Intelligent Analysis and Disposal of Malicious Behavior in Android System A Thesis Submitted to Southeast University For the Academic Degree of Master

Size: px

Start display at page:

Download "Intelligent Analysis and Disposal of Malicious Behavior in Android System A Thesis Submitted to Southeast University For the Academic Degree of Master"

执安溥
7 years ago
Views:

1 分类号 : TP393 密级 : 公开 UDC: 学号 : 东南大学工程硕士学位论文 Android 软件恶意行为的智能分析与处理研究生姓名 : 导师姓名 : 张扬罗军舟教授李国峰高工申请学位级别工程硕士学位授予单位东南大学一级学科名称计算机科学与工程论文答辩日期 2013 年 8 月 30 日二级学科名称计算机应用技术学位授予日期年月日答辩委员会主席曹玖新评阅人 2013 年 8 月 29 日

2 Intelligent Analysis and Disposal of Malicious Behavior in Android System A Thesis Submitted to Southeast University For the Academic Degree of Master of Engineering By Yang Zhang Supervised by Professor Luo Junzhou and Senior Engineer Li Guofeng School of Computer Science and Engineering Southeast University, Nanjing, P. R. China August 2013

3 东南大学学位论文独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果尽我所知, 除了文中特别加以标注和致谢的地方外, 论文中不包含其他人已经发表或撰写过的研究成果, 也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意研究生签名 : 日期 : 东南大学学位论文使用授权声明东南大学中国科学技术信息研究所国家图书馆有权保留本人所送交学位论文的复印件和电子文档, 可以采用影印缩印或其他复制手段保存论文本人电子文档的内容和纸质论文的内容相一致除在保密期内的保密论文外, 允许论文被查阅和借阅, 可以公布 ( 包括刊登 ) 论文的全部或部分内容论文的公布 ( 包括刊登 ) 授权东南大学研究生院办理研究生签名 : 导师签名 : 日期 :

5 摘要摘要近年来, 随着智能终端的普及,Android 系统发展迅速在 Android 操作系统被业界广泛接受的同时, 各种恶意软件层出不穷这不仅影响了用户的体验, 更存在用户隐私数据被盗资产受到侵害的危险 Android 系统的安全问题不但给随身携带智能终端的用户带来了困扰和忧虑, 而且遏制了 Android 市场的进一步发展因此, 对 Android 系统恶意软件检测技术的研究已成为学术界与工业界关注的热点领域现有 Android 系统恶意软件检测技术主要分为静态特征码检测和动态行为分析两种方法虽然静态特征码检测有较高的识别率, 但该方法存在不可避免的滞后性, 而且需要频繁联网更新病毒库, 耗费用户的流量费用而智能终端上的软件动态行为分析借鉴了传统 PC 机上的恶意软件识别技术, 但是现有的研究很少考虑智能终端用户的行为习惯或者诸如权限特性之类的 Android 系统独有特性针对上述问题, 本论文在综合考虑用户行为习惯和 Android 系统特性的基础上, 研究 Android 软件恶意行为的智能分析与处理方案, 实现一套 Android 安全防护软件具体来说, 主要工作包括以下几个方面 : 1. 研究 Android 系统的安全机制, 离线静态分析 2110 个 Android 软件的权限, 实现 Apriori 算法挖掘出恶意软件和敏感权限组合的关联, 并归纳出需要在软件运行时实时监控的敏感权限 2. 研究 Android 系统源代码, 设计并实现 Android 系统敏感权限的动态实时监控技术, 从而能够动态地修改 Android 软件的权限, 并实时地检测 Android 系统中软件运行时使用敏感权限的情况, 拦截权限的恶意使用 3. 动态分析 83 个软件在 Android 系统中的行为, 结合静态分析与动态分析的结果, 抽取用于识别 Android 系统中软件恶意行为的抽象属性特征, 在改进朴素贝叶斯决策方法的基础上, 研究并设计了 Android 软件恶意行为的智能识别算法 4. 整合 Android 软件恶意行为的智能分析与处理方案, 在扩展 Android 系统权限管理机制的基础上, 设计并实现一款 Android 安全防护软件本论文在静态分析 Android 权限申请和动态分析 Android 权限使用的基础上, 提出恶意行为的智能识别算法, 并结合 Android 系统敏感权限的动态实时监控机制, 最终实现一款完整可靠的 Android 安全防护软件, 可以有效地保障 Android 系统的安全关键词 :Android 安全, 权限管理机制, 关联规则挖掘, 动态实时拦截, 朴素贝叶斯分类器 I

6 Abstract Abstract In recent years, with the popularization of intelligent terminal, the development of Android system is quite rapid. As the Android operating system is widely accepted by the industry, all kinds of malicious software emerge in an endless stream. This not only affects the user experience, but also threats user privacy and property. Security issue of Android system not only brings troubles and worries to smart phone users, but also limits further development of Android market. Therefore, research on Android security has become a hot area in both academic and industrial field. At present, existing Android malware detection technology is mainly divided into two methods, static scanning and dynamical analysis. Even though software based on static scanning can achieve high detection rate, it will frequectly updates antivirus software, which will bring extra cost. Research on dynamical analysis rarely takes user behavior and unique Android characteristics such as permission into consideration. In view of the problems above, this thesis studies intelligent analysis and disposal of malicious behavior in Android system and implements Android defending system. Specifically, the main work includes the following: 1. Study the security mechanism of Android system, conduct static analysis of 2110 Android software authorities, use Apriori algorithm for mining associations between malware software and sensitive permissions, sum up sensitive permissions which need to be monitored dynamically. 2. Study Android system source code, design and realize real-time interception mechanism of Android API so as to monitor sensitive permissions in real time and intercept malicious use of sensitive permission. 3. Analyze the behavior of 83 software in the Android system, combine data from static analysis and dynamic analysis, extract abstract attributes for software malicious behavior recognition, and then based on improved naive Bias decision method, design Android software malicious behavior intelligent recognition algorithm. 4. Design and realize functional modules of the intelligent analysis and disposal scheme of malicious behavior, and then through extending the original permission management mechanism, realize Android defending software. The research on malicious behavior of Android software includes static analysis of Android permission, dynamic interception of Android software's usage of permission and intelligent algorithm of Android software's malicious behavior recognition. Compared with II

7 东南大学硕士学位论文 the existing research, intelligent analysis and disposal of Android software's malicious behavior proposed in this thesis is more reasonable, more efficient, and it is of great significance for improving permission system in Android system. Keywords: Android Security,Permission Management Mechanism,Association Rules Mining,Dynamic and Real-time Interception,Navie Bayesian Classifier III

8 目录目录摘要... I Abstract... II 图形目录... IV 表格目录... IV 第一章引言研究背景与意义研究现状 Android 系统及其体系结构 Android 系统面临的安全威胁 Android 系统恶意软件检测技术研究现状总结研究目标和内容研究目标研究内容论文组织结构第二章 Android 安全防护软件的总体设计需求分析系统方案框架系统体系结构基础数据层的设计系统功能层的设计人机交互层的设计本章小结第三章 Android 系统中软件权限的静态分析 Android 系统的安全机制 Linux 内核层的安全机制 Android 特有的安全机制其它安全机制安全机制小结软件权限的统计分析数据来源权限统计方法权限统计结果基于 Apriori 算法的敏感权限组合挖掘 Android 权限机制在安装时存在的问题敏感权限组合挖掘问题的形式化描述 Apriori 算法原理 IV

9 东南大学硕士学位论文恶意权限组合智能安装方案需要实时监控的敏感权限本章小结第四章 Android 系统敏感权限的动态实时监控相关技术 Android 组件 AIDL 服务 Intent 机制 Android 系统源码分析短信发送流程分析权限审查流程分析动态实时监控机制的设计本章小结第五章基于朴素贝叶斯分类器的恶意行为智能识别问题描述智能识别方案方案框架特征选取与抽象基于朴素贝叶斯分类器的恶意行为智能识别算法朴素贝叶斯分类器算法描述实验分析本章小结第六章 Android 安全防护软件的实现与测试系统实现基础数据层的实现系统功能层的实现人机交互层的实现系统测试测试环境功能测试性能测试本章小结第七章总结与展望研究成果总结未来工作展望参考文献 V

