張洋

摘要：Android操作系統(tǒng)所秉承的開(kāi)放性及其目前占有的龐大市場(chǎng)份額，使得其安全性備受關(guān)注，本文對(duì)Android的系統(tǒng)架構(gòu)進(jìn)行了介紹，分析了Android面臨的三類安全威脅和四種受到的攻擊方式，在分析Android三大安全機(jī)制的基礎(chǔ)上，對(duì)惡意軟件的分析檢測(cè)技術(shù)和判定技術(shù)進(jìn)行了研究。

關(guān)鍵詞：Android;惡意軟件;安全機(jī)制;分析監(jiān)測(cè)

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2018）11-0166-01

1 Android系統(tǒng)架構(gòu)

Android系統(tǒng)分為L(zhǎng)inux內(nèi)核層、系統(tǒng)庫(kù)、應(yīng)用框架和應(yīng)用層四個(gè)層面。

Linux內(nèi)核層主要包括進(jìn)程管理、內(nèi)存管理、網(wǎng)絡(luò)堆棧、安全機(jī)制及一系列的驅(qū)動(dòng)模塊。在android系統(tǒng)中，每一個(gè)應(yīng)用都是一個(gè)獨(dú)立的進(jìn)程，資源的分配是以進(jìn)程為單位進(jìn)行的，進(jìn)程之間是不能直接進(jìn)行相互訪問(wèn)的，為了實(shí)現(xiàn)進(jìn)程間的通信，Android引入了進(jìn)程間通信管理機(jī)制——Binder。該機(jī)制的引入解決了進(jìn)程間通信的實(shí)際需求，同時(shí)也為共謀攻擊提供了便利。

2 Android手機(jī)面臨的安全問(wèn)題

2.1 Android手機(jī)受到的安全威脅

Android的開(kāi)放性使其得以迅速的發(fā)展及搶占市場(chǎng)，但是同時(shí)也帶來(lái)了一些安全威脅。

2.2 Android受到的攻擊方式

2.2.1 基于手機(jī)應(yīng)用的攻擊

在用戶根據(jù)自身需求和喜好安裝手機(jī)App的時(shí)候，絕大部分的手機(jī)App都會(huì)提示需要獲取一些系統(tǒng)權(quán)限，一方面用戶缺乏相關(guān)的權(quán)限知識(shí)和安全防范意識(shí)，另一方面App普遍存在過(guò)度獲取大量系統(tǒng)權(quán)限的現(xiàn)象，使得手機(jī)App成為攻擊發(fā)起者的首選目標(biāo)。

2.2.2 基于核心進(jìn)程的攻擊

Android核心進(jìn)程依賴于系統(tǒng)的本地庫(kù)、java類庫(kù)和java虛擬機(jī)。系統(tǒng)本地庫(kù)中包含了很多利用JNI本地調(diào)用方式封裝的C/C++類庫(kù)，這些類庫(kù)沒(méi)有java的強(qiáng)制安全機(jī)制的限制，核心進(jìn)程被攻擊的風(fēng)險(xiǎn)大大提高，加上核心進(jìn)程具有開(kāi)源性所默認(rèn)取得的較高級(jí)別權(quán)限，因此不少攻擊者開(kāi)始將目光轉(zhuǎn)移到system核心進(jìn)程。

2.2.3 基于Linux內(nèi)核的攻擊

每年都有近百的Linux安全漏洞被發(fā)現(xiàn)，大量漏洞的存在使得攻擊者通過(guò)漏洞獲取Android根權(quán)限的機(jī)會(huì)大大增加，一旦攻擊者取得根權(quán)限，便可輕易發(fā)起各種攻擊。另一方面，Android系統(tǒng)Linux內(nèi)核具有高配置性，在手機(jī)硬件配置較低、資源較少的情況下，有些廠商可能會(huì)禁用一些安全配置，間接為攻擊者提供了便利。

