CN105069354A - 基于攻击树模型的Android软件混合检测方法 - Google Patents

Abstract

本发明公开了一种基于攻击树模型的Android软件混合检测方法，使用攻击树模型对各种恶意软件攻击类型进行分析，并针对每一条攻击路径制定一系列动态行为检测规则；然后，进行包含静态分析和动态分析的混合检测，所述静态分析实现待测软件攻击能力检测、动态分析中的模拟***事件触发程序的待测软件行为；所述动态分析根据待测软件攻击能力检测的结果选择软件运行时的检测点，加载及组合行为规则；根据组件信息模拟***事件触发程序的待测软件行为，强制待测软件充分运行，再根据行为规则进行待测软件行为检验，识别恶意软件。与现有技术相比，本发明有机结合了静态分析和动态分析方法实现有效的恶意软件威胁检测。

Description

基于攻击树模型的Android软件混合检测方法

技术领域

本发明涉及移动安全领域，特别是涉及一种软件静态检测和动态检测相结合的混合检测技术，以攻击树为基础可以检测出恶意软件。

背景技术

Android***是由Google公司基于Linux整合开发的开源手机操作***，该平台是第一个可以完全定制、免费、开放的手机平台。最近几年，Android***凭借良好的用户体验和较高的开放性，被越来越多的手机厂商所采用。最近的研究表明：Android***现在占据了智能手机市场75％的市场份额，在2013年保持了51.3％的高增长率。

智能手机的出现便利了人们的生活，但是随之而来的安全问题却也日益凸显，尤其是手机中往往存放着用户大量的个人及隐私信息，用户面临着越来越大的安全风险，个人隐私泄露以及病毒诈骗已经成为社会性问题。2013年被称为“恶意软件之年”，McAfee报告指出，2013年第一季度新增恶意软件数量达到14000例。近年来，移动终端恶意软件急剧增多。恶意软件往往会欺骗用户，让用户安装在手机上，并会获取手机上的数据、破坏手机设备或者造成恶意扣费等。恶意软件还经常窃取个人隐私信息，如手机所处的地理位置、短信内容和通讯录信息等。目前在AndroidMarket上发现的恶意软件有GIRLFRIENDTEXTMESSAGEVIEWER、SMSMESSAGESPYPRO/LITE、THEFTAWARE等。随着移动网络、Wi-Fi、以及SMS和MMS服务的使用，恶意软件的传播更加便利，给手机用户造成了很大的危害。

移动安全问题引起了广泛的关注，相关研究工作取得许多有益的进展，研究人员提出一些威胁检测方案并开发出检测工具。如Kirin工具根据安全规则检测存着威胁的权限组合；CrowDroid采用众包的方式从Android社区收集***调用日志，通过聚类算法分析检测恶意软件；TaintDroid在Dalvik虚拟机中设置标记，在运行时实时获取***调用情况，可以监测到调用参数和返回值。现有的Android恶意软件检测方案可以根据所选特征分为静态分析和动态分析两种类型，但是两种检测方法都有各自的不足，静态分析通过反向工程分析APK文件，执行效率高，但是难以覆盖所有运行时状态，无法分析运行时才能确定的程序行为；动态分析根据运行时特征进行检测，例如电量消耗和***调用等，动态分析相对准确，但是面临恶意代码段未执行的问题，同时全面的检测会造成很大的***开销。针对上述问题，提出新型的、有效的Android软件混合检测方法有很强实用价值和现实意义。

发明内容

为了克服上述现有技术的问题，本发明提出了一种基于攻击树模型的Android软件混合检测方法，通过研究Android平台恶意软件样本，划分攻击类型，并分析每种攻击类型的实现途径和检测方法；基于攻击树模型的、结合静态分析和动态分析方法的Android软件检测方案；实现恶意软件检测原型工具，通过实验验证方法的有效性。

本发明提出了一种基于攻击树模型的Android软件混合检测方法，该方法包含以下步骤：

首先，在实际检测之前建立攻击树模型，使用攻击树模型对各种恶意软件攻击类型进行分析，建立起攻击目标和软件基本能力之间的联系，并针对每一条攻击路径制定一系列动态行为检测规则；

然后，进行包含静态分析和动态分析的混合检测，其中：所述静态分析提取待分析软件的权限、API和组件信息，根据软件基本行为能力对攻击树进行标记，并依据标记情况实现过滤正常软件并确定可疑软件可能的攻击途径；所述动态分析根据待测软件攻击能力检测的结果选择软件运行时的检测点，加载及组合行为规则，通过组件信息模拟***事件触发程序的待测软件行为，强制待测软件充分运行，再依据行为规则进行待测软件行为检验，识别恶意软件。

