基于云計(jì)算的Android惡意程序協(xié)同檢測系統(tǒng)

黃興利，韓艷龍，張長勝，劉笑言，潘永付

(1.西北工業(yè)大學(xué)，陜西 西安 710072；2.溫州大學(xué)，浙江 溫州 325035)

基于云計(jì)算的Android惡意程序協(xié)同檢測系統(tǒng)

黃興利1，韓艷龍1，張長勝2，劉笑言1，潘永付1

(1.西北工業(yè)大學(xué)，陜西 西安 710072；2.溫州大學(xué)，浙江 溫州 325035)

為檢測Android惡意程序，設(shè)計(jì)了基于云計(jì)算的Android惡意程序協(xié)同檢測系統(tǒng)。引入云計(jì)算的概念，通過在云平臺上協(xié)同調(diào)用N個(gè)殺毒引擎來檢測Android應(yīng)用。該系統(tǒng)主要包括兩個(gè)模塊:信息管理模塊和協(xié)同檢測模塊。在檢測Android應(yīng)用時(shí)，將應(yīng)用與特征庫進(jìn)行匹配。若匹配成功，則顯示該應(yīng)用在特征庫中存儲的檢測結(jié)果；若匹配不成功，則調(diào)用N個(gè)殺毒引擎來對其進(jìn)行檢測。最終，系統(tǒng)對N個(gè)引擎的檢測報(bào)告進(jìn)行匯總。利用信譽(yù)積分機(jī)制獲得結(jié)果，將結(jié)果反饋并存入系統(tǒng)特征庫。實(shí)驗(yàn)結(jié)果表明，該系統(tǒng)平均檢出率為97.17%，檢測性能良好且可靠性高。

安卓;惡意程序;云計(jì)算;信譽(yù)積分機(jī)制

0 引 言

近年來，移動(dòng)互聯(lián)網(wǎng)技術(shù)發(fā)展非常迅速。而Android操作系統(tǒng)在全球市場中所占份額遠(yuǎn)超50%，并且還在持續(xù)增長。但由于Android的開放性，簽名機(jī)制的不規(guī)范以及應(yīng)用市場寬松的管理政策，每個(gè)用戶都可以編寫和發(fā)布自己的Android應(yīng)用。這些原因使得Android惡意程序的數(shù)量與日俱增，并且可以輕松地逃避殺毒引擎的檢測[1-2]。

因?yàn)樵朴?jì)算能夠?yàn)橛脩籼峁┐罅康男畔⒎?wù)[3]，所以利用開源項(xiàng)目搭建企業(yè)級的云平臺成為了一種全新的計(jì)算模式。該模式可以將大量的計(jì)算機(jī)、虛擬機(jī)等網(wǎng)絡(luò)設(shè)備資源整合到云平臺下進(jìn)行管理，按照一定的商業(yè)模式為用戶提供服務(wù)。因此，用戶可以在沒有硬件基礎(chǔ)設(shè)備的情況下，訪問或操作云平臺上共享的應(yīng)用和數(shù)據(jù)等信息。這種全新的計(jì)算模式是一系列分布式計(jì)算發(fā)展和演化的結(jié)果，成熟度較高[4]。

針對如今Android惡意程序數(shù)量龐大、傳播速度快、惡意代碼家族眾多等特點(diǎn)，文中提出一種基于云計(jì)算的Android惡意程序協(xié)同檢測系統(tǒng)。該系統(tǒng)能夠給用戶一個(gè)最直觀的檢測結(jié)果，并且該結(jié)果具有非常高的準(zhǔn)確性。

