android上的恶意app检测

Android应⽤程序及⿊客测试⼯具集合1. HackodeHackode是最好⽤、最流⾏的的⿊客⼯具之⼀，可以在⾕歌商店免费下载使⽤。

它更像是⼀款渗透测试器的⼯具箱，其功能可以满⾜许多⼈群的需求：如渗透测试⼈员，⽩帽⼦，IT管理员和⽹络安全专家等。

在这款应⽤当中，我们可以找到三款模块——Reconnaissance、Scanning以及Security Feed。

⽬前它可以完成以下任务：勘察（Reconnaissance）、⾕歌⿊客（Google Hacking）、DNS挖掘（DNS Dig）、Google Dorks、域名查询服务（Whois）、扫描（Scanning）、Ping、路由跟踪（Traceroute）、MX Records以及安全RSS等。

这是⼀款出⾊的Android⿊客应⽤，⾮常适合⼊门者作为起步⼯具且⽆需提供任何个⼈隐私信息。

2. Apk InspectorAPK Inspector是⼀款任何⽤户都会喜欢的⼯具。

它主要⽤来对安卓应⽤进⾏逆向⼯程，这意味着你可以得到任何安卓应⽤的源代码并且对其进⾏修改。

然⽽，⼤多数分析师将其作为⼀个强⼤的GUI⼯具，使⽤它来分析安卓app的运作情况并理解其背后的代码。

这个项⽬旨在帮助分析和逆向⼯作者可视化编译后的apk以及DEX代码。

APKInspector提供所有函数的分析和图像特征来帮助⽤户深⼊理解恶意app。

功能包括，CFG控制流程图（control flow graph）、调⽤图（Call Graph）、静态插桩（Static Instrumentation）、权限分析（Permission Analysis）、Dalvik 代码、Smali 代码、Java 代码以及APK 信息等。

3. zANTIzANTI是⼀款来⾃Zimperium的知名Android⿊客套件。

此软件套件当中包含多种⼯具，⽀持嗅探已连接的⽹络，⽀持中间⼈攻击测试、端⼝扫描、cookie获取、路由安全测试等操作。

app被认定为恶意应用怎么办当你的应用被认定为恶意应用时，你需要采取一些措施来处理这种情况。

这可能是由于违反了应用商店的政策、侵犯了用户隐私或者存在其他安全问题。

以下是一些处理恶意应用的步骤：1. 理解认定的原因：首先，你需要明确为何你的应用被认定为恶意应用。

这可以通过应用商店的通知或与平台提供商的联系来了解。

2. 合规化应用：如果你理解了认定的原因，你需要修改你的应用，以符合应用商店的政策和用户隐私规定。

这可能包括修复安全漏洞、删除侵权内容或调整应用的功能。

3. 联系应用商店：一旦你的应用符合政策，你可以与应用商店的支持团队联系，向他们说明你已经采取了措施来改进你的应用。

他们可能会重新审查你的应用并将其重新列入应用商店。

4. 提供清晰的隐私政策：如果恶意应用的认定与用户隐私有关，确保你的应用有一份清晰的隐私政策，向用户解释数据收集和处理方式，并获得用户明确的同意。

5. 安全审查：对于涉及安全问题的应用，建议进行安全审查，确保应用不容易受到攻击或被滥用。

你可以雇佣专业人员进行漏洞测试和安全审查。

6. 监控和维护：即使你的应用重新上线，也需要持续监控和维护，以确保它保持合规和安全。

及时修复漏洞，回应用户反馈，确保应用持续符合政策要求。

7. 沟通：如果你的应用被认定为恶意应用，透明地与你的用户沟通，并解释情况。

如果有用户受到了恶意应用的影响，提供帮助和支持。

最重要的是，确保你的应用始终遵守应用商店的政策和用户隐私规定，以减少被认定为恶意应用的风险。

通过合规化和定期的安全审查，你可以确保你的应用在应用商店上保持良好的声誉。

希望这些建议对你处理这一情况有所帮助。

一种Android应用程序恶意代码检测方法摘要：本文结合静态分析和动态分析提出一种恶意代码检测系统设计与实现。

静态分析模块中利用静态逆向分析技术，通过对敏感API函数的查找与统计、敏感信息数据流的跟踪实现恶意行为的检测。

动态分析模块中通过对系统日志的分析，对运行中的软件进行跟踪，记录运行过程中产生的各种敏感性行为，最终结合静态分析与动态分析产生的行为报告判断目标软件是否包含有恶意代码。

