主要包括三部分技术实现:静态的智能终端恶意代码识别技术;智能终端恶意代码样本收集和特征提取技术;基于动态分析的权限识别技术的实现。
3.2云端手机恶意软件自动化分析检测技术
360在云端实现软件安全性分析与权限检测的技术实现方法如图2所示。
(1)静态的智能终端恶意代码识别技术
恶意代码的识别技术主要分为两类:基于静态特征的恶意代码识别技术、基于动态分析的恶意代码识别技术,本工具研究中将采取静态分析和动态分析结合的技术路线。
基于静态特征的恶意代码识别技术基于样本分析软件的生产者、软件唯一ID、签名证书信息、版本、安装包文件特征(每个文件大小、数量、时间)、可执行文件特征、权限等静态特征信息,对可疑程序进行分析和特征匹配,从而判断是否为恶意代码。
通过反编译软件包的源代码并对源代码进行扫描,找出具有恶意代码特征的片段,并对其进行分析。关键分析涉及吸费行为、个人隐私、联网行为等可能出现安全问题的行为,如图3所示。
(2)基于动态行为监控分析的识别技术
主要有两种方法。一种是建立系统底层检测模块,使其能够检测、拦截、记录恶意使用某些敏感权限的行为。另一种方法是使用钩子技术(Hook)来检测对敏感权限相关API的调用行为。
建立系统底层模块是指对现有的系统源代码进行改造,加入安全检测模块。检测工具可以对软件运行过程中的发送扣费信息、非法链接、非法内容、盗取用户隐私数据的行为进行检测、记录和处理。其流程如图4所示。
使用Hook技术对调用系统敏感API的行为进行检测。应用程序请求系统服务时,首先调用智能终端上的系统函数库,然后由系统函数库对智能终端设备内核API进行系统调用。在进行用户级调用和系统调用时设置监听拦截器,对应用程序调用信息进行监听、收集,将这些信息传递给检测引擎,检测引擎提取软件行为库中的软件行为模型与监听拦截的系统调用信息进行比对,将比对信息传递给分析引擎,分析引擎对这些信息进行分析,得出软件的行为特征。其流程如图5所示。4基于海量用户群体智慧的恶意行为分析
手机恶意软件的自动化检测技术仍处于其发展初期阶段。由于手机应用的特点,应用的部分敏感行为需要结合用户实际操作场景才能做出准确判断,这给完全自动化的检测带来的障碍。
我们正在尝试在360手机卫士软件中引入用户举报反馈机制,由海量用户对特定应用软件进行涉及用户隐私信息的敏感操作进行判定,并将判定结果及上下文信息回传至云端,在云端形成海量用户对应用软件行为的判定数据,并进一步通过数据挖掘的方法,实现对软件恶意行为的分析。其基本原理如图6所示。
360手机终端主动防御模块,对用户每款软件的行为判决,回传到云端。云端有了亿万用户对各款软件的投票之后,能够根据真实用户对软件行为的评判,利用群体智慧,完成软件的恶意行为分析。
基于大数据的云计算,包括三个核心模块。
1)MapReduce计算框架。云端可以灵活地选取不同时间窗内的用户评判,利用分布式计算,快速得出结果,并做交叉验证。
2)智能用户分类算法。采用聚类/分类算法,根据用户的安装软件情况,以及对软件行为的判决,将用户划分为若干类,得到分类用户的特征。在时间轴内迭代计算,不断调优用户的特征参数。
3)采用多种维度的计算方法,如二分法、参与度/覆盖度排名、90%置信区间等算法,结合用户特征参数,综合计算软件的恶意行为的可信度。
5结束语
随着移动互联网恶意软件的爆发式增长,恶意软件自动化分析技术的需求日益强烈。在传统的PC互联网安全领域的静态分析和基于行为监控的动态分析方法,依然适用于手机恶意软件的自动化分析。与此同时,针对手机应用的特性,对于软件恶意行为的判定依赖于用户操作场景,给自动化分析带来障碍。
在此方面,奇虎360公司开始尝试依据海量终端用户对特定敏感行为的举报,通过数据挖掘的方法提升样本自动化分析的能力。
基金项目:
本文研究工作得到"新一代宽带无线移动通信网"国家科技重大专项课题《移动应用软件的认证管理软件开发》(2012ZX03002029)支持。
作者简介:
卞松山(1981-),男,毕业于北京工业大学,获得通信工程专业学士学位,现任北京奇虎科技有限公司核心安全团队技术经理,主要从事手机应用软件的安全分析检测的产品技术研发工作。
路轶(1979-),男,毕业于华南理工大学,获得计算机应用专业硕士学位,现任北京奇虎科技有限公司核心安全团队技术总监,主要从事网络安全、机器学习、云计算等领域的产品技术研发工作。
石晓虹(1970-),男,毕业于西安交通大学,获得计算机系统结构专业工学博士学位,现任北京奇虎科技有限公司副总裁,主要从事网络安全、云计算等领域的技术和产品研究,是国家发改委、工信部等多个项目的负责人。
期刊库(http://www.zgqkk.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。
【免责声明】本文仅代表作者本人观点,与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
646779424(普刊)
913775405(普刊)
867306987(核心)
271374912(核心)
