安卓惡意軟件的靜態(tài)檢測方法①

陳紅閔, 胡江村

(中南民族大學(xué) 電子信息工程學(xué)院, 武漢 430074)

在如火如荼的高科技時(shí)期, Android軟件的開發(fā)呈現(xiàn)了爆發(fā)式增長. 根據(jù)日前App Annie發(fā)布的《全球移動應(yīng)用市場2016年回顧報(bào)告》顯示數(shù)據(jù)表明,2015年至2016年兩年全球應(yīng)用下載量增長率為15%.可惜不幸的是, 這樣的受歡迎程度也會吸引惡意軟件開發(fā)者, 預(yù)置應(yīng)用程序、捆綁下載、過度獲取權(quán)限、山寨應(yīng)用等防不勝防. 惡意應(yīng)用程序的盛行卻讓用戶的個(gè)人隱私逐漸走向透明, 在《2017Q1中國手機(jī)安全市場研究報(bào)告》[1]中提到, 89.6%的受訪用戶表示曾遭受過個(gè)人隱私信息泄露, 詐騙電話等, 如今信息安全成為很多用戶的心腹大患. 360、金山等是深受用戶喜愛的安全廠商也投入到移動安全領(lǐng)域, 而這些軟件進(jìn)行殺毒基本原理是通過匹配已知的病毒木馬特征來確認(rèn)入侵行為, 以防火墻、動態(tài)監(jiān)控等方式進(jìn)行主動防御,但缺點(diǎn)是依賴病毒特征庫的更新, 學(xué)習(xí)新型病毒能力較弱[2,3]. 本文在前人的基礎(chǔ)上進(jìn)行進(jìn)一步研究, 提取不同的特征組合進(jìn)行檢測. 首先, 通過反編譯提取權(quán)限和高危API, 經(jīng)過預(yù)處理組成權(quán)限——API特征集合, 利用機(jī)器學(xué)習(xí)分類算法進(jìn)行檢測, 并與單獨(dú)特征集合進(jìn)行分類的準(zhǔn)確率進(jìn)行比較, 得出相應(yīng)的優(yōu)化檢測方案.并將服務(wù)器端的這一靜態(tài)檢測過程整合至開發(fā)的安卓惡意軟件檢測與防御系統(tǒng)中, 以向用戶返回靜態(tài)檢測報(bào)告的方式返回檢測結(jié)果.

1 Android應(yīng)用程序安全機(jī)制

1.1 權(quán)限機(jī)制

Android是一個(gè)“權(quán)限分離”的系統(tǒng), 在開發(fā)App過程中, 要想使用Android系統(tǒng)受限資源, 需在Android.xml文件中申請相關(guān)資源的權(quán)限, 利用唯一字符串來分別表示每一資源的權(quán)限. 權(quán)限主要由以下組成: 權(quán)限的名稱; 屬于的權(quán)限組; 保護(hù)級別. 每個(gè)權(quán)限通過protectionLevel來標(biāo)識保護(hù)級別: normal, dangerous,signature, signatureorsystem[4]. 使用該權(quán)限時(shí)就要根據(jù)不同的保護(hù)級別進(jìn)行認(rèn)證, 如normal的權(quán)限只要申請了就可以使用, 而dangerous權(quán)限需要用戶確認(rèn)才能被使用. 在AndroidManifest.xml中會通過一些標(biāo)簽如＜permission＞標(biāo)簽, ＜permission-group＞標(biāo)簽＜permission-tree＞等標(biāo)簽來指定package的權(quán)限信息.為此將所有應(yīng)用程序的權(quán)限提取出來作為特征值, 具有一定的實(shí)際意義. 但是不同的App會申請不同的權(quán)限, 故使用頻率有一定的差異, 同時(shí)惡意軟件和良性軟件在申請權(quán)限上也互不相同, 因此將惡意軟件和正常軟件中所申請的權(quán)限全部提取出來, 根據(jù)使用次數(shù)分別提取惡意和良性軟件中排名前20的使用權(quán)限, 同時(shí)進(jìn)行歸類, 組成相應(yīng)的權(quán)限特征集.

