王宏波

【摘要】隨著智能手機(jī)的普及，移動惡意軟件也在不斷的增多，而且各種花樣層出不窮，這在很大程度上加大了安全廠商應(yīng)對惡意軟件的難度。傳統(tǒng)的檢測方法已經(jīng)不能及時的發(fā)現(xiàn)和處理這些惡意軟件。本文主要對移動軟件的檢測技術(shù)進(jìn)行了討論，并且提出了相關(guān)的優(yōu)化方案，好提高檢測的準(zhǔn)確性。

【關(guān)鍵詞】移動軟件 大數(shù)據(jù) 惡意軟件 檢測技術(shù)

【中圖分類號】TP309；TP311.13 【文獻(xiàn)標(biāo)識碼】A 【文章編號】2095-3089（2018）20-0035-02

安卓系統(tǒng)因?yàn)槠溟_源和免費(fèi)的特點(diǎn)，在現(xiàn)在的移動設(shè)備中主要采用的就是這種系統(tǒng)。因?yàn)榘沧肯到y(tǒng)的應(yīng)用程序在開發(fā)時門檻比較低，開發(fā)者只要把應(yīng)用軟件開發(fā)出之后，上傳應(yīng)用商店，安卓手機(jī)用戶便可以進(jìn)行直接下載，所以安卓市場上充斥著各種不同層次的軟件，惡意軟件更加容易針對安卓系統(tǒng)。

一、移動惡意軟件檢測方法

在隨著互聯(lián)網(wǎng)的不斷發(fā)展，智能手機(jī)在我國得到快速的普及，但是其中的惡意軟件也是層出不窮。為了保證智能手機(jī)的安全使用，各大軟件公司也制作了相應(yīng)的殺毒軟件來應(yīng)對那些惡意的移動軟件。在我國，主要有360手機(jī)安全衛(wèi)士、騰訊的手機(jī)管家等軟件給移動終端提供保護(hù)。360主要采用云查殺和本地查殺的方法。本地查殺主要是根據(jù)自己內(nèi)置的殺毒功能對已經(jīng)安裝的軟件進(jìn)行掃描，根據(jù)軟件的包名、UID、版本號、證書和特征碼等，在和病毒庫中的信息進(jìn)行對比，從而做到檢測的目的。騰訊手機(jī)管家主要采用引擎查殺的方法，其具備雙引擎的查殺和云查殺功能。其在沒有網(wǎng)絡(luò)的情況下，也可以對移動終端的軟件做到快速的檢測。而云查殺是在用戶允許的情況下聯(lián)網(wǎng)進(jìn)行查殺，這樣的查殺方法更加準(zhǔn)確。

針對現(xiàn)在惡意軟件頻繁的出現(xiàn)，數(shù)量不斷增長狀況，要想保證移動終端的安全性，相關(guān)的公司在開發(fā)殺毒軟件時，一定要提高軟件行為檢測的精度，降低誤報率，有效的解決客戶端和云端數(shù)據(jù)交互過程中存在的安全問題。通過采用在線環(huán)境模型、數(shù)據(jù)分析模型和挖掘技術(shù)等解決在線動態(tài)信息的隱私保護(hù)問題，同時從大量的軟件樣本中鑒別出惡意軟件，這是應(yīng)對現(xiàn)在惡意軟件層出不窮和頻繁變化的主要變化。

二、移動惡意軟件檢測方法的改進(jìn)

（一）基于均差和方差來選擇計算

移動惡意軟件的檢測系統(tǒng)主要是基于特征提取、均值和方差特征選擇算法以及多級集成的惡意軟件檢測算法來完成檢測工作的。Dalvik指令作為安卓應(yīng)用軟件虛擬機(jī)運(yùn)行時所必須具有的信息，比API更加的接近系統(tǒng)的中心，反映出了安卓應(yīng)用軟件對寄存器的操作行為，其主要的特點(diǎn)就是指令少，容易被提取，是一種鑒別惡意軟件的有效方法。在通過Dalvik指令進(jìn)行鑒別惡意軟件時，主要通過評價其頻率存在的差異作為判斷的依據(jù)。惡意軟件比正常的軟件在Dalvik指令的相對均值要高，即惡意軟件的Dalvik指令比正常軟件個多的調(diào)用。因?yàn)檫@樣特點(diǎn)，基于Dalvik指令的均值和方差的特點(diǎn)選擇算法，對惡意軟件進(jìn)行有效的檢測。

