曹敏志

摘 要：文章提出一種基于系統(tǒng)調用功能的Android惡意軟件檢測方法。通過構建Android系統(tǒng)應用程序數(shù)據(jù)文件保護機制，針對手機病毒、惡意軟件損害及木馬入侵等安全隱患，設計了一種專用的基于系統(tǒng)調用的Android惡意軟件檢測架構。結合系統(tǒng)調用頻數(shù)特征，描述應用程序執(zhí)行時的非法行為，并以kNN算法為基礎，結合實例對某Android系統(tǒng)手機惡意軟件進行檢測分析。

關鍵詞：系統(tǒng)調用；Android系統(tǒng)；惡意軟件；檢測

中圖分類號：TP309.2 文獻標志碼：A 文章編號：2095-2945（2018）02-0193-02

Abstract： This paper presents an Android malware detection method based on system call function. Through the construction of Android system application data file protection mechanism， aiming at mobile phone virus， malicious software damage and Trojan invasion and other security risks. A special Android malware detection architecture based on system call is designed. According to the characteristics of system call frequency， this paper describes the illegal behavior when the application program is executed， and based on the kNN algorithm， analyzes the malware of a mobile phone in a Android system with examples.

Keywords： system call； Android system； malware； detection

Android系統(tǒng)自從2007年11月5日問世以來，其一直以開源移動操作系統(tǒng)，基于“software stac”架構及Linux內核、Dalvik虛擬機、數(shù)據(jù)庫及各種應用程序為基礎，為用戶提供移動終端智能服務[1]。但隨著Android系統(tǒng)快速發(fā)展，基于Android平臺的應用程序也逐漸增多，其成為眾多移動終端惡意軟件開發(fā)者攻擊的目標，使智能Android系統(tǒng)移動終端可能遭受的威脅與非法攻擊安全隱患越來越多，導致用戶信息資料失竊、隱私被泄漏及惡意扣費，甚至會使某些軟件一度癱瘓。

1 問題的提出

通常在對手機惡意軟件進行分析時，主要采用“靜態(tài)”與“動態(tài)”分析兩種方法，結合惡意攻擊行為進行判斷，結合系統(tǒng)安全檢測記錄分析惡意未知代碼。無論靜態(tài)還是動態(tài)檢測分析，均需事先對惡意行為特征進行收集與分析。該方法難以識別特殊惡意行為特征。倘若軟件開發(fā)者采用加殼、偽裝等方法一旦改變軟件特征，則很難對其中存在的惡意損害風險進行檢測與識別。對此，為了彌補上述檢測技術缺陷，本文基于系統(tǒng)調用的Android惡意軟件檢測方法，結合實例對其檢測效果進行分析。

2 基于系統(tǒng)調用的Android惡意軟件檢測概述

通常情況下，Android系統(tǒng)為每位智能用戶的每個應用程序均分配了唯一的LinuxID，且通過創(chuàng)建沙箱以保證用戶應用程序免受外來干擾。在此安全機制下，用戶Android系統(tǒng)文件訪問控制系統(tǒng)中每個文件由9個訪問權限位，分別與其它用戶、文件擁有者所在用戶組及文件擁有者三種用戶權限所對應。在此過程中，Android系統(tǒng)中的MMU（內存管理單元）負責虛擬與物理地址間的映射，確保每個應用服務進程均有屬于自己的獨立地址空間，并通過設置內存訪問權限，保護用戶應用軟件服務進程不受惡意軟件損害。

3 基于系統(tǒng)調用的Android惡意軟件檢測架構

隨著Android智能手機全面普及，其功能不斷增多，無線上網(wǎng)、電子交易、郵件及社交、電商交易服務等，都需通過智能終端來完成。但其安全性不斷降低，手機中的惡意軟件也相繼出現(xiàn)，如手機病毒、木馬及拒絕服務供給等，都影響了智能手機用戶正常使用。用戶隱私被竊取，惡意軟件開發(fā)者可輕易修改甚至解包用戶Android應用商店下載的程序壓縮包。這種非法行為不僅侵犯了原程序開發(fā)者，同時也對用戶信息安全造成了很大影響。

針對以上現(xiàn)象，本研究設計了基于系統(tǒng)調用的惡意軟件檢測架構，將用戶手機移動終端對未知應用程序的檢測工作轉移到系統(tǒng)服務器端，從而使系統(tǒng)服務器能夠收集更多移動終端的處理數(shù)據(jù)，以實現(xiàn)全面對用戶手機移動終端惡意軟件程序進行檢測、分析，減少對用戶手機終端系統(tǒng)資源的占用，加快智能手機運行速度，減緩電量消耗。