关键词：Android；恶意代码；静态分析；动态分析近年来，智能手机操作系统层出不穷，移动互联网面临着越来越多的安全问题。

智能终端恶意软件不仅会使用户的个人财产和数据安全受到威胁，也会对国家的信息安全造成了巨大隐患。

因此，分析智能终端操作系统安全性，以及提高对恶意软件的检测能力是十分必要的[1]。

为了对网络上泛滥的各种Android软件进行安全评估，本文将探讨Android平台下的恶意代码检测技术，提出结合静态分析与动态分析的恶意代码检测方案。

1 系统设计恶意代码检测系统主要由静态分析和动态分析两个模块组成。

静态分析模块主要包括黑白名单检测模块、反编译模块、数据流跟踪模块、关键字匹配与替换模块等。

如果在黑白名单检测模块检测出目标软件为恶意软件或者非恶意软件，则退出检测系统，否则进行动态分析。

动态分析利用Android系统输出日志的原理，实现对目标软件运行中所产生的敏感行为进行监控的目的。

1.1 静态检测系统设计1.1.1关键技术分析1）源代码的API恶意行为检测分析技术源代码分析首先利用Apktool工具对应用程序进行反编译，Apktool工具集成有Google官方的baksmali工具，可以将应用程序解压缩后得到的Dex字节码文件完整的转化为Smali代码文件的。

Smali代码文件完整的保留了源程序，逻辑结构比较清晰，能够进行比较准确的查找[2,3]。

2）数据流跟踪分析技术针对源代码的API恶意行为检测技术关于逻辑流程方面的缺点，本文中使用了数据流跟踪分析技术。

安卓系统中的恶意代码检测随着智能手机的普及，移动应用程序（App）已成为人们日常生活的重要组成部分。

但是，一些不法分子利用App向用户发送恶意代码（恶意软件），对用户造成不良影响。

因此，安卓系统中的恶意代码检测越来越受到重视。

一、安卓系统中的恶意代码种类恶意代码，即恶意软件，是指一些恶意程序，针对特定的系统或应用程序，采用特定的攻击技术，从而窃取或破坏用户计算机系统或移动设备。

安卓系统中的恶意代码种类主要包括以下几种：1. 病毒：一种本身不能独立运行的程序，通常需要寄生在其他应用程序或文件中，才能进行破坏。

2. 木马：以正常程序包的形式偷偷地安装在用户设备上，并在用户不知情的情况下执行相应的操作，如窃取用户的密码、拦截用户的信息等。

3. 间谍软件：通过特殊的技术手段，能够在未经用户允许的情况下获取用户的隐私信息。

4. 蠕虫：一种可以自我复制的程序，通常会利用系统漏洞或者网络传播来感染更多的设备。

二、安卓系统中恶意代码检测的重要性随着人们对移动设备的依赖越来越高，恶意代码不断地升级和扩散。

如果没有恶意代码检测技术的支持，那么用户就很难发现已经被感染了恶意代码，很可能会造成不良影响，例如窃取用户的信息、充值等。

因此，安卓系统中的恶意代码检测越来越成为了重要的问题。

恶意代码检测的目标是识别利用安卓系统漏洞和木马、病毒等侵入用户设备并获取用户隐私信息等行为的代码。

一旦识别出恶意代码，可以通过升级系统、卸载App等方式加以处理，以避免用户信息的泄露和数据的丢失。

三、安卓系统中恶意代码检测的方法安卓系统中恶意代码检测主要通过以下几种方法：1. 黑白名单过滤：通过收集和清洗恶意代码的样本信息，并建立恶意代码的黑名单和白名单，从而对用户下载的应用程序进行筛选。

