苗博 陳子豪 殷旭東

摘 要：Android惡意軟件發(fā)展迅速，變種繁多，對(duì)Android惡意軟件檢測(cè)的研究與分析有著重要的實(shí)際意義。文章基于Android惡意軟件的類(lèi)型特點(diǎn)和檢測(cè)技術(shù)，對(duì)國(guó)內(nèi)外的檢測(cè)方法進(jìn)行介紹和分析。從惡意軟件的發(fā)展角度，分析檢測(cè)方法的技術(shù)選擇；從檢測(cè)技術(shù)分析檢測(cè)方法的優(yōu)缺點(diǎn)。重點(diǎn)分析總結(jié)了基于靜態(tài)特征檢測(cè)、基于動(dòng)態(tài)特征檢測(cè)和基于混合特征檢測(cè)的幾種檢測(cè)方法。最后展望了Android惡意軟件檢測(cè)方法的發(fā)展趨勢(shì)。

關(guān)鍵詞：Android；惡意軟件；檢測(cè)方法；特征；機(jī)器學(xué)習(xí)

Android是Google公司的一種基于Linux的自由、開(kāi)源的操作系統(tǒng)，由于其開(kāi)放、自由的原則和應(yīng)用市場(chǎng)的擴(kuò)大，Android惡意軟件開(kāi)始泛濫。

2018年Android惡意軟件專(zhuān)題報(bào)告[1]中顯示，從2012年到2015年，移動(dòng)端新增惡意軟件數(shù)量情況急劇惡化，2015全年新增惡意軟件數(shù)量達(dá)到約1 874.0萬(wàn)個(gè)。而從2016年開(kāi)始，新增惡意軟件數(shù)量逐年下降。惡意軟件新增數(shù)量減少的原因除了Google每次在升級(jí)版本時(shí)加強(qiáng)系統(tǒng)安全性，更有力的是惡意軟件檢測(cè)方法的發(fā)展和升級(jí)。

Android惡意軟件的檢測(cè)引起廣大研究人員的關(guān)注，對(duì)不同的檢測(cè)方法進(jìn)行了大量研究。本文介紹了惡意軟件的發(fā)展和種類(lèi)，并對(duì)惡意軟件檢測(cè)方法進(jìn)行分析和介紹。

1 Android惡意軟件

由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)提出的惡意軟件官方定義為在未明確提示用戶(hù)或未經(jīng)用戶(hù)許可的情況下，在用戶(hù)計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵犯用戶(hù)合法權(quán)益的軟件。

1.1 惡意軟件的發(fā)展與現(xiàn)狀

自從2010年第一款A(yù)ndroid惡意軟件FakePlayer[2]出現(xiàn)開(kāi)始，到目前為止，針對(duì)Android的惡意軟件層出不窮。除了傳統(tǒng)的木馬、病毒、蠕蟲(chóng)、DDoS、后門(mén)等，最近幾年，又出現(xiàn)了針對(duì)信息和數(shù)據(jù)的間諜軟件、恐嚇、勒索軟件以及最普遍、最大眾化的廣告軟件。

隨著技術(shù)的發(fā)展與進(jìn)步，惡意軟件的技術(shù)也在不斷升級(jí)。2018年來(lái)，惡意軟件中利用的新興技術(shù)主要包括：利用調(diào)試接口傳播；Kotlin語(yǔ)言開(kāi)發(fā)的惡意軟件首次發(fā)現(xiàn)；劫持路由器設(shè)置；篡改剪切板內(nèi)容等。

1.2 惡意軟件的分類(lèi)

除了傳統(tǒng)的根據(jù)惡意軟件形式的分類(lèi)方法，也有針對(duì)Android惡意軟件的行為特征進(jìn)行分類(lèi)的[3]。（1）惡意軟件安裝：重打包、更新攻擊、誘惑下載、其他；（2）惡意軟件運(yùn)行；（3）惡意載荷：提權(quán)攻擊、遠(yuǎn)程控制、信息收集；（4）權(quán)限使用。

