一种安卓市场中重包装应用的检测方法

暂无

一种安卓市场中重包装应用的检测方法\n技术领域\n[0001] 本发明涉及智能手机中的恶意软件检测技术，更具体的说，是在安卓（Android）智\n能手机应用市场中检测重包装应用的方法。\n背景技术\n[0002] 以安卓为平台的智能手机安全性令人担忧。自从2008年谷歌正式对外发布第一\n款安卓手机——HTC G1以来，短短4年的时间，安卓手机已经经历了多次的更新换代。安卓\n手机应用市场正以惊人的速度发展着。据科技网站Engadget于2012年2月报道， Android\n市场的应用程序数量已经达到45万。随着安卓手机的市场份额越来越大，安卓手机安全性\n却越来越引人担忧。很多恶意软件制造者瞄准了这一规模庞大的市场，发布各种各样具有\n破坏性的软件。据著名安全厂商McAfee于2012年5月24日发布的《迈克菲2012年第一\n季度威胁报告》显示，在今年的第一季度，McAfee收集到了近7000个Android恶意软件。\n由于有利可图，所以Android平台吸引了大量不法分子编写针对Android平台的恶意软件。\n与2011年第4季度的600个安卓威胁样本相比，环比增长超过1200%。这些恶意软件一般\n通过第三方市场传播，通常不会在官方市场出现。\n[0003] 研发智能手机上的恶意软件检测迫在眉睫。手机恶意软件虽然不会对手机系统造\n成毁灭性的破坏，但从某种程度上来说，危害比电脑病毒还要厉害。手机恶意软件主要有如\n下几种恶意行为：\n[0004] 1. 在后台自动给扣费号码发送短信，赚取经济利润。\n[0005] 2. 拦截短信，不让用户觉察到异常。\n[0006] 3. 后台自动联网，并下载应用软件，耗费大量流量。\n[0007] 4. 读取手机联系人等用户隐私信息，并上传到服务器。\n[0008] 5. 开机自行启动，并不断在通知栏弹出广告，影响用户的正常使用。\n[0009] 可见手机恶意软件的破坏行为直接和经济挂钩。用户如果不提高防范意识，就会\n被“吸”走很多话费和流量。根据“警视”公司的调查报告。在2011年年底，有4%的安卓\n用户很可能在本年中遭遇了恶意软件，而一年前这一数字为1%，恶意软件的破坏性以及传\n播性已经不容小视。因此研发以Android为首的智能手机恶意软件检测的任务迫在眉睫。\n[0010] 安卓应用软件市场上的重包装应用很大程度上是恶意软件。安卓操作系统的开源\n性大大激发了开发者的积极性，给了开发者足够的空间。同时，开源的编程环境也造成了恶\n意软件的滋生。开发商发布软件的平台有谷歌的官方平台和形形色色的第三方平台。国内\n比较著名的第三方市场有优亿市场、安智市场、木蚂蚁市场、360安卓市场、安卓飞鹏网、91\n手机助手等等。由于官方市场的管理比较严格，理论上存在恶意软件的可能性很低。大多\n数的恶意软件存在于第三方市场上。其中很大一部分是官方市场软件的重包装应用。\n[0011] 重包装是指将官方安卓市场上的应用重新打包后发布在第三方市场。它们基于一\n个合法的安全版本，但是因为某种原因，又附加了一些特殊的功能或修改。由于安卓应用程\n序使用的是Linux内核，一般采用Java语言编写。目前java语言的反编译功能比较成熟。\n运用现有的工具，可以实现源代码几乎100%的还原。这使得修改别人的应用程序并添加自\n己的代码成为可能。重包装应用发布一般发布在第三方应用平台，利用这些平台监管的不\n严格，而将带有恶意代码的应用发布上去，给手机用户和原始开发者造成了不应用的损失，\n严重破坏了智能手机应用生态系统。\n[0012] 具体来说，重包装应用可能会带来以下问题：\n[0013] （1）在官方应用中加入恶意代码，例如自动联网，自动发送短信，拦截短信等。这\n些行为大大损害了用户的利益。重包装应用一般选用的是比较热门的手机应用，比如手机\nQQ，愤怒的小鸟等下载量达到几百万的应用。\n[0014] （2）通过替换官方应用中的广告侵害开发者利益。官方应用的开发者可以通过广\n告获取收入。攻击者往往利用这一点，替换掉原始的广告，换上自己的广告，侵害了开发者\n的权益。\n[0015] 目前主流的杀毒软件还没有涉及智能手机重包装应用的检测。目前的杀毒软件主\n要分为静态检测和动态行为检测两种。