摘 ?要： 為了解決傳統(tǒng)惡意APP軟件檢測技術(shù)中存在的檢測準(zhǔn)確率低下的問題，引入模糊神經(jīng)網(wǎng)絡(luò)，設(shè)計惡意APP軟件的動態(tài)檢測技術(shù)。從軟件應(yīng)用程序權(quán)限與軟件代碼兩個方面，提取惡意APP軟件特征，并得出相應(yīng)的特征向量，通過構(gòu)建模糊神經(jīng)元得出動態(tài)模糊神經(jīng)網(wǎng)絡(luò)，將得出的APP軟件特征向量輸入到模糊神經(jīng)網(wǎng)絡(luò)當(dāng)中，針對APP軟件的惡意行為進行特征匹配，從而輸出APP軟件的風(fēng)險檢測報告。通過實驗發(fā)現(xiàn)，模糊神經(jīng)網(wǎng)絡(luò)下的惡意APP軟件動態(tài)檢測技術(shù)比傳統(tǒng)的檢測技術(shù)誤報率與漏檢率分別低18.5%和3.8%，準(zhǔn)確率高6.47%。

關(guān)鍵詞： 惡意APP軟件; 動態(tài)檢測; 模糊神經(jīng)網(wǎng)絡(luò); 特征向量獲取; 特征匹配; 對比驗證

中圖分類號： TN711?34; TP183 ? ? ? ? ? ? ? ? ?文獻標(biāo)識碼： A ? ? ? ? ? ? ? ? ? ? ? 文章編號： 1004?373X（2020）02?0049?04

Research on malicious APP software dynamic detection technology based on

fuzzy neural network

PENG Shouzhen

Abstract： A dynamic detection technology against malicious APP software is designed by introducing a fuzzy neural network to solve the low detection accuracy in the traditional malicious APP software detection technology. From the two aspects of software application permission and software code， the features of malicious APP software are extracted and the corresponding feature vectors are obtained. The dynamic fuzzy neural network is obtained by constructing the fuzzy neuron， in which the obtained feature vectors of APP software are inputted， so as to conduct the feature matching against the malicious behaviors of APP software to output the risk detection report of APP software. The experimental results show that in comparison with the traditional detection technology， the false alarm rate and the omission rate of the malicious APP software dynamic detection technology based on fuzzy neural network are decreased by 18.5% and 3.8%， respectively， and its accuracy is increased by 6.47%.

Keywords： malicious APP software; dynamic detection; fuzzy neural network; feature vector acquisition; feature matching; comparison validation

0 ?引 ?言

智能手機與傳統(tǒng)的功能機相比，延續(xù)了傳統(tǒng)手機打電話和手發(fā)短信息的功能，并在此基礎(chǔ)上添加了無線上網(wǎng)功能，實現(xiàn)網(wǎng)絡(luò)通信，并按照用戶的個人需求，支持第三方軟件下載與安裝。Android市場份額的擴大和第三方軟件應(yīng)用數(shù)量的急增，也給惡意軟件的開發(fā)者創(chuàng)造了機會[1]。惡意APP軟件開發(fā)人員，利用Android系統(tǒng)源碼的隱藏漏洞，對源代碼進行篡改，導(dǎo)致用戶隱私遭到威脅?，F(xiàn)階段出現(xiàn)的惡意APP軟件類型分為惡意吸費、隱私竊取、遠程控制、惡意推廣以及系統(tǒng)破壞。用戶在無意識的情況下安裝相應(yīng)的APK文件，被竊取短信、通話記錄等隱私信息。惡意APP軟件通過采取重打包、更新攻擊等方式入侵，重打包將軟件包裝成為正常的APK，經(jīng)過APK的反編譯、重打包、重簽名等步驟生成新的、帶有惡意功能的安裝包，誘導(dǎo)用戶下載與安裝。而更新攻擊是將連接服務(wù)器的部分代碼寫入到合法應(yīng)用當(dāng)中，當(dāng)用戶在使用APP軟件時，惡意代碼服務(wù)器連接后臺啟動，通過遠程服務(wù)器完成更新，進而執(zhí)行惡意代碼[2]。

