(duì)于當(dāng)前網(wǎng)絡(luò)安全對(duì)于Android系統(tǒng)用戶帶來的負(fù)面影響；根據(jù)目前網(wǎng)絡(luò)中的應(yīng)用通信信息，檢測可能存在的泄露用戶信息的應(yīng)用軟件為目標(biāo)，建立信息矢量圖以此來分析當(dāng)前網(wǎng)絡(luò)中的惡意行為；通過對(duì)軟件進(jìn)行檢測，研究可實(shí)用性和檢測效果，結(jié)果顯示其識(shí)別率可以達(dá)到100%，并且軟件運(yùn)行只占有內(nèi)存的7%，結(jié)果可以達(dá)到當(dāng)前的Android用戶的使用范圍。

Android；網(wǎng)絡(luò)惡意行為；Binder；檢測

0 引言

隨著近些年網(wǎng)絡(luò)技術(shù)和通信技術(shù)的不斷發(fā)展以及結(jié)合，移動(dòng)通信網(wǎng)絡(luò)的建立，不斷地推動(dòng)著當(dāng)今網(wǎng)絡(luò)移動(dòng)客戶端的發(fā)展。而為滿足當(dāng)今的社會(huì)現(xiàn)象，以及當(dāng)前網(wǎng)絡(luò)環(huán)境中信息數(shù)據(jù)量的要求，Android系統(tǒng)成為最為熱門以及系統(tǒng)運(yùn)算較為先進(jìn)的代表，逐漸取代以往的JAVA系統(tǒng)成為移動(dòng)通信端的主要操作系統(tǒng)。并開啟了當(dāng)今智能手機(jī)的新時(shí)代。而且在當(dāng)今的市場應(yīng)用現(xiàn)狀來說，具有競爭力的兩大系統(tǒng)則為Android系統(tǒng)以及蘋果公司推出的IOS系統(tǒng)。但是由于IOS系統(tǒng)為蘋果公司獨(dú)有的移動(dòng)手機(jī)應(yīng)用系統(tǒng)，只在Iphone系列產(chǎn)品中使用，市場占有率畢竟有限，而Android系統(tǒng)為當(dāng)今大多移動(dòng)手機(jī)制造商所使用，是當(dāng)前市場中占有率最高的操作系統(tǒng)而且應(yīng)用程度也最為普遍。但是由于網(wǎng)絡(luò)環(huán)境的復(fù)雜以及科學(xué)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)安全問題已經(jīng)不再僅僅是威脅著主機(jī)PC端的問題，正在逐漸延伸至智能手機(jī)用戶端，為此對(duì)于保護(hù)Android系統(tǒng)的用戶私人信息安全以及應(yīng)用軟件的可靠性，急需建立一個(gè)完善的惡意行為檢測系統(tǒng)[1]。

而在目前的開發(fā)現(xiàn)狀當(dāng)中，針對(duì)Android系統(tǒng)開發(fā)的檢測方法以及系統(tǒng)設(shè)計(jì)已經(jīng)有多種方案。例如應(yīng)用Indus針對(duì)Android應(yīng)用的源代碼采用程序切分的方法分析存在的信息泄露問題分析，形成一種靜態(tài)分析辦法。但是這種辦法存在著只有在軟件處于休眠狀態(tài)下才可以發(fā)現(xiàn)是否具有威脅性。而利用TaintDroid工具開發(fā)的動(dòng)態(tài)污點(diǎn)分析法可以做到對(duì)于敏感對(duì)象實(shí)施標(biāo)記并跟蹤監(jiān)控以及及時(shí)發(fā)現(xiàn)惡意行為。然而，此系統(tǒng)的操作流程復(fù)雜，占中的數(shù)據(jù)資源極高，實(shí)用性上欠佳。

