基于沙盒的Android惡意軟件檢測技術(shù)研究

林鑫

（南京理工大學(xué)江蘇南京210094）

基于沙盒的Android惡意軟件檢測技術(shù)研究

林鑫

（南京理工大學(xué)江蘇南京210094）

隨著互聯(lián)網(wǎng)技術(shù)和計算機技術(shù)的高速發(fā)展，人們獲取資源和服務(wù)變得更加方便快捷了，但與之伴隨而來的安全問題也日益突出。特別是在使用廣泛的移動終端上，竊取信息、惡意吸費等惡意軟件層出不窮。由于受到資源和計算能力的限制，移動終端無法安裝功能強大、性能要求高的病毒查殺軟件。本文從實際出發(fā)，針對移動終端對安全的需求和現(xiàn)有查殺軟件存在的弊端進行了深入的分析，提出了一種基于沙盒的結(jié)合移動端和云端的惡意軟件檢測技術(shù)。該技術(shù)采用了基于動態(tài)分析的沙盒技術(shù)，從一定程度上彌補了傳統(tǒng)的靜態(tài)分析方法所存在的不足，沙盒所特有的隔離環(huán)境，同時保證在系統(tǒng)執(zhí)行檢測任務(wù)時免遭惡意程序的破壞。另外，考慮到移動終端的局限性和檢測過程的可靠性，在移動終端經(jīng)過預(yù)處理后，使用高效的比對算法進行二進制比對，同時通過網(wǎng)絡(luò)將APK中的class字節(jié)碼文件上傳到云端，通過在云端的虛擬機中運行執(zhí)行代碼進行進一步檢測，從而提高檢測的可靠性和效率。

沙盒；Android；惡意軟件；云計算

2007年至今的短短七年時間里，Android一躍成為市場占有率最高的移動智能終端操作系統(tǒng)。生態(tài)封閉的iOS和Windows Phone保證了開發(fā)平臺和產(chǎn)品一致性，應(yīng)用程序經(jīng)過嚴格審查，價值鏈控制嚴密．而Android系統(tǒng)秉持開放性原則，吸引了大批用戶、手機廠商、應(yīng)用開發(fā)商和銷售商，但是開放的應(yīng)用市場和相對寬松的應(yīng)用審查機制導(dǎo)致Android惡意軟件泛濫、安全威脅與日俱增［1］。

現(xiàn)有Android惡意軟件反逆向、抗檢測技術(shù)不斷發(fā)展成熟，惡意軟件變種迅速，家族種類繁多，已經(jīng)形成了以吸費扣費、惡意推廣、隱私販賣為目的的灰色利益產(chǎn)業(yè)鏈［2］。安全公司每天面臨大量待測可疑樣本，分析檢測工作量巨大，特征提取效率低下，導(dǎo)致了基于靜態(tài)掃描引擎的安全軟件檢出率不高。應(yīng)用市場間競爭激烈，同質(zhì)化嚴重，基本處于無序發(fā)展狀態(tài)．這樣的“內(nèi)憂外患”惡化了Andoird安全形勢。

受電池、帶寬、CPU、內(nèi)存資源限制，傳統(tǒng)適用于PC的惡意軟件分析檢測手段不能直接運用在移動智能終端上。如何針對Android移動平臺惡意軟件進行快速有效的分析檢測成為當務(wù)之急［3］。

本文由4個部分組成，第1節(jié)研究現(xiàn)有Android惡意軟件攻擊技術(shù)的相關(guān)內(nèi)容，包括Android惡意軟件檢測技術(shù)及其優(yōu)缺點；第2節(jié)提出一種較為完整的解決方案，一種動態(tài)檢測和靜態(tài)檢測結(jié)合移動終端和云端聯(lián)動的檢測模型；第3節(jié)針對現(xiàn)有研究中的不足之處，提出了幾點未來的發(fā)展方向。

1　Android惡意軟件檢測技術(shù)研究

1.1惡意軟件攻擊技術(shù)

