摘要
目前全球已进入移动互联网时代,智能手机的用户量在逐年增加,功能变得越来越强大,已成为一个存储了大量个人隐私信息的设备。应用程序通过调用系统API获取用户的联系人信息、当前所在位置和短信等敏感信息。然而,由于很多应用商店对应用的审核机制不完善,导致了用户隐私泄露的情况时有发生,为了保护用户的隐私以及净化Android平台的环境,对Android平台的恶意程序进行检测是十分有必要的。 恶意Android程序的检测方法有动态检测方法和静态检测方法。动态检测方法是通过代码插桩收集程序运行过程中的特征数据。静态检测方法是对APK文件进行反编译得出源代码并从中提取特征,根据提取到的特征数据建立检测模型。特征数据可以分为两类:一、语法特征:如权限、签名和Intent-action等;二、语义特征:如API调用链。仅提取语法特征进行检测的缺点是需要随着技术的更新来及时更新特征组合,维护特征库需要较大的成本。这种做法的优点是算法复杂度低,检测速度快;仅提取语义特征进行检测的方法的优点是语义特征能够准确反映程序的行为,但是对特征数据的提取和模型训练都有一定的难度。综上,仅提取语法特征或者语义特征的方法都有局限性。 本文提出了一种基于跨组件通信(Inter-Componnet Communication,ICC)的检测方法。提取程序声明的权限和Intent-action作为语法特征。对现有以污点传播路径为语义特征的方法进行扩展,将不同组件内的Source方法和Sink方法对定义为跨组件污点传播路径,并进一步抽象为基于类的路径集合作为新的语义特征,按照它们在不同样本集中出现次数的比例关系进行特征值规范化,采用SVM算法进行分类和检测。针对295个样本的检测结果表明准确率和虚警率均有一定改善。
NETL