1 系統(tǒng)設(shè)計(jì)方案

1.1 設(shè)計(jì)思路

目前，每一種惡意程序檢測方法都有各自的局限性，對不同惡意代碼家族而言，檢出率存在巨大的差異。文中利用多個(gè)殺毒引擎，以此來彌補(bǔ)各個(gè)引擎存在的不足之處。系統(tǒng)框架如圖1所示。首先由信息管理模塊生成應(yīng)用的唯一標(biāo)識符(UID)，并且與特征庫中已存儲的唯一標(biāo)識符進(jìn)行匹配。如果匹配成功，則表示系統(tǒng)已經(jīng)檢測過該應(yīng)用。此時(shí)，直接顯示系統(tǒng)中存儲的檢測結(jié)果；如果匹配失敗，那么信息管理模塊將Android應(yīng)用提交到協(xié)同檢測模塊進(jìn)行檢測。隨后，協(xié)同檢測模塊調(diào)用云平臺下的N個(gè)殺毒引擎進(jìn)行檢測，并根據(jù)N個(gè)殺毒引擎的信譽(yù)積分整理出最終檢測結(jié)果。最后，信息管理模塊將根據(jù)N個(gè)殺毒引擎的檢測報(bào)告和最終的檢測結(jié)果來更新各引擎的信譽(yù)積分，作為下次檢測的依據(jù)，并且將該應(yīng)用的唯一標(biāo)識符和檢測結(jié)果存儲到特征庫中。

圖1 基于云計(jì)算的Android惡意程序

1.2 工作流程

檢測系統(tǒng)的具體工作流程主要分為以下幾個(gè)步驟：

(1)信息生成器利用哈希算法生成Android應(yīng)用的唯一標(biāo)識符。

(2)信息匹配器將生成的標(biāo)識符與特征庫中進(jìn)行匹配，如果匹配成功，則直接顯示特征庫存儲的結(jié)果。否則，將應(yīng)用提交給協(xié)同檢測模塊。

(3)協(xié)同調(diào)用器調(diào)用N個(gè)殺毒引擎檢測Android應(yīng)用，并將檢測結(jié)果送到信息聚合器。

(4)信息聚合器根據(jù)檢測殺毒引擎的數(shù)量、安全策略、延時(shí)等條件，匯總各引擎提供的報(bào)告，并將匯總信息送到信息處理器。

(5)信息處理器根據(jù)信譽(yù)積分機(jī)制來確定最終的檢測結(jié)果，同時(shí)更新N個(gè)殺毒引擎的信譽(yù)積分。最后，將檢測結(jié)果存儲到特征庫中。

圖2為檢測系統(tǒng)各功能組件工作流程圖。

圖2 基于云計(jì)算的Android惡意程序協(xié)同

2 系統(tǒng)主要組成模塊

該系統(tǒng)主要由信息管理模塊和協(xié)同檢測模塊構(gòu)成。

2.1 信息管理模塊

信息管理模塊是檢測系統(tǒng)中的核心模塊，主要包括信息生成器、信息匹配器、特征庫、信息聚合器、信息處理器。

2.1.1 信息生成器

信息生成器的主要任務(wù)是生成應(yīng)用的標(biāo)識符(UID)。由于Android應(yīng)用具有嚴(yán)格的簽名機(jī)制，所以生成的UID具有唯一性。例如一個(gè)應(yīng)用哈希后生成的UID，與該應(yīng)用重新打包簽名后的UID是不同的。

2.1.2 信息匹配器

信息匹配器的主要任務(wù)是將哈希生成的唯一標(biāo)識符與特征庫進(jìn)行匹配。如果匹配成功，那么顯示特征庫中存儲的檢測結(jié)果。否則，將應(yīng)用提交給協(xié)同檢測模塊。

2.1.3 特征庫的建立

面對大量的Android應(yīng)用，需要優(yōu)化系統(tǒng)，避免不必要的檢測。文中通過建立特征庫減少冗余的檢測時(shí)間。特征庫的建立有助于優(yōu)化系統(tǒng)的檢測性能和提高系統(tǒng)整體的檢測速度。文中的特征庫利用python中的MySQLdb模塊[5]來建立，存儲形式如表1所示。

表1 特征庫存儲形式

2.1.4 信息聚合器

殺毒引擎的檢測過程存在明顯差異，在協(xié)同調(diào)用多個(gè)引擎時(shí)，檢測報(bào)告的生成時(shí)間并不同步，甚至沒有反饋報(bào)告。雖然N個(gè)殺毒引擎生成檢測報(bào)告的時(shí)間并不同步，但是信息聚合器可以利用一個(gè)子集來代替總集。這里總集代表全部檢測引擎的檢測報(bào)告。文中根據(jù)系統(tǒng)部署方案、檢測引擎的數(shù)量、安全策略和延時(shí)等指標(biāo)選取子集。