綜合分析已知惡意軟件，它們的危害大體上可分為兩方面，一方面是針對用戶個人，另一方面是針對通信網(wǎng)絡(luò)等硬件，主要行為表現(xiàn)為：惡意扣費或消耗套餐，竊取用戶隱私資料，提示聯(lián)網(wǎng)下載軟件，大量傳播惡意軟件等。

惡意程序的攻擊方式有很多，但都會表現(xiàn)出一定的特征，一般完成一次攻擊，要經(jīng)歷入侵、獲取權(quán)限、潛伏、實施破壞行為等過程。在惡意程序?qū)嵤┕粜袨榈倪^程中主要使用到進程注入技術(shù)、遠程控制技術(shù)、端口反向連接與端口復(fù)用技術(shù)、自生產(chǎn)和升級技術(shù)、自啟動技術(shù)等［4］。

1.2惡意軟件檢測技術(shù)

1.2.1靜態(tài)檢測方法

靜態(tài)分析方法，是指不運行可疑惡意程序，僅僅通過某些分析工具或者反編譯工具獲得待測程序的語義和特征，然后進行程序樣本庫的匹配，從而識別目標程序是否具有惡意性質(zhì)［5］。顯而易見，使用靜態(tài)分析方法進行分析的優(yōu)點是不必運行目標程序，所以分析速度快，系統(tǒng)也因此可以免遭不可預(yù)測的惡意破壞。而該方法的缺點是，在執(zhí)行對某些經(jīng)過加殼或者加密的可疑程序的分析時，往往得不到任何的分析信息，因此靜態(tài)分析方法有一定的局限性。根據(jù)識別惡意程序的依據(jù)不同，可以把靜態(tài)分析方法分為基于代碼特征分析法和基于代碼語義分析法兩類。

1）基于代碼特征的分析方法

基于代碼特征分析法是一種根據(jù)目標程序代碼所出現(xiàn)的統(tǒng)計特性進行惡意識別的一種靜態(tài)分析方法。在使用靜態(tài)分析方法時往往可以通過分析工具得到可疑惡意程序的某些統(tǒng)計特性，通常情況下，這些統(tǒng)計特性在惡意代碼中表現(xiàn)的特別明顯，惡意程序為了實現(xiàn)其惡意目的，在其代碼中難免會出現(xiàn)多次對某些系統(tǒng)API函數(shù)的調(diào)用，例如操作系統(tǒng)注冊表的函數(shù)，而正常情況下，無惡意的軟件是很少會多次操作注冊表信息的，因此一旦在基于代碼特征的分析的過程中發(fā)現(xiàn)目標程序具有這種統(tǒng)計特性時，就可以初步將目標程序判定為疑似惡意程序。

2）基于代碼語義的分析方法

與上述方法不同，基于代碼語義的分析方法并不是依賴于目標程序的代碼統(tǒng)計特性進行惡意判定，該方法首先是利用某些工具對惡意代碼進行反編譯，然后通過對語義的理解和分析，重構(gòu)目標程序的功能模塊圖以及執(zhí)行流程圖。

1.2.2動態(tài)檢測方法

當惡意程序運用了加殼、多態(tài)技術(shù)以及變形技術(shù)時，采用靜態(tài)分析法進行分析就有可能失效。使用動態(tài)分析方法進行惡意程序檢測往往可以得到更加全面的分析結(jié)果，其好處是可以提高分析的準確率，并且可以使一些經(jīng)過加殼或者加密的惡意程序無處遁形。根據(jù)動態(tài)分析過程中所關(guān)注的內(nèi)容不同，可以將動態(tài)分析法分為兩類：狀態(tài)對比法和動態(tài)追蹤法。

1）狀態(tài)對比法

如果希望快速了解惡意程序所使用的攻擊方式以及破壞意圖，可采用狀態(tài)分析法進行快速分析，其原理如下，記錄系統(tǒng)運行目標程序前后的環(huán)境以及系統(tǒng)狀態(tài)變化，通過對比變化，與行為特征庫進行匹配，即可初步確定目標惡意程序所屬類型和所使用的攻擊方式。

