调用路径驱动的Android应用程序恶意行为检测方法研究

发布时间：2021-03-26 04:20

　　Android是目前使用人数最多,应用最为广泛的移动操作系统。由于Android开源、开放的生态,开发者可以自由地开发第三方应用软件,以运行在搭载Android平台的智能终端上。海量的应用软件为数以亿计的用户提供各种各样的服务,但其中隐藏着大量的恶意软件,不断窃取和操纵用户敏感的隐私数据,导致信息泄露、电信诈骗等违法活动层出不穷。现有Android恶意软件检测方案通常将敏感API的使用集合作为恶意软件特征,存在粗粒度和精确性较低的局限性。而API的调用顺序和执行路径是所有应用的基本逻辑,提取敏感API的调用顺序和执行路径作为特征,是对API使用集合特征的深化扩展,可称为“特征的特征”。因此,为了提升Android恶意软件检测的精确性,本文重点关注应用软件的敏感调用路径。在分析Android应用的运行机制、监听和回调机制的基础上,本文通过对应用软件执行静态分析得到敏感的调用路径,同时引入了多种机器学习算法训练Android恶意软件检测分类器。因此,本文提出了基于敏感调用路径的Android恶意软件检测方法,有效地实现了对未知安全性的Android应用软件的准确检测。本文的主要贡献如下:（... 

【文章来源】：西安电子科技大学陕西省 211工程院校 教育部直属院校

【文章页数】：68 页

【学位级别】：硕士

【部分图文】：

McAfeeT.油，的威胁报告11]

改进后提升了 8.4 倍。改进前 IntelliDroid 可以正常分析的样本软件为 713 个 条调用路径或者分析失败的样本有 297 个。改进后可以正常分析的样本软6 个，分析不成功的降为 134 个，APK 分析的综合成功率提升了 15.3%。4. 敏感调用路径处理使用改进后的 IntelliDroid 工具对逆向分析之后的样本软件进行分析，每个生成的敏感调用路径保存在嵌套的 Json 文件中。 个样本软件经过分析之的 Json 实例如图 4.3 示。该实例以黑色矩形框圈出了 3 条敏感调用路径。该成了 10 条敏感调用路径，均以三层嵌套“key:value”的形式保存在 Json 文件 python 程序，以递归的方法解析出实例中的敏感的调用路径。首先解析图 条敏感调用路径，定义 个全局变量，申请 块内存空间，递归遍历 key：结构，判断 key 键是否等于“startMethod”，若等于，则将 key 键对应的 vaom.soft.android.appinstaller.QuestionActivity.onCreate(Landroid/os/Bundle;)V”空间，紧接着判断 key 是否等于“targetMethod”，若等于，则将其对应的android.telephony.TelephonyManager.getLine1Number()Ljava/lang/String;”按顺循环上述过程，即可完成对敏感路径的解析。

样本软件对应的AndroldManifcstxlnl


本文编号：3100936