安卓平臺(tái)下惡意軟件的檢測(cè)研究

王鵬

【摘要】 隨著現(xiàn)代科技技術(shù)的不斷進(jìn)步，計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù)得到了飛躍式的發(fā)展，網(wǎng)絡(luò)的普及率在我國(guó)已經(jīng)達(dá)到了空前的程度。在網(wǎng)絡(luò)計(jì)算機(jī)技術(shù)高度發(fā)展的今天，人們不但能夠感受到網(wǎng)絡(luò)帶給人們的方便，同時(shí)也會(huì)擔(dān)心網(wǎng)絡(luò)上相關(guān)惡意軟件的攻擊，尤其是現(xiàn)代安卓系統(tǒng)手機(jī)的普及，使得惡意軟件的攻擊范圍擴(kuò)展到了移動(dòng)通訊行業(yè)。本文即是對(duì)安卓平臺(tái)下惡意軟件的檢測(cè)技術(shù)進(jìn)行的研究，對(duì)目前流行的惡意軟件種類(lèi)進(jìn)行分析，并對(duì)檢測(cè)技術(shù)進(jìn)行探討，以期能為相關(guān)工作提供參考。

【關(guān)鍵詞】 安卓平臺(tái) 惡意軟件 分類(lèi) 檢測(cè)技術(shù)

隨著近幾年來(lái)安卓系統(tǒng)的移動(dòng)通訊端的流行，各類(lèi)惡意軟件對(duì)于安卓平臺(tái)用戶的攻擊也就越來(lái)越多，這些惡意軟件都極大程度上地影響了用戶的網(wǎng)絡(luò)信息安全，使得我國(guó)每年都會(huì)產(chǎn)生較多的網(wǎng)絡(luò)信息流失案件，給用戶的經(jīng)濟(jì)造成了極大的損失，同時(shí)也為我國(guó)的網(wǎng)絡(luò)安全問(wèn)題提出了嚴(yán)峻的挑戰(zhàn)。

一、安卓平臺(tái)下惡意軟件的類(lèi)型

隨著現(xiàn)代計(jì)算機(jī)技術(shù)的不斷發(fā)展，黑客的攻擊手段也層出不窮，但在目前安卓平臺(tái)下的惡意軟件主要包括3大類(lèi)，分別是安裝攻擊、功能觸發(fā)以及惡意負(fù)載。

1、安裝攻擊。安卓平臺(tái)下的安裝攻擊式惡意軟件，其主要就是將自己偽裝成時(shí)下各類(lèi)人們的應(yīng)用軟件，吸引用戶對(duì)其進(jìn)行下載，這樣就能夠達(dá)到快速傳播的目的，當(dāng)用戶錯(cuò)誤下載了這類(lèi)惡意軟件，其就會(huì)通過(guò)重打包、更新包以及偷渡式下載方式對(duì)用戶的移動(dòng)通訊端口進(jìn)行入侵。其中重打包主要就是當(dāng)用戶安裝軟件后，軟件就會(huì)向用戶端植入惡意負(fù)載，對(duì)其系統(tǒng)進(jìn)行重新的編碼，以此隱藏惡意軟件；而更新包的方式主要是在用戶安裝過(guò)程中提示需要下載更新包，而更新包中就隱藏著惡意編碼，對(duì)用戶端進(jìn)行入侵；偷渡式下載主要就是在安裝軟件中有部分惡意網(wǎng)站的連接，引導(dǎo)用戶對(duì)惡意軟件進(jìn)行下載。

2、功能觸發(fā)。功能觸發(fā)主要就是通過(guò)誘導(dǎo)用戶對(duì)軟件進(jìn)行點(diǎn)擊來(lái)完成惡意軟件的安裝，其一般是在網(wǎng)站上掛出相關(guān)的惡意鏈接，將其偽裝成熱門(mén)連接，誘導(dǎo)用戶進(jìn)行點(diǎn)擊。還有部分惡意軟件具有監(jiān)聽(tīng)功能，能夠?qū)τ脩舳说南嚓P(guān)信息進(jìn)行竊取，部分惡意軟件還可以對(duì)用戶的話費(fèi)進(jìn)行非法扣取，對(duì)于用戶的經(jīng)濟(jì)造成較大的損失。