為此本文提出利用Binder信息流設(shè)計(jì)出對(duì)于惡意行為檢測的辦法。在Android系統(tǒng)當(dāng)中Binder是最為常用的通信方式，按類別上分屬于動(dòng)態(tài)分析法范疇之內(nèi)，通過收集通信信息做到對(duì)于多種方面的安全需求分析。此系統(tǒng)的目的是為了分析由于惡意行為導(dǎo)致的信息泄露現(xiàn)象，通過攔截泄露的信息進(jìn)行惡意行為分析，以達(dá)到檢測的效果。

1 Binder信息流

安卓系統(tǒng)所采用的應(yīng)用內(nèi)核是Linux內(nèi)核，而在這中內(nèi)核當(dāng)中進(jìn)行程序運(yùn)行過程中，會(huì)存在許多種的通信機(jī)制。例如命名管道(Named Pipe)、消息隊(duì)列(Message Queue)、信號(hào)(Signal)、共享內(nèi)存(Share Memory)以及Socket。然而在Android系統(tǒng)運(yùn)行終端中出現(xiàn)惡意行為的產(chǎn)生一般性的都是由于后行下載的應(yīng)用軟件所夾帶的惡意軟件。而這些軟件所使用的通信機(jī)制為Binder，為此本文所研究的這些惡意軟件所產(chǎn)生的私人信息泄露問題檢測則采用Binder信息流進(jìn)行分析研究。Binder是當(dāng)前Android系統(tǒng)中一種較為新穎的IPC(Inter Process Cimmunication)機(jī)制，較為一些原始通信機(jī)制相比較來看，此通信機(jī)制具備更加簡潔的操作流程和更快的運(yùn)算速度，并且對(duì)于系統(tǒng)整體的內(nèi)存資源占有率較少，所產(chǎn)生的成本也相對(duì)可觀。

Binder作為最近科學(xué)技術(shù)的產(chǎn)物，在Android系統(tǒng)的應(yīng)用也越來越深，逐漸成為了當(dāng)前系統(tǒng)當(dāng)中獨(dú)有的通信C/S結(jié)構(gòu)。在Android系統(tǒng)中包括了客戶端、服務(wù)器端以及全局管理和服務(wù)器控制端。而Binder作為一種較為特殊的運(yùn)算字符型設(shè)備，適應(yīng)著Linunx設(shè)備所支持的驅(qū)動(dòng)模型。在用戶的使用空間當(dāng)中包括了以上所提到的3個(gè)部分，而Binder的驅(qū)動(dòng)程序則安裝在內(nèi)核空間之中。在相互關(guān)系中服務(wù)器控制端輔助Binder進(jìn)行管理工作，客戶端以及服務(wù)器端則是為Binder提供可操作界面以及相應(yīng)的操作基礎(chǔ)設(shè)施構(gòu)造，實(shí)現(xiàn)兩端口之間可以隨時(shí)通信的功能。其結(jié)構(gòu)圖如圖1。

圖1 Binder機(jī)制的結(jié)構(gòu)圖

2 利用Binder信息流設(shè)計(jì)安卓惡意行為檢測系統(tǒng)

2.1 系統(tǒng)的設(shè)計(jì)分析

在實(shí)現(xiàn)惡意行為檢測的基本原理上所利用的是Binder機(jī)制當(dāng)中可以對(duì)于應(yīng)用軟件所獲取的用戶信息傳遞過程中進(jìn)行攔截，并且對(duì)與攔截的到的信息進(jìn)行全面分析一發(fā)現(xiàn)是否存在惡意行為。并且還對(duì)當(dāng)前的應(yīng)用軟件與應(yīng)用軟件之間的通信和應(yīng)用軟件與操作系統(tǒng)之間的通信制成相關(guān)的日志文件，對(duì)通信過程中的信息進(jìn)行標(biāo)注，對(duì)可疑的信息傳輸進(jìn)行跟蹤調(diào)查，構(gòu)建應(yīng)用通信信息流圖像，實(shí)現(xiàn)對(duì)于惡意信息的全面檢測辦法[2]。

