第一情报 ---信息产业

移动终端APP安全分析检测技术最新进展

供稿人:蒋洁如  供稿时间:2016-11-7   关键字:移动终端  APP  安全  检测  

近年来,伴随着移动设备的迅速发展,移动应用程序也呈现井喷式增长,然而目前许多应用程序并非来自于安卓官方网站,安全性参差不齐。移动应用程序中携带的恶意代码或恶意行为数据,严重影响了用户的信息、设备和财产安全,因此对终端应用程序进行安全性检测尤为急迫和重要。   

Android是一种以Linux为基础的开源移动设备操作系统,主要用于智能手机和平板电脑,但其平台开放性特点使得Android恶意软件数量众多,成为移动终端安全的重灾区。然而,Android平台尚未对应用程序的行为监控提供强有力的分析工具。因此,基于Android系统APP的安全检测、加固等技术,实现对恶意软件的监控和拦截是近几年移动应用安全领域的研究热点。     

目前国内报道中,关于安卓系统恶意应用的检测主要有四种方法:1、基于特征码的方法:该方法的核心机理是检测程序中是否包含己知的恶意软件特征代码(一段特殊代码或字符串)。通常是提取应用程序的特征(字节或指令序列),然后与特征库进行相似性匹配。该方法是恶意应用检测领域的传统方法,受制于记录已有恶意应用特征码的库,即在面对采用了混淆技术的应用时,就显得无能为力;2、静态分析法:该方法核心机理包括构建程序控制流图以及数据流图、分析变量依赖关系、函数调用关系等。该方法适用范围比较广、实现较简单,不受应用运行平台的影响,可以事先得出检测结果,但受制于应用中的动态加载等技术以及隐藏恶意代码的方式不断变化,静态分析存在很多误报或者漏报现象;3、动态分析法:动态分析是一种用沙盒或虚拟机模拟程序运行,进而监控、拦截程序运行行为的分析方法。优点是绕过了静态方法遇到的代码动态加载和加密等方面的问题,但具有代码覆盖率低、漏报等缺点。4、机器学习方法:该方法只抓住了程序代码片段中最直观的特征,未涉及代码背后所隐藏的信息,其检测结果依赖于数据集中应用的选取,常用的为支持向量机方法。    

目前国外将网络应用安全分析方法分为四类:1、基于异常流量的入侵检测方法。该方法通过依据已有的特征描述,对输入的数据流行为进行分析,来判定异常行为是否为恶意。该方法的检测能力很大程度上依赖数据模型的训练。未经完善训练的模型将会降低检测效果。该方法通常无法提供防误报方案。2、基于特征的入侵检测方法。该检测机制在网络层面和应用层面均可适用(网络层面检测的是网络数据流量,应用层面检测的是用户日志)。然而该方法无法很好应对多形态的攻击。3、大数据挖掘的异常检测方法。基于大数据统计分析来检测网络应用中的攻击。然而该方法无法很好应对使用应用程序语境的载荷攻击。且大数据挖掘方法在面对需要关联上下文语境的攻击显得无能为力。4、基于语境本义的安全分析方法。该方法由少数学者提出(分别来自澳大利亚和巴基斯坦)。基于程序协议的语义规则、结果语境和说明来对攻击进行识别,从而可以有效地检测复杂的攻击。 

各种以上各种方法各有利弊,因此,目前的研究热点和趋势是将以上各种方法结合,从而提高检测技术的准确性和高效性。

相关链接:

1、 “一种基于敏感行为识别的安卓应用安全性分析方法”,公开号:105335655(申请日:2015.09.22 公开日:2016.02.17)
2、 缪小川,基于敏感路径识别的安卓应用安全性分析方法,硕士论文,2016(5)
3、 Abdul Razzaq, etc., Semantic security against web application attacks》, Information Sciences , 254 (2014),p19-38


注册成为正式用户,登陆后,获得更多阅读功能与服务!
转载本文需经本平台书面授权,并注明出处:上海情报服务平台www.istis.sh.cn
了解更多信息,请联系我们

§ 请为这篇文章打分(5分为最好)