10 图形目录图形目录图 1-1 Android 系统安全框架... 4 图 1-2 软件动态分析的步骤... 8 图 2-1 Android 防护方案设计图 2-2 系统整体设计图 3-1 Android Manifest 示例图 3-2 Android 权限抽取的 shell 脚本图 3-3 由 shell 脚本读出的 Android 权限示例图 3-4 前 20 位被频繁申请的权限图 3-5 Android 软件安装时显示的权限列表图 3-6 智能安装的实现框架图 4-1 Android 系统短信的发送准备阶段图 4-2 Android 系统短信的实际发送阶段图 4-3 权限审核流程源码分析图 4-4 Android 系统敏感权限的动态实时监控图 5-1 恶意行为智能识别方案框架图 5-2 恶意行为智能识别的算法流程图 5-3 贝叶斯方法决策两分类问题的模型图 5-4 基于标准朴素贝叶斯模型的恶意行为智能识别的正确率图 5-5 基于改进的朴素贝叶斯模型的恶意行为智能识别的正确率图 6-1 Android 输入事件处理机制图 6-2 监听用户输入操作的程序流程图 6-3 监听用户输入操作的 C 语言核心源代码图 6-4 监听用户输入操作的 makefile 文件图 6-5 实际监控流程图 6-6 实际监控流程的 C 语言代码图 6-7 实际监控流程的 makefile 文件图 6-8 加载 C 语言链接库的过程 VI

11 东南大学硕士学位论文图 6-9 lastapply 的数据结构图 6-10 软件界面跳转流程图 6-11 Android 安全防护软件的主界面图 6-12 通信权限管理界面图 6-13 拥有短信发送权限的软件图 6-14 模式选择对话框图 6-15 允许短信发送的测试图 6-16 拦截短信发送的测试图 6-17 用户询问模式的测试图 6-18 智能识别模式的测试图 6-19 隐私权限管理界面图 6-20 软件安装时的安全提示图 6-21 智能安装后的自动拦截设置 VII

12 表格目录表格目录表 1-1 网秦公司最新发布的恶意软件... 6 表 3-1 Android 安全机制表 3-2 数据集概况表 3-3 各分类软件所申请的权限数表 3-4 数据集中权限重复申请的情况表 3-5 恶意权限组合表 3-6 恶意软件常用的敏感权限表 6-1 PermissionUsageHistory 表结构定义表 6-2 性能测试结果 VIII

13 第一章引言第一章引言本章首先分别介绍了 Android 系统和 Android 系统安全问题的相关背景, 对现有 Android 系统及其安全框架 Android 系统安全威胁以及 Android 恶意软件检测技术进行调研, 指出存在的问题和安全隐患, 最后提出本文的研究目标和内容 1.1 研究背景与意义 Android 系统的智能手机在当今世界呈现普及化趋势根据 Gartner 的报告 [1], 2013 年第一季度 Android 系统市场份额已达到 1.5 亿台, 占全球智能手机市场份额的 74.4%, 远高于排名第二的 ios 系统所占的 18.2%, 并预测到 2015 年,Android 系统的智能手机将达到 5 亿台 Android 系统的快速发展, 给移动服务带来了巨大的变革 Android 系统智能手机的功能早已超越了传统手机的通信功能, 各种新型应用层出不穷,Android 应用商城也呈现了空前的火热场面 Android 系统的智能手机已经蜕变成为融合通信个人业务处理以及娱乐的强大个人终端然而,Android 系统的普及也带来了巨大的安全挑战 [2] 根据 2011 年中国手机安全状况报告中的统计, 在 2011 年,Android 木马呈现爆发式增长与 2010 年全年共发现的 12 个木马样本相比,2011 年全年,360 手机云安全中心捕获新增 Android 木马样本数为 4722 个, 被感染人数超过 498 万人次例如 Soundcomber [3] 就是 Android 平台中典型的攻击案例, 该木马可以从手机摄像头画面中抽取出隐私数据, 并通过上下文感知技术, 从语音信息中智能地提取出诸如银行卡卡号和密码等敏感信息 Android 上的恶意软件通常偷偷收集智能终端上的隐私数据, 然后通过短信电话或者网络的方式将用户隐私数据传输到远端服务器, 从而达到恶意统计隐私出售远端控制恶意收费等目的造成 Android 系统中病毒爆发主要可以归结为以下三个原因 : 一是操作系统的开源特性众所周知,Android 操作系统是一个开源的操作系统正因为如此, Android 操作系统能够被广泛应用于各种嵌入式平台然而, 这也为黑客们开发病毒提供了便利每一个电脑爱好者都可以去研究 Android 操作系统, 发现其中的漏洞, 并有针对性地开发出病毒软件二是 Android 开发的低门槛性 Android 系统提供的基于 JAVA 语言的程序开发套件为软件的开发提供了很大的便利而另一方面, 由于任何人只要交纳 25 美金后就可以上传自己的应用到 Android 1

14 东南大学硕士学位论文 Market 供别人下载, 这为病毒的扩散提供了很大的便利三是 Android 系统有缺陷的安全模型 Android 软件在安装的时候需要申请相应的权限, 这些权限的申请会在软件安装时以列表的形式提供给用户程序所需权限列表在安装时必须被用户全部赋予, 软件安装完成后不可更改, 这种粗粒度的特性导致 Android 系统成百个权限的授权责任被转嫁给没有安全意识的用户, 一旦程序被授予了权限, 则该权限不会再被改变, 并且在该权限使用的时候,Android 系统也不会通知用户这样的框架设计给系统留下了极大的安全隐患由于病毒必须通过系统敏感权限调用来实现对敏感资源的访问, 因此, 对系统敏感权限调用进行有效控制是遏制病毒爆发的有效途径市面上现有的 Android 安全防护软件, 例如 LBE 360 手机卫士等, 都对软件的恶意行为进行一定程度的监控, 当发现系统 API 调用对敏感资源进行访问的时候, 会提示用户, 让用户来判断是否允许这些软件进行这一系列的操作这种方式的确细化了 Android 系统的安全体系, 但是授权软件进行敏感操作的责任仍旧被转嫁到没有安全意识的用户头上而且, 当用户正常操作的时候, 安全防护软件经常会弹出对话框来提示用户当前有软件在调用某些敏感资源, 这时常会打断用户的正常操作因此, 如何智能化地对系统敏感资源的访问进行分析和处理, 在兼顾系统安全需求的同时, 保障用户体验, 是开发 Android 安全防护软件所需要解决的关键问题本文在 Android 软件基础框架层代码上对 Android 系统敏感权限调用进行有效地控制, 并对软件的行为进行智能分析, 从而识别出软件的恶意行为, 并最终实现一款 Android 安全防护软件该软件能够在用户安装时, 提供智能安装功能, 不但给予用户更为直观的安全提示, 而且能够限制软件实施恶意行为的能力 ; 在软件运行时, 可以自动地判断软件在调用系统敏感权限时是否属于正常的行为, 从而避免了由没有专业背景的用户来判断当前软件的行为是否合理, 智能化地保障了 Andriod 系统的安全 1.2 研究现状根据 Android 系统日益增长的安全需求, 本文对相关研究领域进行了深入的调研和总结, 包括 :(1)Android 系统及其安全架构 ;(2)Android 系统面临的安全威胁 ;(3)Android 系统恶意软件检测技术 2

15 第一章引言 Android 系统及其体系结构众所周知,Android 系统是由 Google 的 Open Handset Alliance(OHA) 团队开发的移动开源平台正是由于其开源特性, 现有市场上对 Android 操作系统的修改版本层出不穷, 各式各样的修改版本充斥着 Android 智能终端市场为了更好的了解 Android 操作系统, 首先得对各个版本的 Android 操作系统有所了解目前, 市场上常见的 Android 操作系统项目包括 Google 原生的 AOSP Cyanogen 团队开发的 CyanogenMod Roman Birg 所领导开发的 AOKP, 以及国内市场上常见的 MIUI OPDA 腾讯 tita 百度云系统等 (1)AOSP AOSP 是 Android Open-Source Project 的缩写 Google 公司每发布一个新版本的 Android 系统, 都会将其源代码版本发送至开源社区, 所发放出来的操作系统源代码即是 AOSP, 这也是最为纯净的 Android 系统其优点是由 Google 公司官方进行维护与更新, 代码的可靠性安全性与可读性都有着较高水平的保障 (2)Cyanogen Cyanogen 是全球最大的第三方操作系统编译团队, 该团队所开发覆盖的机型是最广的, 几乎所有的热门机型都有相对应的 CyanogenMod(CM) 系统可以供用户刷机基于 AOSP,Cyanogen 对 Android 系统的性能和可靠性方面进行了深度的优化不但如此,Cyanogen 还提供了一系列原生 Android 操作系统所没有的特性功能, 例如,CM 系统支持 FLAC 音频格式程序可从 SD 外置存储器运行高速缓存压缩 [4] 大量的接入点名单 Wi-Fi 无线网络支持蓝牙及 USB 网络分享等 (3)MIUI MIUI 是小米科技运营的 Android 操作系统项目, 它是基于 CM 系统进行二次修改的衍生项目小米团队每周在其论坛上发布新的版本, 并通过空中下载 [5] 的方式对每一部小米手机进行系统升级相对于 CM 系统来说,MIUI 的开发重心放在了用户体验与细节功能的改进, 自主原创了全套的用户体验设计体系, 其首创的各种炫彩功能为 Android 智能终端用户带来了华丽的界面体验 MIUI 也特别侧重于系统空间的纯净, 从不集成第三方软件, 而且其独特的双系统共存模式更方便用户刷新系统 (4)OPDA OPDA 团队成立于 2007 年, 是国内最早的 Android 开发团队旗下更汇集了众多优秀的编程汉化开发破解资源制作打包技术团队和资深专家 3