3 Android安全機(jī)制

Linux采用的內(nèi)核是Linux，其保留了一些Linux的安全機(jī)制，同時(shí)安卓應(yīng)用開(kāi)發(fā)語(yǔ)言為java，其也受到j(luò)ava的強(qiáng)制安全性限制。另外，因?yàn)锳ndroid智能手機(jī)上具有很多用戶隱私數(shù)據(jù)，因此安卓還設(shè)置了應(yīng)用簽名、權(quán)限審核和沙盒三種安全機(jī)制，以此實(shí)現(xiàn)開(kāi)發(fā)者身份識(shí)別、限制軟件行為和確保應(yīng)用獨(dú)立運(yùn)行的功能。

3.1 簽名機(jī)制

Android應(yīng)用是以.apk文件進(jìn)行發(fā)布的，其實(shí)際上是將所有開(kāi)發(fā)文件打包發(fā)布成apk文件，所有安卓應(yīng)用在發(fā)布時(shí)都必須進(jìn)行簽名，這種簽名是用來(lái)標(biāo)識(shí)開(kāi)發(fā)者和應(yīng)用程序之間的關(guān)系，它不需要權(quán)威的第三方數(shù)字證書(shū)簽名機(jī)構(gòu)進(jìn)行認(rèn)證，僅由開(kāi)發(fā)者進(jìn)行管理。應(yīng)用簽名在App發(fā)布時(shí)進(jìn)行，在進(jìn)行App安裝時(shí)進(jìn)行驗(yàn)證，以實(shí)現(xiàn)對(duì)App來(lái)源的鑒定。

3.2 權(quán)限機(jī)制

Android的權(quán)限機(jī)制可以將應(yīng)用軟件對(duì)關(guān)鍵系統(tǒng)功能和資源的使用情況告知用戶，根據(jù)權(quán)限的功能將所有權(quán)限進(jìn)行了分組，每個(gè)權(quán)限又由Protection Level來(lái)標(biāo)示保護(hù)的級(jí)別，從申請(qǐng)便可用、需要用戶確認(rèn)、需要數(shù)字證書(shū)等共分四個(gè)級(jí)別。開(kāi)發(fā)者在Manifest.xml文件中使用標(biāo)簽來(lái)聲明所需的權(quán)限，如照相、定位、通話等權(quán)限，這些權(quán)限會(huì)在用戶安裝App時(shí)對(duì)用戶進(jìn)行提示，只有用戶同意應(yīng)用使用這些權(quán)限時(shí)，應(yīng)用才能進(jìn)行安裝及在后期運(yùn)行中使用這些權(quán)限。

3.3 沙盒機(jī)制

Android系統(tǒng)提供沙盒機(jī)制主要是為了保障每個(gè)應(yīng)用在運(yùn)行過(guò)程中不受其他應(yīng)用的影響，Android會(huì)為每個(gè)運(yùn)行的應(yīng)用創(chuàng)建一個(gè)Dalvik虛擬機(jī)實(shí)例——沙盒，每個(gè)沙盒之間是相互獨(dú)立不能進(jìn)行互相訪問(wèn)的，每個(gè)沙盒具有自己獨(dú)立的存儲(chǔ)空間，所有請(qǐng)求的數(shù)據(jù)也都必須經(jīng)過(guò)權(quán)限檢測(cè)，當(dāng)單個(gè)應(yīng)用出現(xiàn)故障或者被確認(rèn)攻擊之后，沙盒會(huì)進(jìn)行回滾操作——消除虛擬機(jī)實(shí)例，從而確保整個(gè)系統(tǒng)不受影響。

4 惡意軟件分析及判定

惡意軟件分析的目的是進(jìn)行惡意軟件的檢測(cè)以及判定，其主要是收集分析攻擊者和惡意軟件的特征，識(shí)別網(wǎng)絡(luò)惡意攻擊的真正意圖，從而為保護(hù)手機(jī)終端提供有用的信息。主要檢測(cè)技術(shù)有三種：權(quán)限檢測(cè)、動(dòng)態(tài)檢測(cè)、動(dòng)態(tài)監(jiān)測(cè)。