所述待测软件攻击能力检测的步骤，具体包括以下处理：

首先使用基于Python的Androguard工具，将APK文件中的dex文件、类和方法等都映射为python的对象。然后通过大量的预定义的方法提取相关信息，例如将APK文件路径作为参数调用反向工程函数并将结果赋予一个变量，便可以通过该变量调用方法获取APK的大量信息；get_permissions()函数可以获取权限列表；get_activities()函数可以获取所有活动组件等。最后根据提取到的权限和API信息，借助攻击树模型，通过结点标记的方法确定攻击目标是否可以实现。对攻击树进行标记后，如果存在根结点被标记为“P”，则待检测软件存在潜在威胁，如果所有攻击树的根结点标记为“I”，则待检测软件为正常软件。

所述待测模拟***事件触发程序的待测软件行为的步骤，具体包括以下处理：

根据静态分析可以获得软件的组件信息，强制软件内所有组件都启动并运行所有的生命周期阶段以保证完备性，而组件的启动和运行可以通过命令或者事件触发。也就是说，使用“amstart”命令可以启动活动，服务并发送广播；使用telnet连接Android设备后可以通过命令模拟环境事件，例如使用“smssend136…TextContent”模拟发送短信，使用“geofix121.525.410”模拟位置变化，还可以模拟来去电，电量变化，硬件事件等；启动任何活动之后，生成屏幕点击事件和按键事件模拟用户操作。

1.如权利要求1所述的基于攻击树模型的Android软件混合检测方法，其特征在于，所述待测软件行为检测的步骤，具体包括以下处理：

首先，在实际动态检测之前需要确定软件对应的行为检测规则集合。即根据静态分析中记录的攻击路径编号，读取每一个编号对应的行为检测规则集合，将所有的行为检测规则并在一起。其次，安装软件到TaintDroid***中，根据LauncherActivity启动应用程序。然后，需要获取待检测软件的所有攻击路径以及涉及的组件作为输入，并根据攻击路径的编号为每其加载检测规则。最后根据规则的事件部分模拟***事件，根据规则的检测部分进行匹配，只要存在满足的检测项，则该软件为恶意软件，如果检测项都不匹配则为正常软件。

与现有技术相比，本发明给出了攻击树管理检测规则，实现细粒度动态配置。静态分析过滤掉正常的软件，识别出可能的攻击点，再由动态分析使用有针对性的约简后的规则集合，进行基于组件的行为触发来检测恶意软件。预期达到以下有益效果：

1、扩展了常规攻击树模型，使之适合Android恶意软件检测。攻击树建立攻击能力和程序基本行为能力之间的关系，并实现一种细粒度、可动态配置的规则管理模式。

2、有机结合了静态分析和动态分析方法。静态分析提取程序的权限、关键API和组件，根据权限和API将软件划分为正常软件和可疑软件；动态分析根据静态分析确定的程序攻击能力，选择相对应的规则集合进行运行时行为检测。

3、基于程序组件的运行时行为触发技术。Android***是事件驱动的，根据组件信息模拟***事件，强制程序充分执行，保证代码覆盖率。

附图说明

图1为混合检测方法的整体框架示意图；

图2为“隐私窃取”实施例的恶意攻击的攻击树模型结构示意图。

具体实施方式

下面将结合附图对本发明的具体实施方式进行详细描述，这些实施方式若存在示例性的内容，不应解释成对本发明的限制。

如图1所示，为本发明的基于攻击树模型的Android软件混合检测方法的整体框架。在实际检测之前建立攻击树模型，使用攻击树模型对各种恶意软件攻击类型进行分析，建立起攻击目标和软件基本能力之间的联系，并针对每一条攻击路径制定一系列动态行为检测规则；静态分析过程提取程序的权限、API和组件信息，前两者用于软件攻击能力检测，后者用于动态分析中的行为触发；动态分析根据软件的攻击能力选择运行时检测点，组合行为检测规则，根据软件组件信息模拟***事件，强制程序充分运行，再根据行为检测规则进行检验，识别恶意软件。