其中，静态检测的产品数量更多。所谓静态检测，就\n是将恶意软件的特征码提取出来，存放到数据库中。检测新的应用程序的时候，再通过提取\n特征码，并与数据库中的特征码相比较的方式来判断。这种方法可以检测已知的恶意软件。\n对于未知的恶意软件，目前主流的方法是启发式的行为分析法。通过已知恶意软件的特征\n推导未知。但是这些产品主要是针对智能手机上已经安装的应用，无法检测安卓软件市场\n上的重包装应用。\n发明内容\n[0016] 本发明的目的是提供一种安卓平台下应用市场中的重包装应用检测技术,通过\n有效地提取特征码，以及计算特征码之间的编辑距离所得到的相似性来识别重包装应用。\n本发明不仅可以检测到恶意代码的变形攻击，还可以作为检测重包装应用的引擎。由于很\n多恶意软件是通过在官方下载的正常应用程序中植入恶意代码，因此检测出官方应用的重\n包装应用可以作为查杀病毒的一种有效辅助手段。\n[0017] 本发明采用的技术方案：一种安卓市场中重包装应用的检测方法,包括以下步\n骤：\n[0018] （1）从各个安卓应用的dex文件中提取特征码。\n[0019] 在安卓平台上，用户下载的可安装文件一般是以apk文件，类似于Windows操作系\n统中的exe文件，apk文件为手机上的可执行文件。而实际上，apk文件的本质是一个压缩\n文件。把apk文件的后缀名改为zip然后进行解压缩操作。apk文件解压缩之后可以生成\n多个文件，这些文件或多或少都保留了一定的代码特征，然而只有dex文件保留了几乎全\n部的代码特征。因此，特征码的提取选用dex文件比较合适。dex文件有着固定的文件格\n式，通过这些格式可以对每一个安卓应用的dex文件进行详细的分析，包括文件大小，文件\n散列值，文件字符串和类的个数以及具体的内容。对这些内容进行一定的筛选即可得到文\n件的特征码。\n[0020] 作为优选，所述特征码为dex文件中的字符串长度。\n[0021] dex文件包含了文件的几乎全部特征，而为了提高效率。只需要节选文件中的一部\n分作为特征码。可以用class来作为特征码，也可以用method来作为特征码，本发明采用\n的是将字符串的信息作为特征码。用字符串作为特征码的好处很多。首先，这种方法可以\n有效抵御类名的混淆替换攻击。基于很多杀毒软件以class名作为特征码。恶意代码的设\n计人员往往对文件进行伪装，通过代换和置换的方式改变类名，从而逃避杀毒软件的检索。\n而用字符串的方式，如果改变了类名也只能改变部分字符串。调用匹配函数检索的时候，仍\n然可以有很高的匹配率。\n[0022] 对于大型的文件来说，以所有的字符串作为特征码，虽然可以很好的区分不同的\n文件，但对于特征码检测来说，工作量过于庞大，程序运行效率很低。因此，本发明采取了一\n种变通的方式，以所有字符串的长度按顺序组成特征码。字符串的长度可以用相邻两个字\n符串的首地址相减得到，这样大大减少了特征码的长度，提高了重包装应用的检测效率。\n[0023] （2）计算各个安卓应用的特征码之间的编辑距离。\n[0024] 特征匹配是恶意代码检测的一个重要环节。匹配的度量方法有多种，通常把两段\n文本之间的差异称作距离，也就是将两段文本变成一致所需要的最少操作次数。常见的\n度量方法有汉明距离(Hamming Distance)，插入距离(Insertion Distance)和编辑距离\n（Edit Distance）。汉明距离仅允许替换操作，插入距离仅允许插入操作，而编辑距离将插\n入，替换，删除均视为一次操作。本发明采用字符串之间的编辑距离，并在此基础上提出了\n安卓应用之间相似度的计算方法。\n[0025] 编辑距离的计算采用如下的动态规划算法。设字符串为A和B，用一个矩阵M来表\n示A与B的编辑距离，其中Mij表示的是字符串A的前i个字符变成字符串B的前j个字符\n所需的最少编辑操作次数。算法如下：\n[0026] 1）分别计算字符串A和字符串B的长度，记为length1和length2。\n[0027] 2）判断length1和length2是否为0，若有一个为0，则返回另一个字\n符串的长度。若两个长度都为0，则返回0.若两者都不为0，则构建一个大小为\n(length1+1)*(length2+1)的矩阵M。