Android组件间通信的安全缺陷静态检测方法

针对Android应用程序的组件间通信存在使用隐式Intent有可能引发组件劫持和信息泄露,而公开组件又存在权限泄露的安全风险问题,提出了一种Android组件间通信的安全缺陷静态检测方法.首先,静态分析应用程序,获得其控制流程图(CFG)、函数调用图(FCG)和组件调用图(CCG);然后,检测出潜在的危险组件、隐式Intent以及隐私泄露路径;最后,用该方法对20款流行的Android应用软件进行检测.结果显示:这些应用软件全部使用了隐式Intent,25%使用了动态代码,80%存在危险组件,40%存在隐私泄露.     

多上下文特征的Android恶意程序静态检测方法

提出一种基于多上下文特征的Android恶意程序检测方法,将敏感权限、广义敏感应用程序接口(API)和敏感系统广播三类敏感资源作为原始特征,并与其发生的上下文相结合形成程序特征,区分应用程序的良性和恶意行为.构造了基于回调函数的过程间控制流图,并定义了一组过滤压缩规则.用该方法对4 972个应用程序进行检测分析,结果表明:随机森林算法在本文的特征集上表现效果最佳,准确率为95.4%,召回率为96.5%,本文方法比其他方法的检测效果更优.     

一种Android应用程序隐私数据泄露检测方法

提出一种基于扩展权限组合的Android应用程序隐私数据泄露检测方法。首先扩展Kirin安全规则集,然后从源代码层和字节码层分别提取Android应用程序申请的危险权限组合,最后动态检测是否存在隐私数据泄露的情形,并开发了支持工具DroidProtector。采用一组Android应用程序进行实验评估,结果表明,该方法能检测出更多类型的隐私数据泄露问题,DroidProtector在大幅度提高隐私数据泄露检测有效性的前提下仅引入了较小的性能开销。     

Android系统中恶意代码的动态检测技术研究

随着手机普及程度的日益提高,人们对智能手机的依赖性加重,手机的安全性问题变得愈加突出.根据Android安装包(APK)文件的权限调用和Android系统的应用程序接口(API)函数调用情况,设计了一种基于API拦截技术的检测恶意代码的动态检测方法.实验结果表明,该方法可以有效检测并报告Android系统中的恶意代码.     

基于逆向工程的Android应用漏洞检测技术研究

Android应用程序面临着各种各样的安全威胁,针对如何在黑客利用Android程序漏洞攻击前发现潜在漏洞的漏洞检测技术研究,提出了一种基于APK逆向分析的应用漏洞检测技术.在逆向反编译APK静态代码的基础上,运用特征提取算法将smali静态代码解析转换为函数调用图作为特征来源,建立原始特征集合提取模型,继而通过改进ReliefF特征选择算法对原始特征集合进行数据降维,提取APK包中的漏洞特征向量,依次构建漏洞的检测规则.再结合Android漏洞库收录的漏洞特征对特征向量进行正则匹配,以挖掘其中潜在的安全漏洞.基于该检测方法实现了系统模型并进行对比性实验,实验结果表明此检测方法的漏洞检出率达91%以上.因此,该漏洞检测技术能够有效挖掘Android应用中常见的安全漏洞.     

基于图注意力网络的安卓恶意软件检测

安卓恶意软件的爆发式增长对恶意软件检测方法提出了更高效、准确的要求.早年的检测方法主要是基于权限、opcode序列等特征,然而这些方法并未充分挖掘程序的结构信息.基于API调用图的方法是目前主流方法之一,它重在捕获结构信息,可准确地预测应用程序可能的行为.本文提出一种基于图注意力网络的安卓恶意软件检测方法,该方法通过静态分析构建API调用图来初步表征APK,然后引入SDNE图嵌入算法从API调用图中学习结构特征和内容特征,再通过注意力网络充分融合邻居节点特征向量,进而构成图嵌入进行检测任务.在AMD数据集上的实验结果表明,本文提出的方法可以有效检测恶意软件,准确率为97.87%,F1分数为97.40%.     

基于API调用分析的Android应用行为意图推测

围绕移动应用程序的用户行为意图分析,结合后台应用程序接口(application program interface,API)调用和前台应用图形用户界面(graphic user interface,GUI)状态,该文提出一种在移动应用(App)运行时产生的多元时间序列数据上识别应用行为模式的方法,给出一个包括Android应用程序静态预处理、动态监控运行和行为意图推测3阶段的不良应用程序用户行为推测框架。介绍了基于Android平台API调用分析的应用行为意图动态推测系统原型实现技术,选取代表性应用案例验证了该文提出的不良行为模式识别算法的有效性,并通过实际应用剖析了基于API调用分析推测用户行为的实用性。     

基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.     