為了保證用戶手機的使用安全，需要在安裝之前對APP軟件進行安全檢測，由此也就產(chǎn)生了惡意APP軟件檢測技術(shù)?，F(xiàn)階段的檢測技術(shù)包括基于源碼分析的靜態(tài)檢測技術(shù)和基于行為模擬的動態(tài)檢測方法?；谠创a分析的靜態(tài)檢測技術(shù)可以有效地檢測出以重打包為主要入侵攻擊方式的惡意軟件，但由于更新攻擊的源碼是隱藏在正常應(yīng)用程序當(dāng)中的，因此使用這種靜態(tài)分析技術(shù)不能檢測出隱藏的惡意功能[3]?；谛袨槟M的動態(tài)檢測方法有效地解決了靜態(tài)檢測技術(shù)當(dāng)中的問題，但與此同時降低了檢測的準(zhǔn)確率。綜合現(xiàn)階段傳統(tǒng)檢測技術(shù)中存在的問題，引入了模糊神經(jīng)網(wǎng)絡(luò)的概念，對惡意APP軟件動態(tài)檢測技術(shù)進行優(yōu)化設(shè)計，在擴大檢測范圍的同時，保證檢測的準(zhǔn)確性與精確性。

1 ?特征向量提取

通過對惡意APP軟件中的特征提取作為檢測惡意軟件的依據(jù)。具體的特征提取分為兩個方面，分別為應(yīng)用程序權(quán)限提取和代碼特征提取。特征提取的方式是逆向分析APP軟件的安裝包，即APK文件，從中獲得軟件程序的調(diào)用信息;惡意APP軟件這兩個方面的特征組合成為混合特征，構(gòu)建特征向量。

1.1 ?應(yīng)用程序權(quán)限提取

應(yīng)用程序在執(zhí)行功能時需要申請相應(yīng)的權(quán)限，因此一個應(yīng)用程序軟件的權(quán)限列表能夠反映該程序的功能和行為。在SDK提供的權(quán)限中，例如統(tǒng)計電量、設(shè)置壁紙等權(quán)限是不會產(chǎn)生惡意行為的[4]。惡意APP程序常用權(quán)限包括：撥打電話、發(fā)送短信、聯(lián)網(wǎng)、安裝程序包、讀取手機狀態(tài)、讀取手機聯(lián)系人信息等。提取按照圖1中的流程對應(yīng)用程序權(quán)限特征進行提取。

定義特征權(quán)限向量為[P=p1，p2，…，pm]，其中[pm]表示的是在惡意應(yīng)用軟件中通話權(quán)限的次數(shù)從高到低排序為第m位的權(quán)限，由此得出的特征權(quán)限既具有代表性，同時可以避免統(tǒng)計過多權(quán)限特征，導(dǎo)致算法時間效率低下的問題。在此基礎(chǔ)上定義權(quán)限惡意程度值函數(shù)為：

[?p=λ2mpλnp] （1）

式中：[p∈P];[λm]為惡意行為概率;[λn]為正常行為概率。

1.2 ?代碼特征提取

代碼特征的提取對象是解壓后得到的應(yīng)用程序軟件文件，文件中包含APK的包名和權(quán)限。其中包名可以當(dāng)成APK文件的身份信息[5];而權(quán)限可以用來判斷APK對手機系統(tǒng)的調(diào)用情況。將代碼特征提取結(jié)果用[η]來表示，[η]的提取過程如圖2所示。

通過圖2可以看到，圖中所示的.dex文件反編譯模塊和Java反編譯模塊可以將dex文件逐步由Dalvik虛擬機可執(zhí)行文件轉(zhuǎn)換為Java字節(jié)碼文件直至Java代碼文件。

綜上所述，綜合應(yīng)用程序權(quán)限提取與代碼特征提取結(jié)果，可以將惡意APP軟件提取的特征向量表示為：

[QA=q1，q2，…，qm=ηp??p] （2）

式中：[ηp]與[?p]分別表示特征提取的結(jié)果;[qi]的取值范圍為0～1。

2 ?動態(tài)模糊神經(jīng)網(wǎng)絡(luò)建模

模糊神經(jīng)網(wǎng)絡(luò)就是具有模糊權(quán)系數(shù)或者輸入信號是模糊量的神經(jīng)網(wǎng)絡(luò)[6]。利用邏輯模糊神經(jīng)網(wǎng)絡(luò)中的誤差學(xué)習(xí)算法，即是監(jiān)視學(xué)習(xí)算法，針對惡意APP軟件檢測建立動態(tài)網(wǎng)絡(luò)模型。

建立動態(tài)模糊神經(jīng)網(wǎng)絡(luò)模型首先需要建立模糊神經(jīng)元模型。模糊神經(jīng)元是模糊神經(jīng)網(wǎng)絡(luò)的基本組成單位，主要是指一類可以實施模糊信息處理模糊邏輯運算的神經(jīng)元。模糊神經(jīng)元模型的基本表達式如下：

[r=hω1x1，ω2x2，…，ωnxnk=fr-Tyj=gjk] （3）

式中：[r]表示的是模糊神經(jīng)元的輸入值;h表示的是模糊神經(jīng)元的聚合函數(shù);k表示的是模糊神經(jīng)元的狀態(tài)，一般情況下取值為0或1;[f]表示的是輸入值在模糊神經(jīng)元當(dāng)中的傳遞函數(shù);T為閾值[7];[gj]為一個模糊神經(jīng)元對應(yīng)的n個輸出函數(shù)，其中[j]的取值為[0，1，2，…，n]。