信息聚合器中共聲明了三個(gè)關(guān)鍵參數(shù)：數(shù)量閾值、收集時(shí)間點(diǎn)和終止時(shí)間點(diǎn)。從收集時(shí)間點(diǎn)開始，如果接收的報(bào)告數(shù)量大于數(shù)量閾值，那么信息處理器將接收這些報(bào)告并終止程序；當(dāng)時(shí)間到達(dá)終止時(shí)間點(diǎn)時(shí)，無論生成的報(bào)告數(shù)量是否大于閾值，這些報(bào)告都將被送到信息處理器。

2.1.5 信息處理器

信息處理器對接收到的檢測報(bào)告進(jìn)行匯總，并生成最終檢測結(jié)果。在該階段，文中利用信譽(yù)積分機(jī)制確定最終檢測結(jié)果，同時(shí)根據(jù)該檢測結(jié)果與各引擎的檢測報(bào)告更新N個(gè)殺毒引擎的信譽(yù)積分。最后，將檢測結(jié)果存儲到特征庫中。

2.1.6 信譽(yù)積分模型

信譽(yù)積分代表了殺毒引擎的可信任程度。建立信譽(yù)積分機(jī)制的目的是根據(jù)歷史檢測信息，預(yù)測下次檢測的可信任程度。信譽(yù)積分機(jī)制的提出，有助于提高檢測系統(tǒng)的準(zhǔn)確率。

文中設(shè)計(jì)的信譽(yù)積分模型[6-7]的具體思路是：將從信息聚合器發(fā)來的報(bào)告利用一次加權(quán)平均算法，以此確定最終的檢測結(jié)果。同時(shí)，把最終的檢測結(jié)果和各檢測報(bào)告進(jìn)行對比，更新各引擎的信譽(yù)積分。

信譽(yù)積分機(jī)制的模型應(yīng)遵循以下原則：

(1)當(dāng)殺毒引擎的報(bào)告存在于檢測報(bào)告的子集中時(shí)，該引擎的信譽(yù)積分值才會(huì)更新。

(2)更新殺毒引擎的信譽(yù)積分值時(shí)，設(shè)Rinit為殺毒引擎的初始信譽(yù)值，Rx為更新后的值，而Rmax為信譽(yù)的最大值。三者應(yīng)滿足條件Rinit≤Rx

信譽(yù)積分模型算法包括以下幾個(gè)方面：

(1)加權(quán)平均決策法。

文中使用決策的方法對N個(gè)殺毒引擎[8-9]的檢測結(jié)果進(jìn)行最終的識別判斷。加權(quán)平均決策法就是在不確定的情況下，憑借經(jīng)驗(yàn)對各個(gè)方案實(shí)施后的情況進(jìn)行加權(quán)平均擇優(yōu)，它能夠克服樂觀決策法和悲觀決策法的缺點(diǎn)。

將加權(quán)平均決策法應(yīng)用到信譽(yù)積分模型中就是將每個(gè)殺毒引擎的信譽(yù)值作為其對應(yīng)的權(quán)重，結(jié)合檢測出的結(jié)果進(jìn)行加權(quán)平均計(jì)算。

檢測出為良性的取1，檢測出為惡意的取0，用F表示整個(gè)向量集F={f1,f2,…,fx}；用W表示N個(gè)殺毒引擎的信譽(yù)值向量集W={R1,R2,…,Rx}。用加權(quán)平均決策計(jì)算表達(dá)式為：

(1)

(2)權(quán)值更新規(guī)則。

令原信譽(yù)值為Rx-1，新信譽(yù)值為Rx。將加權(quán)平均決策算法判定出的最終檢測結(jié)果與N個(gè)殺毒引擎的檢測結(jié)果進(jìn)行對比。若檢測結(jié)果一致，便可以采用式(2)進(jìn)行計(jì)算：

(2)

若干次計(jì)算后Rx無限逼近100%，當(dāng)達(dá)到99%之后變化不明顯。對n的選取上要考慮經(jīng)過多少次達(dá)到99%，次數(shù)太少中間數(shù)據(jù)變化幅度大欠缺準(zhǔn)確性。文中采用試差法確定參數(shù)n的值，經(jīng)過多次數(shù)據(jù)計(jì)算得出次數(shù)K與n的關(guān)系為：K=2+4(n-1)。當(dāng)n取8時(shí)，在第30次的變化幅度上接近0.001，基本上已經(jīng)達(dá)到一個(gè)合理的變化范圍。因此n選取8，即：

