基于Android签名及敏感权限分组的安全检测系统

基于Android的系统架构和安全机制,设计并实现了用于检测手机恶意应用App的系统.此系统通过对Android应用程序APK文件的签名及敏感权限分组的检测,有效判定恶意应用意图,排除安全隐患,从而保护用户权益.     

基于朴素贝叶斯的Android软件恶意行为智能识别

针对Android系统提供的基于应用权限授权的安全管理机制粒度较粗,并且一旦用户对应用软件授权即无法更改或追踪权限使用的问题,提出了一种基于朴素贝叶斯的Android软件恶意行为识别方法.该方法综合考虑软件运行时的用户操作场景和用户行为习惯以及软件权限等特性,抽取软件是否为系统应用、权限使用时是否有用户操作、软件是否申请了过多的权限、是否存在敏感权限组合、权限的使用是否存在突发性等作为分类属性,并通过对Android安全框架的扩展,实现了对恶意行为的实时分析和处理.实验结果表明,所设计和实现的Android软件恶意行为智能识别技术具有较高的识别率和较低的误报率,并且对系统性能的影响较小,可以有效增强Android系统的安全性.     

Android恶意广告威胁分析与检测技术

Android第三方广告框架应用广泛,但Android系统漏洞和Android第三方广告框架的逻辑缺陷严重威胁着Android市场安全。攻击者可以通过恶意广告获取敏感数据、触发敏感操作,甚至是以应用程序的权限执行任意代码。该文总结了4种Android恶意广告攻击方式,并针对这4种方式设计了一种基于后向切片算法和静态污点分析的Android第三方广告框架静态测量方法,以及一种基于API Hook和靶向API Trace的Android恶意广告敏感行为动态检测方法。基于以上研究,该文设计并实现了Android恶意广告威胁分析与检测系统,通过实例证明该系统能够有效地分析Android第三方广告框架可能存在的安全隐患,并能够动态检测Android恶意广告的敏感行为。     

Android安全机制分析与解决方案初探

Android是Google公司推出的手机操作系统。由于其开源、可编程软件框架、网络化设备的性质,Android易受到智能手机病毒的攻击。从Linux机制、Android特有的安全机制、其它保护机制三个层次全面深入地分析了Android OS保护手机安全的机制原理。Android设备在正常状态下是受到严密保护的,但攻击者很有可能找出某个内核模块或核心库的弱点,进而获得最高访问权限,进行攻击。所以,为进一步强化Android设备的安全性,使其能够妥善处理高风险性的威胁,研究了基于主机的入侵检测系统(HIDS)和SELinux(Security-Enhanced Linux),分别用于检测恶意软件和加强系统底层访问控制。     

Android智能手机入侵检测系统设计

随着智能手机变得越来越复杂,功能越来越强大,给用户提供更多方便的同时也给用户带来了很多安全隐患。本文首先分析了Android智能手机所面临的安全问题,之后提出Android平台手机上的入侵检测系统,能及时有效的检测到入侵攻击,减轻恶意木马对用户造成的危害,大大改善用户体验。     

基于特征分析Android恶意应用检测方法的研究

Android是目前广泛应用的移动操作系统,也是恶意软件首选的攻击目标。为了在恶意应用发布和攻击用户前将其分析、识别出来,文中提出了一种动态检测Android应用是否具有恶意行为的方法,该方法基于及其学习和对Android API调用和系统调用痕迹的特征提取,最终能够得到96%的检测率。     

一种针对Android系统隐私保护机制有效性的评估方法

为了保护用户的隐私数据,Android实现了一套基于权限的安全机制.为此设计了一种针对该机制的评估工具PrivacyMiner,以检测其在隐私保护方面的有效性.首先将Android系统中的隐私数据分为22个类别;然后使用动态检测与静态污点分析相结合的方法,来检测Android系统的安全机制是否能有效地保护它们.用PrivacyMiner工具对12个版本的Android源代码进行了检测,发现其中有7个类别的隐私数据并没有得到有效的保护,恶意软件可以在用户不知情的情况下读取这些隐私,并发送到任意服务器上.这些漏洞在6个Android设备上得到了验证,从Android2.1到最新发布的Android 4.4.2,均得到了Android安全团队的确认.     

一种基于权限的安卓恶意软件检测方法

针对基于特征代码的Android恶意软件检测方法难以检测未知恶意程序,且基于行为的检测方法误报率较高的问题,提出了一种基于权限的Android恶意软件检测方法.该方法首先在静态分析的基础上,结合动态行为分析提取权限特征;然后,采用权限特征关联分析方法,挖掘权限特征之间的关联规则;最后,基于朴素贝叶斯分类算法,建立恶意应用检测模型.实验结果表明,与现有方法相比,本文方法建立的恶意应用模型具有较高的检测率和准确率.     