1.2 簽名機(jī)制

應(yīng)用程序通過簽名機(jī)制唯一區(qū)別APK文件, 這樣就解決了Android程序重名的問題, 因此開發(fā)者必須對開發(fā)的應(yīng)用程序進(jìn)行數(shù)字簽名, 通過簽名將應(yīng)用程序作者和應(yīng)用程序之間建立一種信任關(guān)系. 應(yīng)用程序的簽名文件和證書兩者缺一不可, 當(dāng)用戶在安裝應(yīng)用程序的過程中, 首先會被系統(tǒng)的安裝程序檢查, 確定該應(yīng)用程序是否被簽名, 未被簽名的應(yīng)用程序, 系統(tǒng)安裝程序?qū)⒆柚乖搼?yīng)用程序的安裝, 同樣的, 在應(yīng)用程序需要升級時(shí), 新版的應(yīng)用程序也會被系統(tǒng)安裝程序檢查,確定其簽名與舊版本的應(yīng)用程序簽名是否一致, 一致則更新, 不一致則被認(rèn)為是新的應(yīng)用程序來安裝, 同時(shí)也防止了被惡意軟件替換的風(fēng)險(xiǎn). Android有jarsigner和signapk簽名兩種方式: jarsign對APK簽名, 因其是Java內(nèi)置的一個(gè)簽名工具, 所以通過jarsign簽名需要安裝JDK. 而signapk是為Android應(yīng)用程序簽名專門開發(fā)的工具. jarsigner和signapk簽名的簽名算法大同小異. 通過上面的簽名后會生成一個(gè)META-INF文件夾, 這里有三個(gè)文件: MANIFEST.MF、CERT.RSA、CERT.SF[5].

1.3 Android惡意軟件分析檢測方法及理論

惡意軟件分析和檢測技術(shù)可以分為三類: 靜態(tài)分析, 動態(tài)分析和混合方法. 靜態(tài)檢測利用相應(yīng)的反編譯工具提取程序的靜態(tài)特征如語法語義、簽名等特性等進(jìn)行分析, 評估軟件安全. 在動態(tài)分析技術(shù)中, 應(yīng)用程序被部署在模擬器上或被控制的設(shè)備上進(jìn)行模擬和監(jiān)控[6,7]. 而近年來國內(nèi)外很多學(xué)術(shù)研究人員及一些商業(yè)軟件公司已經(jīng)意識到傳統(tǒng)的基于簽名的靜態(tài)分析方法很容易受到攻擊, 也無法實(shí)現(xiàn)對未知惡意軟件的檢測.特別是, 常見的隱形技術(shù), 例如加密技術(shù), 代碼轉(zhuǎn)換, 以及環(huán)境意識的方法等都具有生成惡意軟件的能力[8]. 文獻(xiàn)[9]提出的基于特征碼的惡意代碼檢測方法利用特征值匹配技術(shù)進(jìn)行檢測與國外著名的Androguard Android惡意代碼檢測工具一樣都是基于簽名的檢測方法, 但不能對未知惡意應(yīng)用檢測. 在文獻(xiàn)[10]中作者對網(wǎng)絡(luò)行為、短信等進(jìn)行監(jiān)控, 考慮到Android平臺實(shí)際資源需求, 一般單獨(dú)使用Monkey程序進(jìn)行動態(tài)測試, 實(shí)用性不強(qiáng). 在大數(shù)據(jù)時(shí)代, 數(shù)據(jù)挖掘技術(shù)越來越成熟, 云端處理能力越來越強(qiáng), 很多研究者也將機(jī)器學(xué)習(xí)算法和巨大的惡意樣本量結(jié)合起來進(jìn)行相應(yīng)的研究[11–13]. Justin Sahs[14]利用 Androguard 提取 APK 包恃征, 利用分類器訓(xùn)練這些特征來分類Android軟件. 王超[15]設(shè)計(jì)了基于機(jī)器學(xué)習(xí)算法的Android惡意軟件檢測系統(tǒng), 他將靜態(tài)、動態(tài)、客戶端和云端結(jié)合成一體,實(shí)行全方位的控制與監(jiān)聽檢測. 解決了Android系統(tǒng)在權(quán)限控制的缺點(diǎn), 實(shí)現(xiàn)了細(xì)粒度的權(quán)限控制. 并通過實(shí)驗(yàn)數(shù)據(jù)比較不同機(jī)器學(xué)習(xí)分類算法, 從而提高檢測效率. 徐欣等人[16]設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)惡意軟件動態(tài)分析云平臺, 通過基于虛擬化沙箱機(jī)制來判斷目標(biāo)軟件是否是惡意軟件, 但對網(wǎng)絡(luò)的實(shí)時(shí)性和并發(fā)性要求較高.

