基于支持向量機(jī)的Android惡意軟件檢測(cè)方法研究.pdf

1、隨著科技的快速發(fā)展，智能終端已經(jīng)成為人們?nèi)粘Ｉ钪斜夭豢缮俚囊苿?dòng)設(shè)備。與此同時(shí)，一些開(kāi)發(fā)者受到巨大經(jīng)濟(jì)利益的驅(qū)使，將攻擊的目標(biāo)瞄向了智能終端，導(dǎo)致智能終端的安全問(wèn)題日益突出，軟件市場(chǎng)上充斥著越來(lái)越多的惡意軟件。盡管智能終端自身的安全機(jī)制較之前已經(jīng)相當(dāng)完善，然而系統(tǒng)設(shè)計(jì)過(guò)程中存在的一些漏洞依然能夠被攻擊者所利用。加之用戶(hù)的安全意識(shí)薄弱，特別是近幾年來(lái)，智能終端上的惡意軟件數(shù)量己呈現(xiàn)指數(shù)級(jí)增長(zhǎng)，單純地通過(guò)修補(bǔ)漏洞的被動(dòng)方式，己難以克服移動(dòng)平

2、臺(tái)存在的安全問(wèn)題。因此，越來(lái)越多的學(xué)者，將工作的重點(diǎn)放在了對(duì)智能終端惡意軟件檢測(cè)方法的研究上。
　　本文主要針對(duì)Android惡意軟件的檢測(cè)方法進(jìn)行了研究。歸納了智能終端惡意軟件的特征和發(fā)展趨勢(shì)，詳細(xì)分析了Android系統(tǒng)的安全機(jī)制，有針對(duì)性地分析了安全機(jī)制中存在的簽名機(jī)制和權(quán)限控制機(jī)制安全漏洞。本文針對(duì)惡意軟件的權(quán)限和行為特征，提出了基于靜態(tài)惡意權(quán)限組合和基于動(dòng)態(tài)危險(xiǎn)行為組合的綜合檢測(cè)模型。模型中主要包括靜態(tài)檢測(cè)模塊和動(dòng)態(tài)監(jiān)測(cè)

3、模塊。靜態(tài)檢測(cè)模塊主要利用反編譯技術(shù)，分析Android軟件包中的相關(guān)文件，包括比對(duì)MD5值和分析配置文件中的權(quán)限信息。其中，權(quán)限分析主要是通過(guò)與惡意權(quán)限庫(kù)中的惡意權(quán)限組合進(jìn)行比對(duì)，判斷其是否為惡意軟件。動(dòng)態(tài)監(jiān)測(cè)模塊主要利用沙盒工具對(duì)Android虛擬機(jī)上運(yùn)行的軟件的動(dòng)態(tài)行為進(jìn)行監(jiān)測(cè)。重點(diǎn)監(jiān)測(cè)軟件運(yùn)行中的網(wǎng)絡(luò)流量、收發(fā)短信、訪(fǎng)問(wèn)通訊錄、CPU和內(nèi)存資源消耗以及電量使用等。
　　本文還針對(duì)軟件行為的動(dòng)態(tài)性，提出了一種基于字符串核函數(shù)

4、的SVM分類(lèi)方法。通過(guò)對(duì)樣本軟件中的惡意軟件和正常軟件的行為特征進(jìn)行提取，生成訓(xùn)練數(shù)據(jù)。隨后，對(duì)SVM分類(lèi)器進(jìn)行訓(xùn)練，生成分類(lèi)模型。同時(shí)，對(duì)PC端虛擬機(jī)中運(yùn)行的軟件進(jìn)行動(dòng)態(tài)行為監(jiān)測(cè)，提取其行為特征。最后利用訓(xùn)練好的分類(lèi)模型，對(duì)待檢測(cè)軟件進(jìn)行分類(lèi)，根據(jù)分類(lèi)結(jié)果判斷其是否為惡意軟件。
　　最后，本文通過(guò)在PC端虛擬機(jī)上的仿真實(shí)驗(yàn)，證明了文章中提出的惡意軟件綜合檢測(cè)方法的可行性。同時(shí)，在MATLAB平臺(tái)上，對(duì)基于字符串核函數(shù)的SVM惡意