基于權限相關性的Android惡意軟件檢測研究

顏瑩

摘要：隨著科學技術發展以及互聯網技術的不斷創新與完善，更多先進技術得以創新與研發，這給各個行業的發展提供巨大便利。但是市場經濟的快速發展使得各個領域之間的競爭更加激烈，當然惡性競爭也無法避免，這樣對整個行業的發展秩序造成很大的影響。在軟件開發領域，有大量的惡意軟件得以開發，直接對廣大互聯網用戶的財產安全造成很大的威脅，影響社會穩定。本文從權限機制進行分析，利用基于權限相關性的處理方案和實驗方式進行更加深入探討。

關鍵詞：權限相關性；安卓系統；惡意軟件檢測

0引言

現階段，我國科學技術以及互聯網技術得到更大的創新與發展，同時智能手機的大量普及，已經成為我國廣大用戶的生活必需品，各種應用程序使得人們的生活方式得到翻天覆地的變化，例如支付寶的支付功能，人們只需要簡單的操作就能實現在線交易，打破時間與空間上的限制；微信軟件，可以實現隨時隨地的視頻功能，創新人們的溝通方式；游戲軟件更加豐富人們的娛樂生活。這些智能軟件的開發與廣泛普及，迅速占領市場，給廣大用戶的生產生活帶來巨大的便利。但是同時近年安卓系統智能手機中惡意軟件的增加速度也在加快。不良分子通過這些惡意軟件對廣大智能手機用戶進行遠程控制，非法竊取他人信息，甚至是竊取錢財，給用戶造成很大的財產損失以及生活困擾。

1權限機制

由于當前廣大用戶對智能手機的依賴性較強，很多人都在使用支付寶或是微信紅包進行交易，這樣廣大用戶的財產信息全部在手機上，同時更多重要聯系人的信息也在手機上，手機安全成為現階段廣大用戶最為關心的問題，一旦手機信息泄露將給廣大用戶造成巨大的經濟損失以及生活不便。為了進一步提高安卓智能手機的安全性，權限機制成為最為核心的技術。要想在安卓系統上發揮一系列的軟件，必須嚴格按照manifest文件規定，所有軟件在運行過程中必須首先得到權限信息，只有在通過所有權限的前提下，廣大安卓系統智能機用戶才能下載軟件。同時為了更加有效提高軟件的安全性，保證用戶安心，用戶在訪問可能存在危險的系統資源或是訪問聲明外的軟件時，安卓系統會進行提醒、限制。在所有安卓系統的智能手機上，一共羅列出多達134種的權限信息，同時根據每條信息進行詳細闡述與解釋。當前，主要分為normal、dangerous、signature和signatureor svstem這四種權限類別，是按照由低風險到高風險的順序排列。屬于normal這一類別的軟件程序，由于風險較低，因此不會對整個安卓系統、用戶或是手機上的其他應用軟件造成危害；第二類別中的軟件系統屬于高風險權限，只用在用戶輸入相關信息后系統才會給予此權限；第三類別中軟件只有在應用程序使用的數字簽名與聲明權限中應用程序的簽名一致時才能通過權限。專業技術人員通過對大量的安卓應用程序權限信息進行白組織映射神經網絡分析計算后得出：大部分應用程序都很少用到Android權限。而大部分惡意程序與良性程序都在廣泛地使用訪問網絡、讀手機狀態以及寫SD卡等權限。不同的是有62.7%的使用短信有關權限、54.6%開機自啟動權限被惡意軟件攻擊，但是這些權限良性程序不會使用。因此各種安卓權限使用頻率存在很大的差別，同時對權限使用組合和類別傾向上良性軟件與惡意軟件存在較大的差異。

