基于多层次交叉视图分析的Android系统恶意行为监控方法研究

Research on Method of Android System Malware Behavior Monitoring Based on Multi-level and Cross-view Analysis

下载PDF

导出

摘要现有的Android系统行为监控方法,或需重新编译系统,或需改动被监控软件,且大多数监控不全面,无法识别恶意代码隐藏行为。针对这些问题,文章提出了一种基于多层次交叉视图分析的Android系统恶意行为监控方法。该方法基于进程注入和可加载内核模块技术,在Java层、Native层和Kernel层对恶意行为进行监控,获取行为监控表,并通过交叉视图对比分析,识别恶意代码的隐藏行为。最后,文章在Android模拟器环境下,利用能够覆盖主要恶意行为的12种恶意代码进行实验,结果表明,该方法对恶意行为的监控准确率达到了91.43%,并能有效检测其隐藏行为,监控粒度细、实用性强。 The existing methods applying to behavior monitoring of Android system need to either recompile the system or alter the applications which is monitored. Most of them are not comprehensive enough and cannot identify the hidden behaviors of malicious codes. According to the problems raised before, this paper proposes a method of Android system malware behavior monitoring which bases on multi-level and cross-view analysis. The paper uses the technology of process injection and loadable kernel, which monitors malware behavior in Java level, Native level and Kernel level. Then this paper obtains the result of behavior monitoring and identiifes the hidden behaviors by cross-view analysis. Under Android simulator environment, the experiment uses 12 kinds of malware which can cover most of the malware behaviors. The results shows that the monitoring accuracy rate of malicious behavior reaches to 91.43%, and the method can detect the hidden behaviors effectively. So it has fine audit granularity and strong practicality.

作者杨静雅罗森林朱帅曲乐炜

机构地区北京理工大学信息系统及安全对抗实验中心

出处《信息网络安全》 2016年第7期40-46,共7页 Netinfo Security

基金国家242信息安全计划[2005C48]

关键词 ANDROID系统行为监控交叉视图 Android system behavior monitoring cross-view

分类号 TP309 [自动化与计算机技术—计算机系统结构]

引文网络
相关文献

参考文献3

1PENG Guojun,SHAO Yuru,WANG Taige,ZHAN Xian,ZHANG Huanguo.Research on Android Malware Detection and Interception Based on Behavior Monitoring[J].Wuhan University Journal of Natural Sciences,2012,17(5):421-427. 被引量：5
2贾同彬,蔡阳,王跃武,高能.一种面向普通用户的Android APP安全性动态分析方法研究[J].信息网络安全,2015(9):1-5. 被引量：9
3朱筱赟,胡爱群,邢月秀,赵然.基于Android平台的移动办公安全方案综述[J].信息网络安全,2015(1):76-83. 被引量：19

二级参考文献48

1张和君,张跃.Linux动态链接机制研究及应用[J].计算机工程,2006,32(22):64-66. 被引量：10
2Schmidt A D, Schmidt H G, Clausen J, et al. Enhancing secu- rity of Linux-based Android devices [EB/OL]. [2011- 1 1-19]. http://ww~.dai-labor.de/fileadmin/files/publica tions/lk2OO8- android security.pdf.
3Burguera L, Urko Z, Simin N. Crowdroid: behavior-based malware detection system for Android [C]//Proc 1st ACM Workshop on Security and Privacy in Smartphones and Mo- bile Devices. New York: ACM Press, 2011: 15-26.
4Manuel E, Theodoor S, Engin K, et al. A survey on auto- mated dynamic malware analysis techniques and tools [J]. ACMComputing Surveys, 2012, 44(2): 1-49.
5Wikipedia. Inter-process communication [EB/OL]. [2012-01- 07] http://en, wikipedia.org/wiki/Inter-proeess_communication.
6Schreibe T. Android binder [EB/OL]. [2012-03-29]. http://www. nds.rub.de/media/attachments/files/2012/O3/binder.pdf.
7Xfocus Team. Injecting shared library [EB/OL]. [2011-12- 14]. http://www.focus.net/articles/200208/438.html.
8TIS Committee. Executable and linkable format [EB/OL]. [2011-10-30]. http://www.skyfree.org/linux/references/ELF_F ormat.pdf.
9Anonymous. Runtime process infection [EB/OL]. [2011-12- 05]. http ://www.phrack. org/issues.html ?issue= 5 9 & id=8.
10Li T S, Jing S, Xu J H, et al. The research of dalvik virtual machine on the Android platform[C]//Proe 3rd International Conf on Manufacturing Science and Engineering, Xiamen: IEEE Press, 2012:2534-2537.

