基于類別SVM的Android系統惡意軟件檢測研究

管飛詩 徐夫田

摘 要：Android系統以開放開源為特色贏得了眾多的客戶的青睞。用戶數量突飛猛進。但Android系統的開放性也帶來了眾多的麻煩。Android系統惡意軟件呈現線性般的增長。本文對Android系統惡意軟件檢測提出了基于類別的svm的檢測研究。將Android系統應用程序（app）的類別關聯在一起，根據特定類別中特定特征表現與大部分良性app特征是否異常來預測該app為惡意app，惡意app在特定類別中的特征表現異常、罕見或者特征較多等特點進步斷定為該app為惡意app。本文對250個app樣本首先關聯分類，然后對權限特征進行訓練分類器，采用SVM機械學習算法建立分類模型。最后對訓練數據進行實驗，對實驗結果進行信息檢索學評估，得出基于類別的svm的檢測方案比普通的svm檢測方案高的結論。

關鍵詞：Android SVM 惡意軟件；Android安全

Android系統基于linux內核，該系統與2007年11月5日有谷歌公司正式發布。字發布以來受到廣大用戶和廠商的青睞，因其開放性、自由性等特征使其得到快速的發展。經過幾年的發展，Android系統已經從單純的智能手機領域進入了教育、醫療、軍事、汽車、家居等行業。

開放性、自由性等特點也給負面帶來了很多的影響。從第一例Android系統惡意軟件出現，到現在大面積的惡意app的出現，對Android系統的各行各業帶來眾多影響。惡意app吸費扣費、惡意推廣、隱私販賣為目的的利益產業鏈。目前惡意app變種迅速、家族種類繁多，安全公司每天面臨著大量待測可疑的樣本，分析檢測工作量巨大。特征提取效率低下、導致靜態檢測的殺毒軟件效率低下。目前Android系統的“內憂外患”惡化了Android安全形勢。

面對目前Android系統的安全形勢，本文做了一下工作：

一是，采集app數據集，并按關聯類別分類；

二是，對所采集的數據進行反編譯，提取權限特征進行訓練分類器，采用SVM機器學習算法建立分類模型。

三是，對分類模型進行信息檢索學評估。并提出基于類別SVM的Android系統惡意軟件檢測方法。

1 Android系統介紹

1.1 Android系統架構

Android的系統構架和其他的操作系統一樣，采用了分層的構架，層次非常清晰。

Android分為4層，從高到低依次為應用程序層（Application）、應用程序框架層（Application Framework）、系統運行庫層（Libraries 和 Android Runtime）和linux內核層（Linux Kernel）。

應用程序層：包括圖1中的各項功能。所有的應用程序都是使用Java語言編寫。通過調用應用程序框架層所提供的API來完成。應用程序框架層：該層為開發人員提供了可以完全訪問核心程序所使用的API框架。系統運行庫層：包括程序庫和Android運行時庫。前者主要為c/c++庫。后者又分為核心庫和Dalvik虛擬機兩部分，核心庫提供Java語言核心庫的大多數功能，Dalvik虛擬機執行.dex文件。內核層：Android依賴于linux2.6版內核提供的核心服務。

1.2 Android安全特點

Android的安全一保護用戶的數據和移動設備硬件、系統和軟件為目標。Android系統安全的主要基礎主要是下面幾點：依賴linux內核，應用沙箱機制，應用簽名機制和應用程序定義和用戶授予權限機制等。Linux內核通常被認可用于較高的安全敏感環境中。

由于開放環境，linux安全方面一直被安全專家、修補bug的開發者、尋找容易被利用點的攻擊者們鞏固提升。同時提供了從內核中去除不必要的和不安全部分的能力。沙箱機制特點是用唯一的UID隔離應用程序的進程和數據與其他的應用程序。在內核中，當應用程序安裝時，Android系統分配每個應用程序不同的用戶ID。換句話說，每個應用程序在整個生命周期中擁有一個唯一的UID。同一個應用程序可能在其他設備上有一個不同的UID，重要的是兩個不同的應用程序不能分配相同的UID。因為每個應用程序都有自己的UID，所以它們不能在同一進程中運行，而是需要在其UID下單獨運行。這樣能隔離正在運行的進程，以使應用程序彼此安全。

此外，任何應用程序的數據存儲在其UID下，其他應用程序無法訪問。應用程序的簽名機制，要求任何應用程序的.apk文件必須由開發人員的證書簽署，以識別應用程序的作者。這樣可以實現如果他們由相同的證書簽名，那么應用程序可以共享一個UID。它還允許系統授予或拒絕簽名級權限；如果系統使用聲明權限與其他應用程序的相同證書簽名，系統將向該申請權限的應用程序授予簽名級權限。

最后，Android采用的權限模型保護手機的資源和功能，使其只能通過授予相應權限的應用訪問。默認情況下，應用程序沒有處理手機硬件，軟件，功能和數據的權限。應用程序的開發人員需要聲明應用程序功能所需的權限。在安裝時，用戶需要授予請求的權限，否則系統會終止安裝。

1.3 Android惡意軟件

1.4 Android惡意軟件檢測技術

目前有很多的惡意軟件檢測技術用于商業和研究方面的惡意代碼檢測軟件。大部分的商業惡意軟件掃描工具依賴于靜態或者動態的技術去檢測惡意代碼。靜態分析掃面源代碼或者二進制代碼去對比已知的惡意特征碼。當惡意軟件制作者使用代碼混淆制作惡意軟件時，使用靜態分析惡意代碼往往變得力不從心。相對靜態檢測技術，動態檢測技術在惡意代碼受控環境下分析并追蹤惡意軟件。動態檢測技術也被叫做基于行為的檢測技術。以前的大多數Android設備上的惡意軟件檢測技術都采用某種動態的檢測技術。