2）動態(tài)追蹤法

如果希望在動態(tài)分析的過程中獲取目標程序產(chǎn)生的所有信息，則需要使用動態(tài)跟蹤法。與狀態(tài)對比法相比，該方法關(guān)注的重點是目標程序執(zhí)行時所表現(xiàn)出的全部行為特征，通過綜合分析這些特征屬性，來確定目標程序是否具有惡意性。

1.3沙箱技術(shù)研究

1.3.1沙盒技術(shù)概述

沙盒技術(shù)是國際反病毒業(yè)界近年來提出的反病毒新概念。它在計算機系統(tǒng)內(nèi)部構(gòu)造了一個獨立的虛擬空間，當發(fā)現(xiàn)程序的可疑行為時讓程序繼續(xù)運行，確認是病毒時才終止［6］。沙盒技術(shù)能讓程序的可疑行為在電腦虛擬的沙盒里充分表演，并記下它的每一個動作，在病毒充分暴露了其病毒屬性后，沙盒就會執(zhí)行回滾機制，將病毒的痕跡和動作抹去，恢復(fù)系統(tǒng)到正常狀態(tài)。

1.3.2沙盒分析方法

根據(jù)上述概念，使用傳統(tǒng)的沙盒分析方法時，首先創(chuàng)造一個虛擬的程序運行環(huán)境，然后將目標程序放入其中執(zhí)行，由于該虛擬環(huán)境擁有像真實操作系統(tǒng)一樣的環(huán)境，因此目標程序能夠正常執(zhí)行并且會表現(xiàn)出它本身所具有的惡意性，當系統(tǒng)確定待測程序?qū)儆趷阂獬绦驎r，就會終止目標程序的運行，以避免它對真實操作系統(tǒng)造成破壞。沙盒分析結(jié)束后，分析系統(tǒng)會生成目標程序的分析日志，用戶可以通過該分析日志來確定目標程序是否具有惡意性。

2　基于沙盒的Android惡意軟件檢測方案設(shè)計

經(jīng)過綜合考慮，本文專門提出了一種靜態(tài)掃描和動態(tài)執(zhí)行結(jié)合，移動終端和云端聯(lián)動的檢測模式。在移動終端上只做靜態(tài)檢測，在云平臺上做進一步的動態(tài)檢測，甚至可以將靜態(tài)檢測中耗時的操作遷移至云平臺上，進一步節(jié)省手機電量，降低手機資源的消耗。系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

圖1　系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖

2.1云端沙箱聯(lián)動機制

在移動終端主要進行解壓縮，簡單的二進制對比，簡單的API調(diào)用序列對比和上傳動作；云端主要運行了重新修改編譯后的虛擬機來動態(tài)執(zhí)行手機端上傳的樣本代碼，重新編譯好的框架層或者DVM虛擬機會動態(tài)執(zhí)行該樣本，可以獲得樣本加載系統(tǒng)模塊，動作行為等具體信息，進一步來增強檢測效果。

系統(tǒng)首先將對目標代碼進行靜態(tài)檢測，移動終端的軟件將會負責(zé)APK解壓，先進行啟發(fā)式掃描，然后檢查Manifest. xml文件，最后分析DEX文件中的全部敏感屬性，假設(shè)以上結(jié)果檢測不出結(jié)果，或者3項中的結(jié)果只有一項有可疑結(jié)果，我們就上傳APK至云端，動用動態(tài)檢測來進一步分析，假設(shè)云端動態(tài)執(zhí)行后的結(jié)果出目標代碼是惡意代碼，則目標軟件能夠肯定屬于惡意軟件［7］，假設(shè)之前的靜態(tài)檢測已經(jīng)能夠明確的指出代碼是惡意代碼，則可以省去動態(tài)檢測這一步驟，直接對用戶提示潛在威脅，云端沙箱聯(lián)動機制的具體檢測流程如圖2所示。