黑名单包含已知的恶意代码，白名单则包含用户正常使用的应用程序。

可以令安卓设备只允许在白名单中的程序运行，避免通过网址或第三方应用下载恶意程序。

2. 基于特征的检测：根据恶意代码的特征，检测恶意代码。

基于textCNN 模型的Android 恶意程序检测①张雄冠, 邵培南(中国电子科技集团公司第三十二研究所, 上海 201808)通讯作者: 张雄冠摘　要: 针对当前Android 恶意程序检测方法对未知应用程序检测能力不足的问题, 提出了一种基于textCNN 神经网络模型的Android 恶意程序检测方法. 该方法使用多种触发机制从不同层面上诱导激发程序潜在的恶意行为; 针对不同层面上的函数调用, 采用特定的hook 技术对程序行为进行采集; 针对采集到的行为日志, 使用fastText 算法来提取词向量; 最后使用textCNN 模型根据行为日志对Android 程序进行检测与识别. 实验结果表明, 该方法对Android 恶意程序检测的平均准确率达到了93.3%, 验证了该方法对Android 恶意程序检测具有较高的有效性与正确性.关键词: Android 系统; 恶意程序检测; 行为触发; hook 技术; fastText 模型; textCNN 模型引用格式: 张雄冠,邵培南.基于textCNN 模型的Android 恶意程序检测.计算机系统应用,2021,30(1):114–121. /1003-3254/7722.htmlAndroid Malware Detection Based on textCNN ModelZHANG Xiong-Guan, SHAO Pei-Nan(The 32nd Research Institute of China Electronics Technology Group Corporation, Shanghai 201808, China)Abstract : Aiming at the problem that the current Android malware detection method has insufficient ability to detect unknown applications, this study proposes an Android malware detection method based on the textCNN neural network model. This method uses a variety of trigger mechanisms to induce the potential malicious behavior of the application from different levels. For function calls at different levels, the specific hook technology is used to collect the application behavior. For the collected behavior logs, the fastText algorithm is used to extract word vectors. Finally, the textCNN model is used to detect and identify Android applications based on behavior logs. Experimental results show that the average accuracy of the method for detecting Android malicious applications reaches 93.3%, which verifies that the method has high effectiveness and correctness for detecting Android malwares.Key words : Android system; malicious program detection; behavior trigger; hook technology; fastText model; textCNN model近10年来, 伴随着互联网技术的迅猛发展, 以及智能移动终端的普及, 传统的计算机软件也开始向基于智能终端的应用市场转移. 