在系統(tǒng)設(shè)立的架構(gòu)中所采用的是服務(wù)器到客戶端的模式，在整個(gè)系統(tǒng)的操作過程中分為3個(gè)重要的工作部分。為Binder日志收集、Binder日志文件處理以及最后的惡意分析工作。而這些工作部分中日志收集工作處在客戶端部分進(jìn)行，而剩下兩組任務(wù)在服務(wù)器端進(jìn)行完成，并且對(duì)于之間的信息傳輸采用Socket進(jìn)行通信，以協(xié)同完成惡意行為檢測。

2.2 日志收集

在Android系統(tǒng)當(dāng)中各個(gè)應(yīng)用組件通信方式在進(jìn)行通信過程中都應(yīng)該經(jīng)過Binder方式來實(shí)現(xiàn)。為此在進(jìn)行日志收集的過程中所得到的信息來源基本上為應(yīng)用間的信息流通信息流以及Binder在驅(qū)動(dòng)運(yùn)行中所攔截道德通信信息流。而為了將系統(tǒng)設(shè)計(jì)進(jìn)行更加簡約以及靈活性高和內(nèi)耗較少，所采用日志的模式，將信息寫入到日志當(dāng)中，并且將日志文件存放在客戶端當(dāng)中，可以大大減少對(duì)于內(nèi)存的占用。但是這種模式下需要對(duì)用戶空間設(shè)置相應(yīng)的守護(hù)進(jìn)程，保證整個(gè)日志文件的安全以及共分析過程中可以方便提取以及不會(huì)受到損壞。而這個(gè)守護(hù)進(jìn)程隨Android智能手機(jī)開啟時(shí)便隨之啟動(dòng)并且隨時(shí)與Binder驅(qū)動(dòng)設(shè)備進(jìn)行實(shí)時(shí)通信，為及時(shí)對(duì)日志進(jìn)行處理和分析工作。

2.3 日志處理

在Binder通信日志的儲(chǔ)存形式當(dāng)中所采用的是二進(jìn)制的儲(chǔ)存格式，在進(jìn)行分析和運(yùn)算的過程中驅(qū)動(dòng)程序無法單獨(dú)對(duì)其運(yùn)算和解析，需要將數(shù)據(jù)導(dǎo)入到數(shù)據(jù)庫當(dāng)中進(jìn)行分析，為此對(duì)于收集到的隱私信息的查詢或是通信記錄的調(diào)取都從數(shù)據(jù)庫端進(jìn)行操作。

然而被寫成的日志文件可視性極差，很難進(jìn)行直接的分析和解讀，并且不同數(shù)據(jù)文件的寫入方式不同，對(duì)于分析工作有著跟大的阻礙。為此進(jìn)行相應(yīng)的分析和解讀過程中需要對(duì)當(dāng)前所收集到的日志文件進(jìn)行預(yù)處理工作，將數(shù)據(jù)之間的字段符號(hào)意義重新規(guī)劃并且設(shè)定成可以進(jìn)行解讀的模式。在當(dāng)前的Android系統(tǒng)應(yīng)用軟件通信過程中所涉及的字段大致分為3種，通信數(shù)據(jù)編號(hào)ID用于發(fā)送Binder；通信類Type以及Type四種通信請(qǐng)求，通信請(qǐng)求并且要求反饋的字段，對(duì)于所發(fā)送的請(qǐng)求接收并且給予反饋?zhàn)侄?，?duì)于發(fā)送的請(qǐng)求接收但不給予反饋的字段；在應(yīng)用軟件發(fā)送的進(jìn)程號(hào)from-id以及進(jìn)程名from-name字段；接收方所對(duì)于該進(jìn)程接收號(hào)to-id和進(jìn)程接收名to-name字段；通信內(nèi)容大小和內(nèi)容的date-size和date。在預(yù)處理過程中需要將日志當(dāng)中的復(fù)雜字符字段通過預(yù)處理重新編寫成上述大致使用的基本字段，便于后期對(duì)于日志信息的處理工作。