圖2　云端沙箱聯(lián)動機制檢測流程圖

目的是出于考慮到手機平臺的特殊性，網(wǎng)絡(luò)上傳動作需要較多的電量和帶寬支持，假設(shè)使用GPRS網(wǎng)絡(luò)上傳，單個APP的大小通常在幾M到30M左右，會使用戶手機產(chǎn)生較大的流量費用，假設(shè)使用WiFi，則用戶相對容易接受（考慮設(shè)計一個監(jiān)聽廣播收集用戶Android系統(tǒng)的網(wǎng)絡(luò)狀態(tài)，只在系統(tǒng)存在WiFi鏈接時，才進行APK上傳動作，提高用戶體驗）。

2.2移動終端預(yù)處理

在移動終端端上，利用APP完成相對簡單的預(yù)處理過程，比如解壓APK，上傳特定的文件至服務(wù)器，簡單的靜態(tài)檢測，對用戶進行提醒等等。

在移動終端，主體功能在于對目標代碼進行靜態(tài)檢測，同時具備查看日志和提醒用戶等功能，程序總體是由一個運行在后臺的Service和一個運行在前端的Activity組成，Service會攔截系統(tǒng)啟動Boost廣播，從而實現(xiàn)自啟動，Service在整個用戶手機運行期間，均會在后臺運行，同時Service會監(jiān)聽系統(tǒng)安裝程序的廣播，對新安裝的程序進行默認掃描，假如靜態(tài)檢測無法識別，而目標代碼可疑程度較高則會通過上傳模塊，上傳至云端，進行動態(tài)檢測；在Activity中，能夠?qū)崿F(xiàn)系統(tǒng)的基本配置管理，查看運行日志和查看歷史提醒等功能。查看日志主要為方便用戶，查看提醒采用Toast組件對用戶進行提醒，Toast組件的持續(xù)時間較短，用戶可能忽略，因此必須設(shè)置查看歷史提醒功能。在Service中，首先對APK進行解壓，然后對APK結(jié)構(gòu)執(zhí)行啟發(fā)式掃描，之后執(zhí)行初步二進制對比class.dex文件的全部敏感字段，最后檢查Manifest.xml文件，關(guān)鍵在于分析廣播器、監(jiān)聽器以及系統(tǒng)權(quán)限信息，如果無法得出結(jié)果，則考慮上傳APK至服務(wù)器。在Activity中，主要有基本配置管理，查看運行日志，查看歷史提醒等功能模塊。移動終端APP功能結(jié)構(gòu)劃分如圖3所示。

圖3　移動終端APP功能結(jié)構(gòu)圖

2.3云端檢測處理

在后臺服務(wù)器集群構(gòu)建的云端負責(zé)接收上傳APK，使用重新編譯好的模擬器來觀察動態(tài)執(zhí)行的結(jié)果，反匯編APK，對比APK源碼結(jié)構(gòu)，建立并管理簽名數(shù)據(jù)庫和惡意代碼數(shù)據(jù)庫，反饋結(jié)果至移動終端。后臺服務(wù)器主要運行在Linux操作系統(tǒng)上，由于某些靜態(tài)檢測非常耗費資源，云端同樣會執(zhí)行部分靜態(tài)檢測。

假設(shè)之前的靜態(tài)檢測并不足以判斷一個APK是否為惡意軟件，必須上傳此目標APK至云端。在云端結(jié)合專業(yè)的病毒庫，進一步進行比對分析，目標對象為XML文件，簽名文件以及反編譯DEX文件，假設(shè)檢測仍然沒有結(jié)果［8］，但目標代碼的確存在可疑之處，借助重新編譯后的虛擬機動態(tài)執(zhí)行目標代碼，從執(zhí)行過程調(diào)用的系統(tǒng)框架層函數(shù)中，捕獲所需參數(shù)信息，以及目標代碼是否加載某些系統(tǒng)模塊進行檢測。云端子系統(tǒng)功能結(jié)構(gòu)劃分如圖4所示。

圖4　云端子系統(tǒng)功能結(jié)構(gòu)圖

3　結(jié)束語

本文對Android惡意軟件檢測技術(shù)進行了系統(tǒng)的調(diào)研，分析了Android惡意軟件檢測技術(shù)的各方面相關(guān)內(nèi)容，在此基礎(chǔ)上提出了一種全新的基于沙盒的Android惡意軟件檢測方案。本文提出的方案解決了現(xiàn)有方案存在的不足，為Android應(yīng)用程序提供了一個真實的運行環(huán)境，使應(yīng)用程序暴露出其真實的行為。