來自Zhou和Jiang的研究概述商業的掃面工具在Android設備檢測惡意軟件性能并不是很好，他們測試了四種商業掃描工具（AVG，Lookout，Norton，Trend Micro），將這四種工具用具檢測來自49個惡意軟件家族的1260個惡意應用程序。最好的移動惡意軟件掃描工具只識別出了收集的惡意應用程序的79.6%，最差的還不到20.2%。在上述的工作中，Google自己的惡意軟件檢測服務只檢測出1260惡意應用的15.32%

2 基于類別SVM檢測技術

2.1 檢測技術框架

整個方案的步驟大致為：收集Apps樣本，反編譯app樣本，提取特征集，用特征選擇算法選擇最佳的特征子集，建立分類模型。如圖1所示。

2.2 數據收集

該研究中我們對所有類別app建立樣本。首先對120個惡意app和50個良性app進行特征模型訓練，然后對社交app收集數據，良性app為50個，惡意app為30個。并命名“所有組”、“社交組”。

2.3 反編譯數據

App中有個文件叫做“apk”，在特定的特征組app反編譯時，該文件被反編譯成相應的源碼文件。這個過程被一個叫做santoku的反編譯工具自動完成，因為特定為移動安全制定的linux系統機制，.apk文件將轉化為源碼中的AndroidMainfest.xml文件形式和.java文件。我們采用apktool工具進行反編譯。

2.4 特征提取

在該部分我們選取app中的權限為特征進行過濾提取。并提取其中排名前10的權限。權限是非常重要和常用的特征用于在Android系統中檢測惡意代碼。我們這里也會相應的考慮其他的靜態權限。在該領域許多研究通過建立權限模型，將相應的權限授予app驗證其能否使app可以有惡意行為。

在我們的研究中，將app請求的權限與我們上文提到的類別app訓練成的分類模型中一組共同的權限相關聯。顯然地，特定類別的功能需要一組權限，然而如果app出現需求的異常或者超級權限相對于良性app，則表明該app有惡意意圖。

2.5 分類模型

支持向量機（SVM）也稱作支持向量網絡（SVN），是一種有監督的機器學習模型，它可以對數據進行分類分析、檢測和模式識別以及回歸分析。SVM是一種非概率的線性分類器，它將數據分配到一個或者多個類別中。它也可以使用Kernel Trick有效的用在非線性分類問題中。Kernel Trick是一類支持向量機算法，它可以簡易和經濟的方式的將輸入特征映射到較高維的輸出空間中。

SVM將訓練數據視為一個空間的點，該空間的點基于它們的類別以群組形式聚集，這些群組被稱作超平面的清晰的間隙相隔離。在訓練階段，SVM從訓練數據中建立起模式模型，這些數據在分類階段是用在一個空間。

在分類階段，新的輸入點被映射到訓練空間中，并按照它們落在間隙的哪一側來分類。如圖4所示，直線分離了兩個類別，新的數據如果在直線以上則映射到類的空間中，否則映射其他類空間。

3 實驗與結論

在該部分我們主要對上節的方案進行實驗，比對實驗結果進行討論，最后得出結論。我的研究目標是通過提高從訓練分類器的特征選擇質量進而提高分類模型的性能。每個類別有各自的功能，良性app在特定類別中有共同的一組特征，而惡意app的特征異常、罕見、或者比特定類別中的app更多的特征。為檢測到惡意代碼，我們將app的特征與特定功能類別中app特征相關聯。為達到這種目標，我們準備2組數據（“所有app”、“社交app”）包含良性和惡意二進制向量。在訓練階段，我們用支持向量機（SVM）建立2個分類模型，使用權限特征訓練分類器。實驗重復15次，每一輪實驗中三組數據集順序隨機打亂，70%的數據用于訓練，其余數據用于測試。

測試環境采用pc機，OS采用win7，數據挖掘工具采用weka。實驗結果采用求平均數的方法。最后得出結論，基于SVM的“所有app”精確度為0.901，基于類別SVM的“社交app”組精確度為0.958。基于SVM的“所有app”組的召回率為0.930，基于類別SVM的“社交app”組的召回率為0.971。綜合評價，基于類別的Android系統惡意軟件檢測技術精確度高于普通的SVM檢測技術。

參考文獻：

[1] 羅瑜.支持向量機在機器學習中的應用研究.西南交通大學博士學位論文，2007，7.

[2] 彭國軍，李晶雯，等.Android惡意軟件檢測研究與進展.武漢大學學報（理學版），2015年2月，第61卷 第1期.

[3] 龔炳江，唐宇敬.Android平臺下軟件安全漏洞挖掘方法研究.計算機應用于軟件，2014年1月，第31卷 第1期.

[4] Huda Ali Alatwi Android malware Detection Using Category-Based Machine Learing Classifiers Rochester Institute of Technology RIT Scholar Works，June 2016.

[5] 李駿驍.基于監督型機器學習分類方法的Android惡意軟件檢測技術研究.南京大學研究生畢業論文，2014，5.

作者簡介：

管飛詩（1986-），山東德州夏津人，碩士研究生，研究方向：網絡模型及網絡環境下應用技術研究。

徐夫田（1965-），山東臨沂人，博士，研究員，碩士生研究生導師，研究方向：電子政務、數據庫。