16 东南大学硕士学位论文 OPDA 系统在保证 Android 系统的完善性和安全性的前提下, 对其进行了更深层次的优化精简, 在国内外都享有一定的声誉 OPDA 系统相较于 CM, 更贴近于国人的操作习惯 ; 相较于 MIUI, 则加入了定制化的贴心服务 ; 相较于其它众多 Android 系统, 又精简了许多不必要的软件程序通过以上的调研发现, 很多 Android 开源平台在设计理念系统架构规模兼容性安全性以及性能等方面都有着相应的考虑同时,Android 系统的开源特性为嵌入式智能终端系统的研究带来了更加开放灵活与自由的构建方法当前 Android 操作系统的典型的体系结构如图 1-1 所示应用程序层安全软件生活 & 购物网络 & 社区办公 & 财经旅行 & 地图美化 & 壁纸应用部分游戏输入 & 系统影音 & 图像通讯 & 聊天阅读 & 图书... 应用程序框架层窗口管理器活动管理器程序包管理器位置管理器位置管理器视图管理器通知管理器资源管理器通讯管理器... 函数库层 Sqlite WebKit Libc SSL Android 运行环境核心类库 Dalvik 虚拟机核心部分 SGL... 硬件抽象层通信接口 GPS 接口音视频接口输入设备接口... Linux 内核电源管理进程 / 线程内存管理驱动外设管理... Android 底层图 1-1 Android 系统安全框架 Android 操作系统的体系结构共分为三个层次 : 1) 第一层是 Android 底层, 由 Linux 内核与硬件抽象层组成 Android 的核心系统服务基于 Linux2.6 内核, 但对驱动层和硬件抽象层进行了一些修改, 以适应智能手机的嵌入式操作环境这层的主要功能是对硬件进行管理和抽象 2) 第二层是 Android 核心部分, 由 Android 核心库运行环境和应用程序框架层组成核心库中包含 C/C++ 库, 其中大部分都是开源的函数库运行环 [6] 境由 Java 的核心库和 Dalvik 虚拟机构成该层为每一个软件提供单独的执行 4

17 第一章引言环境, 每一个 Android 软件都在 Dalvik 虚拟机的一个实例中执行, 所以不同的软件之间不能互相干扰应用程序框架层提供了丰富的程序开发接口供开发者使用, 负责应用程序层和底层之间的交互 3) 第三层是应用程序层这层提供直接与用户交互的软件, 包括系统软件和第三方软件 Android 系统面临的安全威胁随着 Android 操作系统被业界广泛接受并普及的同时, 各种恶意软件不断出现这不仅影响了用户的体验, 更存在用户隐私数据被盗资产受到侵害的危险由于移动设备的特点, 对于移动设备的攻击与传统针对个人电脑的攻击存在相当大的差异大部分攻击者的目的都是为了在攻击中受益, 所以在传统的攻击中, 攻击者一般是通过攻击操作系统的漏洞达到控制受害主机的目的, 除了特定的情况外, 攻击者很少对电脑中的数据感兴趣而且控制受害机本身并不能够直接获益, 需要通过 DDoS 攻击等间接的方式才能从攻击中受益但是, 对于移动设备, 特别是智能手机的攻击则完全不同智能手机中保存着大量的个人信息, 这些信息本身就蕴含着丰富的商业价值所以, 对于智能手机的攻击, 目的性更明确, 大部分的攻击者都是为了窃取手机中的个人信息此外, 随着移动支付技术的成熟, 恶意软件还会威胁到了用户支付账户的安全 Android 移动终端的安全问题不但给随身携带智能终端的用户带来了困扰和忧虑, 而且阻碍了 Android 市场的进一步发展由于第三方移动应用越来越多地和用户的隐私商业信息无缝结合, 针对移动平台的隐私泄露和隐私攻击成为 Android 系统研究中亟待解决的问题在目前有关 Android 智能终端安全问题的研究中, 用户隐私问题已经引起学术界的广泛关注, 研究主要分为两类 : 第一类是研究木马程序的恶意行为 [7], 通过木马程序, 攻击者可以直接执行包括窃取用户隐私信息在内的恶意行为木马程序特指在实现合法功能的掩护下, 偷偷地执行恶意行为的程序智能终端上的木马程序通常伪装成合法的应用软件, 骗取用户下载并安装, 然后作为智能终端后台常驻程序, 执行窃取用户隐私信息或者破坏系统文件等恶意行为有些恶意程序会注册一些系统事件响应, 例如在收到特定来源的信息时偷偷拨打收费电话或者发送特定的短信还有些程序通过定时获取的方式, 在用户不知情的情况下侵犯用户隐私, 例如收集手机的 GPS 信息手机中存储的 WIFI 信息等等, 表 1-1 中列出网秦公司 [8] 最新发现的恶意程序这些恶意软件就如同正常软件一样, 在安装的时候需要申请相应的权限, 这些权限的申请会在软件安装时以列表的形式提供给用户, 5

18 东南大学硕士学位论文程序所需权限列表在安装时必须被用户全部赋予, 软件安装完成后不可更改 Android 系统这种粗粒度的权限框架不但给系统带来了极大的安全隐患, 而且 [9] 这种权限框架缺乏应对权限提升攻击的有效防御权限提升攻击是通过程序间的漏洞, 非授权的用户可以获取到隐私数据和设备权限, 例如读取联系人的权限等表 1-1 网秦公司最新发布的恶意软件类型恶意软件别名恶意行为隐私窃取 privacy.callspy 1. 上传短信通话录音等隐私信息, 造成用户隐私泄露 2. 上传隐私过程消耗用户大量流量, 造成用户资费消耗恶意扣费 remote.updtbot 1. 后台安装软件, 消耗用户流量并对用户手机造成破坏 2. 后台发送短信和拨打电话, 对用户的资费造成消耗诱骗欺诈 fraud.fakesms 1. 后台联网, 根据服务器指令, 推送广告, 消耗用户流量 2. 后台联网, 根据服务器指令, 伪装短信推送广告流氓行为 payment.tsblocker 1. 根据远程指令后台发送短信, 造成用户资费损失 2. 屏蔽特定短信, 造成系统破坏 3. 试图卸载用户安全软件, 使用户安全受到威胁远程控制 remote.bgengine 1. 后台联网, 与服务器交互, 根据服务器指令向外发送短信, 消耗用户资费, 造成用户经济损失系统破坏 system.killav 1. 屏蔽运营商短信, 使用户收不到运营商发来的短信 2. 破坏安全软件运行, 给手机带来安全隐患 3. 后台联网接收服务器指令, 对手机进行远程控制第二类是研究用户隐私信息的侧信道攻击攻击者可以通过收集一些非敏 [10] 感信息来推断出敏感信息例如 Owusu 等人开发了一套利用加速度传感器信息就能推断出虚拟按键的恶意软件, 但是推断结果的准确性受加速度传感器的频率键的位置, 以及键的大小的影响 Owusu 在预处理过的加速度数据流中提取了 46 个特征属性, 结合模式识别的知识, 用来推断虚拟按键类似的功能也在一款名叫 ToughLogger [11] [12] 的恶意软件中被实现 Marquardt 等人也利用加速度传感器来检测手机的震动数据, 从而推断出手机附近的 PC 键盘上正在输入的文本信息然而手机的加速度传感器的采样频率只有 100Hz 左右, 这势必导致推断结果不准确 Marquardt 使用键值对, 结合神经网络的方法在原始的加速度数据中还原出文本信息击键的推断一直在被研究, 也能够通过各种各样的属性来进行推断, 例如通过击键的声音频率 [13], 两个按键间的时间间隔 [14], [15] 以及按键的声音来推断用户的键盘输入 Michal Zalewski [16] 等人利用屏幕上的手指热残留来推断用户之前所击键的位置然而当使用普通的热能成像相机 6