以下结合有关“隐私窃取的分析案例”具体描述本发明的技术方案：

(1)建立隐私窃取的攻击树模型

如图2所示，为本发明的隐私窃取恶意攻击类型的攻击树模型示意。因此攻击类型“隐私窃取PrivacyStealing”作为攻击树的根节点，表示攻击树的最终攻击目标为隐私窃取。为了实现隐私窃取的攻击目标，需要两个步骤，“获取隐私信息ObtainPrivacy”和“实现泄露方法LeakageMethod”，两者缺一不可，因此节点关系为“与AND”，将其加入做攻击树中，作为根节点的子节点，设置根节点为AND节点，接下来继续分解子目标“获取隐私信息”，获取的隐私信息可以分为“环境隐私(EnvironmentalPrivacy”和“存储隐私StoredPrivacy”种类型：前者包括“录音Recorder”、“拍照TakePhoto”、“位置信息ObtainLocation”；后者包括“设备信息DeviceInfo”和“用户信息UserInfo”，“用户信息UserInfo”包含了“联系人Contacts”、“短消息ReadSMS”、“通话记录CallLog”、“账户信息Accounts”和“SD卡信息ReadSDCard”等，这些隐私信息都是需要保护的，任何一种信息的非法窃取都是危险的，因此这些节点的关系为OR，只要有一种信息被获取则可以实现“获取隐私”的目标。信息泄露途径也包含了多种程序能力，例如发送短消息，访问网络，写SD卡等，当攻击目标不断分解直到实现途径为程序基本行为能力时，就如读取联系人或者访问网络，将其定义为叶节点。

(2)隐私窃取攻击树的配置文件

部分隐私窃取攻击树的配置文件代码摘录如下：

由于图2所示的攻击树模型结构较为复杂，因此这里只针对窃取用户位置ObtainLocation信息的过程进行分析。该过程主要通过获取并泄漏用户位置来完成，故首先定义三个类型为leaf的叶节点，然后定义普通节点leakage_method，其实现依赖于叶节点Send_sms和internet，最后定义根节点，其子节点为叶节点GPS和普通节点leakage_method。

(3)静态分析过程

首先需要对软件具备的有效行为能力进行计算，这一工作可以通过分析软件的权限及函数调用等情况后对攻击树叶节点进行标记来完成。具体的标记算法如表1中的算法1所示：

表1、静态分析过程中的软件有效行为能力计算算法

算法1的描述：应用程序的行为能力并不只是由权限和API确定，实际环境下存在权限提升(俗称Root)和动态加载的现象，这些特性会改***件在运行中实际具有的权限，动态加载使软件实际行为能力不受限于API，但是依然受到申请的权限列表的限制，而权限提升之后的软件不受任何限制，原则上具有最高权限，威胁性极高。因此，在标记节点时，首先要获得一些软件的基本参数：是否存在权限提升和动态加载的现象(DYNAMIC和ESCALATION)、该软件具备的权限组合(Permissions)和相关函数调用(APIs)的组合。然后针对不同情况采用不同的行为能力计算策略，当节点的属性与软件具备的属性相吻合时，将其标记为P，即表示软件具有此节点的行为能力，主要分为三类情况：第一类，软件不存在权限提升和动态加载的现象，且节点的权限和API调用都存在于此软件中，标记为P；第二类，软件动态加载但不存在权限提升现象，且节点的权限是软件拥有的权限的一部分，标记为P；第三类，软件存在权限提升现象时，节点标记为P。其余情况下节点均标记为I，表示软件不具备此节点的行为能力。

算法2的描述：在检测软件的潜在威胁时，如表2中的算法2(潜在威胁检测)所示，首先根据权限和API标记所有叶节点，标记过程为如表1所示的算法1(软件有效行为能力计算)：然后对每个攻击森林中的每个攻击路径，根据叶节点的标记自底向上标记所有的节点，当节点的子节点完全标记之后，根据节点的“与”、“或”关系确定自身的标记(AND表示只有当所有子节点都被标记为P时，根节点才能标记为P，其余情况均被标记为I；OR表示只有当所有子节点都被标记为I时，根节点才能被标记为I，其余情况均被标记为P)，重复此过程直到根节点被标记。如果存在根节点被标记为“P”，则待检测软件存在潜在威胁，如果所有攻击树的根节点标记为“I”，则待检测软件为正常软件。

表2、静态分析过程中的潜在威胁检测算法

根据图2所示的攻击树，如果软件读取用户的SD卡，并且具有访问Internet的权限，则根据上述算法自下而上标记两条节点线路：ReadSDcard(E_RSDC)→UserInfo→StoredPrivacy→ObtainedPrivacy→PrivacyStealting和Internet(E_inte)→LeakageMethod→PrivacyStealing。

这两条线路都标记到根节点PrivacyStealing，并通过相“与”判断将根节点标记为P，即存在潜在威胁的软件。

(4)动态分析过程

动态分析需要将软件安装包安装到Android***中，触发其运行，主要分为两个步骤：运行时软件行为特征获取和软件行为特征分析检测。

运行时，软件行为特征获取的具体处理包括：程序运行时的行为特征可以通过Log获得，本发明在TaintDroid工具基础上做了定制，对提取的函数信息通过配置文件进行管理，在以TaintDroid为***镜像的模拟器上运行Android程序时，通过logcat可以获取丰富的软件运行时信息，包括函数调用序列，函数的参数列表和返回值，这些就是动态行为检测的特征信息。