1.3 面臨的挑戰(zhàn)和難題

雖然近年的惡意軟件新增數(shù)量在逐年減少，但還存在著大量的惡意軟件威脅。隨著5G的到來(lái)，在全新的領(lǐng)域中，移動(dòng)平臺(tái)可能又將迎來(lái)大量的新型惡意軟件的威脅。而且，隨著社會(huì)的發(fā)展，未來(lái)極大可能面臨的是通過(guò)基于內(nèi)容的惡意軟件進(jìn)行的人與人之間的斗爭(zhēng)，電信詐騙等極其損害大眾利益和家庭幸福的手段可能將會(huì)利用惡意軟件制造出更加讓人迷惑的騙局。

2 Android惡意軟件檢測(cè)

Android惡意軟件檢測(cè)其流程主要為樣本獲取和特征選擇，再根據(jù)不同的特征選擇不同的檢測(cè)方法?；谔卣鳈z測(cè)可以分為靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)，近年來(lái)還出現(xiàn)了基于靜態(tài)特征和動(dòng)態(tài)特征結(jié)合的檢測(cè)方法，也成為混合特征檢測(cè)。

目前，很多的研究人員將機(jī)器學(xué)習(xí)和傳統(tǒng)檢測(cè)方法相結(jié)合，利用不同的分類(lèi)算法構(gòu)成分類(lèi)器對(duì)應(yīng)用軟件進(jìn)行檢測(cè)和分類(lèi)，使檢測(cè)更加快速和準(zhǔn)確。

2.1 靜態(tài)檢測(cè)

針對(duì)Android應(yīng)用程序，典型的靜態(tài)特征就是APK文件。APK文件中包括各種特征，如權(quán)限、Java代碼、網(wǎng)絡(luò)地址和硬件組件等。

最早出現(xiàn)的基于簽名的惡意軟件檢測(cè)方法，就是從APK文件中提取簽名，然后通過(guò)簽名進(jìn)行匹配檢測(cè)已知惡意軟件，但是無(wú)法對(duì)變種的、未知的惡意軟件進(jìn)行檢測(cè)。而后大量研究學(xué)者提出改進(jìn)，2013年，秦中元等[4]提出利用MD5校驗(yàn)的檢測(cè)技術(shù)以及對(duì)于未檢測(cè)過(guò)的APK文件，可根據(jù)權(quán)限來(lái)進(jìn)行檢測(cè)和分析。到目前為止，基于權(quán)限和API的靜態(tài)檢測(cè)技術(shù)[5]仍然高效可行。

卜義云[6]提出在傳統(tǒng)的靜態(tài)檢測(cè)方法中，由于研究者大都帶有個(gè)人主觀性進(jìn)行設(shè)定，這樣的不確定性很大程度影響了最終檢測(cè)結(jié)果的準(zhǔn)確性。所以基于靜態(tài)檢測(cè)的原理，引入機(jī)器學(xué)習(xí)的分類(lèi)算法對(duì)個(gè)人主觀因素以及對(duì)未知惡意軟件的檢測(cè)有著很好的改進(jìn)。

許艷萍等[7]提出對(duì)Android應(yīng)用軟件提取權(quán)限為特征，采用IG特征選擇算法[8]優(yōu)化特征選擇，利用改進(jìn)樸素貝葉斯算法構(gòu)建分類(lèi)器進(jìn)行檢測(cè)，大大提高了檢測(cè)的效率。

謝麗霞等[9]提出一種基于Bagging-SVM（支持向量機(jī)）算法的檢測(cè)模型。該模型首先提取應(yīng)用軟件的權(quán)限信息、組件信息作為特征，采用平衡數(shù)據(jù)集訓(xùn)練基于Bagging算法的SVM集成分類(lèi)器，解決了由于數(shù)據(jù)不平衡導(dǎo)致的檢測(cè)效率低的問(wèn)題。

