基于動態(tài)分析的安卓惡意應用檢測系統(tǒng)設計與實現(xiàn).pdf

1、安卓(Android)手機憑借能運行多種多樣的應用比如，社交應用（微博等），手機游戲，以及日常輔助工具（地圖導航等），正在改變人們生活和溝通的方式。
　　隨著Android市場占有率的持續(xù)增加，不法分子開始對Android發(fā)動新的攻擊。他們主要通過篡改流行應用的手段，將不良代碼添加到正常應用中，然后將含有不良代碼的應用通過第三方Android應用市場或者其他網站發(fā)布。目前，Android惡意應用的主要形式為吸取費用，后臺扣費，來竊

2、取用戶財產。除此之外，某些Android惡意應用還會泄露手機中的隱私數(shù)據(jù)（如，手機串碼、位置信息、通話記錄等）。
　　由于基于靜態(tài)分析的檢測方法只能捕獲Android應用的靜態(tài)行為特征、依靠已有的特征庫來檢測Android惡意應用，并不能很好的檢測未知的Android惡意應用。因此，本論文通過對Android應用在運行過程中所具有的兩類不同的動態(tài)行為特征數(shù)據(jù)的采集，即系統(tǒng)調用特征數(shù)據(jù)和網絡流量特征數(shù)據(jù)，通過機器學習的分類算法來學習

3、Android應用的動態(tài)行為特征，實現(xiàn)對Android惡意應用的檢測。為了實現(xiàn)這個目的，本文提出了一種基于雙重檢測的Android惡意應用檢測方法，并設計與實現(xiàn)該方法的原型系統(tǒng)。
　　該系統(tǒng)首先通過系統(tǒng)調用劫持、網絡數(shù)據(jù)表捕獲等技術對Android應用在手機上運行時產生的系統(tǒng)調用數(shù)據(jù)和網絡流量數(shù)據(jù)進行采集，并把采集到的數(shù)據(jù)發(fā)送給云端服務器;其次，云端接收到特征數(shù)據(jù)文件后，使用特征選擇算法來選擇能較好表示Android應用動態(tài)行為的

4、特征數(shù)據(jù);隨后，使用特征選擇算法所選擇的特征數(shù)據(jù)和分類算法來對Android惡意應用進行檢測。在測試階段，本文首先對運行在手機上的系統(tǒng)客戶端的CPU使用率進行了測試，結果表明該客戶端程序在運行時CPU占用率較低不會影響其他應用正常運行。其次，對特征選擇算法和Android惡意應用檢測進行了測試。結果表明，通過特征選擇算法選取的特征能更好的表示Android應用的動態(tài)行為特征，并提高分類算法的準確率，從而使得分類算法能夠更準確的檢測And