基于应用分类的安卓恶意应用检测模型

发布时间：2021-01-06 22:29

　　安卓操作系统在社会智能化发展过程中扮演着重要角色,同时基于该系统的恶意攻击软件已对用户隐私和系统安全构成了严重威胁。360互联网安全中心2018年累计监测安卓移动端恶意软件感染量约为1.1亿人次;卡巴斯基实验室在2017年检测并截获总计5,730,916个安卓恶意应用安装包。为提高安卓系统的稳定性和安全性,维护移动应用市场的绿色健康发展,各大互联网安全公司及科研单位仍在不懈努力。权限管理机制在安卓安全模型中扮演重要角色,应用通过权限请求申请所需的系统软硬件及用户数据等资源来实现个性化功能。本文通过对安卓安全模型设计的分析和恶意应用检测课题研究近况的全面调研,提出了基于应用分类的安卓恶意应用检测模型,主要包含应用分类模块和基于类别的恶意性检测模块,通过两步走来检测未知应用恶意性。分类模块以K-means算法为核心,通过计算训练集内可信应用权限向量间相似度将可信应用聚为32个类并获取聚类模型,然后将恶意应用权限向量集输入该模型进行分类;检测模块,通过卡方检验来提取每个类中的敏感权限作为检测算法的输入特征,训练检测模型。实验数据包含13,588个恶意应用和13,382个可信应用,最终实验结果... 

【文章来源】：广州大学广东省

【文章页数】：53 页

【学位级别】：硕士

【部分图文】：

安卓架构图

第二章 安卓安全模型及恶意应用检测卓系统设计之初继承了 Linux 操作系统的核心服务包括安全模型，内存，网络模块及驱动模型等。为了推动本课题的研究我们进行了大量深度括对安卓的安全模型设计的剖析，搜集并总结了目前市场上针对安卓系方法，以及目前有效的对未知应用的检测手段和方法。卓安全模型进程沙箱隔离机制：每个应用进程被分配一个唯一的 UID，不同的应能于同一进程（沙盒）中运行。应用程序默认情况下不能与其他应用程问属于自己沙盒中的资源[40]，如图 2-1 所示。

3）间谍软件：此类恶意软件对移动设备的威胁主要是在未获得用户许可的情况下集，使用和传播用户的敏感个人信息[45]。主要包含系统监视器，木马，广告软件踪 cookie 等[58]。3.2 安卓恶意应用攻击方式安卓恶意应用的攻击类型主要包含木马，蠕虫，间谍软件三种，但恶意软件的设式和实现手段却多种多样。由于其实现方法的多样化，导致目前恶意应用检测模型化能力较差[56-57]。按照恶意应用攻击所针对的不同层次，可分为基于客户端，基于数据传输阶段，服务器端三层，不同层次包含了不同的攻击方法，如图 2-3 所示。

【参考文献】：
期刊论文
[1]面向Android隐私保护机制的多域隔离模型设计[J]. 王帅丽,孙磊,韩静丹,徐宁,王泽武.  计算机工程. 2017(10)
[2]Android安全的研究现状与展望[J]. 卿斯汉.  电信科学. 2016(10)
[3]Android安全研究进展[J]. 卿斯汉.  软件学报. 2016(01)
[4]Android恶意软件检测技术分析和应用研究[J]. 文伟平,梅瑞,宁戈,汪亮亮.  通信学报. 2014(08)
[5]GrantDroid:一种支持Android权限即时授予的方法[J]. 徐冰泉,张源,杨珉.  计算机应用与软件. 2014(08)
[6]Android安全综述[J]. 张玉清,王凯,杨欢,方喆君,王志强,曹琛.  计算机研究与发展. 2014(07)



本文编号：2961366