（二）基于特征提取的惡意軟件檢測算法

基于特征提取對惡意軟件進(jìn)行檢測主要是為了提高檢測的精度。采用這種方法是把特征映射到不同的特征空間，從而來構(gòu)建一個新的惡意軟件檢測框架。首先可以從源代碼中提取出Dalvik指令，然后采用主成分分析、Kaehunen-Loeve變換和獨(dú)立成分分析，將Dalvik指令映射到相應(yīng)的特征空間，得出三個新的特征，再采用極速學(xué)習(xí)機(jī)算法訓(xùn)練單層神經(jīng)網(wǎng)絡(luò)，然后將其作為基礎(chǔ)的分類器。極速學(xué)習(xí)機(jī)算法首先會對每個神經(jīng)網(wǎng)絡(luò)隨機(jī)的分配不同的權(quán)值向量，然后對神經(jīng)網(wǎng)絡(luò)輸出的權(quán)值進(jìn)行分析，從而做到對惡意軟件的檢測。

（三）基于多級集成的移動惡意軟件檢測

基于多級集成的惡意軟件的檢測算法主要是根據(jù)安卓軟件的權(quán)限和API特征實(shí)現(xiàn)的。在正常軟件和惡意軟件中，權(quán)限特征和API特征的調(diào)用頻率是存在著不同的。通過多安卓市場上正常的軟件進(jìn)行測試發(fā)現(xiàn)，很少有惡意軟件，這使得數(shù)據(jù)集存在著很大的不均衡性，為了解決這個問題，可以采用少數(shù)樣本的重復(fù)抽樣的方式、和SVM等。一般對惡意軟件進(jìn)行檢測時，都會著重對其進(jìn)行檢測，主要是為了防止出現(xiàn)誤報的現(xiàn)象，在現(xiàn)代主要采用的方法就是針對不同的樣本分配不同的訓(xùn)練權(quán)重、集成方法等。為了提高檢測的準(zhǔn)確性，研究人員提出了一種基于新決策樹的集成學(xué)習(xí)，其主要分成三層決策樹。第一層采用的全投票的方式，避免不平衡的現(xiàn)象出現(xiàn)。第二層采用多數(shù)投票方法，根據(jù)第一沒有檢測出的樣本，根據(jù)第二層的集成結(jié)果，對其中存在的投票結(jié)果不同的樣本交給第三層進(jìn)行處理。第三層主要采用該少數(shù)投票的方式，經(jīng)過第一層和第二層集成，剩下無法檢測出的樣本比較頑固，其缺少相關(guān)的特征，采用少數(shù)投票可以提升檢測的準(zhǔn)確率。

三、總結(jié)

綜上所述，隨著現(xiàn)代移動互聯(lián)網(wǎng)的快速發(fā)展，出現(xiàn)了各種各樣的惡意軟件，因?yàn)榘沧科脚_的開放性，造成了其成為現(xiàn)代許多惡意軟件攻擊的目標(biāo)。為了保證安卓市場可以對發(fā)布在其市場上的軟件做到安全評價，識別出惡意軟件，保證用戶的安全、正常的使用手機(jī)，本文主要對移動終端惡意軟件檢測技術(shù)存在的問題以及從源代碼對惡意軟件進(jìn)行檢測做了相關(guān)的研究，結(jié)果表明從源代碼建立起的惡意軟件檢測技術(shù)是非常實(shí)用有效的。

參考文獻(xiàn)：

[1]樹雅倩，付安民，黃振濤.基于云平臺的移動支付類惡意軟件檢測系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2016，（01）：59-63.

[2]周裕娟，張紅梅，張向利，李鵬飛.基于Android權(quán)限信息的惡意軟件檢測[J].計算機(jī)應(yīng)用研究，2015，（10）：3036-3040.