Android是由Google公司以及开放手机联盟于2007年领导以及开发的一种基于Linux的自由及开放源代码的操作系统,它被广泛使用于移动设备。第一部Android智能手机发布于2008年10月,随后,Android逐渐扩展到平板电脑以及其他领域上,如数码相机、电视、游戏机、智能手表等。相比于传统的塞班(Symbian)移动操作系统,Android具有以下3个优点:(1)开源性,开源的代码库、免费的开发软件、社区、第三方开源共享等特点吸引越来越多的Android系统开发者,在带来巨大的竞争的同时也使得Android系统在开放的平台中显得日益成熟。(2)丰富的硬件选择性,由于其开源性,很多厂商为了吸引更多的用户,对Android系统加以改造,推出功能特色各具的各种产品,而不会影响到数据同步、软件兼容等功能,从而不断丰富用户体验。(3)百万级别app应用市场,无论国内国外均有能够为用户提供各种丰富app下载的Android应用市场,例如官方的GooglePlay1),第三方市场安智2)等。截至2018年8月,Google Play上可供下载应用数量超过280万款,总下载量近3300亿次。以上优点使得Android迅速成为了最流行的移动操作系统。根据研究公司Gartner提供的数据,在2018年第一季度,Android已经占据了85.9%的移动操作系统市场份额。
然而,Android的开源性以及流行性也使它成为了97%恶意软件的主要攻击目标,现如今各大平台市场上充斥着各种各样的恶意软件。根据360公司2017年Android恶意软件年度专题报告,2017年全年,360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个,平均每天新增2.1万个5)。从用户感染恶意软件情况看,2017年Android用户感染恶意软件数量为2.14亿。除此之外,根据Wang等[1]在16个中国安卓市场以及GooglePlay官方市场上共计600万应用的大规模分析结果,中国安卓市场上大约12.30%的app被至少10个反病毒引擎报告为恶意,即使是GooglePlay官方市场,这一数据仍可达2.09%。恶意软件的快速增长给移动智能手机用户带来了巨大的危害,包括资费消耗、隐私窃取以及远程控制等。资费消耗主要是针对手机用户的资费,强行定制服务并从中牟利。隐私窃取主要实现短信、通讯录和通话记录的获取,定位以及拍照等功能,收集用户的隐私数据、社交数据以及设备数据。远程控制主要是使用http协议接收C&C(command-and-control)服务器的控制指令实现指令操纵、信息回传以及本地恶意代码更新等。
由此可见,深入研究移动应用的安全问题对智能手机生态圈的健全发展具有重要意义。近些年移动恶意软件检测技术的快速发展使其迅速成为了学术界软件安全领域中的热点问题,并已有大量优秀的相关研究成果发表于顶级的国际会议和期刊上,如ICSE会议[2∼4]、FSE会议[5]、ASE会议[6,7]、S&P会议[8]、SECURITY会议[9∼11]、CCS会议[12∼14]、NDSS会议[15∼17]、TIFS期刊[18∼20]等。目前针对Android安全研究进行相关综述的有2018年Liu等[21]在软件学报上发表的“软件与网络安全研究综述”,2016年Qing[22]在软件学报上发表的“Android安全研究进展”,以及2014年Zhang等[23]在计算机研究与发展上发表的“Android安全综述”。但是Liu等[21]主要从恶意软件、软件漏洞以及软件安全机制3个方面进行综述,其针对移动恶意软件的检测方法部分缺乏更详细的归纳总结。而Qing[22]以及Zhang等[23]主要从Android体系结构以及安全机制等面临的威胁出发探讨了Android安全的研究现状,其发表时间较早,缺乏近些年新型移动恶意软件检测技术的讨论分析。因此本文综述了近些年的恶意软件检测所使用的数据集信息以及相关技术,针对该技术进行了归纳总结,全面比较和分析了不同技术的优缺点。最后,结合我们自身在恶意软件检测方面的研究基础对未来的研究方向和面临的挑战进行了探索。
本文结构如下: 第 2 节对恶意软件检测相关定义以及所遇到的主要挑战进行了介绍;第 3 节介绍现有的恶意软件数据集;第 4 节介绍基于特征码的恶意软件检测方法;第 5 节介绍基于机器学习的恶意软件检测方法;第 6 节介绍基于行为的恶意软件检测方法;第 7 节探讨了恶意软件检测所遇到的一些新问题以及未来的研究方法;最后第 8 节总结了全文。
一、恶意软件检测的问题与挑战
1.1 分析对象
恶意软件。本文从恶意行为的实现过程将恶意软件分为两大类:(1)一类是指在Android系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,它们通过破坏软件进程实施控制。该类恶意软件由恶意制作者具有特定目的地完成并可以自行完成恶意行为,从而对用户直接造成经济损失或隐私泄露。例如近些年Android平台上出现的挖矿木马程序,该木马指在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序,仅在2018年1月被检测出的挖矿木马约有400个6)。(2)另一类是指由正常开发者自主完成的程序,该类程序并不会直接对用户造成危害,但是其自身存在漏洞或者缺陷,从而会被第一类恶意软件所利用,导致用户的隐私和财产间接受到威胁。例如文献[24]中发现的一款名为Qunar的应用(37000000+下载量)在用户付账时使用了不安全的SSL方法来传输账户相关信息,该缺陷的存在可能会被其他恶意软件加以利用从而造成巨大的经济损失,因此该类应用的安全问题也是目前主要的分析对象。
恶意家族。同一个恶意家族中的样本完成相似的恶意行为,并且大部分新截获的恶意样本是已有家族样本的变种。例如plankton家族,它的首个家族成员出现在2011年,但目前仍是传播范围最广的Android恶意软件之一[25]。即使是在官方Android应用程序商店GooglePlay,plankton恶意代码也出现在为数众多的应用程序中,其家族成员主要为不同版本的广告软件,主要恶意行为是在手机中下载不需要的广告或更改移动设备的浏览主页,或添加新的快捷方式与书签。近些年,已有工作发现将新检测的恶意样本划分至其相应的家族并在每个家族中选择代表性样本供安全人员进行进一步地详细分析可以大大减小安全人员的工作量[26∼28],因此恶意家族识别也成为了现如今恶意软件检测中的主要研究问题之一。
2.2 面临的挑战
(1)恶意代码形态多样化。为了绕过现有的恶意软件检测技术,恶意代码制作者会通过不断修改恶意软件源码制造出多种类型变种。文献 [8] 中研究结果表明 86% 的恶意软件是通过重打包方式制作而成, 即通过将恶意加载代码植入到原 app 的 Dalvik 代码中, 然后通过重新打包并上传至 app 市场上吸引用户免费下载。同一个家族中的恶意加载代码部分由于制作者的不断修改, 其相同的恶意行为会具有不同的代码实现方式。
………………
安卓恶意软件检测方法综述 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/UWC8U7Yo3vA 提取码: 4ea8