一种分析系统调用序列的入侵检测系统设计与实现

结合程序局部性原理,提出系统调用序列中位置间的相关度定义.利用相关度给出了实际系统调用序列与正常系统调用序列间的模糊匹配方法,利用该方法判断应用程序运行状况,进行入侵检测.给出了一个采用该方法的主机入侵检测系统,说明了其整体结构设计、模块间调用关系、模块设计原理、模块实现方法及用于验证该入侵检测系统的实验环境.通过实验结果验证了检测方法是有效的.     

基于融合节点序列信息的漏洞同源性判别

软件漏洞是信息系统面临的主要安全威胁之一,而软件大多数以二进制形式存在,研究有效的二进制程序函数漏洞同源性判别方法,挖掘应用程序中已披露漏洞的同源漏洞,对于提高软件系统安全性具有重要意义。针对现有二进制程序函数漏洞同源性判别方法存在的忽略控制流图节点序列信息的问题,提出了一种融合节点序列信息的漏洞同源性判别方法。该方法提取二进制程序函数的控制流图,利用特征工程及Structure2vec网络将其转化为属性控制流图节点的向量表示,通过长短期记忆网络提取节点序列特征,对节点向量进行聚合得到函数向量表示,结合孪生神经网络计算余弦距离判别可疑函数。实验结果表明,该方法能够全面提升二进制程序函数漏洞同源性判别效率和查全率。     

基于双通道的智能合约漏洞检测方法

智能合约因漏洞而造成巨大的经济损失受到了广泛关注。针对现有的智能合约漏洞检测方法检测精度不高的问题,结合动态卷积神经网络(dynamic convolution neural network,DCNN)、双向门控递归单元(bidirectional gate recurrent unit,Bi GRU)、图传递神经网络(message passing neural network,MPNN)、注意力机制提出了基于双通道的漏洞检测方法DBTA(DCNN-BiGRU-MPNN-Attention)。首先利用Word2vec词嵌入技术和图归一化方法对数据进行预处理,将获得的词向量表示传入改进DCNN-BiGRU,并引入了R-Drop(regularized dropout for neural networks)正则化方法提高模型泛化能力。将图归一化表示传入图传递神经网络,通过两个通道分别提取序列特征和图特征,然后结合自注意力机制和交叉注意力机制捕捉不同特征间的相关性,从而突出关键特征对漏洞检测的重要性。最后通过全连接层得到输出向量,利用sigmoid函数输出结果。通过消融实验和对比实验表明...     

基于API序列特征和统计特征组合的恶意样本检测框架

针对恶意样本行为分析,该文提出了一种组合机器学习框架,首先对应用程序编程接口(application programming interface,API)序列中调用的依赖关系进行功能层面上的分析,提取特征,使用随机森林进行检测;其次利用深度学习中的循环神经网络处理时间序列数据的特性,在冗余信息预处理的基础上,直接对序列进行学习和检测;最后对2种方法进行了组合。在恶意软件样本上进行的实验结果表明:2种方法均可有效检测恶意样本,但是组合学习的效果更优,AUC(area under the curve of ROC)达到99.3%,优于现有的类似研究结果。     

基于函数调用图分析的NGB TVOS恶意应用检测方法

TVOS是我国自主研发的新一代具有自主知识产权、可管可控、安全高效的智能电视操作系统.TVOS自带应用商店是TVOS应用安装的唯一途径,但也对应用的检测提出了更高的要求.与Android应用不同,TVOS应用中很多权限和硬件调用均不涉及.采用函数调用图作为特征来弥补权限、API调用等在TVOS应用上表征能力上的不足的缺点.该方法采用基于核函数的分析方法和基于图相似度算法的分析方法提取TVOS应用的结构信息作为特征,使用SVM、RF、KNN 3种机器学习算法进行训练和分类.实验结果表明:所提出的基于函数调用图分析的NGB TVOS恶意应用检测方法能有效地检测出TVOS中的恶意应用,检测率最高达98.38%.     

基于动态污点跟踪的敏感文件泄露检测方法

为了解决网络应用程序引起的服务器敏感信息泄露问题,提出了基于动态污点跟踪的敏感文件泄露检测方法.该方法先标记敏感文件的读写缓冲区为污点源,然后实时跟踪文件缓冲区的处理流程,监测污染源是否传播到其他内存位置,或者写入其他文件.最后检测发送缓冲区是否包含污点数据,以确定是否发生敏感文件的泄露.实验结果表明:提出的方法不仅能够监控用户指定的敏感文件,还能防止应用程序将敏感信息写入其他文件或者发送到网络上.     