软件行为特征分析检测的具体处理包括：首先安装软件到TaintDroid***中，根据LauncherActivity启动应用程序，然后根据上一步骤中准备好的动态行为检测规则进行行为触发和行为检测，即根据规则的事件部分模拟***事件，获取此事件触发的行为日志。最后根据规则的检测部分进行匹配，只要存在满足的检测项(此案例中风险项是窃取用户私人信息并对其进行不正当操作)则为恶意软件，如果检测项都不匹配则为正常软件。行为特征分析检测的算法如表3中的算法3所示。

表3、动态分析行为检测算法

算法3的描述：在实际动态检测之前需要确定软件对应的行为检测规则集合。这个过程主要分为两个步骤，第一步根据静态分析中记录的攻击路径编号，读取每一个编号对应的行为检测规则集合，将所有的行为检测规则并在一起；第二步从所有行为规则中提取模拟事件相同的规则，将其合并，得到规则的集合rules。接下来，根据算法3，首先需要获取待检测软件的所有攻击路径AttackPaths以及涉及的组件Components。然后根据攻击路径的编号为每其加载检测规则，并模拟组件触发某事件。最后根据规则的事件部分模拟***事件，根据规则的检测部分进行匹配，只要check(rule.test)返回true，就表示存在满足的检测项，则该软件为恶意软件，如果检测项都不匹配则为正常软件。如此反复，直到所有攻击路径都被检测完为止。

(5)检验结果

由此可以得到，利用上述“静态分析”与“动态分析”混合的检测方法，检测方可以高效并准确地区分窃取用户隐私的恶意软件和正常软件，为避免隐私泄露和采取下一步措施提供了基础和前提。

Claims (4)

1.一种基于攻击树模型的Android软件混合检测方法，其特征在于，该方法包含以下步骤：

首先，在实际检测之前建立攻击树模型，使用攻击树模型对各种恶意软件攻击类型进行分析，建立起攻击目标和软件基本能力之间的联系，并针对每一条攻击路径制定一系列动态行为检测规则；

然后，进行包含静态分析和动态分析的混合检测，其中：所述静态分析提取待分析软件的权限、API和组件信息，根据软件基本行为能力对攻击树进行标记，并依据标记情况实现过滤正常软件并确定可疑软件可能的攻击途径；所述动态分析根据待测软件攻击能力检测的结果选择软件运行时的检测点，加载及组合行为规则，通过组件信息模拟***事件触发程序的待测软件行为，强制待测软件充分运行，再依据行为规则进行待测软件行为检验，识别恶意软件。

2.如权利要求1所述的基于攻击树模型的Android软件混合检测方法，其特征在于，所述待测软件攻击能力检测的步骤，具体包括以下处理：

首先使用基于Python的Androguard工具，将APK文件中的dex文件、类和方法等都映射为python的对象。然后通过大量的预定义的方法提取相关信息，例如将APK文件路径作为参数调用反向工程函数并将结果赋予一个变量，便可以通过该变量调用方法获取APK的大量信息；get_permissions()函数可以获取权限列表；get_activities()函数可以获取所有活动组件等。最后根据提取到的权限和API信息，借助攻击树模型，通过结点标记的方法确定攻击目标是否可以实现。对攻击树进行标记后，如果存在根结点被标记为“P”，则待检测软件存在潜在威胁，如果所有攻击树的根结点标记为“I”，则待检测软件为正常软件。

3.如权利要求1所述的基于攻击树模型的Android软件混合检测方法，其特征在于，所述待测模拟***事件触发程序的待测软件行为的步骤，具体包括以下处理：

根据静态分析可以获得软件的组件信息，强制软件内所有组件都启动并运行所有的生命周期阶段以保证完备性，而组件的启动和运行可以通过命令或者事件触发。也就是说，使用“amstart”命令可以启动活动，服务并发送广播；使用telnet连接Android设备后可以通过命令模拟环境事件，例如使用“smssend136…TextContent”模拟发送短信，使用“geofix121.525.410”模拟位置变化，还可以模拟来去电，电量变化，硬件事件等；启动任何活动之后，生成屏幕点击事件和按键事件模拟用户操作。

4.如权利要求1所述的基于攻击树模型的Android软件混合检测方法，其特征在于，所述待测软件行为检测的步骤，具体包括以下处理：

首先，在实际动态检测之前需要确定软件对应的行为检测规则集合。即根据静态分析中记录的攻击路径编号，读取每一个编号对应的行为检测规则集合，将所有的行为检测规则并在一起。其次，安装软件到TaintDroid***中，根据LauncherActivity启动应用程序。然后，需要获取待检测软件的所有攻击路径以及涉及的组件作为输入，并根据攻击路径的编号为每其加载检测规则。最后根据规则的事件部分模拟***事件，根据规则的检测部分进行匹配，只要存在满足的检测项，则该软件为恶意软件，如果检测项都不匹配则为正常软件。