19 第一章引言来推断用户的输入的话, 攻击者必须在手指热残留保持的 5 到 10 分钟之内拍摄热能图像 Mowery Zalewski 从包括触摸屏材质, 身体热能分布以及攻击可拓展性这三个方面来对这种攻击的有效性与合理性进行考量密码顺序则可以从 [17] [18] 按键的热残留程度来推断 Zhang 等人和 Aviv 等人利用对触摸屏上的指纹残留来推断用户在智能终端上的按键输入两者不同的是,Zhang 推断的是用户的文本密码, 而 Aviv 推断的是 Android 图案模式的密码从恶意软件的传播特性来说, 执行恶意行为的木马程序相比较于侧信道攻击, 具有大规模爆发的能力与更稳定的商业利益通过侧信道手段获取用户隐私信息的方法, 仍旧处于研究阶段, 其可靠性也限制了该技术的大规模应用因此, 如何有效地遏制 Android 软件的恶意行为, 是完善 Android 系统安全的主要问题 Android 系统恶意软件检测技术现有 Android 系统恶意软件检测技术主要分为静态特征码检测和动态行为分析两种方法静态特征码检测是检测恶意软件最常用最直接的方法静态特征码检测根 [19] 据分析对象的不同, 主要分为二进制程序扫描和源代码扫描 [20] 二进制程序扫描是通过查找软件编译生成的二进制文件中是否包含恶意行为特征码, 从而判断程序是否为恶意软件源代码扫描, 是指通过反编译工具, 人工地提取出病毒程序的特征码以恶意扣费为例, 引起扣费行为的发生往往是由于恶意应用以发送短消息的方式, 注册了相关的服务分析 Android 应用反编译后的源代码, 通过查询源代码中是否包含发送短消息相关的 API 调用, 并判断相应的 API 调用参数, 是否为某些特定服务注册码, 从而检测 Android 应用中是否包含恶意扣费等代码虽然静态特征码检测在识别已知的恶意软件时是高效准确的, 但在检测未知的恶意软件或已知恶意软件的变种时, 则显得无能为力因为静态特征码检测技术依赖病毒库, 对于病毒库中不存在的病毒, 便无法查杀因此, 面对每天都会产生的各种新型恶意软件及其变种, 静态特征码检测存在不可避免的滞后性为了查杀新型恶意软件, 则必须频繁更新病毒库, 在智能终端平台上, 这可能会给用户造成额外的流量费用另外, 随着近些年 Android 系统中的恶意软件数量指数型增长, 病毒库也变得越发庞大, 静态特征码检测的效率将变得难以保证受制于智能终端上的物理资源和电池续航能力, 静态特征码检测将会给用户的正常使用带来较大的影响 7

20 东南大学硕士学位论文 [21] 为了简化静态特征码检测的复杂度,Enck 等人提出 Kirin 系统, 通过分析 [22] Android 软件申请的权限来判定软件是否存在恶意行为 Barrera 等人采用 SOM 算法研究 Android 权限机制, 他们通过对 1100 个 Android 软件的权限进行分析, 证实了不同类别软件在申请权限时候存在很大的差异由此,Android 权限机制也是可以作为检测 Android 恶意软件的特征属性但现有的基于 Android 权限的恶意软件静态检测技术, 仅仅凭借经验提取了一些恶意权限的组合, 其完整性与可靠性仍旧是值得质疑的动态行为分析是对软件运行时所表现出的行为进行抽取与建模, 然后通过模式识别算法判断这一系列的行为是否是恶意行为的技术该方法不依赖于特征库, 能够识别出未知的恶意软件通常, 软件动态分析分为模型创建和恶意判定两个步骤完成, 如图 1-2 所示模型创建行为监控特征提取特征模式匹配恶意判定判定恶意行为非恶意行为图 1-2 软件动态分析的步骤模型创建目的是对软件的行为加以抽象描述, 从而为恶意判定工作做准备行为分析分为两个步骤, 一是对智能手机上的软件行为进行捕获, 通常是对智能手机上的软件运行时的调用进行监控, 包括监控软件的系统调用软件的系统资源消耗等数据二是对捕获到的数据进行建模, 即将这些信息通过形式化的方法表示出来用特定的模型表示程序行为, 是为了在后续的恶意判定过程中, 可以依据模型间的比较, 做出恶意软件的判定, 或是进行变种检测恶意判定是通过相关的算法对行为分析抽象出来的模型加以分析, 判定这一系列行为是否是恶意行为的过程在恶意判定过程中, 通常的做法是进行特征模型的匹配比如, 对已有的恶意软件集合建立特征库, 在对未知的软件行为进行行为分析后, 将分析到的特征模型和特征库中的特征模型一一匹配, 如果匹配成功, 则判定是恶意行为其中判定用到的各种算法, 从最初的二进制序列特征或 [23] 者正则表达式匹配到现在的模式识别方法和机器学习方法 [24] 动态行为分析对特征属性的抽取与建模有很强的依赖性, 所以该方法虽然能够分析出未知的恶意软件, 但其分析结果往往存在误报因此, 动态行为分析的研究主要集中在行为监控特征提取与特征模式匹配算法, 从而提高正确率降低误判率提高算法执行效率等 [25] 对行为监控的研究,Enck 等人设计实现了 TaintDroid 系统用以标记内存数据的流向,TaintDroid 通过修改 Dalivk 虚拟机, 将传统的信息流追踪技术应用于 8

21 第一章引言 Android 系统中, 在软件运行时对系统中敏感信息的传播进行监控, 从而达到安全防范的目的然而 TaintDroid 因采用传统的动态污点传播技术, 使得运行时的程序性能开销明显提升, 这对于实时性要求非常高的移动平台而言, 过高的性能 [26] 开销将大大降低其实用性刘泽衡等人主要利用 Android 系统的广播机制来对短信接收电话接听与发送以及网络连接等敏感操作进行监控这种方法对于 Android 系统内的不同资源需要设计不同的方法进行监控, 而且不能捕获到用户隐私信息的泄漏 [27] 对特征提取的研究,Miettine 等人提出了智能手机异常检测中需要监控的一些系统信息, 包括操作系统事件响应操作系统资源使用率等一系列量化数据, [28] 并在此基础上提出了一个入侵检测理论模型 Schmidt 等人从 Linux 内核角度分析了 Android 系统的安全性, 并利用网络流量系统调用以及文件系统日志来检 [29] 测系统异常乜聚虎等人提出了基于智能手机行为分析的异常检测方法, 并在 Android 系统上实现了这套系统可是其方法并不能对异常进行精确定位, 即无法找出引起异常的恶意软件, 并且在发现系统异常以后, 系统不能实时地阻止软件的恶意行为发生 [30] 对特征模式匹配算法的研究,Rieck 等人提出使用支持向量机对恶意软件行为进行有监督的学习首先对大量恶意软件样本行为进行映射, 然后用支持向量机对行为进行划分该算法需要有大量的恶意软件样本做依托, 而且对智能终 [31] 端性能要求较高 Bose 等人在智能终端上提出一个基于聚类的智能算法, 通过分析短信或彩信的日志文件, 学习软件使用短信或彩信的行为, 从而检测恶意 [32] 软件类似的,Xie 等人提出 pbmds 系统, 通过拦截智能终端上用户的输入, 从而建立 HMM 模型来检测智能终端上的病毒这两种方法对智能终端病毒的检测仅局限于短信和彩信的恶意发送, 并没有对其他诸如打电话网络或者敏感权 [33] 限的恶意调用进行检测与拦截 Shabtai 等人在 Android 系统中使用了标准的机器学习算法, 包括 K 均值逻辑回归决策树贝叶斯网络和朴素贝叶斯, 分别对恶意软件进行识别从实验结果看, 决策树和朴素贝叶斯算法均能达到很高的准确率但是,Shabtai 的数据集中仅有 24 个 Android 软件, 其中 4 个恶意软件是由他自己编写因此,Shabtai 对算法的测试是不够全面的研究现状总结 Android 系统在近些年得到了迅猛发展伴随着 Android 系统的普及,Android 系统中的恶意软件呈现火爆地增长因此,Android 系统恶意软件检测技术的研究已经成为了学术界与工业界关注的热点领域 9