根据360互联网安全中心发布的《2019年手机安全状况报告》展示[1], 2019年截获的新增Android 恶意程序样本约为180.9万个,平均每天截获的新增恶意程序样本个数约为0.5万个.观察新增样本的类型, 还是以恶意扣费、资费消耗和隐私窃取这3种类型为主. 由此可见, Android 操作系统的安全形势依然刻不容缓, 为了减少恶意程序对用户造成的损失, Android 恶意程序检测也就成为一个值计算机系统应用 ISSN 1003-3254, CODEN CSAOBNE-mail: Computer Systems & Applications,2021,30(1):114−121 [doi: 10.15888/ki.csa.007722] ©中国科学院软件研究所版权所有.Tel: +86-10-62661041① 收稿时间: 2020-05-19; 修改时间: 2020-06-16; 采用时间: 2020-06-19; csa 在线出版时间: 2020-12-31114得深入研究的课题.目前, Android恶意程序检测技术主要分成两种:基于签名的检测技术[2]和基于行为的检测技术. 基于签名的检测技术实际上利用了模式匹配的思想, 使用这种方法进行检测需要对比已知的恶意代码签名库,因此这种方法无法识别未知的恶意程序. 而基于行为的检测技术因为不需要依赖签名的特性逐渐成为目前研究与应用的主流方法之一. 基于行为的检测技术又可依据是否需要实际运行目标程序进一步分为静态行为分析方法和动态行为分析方法.静态行为分析法是目前应用相对广泛的恶意代码检测方法. 其优势在于可以直接利用反编译技术提取代码本身的特征, 不必在指定检测环境下运行代码, 从而能够在应用安装前完成分析. 文献[3]就提出了一种组合静态行为分析方法, 该方法使用API调用、API 时间序列及API使用频率作为3种静态特征, 再结合C4.5、DNN、LSTM三种模型进行训练, 最后采用投票法确定测试样本的结果. 尽管应用广泛, 但静态行为分析法还是具有一定的局限性. 随着互联网安全技术的提高, 越来越多的Android应用为了抵抗未知的反编译分析而采用了代码保护技术. 与此同时, 恶意程序也在不断地进化, 比如采用代码混淆技术来隐藏和加密自身的恶意代码. 面对这样的情况, 使用静态行为分析技术的检测效率也是越来越低.动态行为分析法则是要求在沙箱或隔离环境中安装并运行程序, 这样做的目的是尽可能监控程序执行过程中所产生的行为, 并判断是否存在恶意行为. 这种方法不需要反编译目标程序, 且不受代码混淆技术的影响, 因此具有较高的检测效率. 目前, 动态行为分析法从原理上可以分为以下两类.第1类是基于污点跟踪技术[4]的分析方法, 这类方法首先标记程序对资源数据的访问范围, 然后依据程序对被标记的污点数据的使用情况来判断该程序的行为是否具有合法性. 采用污点跟踪技术的检测方法可以有效地识别出恶意程序所产生的隐私泄露、数据篡改甚至漏洞利用等问题. 文献[5]介绍了一个基于污点追踪技术的恶意软件数据流分析模型TaintART, 该模型采用多级污点分析技术把污点标签存储在寄存器中, 从而减少污染标签的存储量, 可以改善传统污点分析效率较低的问题. 尽管基于污点跟踪技术的检测方法能够更细粒度地分析恶意程序的行为属性, 但是这种分析通常只能在Android虚拟机层进行, 因而无法检测恶意程序在其他层(例如Native层)存在的恶意行为.第2类则是基于系统函数调用情况的分析方法,这类方法主要是通过检测程序对系统函数的调用行为来判断程序是否具有恶意性. 恶意程序往往需要利用系统提供的函数接口来实现其恶意行为, 因此这类方法可以通过分析程序的系统函数调用情况来识别恶意程序. 文献[6]就介绍了一种监控目标软件对Android Native层系统函数和框架层API的调用情况的方法,然后通过分析函数的调用序列及调用函数所传递的参数来检测恶意软件.随着机器学习技术的日渐成熟, 将机器学习算法应用到Android恶意代码检测中也逐渐成为了研究的主流趋势. 文献[7]就提出了一种基于机器学习的动态监测框架用来监控软件行为, 并通过实验分别对SVM、k近邻等多种机器学习算法进行了评价. 文献[8]的研究则是采用随机输入和人工交互输入来提取Android 系统调用, 并使用两种特征选择方法来共同构建特征矩阵, 最后使用RandomForest、RotationForest及AdaBoost三种机器学习模型分别进行实验. 