M的行和列的编号均从0开始。\n[0028] 3）将矩阵M的第一行和第一列，分别进行初值为0步长为1的递增编号。\n[0029] 4）从M[1,1]开始，按照从左到右从上到下的顺序遍历整个矩阵，遍历过程中用变\n量i和j分别控制行和列的下标，同时A[i]和B[j]分别表示字符串A和字符串B的对应\n字符。\n[0030] 5）计算edit变量值，如果A[i]=B[j]，则edit=0，否则edit=1。\n[0031] 6）计算M[i,j]=min(M[i-1,j]+1,M[i,j-1]+1,M[i-1,j-1]+edit)。\n[0032] 7）重复5）和6）的操作，直到遍历到矩阵末尾，M[length1，length2]即为两字符\n串之间的编辑距离。\n[0033] （3）根据所述编辑距离计算各个安卓应用之间的相似度，并与给定阈值进行比较，\n从而确定是否为重包装应用。\n[0034] 得到编辑距离后，还要计算特征码相似度，相似度的计算公式如下：\n[0035] （1）\n[0036] 公式（1）中distance（A,B）为字符串A和字符串B的编辑距离，length1和length2\n为字符串A和字符串B的长度。\n[0037] 在公式（1）中之所以用长字符串作为分母，是由于如果用短字符串作为分母，会有\n结果为负数的可能性。\n[0038] 确定公式之后，应该设定阈值，即相似度大于一定程度，可判断为某一应用为重包\n装应用，否则为不同应用。如果相似度为1，则两应用为相同应用。经过我们的试验，将判断\n是否为重包装应用的阈值设为0.85。即两段特征码不同的部分在15%以内，即可认为两者\n为重包装的应用软件。\n附图说明\n[0039] 图1是本发明安卓应用的特征码提取流程图；\n[0040] 图2是本发明不同应用的特征码之间编辑距离计算流程图。\n具体实施方式\n[0041] 下面结合附图和具体实施方式对本发明作进一步说明：\n[0042] 一种安卓市场中重包装应用的检测方法,包括以下步骤：\n[0043] （1） 从各个安卓应用的dex文件中提取特征码；\n[0044] （2） 计算各个安卓应用的特征码之间的编辑距离；\n[0045] （3） 根据所述编辑距离计算各个安卓应用之间的相似度，并与给定阈值进行比\n较，从而确定是否为重包装应用。\n[0046] 具体步骤详细介绍如下：\n[0047] （1）、从各个安卓应用的dex文件中提取特征码\n[0048] 前面已经提及，本发明采取的是以每个字符串的长度按顺序组成的特征码。这些\n信息可以从dex文件中获得。dex文件有着固定的文件格式，通过这些格式可以对每一个安\n卓应用的dex文件进行详细的分析，包括文件大小，文件散列值，文件字符串和类的个数以\n及具体的内容。对这些内容进行一定的筛选即可得到文件的特征码。dex文件的头文件格\n式如表1所示。其中的字符串列表信息是本发明所使用的。dex头文件详细的标示出了字\n符串的个数以及每一组字符串的首地址。按照首地址去搜索对应的位置可以得到相应的字\n符串。\n[0049] 表1 dex文件的头文件格式\n[0050] \n0\n本 是\n版 也\n的 里\n构结 这，0\n示 为\n表 小\n530 大的\n的 段\n中 接\n其 连\n，”0/530n/xed” 07x0=本版5 21436587x0=下 。接连态静是 果如。起算始开\n如式 30,C 况情 示表 头件\n格，段字数魔即， 度长总 5x0=本版900， 省缺，量常的序 就0为果如，小 文本从，置位始 址地 数个串符字的 址地基表 数个型类 址地值 名 的 度 顺 大 开 基 表 表 里 基\n'cig 码 签1- 件文 长头 节字 的段 的段 据数 列串 列串 表列 表列\n述描 aM' 验校 AHS xeD 件文 识标 接连 接连 pam 符字 符字 型类 型类\n度 0\n长 8 4 2 4 4 4 4 4 4 4 4 4 4\n值\n移偏 0x0 8x0 Cx0 02x0 42x0 82x0 C2x0 03x0 43x0 83x0 C3x0 04x0 44x0\nezis ffo ez f\nm er e ezis gat ez f _sdi _sdi is_s fo_s\n称名 ci uskc utan zis_ _red _nai is_k fo_k ffo_ _gni _gni di_e di_e\n段字 gam ehc gis elfi aeh dne nil nil pam rts rts pyt pyt\n[0051] 由于dex文件按字节读取很长，而我们需要提取的特征码只是整个文件的很小的\n一部分。