4.1 權(quán)限分析

安卓系統(tǒng)的權(quán)限機(jī)制可以實(shí)現(xiàn)對(duì)敏感API的保護(hù)，開(kāi)發(fā)者根據(jù)應(yīng)用功能自身的需要申請(qǐng)合理的權(quán)限，通過(guò)對(duì)應(yīng)用的權(quán)限分析能夠簡(jiǎn)單地判定該軟件是否安全。

4.2 動(dòng)態(tài)分析

動(dòng)態(tài)分析的側(cè)重點(diǎn)是軟件的實(shí)際行為，它不受代碼混淆技術(shù)的影響。其主要是監(jiān)測(cè)網(wǎng)絡(luò)訪問(wèn)、API調(diào)用、系統(tǒng)調(diào)用、文件及內(nèi)存訪問(wèn)和修改情況、對(duì)信息的訪問(wèn)和處理模式，之后通過(guò)人工或者模擬觸發(fā)的方式，使得惡意軟件完全暴露出來(lái)。

4.3 靜態(tài)分析

靜態(tài)分析是在不運(yùn)行軟件代碼的情況下，對(duì)APK及其解析文件進(jìn)行各種分析的技術(shù)，這些分析主要包含對(duì)控制流、數(shù)據(jù)流和語(yǔ)義的分析。雖然靜態(tài)分析具有快速高效的優(yōu)點(diǎn)，但是其無(wú)法應(yīng)對(duì)代碼混淆技術(shù)和漏洞攻擊。

4.4 惡意軟件的判定

在進(jìn)行動(dòng)態(tài)和靜態(tài)分析的基礎(chǔ)上，對(duì)惡意軟件的判定一般通過(guò)采用基于特征、基于啟發(fā)式兩種方式?；谔卣鞯姆绞绞悄壳皻⒍拒浖毡椴捎玫姆绞剑@種方式需要不斷的進(jìn)行新特征的分析和收集，通過(guò)已有的特征值能夠快速準(zhǔn)確的識(shí)別已知惡意軟件，但是其具有一定的滯后性。動(dòng)態(tài)啟發(fā)需實(shí)時(shí)監(jiān)控應(yīng)用的行為，檢出率較之靜態(tài)啟發(fā)更高，但是檢測(cè)速度會(huì)隨著資源占用而逐漸變得效率低下，靜態(tài)啟發(fā)效率更高，但是檢出率較低。

5 結(jié)語(yǔ)

本文對(duì)Android的四層系統(tǒng)架構(gòu)進(jìn)行了介紹，分析了Android系統(tǒng)應(yīng)用面臨的三類安全威脅和四種受到的攻擊方式，在分析Android的簽名、權(quán)限和沙盒三大安全機(jī)制的基礎(chǔ)上，對(duì)惡意軟件的權(quán)限分析、動(dòng)態(tài)分析、靜態(tài)分析三種分析方式以及惡意軟件判定技術(shù)進(jìn)行了研究。

參考文獻(xiàn)

[1]卿斯?jié)h.Android安全研究進(jìn)展[J].軟件學(xué)報(bào)，2016，27（01）：45-71.

[2]楊歡，張玉清，胡予濮，劉奇旭.基于多類特征的Android應(yīng)用惡意行為檢測(cè)系統(tǒng)[J].計(jì)算機(jī)學(xué)報(bào)，2014，37（01）：15-27.

Research on Android Malware Detection Method

ZHANG Yang

（Jiangsu Union Vocational and Technical College Xuzhou Economic and Trade Branch， Xuzhou Jiangsu 221004）

Abstract：The openness of the Android operating system and its huge market share have made its security much concerned. This paper introduces the system architecture of Android， analyzes the three types of security threats faced by Android and four kinds of Based on the analysis of Android's three major security mechanisms， the attack detection method and the judgment technology of malware are studied.

Key words：Android; malware; security mechanism; analysis and monitoring