基于符号执行的Android原生代码控制流图提取方法

提出了一种基于符号执行的控制流图提取方法,该方法为原生库中的函数提供了符号执行环境,对JNI函数调用进行模拟,用约束求解器对符号进行求解。实现了控制流图提取原型系统CFGNative。实验结果表明,CFGNative可准确识别样例中所有的JNI函数调用和原生方法,并能够在可接受的时间内达到较高的代码覆盖率。

Android原生代码与Web HTML5数据交换研究

探讨了原生代码与HTML5双向交换数据的问题;由于不同安卓版本出于安全性的考虑对JavaScript代码的限制而不得不采取的措施;Web View中数据不自动刷新的问题;由于Java Script代码与WebHTML5代码提交顺序引起的APP数据不能正常显示的问题,并给出了解决方案。

机器学习在Android代码异味检测中的应用

由于现有代码异味检测方法存在多方面的限制,无法准确高效的检测Android代码异味共存,提出基于机器学习的Android代码异味共存检测方法。首先提出并实现工具ASSD得到分离好的正负样本集,提取源代码中的文本信息作为机器学习分类器的输入,从而实现机器学习检测Android代码异味共存。设计对比实验,实验结果表明机器学习可以检测Android代码异味共存,并且检测效果较现有基于静态程序分析的检测方法有较大提升,其中随机森林模型效果最好,其F1值提升了22%。

基于云原生及AI技术的低代码开发平台构建

为解决数字化转型中爆发式增长的数字化需求在应用建设效率、应用建设流程和成本投入等方面带来的挑战,低代码开发平台以云原生为基石,应用全栈式信创软硬件和AI技术,打造了Serverless架构、数智驱动、一体化开发平台,形成了“服务+能力+模式”的架构体系,提升了信创建设效率,降低了开发门槛,实现了应用开发由完全依赖IT向业务自助建设的模式升级,打造了数字应用建设的平民化,赋能企业高质量数字化转型。

基于机器学习的Android混合应用代码注入攻击漏洞检测

Android混合应用具有良好的跨平台移植性,但其使用的WebView组件中的HTML和JavaScript代码能够通过内部或外部通道调用数据来访问相关资源,从而产生代码注入攻击漏洞.针对这个问题,提出一种基于机器学习的Android混合应用代码注入攻击漏洞检测方法.首先,通过反编译Android混合应用,将其进行代码分片;然后,提取出与Android混合应用申请的敏感权限和能够触发数据中恶意代码的API,组合起来生成特征向量;最后,构建多种机器学习模型进行训练和分类预测.实验结果表明,随机森林模型的识别准确率较高,能够提高Android混合应用代码注入攻击漏洞检测的准确性.

基于抖音崩溃数据的Android应用崩溃聚类系统实现

随着应用的用户体量的扩张,应用的崩溃量也随之出现大规模的增长。为了实现对崩溃的高效分析,需要具备一套能对崩溃进行准确聚类的系统。针对现有的Android崩溃聚类系统聚合不够准确的问题,提出了一种基于崩溃特征的二级聚类方法。首先,从收集的崩溃上报堆栈中,分析出异常类型、异常描述、业务代码行和系统代码行。然后,对异常描述中的干扰信息进行标准化处理得到标准化异常描述,对业务代码分析出根因行,从业务代码行和系统代码行中获取完整的崩溃代码路径。最后,结合异常类型、标准化异常描述、业务代码根因计算出的哈希值作为崩溃的一级特征聚合值,形成崩溃的一级聚合列表。使用异常类型、标准化异常描述和异常路径计算出的哈希值作为崩溃的二级特征聚合值,形成二级聚合列表。该系统已经在某大型互联网公司内部系统部署,经过抖音、今日头条等应用的大规模验证,满足了对崩溃进行准确聚类的需求。

一种基于分层抽象语法树的Android代码异味检测方法

Android应用程序中存在大量的代码异味,现有的Android代码异味检测工具效率较低.为此,将抽象语法树(AST)进行分层,提出一种基于分层AST的Android异味检测方法.实例研究表明,与其他方法相比,该方法能检测出更多类型的Android代码异味.

