基于内核的安卓程序实时行为分析方法研究
本文关键词:基于内核的安卓程序实时行为分析方法研究,由笔耕文化传播整理发布。
【摘要】:随着智能移动设备的普及,针对这些设备的恶意软件也越来越多。安卓作为一个开源的平台,已经成为全球范围内具有广泛影响力的操作系统,目前占有80%的市场份额,也正因此,针对安卓平台的恶意软件数目也是十分巨大的,同时这些恶意软件具有快速增长的趋势。安卓设备上拥有大量的重要用户隐私信息,因此此类恶意软件给手机安全带来了巨大的威胁。应用程序行为分析是对抗这些恶意软件的有效方法。然而,现有的应用程序行为分析方法都有一些不足之处。基于Dalvik虚拟机的技术方案不能检测出本地代码中的行为,同时由于和应用程序处于同一层次,容易被恶意软件检测并规避。基于虚拟机自省方法的技术方案可以检测本地代码中的行为,但由于这类方法运行在一个虚拟环境中,因此恶意软件会因为执行环境的差异表现出不同的行为,现有恶意软件可以检测出它们的运行环境,并使用反取证技术进行规避,这就使得虚拟机自省方案下的行为分析的准确性得不到保证。本文针对上述情况,提出了一种基于内核的安卓程序实时行为分析方法以及能够实现该方法的行为分析系统。本方法的新颖性在于安卓Linux内核的系统调用监控和解析,以及本方法能够用于真实的安卓设备之上。本方法能够同时进行高层与底层的重构,无论这些行为是来Java语言,本地代码还是Linux的可执行与可链接格式。通过拦截解析特定的文件、网络系统调用和安卓特有的系统调用,同时利用现有静态分析工具所提供的污点流路径,本方法可以重现应用程序的关键实时行为。本方法运行在内核中,而内核是整个安卓系统的最低层级,所以它拥有系统中最高的权限,因此难以被拥有正常权限的应用程序所检测到。另外本方法不仅能够针对单一应用程序进行行为监控分析,而且能够以数据为中心,同时监控多个应用程序的行为,反映目标数据如何被系统以及应用程序使用。最后,它能够生成一个易读易懂的行为图作为行为分析的结果,这个行为图可以作为其他检测方法的基础,也可以作为取证的关键证据。
【关键词】:行为分析 恶意软件检测 移动设备取证 动态分析
【学位授予单位】:南京大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP316;TP309
【目录】:
- 摘要5-6
- Abstract6-11
- 第一章 绪论11-16
- 1.1 研究背景及意义11-12
- 1.2 相关研究工作概述12-13
- 1.3 本文主要工作13-14
- 1.4 组织结构14-16
- 第二章 移动恶意软件行为分析研究现状16-29
- 2.1 移动恶意软件行为研究16-19
- 2.2 动态行为分析技术19-22
- 2.2.1 基于Dalvik虚拟机的技术19-20
- 2.2.2 基于虚拟机自省(VMI)的技术20-21
- 2.2.3 基于内核的技术21-22
- 2.3 静态行为分析技术22-24
- 2.4 综合行为分析技术24-26
- 2.5 不同行为分析技术对比26-27
- 2.6 本章小结27-29
- 第三章 基于内核的安卓程序实时行为分析方法概述29-34
- 3.1 系统整体架构概述29-30
- 3.2 初始化模块的简介30-31
- 3.3 监控模块的简介31
- 3.4 日志模块的简介31-33
- 3.5 行为重构模块的简介33
- 3.6 本章小结33-34
- 第四章 基于内核实时监控的动态分析技术34-42
- 4.1 基于内核实时监控分析的意义与挑战34-35
- 4.2 基于内核实时监控分析的实现35-42
- 4.2.1 内核监控初始化35-37
- 4.2.2 Binder解析器37-41
- 4.2.3 系统调用解析器41-42
- 第五章 基于混合分析的多层次行为重构技术42-57
- 5.1 基于混合分析的多层次行为重构的意义与挑战42
- 5.2 基于混合分析的多层次行为重构的实现42-57
- 5.2.1 图生成算法43-44
- 5.2.2 广播生命周期匹配算法44-51
- 5.2.3 图精简过程51
- 5.2.4 结合静态分析方法的重构过程51-57
- 第六章 实验及分析57-69
- 6.1 性能分析57-59
- 6.2 单一应用程序行为分析实验59-64
- 6.2.1 动态分析实验59-62
- 6.2.2 混合分析实验62-64
- 6.3 多应用程序数据流分析实验64-67
- 6.3.1 动态分析实验64-65
- 6.3.2 混合分析实验65-67
- 6.4 局限性分析67
- 6.5 本章小结67-69
- 第七章 总结与展望69-71
- 7.1 论文总结69-70
- 7.2 进一步工作展望70-71
- 参考文献71-76
- 致谢76-77
- 攻读硕士学位期间成果列表77-79
【相似文献】
中国期刊全文数据库 前10条
1 禾火;;中国互联网2006新运动向恶意软件宣战[J];互联网天地;2006年11期
2 Al Senia;舒文琼;;手机恶意软件威胁呈上升趋势[J];通信世界;2007年01期
3 那罡;;恶意软件:网络的“伤城”[J];中国计算机用户;2007年01期
4 李斌;冯斌;;防治恶意软件的几点思考[J];法制与社会;2007年01期
5 刘香;;浅谈“恶意软件”的分类及治理措施[J];信息网络安全;2007年03期
6 王江民;;建议将恶意软件改称有害软件[J];网络安全技术与应用;2007年04期
7 谢丽容;;中国互联网协会反恶意软件认定委员会在京成立[J];互联网天地;2007年07期
8 李志祥;;应对“恶意软件”的策略[J];农村电工;2008年02期
9 千堆栈;;恶意软件隐藏危险多多[J];计算机安全;2008年05期
10 郑淑蓉;;“恶意软件”的危害及其治理[J];生产力研究;2009年02期
中国重要会议论文全文数据库 前4条
1 魏玉鹏;向阳;边殿田;;恶意软件关键技术及应对策略研究[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
2 张健;吴功宜;杜振华;;恶意软件防治产品检测技术和标准的研究[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
3 吴叶科;陈波;宋如顺;;虚拟化恶意软件及其检测技术研究[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
4 谢文军;于振华;韩林;;车联网中恶意软件传播过程建模与仿真研究[A];系统仿真技术及其应用学术论文集(第15卷)[C];2014年
中国重要报纸全文数据库 前10条
1 王晓s,
本文编号:426510
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/426510.html