在進(jìn)行日志分析和處理過程中建立應(yīng)用間信息通信流圖可以更加快速的分析出應(yīng)用信息之間的關(guān)聯(lián)。建立方法將日志文件導(dǎo)入到數(shù)據(jù)庫當(dāng)中，并且對(duì)上述處理后的字段進(jìn)行分析。而為保證識(shí)別的準(zhǔn)確性以及對(duì)于危害用戶私人數(shù)據(jù)的安全行，因采用的對(duì)比方法設(shè)置用戶隱私數(shù)據(jù)樣本，并且通過收集到的通信數(shù)據(jù)內(nèi)容與樣本匹配發(fā)現(xiàn)所可能存在的涉及到隱私數(shù)據(jù)外泄的數(shù)據(jù)源和通信記錄。為找到泄露的通信信息流向，利用發(fā)送發(fā)的進(jìn)程為開始出發(fā)點(diǎn)，將接收方作為終點(diǎn)，得出整體的數(shù)據(jù)流向數(shù)據(jù)。而目前的網(wǎng)絡(luò)通信環(huán)境復(fù)雜，一般性為一點(diǎn)對(duì)多點(diǎn)的通信交流方式，為此采用不斷迭代的方式來進(jìn)行每一個(gè)數(shù)據(jù)流向進(jìn)行矢量圖構(gòu)造。最后將所有的數(shù)據(jù)流向圖匯總形成信息矢量圖。而且要對(duì)矢量圖當(dāng)中存在信息泄露的信息流向線進(jìn)行標(biāo)記。矢量圖的構(gòu)建方式如圖2所示。

圖2 信息矢量圖構(gòu)建

圖中各字母都代表著是一個(gè)應(yīng)用。而a-b-c應(yīng)用時(shí)間進(jìn)行通信過程中存在了匹配到的隱私數(shù)據(jù)信息。在矢量圖當(dāng)中可以顯示出應(yīng)用之間進(jìn)行通信連接的路徑。此圖為舉例圖，在圖中可以看出應(yīng)用b與a、c、d、e4個(gè)應(yīng)用都有著信息流通的情況，為此根據(jù)這些流通路徑進(jìn)行分析可以發(fā)現(xiàn)在這些應(yīng)用當(dāng)中是否存在著對(duì)用戶信息造成泄露的現(xiàn)象以及是否存在惡意行為。

2.4 惡意行為分析

對(duì)與應(yīng)用軟件之間的信息流通不都代表著存在著信息泄露和具備惡意行為的現(xiàn)象。在進(jìn)行惡意行為定責(zé)的過程中需要因?qū)嶋H情況具體分析。在整個(gè)分析的過程中需要假定在系統(tǒng)中運(yùn)行的所有應(yīng)用軟件均為可靠的，并且這些軟件不會(huì)受到不信任的第三方軟件的干擾和控制。所以通過對(duì)于矢量圖的方法運(yùn)用以下代碼運(yùn)算[3]：

void Traverse(GraphG)

{//按照遍歷圖G廣度優(yōu)先，分析是否具備惡意行為

for(v=0;v(G.vexnum,++v)

//Malicious

Malicious[v]=FALSE;

//Visited

Visited[v]=FALSE;

InitQueue(Q)

for(v=0;v(G.vexnum,++v)

if(!visited[v])

{EnQueue(Q,v);

While(!QueueEmpty(Q))

{DeQueu(Q,u)；

for(w=FirstAdjVex(Q,u);w(=0;

w=NextAdj Vex(Q,uw))

//如果此過程仍然無法確定u是否具備惡意行為繼續(xù)進(jìn)行分析。

if(!Visited[u],&&!Malicious[u])

{//如果檢測到在u和w之間存在著標(biāo)記的隱私數(shù)據(jù)傳輸行為，進(jìn)行惡意分析

//對(duì)(u,w)這條矢量圖邊線進(jìn)行惡意分析

BinderAnalysis (u,w);

