Android恶意应用检测海量数据分析和结果评判方法研究与设计

作     者：张亚 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：徐国爱

授予年度：2016年

学科分类：08[工学] 0839[工学-网络空间安全] 0835[工学-软件工程] 081201[工学-计算机系统结构] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：恶意应用命名 多引擎检测 静态检测 检测结果分析 检测结果评判 

摘      要：Android智能手机逐渐在人们生活中流行起来,导致Android应用数量逐渐增长。为获取其中蕴含的巨大经济利益,攻击者将Android平台作为新的攻击目标,通过开发和发布恶意应用实现对Android平台的感染。特别是国内的应用市场普遍缺乏有力监管,成为恶意软件重灾区。是以,定期对Android应用市场进行应用抽检是十分必要的。目前,市面上存在多种反病毒检测引擎可以检测Android应用。每种引擎对同一应用的检测结果在表达形式上存在一定差异,且各结果的具体含义均是非公开的,导致普通用户无法直接判断各结果之间是否存在相关性,也无法得出对应用恶意性的综合判定结果。通过专业人员分析,可以明确每种引擎检测结果的具体含义,并得到对应用的较为准确的综合评定结果。但是单靠人工方式完成对海量应用的分析评估肯定是不现实的。本课题针对以上问题,研究出一种应用检测数据分析及结果评判方法,基于该方法设计了相应的综合评判系统。该系统实现对Android应用的多引擎检测结果和静态检测结果的分析评判,得到一份详细的具有良好可读性的应用评判报告。本文的主要内容如下:第一,介绍恶意应用定义、分类、检测技术、恶意家族等相关知识,重点总结当前各种检测产品、研究机构对恶意应用的命名规则,拟定出一种恶意应用标准命名规则。第二,分别研究多引擎检测和静态检测结果的分析和评判方法及综合评判方法。在多引擎检测结果分析评判中,分别通过词法、语法分析方式和样本匹配方式将检测结果按标准命名规则规范化,并对比所有结果,判断应用威胁性及所属恶意家族。在静态检测结果分析评判中,提取结果中的API及数字串信息,与特定的API-API、API-数字串组合进行对比,确定应用是否具有威胁性。在综合评判中,利用Apriori算法提取已知恶意家族的静态特征,与应用的特征进行Jaccard相似度对比,如果相似度大于规定阈值则说明该应用是恶意应用,否则标记该应用为疑似应用。第三,设计一个基于以上方法的自动化系统,完成对应用检测结果的分析和评判。该系统分为多个部分,包括多引擎模块、静态模块和结果整合模块及其相关数据库。多引擎模块和静态模块实现对应用的单一方式检测结果的分析和评判,结果整合模块分析两种结果的关联性,并出示详细的分析报告。各模块的工作流程及绝大部分相关数据库的创建流程均可由程序自动完成。第四,选择合适的样本,实现系统重要规则库的创建,作为实验基础,并基于本文研究方法对应用实例进行分析,得到评判结果,通过与“安全管家的评判结果进行对比,说明基于本文方法得到的评判结果具有更好的可识别性。第五,对本文的研究成果进行总结,指出本文需要改进的地方,即评判规则还不够完善,在后续工作中需要收集更多样本,不断发掘出新的规则。