基于文件訪問(wèn)規(guī)則的Android惡意應(yīng)用動(dòng)態(tài)檢測(cè)方法研究.pdf

1、隨著移動(dòng)網(wǎng)絡(luò)的普及以及4G時(shí)代的到來(lái)，Android終端占據(jù)了主要的市場(chǎng)份額，但是由于Android平臺(tái)的開(kāi)發(fā)性，使其在擁有強(qiáng)大用戶粘度的同時(shí)，也面臨著巨大的安全問(wèn)題。目前，針對(duì)Android應(yīng)用的檢測(cè)方法分為靜態(tài)安全檢測(cè)與動(dòng)態(tài)安全檢測(cè)。而靜態(tài)檢測(cè)方法只針對(duì)已知病毒有效，無(wú)法檢測(cè)到惡意路徑是否真正被執(zhí)行。動(dòng)態(tài)安全檢測(cè)恰好彌補(bǔ)了這點(diǎn)不足，在運(yùn)行待測(cè)應(yīng)用的過(guò)程中檢測(cè)其是否觸發(fā)惡意行為。但目前動(dòng)態(tài)檢測(cè)方法在針對(duì)so庫(kù)惡意代碼注入與.odex文

2、件修改方面還存在深度不足，檢出率較低等問(wèn)題。
　　本論文從文件訪問(wèn)規(guī)則的角度著手，針對(duì)Android應(yīng)用動(dòng)態(tài)檢測(cè)技術(shù)進(jìn)行研究，通過(guò)研究?jī)?nèi)核定制技術(shù)，實(shí)現(xiàn)對(duì)待測(cè)應(yīng)用文件訪問(wèn)行為的監(jiān)控，提高檢測(cè)深度。同時(shí)，為實(shí)現(xiàn)待測(cè)應(yīng)用的快速，高效判斷，本文從三個(gè)緯度出發(fā)定制文件訪問(wèn)規(guī)則庫(kù)，提高檢出率，從而降低誤報(bào)率。
　　本論文的主要工作內(nèi)容有以下幾點(diǎn):
　　(1)提出一種基于文件訪問(wèn)規(guī)則的Android惡意應(yīng)用動(dòng)態(tài)檢測(cè)方法。該方法首先

3、定制合適的Android內(nèi)核，收集待測(cè)應(yīng)用運(yùn)行過(guò)程中的文件操作信息;接著對(duì)收集到的信息做數(shù)據(jù)清洗與數(shù)據(jù)規(guī)整，去除無(wú)關(guān)信息整理成規(guī)定格式，從而與文件規(guī)則庫(kù)比對(duì)，最終判斷是否為惡意應(yīng)用。
　　(2)針對(duì)檢測(cè)深度不足的問(wèn)題，本文將監(jiān)控點(diǎn)部署在內(nèi)核層的文件操作相關(guān)的函數(shù)調(diào)用中，如打開(kāi)文件，關(guān)閉文件，讀文件，寫(xiě)文件，刪除文件等。在以上內(nèi)核函數(shù)中設(shè)置監(jiān)控點(diǎn)，從而實(shí)現(xiàn)對(duì)文件系統(tǒng)的監(jiān)控。解決深層惡意代碼注入檢測(cè)不到的問(wèn)題。
　　(3)針對(duì)動(dòng)