2 方案介紹

本文在邵舒迪等人[17]提出的基于權(quán)限和API特征結(jié)合的Android惡意軟件檢測方法基礎(chǔ)上進(jìn)行相應(yīng)的預(yù)處理過程及提取不同的特征集合, 同時(shí)運(yùn)用不同的分類算法提高檢測準(zhǔn)確率. 然后將相應(yīng)的靜態(tài)檢測過程整合至開發(fā)的安卓惡意軟件檢測與防御系統(tǒng)中, 以惡意軟件檢測報(bào)告詳情方式返回給用戶, 供用戶知曉.

2.1 Android惡意程序檢測流程

本文提出的Android惡意軟件檢測與防御系統(tǒng),將靜態(tài)檢測與動態(tài)監(jiān)控相結(jié)合, 實(shí)現(xiàn)在服務(wù)器端利用機(jī)器學(xué)習(xí)算法對已知正常和惡意軟件進(jìn)行訓(xùn)練學(xué)習(xí),建立相應(yīng)的分類模型, 對未知的惡意軟件進(jìn)行靜態(tài)檢測, 并返回相應(yīng)的靜態(tài)檢測報(bào)告. 客戶端通過對未知樣本進(jìn)行掃描, 與已存在的病毒庫通過MD5值進(jìn)行比對過濾, 同時(shí)通過監(jiān)聽廣播發(fā)送與接收實(shí)時(shí)監(jiān)聽軟件的行為信息, 并提供給用戶防御與處理措施. 用戶通過上傳本地的APK文件至服務(wù)器端進(jìn)行靜態(tài)檢測, 該系統(tǒng)能有效地用于對已知未知應(yīng)用的惡意性進(jìn)行檢測. 整個(gè)系統(tǒng)檢測流程如圖1所示.

圖1 系統(tǒng)檢測框架

2.2 特征提取

在權(quán)限特征提取階段, 采用靜態(tài)分析方法, 分別收集正常和惡意APK軟件作為訓(xùn)練樣本庫, 利用Java編寫的解壓應(yīng)用程序?qū)κ占臉颖具M(jìn)行批量解壓, 利用Android自帶的aapt(aapt.exe在SDK的platformt o o l s目錄下)工具反編譯A P K同時(shí)獲取其AndroidManifest.xml文件中申請的權(quán)限信息, 將提取的權(quán)限進(jìn)行格式化處理, 每個(gè)樣本抽象為1×(n+1)維向量, 其數(shù)據(jù)格式為其中packagname是應(yīng)用程序的名稱, 是統(tǒng)計(jì)的Android應(yīng)用程序申請的權(quán)限, 并將其存入Oracle數(shù)據(jù)庫中, 為了統(tǒng)計(jì)惡意樣本和正常樣本申請權(quán)限的使用情況, 分別將得到的權(quán)限信息在數(shù)據(jù)庫中存入兩張不同的表permissiondesc和permissiondescmal中, 并分別選擇將排名前20的權(quán)限提取出來, 通過程序抽象為1×20維向量該程序使用的權(quán)限標(biāo)記為1, 未使用的則標(biāo)記為0. 由于在此實(shí)驗(yàn)過程中要引入weka數(shù)據(jù)挖掘工具, 其處理數(shù)據(jù)集格式為Arff格式的數(shù)據(jù), arff格式是weka專用的文件格式, 全稱Attribute-Relation File Format. 它是一個(gè)ASCII文本文件, 記錄了一些共享屬性的實(shí)例. arff格式文件主要由兩個(gè)部分構(gòu)成, 頭部定義和數(shù)據(jù)區(qū). 頭部定義包含了關(guān)系名稱(relation name)、一些屬性(attributes)和對應(yīng)的類型. 數(shù)據(jù)區(qū)以@data開頭, 故數(shù)據(jù)區(qū)一橫行就代表一個(gè)樣本實(shí)例, 豎行是作為屬性和變量. 遍歷樣本生成權(quán)限特征向量集如下所示:

如圖2和圖3所示, 是正常樣本和惡意軟件排名前20的權(quán)限, 對比其使用情況發(fā)現(xiàn), 兩者重合申請的權(quán)限比較多, 故將其進(jìn)行組合生成1×23維共有特征向量生成權(quán)限數(shù)據(jù)特征集如表1所示,將其輸入weka中進(jìn)行訓(xùn)練. 在預(yù)處理模塊中選擇信息增益InfoGainAttributeEval特征選擇算法來衡量各權(quán)限在判斷惡意軟件上的貢獻(xiàn)值大小. 在信息增益中, 重要性的衡量標(biāo)準(zhǔn)就是看特征能夠?yàn)榉诸愊到y(tǒng)帶來多少信息, 帶來的信息越多, 該特征越重要. 即某權(quán)限特征的信息增益值越大, 即它為惡意值的貢獻(xiàn)越大. 設(shè)置一定的閾值, 選擇相應(yīng)的特征重新進(jìn)行訓(xùn)練, 比較其實(shí)驗(yàn)結(jié)果.