//根據(jù)分析結(jié)果顯示是否存在有惡意行為。

通過對(duì)以上的算法進(jìn)行計(jì)算，可以通過對(duì)矢量圖的信息流向線路計(jì)算結(jié)果可以看出檢測的應(yīng)用與應(yīng)用之間的通信是否存在有用戶私人信息的傳遞過程，對(duì)此過程在進(jìn)行重點(diǎn)的算法分析后，可以看出其是否存在著惡意行為的現(xiàn)象。通過函數(shù)BinderAnalysis(u,w)的表示可以將結(jié)果展示出來并做到檢測的目的保證用戶的個(gè)人隱私數(shù)據(jù)的安全。

3 設(shè)計(jì)系統(tǒng)的實(shí)現(xiàn)

本文所設(shè)計(jì)研究的對(duì)于安卓系統(tǒng)的惡意行為檢測采用的是Binder采集信息，并且利用信息建立相應(yīng)的矢量圖，反映出應(yīng)用軟件之間的信息流向，通過這些流向和路徑的分析得出是否存在惡意行為。通過改變Binder的底層代碼以適應(yīng)當(dāng)前的安裝系統(tǒng)版本，而且當(dāng)前的安卓系統(tǒng)本更根性非?？?，加之許多手機(jī)制造商均根據(jù)安卓系統(tǒng)為原型設(shè)計(jì)出符合自身特點(diǎn)的操作系統(tǒng)，需要根據(jù)不同的手機(jī)品牌的操作系統(tǒng)設(shè)定相應(yīng)的代碼才可以達(dá)到更有效的惡意行為檢測。

在Binder的通信信息收集過程當(dāng)中內(nèi)核層中的驅(qū)動(dòng)以及用戶層所應(yīng)用的守護(hù)進(jìn)程分別保護(hù)一個(gè)結(jié)構(gòu)體數(shù)組，每個(gè)數(shù)組中含有的數(shù)都為32個(gè)，并且這兩個(gè)結(jié)構(gòu)都代表著一個(gè)Binder的通信信息，變量則為字段。在通信過程中Binder系統(tǒng)每次攔截的一個(gè)應(yīng)用的信息流就將這個(gè)信息數(shù)據(jù)賦值成這個(gè)數(shù)組的結(jié)構(gòu)體當(dāng)中。當(dāng)數(shù)組當(dāng)中的32個(gè)個(gè)體都被重新賦值之后系統(tǒng)的驅(qū)動(dòng)將會(huì)告知守護(hù)進(jìn)程。守護(hù)進(jìn)程將會(huì)利用Ioctl協(xié)議訪問Binder驅(qū)動(dòng)系統(tǒng)，并且驅(qū)動(dòng)系統(tǒng)將會(huì)對(duì)這些數(shù)組進(jìn)行復(fù)制并且發(fā)送到守護(hù)進(jìn)程當(dāng)中的數(shù)組集當(dāng)中。守護(hù)進(jìn)程將會(huì)把這些復(fù)制過來的新數(shù)組形成日志的形式編寫進(jìn)數(shù)據(jù)庫當(dāng)中。當(dāng)這些日志的數(shù)量被累積到一定的程度時(shí)，系統(tǒng)將會(huì)自動(dòng)將這些日志文件上傳到服務(wù)器當(dāng)中，并且利用服務(wù)器的數(shù)據(jù)庫對(duì)此進(jìn)行分析識(shí)別工作。在Binder通信日志的儲(chǔ)存過程中采用二進(jìn)制的儲(chǔ)存方式并且利用Ultraedit軟件進(jìn)行日志的開發(fā)。其日志的顯示圖如圖3。

圖3 日志顯示圖

從圖中可見其代碼不宜進(jìn)行解讀為此需要進(jìn)行上文所提到的預(yù)處理工作。將每一個(gè)字段重新解讀并且組成為可以進(jìn)行分析的上文所提到的字段形式中，并且將預(yù)處理之后的字段數(shù)據(jù)導(dǎo)入到Binderlog的數(shù)據(jù)表當(dāng)中以供后期處理[4]。

