基于关联分析的Android权限滥用攻击检测系统研究

发布时间：2017-05-21 16:28

  本文关键词：基于关联分析的Android权限滥用攻击检测系统研究，由笔耕文化传播整理发布。

【摘要】：随着移动智能设备的快速普及,Android操作系统以其优异的性能,获得了巨大的成功。但同时,Android系统也成为了许多恶意应用的攻击目标。为了限制应用软件的行为,Android系统设计了权限机制。然而Android的权限机制存在设计缺陷：应用程序一旦获取用户的授权,就能够在用户不希望的时间里使用这项权限,从而造成用户个人隐私信息的泄露,这就是Android的权限滥用攻击。由于权限滥用攻击具有很强的隐蔽性,如何检测应用程序是否存在权限滥用攻击行为,成为了Android安全领域中的一个研究热点。针对权限滥用攻击的检测问题,本文首先介绍了Android系统的相关技术背景。其中重点介绍了Android的权限机制,及其在设计上存在的缺陷。接下来,本文介绍了软件检测领域传统的静态、动态检测方法。并分析了这两类方法对于检测权限滥用攻击的局限性。针对传统软件检测方法存在的局限性,以及Android权限滥用攻击的特点,本文进行了如下两部分的研究工作。第一,研究了Android权限滥用攻击的基本原理,并提出了检测Android权限滥用攻击的核心思想。良性应用中软件的行为基本上都是由用户触发的,软件行为和用户操作的关联性比较高；而存在权限滥用攻击的应用则相反。可以通过检测软件行为和用户操作关联性的高低,来判断待检测应用是否存在权限滥用攻击。第二,基于上述思想,设计并实现了一个Android权限滥用攻击检测系统一—DroidDect系统。DroidDect系统基于软件的动态检测方法,通过修改Android的相关系统代码,收集应用程序运行时产生的两类数据：应用行为数据和用户GUI操作数据。获得这两类数据后,利用关联分析的基本思想,DroidDect计算这两类数据之间的置信度。通过事先检测的良性应用样本,获取良性应用的置信度阈值。再将待检测应用的置信度和良性应用置信度阈值相比较,获得检测结果。最后,本文对DroidDect检测系统进行了实验测试和分析。实验结果显示,良性应用和存在权限滥用攻击的应用,在所测得的置信度上存在着较大差异。利用这个差异,DroidDect系统可以有效检测出应用是否存在某几类(录音、拍照、传感器、地理位置)的权限滥用攻击。同时,性能测试显示,DroidDect还具有系统额外开销低的优点。
【关键词】：Android 权限滥用攻击 关联分析 检测系统
【学位授予单位】：中国科学技术大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP316;TP309
【目录】：

• 摘要5-6
• ABSTRACT6-14
• 第1章 绪论14-19
• 1.1 研究背景和意义14-16
• 1.1.1 智能手机及Android操作系统简介14-15
• 1.1.2 Android恶意应用简介15
• 1.1.3 权限滥用攻击简介15-16
• 1.2 研究现状16-17
• 1.3 本文研究内容17-18
• 1.4 本文组织结构18-19
• 第2章 相关技术介绍19-36
• 2.1 Android系统架构简介19-24
• 2.1.1 Linux内核层19-20
• 2.1.2 硬件抽象层20
• 2.1.3 系统运行库层20-23
• 2.1.4 应用程序框架层23
• 2.1.5 应用程序层23-24
• 2.2 Android中的安全机制简介24-29
• 2.3 Android恶意软件检测技术29-32
• 2.3.1 静态检测方法29-30
• 2.3.2 动态检测方法30-32
• 2.4 关联分析简介32-36
• 2.4.1 关联分析基本概念32-34
• 2.4.2 关联分析的基本步骤34
• 2.4.3 关联分析算法34-36
• 第3章 权限滥用攻击研究36-40
• 3.1 权限滥用攻击原理36-38
• 3.2 权限滥用攻击检测核心思想38-40
• 第4章 DroidDect检测系统的设计’40-46
• 4.1 攻击模型与假设40
• 4.2 检测流程设计40-42
• 4.2.1 DroidDect系统静态检测部分41-42
• 4.2.2 DroidDect系统动态检测部分42
• 4.3 DroidDect检测系统各模块设计42-46
• 4.3.1 应用行为检测模块43-44
• 4.3.2 用户操作检测模块44
• 4.3.3 数据处理模块44
• 4.3.4 关联分析模块44-46
• 第5章 DroidDect检测系统的实现46-68
• 5.1 DroidDect检测系统介绍46-50
• 5.1.1 开发环境46
• 5.1.2 检测模块实现层次46-47
• 5.1.3 检测的分类及其实现方法47-50
• 5.2 应用行为检测模块实现50-56
• 5.2.1 窃听攻击的检测50-52
• 5.2.2 传感器滥用攻击的检测52-54
• 5.2.3 偷拍攻击的检测54-55
• 5.2.4 位置跟踪攻击的检测55-56
• 5.3 用户行为检测模块实现56-59
• 5.3.1 用户GUI事件的检测56-59
• 5.3.2 用户非GUI事件的检测59
• 5.4 数据处理模块的实现59-62
• 5.4.1 录音权限使用数据的处理59-61
• 5.4.2 拍照权限的数据处理61
• 5.4.3 位置权限的数据处理61
• 5.4.4 传感器权限的数据处理61-62
• 5.5 关联分析模块的实现62-68
• 5.5.1 关联分析模块设计思想62-63
• 5.5.2 时间段型置信度计算方法63-66
• 5.5.3 时间点型置信度计算方法66-68
• 第6章 实验评估与结果分析68-79
• 6.1 实验简介与测试环境68
• 6.2 检测阈值的确定68-71
• 6.3 有效性和实用性评估71-76
• 6.3.1 检测方法及样本介绍71
• 6.3.2 检测结果及分析71-76
• 6.3.3 实用性评估76
• 6.4 性能评估76-79
• 6.4.1 CaffeineMark 3.0测试基准简介77
• 6.4.2 测试结果77-79
• 第7章 总结与展望79-81
• 7.1 本文工作总结79-80
• 7.2 未来工作展望80-81
• 参考文献81-84
• 致谢84-85
• 在读期间发表的学术论文85

【参考文献】

中国期刊全文数据库 前1条

1 周裕娟;张红梅;张向利;李鹏飞;;基于Android权限信息的恶意软件检测[J];计算机应用研究;2015年10期

  本文关键词：基于关联分析的Android权限滥用攻击检测系统研究，，由笔耕文化传播整理发布。

本文编号：384227