AR开发中的Unity 3D与原生代码交互技术

为了解决AR产品开发过程中Unity 3D与原生代码之间的交互问题,分别介绍了Unity 3D与Android原生代码、Unity 3D与i OS原生代码之间的交互技术。通过一个AR系统实例开发,应用图像识别、匹配和交互等技术实现了虚实结合的视觉体验效果。实验测试结果表明:系统运行稳定,效果逼真。说明运用Unity 3D与原生代码之间的交互技术,能够合理解决AR产品开发过程中Unity 3D与原生代码之间的交互问题。

一种针对Android平台恶意代码的检测方法及系统实现

针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统。在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码。经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率。所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务。

Android系统代码签名验证机制的实现及安全性分析

文章通过静态分析Android系统源代码以及动态监控应用程序安装、执行过程中的签名验证流程,对Android系统的代码签名验证机制进行深入的剖析,发现Android系统仅在应用程序安装时进行完整的代码签名验证,在后续的程序执行过程中只对程序包进行简单的时间戳及路径验证。该安全隐患使得攻击代码可以绕过签名验证机制,成功实施攻击。

基于反编译的Android平台恶意代码静态分析

Android平台占有很大的市场份额,但由于Android系统的开放性,使得针对Android平台的恶意代码呈现出爆炸式的增长.因此对这些恶意代码的分析和检测显得十分必要.在传统计算机恶意代码的检测方法中,反编译和静态分析技术占有十分重要的地位,因此根据Android平台和智能手机的特点,重点研究基于反编译的Android平台恶意代码静态分析方法,并进行相关实验获取了初步的检测结果.

面向Android应用程序的代码保护方法研究

近年来,Android操作系统快速发展,逐渐成为移动设备最常用的操作系统之一。与此同时,Android系统的安全问题也日益明显。由于Android系统自身的安全体系不够健全以及Android应用代码保护方法缺失,大量Android应用面临逆向工程、盗版、恶意代码植入等威胁。文章针对Android应用所面临的这些安全问题进行分析,并指出问题存在的原因。在此基础上,设计了一个完整的Android应用程序代码保护方法,该方法由PC端处理模块、Android端处理模块以及Android代码开发规范构成。为使该方法更具可操作性,文章还给出了一些关键技术的实现,包括基于AES算法的加密保护、伪加密、加壳、代码混淆以及特殊编码规则等。文章提出的面向Android应用程序的代码保护方法借鉴了传统的保护方法,结合Android系统的自身特性,采用文件加密、代码混淆、反动态调试、完整性校验以及加壳等技术,从对抗静态攻击和对抗动态调试两个方面提高了应用抗攻击的能力。因此,该方法不仅具有一定的理论意义,还具有一定的实际应用价值。

基于Android平台的代码保护技术研究

文章针对当前基于Android平台的代码保护技术的滞后性,介绍了Android平台的基本架构,结合当前Android平台下基于逆向分析技术的代码篡改和注入等破坏方式,采用静态分析和动态调试机制,研究了基于Android平台下的代码逆向分析技术及现有代码保护技术,提出了一种结合字节码填充、标识符混淆和动态代码加载技术的高性能代码保护方案。

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。

基于随机森林算法的Android恶意代码特征分析

针对Android恶意代码泛滥问题。文中提取出Android的权限特征,采用随机森林算法对应用特征进行匹配训练,从原始训练集中,有放回地抽取一定数量的样本,作为根节点并开始不断进行训练。直到所有节点都被遍历或训练结束,从而实现特征叶子节点与案例库中的特征匹配。实验分析结果表明,从选择的算法效果来看,准备率实验结果表明,在权限特征维度上,随机森林算法的表现都比普通常规算法好;从误报率上来看,随机森林算法的效果同样较普通算法要好。但是,随机森林算法在60维之前的漏报率表现略显不足。所以,为了构建权限特征的检测模块,最终选择随机森林算法和后60维的权限特征。

基于API调用序列的Android恶意代码检测方法研究

目前Android恶意代码泛滥,而传统的静态检测方法虽无需执行代码、效率高,但无法应对经过加固保护的恶意软件,以及被混淆的代码.因此,提出一种基于动态API调用序列的Android恶意代码检测方法.通过Xposed框架构建监控模块,将函数调用作为检测对象,直接对Android系统敏感API调用进行监控.随后,将收集到的函数调用序列作为特征,采用主题模型对其进行建模以及构建分类器,并且利用N-gram扩大模型的单词空间,提高模型的预测能力以及语义表达能力.最后通过机器学习的方法,对数据集进行分类,从而达到检测的目的.实验表明:提出的方法可以有效地检测出恶意应用的行为,并且有较高的检测精度.