表1 權(quán)限數(shù)據(jù)特征

圖2 正常樣本權(quán)限統(tǒng)計(jì)直方圖

在高危API特征提取階段, 參照張銳[4]在其論文Android環(huán)境下惡意軟件靜態(tài)檢測方法研究中提出的通過逆向解析Android軟件安裝包, 獲取代碼級的41種高危API作為另一種檢測特征. 將得到的高危API特征存入數(shù)據(jù)庫dangerousapi表中, 在提取高危API特征時(shí), 將獲取樣本的APK文件進(jìn)行解壓得到文件如表2所示.

圖3 惡意樣本權(quán)限統(tǒng)計(jì)直方圖

表2 APK文件

classes.dex是java源碼編譯后生成的java字節(jié)碼文件, 在Dalvik虛擬機(jī)上執(zhí)行, 它包含了所有的源碼信息, 利用反編譯工具Baksmali解析APK的classes.dex文件, 即可獲得以smali為后綴的文件, 遍歷所有smali文件獲取每一APK高危API的使用次數(shù)生成特征空間向量. 根據(jù)Android官網(wǎng)提供的API信息及張銳[4]在其論文中統(tǒng)計(jì)的具備高危行為的41種API, 根據(jù)smali語法規(guī)則生成相對應(yīng)的java函數(shù)形式,遍歷所有smali文件得到41種API使用次數(shù),每使用一次count++最后每一樣本便生成1×41維特征向量smali文件中方法的表現(xiàn)形式:Lpackage/name/ObjectName;-＞MethodName(III)Z Lpackage/name/ObjectName;表示類型, MethodName 是方法名. III為參數(shù)(在此是3個(gè)整型參數(shù)), Z是返回類型(bool型). 方法的參數(shù)是一個(gè)接一個(gè)的, 中間沒有隔開.

代碼實(shí)現(xiàn)如下所示:

將其轉(zhuǎn)為arff格式數(shù)據(jù)作為高危API數(shù)據(jù)特征集輸入Weka中進(jìn)行訓(xùn)練. 遍歷樣本得到API特征向量集如下所示:

由于單一權(quán)限和高危API信息能在一定程度上對惡意軟件進(jìn)行檢測, 但是正確率不太高, 同時(shí)也存在一定的局限性, 所以考慮將其合并在一起作為統(tǒng)一特征集進(jìn)行檢測, 然后對得到的特征集進(jìn)行相應(yīng)的預(yù)處理過程選出最優(yōu)特征子集, 提高分類器的正確率.

3 實(shí)驗(yàn)過程及結(jié)果分析

Weka自帶了許多機(jī)器學(xué)習(xí)算法, 它能夠用來進(jìn)行模型的訓(xùn)練和預(yù)測. 當(dāng)使用這些算法來構(gòu)建模型的時(shí)候, 我們需要一些指標(biāo)來評估這些模型的性能, 為此定義一組相關(guān)指標(biāo)從各方面衡量實(shí)驗(yàn)效果. 針對一個(gè)二分類問題, 將實(shí)例分成正類(Postive)或者負(fù)類(Negative). 但是實(shí)際中分類時(shí), 會出現(xiàn)4種情況:

(1) 真正類(True Positive, TP): 被模型預(yù)測為正類的正樣本.

(2) 假正類(False Positive, FP): 被模型預(yù)測為正類的負(fù)樣本.

(3) 假負(fù)類(False Negative, FN): 被模型預(yù)測為負(fù)類的正樣本.

(4) 真負(fù)類(True Negative, TN): 被模型預(yù)測為負(fù)類的負(fù)樣本.

1) 正確率(Accuracy)

正確率是我們最常見的評價(jià)指標(biāo), Accuracy =(TP+TN)/(P+N), 這個(gè)很容易理解, 就是被分對的樣本數(shù)除以所有的樣本數(shù), 通常來說, 正確率越高, 分類器越好.