陳蘇婷等[10]提出一種針對(duì)關(guān)聯(lián)權(quán)限的基于隨機(jī)森林的檢測(cè)方法。利用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘的方式分析樣本中提取出的關(guān)聯(lián)權(quán)限是否具有二義性，并用隨機(jī)森林分類(lèi)器檢測(cè)惡意軟件。該方法突破了傳統(tǒng)方法對(duì)特定權(quán)限進(jìn)行檢測(cè)的局限性。

2.2 動(dòng)態(tài)檢測(cè)

動(dòng)態(tài)檢測(cè)即應(yīng)用程序在運(yùn)行時(shí)對(duì)應(yīng)用程序的動(dòng)態(tài)行為和系統(tǒng)響應(yīng)進(jìn)行分析。研究最多的動(dòng)態(tài)特征主要為：系統(tǒng)調(diào)用和網(wǎng)絡(luò)流量。

在早期3G時(shí)代，異常流量現(xiàn)象就普遍存在，李俊[11]提出了基于統(tǒng)計(jì)的異常流量進(jìn)行檢測(cè)和判定惡意軟件，而目前基本覆蓋的4G以及即將到來(lái)的5G時(shí)代，面臨著大量的惡意流量的威脅。因此，許多研究者把網(wǎng)絡(luò)流量作為研究對(duì)象。王閃閃[12]提出捕獲Android中網(wǎng)絡(luò)數(shù)據(jù)包的流量信息，然后使用該信息訓(xùn)練SVM分類(lèi)器，通過(guò)SVM分類(lèi)器進(jìn)行對(duì)惡意軟件的檢測(cè)。

除了網(wǎng)絡(luò)流量以外，動(dòng)態(tài)行為的監(jiān)測(cè)也常常作為動(dòng)態(tài)特征被廣大研究者研究。張吉[13]提出一個(gè)Android自動(dòng)化測(cè)試搭配使用終端監(jiān)控技術(shù)的動(dòng)態(tài)檢測(cè)模型。但傳統(tǒng)的方法具有不全面和不實(shí)際的缺點(diǎn)。張超欽等[14]提出一種基于馬爾可夫鏈及支持向量機(jī)的檢測(cè)方法。該方法把應(yīng)用軟件對(duì)功能的調(diào)用序列當(dāng)成離散時(shí)間Markov鏈，通過(guò)統(tǒng)計(jì)相鄰系統(tǒng)調(diào)用對(duì)的出現(xiàn)頻率來(lái)計(jì)算狀態(tài)轉(zhuǎn)移概率矩陣。把轉(zhuǎn)移概率矩陣轉(zhuǎn)化為特征向量，作為SVM的輸入進(jìn)行訓(xùn)練，從而進(jìn)行檢測(cè)，大大提高了準(zhǔn)確度。

2.3 混合特征檢測(cè)

混合特征即靜態(tài)特征和動(dòng)態(tài)特征的結(jié)合。靜態(tài)特征檢測(cè)最為方便，特征提取較為容易，但存在難以解決加殼、代碼混淆等問(wèn)題。動(dòng)態(tài)特征檢測(cè)相比前者更加全面，但是動(dòng)態(tài)特征提取難度相對(duì)較大，且需要root設(shè)備。由于基于單一特征的檢測(cè)方法各有利弊，選用混合特征進(jìn)行檢測(cè)相對(duì)兩者較為全面，但增加了檢測(cè)難度。

馮擘[15]利用靜態(tài)分析和動(dòng)態(tài)分析提取到相應(yīng)的特征，基于靜態(tài)特征和動(dòng)態(tài)特征得到混合特征，再利用改進(jìn)的AdaBoost-RBFSVM算法對(duì)混合特征進(jìn)行分類(lèi)，然后進(jìn)行檢測(cè)。