在建立模糊神經(jīng)元模型基礎(chǔ)上進行模糊神經(jīng)元的分類，按照分類單元對惡意APP元件代碼進行分類。按照模糊化圣經(jīng)元和模糊邏輯神經(jīng)元的分類原則，可以將模糊神經(jīng)元劃分為第一類模糊神經(jīng)元和第二類模糊神經(jīng)元，兩類神經(jīng)元的模型結(jié)構(gòu)如圖3所示。

圖3中：[xi]為第i個模糊神經(jīng)元的輸入值;y為當(dāng)前的輸出值;圖中“[?]”表示的是累計算子;[μi]為修正處理函數(shù)。而第二類模糊神經(jīng)元的加權(quán)操作是對每一個模糊輸入的值進行修正的操作。

3 ?神經(jīng)網(wǎng)絡(luò)動態(tài)特征匹配

對惡意APP軟件進行動態(tài)跟蹤，得到初始的跟蹤數(shù)據(jù)。在敏感數(shù)據(jù)來源上分配模糊神經(jīng)元標(biāo)簽，帶有標(biāo)簽的神經(jīng)元隨著數(shù)據(jù)和變量的移動自由傳播，在模糊神經(jīng)元流動路徑以及終端的位置添加檢測標(biāo)簽。惡意軟件啟動會調(diào)用本地的方法和數(shù)據(jù)，變量的值會與神經(jīng)元同時作為參數(shù)進行傳輸。通過模糊神經(jīng)元的標(biāo)記，在惡意軟件啟動的過程中，神經(jīng)元隨著軟件應(yīng)用程序進行流通，因此神經(jīng)元的運行路徑即為軟件的執(zhí)行路徑。當(dāng)有軟件結(jié)束調(diào)用時，觀察并檢測被操作的數(shù)據(jù)是否與標(biāo)記的模糊神經(jīng)元重合，以此來判定APP軟件是否存在惡意行為。接著進行特征向量匹配檢測，檢測過程如圖4所示。

該過程主要通過應(yīng)用程序調(diào)用相關(guān)工具獲取APK的文件包名、版本信息等內(nèi)容，從中提取MD5的值為APK的特征碼。首先將得到的APP軟件應(yīng)用程序代碼和惡意代碼按照黑白名單入庫，將提取出的文件特征與數(shù)據(jù)庫中的數(shù)據(jù)進行匹配，若待檢測軟件的提取特征與正常軟件的匹配度達到95%以上，可以判定為正常軟件;如果提取的特征與惡意特征匹配度僅達到5%，則判定為惡意APP軟件。

4 ?輸出軟件風(fēng)險檢測報告

利用特征動態(tài)匹配對比結(jié)果得出相應(yīng)的程序隱私分?jǐn)?shù)，進而得出軟件風(fēng)險檢測報告[8]。通過特征比對的結(jié)果，對應(yīng)用與類的相似性進行加權(quán)處理，獲得風(fēng)險模式指標(biāo)。結(jié)合指標(biāo)的最終相似性，得出風(fēng)險閾值參數(shù)[β]，當(dāng)[β]為0時，APP軟件的風(fēng)險取值會固定為給定的特征匹配比對值;當(dāng)[β]為1時，需要通過應(yīng)用權(quán)限計算的平均相似性來決定風(fēng)險的閾值;當(dāng)[β]大于1時，風(fēng)險閾值使相似性低的應(yīng)用設(shè)置高風(fēng)險值，即應(yīng)用的權(quán)限越多，相似性閾值則越高。

5 ?實驗分析

5.1 ?實驗環(huán)境

實驗平臺環(huán)境主要由支持APP運行的Android手機和用于相關(guān)檢測的服務(wù)器兩部分組成。選用的運行檢測服務(wù)器為云端服務(wù)器，其基本配置為Intel 2.94 GHz CPU，2 GB RAM，操作系統(tǒng)為Windows XP。而Android手機的版本為Android 2.4.4版本，SD卡的容量為1.86 GB。