2) 錯誤率(Error Rate)

錯誤率則與正確率相反, 描述被分類器錯分的比例, Error Rate = (FP+FN)/(P+N), 對某一個(gè)實(shí)例來說,分對與分錯是互斥事件, 所以 Accuracy =1 –Error_Rate.

3) 精度(Precision)

精度是精確性的度量, 表示被分為正例的示例中實(shí)際為正例的比例, Precision=TP/(TP+FP).

4) 召回率(Recall)

召回率是覆蓋面的度量, 度量有多個(gè)正例被分為正例, Recall=TP/(TP+FN)=TP/P=Sensitivity.

5) 靈敏度(Sensitivity)

靈敏度是將正樣本預(yù)測為正樣本的能力, Sensitivity=TP/(TP+FN), 可以看到召回率與靈敏度是一樣的.

6) 特異度(Specificity)

特異度是將負(fù)樣本預(yù)測為負(fù)樣本的能力, Specificity=TN/(TN+FP).

7) ROC曲線

ROC (Receiver Operating Charateristic): ROC的主要分析工具為畫在R O C空間的曲線, 橫軸為1–Specificity, 縱軸為 Sensitivity. 在分類問題中, 一個(gè)閥值對應(yīng)于一個(gè)特異性及靈敏度, 一個(gè)好的分類模型要求ROC曲線盡可能靠近圖形的左上角.

8) AUC面積

AUC (Area Under roc Curve)值指處于ROC曲線下方的那部分面積大小, 一個(gè)理想的分類模型其AUC值為1, 通常其值在0.5至1.0之間, 較大的AUC代表了分類模型具備較好的性能[18].

3.1 實(shí)驗(yàn)過程

本次實(shí)驗(yàn)選取了552個(gè)正常樣本和475個(gè)惡意樣本作為實(shí)驗(yàn)的樣本數(shù)據(jù)集, 為了避免數(shù)據(jù)的不均衡性,正常樣本分別從木螞蟻安卓市場(http://www.mumayi.com/)和安卓市場(http://apk.hiapk.com/)分類別通過自己編寫的爬蟲程序抓取, 包括影音、生活、社交、教育、購物等多個(gè)應(yīng)用類別. 而475個(gè)惡意樣本則來自于https://virusshare.com/國外一個(gè)共性病毒庫網(wǎng)站上所收集的惡意軟件樣本集, 通過發(fā)郵件聯(lián)系管理員注冊接收邀請獲得樣本來源. 在分類算法的選擇上, 使用基礎(chǔ)分類器NB (NaiveBayes)、IBK (KNNN=1)、MP(MultilayerPerceptron)、J48、ZeroR五種分類器進(jìn)行分類, 特征采用10折交叉檢驗(yàn)來評估模型. 其中ZeroR分類器作為基分類器基準(zhǔn)衡量其它分類器效果.

3.2 實(shí)驗(yàn)結(jié)果

步驟1. 只選取權(quán)限特征集permission進(jìn)行訓(xùn)練,此時(shí)樣本數(shù)據(jù)為24×1027維向量, 其中23維為前文所述正常和惡意樣本的組合權(quán)限特征, 另一維為分類屬性, 1027為總樣本數(shù)量(后續(xù)實(shí)驗(yàn)相同), 不經(jīng)過特征屬性選擇, 得到實(shí)驗(yàn)結(jié)果如表3所示.

表3 五種分類算法檢測結(jié)果(permission)

步驟2. 對權(quán)限特征集進(jìn)行特征屬性篩選(InfoGainAttributeEval Ranker -T 0.0 -N -1)得到權(quán)限優(yōu)化特征集permissionInfoGain, 此時(shí)數(shù)據(jù)集為17×1027向量, 其中16維為經(jīng)過信息增益算法得到各特征風(fēng)險(xiǎn)性評分篩選出的權(quán)限特征如圖4所示, 所得實(shí)驗(yàn)結(jié)果如表4所示.

表4和表3實(shí)驗(yàn)結(jié)果對比可知, 將權(quán)限特征集用信息增益選擇算法進(jìn)行預(yù)處理之后, 雖然整體的正確率沒有明顯的改善, 但是ROC Area有明顯提高, 而分類器中ROC指標(biāo)對分類器預(yù)測準(zhǔn)確性具有重要意義,故對權(quán)限作預(yù)處理對分類效果改善具有促進(jìn)作用.