總結：隨著人們生活水平的不斷提高，人們對智能機的依賴程度將更加嚴重。因此安卓智能手機的安全性直接關系到廣大用戶的財產安全與信息安全，甚至關系到整個社會的穩定性。因此這就需要科研人員必須樹立強烈的責任感和使命感，研發更多良性軟件，為人們的生產生活提供便利，同時加強對惡意軟件的研究，制定具有針對性的解決方案，進一步提高惡意軟件檢測的準確率。相關部門一定要加強對軟件使用的監督管理制度，加強打擊手段，拓展宣傳方式，提高廣大用戶智能機安全使用意識，從而保證廣大智能機用戶財產與信息安全，為軟件使用創造一個良好的環境。

2基于權限相關性的處理方案

2.1權限特征選取

上文針對安卓權限機制進行全面分析，本文在對各種權限同惡意傾向的相關性進行計算時，主要采用引入卡方檢驗方式，抽取關鍵權限特征。1990年現代統計學的創始人之一K.Pearson提出卡方檢驗，采用卡方檢驗方法能夠對兩種成分的權限相關性進行準確、快速的分析。但是，在采用該種方式時可能出現‘低頻缺陷”問題，導致出現該種問題的原因是該種方式在設計過程中，需要對樣本的特征性進行分析，如果樣本特征差異性較小，則會影響權限特征的選取。在安卓系統的所有權限聲明信息里，為了防止出現低頻缺陷的問題，在進行權限信息選定時，需要保證所有權限信息的唯一性，保證卡方檢驗方式能夠正確的選擇關鍵權限特征。

2.2權限特征聚類去冗余

站在直觀角度，只有和分類結果相關性高，且和其他特征不相關或者弱相關，這才是最為理想的權限特征。科研人員在運用樸素貝葉斯算法時對特征屬性進行假設，一個屬性對于分類的影響獨立于其他屬性。根據對大量的權限特征集合，科研人員發現權限之間存在明顯的相關性，這些權限在樣本中成組出現或者沒有。分別以SUBSC R IBED_FEEDS_R EAD、SUBSCRIBED_FEEDS_wRlTE兩個權限為例，二者之間都具有較強的相關性，同時都會在樣本信息中成組出現。如果同時作為權限特征，就會直接影響到分類結果。因此為了進一步提高權限特征的代表性，盡量減少分類開銷，需要對權限特征集合中的冗余特征進行去除。

3實驗

3.1實驗過程

科研人員可以隨機從兩個商店分別獲取正常軟件樣本和惡意軟件樣板，樣本數量均為1000，腳本編寫時采用python語言，在進行權限信息儲存時，需要先采用Andfod-SDK工具進行aapt工具下載，當上述準備工作結束后，對特征進行預處理，將冗余的權限屬性去除，并選擇準確的關鍵權特征。同時，在進行權限聚類參數的確定工作時，需要合理地選擇n（權限相關度閥值），該閥值對權限聚類參數選擇影響程度非常高，如果n過小，則會導致出現權限聚類不夠的現象，不能夠滿足簡化特征的要求；如果n過小，則會導致出現聚類過度的現象，其產生的相關權限簇不能夠正確解釋權限含義。通過當n=0.4時，得到以下成組的強相關權限簇。以Android權限含義作為背景知識理解，分組結果恰好把功能接近相關性高的權限歸為一組，同時又沒有過度聚類，遺漏重要權限特征，符合預期。經過兩輪特征預處理，權限特征從134個減少到68個。接下來從樣本中選取800個惡意軟件和800個正常軟件的權限信息，進行樣本學習，計算貝葉斯先驗概率。最后利用帶權重的后驗概率式分別計算其屬于正常軟件和惡意軟件的概率值，通過比較得到軟件檢測結果。

3.2實驗結果

通過該實驗證明，基于權限相關性的惡意軟件檢測方案，即使分類結果存在一定的誤差，但是對各種權限進行初步檢測是具有可行性的。并且所需特征數量較少，容易獲取，因此在進行輕量級檢測時使用，檢測結果可以作為后期科研人員研究的重要參考依據。endprint