Android惡意代碼運行機制研究與預防.pdf

1、隨著科技的發(fā)展和人們生活水平的不斷提高，智能手機也越來越普及。Android系統(tǒng)，憑借它的開放性，贏得了世界廣大手機廠商的青睞，已經成為全球市場份額第一的智能手機操作系統(tǒng)，同時Android平臺上的惡意代碼也飛速增長，尤其隨著移動支付的興起，惡意代碼給用戶造成巨大經濟損失，僅在2014年第一季度就高達7500萬元。因此，研究和預防惡意代碼具有重要意義。
　　目前，Android平臺上的惡意代碼檢測主要是基于行為的動態(tài)態(tài)檢測和靜態(tài)檢

2、測。動態(tài)檢測是指在受控的環(huán)境中運行惡意軟件，并記錄其所有的行為，靜態(tài)檢測是指在不運行惡意軟件的前提下，通過逆向工具獲取其源代碼并進行分析。其中動態(tài)檢測容易漏掉未被觸發(fā)的惡意行為，而傳統(tǒng)的靜態(tài)檢測對惡意代碼變種檢測不足。因此，本文通過分析了近期捕獲的30余種惡意代碼的運行機制，總結出了惡意代碼的行為特征：調用系統(tǒng)敏感API進行惡意行為，從而提出了基于敏感API調用序列相似度匹配的預防方案，有效彌補了傳統(tǒng)靜態(tài)檢測方法的不足。
　　本文

3、首先研究了惡意代碼特征提取技術，敏感API權重分配技術，樣本相似度匹配技術，然后設計出了預防系統(tǒng)AndroidDetection。本預防系統(tǒng)分為客戶端和服務器端，客戶端監(jiān)聽應用程序安裝動作，一旦有應用程序安裝，提示用戶及時進行惡意代碼檢測，并把應用程序APK文件的MD5或者DEX文件發(fā)送到服務器端。服務器端則通過靜態(tài)反編譯手段，以敏感API的調用序列作為特征，采用數據挖掘算法TF-IDF分配權重，通過相似度匹配來檢測用戶安裝的應用程序是