基于多特征的Android恶意代码静态检测方法的研究

摘要

随着移动互联网的快速发展，智能手机和平板电脑等移动设备成了现代人们日常不可或缺的电子设备。而基于Android系统的移动设备在目前的移动市场中占据着主要地位，这就给基于Android系统的恶意代码开发者创造了机会。智能手机等移动设备一旦被感染，攻击者便可轻松地获取用户的大量隐私信息，如用户手机号，地理位置信息等，不但如此，甚至还能够截断用户的短信息接收，删除用户手机中的应用程序，带来了一系列严重的危害。因此，基于Android系统的恶意代码检测技术的研究在目前就显得尤为重要。而传统的基于恶意代码签名的检测方法，虽然能够对恶意软件准确的检测，但对于未知的恶意代码没有作用。因此，本文分析了多种Android静态特征，并通过特征和机器学习识别算法的选择提出了基于多特征的Android恶意代码检测方法。
　　本文提取了Android系统的权限特征，系统API特征以及基于函数调用关系图的结构特征三类特征。权限特征的提取首先通过反编译Android应用程序包，在得到的配置文件中记录了该应用程序在安装运行时需要申请的系统权限。系统API特征的提取过程为在反编译得到的Dalvik字节码中，检索调用系统API的调用指令，进而对系统API的调用进行提取。基于函数调用关系图的结构特征，是以Android应用程序的函数调用关系图为基础来提取特征的。首先通过静态分析工具Androguard获取Android应用程序的函数调用关系图，然后通过构造函数调用关系图的图核函数计算图之间的相似度。最后，本文针对每种特征分别建立了恶意代码检测模块，并通过模型融合的方式生成了本课题的检测模型。
　　本文通过实验对挖掘出的多类静态特征的检测能力进行了对比分析。实验结果显示，基于函数调用关系图的结构特征与权限和API等文本特征的结合在Android恶意代码的检测中起到了不错的效果。实验显示，本文提出的检测模型能够有效提升对未知Android恶意代码的检测能力。

目录

第1章 绪 论

1.1 恶意代码检测技术研究背景

1.2 课题研究的目的和意义

1.3 国内外研究现状

1.4 主要研究内容

1.5 文章框架

第2章 Android恶意代码检测技术介绍

2.1 引言

2.2 Android系统简介

2.3 Android恶意代码检测技术概述

2.4 静态分析检测框架Androguard简介

2.5 机器学习分类识别算法概述

2.6 本章小结

第3章 Android静态行为特征的分析与提取

3.1 引言

3.2 权限特征的恶意行为分析与提取

3.3 系统API特征的恶意行为分析与提取

3.4 函数调用关系图的特征分析与提取

3.5 本章小结

第4章 基于多特征的Android恶意代码检测模型

4.1 引言

4.2 基于权限特征的检测模块

4.3 基于系统API特征的检测模块

4.4 基于函数调用关系图的检测模块

4.5 基于多特征的Android恶意代码检测模型

4.6 本章小结

第5章 实验设计与结果分析

5.1 实验样本介绍

5.2 实验设计

5.3 实验结果及分析

5.4 本章小结

结论

参考文献

声明

致谢