而日志的處理工作大致位于服務(wù)器當(dāng)中的數(shù)據(jù)庫中來進(jìn)行的。繪制的矢量圖基于Struts+Spring+H ibernate架構(gòu)，采用的繪制軟件為script，并且圖形庫選擇為Raphael。并且在矢量圖的分析中得出存在的用戶個(gè)人隱私信息的信息傳遞鏈條，將這些信息重新設(shè)定一個(gè)Phonestate的表格。通過對(duì)于新表格當(dāng)中的發(fā)送發(fā)、接收方、節(jié)點(diǎn)和應(yīng)用之間的信息流向進(jìn)行研究，構(gòu)建出單獨(dú)的存在問題的矢量圖。圖4為信息矢量圖的應(yīng)用軟件和構(gòu)建結(jié)構(gòu)過程圖。

圖4 信息矢量圖展示

在惡意分析過程中的實(shí)現(xiàn)則是應(yīng)用了現(xiàn)今的安卓語言來進(jìn)行。將分析后的數(shù)據(jù)函數(shù)輸入到矢量圖當(dāng)中，分析當(dāng)前的信息數(shù)據(jù)是否存在惡意行為，并且根據(jù)信息流向找出流出軟件應(yīng)用和接收方。例如，某一方在進(jìn)行訪問某特定數(shù)據(jù)的時(shí)并沒有訪問的權(quán)限，但是該應(yīng)用在進(jìn)行傳遞信息的過程中存在了其某特定數(shù)據(jù)，則定義此應(yīng)用軟件產(chǎn)生了惡意行為，并歸為惡意軟件[5]。

4 軟件實(shí)際檢測和結(jié)果

實(shí)際檢測樣本為選擇了一款裝有最新安卓系統(tǒng)的智能手機(jī)，并且應(yīng)用其在網(wǎng)上下載200款網(wǎng)絡(luò)應(yīng)用APP，而且為保證對(duì)于系統(tǒng)檢測的可能性保真，實(shí)驗(yàn)中所應(yīng)用的到的檢測對(duì)象分為IMEI、Wifi MAC、藍(lán)牙、安卓版本號(hào)、操作系統(tǒng)序列號(hào)、短信信息這六種類別，分別應(yīng)用設(shè)計(jì)出的系統(tǒng)對(duì)其進(jìn)行惡意行為檢測[6-7]。并且將惡意應(yīng)用軟件的數(shù)量結(jié)果進(jìn)行統(tǒng)計(jì)智能表1。

表1 惡意應(yīng)用軟件的數(shù)量結(jié)果

從表1中可以看出，該系統(tǒng)的檢測結(jié)果顯示，當(dāng)前網(wǎng)絡(luò)應(yīng)用環(huán)境當(dāng)中IMEI以及WIFI MAC的惡意軟件應(yīng)用數(shù)量最多。而系統(tǒng)性能分析中得出系統(tǒng)在進(jìn)行運(yùn)算這些軟件是否存在惡意軟件的進(jìn)程所耗費(fèi)時(shí)間為6秒左右，對(duì)于系統(tǒng)的運(yùn)算能力有著杰出的表現(xiàn)，結(jié)果顯示此系統(tǒng)對(duì)于當(dāng)前的安卓系統(tǒng)當(dāng)中的應(yīng)用軟件檢測能力非常高，并且占有內(nèi)存和耗時(shí)較少，運(yùn)行程度較為流暢，有很高的應(yīng)用性。