22 东南大学硕士学位论文现有 Android 系统恶意软件检测技术主要分为静态特征码检测和动态行为分析两种方法静态特征码检测是检测恶意软件最常用最直接的方法, 而且静态特征码检测对已知的病毒软件能达到较高的识别率, 但是该方法存在不可避免的滞后性, 而且该方法需要频繁联网更新病毒库, 耗费用户的流量费用随着 Android 中恶意软件指数级地增长, 该方法的检测效率也难以保障智能终端上的软件动态行为分析借鉴了许多传统 PC 机上的恶意软件识别技术, 能够对未知的恶意软件进行识别然而现有 Android 软件行为动态分析的研究侧重于系统运行时的状态, 对智能终端用户的行为习惯或者诸如权限特性之类的 Android 系统独有特性很少考虑, 而且对行为监控的方法很少提及现有研究大多只是在模拟平台上运行, 很少能够实现一套完整的 Android 安全防护软件因此, 在 Android 系统中, 如何结合考虑用户的行为习惯与系统独有特性, 从而智能化地对系统敏感资源的访问进行分析和处理, 在兼顾系统安全需求的同时, 保障用户体验, 并设计实现一套智能的 Android 系统安全软件, 是当下对 Android 安全研究需要解决的关键问题 1.3 研究目标和内容研究目标本文针对 Android 系统日益增长的安全需求, 研究 Android 软件恶意行为智能分析与处理方案在结合 Android 权限静态分析与敏感权限实时监控的基础上, 实现 Android 软件恶意行为识别技术, 并最终实现一款智能的 Android 安全防护软件, 为 Android 系统用户提供安全的使用环境研究内容为实现上述研究目标, 具体研究内容包括以下四点 : (1)Android 系统中软件权限的静态分析研究 Android 系统的安全机制及其核心的权限管理机制在此基础上, 静态分析 Android 软件在安装时所申请的权限, 实现 Apriori 算法挖掘出恶意软件和敏感权限组合的关联, 并归纳出需要在软件运行时实时监控的敏感权限 (2)Android 系统敏感权限的动态实时监控通过 Google 公布的 Android 系统源码, 分析 Android 应用程序框架层的实现流程, 提出一套适用于 Android 系统的对敏感权限进行动态实时监控的机制该监控机制可以实现三个功能, 一是动态修改 Android 软件的权限二是 10

23 第一章引言检测 Android 软件使用敏感权限的情况三是动态地对当前系统敏感权限的使用进行阻断或者放行 (3)Android 软件恶意行为识别技术的研究通过捕获软件使用敏感权限时的相关状态, 提出合适的模型在此基础上, 选用合适的模型匹配算法, 对软件的行为进行分析, 判断软件当前行为是否合理, 并利用软件权限静态分析与实时监控的研究成果, 智能化地协助用户做出选择, 即在当前时刻是否授权软件使用系统敏感权限 (4)Android 安全防护软件的设计与实现基于上述技术与理论成果, 在确保实用性和安全性的前提下, 设计实现 Android 安全防护软件综合应用软件权限的静态分析结果软件行为的实时监控技术和对软件恶意行为识别的研究, 保证 Android 系统的安全 1.4 论文组织结构论文章节内容安排如下 : 第一章概述现有 Android 系统中的安全问题以及相关研究, 对现有 Android 系统及其安全框架 Android 系统安全威胁以及 Android 恶意软件检测技术进行调研, 指出存在的问题和安全隐患第二章分析增强 Android 系统安全的具体需求, 提出增强 Android 系统安全的方案框架, 设计 Android 安全防护软件, 并介绍软件的体系结构和功能模块第三章分析 Android 系统的安全机制, 并对其中最为核心的权限管理机制进行研究通过对收集到的 1260 个恶意软件和 Android 市场中 17 个分类的 850 个热门软件所申请的权限进行静态分析, 实现 Apriori 算法挖掘出恶意软件和敏感权限组合的关联, 然后归纳出需要在软件运行时被监控的 10 种敏感权限第四章分析了 Android 系统源代码中短信发送和权限审查的具体实现, 归纳出 Android 系统操作的流程设计并实现了 Android 系统敏感权限的动态实时监控机制, 从而捕获静态分析中归纳出的 10 个敏感权限在 Dalvik 虚拟机中的使用情况第五章通过对静态分析和实时监控到的数据进行分析, 抽取出 5 个用于识别 Android 系统中软件恶意行为的抽象属性特征基于采集到的 8849 条属性特征数据, 构建朴素贝叶斯模型, 并根据实际场景, 在改进朴素贝叶斯决策算法的基础上, 设计了基于朴素贝叶斯分类器的 Android 软件恶意行为智能识别的算法, 并验证正确度和误报率 11

24 东南大学硕士学位论文第六章阐述 Android 安全防护软件各功能模块的具体实现, 并给出软件的功能测试和性能测试第七章总结论文完成的工作, 对本文的理论和实践成果进行总结, 并对未来工作进行了展望 12

25 东南大学硕士学位论文第二章 Android 安全防护软件的总体设计本章在分析增强 Android 系统安全的具体需求基础上, 提出增强 Android 系统安全的方案框架, 并阐述 Android 安全防护软件的具体设计 2.1 需求分析为了保证本章所设计的 Android 安全防护软件的合理性, 对实际应用的需求和同类型 Android 安全防护软件的功能进行调研和分析, 确定了本系统的功能需求和非功能需求功能需求主要有以下几项 : (1) 获取准备安装的 Android 软件所申请的权限 ; (2) 分析并拦截 Android 软件安装时对权限的申请 ; (3) 智能安装 Android 软件, 提示软件中存在的恶意权限组合 ; (4) 安装时一键设置软件中的恶意权限组合的使用为拦截状态 ; (5) 直观显示各个软件所拥有的权限 ; (6) 用户能够对各个 Android 软件拥有的权限进行设置 ; (7) 根据用户的设置, 拦截 Android 软件运行时对敏感权限的使用 ; (8) 获取 Android 软件运行时候的相关状态, 包括当前时刻是否有用户在操作, 敏感权限的使用是否存在突发性 ; (9) 实时智能分析 Android 软件运行时所使用的敏感权限是否合理 ; 非功能性需求有以下几项 : (1) Android 安全防护软件界面友好软件操作流程清晰流畅 ; (2) 能快速处理用户的请求, 平均相应时间小于等于 5 秒 ; (3) 作为安全防护软件, 要求软件无故障率达 99.9% (4) 能够在常用分辨率的显示屏上正常操作 2.2 系统方案框架为了有效地保护 Android 系统安全, 本系统主要防范的目标是用户准备安装的 Android 软件和正在 Android 系统中运行的软件因此, 本系统的方案框架如图 2-1 所示 13

26 第二章 Android 安全防护软件的总体设计图 2-1 Android 防护方案设计从图 2-1 中可以看出, 本系统的防护分为两个阶段 : 第一个阶段防护是在 Android 软件安装的阶段, 当 Android 用户准备安装软件的时候,Android 防护软件将会抽取所安装软件申请的权限, 然后根据静态分析得出的恶意权限组合, 匹配该软件所申请的权限, 给予用户安全提示, 告诉用户该软件中是否存在恶意权限组合, 让用户选择是否继续安装此时用户可以选择智能安装方式, 使得用户在安装了拥有恶意权限组合的软件后, 软件会自动设置这些恶意权限组合的使用为拦截状态第二部分防护是在 Android 软件运行的阶段, 当正在运行的 Android 软件使用 Android 系统敏感权限的时候,Android 防护软件将根据用户的设置选择不同的处理方式, 包括放行拦截提示用户和智能分析当预先的设置为智能分析的时候,Android 防护软件则会结合软件本身的基础属性以及系统运行环境, 对当前使用敏感权限的行为作出识别, 最后拦截该软件恶意使用所拥有的敏感权限 2.3 系统体系结构系统总体设计框架如图 2-2 所示, 主要由三个层次组成 :(1) 基础数据层 ; (2) 系统功能层 ;( 3) 人机交互层 14