5.2 ?實驗樣本

實驗中選用的實驗樣本分別為APP軟件10組，且正常APP軟件有5組，惡意APP軟件5組。具體的測試樣本APP設(shè)置情況如表1所示。

另外，在實驗中將部分已知惡意軟件的特征添加到檢測環(huán)境中的惡意軟件樣本特征庫中。

5.3 ?實驗過程

將實驗樣本輸入到實驗環(huán)境中，利用Eclipse檢測技術(shù)進行后臺檢測，最終輸出檢測報告。具體的實驗過程如圖5所示。

在此次實驗當(dāng)中設(shè)立傳統(tǒng)的檢測技術(shù)和靜態(tài)檢測技術(shù)作為實驗的對比方法，將實驗樣本輸入到檢測環(huán)境當(dāng)中，分別按照檢測的技術(shù)流程進行檢驗。相比于設(shè)計出的檢測技術(shù)，傳統(tǒng)的檢測技術(shù)沒有輸入模糊神經(jīng)網(wǎng)絡(luò)的步驟。通過兩種實驗檢測方法得出惡意APP軟件的最終檢驗結(jié)果。

5.4 ?實驗結(jié)果與分析

通過APP軟件檢測方法輸出最終的檢測報告，針對兩種實驗技術(shù)得出實驗結(jié)果進行具體分析，得出有關(guān)于檢測技術(shù)效率相關(guān)系數(shù)的實驗結(jié)果。檢測效率相關(guān)系數(shù)包括APP軟件檢測的準(zhǔn)確率、檢測率、誤報率、漏檢率等，最終明確檢測精度。APP軟件檢測的準(zhǔn)確率為實驗正確檢測樣本數(shù)與總樣本數(shù)的商;檢測率為檢測出的惡意APP樣本數(shù)與總惡意APP樣本數(shù)的商;誤報率為錯誤檢測樣本數(shù)與總樣本之間的商;漏檢率為未檢測出的惡意APP樣本數(shù)與惡意APP樣本總數(shù)之間的商。由此便可得出有關(guān)于檢測技術(shù)效率的實驗對比結(jié)果如表2所示。

從表中的數(shù)據(jù)可以看出，基于模糊神經(jīng)網(wǎng)絡(luò)的惡意APP軟件檢測技術(shù)比傳統(tǒng)技術(shù)的檢測率高3.665%，誤報率低18.5%，漏檢率低3.8%，準(zhǔn)確率高6.47%。由此可以看出，借助模糊神經(jīng)網(wǎng)絡(luò)理論，設(shè)計出的惡意APP軟件檢測技術(shù)精度較高。

6 ?結(jié) ?語

綜上所述，借助模糊神經(jīng)網(wǎng)絡(luò)設(shè)計出的惡意APP軟件檢測方法，具有較高的使用價值。在實際的生活與工作當(dāng)中應(yīng)用這種軟件檢測方法也達到了相應(yīng)的預(yù)期效果，與傳統(tǒng)的檢測方法相比，在準(zhǔn)確率和誤報率等方面都有一定的提升。然而由于研究時間和研究水平的限制，設(shè)計出的檢測技術(shù)仍存在諸多不足之處，希望可以在今后的研究中不斷得到完善。

參考文獻

[1] 秦玉海，候世恒，楊嵩.Android平臺惡意APP的檢驗方法[J].中國刑警學(xué)院學(xué)報，2017，23（3）：121?124.

[2] 孫偉，孫雅杰，夏孟友.一種靜態(tài)Android重打包惡意應(yīng)用檢測方法[J].信息安全研究，2017，3（8）：692?700.

[3] 蘭雪梅，董純，季啟政.基于LabVIEW的計量校準(zhǔn)軟件動態(tài)量限自動測試方法研究[J].計測技術(shù)，2017，37（z1）：236?240.

[4] 張海艦，方舟，陳新.基于深度學(xué)習(xí)技術(shù)的惡意APP檢測方案[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017，22（3）：108.

[5] 宋秋雨.軟件安全漏洞檢測技術(shù)[J].數(shù)字通信世界，2017，20（7）：74.

[6] 王濤，李劍.基于深度學(xué)習(xí)的Android惡意軟件檢測系統(tǒng)的設(shè)計和實現(xiàn)[J].信息安全研究，2018，37（2）：25?29.

[7] 郗桐，金昊，徐根煒，等.基于卷積神經(jīng)網(wǎng)絡(luò)的Android惡意應(yīng)用檢測方法[J].信息安全研究，2018，35（8）：41?47.

[8] 權(quán)鵬宇，車文剛，余任，等.基于混沌時間序列的模糊神經(jīng)網(wǎng)絡(luò)預(yù)測研究[J].軟件導(dǎo)刊，2018，11（2）：23?27.

[9] 沈斐揚.鋼軌超聲導(dǎo)波動態(tài)檢測關(guān)鍵技術(shù)研究[D].杭州：浙江大學(xué)，2018.

[10] 龔琪，曹金璇，蘆天亮.基于序列比對的勒索病毒同源性分析[J].計算機與現(xiàn)代化，2018（2）：1?5.

作者簡介：彭守鎮(zhèn)（1979—），男，江西九江人，碩士，講師，研究方向為數(shù)據(jù)挖掘和決策算法、信息安全。