尽管目前机器学习在Android恶意代码检测的应用中取得了较好的效果, 但是其面对新增的、变种的恶意软件的检测能力依然有待提高. 同时基于传统机器学习的方法往往需要手动工程来判断一个文件的行为是否具有恶意, 但手动工程一般不仅时间消耗较长, 而且需要人为确定特征、参数、变量等.针对静态行为分析方法与基于污点跟踪技术的分析方法在Android代码行为特征提取上的不足, 以及传统机器学习方法在恶意程序检测中存在的问题, 本文提出了一种在动态行为分析的基础上利用textCNN 神经网络模型的Android恶意程序检测方法. 本方法的主要思路是首先采用多种触发机制相结合的行为诱导方法来触发Android程序潜在的恶意行为; 接着通过hook技术挂钩关键函数接口, 进而对程序的各种行为数据进行采集并构建行为日志; 然后基于行为日志提取行为特征数据作为模型输入; 最后使用textCNN 神经网络对行为数据集进行训练、参数优化得到最终的分类模型, 并通过实验与传统机器学习方法SVM、RandomForest以及传统循环神经网络进行比较, 证明了本方法具有较好的检测效果.2021 年 第 30 卷 第 1 期计算机系统应用1151 动态行为采集方法任何Android程序所产生的行为实际上都具有特定的行为模式, 即这些行为可以分解为由原子行为组成的时间序列. 而这些原子行为往往需要调用系统提供的函数接口来实现, 因此可以采用基于系统函数调用的动态行为分析方法从程序对Android框架层API 和Native层函数的调用情况中提取行为特征, 再通过对比恶意程序的行为来判断程序的合法性. 基于这个原理, 本文提出了一种以监测系统函数调用为基础的动态行为采集方法, 该方法主要包含两个模块: 行为触发模块和行为采集模块. 行为触发模块的作用是采用多种触发机制尽可能多地触发程序的行为, 使得采集模块可以尽可能全面地采集到软件的所有行为数据.行为采集模块的作用是通过hook技术来监控并记录程序对Android系统函数的调用情况以形成行为日志.1.1 行为触发模块已知动态行为检测方法是在沙箱或隔离环境中运行程序, 其中第一个关键的步骤就是要能够触发程序的行为. 倘若无法触发恶意程序的全部行为, 则后续的行为采集模块很可能就无法提取到有效的恶意行为数据, 继而一定会影响检测模型最后的检测效率. 因此,为了提高程序行为触发的覆盖率, 首先需要明确的是被触发的行为所发生在Android系统中的层面, 主要包含以下3类: (1) 系统层面, 当系统层面的事件(例如开机、连接网络等)执行后会立即触发恶意程序的恶意行为, 比如当系统接入互联网后, 恶意程序会开始传输系统中隐私数据. (2) Service层面, 许多恶意程序会将其恶意行为隐藏在后台服务中, 这样就可以在用户未知的情况下执行操作. (3) UI及Activity层面, 当用户对恶意程序的UI进行操作时, 往往就会触发恶意的Activity活动. 针对不同系统层面的行为需要采取不同的触发机制, 具体的流程与框架如图1所示.本模块通过使用Android模拟器模拟各种系统事件发生的方式来触发程序系统层面的恶意行为. 已知在Android系统中, 软件若要监听系统事件就必须在Manifest文件中注册广播组件. 因此本模块通过解析目标程序的Manifest文件来获取已注册的广播组件信息,然后利用ADB调试桥与telnet远程控制命令在模拟器中模拟广播组件相对应的各种事件, 从而触发程序系统层面相对应的行为.图1 行为触发模块框架流程图针对程序在Service层面的恶意行为, 本模块采用启动所有Service事务的方式来触发潜在该层面的恶意行为. 因为任何应用想要在Android系统中使用Service事务就必须在Manifest的文件中注册Service 组件, 所以本模块通过解析目标程序的Manifest文件来获取已注册的Service组件, 然后利用ADB工具启动这些Service事务, 进而触发执行在这些Service中的恶意行为.针对UI及Activity层面的恶意行为, 本模块所采用的方法相对复杂一些. 