27 东南大学硕士学位论文图 2-2 系统整体设计基础数据层的设计 Android 安全防护软件基础数据层的主要功能是记录 Android 软件运行时对各敏感权限的使用情况和 Android 系统中各软件的基础属性, 然后将这些数据组成软件行为特征序列, 为系统功能层的智能判别做好准备其核心模块包括 : 数据抽取模块和特征抽象模块具体如下 : (1) 数据抽取模块数据抽取模块负责记录 Android 软件运行时对各敏感权限的使用情况和各软件的基础属性, 主要包括当前系统时间软件的属性软件所申请的权限信息设备输入硬件当前的使用情况等 (2) 特征抽象模块特征抽象模块负责将数据抽取模块采集到的数据抽象为行为特征序列, 其中包括敏感权限的使用者是否是系统应用敏感权限使用时是否有用户操作敏感权限的使用者是否在安装时申请了大量权限敏感权限的使用者是否在安装时存在恶意权限组合敏感权限的使用是否存在突发性系统功能层的设计系统功能层的主要功能分为两部分 : 第一部分是解析准备安装的 Android 软件权限信息, 通过匹配敏感权限组合规则集, 给予用户安全提示, 并且提供用户智能安装功能 ; 第二部分是能够实时监控 Android 系统中软件使用敏感权限的情况, 并智能分析权限使用的合理性, 拦截权限的恶意使用 15

28 第二章 Android 安全防护软件的总体设计其核心模块包括 : 安装判别模块规则匹配模块 API 拦截模块动态权限分发处理模块恶意行为智能识别模块动态权限决策反馈模块和进程间通信模块具体如下 : (1) 安装判别模块安装判别模块负责解析准备安装的 Android 软件 apk 文件中的权限信息, 并且将这部分信息交付给规则匹配模块, 然后根据规则匹配模块的匹配结果, 在用户安装软件的时候, 给出相应的安全提示, 告诉用户准备安装的软件中存在的恶意权限组合 (2) 规则匹配模块规则匹配模块负责匹配安装判别模块发来的权限列表与敏感权限组合规则集, 返回准备安装的软件中可能实施恶意行为的敏感权限组合 (3)API 拦截模块 API 拦截模块负责实时监控 Android 系统中软件的敏感操作并发送给动态权限分发模块, 然后提示数据抽取模块采集当前时刻的系统相关信息 (4) 动态权限分发处理模块动态权限分发处理模块接收 API 拦截模块所发来的敏感权限使用信息, 然后分发接收到的敏感操作到对应的处理类中在对应的处理类中, 该模块将根据用户预先对各软件权限使用的设置, 进行相应的处理例如, 如果用户设置当前敏感权限的使用者对当前使用的敏感权限为拦截状态, 则动态权限分发处理模块将会拦截本次权限的使用 ; 如果用户设置为智能处理状态, 则该模块将会调用恶意行为智能识别模块进行分析处理 (5) 恶意行为智能识别模块恶意行为智能识别模块根据基础数据层的特征抽取模块提供的数据来创建朴素贝叶斯分类器, 从而判断当前软件行为是否合理, 在将结果反馈给动态权限分发处理模块后, 更新朴素贝叶斯分类器, 并将数据保存到 Sqlite 数据库中 (6) 动态权限决策反馈模块动态权限决策反馈模块根据动态权限分发处理模块的最终处理结果, 对软件本次敏感权限使用选择放行拦截或者提示用户这三种处理方式 (7) 进程间通信模块进程间通信模块负责连接 Android 防护软件中位于系统进程与应用程序进程的相应模块, 使得它们能够相互通信, 保障 Android 系统的安全 16

29 东南大学硕士学位论文人机交互层的设计人机交互层的主要功能分为两部分 : 第一部分是在用户安装 Android 软件的时候, 根据安装判别模块的反馈结果, 给予用户安全提示, 告诉用户该软件中是否存在敏感权限组合, 让用户选择是否继续安装, 并提供智能安装功能, 限制敏感权限组合中的权限在软件运行时被调用第二部分是呈现拥有敏感权限的软件, 并且用户能够对某个软件所能够使用的权限进行动态设置并保存到注册表中, 供动态权限分发处理模块的查询与使用 2.4 本章小结本章首先在对实际应用的需求和同类型 Android 安全防护软件的功能进行调研和分析, 在此基础上, 提出了增强 Android 系统安全的具体需求接着针对具体需求, 提出了增强 Android 系统安全的方案框架, 主要包括软件安装阶段防护和软件运行阶段防护然后根据 Android 系统安全增强方案框架, 设计了 Android 安全防护软件, 并阐述其三层次的体系结构和各个层次中对应的功能模块在接下来的第三章将通过静态分析 Android 系统中的软件权限来实现软件安装阶段的防护方案, 而第四章和第五章分别从技术和理论两个方面来实现软件运行阶段的防护方案 17

30 东南大学硕士学位论文第三章 Android 系统中软件权限的静态分析本章首先详细介绍 Android 系统的安全机制, 然后对实验采集的 2110 个软件从权限申请的角度进行静态分析, 统计权限申请的情况, 并实现 Apriori 算法挖掘出恶意软件和敏感权限组合的关联, 最后归纳出需要在软件运行时被监控的敏感权限 3.1 Android 系统的安全机制 Android 系统引入了诸多安全保护机制, 本文将这些安全机制分为三类, 如表 3-1 所示, 分别是 :Linux 机制 Android 特有机制和其它安全机制表 3-1 Android 安全机制机制描述防范目标 Linux 机制 POSIX UID 每一个应用程序被授予一个不同的 UID 防止应用程序执行过程被其它应用程序所篡改文件访问控制应用程序的目录只能对该应用自己所公开防止应用程序数据文件被其它应用程序所访问 Android 特有的机制应用程序权限每一个应用程序必须在安装的时候申请所需要防范应用程序行使恶意用到的权限行为应用程序签名开发者需要对.apk 文件进行签名, 来验证不同应防止第三方软件获得系用程序来自相同的开发团体, 从而能够使用特定统签名所独有的权限的权限 Dalvik 虚拟机每一个应用程序必须运行在自己的虚拟机中防止缓存溢出攻击与远程代码执行其它安全机制内存管理单元应用程序只能运行在自己的内存地址空间中防止信息泄露权限提升与服务拒绝强变量类型安全在编译和运行的时候, 变量内容强行限制在特定的格式中防止缓存溢出攻击 [34] Linux 内核层的安全机制 Android 系统是基于 Linux 内核的, 所以 Android Linux 内核层的安全机制直接影响了 Android 底层安全在 Android 的内核层, 有两种主要的安全机制, 分别是 :POSIX UID [35] 和文件访问控制内核层安全机制的基本元素是用户 18

31 第三章 Android 系统中软件权限的静态分析每一个内核中的对象, 例如进程或者文件都属于一个用户, 用户又被进一步被划分到某个用户组中 (1)POSIX UID 进程有独立的地址空间, 进程与进程间默认是不能互相访问的, 是一种很可靠的保护机制 Android 通过为每个安装在设备上的 Android 程序包文件 (apk 文件 ) 分配唯一的 POSIX UID 不同的程序包代码不能够运行在同一个进程中, 这样不同的软件则不能相互干扰如果想让不同软件运行在同一个进程中, 这些软件必须使用 Android 的 shareduserid 特性来共享相同的 UID 为了共享相同的 UID, 不同的软件必须显式申请它们使用相同的 UID, 并且必须使用同一个私钥来对这些软件进行数字签名 (2) 文件访问控制 Android 系统中放在存储设备上的文件, 其访问权限是受制于 Linux 权限机制与 Linux 权限机制一样, 文件的访问权限是用三个三元组 <Read, Write, Execute> 来表示第一个三元组被用于表示拥有者对该文件的权限, 第二个三元组被用于表示拥有者组别的用户对该文件的访问权限, 第三个三元组被用于表示其他用户对该文件的访问权限然而如果该文件运行起来后所具有的权限与 Linux 文件系统上的权限完全不相关, 文件运行起来以后所在的进程则受限于 Android 系统特有的软件权限保护机制 Android 特有的安全机制 Google 开发团队为 Android 设计了以下四项专用的安全机制 : 软件权限组件封装软件签名和 Dalvik 虚拟机 (1) 软件权限软件权限设置的目的是限制软件对系统或者其它软件的操控能力在软件中, 所被用到的每条权限都以一条字符串的形式被显式地申请在软件的 manifest.xml 文件中在 manifest.xml 文件中, 权限被分为两类 : 系统内置权限 (users-permission 标签 ) 和用户自定义权限 (permission 标签 ), 如图 3-1 所示 <?xml version="1.0" encoding="utf-8"?> <manifest xmlns:android=" package="com.yang.graduation" android:versioncode="1" android:versionname="1.0" > <uses-sdk android:minsdkversion="8" android:targetsdkversion="17" /> 19