因此接下来要确定读取文件的长度。在前文的dex格式分析报告中可以看到，偏\n移地址为0x38开始的4个字节存放的是字符串列表的字符串个数。因此，在读取之前需要\n将文件读取的指针指向0x38地址。\n[0052] 找到字符串的位置之后，由于按字节读取dex文件是高位在前，低位在后，因此读\n出来的字符串位置要进行转换。之后通过地址的差值很容易计算出字符串的长度，而不需\n要读取字符串的具体内容。本发明以文件字符串长度作为特征码，不仅可以区分两个完全\n不同的程序。也可以找到相似度很大的两个程序。这样可以找出与官方市场下载的应用软\n件类似的重包装应用，也可以有效抵抗恶意软件的变形攻击。很多恶意软件会将自身的类\n名做混淆，增加查杀的难度。而基于字符串长度的特征码可以通过比较相似度的方式找出\n加入混淆措施的重包装恶意软件。\n[0053] 提取特征码的流程如图1所示。\n[0054] （2）、计算各个安卓应用的特征码之间的编辑距离\n[0055] 编辑距离的计算采用如下的动态规划算法。设字符串为A和B，用一个矩阵M来表\n示A与B的编辑距离，其中Mij表示的是字符串A的前i个字符变成字符串B的前j个字符\n所需的最少编辑操作次数。算法如下：\n[0056] 1、分别计算字符串A和字符串B的长度，记为length1和length2。\n[0057] 2、判断length1和length2是否为0，若有一个为0，则返回另一个字\n符串的长度。若两个长度都为0，则返回0.若两者都不为0，则构建一个大小为\n(length1+1)*(length2+1)的矩阵M。M的行和列的编号均从0开始。\n[0058] 3、将矩阵M的第一行和第一列，分别进行初值为0步长为1的递增编号。\n[0059] 4、从M[1,1]开始，按照从左到右从上到下的顺序遍历整个矩阵，遍历过程中用变\n量i和j分别控制行和列的下标，同时A[i]和B[j]分别表示字符串A和字符串B的对应\n字符。\n[0060] 5、计算edit变量值，如果A[i]=B[j]，则edit=0，否则edit=1。\n[0061] 6、计算M[i,j]=min(M[i-1,j]+1,M[i,j-1]+1,M[i-1,j-1]+edit)。\n[0062] 7、重复5和6的操作，直到遍历到矩阵末尾，M[length1，length2]即为两字符串\n之间的编辑距离。\n[0063] 计算两个应用特征码之间编辑距离的流程图如图2所示。\n[0064] （3）、根据所述编辑距离计算各个安卓应用之间的相似度，并与给定阈值进行比\n较，从而确定是否为重包装应用\n[0065] 得到编辑距离后，还要计算特征码相似度，相似度的计算公式如下：\n[0066] （1）\n[0067] 公式（1）中distance（A,B）为字符串A和字符串B的编辑距离，length1和length2\n为字符串A和字符串B的长度。\n[0068] 在公式（1）中之所以用长字符串作为分母，是由于如果用短字符串作为分母，会有\n结果为负数的可能性。\n[0069] 确定公式之后，应该设定阈值，即相似度大于一定程度，可判断为某一应用为重包\n装应用，否则为不同应用。如果相似度为1，则两应用为相同应用。经过我们的试验，将判断\n是否为重包装应用的阈值设为0.85。即两段特征码不同的部分在15%以内，即可认为两者\n为重包装的应用软件。\n[0070] 本发明所描述的步骤为判断给定两个安卓应用是否为重包装应用，本发明可以很\n方便地扩展到从多个安卓应用中判断出重包装应用。\n[0071] 应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，\n还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。本实施例中未\n明确的各组成部分均可用现有技术加以实现。