首先, 通过静态分析目标程序来获取软件中Activity之间的跳转路径信息; 接着, 针对每一个Activity, 在启动之后利用UI获取部件提取当前Activity的UI层次信息; 然后, 本模块会利用系统自动化测试工具MonkeyRunner[9]针对这些UI信息来模拟各种UI事件触发程序的行为; 当遍历完当前Activity的所有UI元素后, 即可按照Activity的跳转路径信息继续下一个Activity的遍历.1.2 行为采集模块考虑到目前Android平台的应用软件都会使用混淆、加壳技术来保护自身的程序代码, 因此本模块采用了一种基于动态分析的多层次的行为数据提取方法以应对该问题. 本模块所采用的方法主要以Android逆向技术和Android安全框架为理论基础, 分别对Android 的应用框架层和Native层的程序行为进行采集.针对Android应用框架层的行为数据, 本模块主要通过Android注入技术以及Java hook技术进行采集的. 已知Android系统一般采用虚拟机对应用层的软件程序进行隔离和管理, 其中4.4版本之前采用的是Dalvik虚拟机, 而4.4版本之后采用的是Android Runtime. 在Dalvik虚拟机进行Hook的原理是: 首先计算机系统应用2021 年 第 30 卷 第 1 期116将虚拟机里面的Java方法的Method标识字段改为nativeMethod; 接着自己编写一个Native方法, 在这个Native方法中, 再自定义一个Java方法, 并在这个方法里调用了原方法; 然后在调用前后分别通过注入技术插入钩子, 从而可以记录原方法的调用情况了; 最后把原Java方法的nativeFunc字段指向这个Native方法.当原方法被调用时, 首先会调用到自定义的Native方法, 在调用过程中, 原函数的调用数据就被采集. 对于Android Runtime进行hook的原理实际上是类似的, 已知Java层的每一个方法在Android Runtime实现中都对应一个ArtMethod结构体, 只要把原方法的结构体内容通过注入方式替换为新的结构体内容, 当然原方法被调用的时候, 真正执行的就是注入的新方法的指令. 为了兼容不同版本的Android虚拟机, 本模块采用了同时支持Dalvik虚拟机和ART虚拟机的Xposed[10]框架对Android应用框架层API进行hook工作.对于Android Native层的行为数据, 本模块则采用基于Inline hook[11]的动态注入技术进行采集. 对比基于全局偏移表的hook方法, Inline hook的优势在于不会受到表的限制, 能够修改重写内存中任意一处的指令, 从而实现对系统函数的挂钩. Inline Hook的实现原理是首先获得被hook系统函数的入口地址, 然后在入口地址处插入强制跳转指令, 使进程跳转到特定函数中, 在该函数中执行监听并记录程序的行为数据, 从而就实现了对Android底层接口函数调用情况的监测.当目标程序的一系列操作行为被成功触发之后,各种操作行为必然依靠应用框架层或系统Native层的函数接口来实现, 此时行为采集模块就可以利用上述方法对函数接口的调用情况进行监测与记录, 根据记录结果即可生成程序的行为日志. 本实验所生成的行为日志的条目及相关含义如表1所示.表1 目标程序行为日志条目说明条目名称说明Method Category被调用函数所属的类型Method Name被调用函数的名称及所属包的包名Arguments调用函数是传递的参数2 基于textCNN的检测框架卷积神经网络CNN曾被广泛应用于计算机视觉领域, 随着深度学习研究的不断深入, 不少学者也开始使用CNN模型来处理自然语言处理问题. textCNN[12]即是由Yoon Kim提出的一种用于处理文本分类问题的卷积神经网络模型. textCNN的主要思想是使用多个通道以及多个不同大小的卷积核, 并通过一维卷积的方式提取词向量矩阵的特征, 然后使用最大池化层从特征矩阵选出每个通道中的最大值, 与其他通道的最大值进行拼接, 组合成最终的特征向量, 最后通过全连接层计算分类的概率. 经过动态行为触发模块和采集模块后, 程序的行为数据实际上转换为了文本数据,因此可以采用textCNN模型来进行处理.2.1 嵌入层预处理文本数据对于文本类数据, 首先需要将自然语言数值化, 以方便后续处理. 对于动态行为日志文本, 其中每一行的函数调用记录代表一个动态行为, 本文将每一行视为一个行为词汇, 然后分别对每个词汇构建相应的词向量. 将文本中的词汇表征成词向量最简单的方式就是采用one-hot编码方法, 但是这种方法也存在比较明显的缺点, 比如生成的向量长度过大以及无法准确表达词汇之间的相似关系. 