32 东南大学硕士学位论文... <uses-permission xmlns:android=" android:name="android.permission.write_owner_data" /> <uses-permission xmlns:android=" android:name="android.permission.receive_boot_completed" /> <permission xmlns:android=" android:name="com.yang.graduation.read_app_data" android:protectionlevel="normal" /> <application android:allowbackup="true" > <activity android:name=".mainframe" 图 3-1 Android Manifest 示例 Android 系统在应用程序框架层引入了 130 个内置权限 [36], 包括拨打电话的权限设置屏幕方向的权限使用网络的权限等特定版本的 Android 系统所定义的内置权限定义在该版本源码的 android.manifest.permissions 类中除了 Android 系统内置的权限外,Android 系统支持自定义权限例如, 如果希望让软件使用其它软件提供的服务, 则可以定义自定义权限来实现定义了自定义权限之后, 它们将作为组件定义的一部分被引用所有的权限还被赋予了不同的保护等级 : normal: 低风险的权限, 不会对系统用户或其它软件造成危害 ; dangerous: 高风险的权限, 可能涉及用户隐私数据或者造成危害的功能, 软件安装的时候会被显式列出, 并请求用户确认 ; signature: 当软件所用数字签名与声明此权限的软件所有数字签名相同时, 这类权限才会被授予 ; signature-or-system: 这类权限是 signature 权限的特例, 只能被赋予与系统签名相同的软件在软件安装的时候, 软件所需要的权限将以列表的形式呈现给用户, package installer 会检测该应用请求的权限, 如果安装时权限获取失败, 则该软件不允许被安装通常情况下, 程序运行未被授予权限的敏感操作时, 会引发一个 SecurityException, 在系统 log( 通过 Log.d 函数访问 ) 中有相关记录 Android 权限是限制在进程层面的, 即一个软件启动的子进程的权限不允许超越其父进程的权限, 即使单独运行某个应用有相应权限, 但如果它是由一个没有相应权限的软件调用时, 那该权限就会被限制例如, 当遇到软件权限不 20

33 第三章 Android 系统中软件权限的静态分析足时, 即使考虑在内核层实现一个 Linux 可执行程序, 然后由 Android 软件调用它去完成某个它没有权限完成的事情, 这种方法是行不通的 Android 是通过 Linux 内核层的 POSIX UID 机制来实现限制子进程的权限, 因为子进程在构建的时候, 被分配了与父进程相同的 UID (2) 软件签名 Android 中的软件签名是权限保护机制的前提, 每一个 Android 软件都必须被签名, 默认生成的软件文件是 debug 签名该签名并非基于权威证书, 不会决定某个软件是否允许安装, 而是基于自签名证书, 用于申请 Android 中的 signature 类型和 signature-or-system 类型的权限 (3)Dalvik 虚拟机 Dalvik 虚拟机可以支持已转换为.dex( 即 Dalvik Executable) 格式的 Java 软件的运行经过优化, 它允许在有限的内存中同时运行多个虚拟机的实例, 其中每一个 Dalvik 应用作为一个独立的 Linux 进程执行独立的进程可以防止进程间冲突, 也可以防止在虚拟机崩溃的时候所有程序都被关闭其它安全机制 Android 运行时的环境, 例如硬件设备编程语言等, 也为 Android 系统提供了诸多机制来保障系统的安全 (1) 内存管理单元内存管理单元是一个硬件组件, 能够保证不同的进程被划分到不同的地址空间中运行该硬件组件是诸多现代操作系统架构设计的前提条件很多操作系统都采用内存管理单元来确保进程不能读取或修改其它进程的内存 ( 信息闭包 ) 该硬件组件减小了权限提升攻击的可能性因为一个进程不能通过复写操作系统内存来让其程序运行在特权模式 (2) 强类型安全强类型安全是编程语言的一种特性, 该特性强制变量内容符合一种特定的格式, 从而避免了缓存区溢出如果编程语言缺少强变量类型安全机制会可能遭受缓存区溢出攻击, 最终恶意程序将能注入恶意代码 Android 采用强类型的 Java 语言比起 C 语言能够在没有类型检测和边界检测的情况下执行代码,Java 编写的程序很难做到代码的随意执行 Android Interface Definition Language(AIDL) 是 Android 特有的 Binder 进程间通信机制所使用的语言, 它也是强类型安全的开发者通过 AIDL 语言定制所需要传送的数据元素类型该语言确保了用于通信的数据也被保存在进程边界中 21

34 东南大学硕士学位论文安全机制小结从以上的分析可以看出,Android 系统从多个层面保障了系统的安全本章主要从软件权限这个角度来分析 Android 的安全机制如果本文将所有安全机制综合起来考虑, 那本文所讨论的安全模型将会变得异常复杂况且, 软件权限的申请是赋予软件操作其它应用或者系统的能力, 而 Linux 内核层结合 Dalvik 虚拟机所提供的程序隔离机制是限制软件的能力的因此, 本文假设 Linux 内核层结合 Dalvik 虚拟机所提供的程序隔离机制运行正常, 重点关注 Android 权限的获取 3.2 软件权限的统计分析数据来源本文采集的数据集一共由 2110 个 Android 软件组成 : 其中 850 个软件来自 2013 年 2 月份的 Android Market [37], 分别是 Android Market 里 11 个软件分类 [38] 和 6 个游戏分类中, 排名前 50 的应用 ; 另外 1260 个软件来自于 Zhou 等人的恶意软件数据集, 该 1260 个软件都标注为 Android 系统里的恶意软件本文假定从 Android 市场收集来各个分类前 50 的应用不是恶意程序, 因为这些应用通常吸引很多的用户 ( 所有分类下载量第 50 的软件都超过了次 ), 一般是由 Android 软件公司或者专业组织所开发与维护因此,Android 软件开发公司或者专业组织为了自身的声誉以及法律法规的约束, 并不会在应用中实施恶意行为所以, 我们将这 850 个软件列入白名单, 结合 1260 个恶意程序, 来展开对软件的静态分析数据集中软件的分类如表 3-2 所示软件表 3-2 数据集概况分类名称分类排第 1 的下载量分类排第 50 的下载量本文数据集中的数量通讯 & 聊天次次 50 网络 & 社区次次 50 影音 & 图像次次 50 办公 & 财经次次 50 资讯 & 词典次次 50 旅行 & 地图次次 50 输入法 & 系统次次 50 生活 & 购物次次 50 美化 & 壁纸次次 50 阅读 & 图书次次 50 22

35 第三章 Android 系统中软件权限的静态分析游戏恶意程序其它次次 50 动作冒险次次 50 角色扮演次次 50 射击飞行次次 50 赛车竞速次次 50 策略经营次次 50 棋牌休闲次次 50 恶意程序 X X 权限统计方法本文数据集中的软件都是标准 ZIP 兼容的 Android Package(APK) 格式虽然这些软件都是编译以后的文件, 并不是很容易进行源代码分析, 但是每个软件所申请的权限被写在了二进制化的 manifest.xml, 解压读取该二进制 xml 文件是相对容易的本文编写了一个 Android 权限抽取的 shell 脚本, 如图 3-2 所示该脚本调用 Google SDK 自带的 Android Asset Packaging Tool [39], 从而抽取出每个 Android 软件中的 manifest.xml 文件, 然后读取 manifest.xml 中 <uses-permission> 和 <permission> 节点中的内容如图 3-3 所示, 图中 package 行表示软件的开发包名, 用于唯一标识一个软件 ;uses-permission 行表示软件使用的系统内置权限 ; permission 行表示软件使用的自定义权 off setlocal enabledelayedexpansion :: 循环读取全部 apk 文件, 文件路径存入 i for /r %%i in (*.apk) do ( :: 使用 appt 工具来分析 apk 包中的 manifest.xml 文件 set s=%%i set s=!s:%~dp0=! :: 将路径转为文件名 aapt d permissions "!s!" ) 图 3-2 Android 权限抽取的 shell 脚本 package: com.netmite.andme uses-permission: android.permission.internet uses-permission: android.permission.vibrate 23