一种基于双层语义的Android原生库安全性检测方法

原生代码已在Android应用中广泛使用,为恶意攻击者提供了新的攻击途径,其安全问题不容忽视。当前已有Android恶意应用检测方案,主要以Java代码或由Java代码编译得到的Dalvik字节码为分析对象,忽略了对原生代码的分析。针对这一不足,提出了一种基于双层语义的原生库安全性检测方法。首先分析原生方法Java层语义,提取原生方法函数调用路径,分析原生方法与Java层的数据流依赖关系以及原生方法函数调用路径的入口点。对于原生代码语义,定义了数据上传、下载、敏感路径读写、敏感字符串、可疑方法调用5类可疑行为,基于IDA Pro和IDA Python对原生代码内部行为进行自动分析。使用开源机器学习工具Weka,以两层语义作为数据特征,对5336个普通应用和3426个恶意应用进行了分析,最佳检测率达到92.4%,表明所提方法能够有效检测原生库的安全性。

基于蜜罐的Android恶意代码动态分析

针对目前Android平台存在大量的恶意应用程序,设计并实现一种针对Android系统恶意代码的动态检测系统。该系统采用蜜罐的方式对恶意代码进行触发,大大提高了代码覆盖率,并且可以与其他检测方法结合使用,对于恶意代码分析具有很好的启示作用。系统的实现则基于QEMU Android模拟器来进行深度定制开发,并实现相应的管理模块,使多个蜜罐可以同时运行于一台主机,多台主机同时工作,进行大规模部署,提高检测效率。该系统的设计为黑盒的方式,操作简单,配置灵活,可以方便对其升级和维护。目前该系统已经在某大型互联网公司进行部署,运行效果良好。

Android应用程序中代码异味共存现象的实证研究

相对于单一类型的代码异味,代码异味共存现象更具危害性。已有实证研究大多聚焦于分析桌面应用程序中代码异味的共存现象,缺少对Android应用程序中代码异味共存现象的研究。为了研究Android应用程序中代码异味的共存现象,并与桌面应用程序中代码异味共存现象进行比较,分别对285个Android应用程序和30个桌面应用程序进行检测,对检测出来的10种异味进行分析。首先,根据检测结果计算受到多种异味影响的类的百分比。然后,使用公式计算代码异味共存的频率。最后,使用Spearman相关系数分析代码异味共存与应用程序规模的关系。结论如下:a)在Android应用程序中受到一种以上代码异味共同干扰的类占有异味的类的总数的31.04%;b)在两个平台的应用程序中,两对代码异味brain class-brain method和god class-brain method共存的频率较高;c)一种异味、两种异味共存、三种异味共存与Android应用程序的规模具有较强的相关性。

基于代码图像合成的Android恶意软件家族分类方法

代码图像化技术被提出后在Android恶意软件研究领域迅速普及。针对使用单个DEX文件转换而成的代码图像表征能力不足的问题,提出了一种基于代码图像合成的Android恶意软件家族分类方法。首先,将安装包中的DEX、XML与反编译生成的JAR文件进行灰度图像化处理,并使用Bilinear插值算法来放缩处理不同尺寸的灰度图像,然后将三张灰度图合成为一张三维RGB图像用于训练与分类。在分类模型上,将软阈值去噪模块与基于SplitAttention的ResNeSt相结合提出了STResNeSt。该模型具备较强的抗噪能力,更能关注代码图像的重要特征。针对训练过程中的数据长尾分布问题,在数据增强的基础上引入了类别平衡损失函数(CB Loss),从而为样本不平衡造成的过拟合现象提供了解决方案。在Drebin数据集上,合成代码图像的准确率领先DEX灰度图像2.93个百分点,STResNeSt与残差神经网络(ResNet)相比准确率提升了1.1个百分点,且数据增强结合CB Loss的方案将F1值最高提升了2.4个百分点。实验结果表明,所提方法的平均分类准确率达到了98.97%,能有效分类Android恶意软件家族。