而textCNN模型提供一个隐藏的嵌入层, 可以将one-hot向量投影到低维空间里, 在指定维度中编码语义特征. 本文在嵌入层采用的向量表示方法为fastText[13]. fastText实际上是Word2Vec 中跳字模型[14]的一种改进, 使用子词嵌入的方法将构词信息引入到了模型中.z y在fastText中, 往往使用子词集合来表示中心词,假设一个中心词w, 将其长度在一定范围内的子词及特殊子词的并集记为G w. 已知fastText中词典由所有词的子词集合的并集构成, 假设w的子词y在词典中的向量表示为, 则中心词的向量v w就表示成:对比跳字模型, fastText训练的词向量可以更加准确地描述动态行为词汇之间相关性. 当在检测过程中即便遇到词典中未曾出现的行为词汇, fastText模型也可以从与其结构类似的其他词汇中获得对该词汇更好的向量表示.2.2 使用textCNN对数据进行分类textCNN模型的核心结构是卷积神经网络, 其基本结构包括输入层、卷积层、池化层、全连接层和输出层. 卷积神经网络用于行为分类的模型结构图[15]如图2所示.2021 年 第 30 卷 第 1 期计算机系统应用117图2 textCNN行为分类模型图从图2中可以看到, 在textCNN模型的卷积层, 卷积核的宽度与词向量的维度是一致的, 表明模型在提取特征的时候, 将行为词汇作为日志文本的最小粒度.在Android动态行为日志中, 往往恶意行为是由多个连续的动态行为词汇组成, 因此可以通过设置卷积核的高度来提取日志中相邻行为词汇的关联性, 不仅考虑了动态行为文本中的词义而且兼顾了词序以及上下文. 图2中卷积核的高度分别设置为2、3、4, 对应提取文本中的2-gram、3-gram、4-gram特征. 对比传统机器学习中的n-gram模型, 使用卷积核的优势在于, 只考虑连续词汇的组成, 不会使训练集词表爆炸式增长.在卷积层中模型使用了不同大小的卷积核, 卷积得到的feature maps会具有不同的向量维度. 因此在池化层中, 可以使用1-max-pooling方法通过提取每个feature map中的最大值来表征该特征向量. 池化层的主要作用是下采样, 通过不断降低数据维度来减少网络中的参数和计算次数. 最后模型将每个特征向量经过1-max-pooling池化得到的值拼接起来, 即为池化层最终的输出向量.textCNN模型最后一层为全连接层, 池化层的输出结果在进入全连接层之前, 需要进行Dropout操作来避免过拟合. 全连接层设置可以参照传统卷积神经网络, 第1层采用ReLU作为激活函数, 第2层则使用Softmax分类函数来进行分类.3 实验分析3.1 实验环境与数据本文的实验环境与相关配置如表2所示.表2 实验环境与配置实验环境相关配置移动端操作系统Android 6.0APK分析框架MobSF v3.0.0Android Hook框架Xposed v90-beta3PC端操作系统Window 10编程语言Python 3.6深度学习框架PyTorch 1.4.0本文实验所需的Android恶意软件样本均来自于VirusShare网站[16], 其中样本的数量为1500个. 同时,实验所需的1000个正常样本均下载于Android官方应用市场Google Play. 对于1500个恶意样本和1000个正常样本, 分别使用其中的70%作为本文模型的训练样本, 剩下的30%作为测试样本.计算机系统应用2021 年 第 30 卷 第 1 期118对于每一个样本, 经过动态行为采集框架处理后会得到一个行为日志. 原始的行为日志是json 数据格式, 为了便于后面textCNN 模型的处理, 实验需要通过Python 爬取日志中关键信息, 将其转换为txt 文档表示. 文档中的每一行即为一个行为API, 每一行分为3个部分, 由空格分隔, 每个部分的说明如表1所示.3.2 实验评价指标为了充分评估模型的性能, 本文在验证模型训练结果的时候采用了k 折交叉验证技术. 在本实验中,k 的取值设定为10, 即将训练集划分为10个规模相等且无交集的子集, 在每次训练过程中依次选择1个子集作为测试集, 剩余9个子集作为训练集, 最终以10次计算结果的平均值作为模型评价指标的最终结果.P Precision P Recall 本实验使用3个通用的评价指标即准确率、召回率以及F 1值来对实验结果进评价. 本实验采用的样本分类混淆矩阵如表3所示.