36 东南大学硕士学位论文 uses-permission: android.permission.send_sms package: com.qidian.qdreader permission: com.qidian.qdreader.permission.read_db permission: com.qidian.qdreader.permission.write_db uses-permission: android.permission.write_settings uses-permission: android.permission.internet uses-permission: android.permission.write_external_storage 图 3-3 由 shell 脚本读出的 Android 权限示例由于软件自定义权限由开发者设置, 并没有规格化的表示, 所以本文对自定义权限不加以分析, 只分析系统内置的 130 个权限权限统计结果表 3-3 列举了数据集中 18 个分类的平均权限申请数量从表中可以看出, 恶意程序所平均申请的权限数量为 10.8, 大于白名单中软件所申请的平均权限数量 7.1 同样是白名单中的软件, 网络 & 社区类的应用所申请的平均权限数量为 10.2, 同样比最小平均权限数量高出了不少, 说明不同分类中的软件申请权限的数量也是有差异的表 3-3 各分类软件所申请的权限数分类名称应用程序数量平均申请的权限数通讯 & 聊天网络 & 社区影音 & 图像办公 & 财经资讯 & 词典应用程序游戏旅行 & 地图输入法 & 系统生活 & 购物美化 & 壁纸阅读 & 图书其它动作冒险角色扮演射击飞行

37 第三章 Android 系统中软件权限的静态分析赛车竞速策略经营棋牌休闲恶意程序恶意程序仔细对每个权限分类进行分析以后, 图 3-4 给出了前 20 位被频繁申请的权限, 其中 y 轴代表每一个在安装时被申请的权限,x 轴代表权限被申请的数量从图中可以看出, 创建网络套接字的 INTERNET 权限被最频繁地申请, 它被 2018(95.64%) 个软件所申请, 其中恶意软件分类中的软件占 1232(97.78%) 个, 非恶意的软件占 586(68.94%) 个读取通话状态的权限 READ_PHONE_STATE, 位列第三, 被 1571(74.45%) 个软件所申请, 其中恶意软件分类中的软件占 1179(93.57%) 个, 非恶意的软件占 392(46.12%) 个 WRITE_APN_SETTINGS RESTART_PACKAGES 恶意软件 WRITE_CONTACTS READ_CONTACTS 非恶意软件 RECEIVE_SMS CALL_PHONE CHANGE_WIFI_STATE SEND_SMS WAKE_LOCK ACCESS_FINE_LOCATION WRITE_SMS ACCESS_COARSE_LOCATION VIBRATE READ_SMS RECEIVE_BOOT_COMPLETE ACCESS_WIFI_STATE WRITE_EXTERNAL_STORAG READ_PHONE_STATE ACCESS_NETWORK_STATE INTERNET 图 3-4 前 20 位被频繁申请的权限在对数据集的分析过程中, 本文发现在一些软件中, 开发者申请了相同的权限两次这是开发者的问题, 因为申请相同的权限多次没有任何的好处这种重复申请权限的错误不仅仅出现在不出名的软件, 例如恶意软件分类中的疯狂打地鼠, 它分别申请了 READ_LOGS WRITE_EXTERNAL_STORAGE 和 RECEIVE_SMS 这些权限两次 ; 也出现在较为受欢迎的软件, 如 SOSO 街景地图 ( 下载量为次 ), 它申请了 INTERNET 权限两次这个问题可能是由于程序员个人对权限的错误理解导致的也可能是开发环境的自动化处理导致的, 或者是由于多人开发合作导致重复权限的申请表 3-4 为重复权限申请数量的汇总表 3-4 数据集中权限重复申请的情况权限名称权限重复申请的数量 INTERNET 31 ACCESS_NETWORK_STATE 14 RECEIVE_BOOT_COMPLETED 8 25

38 东南大学硕士学位论文 READ_PHONE_STATE 8 READ_CONTACTS 5 ACCESS_FINE_LOCATION 4 READ_LOGS 2 WRITE_EXTERNAL_STORAGE 2 RECEIVE_SMS 2 另外, 一些软件会申请 ACCESS_ASSISTED_GPS 和 ACCESS_CELL_ID 这类过时的权限, 这些权限在 Android 1.0 系统后就被 ACCESS_FINE_LOCATION 和 ACCESS_COARSE_LOCATION 这两个权限所取代同时, 本文也发现有些软件会申请 MASTER_CLEAR 这样的权限, 该权限能够删除系统所有的配置信息, 也就是软格式化 ( 恢复出厂设置 ) 由于该权限赋予软件软格式化的能力, 所以这类权限的使用仅限于与当前 Android 系统拥有相同私钥的软件, 并不能够被第三方软件使用所以即使第三方软件申请了这个权限, 在使用的时候进程仍旧会报错 3.3 基于 Apriori 算法的敏感权限组合挖掘 Android 权限机制在安装时存在的问题由于 Android 木马通过植入的方式以正常应用程序的形式出现, 安全意识不高的用户很可能受到恶意程序的入侵, 而一旦安装了恶意程序, 用户很难在恶意程序造成伤害之前意识到恶意程序的存在所以, 最好的保护方式是在恶意程序安装时发现可能会导致软件实施恶意行为的威胁并阻止其安装当用户在安装 Android 软件的时候, 系统会弹出对话框标注该软件所申请的权限列表, 如图 3-5 所示, 由用户来判断是否授予应用程序这些权限图 3-5 Android 软件安装时显示的权限列表 26

39 第三章 Android 系统中软件权限的静态分析如果用户仅仅因为 Android 软件申请了单独的某个权限而被判定为恶意软件, 这势必导致极高的误报率因为应用程序申请某项权限是其获得某种能力的途径, 而任何一种能力都不应该威胁到系统或者用户数据的安全如果某项能力本身就会造成安全威胁, 那么该项能力就不应该被提供给第三方应用程序, 例如 MASTER_CLEAR 所以第三方应用程序所能申请的权限, 从单独使用的角度来看, 都应该是安全的然而, 通常 Android 软件会申请多种权限, 一旦权限被组合使用, 则有可能威胁到系统或者用户数据安全例如,READ_PHONE_STATE 权限允许程序读取智能终端的相关信息 (SIM 卡号智能终端唯一标识码等 ), 这个权限本身并不会导致用户隐私的泄露, 很多应用程序获取这个权限的目的是为了识别出用户所在的省份或者使用的通信服务商, 从而为用户提供个性化的服务但是, 如果 Android 软件在拥有获取智能终端相关信息的权限同时, 还获得例如 INTERNET 或者 SEND_SMS 权限时, 就有可能会造成用户隐私的泄露另一个例子是 READ_CONTACTS 权限, 该权限允许 Android 软件读取用户存储的联系人信息, 包括联系人姓名电话电子邮件通信地址人物关系等最近特别火爆的 Android 软件微信就使用这些信息来识别出使用了微信的联系人, 从而更为方便用户在移动终端上快速组建出社交圈然而, 如果恶意软件获取到联系人信息以及通信权限, 则为群发垃圾短信或者为社会工程学的攻击提供了便利的途径虽然有实施恶意行为能力的软件并不一定会实施恶意行为, 但是一旦这类软件被安装后将敏感权限组合起来使用, 则可能造成更大的破坏因此, 这些具有实施恶意行为能力的敏感权限组合在软件安装阶段就必须被识别出来, 并提示用户, 引起用户的警觉 [21] Enck 等人在 CCS09 会议上提出了一个名为 Kirin 的工具, 该工具会对预先定义好的可能进行恶意行为的权限组合做出风险提示 Enck 等人根据经验, 预先定义了一些权限组合, 包括不能同时拥有获取地理位置网络和开机启动这三个权限 ( 这会导致恶意软件能够随时跟踪用户的位置 ) 等然而,Enck 等人的工作存在三个问题 : 其一,Enck 等人仅仅凭借着个人对 Android 权限的理解定义出一些权限组合, 这些权限组合在恶意软件中是否普遍存在? 其二, 这些权限组合是否也经常存在于非恶意软件中 ( 产生误报率 )? 其三, 这些权限组合是否涵盖了所有威胁用户安全的权限组合?Enck 等人对这三个问题都没有部署相关的恶意软件与非恶意软件进行对比实验因此,Kirin 工具所预设权限组合的可靠性和全面性是值得质疑的 27

展开

评委 : 李炎斌 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

评委 : 李炎斌 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单评委 : 李炎斌 - 个人清标评审明细表评审因素序号投标单位清标评审 1 深圳市创捷科技有限合格 2 四川川大智胜软件股份有限合格 3 北京航天长峰科技工业集团有限公司合格 4 深圳中兴力维技术有限合格 5 深圳键桥通讯技术股份有