圖4 權(quán)限特征信息增益結(jié)果

表4 五種分類算法檢測結(jié)果(permissionInfoGain)

步驟3. 對高危API特征集API41, 此時(shí)樣本數(shù)據(jù)為42×1027向量, 其中41維為前文所述的41種高危API, 1027為總樣本數(shù)量, 利用上述5種算法進(jìn)行實(shí)驗(yàn),得到實(shí)驗(yàn)結(jié)果如表5所示.

表5 五種分類算法檢測結(jié)果(API41)

步驟4. 將權(quán)限和API特征集permission-API組合至至一起進(jìn)行實(shí)驗(yàn), 此時(shí)樣本數(shù)據(jù)為58×1027向量, 其中57維為16種權(quán)限和41種高危API的組合, 102為總樣本數(shù)量得到實(shí)驗(yàn)結(jié)果如表6所示.

表6 五種分類算法檢測結(jié)果(permission-API)

據(jù)上述4張表的結(jié)果均可以看出, 選擇NB、IBK、MP、J48四種分類器效果均比基分類器ZeoR效果好, 說明上述實(shí)驗(yàn)結(jié)果是有實(shí)際意義的. 同時(shí)將表3和表5的實(shí)驗(yàn)結(jié)果與表6的實(shí)驗(yàn)結(jié)果對比可以看出, 將權(quán)限和高危API進(jìn)行聯(lián)合檢測比單獨(dú)使用權(quán)限(permission)特征和高危API特征進(jìn)行檢測的模型有較高的檢測率和準(zhǔn)確率. 故后續(xù)實(shí)驗(yàn)過程中選擇經(jīng)過預(yù)處理的權(quán)限特征和API組合成整體特征集進(jìn)行訓(xùn)練具有實(shí)際意義.

3.3 結(jié)果比較

為了評估本方案的有效性, 本文將提出的方法與近年來的相關(guān)工作進(jìn)行對比, 魏理豪、艾解清等人[5]2016年提出了將Android權(quán)限、敏感API調(diào)用、MD5等特征進(jìn)行分析處理, 共同協(xié)作完成對Android應(yīng)用程序的安全檢測. 如表7所示是其實(shí)驗(yàn)結(jié)果.

由表7結(jié)果與本方法中表6中所得到的實(shí)驗(yàn)結(jié)果對比可知, 在所選取的分類算法大體相同的情況下, 本文選擇較少的特征得到較好的檢測準(zhǔn)確率, 稍顯優(yōu)勢.

4 實(shí)驗(yàn)分析

由于在weka中得到的ROC曲線圖不夠清晰而且無法導(dǎo)出, 因此通過result對象得到TP Rate和FP Rate數(shù)組, 利用SPSS軟件繪制了其ROC曲線圖. 圖5、圖6和圖7分別是根據(jù)上述實(shí)驗(yàn)結(jié)果畫出的ROC曲線.

從上述ROC曲線圖中可以看出, 當(dāng)選擇單獨(dú)權(quán)限和API特征時(shí), IBK和J48分類器分類效果明顯好于其他兩類分類器, 而將兩特征結(jié)合起來時(shí),Multilayer Perceptron分類效果優(yōu)于另外三種分類器.

圖6 permissionInfoGain ROC曲線

圖7 permission-API ROC曲線

5 結(jié)論

當(dāng)我們生活越來越依賴手機(jī)時(shí), Android平臺安全問題也越來越受大眾關(guān)注. 而現(xiàn)有的安全防護(hù)軟件缺乏對未知惡意軟件的檢測, 故針對Android移動平臺惡意軟件進(jìn)行快速有效的分析檢測成為當(dāng)務(wù)之急, 本文提出的將權(quán)限和API特征結(jié)合起來對APK進(jìn)行靜態(tài)檢測過程只是作為設(shè)計(jì)與開發(fā)的安卓惡意軟件防御與檢測系統(tǒng)中的一部分, 后續(xù)會將這部分功能嵌入至自己開發(fā)的系統(tǒng)中使其能實(shí)現(xiàn)完整的檢測與防御功能,使惡意行為能防患于未然. 但是本文提出的方案還存在一些待改進(jìn)的地方: 如在特征集預(yù)處理過程中利用多種預(yù)處理算法選取子特征集后進(jìn)然后比較各分類器的準(zhǔn)確率, 樣本集數(shù)量不夠多也不夠均衡, 如果收集更多的樣本進(jìn)行訓(xùn)練可能會得到更好的分類效果. 后續(xù)將會在更大的樣本空間及提取不同的靜態(tài)特征上進(jìn)行檢測研究, 提高分類器的檢測率及準(zhǔn)確率.