基于轻量级语义特征的Android恶意应用静态检测

作     者：谢念念 

作者单位：中国科学技术大学 

学位级别：硕士

导师姓名：曾凡平

授予年度：2018年

学科分类：08[工学] 0839[工学-网络空间安全] 0835[工学-软件工程] 081201[工学-计算机系统结构] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：安卓恶意应用检测 静态分析 语义特征 广义的敏感API 语法特征 近似权限 机器学习 

摘      要：Android系统的开放性及其繁杂的第三方应用市场导致了大量恶意应用的存在,这对用户的个人隐私和财产安全构成了严重威胁,因此关于Android恶意应用检测的研究具有重要意义。Android恶意应用检测的相关研究工作主要提取应用的语法特征或语义特征,其中利用应用的语义特征判断恶意行为更为可靠,在Android恶意应用检测中起着关键作用。由于提取语义特征的方法通常较为复杂,因此本文定义了一种轻量级语义特征,通过对应用进行静态分析提取其语义特征和语法特征,利用机器学习技术对Android应用进行自动分类从而检测出恶意应用。本文具体工作如下:(1)提出一种计算开销小并且能够有效检测应用安全性的轻量级语义特征:“广义的敏感API及其触发点方法,强调要关注广义敏感API的触发点是否是UI事件相关的回调方法,以此作为出发点对Android应用进行分类。(2)综合考虑应用的语法特征和语义特征进行Android恶意应用检测研究。本文提取应用实际使用的权限构成语法特征,除了应用代码中API对应的系统权限,本文还为动态代码加载相关的方法以及敏感API之外的Source和Sink方法定义其对应的“近似权限。(3)通过在24288个样本上进行实验找到了本文方法的最优分类技术——随机森林。实验中对应用进行分析提取出特征向量的平均用时约60秒,可见本文方法计算开销小,多组实验结果证明本文的特征集在Android恶意应用检测方面的有效性。通过分析特征发现正常应用中出现频次多于恶意应用中的特征同样可以用于帮助区分应用。最终本文通过计算特征的信息增益和皮尔森相关系数选择出包含425个特征项的特征集,整体的应用分类正确率为97.9%,恶意应用的检测精度为99.3%。