檢測結(jié)果一致的，采用式(3)：

(3)

檢測結(jié)果不一致的，采用式(4)：

(4)

對于未給出檢測結(jié)果的殺毒引擎信譽(yù)值降低的幅度比結(jié)果顯示不一致的殺毒引擎的信譽(yù)值降低的幅度要多。

考慮到降低的幅度過小不如不檢測，但要給其留有一定的回升機(jī)會(huì)，降低的幅度亦不能過大。因此n選取4，既可以拉開層次，同時(shí)對信譽(yù)值的變化起到了保護(hù)作用。

對未給出檢測結(jié)果的，采用式(5)：

(5)

2.2 協(xié)同檢測模塊

協(xié)同檢測模塊的主要任務(wù)是調(diào)用N個(gè)殺毒引擎分析檢測Android應(yīng)用，主要包括協(xié)同調(diào)用器和N個(gè)殺毒引擎集合。協(xié)同調(diào)用器管理N個(gè)殺毒引擎，而N個(gè)殺毒引擎則負(fù)責(zé)相關(guān)計(jì)算。

文中的協(xié)同檢測模塊利用OpenStack[10-11]技術(shù)來實(shí)現(xiàn)云計(jì)算平臺的部署。核心思想是利用虛擬化環(huán)境，在一臺物理主機(jī)上部署虛擬出的多個(gè)虛擬機(jī)來共同完成多項(xiàng)任務(wù)。同時(shí)，在OpenStack部署好的云環(huán)境下創(chuàng)建虛擬機(jī)并管理虛擬機(jī)。

3 實(shí)驗(yàn)與結(jié)果

3.1 實(shí)驗(yàn)數(shù)據(jù)

從2014年3月7日到2014年6月30日，利用網(wǎng)絡(luò)爬蟲[12-14]程序從Android Malware Genome Project(北卡)、Droid Analytics(香港中文大學(xué))和virusshare.com網(wǎng)站上爬取了27 593個(gè)Android應(yīng)用程序樣本作為性能評估數(shù)據(jù)。同時(shí)，選取2 600個(gè)已知樣本來驗(yàn)證系統(tǒng)準(zhǔn)確率，其中訓(xùn)練集600個(gè)，測試集2 000個(gè)。

3.2 訓(xùn) 練

選取10個(gè)殺毒引擎作為訓(xùn)練工具，利用訓(xùn)練集進(jìn)行訓(xùn)練。隨后，對訓(xùn)練情況進(jìn)行總體的匯總，見表2。

表2 殺毒引擎訓(xùn)練情況匯總表

經(jīng)訓(xùn)練可知，系統(tǒng)在檢測時(shí)能夠充分考慮當(dāng)前殺毒引擎的可信程度以及最近幾次檢測時(shí)的狀態(tài)，而最終檢測結(jié)果的確定取決于殺毒引擎集合的決策以及各自信譽(yù)值的實(shí)際情況。同時(shí)，在10個(gè)殺毒引擎中，錯(cuò)誤的檢測結(jié)果所占的比例最高達(dá)到了27.66%，表明單一引擎在檢測惡意程序時(shí)存在明顯不足。

3.3 測 試

將測試集分為10組，測試共持續(xù)30天，系統(tǒng)的平均檢出率為97.17%。從圖3中可以看出，系統(tǒng)最后趨于穩(wěn)定，其檢出率漸漸趨近于97.2%，具有非常高的準(zhǔn)確率。

圖3 系統(tǒng)測試檢出率散點(diǎn)圖

4 結(jié)束語

文中通過分析當(dāng)前Android所面臨的安全威脅，結(jié)合國內(nèi)外的研究現(xiàn)狀，以及分析現(xiàn)有的殺毒引擎綜合測試情況，設(shè)計(jì)并實(shí)現(xiàn)了基于云計(jì)算的Android惡意程序協(xié)同檢測系統(tǒng)。通過對協(xié)同檢測系統(tǒng)的相關(guān)性能進(jìn)行訓(xùn)練和測試，證明了文中所提出的模型、方法及相關(guān)算法的正確性。實(shí)驗(yàn)中訓(xùn)練和測試的檢測結(jié)果體現(xiàn)了該方法的優(yōu)勢，基于協(xié)同的檢測方法具有極高的準(zhǔn)確率。

[1] 曾健平,邵艷潔.Android系統(tǒng)架構(gòu)及應(yīng)用程序開發(fā)研究[J].微計(jì)算機(jī)信息,2011,27(9):1-3.

