Android平臺的惡意代碼檢測技術(shù)的研究.pdf

1、得益于蘋果公司的IOS和Google公司的Android等操作系統(tǒng)的出現(xiàn)，移動互聯(lián)網(wǎng)近些年來發(fā)展勢頭極其迅猛。智能手機(jī)在其中扮演了越來越重要的角色，智能手機(jī)的用戶群體不斷壯大，相應(yīng)的手機(jī)應(yīng)用也在海量增多，人們在生活中也越來越依賴他們的手機(jī)，比如使用智能手機(jī)來存儲和處理聯(lián)系人等信息。而Android手機(jī)用戶更是占據(jù)了智能手機(jī)市場中很大的比例。
　　與此同時，由于以下的一些原因，使得 Android很容易成為惡意軟件的攻擊對象：

2、>　　1.一些Android應(yīng)用市場對用戶上傳的應(yīng)用，缺乏有效的檢測手段，使得惡意軟件通過應(yīng)用市場很容易感染相當(dāng)數(shù)量的智能手機(jī)設(shè)備。
　　2.Android用戶比較缺乏相應(yīng)的安全意識和知識。
　　3.Android系統(tǒng)本身的安全模型和權(quán)限機(jī)制具有很高的開放性。
　　特別是進(jìn)入2011年以來，在Android平臺已經(jīng)發(fā)生了多起重大的安全事故。這使得尋找一種切實可靠的Android惡意代碼檢測技術(shù)顯得尤為重要。
　　

3、由于 Android的系統(tǒng)的開源特性，在 Android系統(tǒng)出現(xiàn)之初，研究人員就對Android的源碼進(jìn)行過分析，提高了人們對Android系統(tǒng)中的沙盒技術(shù)，權(quán)限模型，組件封裝和程序簽名等機(jī)制的認(rèn)識，同時也促進(jìn)了對Android安全模型進(jìn)行改進(jìn)的研究。但目前，在Android惡意代碼檢測方面，由于手機(jī)平臺本身的特點限制，一些檢測手段無法進(jìn)行，而較簡易的檢測手段對于現(xiàn)在的一些病毒來說，收效甚微。近些年來的研究顯示，Android平臺的檢測

4、，大部分是比較簡單的二進(jìn)制比對，在誤報率，漏報率和檢測效率等方面都不理想。
　　本文針對現(xiàn)階段的 Android檢測技術(shù)和一些解決方案，進(jìn)行了研究，主要取得以下成果：
　　1.給出一種較為完整的解決方案，一種動態(tài)檢測和靜態(tài)的檢測相結(jié)合的檢測模型?？紤]到手機(jī)平臺的的局限性以及對檢測的可靠性，我們在手機(jī)端經(jīng)過預(yù)處理后，使用高效的比對算法進(jìn)行二進(jìn)制比對，同時通過網(wǎng)絡(luò)將APK中的class字節(jié)碼文件上傳到云端，通過在云端的虛擬機(jī)中運

5、行執(zhí)行代碼，來進(jìn)一步檢測，從而提高檢測的可靠性。
　　2.給出了一種基于一種改進(jìn)統(tǒng)計學(xué)復(fù)雜度和NCD（Normalized Compression distance）序列比對算法。這種算法通過Hash去重和簡單的聚類算法，將目標(biāo)代碼和樣本代碼分別進(jìn)行聚類，得到中間序列，再使用高效的壓縮算法對中間序列計算兩者之間的 NCD距離，通過距離的大小可以比對目標(biāo)代碼和樣本代碼的相似程度。
　　3.設(shè)計和實現(xiàn)了靜態(tài)檢測和動態(tài)檢測的子系統(tǒng)