3、惡意負(fù)載。安卓平臺(tái)下的惡意軟件其主要特征就是惡意負(fù)載，通過(guò)提高黑客對(duì)用戶端的權(quán)限，對(duì)用戶進(jìn)行遠(yuǎn)程控制，以達(dá)到獲取用戶信息，扣取話費(fèi)，并對(duì)惡意軟件進(jìn)行隱藏保護(hù)。安卓平臺(tái)下的系統(tǒng)權(quán)限主要通過(guò)root權(quán)限來(lái)實(shí)現(xiàn)，而大多數(shù)惡意軟件中均含有針對(duì)于root進(jìn)行的攻擊，將自身偽裝成含有png后墜的圖片文件，保護(hù)惡意軟件。而遠(yuǎn)程控制主要就是通過(guò)惡意軟件中搭載的信息回傳、更新本地等功能來(lái)實(shí)現(xiàn)的，其可以突破用戶的安全防護(hù)，對(duì)用戶的通訊設(shè)備進(jìn)行遠(yuǎn)程的控制，并使用自定義的編碼序列加密自己的服務(wù)器，竊取用戶信息的同時(shí)隱藏惡意軟件。同時(shí)，這種惡意軟件還可以對(duì)通信服務(wù)商的短信進(jìn)行過(guò)濾，這樣就可以隱藏扣取用戶話費(fèi)的蹤跡，并同時(shí)可以竊取到用戶的通話信息和短信信息，非法獲取用戶的信息個(gè)人信息。

二、安卓平臺(tái)下惡意軟件的檢測(cè)技術(shù)

隨著網(wǎng)絡(luò)惡意軟件危害范圍的逐漸擴(kuò)大，使得人們對(duì)于網(wǎng)絡(luò)安全問(wèn)題更加重視，并且對(duì)于移動(dòng)用戶端的安全問(wèn)題進(jìn)行了更深層次的分析。目前，就安卓平臺(tái)下的移動(dòng)用戶端惡意軟件問(wèn)題，主要采用的是特征碼技術(shù)下的檢測(cè)方法、行為檢測(cè)法以及啟發(fā)式方法這三種。

其中特征碼技術(shù)下的檢測(cè)方法主要就是對(duì)惡意軟件進(jìn)行取樣分析，了解其特征碼的排列組合。這樣，在檢測(cè)過(guò)程中，就可以利用已知的各類(lèi)特征碼與需要檢測(cè)的軟件特征碼進(jìn)行對(duì)比檢測(cè)，判斷二者是否出現(xiàn)符合的情況。而這種方法也是目前應(yīng)用范圍最為廣泛的方法，但是這種方法具有著極大的局限性，其對(duì)于已知惡意軟件的檢測(cè)功能十分強(qiáng)大，但是對(duì)于發(fā)生衍變的各類(lèi)惡意軟件的檢測(cè)能力卻十分小。

行為檢測(cè)法主要就是利用各類(lèi)惡意軟件的特征性行為對(duì)各類(lèi)惡意軟件進(jìn)行檢測(cè)，當(dāng)相關(guān)軟件開(kāi)始運(yùn)行時(shí)，就對(duì)其開(kāi)始進(jìn)行監(jiān)視，如果發(fā)現(xiàn)與惡意軟件的主要行為模式相似的軟件，就能夠馬上對(duì)其進(jìn)行篩選并報(bào)警。這種檢測(cè)方式能夠有效地對(duì)各類(lèi)衍變型的惡意軟件進(jìn)行檢測(cè)，但是在檢測(cè)的過(guò)程中存在著較高的誤報(bào)率，降低了檢測(cè)的準(zhǔn)確性。

啟發(fā)式方法就是通過(guò)模擬程序的運(yùn)行，誘發(fā)惡意軟件對(duì)其進(jìn)行攻擊，并以此尋找軟件中的可疑代碼，如果軟件中可以代碼的閾值超過(guò)了一定的標(biāo)準(zhǔn)，則認(rèn)為其是惡意軟件，予以報(bào)警。這種檢測(cè)方法雖然也能夠?qū)ξ粗膼阂廛浖M(jìn)行檢測(cè)，但是與行為檢測(cè)法相同，其誤報(bào)率也較高。

三、結(jié)論

安卓平臺(tái)下的惡意軟件發(fā)展迅速，如果不能夠制定出有效的應(yīng)對(duì)政策，可能會(huì)導(dǎo)致大量用戶信息的外漏，導(dǎo)致用戶信任度下降，對(duì)整個(gè)通訊行業(yè)市場(chǎng)造成加大的損失。

因此，相關(guān)研究者應(yīng)該基于目前的檢測(cè)技術(shù)，不斷進(jìn)行完善，研發(fā)出準(zhǔn)確率高，對(duì)已知和未知惡意軟件都能夠識(shí)別的檢測(cè)技術(shù)。