[2] 李 佳.Android 平臺惡意軟件檢測評估技術(shù)研究[D].北京:北京郵電大學(xué),2012.

[3] Armbrust M,Fox A,Griffith R,et al.A view of cloud computing[J].Communications of the ACM,2010,53(4):50-58.

[4] Wang L,von Laszewski G,Younge A,et al.Cloud computing:a perspective study[J].New Generation Computing,2010,28(2):137-146.

[5] Dustman A.MySQLdb:a Python interface for MySQL[EB/OL].2010.http://mysqlpython.sourceforge.net/MySQLdb.html.

[6] Huynh T D,Jennings N R,Shadbolt N R.An integrated trust and reputation model for open multi-agent systems[J].Autonomous Agents and Multi-agent Systems,2006,13(2):119-154.

[7] 辛海濤.P2P網(wǎng)絡(luò)中信任模型的研究[D].武漢:武漢理工大學(xué),2011.

[8] Oberheide J,Cooke E,Jahanian F.CloudAV:N-version antivirus in the network cloud[C]//Proc of USENIX security symposium.[s.l.]:[s.n.],2008:91-106.

[9] 羌衛(wèi)中,秦 攀,鄒德清,等.云防御系統(tǒng)中多引擎檢測機(jī)制[J].武漢大學(xué)學(xué)報(bào):理學(xué)版,2014,60(5):393-398.

[10] Pepple K.Deploying OpenStack[M].[s.l.]:O'Reilly Media,Inc,2011.

[11] Sefraoui O,Aissaoui M,Eleuldj M.OpenStack:toward an open-source solution for cloud computing[J].International Journal of Computer Applications,2012,55(3):38-42.

[12] 周德懋,李舟軍.高性能網(wǎng)絡(luò)爬蟲:研究綜述[J].計(jì)算機(jī)科學(xué),2009,36(8):26-29.

[13] 李志義.網(wǎng)絡(luò)爬蟲的優(yōu)化策略探略[J].現(xiàn)代情報(bào),2011,31(10):31-35.

[14] 趙茉莉.網(wǎng)絡(luò)爬蟲系統(tǒng)的研究與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2013.

An Android Collaborative Malware Detection System Based on Cloud Computing

HUANG Xing-li1,HAN Yan-long1,ZHANG Chang-sheng2,LIU Xiao-yan1,PAN Yong-fu1

(1.Northwestern Polytechnical University,Xi’an 710072,China;2.Wenzhou University,Wenzhou 325035,China)

In order to detect Android malwares,an Android collaborative malware detection system is designed based on cloud computing.Introduction of the concept of cloud computing,Android application is detected through collaboratively callingNantivirusenginesincloudplatform.Thesystemmainlyconsistsofinformationmanagementmoduleandcollaborativedetectionmodule.TheapplicationandcharacteristicslibraryismappedwhendetectingAndroidapplications.Ifmatched,thesystemwilldisplaytheresultstoredinthecharacteristicslibrary;otherwise,itwillcallNantivirusenginestodetecttheapplication.Eventually,thesystemsummarizesthereportsfromNantivirusengines.Thecreditscoremechanismisutilizedtogettheresultwhichisfedbackandstoredtothecharacteristicslibrary.Theexperimentsshowthattheaveragedetectionrateofsystemis97.17%.Meanwhile,theperformanceandreliabilityishigh.

Android;malwares;cloud computing;credit score mechanism

2015-11-16

2016-03-09

時(shí)間：2016-08-01

浙江省自然科學(xué)基金(LY14F020030);公益性技術(shù)應(yīng)用研究計(jì)劃(2014C31079)

黃興利(1981-)，男，碩士，研究方向?yàn)榫W(wǎng)絡(luò)安全；導(dǎo)師：慕德俊，教授，研究方向?yàn)樾畔踩?/p>

http://www.cnki.net/kcms/detail/61.1450.TP.20160801.0842.016.html

TP

A

1673-629X(2016)08-0079-04

10.3969/j.issn.1673-629X.2016.08.017