共引文献29

1季征南,马立国,吴英,梁晶晶.计算机网络信息安全中虚拟专用网络技术的应用研究[J].冶金管理,2021(1):185-186. 被引量：8
2关兆雄,刘胜强,庞维欣.虚拟化技术在电力企业的移动生产应用研究[J].自动化与仪器仪表,2016(2):5-6. 被引量：7
3段青.一种移动平台钓鱼攻击的解决方法[J].信息安全与技术,2016,7(4):48-52. 被引量：3
4彭国军,李晶雯,孙润康,肖云倡.Android恶意软件检测研究与进展[J].武汉大学学报（理学版）,2015,61(1):21-33. 被引量：49
5李汶洋.Android操作系统恶意软件检测技术研究[J].信息网络安全,2015(9):62-65. 被引量：9
6赵光泽,李晖,孟杨.Android平台WebView组件安全及应用加固研究[J].信息网络安全,2015(10):61-65. 被引量：11
7杜巍.Android App开发中Bmob云平台的运用[J].通讯世界,2016,0(2):220-221. 被引量：7
8李桂芝,韩臻,周启惠,王雅哲.基于Binder信息流的Android恶意行为检测系统[J].信息网络安全,2016(2):54-59. 被引量：8
9丁庸,曹伟,罗森林.基于LKM系统调用劫持的恶意软件行为监控技术研究[J].信息网络安全,2016(4):1-8. 被引量：3
10王成现,李夫宝,王京.基于HTTPS的移动安全防护体系[J].计算机系统应用,2016,25(7):101-106. 被引量：6

1何祥,周安民,蒲伟,周妍.基于vmem文件的隐藏信息检测研究[J].信息安全与通信保密,2012,10(10):67-68.
2李建军,王庆生.Windows下基于交叉视图的Rootkit进程隐藏检测技术[J].电脑开发与应用,2011,24(5):56-57. 被引量：2
3陈晓苏,黄文超,肖道举.一种基于交叉视图的Windows Rootkit检测方法[J].计算机工程与科学,2007,29(7):1-3. 被引量：5
4傅德胜,曹成龙.一种基于交叉视图的Windows Rootkit检测方法[J].信息技术,2011,35(6):26-29. 被引量：2
5罗森林,闫广禄,潘丽敏,冯帆,刘昊辰.基于劫持内核入口点的隐藏进程检测方法[J].北京理工大学学报,2015,35(5):545-550. 被引量：3
6贾春福,钟安鸣,周霞,田然,段雪涛.基于系统调用的Linux系统入侵检测技术研究[J].计算机应用研究,2007,24(4):147-150. 被引量：7
7meryal.无模块DLL的进程注入[J].黑客防线,2010(4):104-106.
8白光冬,郭耀,陈向群.一种基于交叉视图的Windows Rootkit检测方法[J].计算机科学,2009,36(8):133-137. 被引量：13
9冯帆,罗森林.基于VMM的Rootkit检测技术及模型分析[J].信息网络安全,2013(6):35-39. 被引量：3
10马庆.基于XenAccess的隐藏代码检测[J].科技风,2011(9):15-15.

信息网络安全

2016年第7期

浏览历史

内容加载中请稍等...

基于多层次交叉视图分析的Android系统恶意行为监控方法研究

参考文献3

二级参考文献48

共引文献29

相关作者

相关机构

相关主题

浏览历史