本方案也存在幾點不足之處。首先，對Android沙盒的控制依賴于虛擬化軟件，虛擬化軟件的穩(wěn)定性決定了Android沙盒的穩(wěn)定性；其次，Android沙盒系統(tǒng)的版本依賴于Android開源項目，新版本的Android系統(tǒng)如果加入了新的系統(tǒng)API，將無法檢測出這些新的API調(diào)用；最后，本文的Android惡意軟件檢測方案在移動終端無法訪問網(wǎng)絡(luò)時存在功能局限性，只能進行簡單的移動終端預(yù)處理。

針對上面提出的三點不足之處，下一步的研究重點是改進Android沙盒，降低甚至消除Android沙盒對虛擬化軟件和Android開源項目的過分依賴，在移動終端搭建相對智能化的可自動進化升級的Android惡意軟件預(yù)檢測機制，在考慮移動終端局限性的同時，盡可能提高惡意軟件檢出效率。

［1］Steven MP，Contrary to what you've heard，Android is almost impenetrable to malware［EB/OL］.（2013-10-03）［2015-06-23］.http://qz.com/131436/contrary-to-what-you' veeard-android-is-almost-impenetrable-to-malware.

［2］馮博，戴航.Android惡意軟件檢測方法研究［J］.計算機技術(shù)與發(fā)展，2014，24（2）:149-152.

［3］彭國軍，李晶雯，孫潤康，等.Android惡意軟件檢測研究與進展［J］.武漢大學(xué)學(xué)報（理學(xué)版），2015（1）:21-33.

［4］何國賢.基于沙盒技術(shù)的多平臺惡意程序分析工具研究與實現(xiàn)［D］.成都：電子科技大學(xué)，2013.

［5］Kasama，Takahiro.Malware Detection Method by Catching Their Random Behavior in Multiple Executions［C］//2012 IEEE/IPSJ 12th International Symposium on Applications and the Internet，Izmir，2012:262-266.

［6］Jana，Suman.Building Secure，Efficient Sandboxes with System Transactions［C］//2011 IEEE Symposium on Security and Privacy，Berkeley，CA，2011:329-344.

［7］劉一田，孔震，李萌.Web應(yīng)用中故障檢測機制的研究與改進［J］.陜西電力，2012（11）:66-69.

［8］周云端，何志勇，趙瑞國.基于遺傳算法的加速度控制PID參數(shù)自整定研究［J］.火箭推進，2012（4）:68-71.

Malware detection technology research of Android platform based on sandbox

LIN Xin
（Nanjing University of Science and Technology，Nanjing 210094，China）

With the rapid development of Internet technology and computer technology，people's access to resources and services become more convenient，but the security issue with the attendant increasingly prominent.Especially in the use of a wide range of mobile devices，steal information，malicious suction fee malware endless.Due to limited resources and computing power，the mobile terminal cannot install a powerful，high performance requirements virus killing software.This article from the reality，for mobile terminal security requirements and existing software Disadvantages killing depth analysis，the malware detection technology based on a combination of sandbox mobile terminal and the cloud.The technology uses sandbox technology based dynamic analysis，to some extent，compensate for the shortcomings of traditional static analysis methods exist，sandbox unique isolated environment，while ensuring that malicious programs from the system to perform inspection tasks in damage.In addition，taking into account the limitations and reliability of the detection process of the mobile terminal，the mobile terminal after pretreatment，the use of efficient than binary comparison algorithm，and through a network of APK class bytecode files uploaded to the cloud by the virtual machine to execute code to run in the cloud for further testing to improve the reliability and efficiency of detection.

sandbox；android；malware detection；cloud computing

TN929.5

A

1674－6236（2016）12-0048-03

2015-07-15稿件編號：201507110

林鑫（1983—），男，福建閩侯人，碩士，助理研究員。研究方向：計算機應(yīng)用技術(shù)。