安卓混淆恶意应用程序检测方法研究
发布时间:2021-10-10 04:16
近年来,安卓系统因其开放性始终占据移动市场的主导地位。然而,安卓恶意应用的日益增长严重威胁着用户的财产和信息安全。安卓应用的安全性逐渐引起人们的重视,针对安卓恶意应用的研究和检测方法应运而生,其中静态分析技术备受研究者的青睐成为主要的检测方法。然而近年来,混淆技术被广泛地应用于安卓应用,良性应用的开发者通过混淆技术来保证自己的知识产权不受到侵害,而恶意应用的开发者通常利用该技术增加应用被逆向分析的难度或者使用反射技术隐藏恶意代码,从而躲避静态分析。因此安卓混淆技术是一把双刃剑,在安卓混淆应用中良性应用和恶意应用并存。5G时代的到来使得移动设备的安全问题更加突出,如何有效地检测市场中的安卓混淆恶意应用是一个意义重大且亟待解决的问题。当前,混淆恶意应用的检测与分析方法存在数据集不明确且静态分析技术效率低下的问题。针对这些问题,本文构建了一个动态检测安卓混淆恶意应用的方法,该方法分为混淆应用检测和恶意应用检测两个模块。使用混淆应用检测方法构建了用于混淆恶意应用检测的数据集,分别包括778和712个混淆的正常和恶意应用。恶意应用检测模块在误报率为1.55%的情况下达到了 93.49%的准确率。...
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:69 页
【学位级别】:硕士
【部分图文】:
图2-1安卓系统架构图??Figure?2-1?The?system?framework?of?Android??管理器(Activity?Manager)、内容提供者(Content?Provider)、窗口管理器(Window??
于传统的Java虚拟机,主要表现在[53]:?Dalvik虚拟机是基于寄存器架构,数据的??访问方式比基于栈的Java虚拟机要快很多。另外,Java虚拟机运行的是Java字节??码(.class文件),而Dalvik虚拟机运行的是.dex文件(Dalvik字节码)。如图2-2??所示,在一般的Java程序中,Java类会被编译成Java字节码,然后被保存到class??文件中。而在安卓应用程序中,Java字节码会通过Android?SDK?(安卓开发工具包)??中的DX工具转换成Dalvik字节码,进而被打包到DEX?(Dalvik?Executable)可执??行文件中。Java虚拟机通过将class文件里面的内容解码从而运行程序。而Dalvik??虚拟机会解释.dex可执行文件来运行字节码。??Java源文件??Java编译器??Java卞货码????DX工具??Dalvik字节码??Java虛拟机?Dalvik虚拟机??图2-2?Java虚拟机与Dalvik虚拟机??Figure?2-2?Java?virtual?machine?and?Dalvik?virtual?machine??DX工具在处理Java文件时,会消除类文件中的冗余信息,如重复的方法签??名信息,此外将所有的字符串常量池进行分解,去除冗余信息后重新组合成一个??新的共享常量池,因此Dalvik字节码文件相对来说体积更小。去除多余的信息后??虚拟机减少了?I/O操作次数
际上是一个ZIP压缩包,将其解压之后会发现它由资源文件、DEX文件以及清单??文件AndroidManifest.xml等组成。前面提到过,DEX文件是安卓平台Dalvik虚拟??机下的可执行文件。DEX文件由多个结构体组合而成,如图2-3所示,展示了?DEX??文件的结构信息,与class文件结构有较大差异,但它们所携带的信息一致。DEX??文件中的数据存储在data数据区,link_data为静态链接数据区。??Dex?header??String—ids??Type_ids??Proto_ids??Field」ds??Melhod_ids??Class一?det、??data??Link一?data??图2-3?DEX文件结构图[53]??Figure?2-3?Dalvik?Executable?file?structure1533??从string_ids到class_def结构是“索引结构区”。Dex?header是DEX文件头,??这个部分主要存储了其他各数据结构的起始地址、偏移量、长度信息以及校验和??等。文件头部分共占用0x70个字节,各部分信息如表2-1所示。??目前,magic字段的值为dex.035,标识了一个有效的DEX文件。checksum字??段是DEX文件的校验和
【参考文献】:
硕士论文
[1]基于深度学习的安卓恶意应用检测方法研究[D]. 赵梦雪.北京交通大学 2018
[2]基于函数调用图的Android重打包应用检测方法研究[D]. 吴兴茹.北京交通大学 2017
[3]基于动态分析的Android恶意应用检测系统的设计与实现[D]. 魏宗涛.北京交通大学 2017
[4]安卓应用的恶意行为检测与归类方法研究[D]. 马君丽.北京交通大学 2016
本文编号:3427627
【文章来源】:北京交通大学北京市 211工程院校 教育部直属院校
【文章页数】:69 页
【学位级别】:硕士
【部分图文】:
图2-1安卓系统架构图??Figure?2-1?The?system?framework?of?Android??管理器(Activity?Manager)、内容提供者(Content?Provider)、窗口管理器(Window??