5 結(jié)論

在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全成為最為重要的研究方向，而目前移動(dòng)手機(jī)客戶端的接入網(wǎng)絡(luò)以及Android系統(tǒng)應(yīng)用的智能手機(jī)開發(fā)，將智能手機(jī)網(wǎng)絡(luò)時(shí)代的推向了高潮。為此防止網(wǎng)絡(luò)中的惡意軟件侵入，造成用戶個(gè)人隱私數(shù)據(jù)泄露和財(cái)產(chǎn)安全等原因考慮，本文設(shè)計(jì)利用Android系統(tǒng)當(dāng)中的Binder信息流模式構(gòu)建出檢測系統(tǒng)，對(duì)于用戶中的應(yīng)用軟件信息流向進(jìn)行檢測以分析是否存在惡意行為，保證用戶在使用過程中的安全性和當(dāng)前網(wǎng)絡(luò)復(fù)雜環(huán)境中的?？俊Ｍㄟ^檢測可以得出，此系統(tǒng)對(duì)于網(wǎng)絡(luò)應(yīng)用的檢測成果較高，并且耗時(shí)時(shí)間段，運(yùn)算所占用的Android系統(tǒng)內(nèi)從較少，有很高的可行性和安全性。在眾多的網(wǎng)絡(luò)安全設(shè)計(jì)當(dāng)中提出一種設(shè)計(jì)構(gòu)想和參考基礎(chǔ)。

[1] 賈同彬，蔡 陽，王躍武，等.一種面向普通用戶的Android APP安全性動(dòng)態(tài)分析方法研究[J].信息網(wǎng)絡(luò)安全,2015，10(9)：1-5.

[2] 楊 歡，張玉清，胡予濮，等，基于多類特征的Android應(yīng)用惡意行為檢測系統(tǒng)[J].計(jì)算機(jī)學(xué)報(bào)，2014，37(1)：1-13.

[3] 李桂芝，韓 臻，周啟惠，等.基于Binder信息流的Android惡意行為檢測系統(tǒng)[J].網(wǎng)絡(luò)信息安全，2016,3(2):54-59.

[4] 王汝言，蔣子泉，劉喬壽.Android下Binder進(jìn)程間通信機(jī)制的分析與研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，22(9)：107-110.

[5] 鄧平凡.深入理解Android[M].北京：機(jī)械工業(yè)出版社，2011.

[6] 馬晉楊, 徐 蕾. 基于Android系統(tǒng)的手機(jī)惡意軟件檢測模型[J]. 計(jì)算機(jī)測量與控制, 2016, 24(1):156-158.

[7] 林 鑫. 基于沙盒的Android惡意軟件檢測技術(shù)研究[J]. 電子設(shè)計(jì)工程, 2016, 24(12):48-50.

Application Research of Malicious Behavior Detection System Based on Android Network

He Qiang1,2,Wang Shuangxi1,Li Jianyong1,Qu Changzheng1

(1.College of Information,Shanxi Agricutural University, Jinzhong 030800,China;2.Taiyuan Electronic Research and Design Institute,Taiyuan 030002,China)

The Android system is one of the most of the application system of the network users, and with the development of science and technology, the software for malicious behavior Android system has gradually increased, brought great threat to the application of the user's current property and personal information security, severe delay on the current mobile communication network technology and extension on application client. According to the specific mechanism of Android system to design a Binder based on the information flow of the automatic detection system of malicious behavior, in order to solve the negative impact of the current network security system for Android users. According to the application communication information in the current network, the application software of the possible leakage user information is detected, and the information vector is built to analyze the malicious behavior in the current network. Through testing the software of practicability and detect, the results showed that the recognition rate can reach 100%, software occupies only 7% memory. Results can reach the current Android user usage.

Android; network malicious behavior; Binder; detection

2016-12-28；

2017-02-06。

山西省教育科學(xué)“十二五”規(guī)劃2015年度規(guī)劃課題(GH-15010)；2016年山西省高等學(xué)校教學(xué)改革創(chuàng)新項(xiàng)目(J2016146)。

賀 強(qiáng)(1982-)，男，山西太原人，高級(jí)工程師，主要從事軟件工程方向的研究。

1671-4598(2017)07-0012-04

10.16526/j.cnki.11-4762/tp.2017.07.003

TP309

A