动静结合的二阶SQL注入漏洞检测技术

为了有效检测应用中的二阶结构化查询语言(SQL)注入漏洞,提出一种动静结合的检测方法.通过静态分析获取持久存储信息,解决动态分析无法处理的Web应用多阶段间逻辑联系问题.通过动态分析获取元数据,解决静态分析无法定位污点信息持久存储位置的问题.通过模糊测试验证疑似漏洞,降低误报率.实验结果表明:该检测方法能够有效检测应用程序中存在的二阶SQL注入漏洞;相比于传统静态分析,检测精度高、误报率低;相比于传统动态分析,实现对多阶漏洞的检测,优于已有二阶SQL注入漏洞检测技术.     

基于状态机的移动应用越权访问漏洞检测方法

为了解决移动应用平台缺乏权限验证所导致的越权访问问题,研究了一种基于状态机的移动应用越权访问漏洞检测方法。该文为不同角色的用户分别建立各自的有限状态机,并合成出移动应用的完整状态机。在此基础上,通过对完整状态机中的每个请求进行动态重构和执行结果分析实现越权访问漏洞的高效完备测试。选择企业内部移动应用进行实验,结果表明该方法能发现了隐藏的越权访问漏洞。检测方法能被用于准确地识别出越权访问漏洞。     

基于语义API依赖图的恶意代码检测

传统的恶意代码动态分析方法大多基于序列挖掘和图匹配来进行恶意代码检测,序列挖掘易受系统调用注入的影响,图匹配受限于子图匹配的复杂性问题,并且此类方法并未考虑到样本的反检测行为,如反虚拟机.因此检测效果越来越差.本文设计并提出一种基于程序语义API依赖图的真机动态分析方法,在基于真机的沙箱中来提取恶意代码的API调用序列,从而不受反虚拟机检测的影响.本文的特征构建方法是基于广泛应用于信息理论领域的渐近均分性(AEP)概念,基于AEP可以提取出语义信息丰富的API序列,然后以关键API序列依赖图的典型路径来定义程序行为,以典型路径的平均对数分支因子来定义路径的相关性,利用平均对数分支因子和直方图bin方法来构建特征空间.最后采用集成学习算法-随机森林进行恶意代码分类.实验结果表明,本文所提出的方法可以有效分类恶意代码,精确度达到97.1%.     

云端Web服务器敏感数据保护方法研究

该文针对云端Web服务器因被入侵而导致敏感数据泄露的问题提出了新的云端Web服务器敏感数据保护方法——SDPM(sensitive data protection method)。该方法利用云端虚拟化技术的特性,结合数据加密和隔离执行的思想,分别从传输和处理两方面保证敏感数据的安全。该文采用基于数据流追踪的敏感逻辑动态识别技术和基于虚拟化的敏感操作隔离执行技术,基于PHP内核和Xen Hypervisor对SDPM进行实现。该文针对6个开源PHP应用进行实验。结果表明:应用中敏感逻辑所占比例小于2%,在隔离执行敏感逻辑的情况下运行相关页面的防护开销小于40%。该文提出的SDPM方法可保证云端Web服务器在被入侵后仍无敏感信息泄露。     

基于系统调用的安卓恶意应用检测方法

针对恶意应用静态检测方法精度低的问题,以安卓(Android)应用运行时产生的系统调用为研究对象,提出1种恶意应用动态检测方法。将Android移动应用在沙盒环境下通过事件仿真获得的系统调用序列进行特征化,设计了基于系统调用次数和基于系统调用依赖图的2种特征表示方法。采用集成学习方法构建分类器,区分恶意应用和正常应用。采用来自于第三方应用市场的3 000个样本进行了实验验证。结果表明,基于系统调用依赖图的特征表示方法优于基于系统调用次数的特征表示方法,采用集成分类器具有较好的检测精度,达95.84%。     

命令式语言的精确约束时间分析

构造程序语言的部分计值器时最重要的一步是约束时间分析。当已知程度的部分输入时,约束时间分析阶段是区分程序中哪华计算可在部分计值时完成,哪些计算须在运行时完成,然而对实际应用程序,已存在的部分计值器并没有较好对程序进行优化得到执行效率高的剩余程序,其主要原因是对程序没有精确提取约束时间分析信息。该文作者应用与前人不同的方法,将约束时间分析分为3个阶段：约束时间、递归调用分析、相关性分析,通过各阶段分析以提取更精确的约束时间分析信息,从而得到高效率的剩余程序。此外,该文提供了相应程序变换规则,分析各个程序的子结构模块,在例化时完成相应计算并生成剩余程序。