于传统的Java虚拟机,主要表现在[53]:?Dalvik虚拟机是基于寄存器架构,数据的??访问方式比基于栈的Java虚拟机要快很多。另外,Java虚拟机运行的是Java字节??码(.class文件),而Dalvik虚拟机运行的是.dex文件(Dalvik字节码)。如图2-2??所示,在一般的Java程序中,Java类会被编译成Java字节码,然后被保存到class??文件中。而在安卓应用程序中,Java字节码会通过Android?SDK?(安卓开发工具包)??中的DX工具转换成Dalvik字节码,进而被打包到DEX?(Dalvik?Executable)可执??行文件中。Java虚拟机通过将class文件里面的内容解码从而运行程序。而Dalvik??虚拟机会解释.dex可执行文件来运行字节码。??Java源文件??Java编译器??Java卞货码????DX工具??Dalvik字节码??Java虛拟机?Dalvik虚拟机??图2-2?Java虚拟机与Dalvik虚拟机??Figure?2-2?Java?virtual?machine?and?Dalvik?virtual?machine??DX工具在处理Java文件时,会消除类文件中的冗余信息,如重复的方法签??名信息,此外将所有的字符串常量池进行分解,去除冗余信息后重新组合成一个??新的共享常量池,因此Dalvik字节码文件相对来说体积更小。去除多余的信息后??虚拟机减少了?I/O操作次数
际上是一个ZIP压缩包,将其解压之后会发现它由资源文件、DEX文件以及清单??文件AndroidManifest.xml等组成。前面提到过,DEX文件是安卓平台Dalvik虚拟??机下的可执行文件。DEX文件由多个结构体组合而成,如图2-3所示,展示了?DEX??文件的结构信息,与class文件结构有较大差异,但它们所携带的信息一致。DEX??文件中的数据存储在data数据区,link_data为静态链接数据区。??Dex?header??String—ids??Type_ids??Proto_ids??Field」ds??Melhod_ids??Class一?det、??data??Link一?data??图2-3?DEX文件结构图[53]??Figure?2-3?Dalvik?Executable?file?structure1533??从string_ids到class_def结构是“索引结构区”。Dex?header是DEX文件头,??这个部分主要存储了其他各数据结构的起始地址、偏移量、长度信息以及校验和??等。文件头部分共占用0x70个字节,各部分信息如表2-1所示。??目前,magic字段的值为dex.035,标识了一个有效的DEX文件。checksum字??段是DEX文件的校验和
【参考文献】:
硕士论文
[1]基于深度学习的安卓恶意应用检测方法研究[D]. 赵梦雪.北京交通大学 2018
[2]基于函数调用图的Android重打包应用检测方法研究[D]. 吴兴茹.北京交通大学 2017
[3]基于动态分析的Android恶意应用检测系统的设计与实现[D]. 魏宗涛.北京交通大学 2017
[4]安卓应用的恶意行为检测与归类方法研究[D]. 马君丽.北京交通大学 2016
本文编号:3427627
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3427627.html