3 結(jié)語(yǔ)

本文介紹了Android惡意軟件的發(fā)展和分類(lèi)，以及基于Android應(yīng)用軟件的靜態(tài)特征、動(dòng)態(tài)特征和混合特征，分別分析了相對(duì)應(yīng)的檢測(cè)方法。

Android惡意軟件檢測(cè)技術(shù)已經(jīng)取得很大的進(jìn)步，但是目前仍存在大量惡意軟件以及將來(lái)還可能會(huì)出現(xiàn)的未知惡意軟件。惡意軟件技術(shù)在不斷地升級(jí)變種，研究者還需持續(xù)關(guān)注新型技術(shù)以及針對(duì)新型惡意軟件檢測(cè)方法進(jìn)行開(kāi)發(fā)。

隨著人工智能時(shí)代的到來(lái)，越來(lái)越多的機(jī)器學(xué)習(xí)算法被運(yùn)用到Android惡意軟件檢測(cè)技術(shù)領(lǐng)域中，未來(lái)人們與惡意軟件的斗爭(zhēng)可能會(huì)成為機(jī)器之間的斗爭(zhēng)、算法之間的斗爭(zhēng)。

[參考文獻(xiàn)]

[1] 360烽火實(shí)驗(yàn)室.2018年Android惡意軟件專(zhuān)題報(bào)告[EB/OL].（2019-02-18）[2019-03-01].http：//blogs.#/post/review_android_malware_of_2018.html.

[2]JIANG X X，ZHOU Y J.Dissecting Android malware： characterization and evolution [C].San Francisco：Proceeding of IEEE Symposium on Security and Privacy，2012：95-109.

[3]卿斯?jié)h.Android安全研究進(jìn)展[J].軟件學(xué)報(bào)，2016（1）：45-71.

[4]秦中元，徐毓青，梁彪，等.一種Android平臺(tái)惡意軟件靜態(tài)檢測(cè)[J].東南大學(xué)學(xué)報(bào)（自然科學(xué)版），2013（6）：1162-1167.

[5]陳紅閔，胡江村.安卓惡意軟件的靜態(tài)檢測(cè)方法[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2018（7）：26-33.

[6]卜義云.基于機(jī)器學(xué)習(xí)的Android惡意軟件靜態(tài)檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2016.

[7]許艷萍，伍淳華，侯美佳，等.基于改進(jìn)樸素貝葉斯的Android惡意應(yīng)用檢測(cè)技術(shù)[J].北京郵電大學(xué)學(xué)報(bào)，2016（2）：43-47.

[8]FEIZOLLAH A，ANUAR N B，SALLEH R，et al.A review on feature selection in mobile malware detection[J].Digital Investigation，2015（13）：22-37.

[9]謝麗霞，李爽.基于Bagging-SVM的Android惡意軟件檢測(cè)模型[J].計(jì)算機(jī)應(yīng)用，2018（3）：818-823，878.

[10]陳蘇婷，王軍華，張艷艷.基于隨機(jī)森林的Android惡意軟件檢測(cè)方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2017（9）：2374-2378.

[11]李俊.Android平臺(tái)下基于流量監(jiān)測(cè)的安全軟件設(shè)計(jì)與實(shí)現(xiàn)[D].成都：西南交通大學(xué)，2014.

[12]王閃閃.基于網(wǎng)絡(luò)流量的Android惡意應(yīng)用識(shí)別方法研究[D].濟(jì)南：濟(jì)南大學(xué)，2018.

[13]張吉.Android平臺(tái)下惡意軟件動(dòng)態(tài)檢測(cè)技術(shù)研究[D].天津：天津大學(xué)，2012.

[14]張超欽，胡光武，王振龍，等.一種基于支持向量機(jī)的安卓惡意軟件新型檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用與軟件，2018（10）：292-298.

[15]馮擘.Android平臺(tái)惡意軟件檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京交通大學(xué)，2018.