本系統(tǒng)架構主要將監(jiān)控Linux內核系統(tǒng)調用的應用程序安裝于模擬器或用戶Android手機中。該程序服務會自動于系統(tǒng)后臺啟動，并采用“Strace”工具，對用戶手機端相關應用程序運行時產生的系統(tǒng)調用數(shù)據(jù)進行采集，然后將其在文件中存儲，并基于Internet向系統(tǒng)遠程服務器發(fā)送。在此架構下，系統(tǒng)需通過AM.RAPI類調用監(jiān)控程序，對用戶相關應用軟件程序包名及進程號PID等正在運行的進程信息等進行獲取。在此基礎上，通過調取“Strace”相關命令，對系統(tǒng)調用的應用軟件進程服務信息相關命令進行執(zhí)行。當系統(tǒng)遠端服務器收到發(fā)送的文件后，會自動進行信息分析與處理，由此生成系統(tǒng)調用向量。然后，采用“WEKA”數(shù)據(jù)挖據(jù)軟件，基于系統(tǒng)調用頻數(shù)及kNN分類算法，對系統(tǒng)正常與異常向量進行準確識別。一旦系統(tǒng)服務器檢測到用戶智能終端應用程序中含有惡意行為向量類中的向量時，就會向用戶及時發(fā)送安全警告，并通知用戶卸載該惡意軟件程序，以保證用戶系統(tǒng)安全。endprint

4 基于系統(tǒng)調用的Android惡意軟件檢測實例分析

4.1 調用系統(tǒng)執(zhí)行應用軟件程序頻數(shù)

本研究從某網(wǎng)站下載Android手機惡意軟件樣本，選擇指紋屏保對及其對應版本號相同且?guī)в蠵JApps病毒的指紋屏保惡意軟件安裝并啟動，后臺聯(lián)網(wǎng)，發(fā)現(xiàn)用戶隱私信息被泄漏；啟動應用服務訂購SP業(yè)務，將運營商訂購回復短信屏蔽后，發(fā)現(xiàn)用戶話費在毫不知情的情況下被惡意扣取；同時，發(fā)現(xiàn)用戶上網(wǎng)流量被惡意程序消耗，計算器程序無法啟動，用戶手機存儲讀寫服務持續(xù)重啟，由此判斷用戶智能終端遭受惡意軟件攻擊。

于是，啟動本研究設計的基于系統(tǒng)調用的Android惡意軟件檢測架構，基于系統(tǒng)調用程序的頻數(shù)特征，判斷程序行為是否確實存在異常。Linux系統(tǒng)內核空間與用戶空間，在Linux系統(tǒng)中，當系統(tǒng)調用程序時，用戶程序會由用戶態(tài)切換到內核態(tài)，并執(zhí)行相應的內核態(tài)函數(shù)。完成交互式操作后，系統(tǒng)會返回至用戶態(tài)。在此空間內，系統(tǒng)通過接口調用，使用戶所有應用程序資源均在內核控制下實現(xiàn)交換。

因Android系統(tǒng)內存管理、安全加密管理與進程管理等核心服務均需依賴于Linux內核，從而保證系統(tǒng)上層相關訪問請求均需經(jīng)過系統(tǒng)調用接口。在此環(huán)境下，系統(tǒng)調用時獲取應用程序運行時的信息都會被系統(tǒng)調用接口所捕獲。據(jù)此即可基于“trace工具”，收集每個應用程序執(zhí)行時的行為數(shù)據(jù)。本研究從Linux2.6內核中萃取了如下10個具有代表性的系統(tǒng)調用，然后結合其啟動調用頻數(shù)特征，采用kNN分類算法分析特征向量屬性。

4.2 引入kNN分類算法分析離待測向量最近向量的所屬類別

本文采用歐式距離表示向量之間的相似度，kNN分類算法公式如下：

式中：dist（x，y）表示特征向量x，y間的歐式距離距離。

每個Android應用程序都會將數(shù)據(jù)分為“惡意”與“正?！眱深悺阂獬绦蛳庐a生的所有向量歸結為惡意行為向量量類。在weka下采用kNN分類算法將得到的系統(tǒng)調用特征向量進行分類，k=1，然后進行檢測。

5 結束語

綜上所言，在智能手機逐漸普及的社會環(huán)境下，惡意軟件越來越多。對于Android系統(tǒng)而言，需采用有效的安全措施，阻止惡意軟件對手機系統(tǒng)造成損害。本文采用系統(tǒng)調用的Android惡意軟件檢測方法進行異常檢測，結果表明，該方法能夠準確區(qū)分含有惡意程序的應用軟件與正常軟件，并通過檢測結果趨勢分析，自動向用戶發(fā)出警告，以增強智能手機Android系統(tǒng)運行安全性。

參考文獻：

[1]鄭忠偉，歐毓毅.基于圖模式與內存足跡的Android惡意應用與行為檢測[J].計算機應用研究，2017，12：1-7.

[2]陳鵬，趙榮彩，韓金，等.基于動靜結合的Android惡意代碼行為相似性檢測[J].計算機應用研究，2017，05：1-2.

[3]姜海濤，郭雅娟，陳昊，等.一種混合的Android惡意應用檢測方法[J].計算機應用研究.

[4]劉魁.Android平臺的一種數(shù)據(jù)安全隔離方案[J].科技創(chuàng)新與應用，2016（27）：48-49.

[5]閆廣華，呂曉晨，郝小輝，等.淺談網(wǎng)絡攻擊與終端安全防護[J].科技創(chuàng)新與應用，2014（35）：72.endprint