基于HTM算法的恶意Android应用检测

随着互联网用户从传统PC端到移动端的转换,移动安全受到越来越多的关注。为了提高对未知恶意移动应用的检测效率,针对传统检测对引入多态和变形技术的恶意应用检测能力较差的问题,提出了一种基于HTM算法的恶意Android移动应用检测方法。该应用检测包含针对Android应用Dalvik指令特点的特征提取、采用信息增益的方式进行特征选择与融合,并利用HTM算法进行序列模式训练和推导,然后将测试样本特征提取与融合后的结果输入到完成训练的HTM网络中,达到检测恶意应用的目的。实验仿真表明,所设计的恶意应用检测方法的检测率接近100%,检测效率高,误报率0.08%。相较于其他算法,提出的恶意检测方法的检测率、误报率、分类准确率均更优,并能应用于不同类型的恶意应用,但训练和测试时间较长。     

基于沙盒的Android应用风险行为分析与评估

Android是移动领域市场占有率最高的操作系统,其开源的系统、海量的应用使得Android的用户量与日俱增,因此Android的安全问题受到业界的高度重视和广泛关注,特别是Android设备上大量涌现的恶意应用,已成为Android生态圈发展所面临的重大问题。该文基于Android4.1.2设计并实现了一个沙盒,能够对Android系统中应用的行为进行动态监视和记录;提出了一种基于行为分析的应用风险评估方法,以便用户对相关应用的风险有一个明确的预判,从而提高和保障用户的安全;通过对恶意应用和正常应用的样本分别进行实验和分析,验证了该文所提出方法的有效性。     

Towards fast repackaging and dynamic authority management on Android

In order to enhance the security of Android applications, we propose a repackaging and dynamic authority management scheme based on Android application reinforcement methods.Instead of using root privileges and system modification, we introduce a user-level sandbox, which utilizes the native C-level interception mechanism, to further reinforce the risk applications and improve the entire security of Android system. Additionally, by importing and improving the repackaging features, this proposed scheme reduces the potential risks of applications and achieves the goal of the dynamic monitoring of permissions. Finally, a comprehensive evaluation, including efficiency analysis and detection evaluation with 1 000 malwares, whose overall average success rate is about 96%, shows the feasibility and universality of the proposed scheme.     

一种安卓系统手机恶意软件链接串行联合检测方法

恶意软件链接将给人们的财产甚至生命安全带来极大威胁.为了保障移动终端通信的安全性,提出了一种安卓系统手机恶意软件链接串行联合检测方法,该方法设计了基于域名的黑白名单检测模块、敏感关键词检测模块及基于逻辑回归算法的检测模块.逻辑回归检测模型基于6种链接特征构建;3个检测模块以串行的方式递进工作,一旦得出检测结论即终止本次检测.实验测试结果表明,该方法可有效识别安卓系统手机恶意软件下载链接,检测准确率达98.5%以上;且检测速度较快,一个典型链接的平均检测时间约0.181 s.     

Android系统中恶意代码的动态检测技术研究

随着手机普及程度的日益提高,人们对智能手机的依赖性加重,手机的安全性问题变得愈加突出.根据Android安装包(APK)文件的权限调用和Android系统的应用程序接口(API)函数调用情况,设计了一种基于API拦截技术的检测恶意代码的动态检测方法.实验结果表明,该方法可以有效检测并报告Android系统中的恶意代码.     

基于Android和SQLite的地质数据地图的设计与实现研究

在移动开发平台Android的系统架构基础上,利用SQLite数据库实现通过Google Map Api的导航应用,进行用户自定义地图的图层二次开发,能够给用户提供智能化的地质数据地图导航服务.     

Research on android malware detection and interception based on behavior monitoring

Focusing on the sensitive behaviors of malware, such as privacy stealing and money costing, this paper proposes a new method to monitor software behaviors and detect malicious applications on Android platform. According to the theory and implementation of Android Binder interprocess communication mechanism, a prototype system that integrates behavior monitoring and intercepting, malware detection, and identification is built in this work. There are 50 different kinds of samples used in the experiment of malware detection, including 40 normal samples and 10 malicious samples. The theoretical analysis and experimental result demonstrate that this system is effective in malware detection and interception, with a true positive rate equal to 100% and a false positive rate less than 3%.     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

Linux安全用户管理机制的设计与实现

传统Linux本地用户管理中存在一些安全问题,例如由于用户信息管理由应用层实现,导致密码文件/etc/shadow只能由root访问和修改,为了让普通用户能修改自己的密码等需要特权的操作引入set uid/set gid机制,结果 set uid/set gid程序存在缓冲区溢出漏洞使系统遭受严重安全威胁.为此我们设计出一种新的安全用户管理机制,在内核中管理用户信息,通过系统调用提供用户信息访问和身份切换服务,消除set uid/set gid,简化安全设计,提高系统安全.     

基于遥感的合肥市建成区时空变化分析

通过对恶意代码行为和特征提取技术的分析,提出了基于虚拟环境下实现恶意代码检测的方法,设计了相应的检测系统;利用虚拟化技术,通过Docker容器简化检测环境的配置,增强了代码检测的隔离性、安全性;并建立相应的实验平台开展测试,为检测恶意的网络行为提供了支持。     

一种多层次的自动化通用Android脱壳系统及其应用

为解决Android平台应用程序使用加壳服务后难以进行静态代码分析的问题,研究应用程序自动化通用脱壳技术.在Android Dalvik虚拟机的基础上,设计并实现了一种多层次的自动化通用脱壳系统,提出了多粒度的数据还原方案,保证数据还原的完整性和有效性,能正确还原出加壳应用中被加密的代码内容.实验表明,该系统适用于市面上主流的加壳服务.利用该系统,对市场上被加壳的应用程序进行安全性评估,发现加壳应用比未加壳应用存在更多的安全问题,证明了脱壳系统的实际应用价值.