表3 样本分类结果混淆矩阵真实类别预测类别正常样本恶意样本正常样本TP FN 恶意样本FPTN表3中, TP 表示实际为正常样本, 被预测为正常样本的样本数目; FP 表示实际为恶意样本, 被预测为正常样本的样本数目; FN 表示实际为正常样本, 被预测为恶意样本的样本数目; TN 表示实际为恶意样本,被预测为恶意样本的数目. 实验评价指标的计算公式如下所示:3.3 实验参数设置由于实验结果在很大程度上会受到实验参数的影响, 因此在实验中将会对模型的参数进行设置. 首先实验将行为日志转换后的文本最大长度设置为400, 超过长度的部分将直接进行截断操作. 本实验使用fastText 模型训练词向量时所设置的参数值如表4所示.表4 fastText 模型训练参数设置参数名参数值word_ngrams 2Window 上下文窗口5最小字符长度2最大字符长度5迭代周期5000在textCNN 模型的训练过程中, 本实验将卷积核的高度固定设置为3、4、5. 对于其他参数, 分别设置了几组对照实验, 其中卷积核数量分别对比了64、128、256三组值, Dropout 参数分别对比了0.3、0.4、0.5三组值, 激活函数对比了ReLU 和tanh 两种函数.通过对比上述几组参数值对实验结果的影响, 最终确定模型的参数如表5所示.表5 textCNN 模型训练参数设置参数名参数值卷积核高度3, 4, 5卷积核数量128Dropout 0.5激活函数ReLU Pooling1-max-pooling迭代周期20003.4 实验结果与分析为了验证本文提出的对于Android 应用程序的动态行为采集框架的有效性, 本文设置了3组对照实验,分别采用不同的方法来提取Android 软件的行为特征.第1组采用传统的静态行为分析法来提取程序的静态行为文本数据, 实验中具体参考文献[3]提出的方法;第2组采用基于污点跟踪技术的分析方法来提取程序的行为文本数据, 实验中具体参考文献[5]中方法; 第3组就采用本文的基于系统函数调用的动态行为采集方法来提取实验数据. 3组实验均使用相同的Android 样本数据集, 然后将3组实验得到的3组文本数据集都经过fastText 模型预处理以及textCNN 模型进行训练, 最后相同模型在不同数据集上的实验结果如表6所示.表6 不同数据集实验结果对比数据集P PrecisionP RecallF 1第1组0.77320.76930.7713第2组0.87560.88610.8810第3组0.92640.93420.9305从表6中数据可以看出, 本文提出的动态行为采集框架可以更有效的提取出Android 程序中行为特征.2021 年 第 30 卷 第 1 期计算机系统应用119第一组数据集的检测准确率相对较低, 原因在于现在的Android应用程序都添加了代码混淆和代码保护壳等对抗反编译的措施, 对比而言本文方法几乎没有受到这些措施的影响. 第2组与第3组实验结果的对比证实了基于污点跟踪技术分析方法存在的局限性, 即无法检测恶意程序在Android Native层的恶意行为.为了对比textCNN模型与传统机器学习模型及传统深度学习模型在Android恶意程序上的检测能力,本文设置了4组对照实验, 将textCNN模型与SVM模型、RandomForest模型以及循环神经网络LSTM模型进行了对比. SVM与RandomForest均是机器学习中比较成熟的分类模型, LSTM也是一种可以高效处理文本问题的神经网络模型. 对于SVM、RandomForest 和LSTM模型中使用的词向量, 本实验均采用传统Word2Vec模型预处理行为数据集来得到. 不同模型在相同测试集上的实验结果对比如表7所示.表7 不同模型实验结果对比模型P Precision P Recall F1SVM0.87130.88630.8789 RandomForest0.90470.89070.8977 LSTM0.92680.92120.9240textCNN0.93860.94110.9397从表7中可以看出, 对比SVM与RandomForest 这两种机器学习模型, textCNN模型的准确率、召回率和F1值分别高出了6.73%、5.48%、6.08%和3.39%、5.04%、4.2%, 同时LSTM模型的实验结果较两种机器学习模型而言也有明显的提升. 这说明采用神经网络模型较传统机器学习方法而言确实可以提高Android 恶意程序的检测准确率. 对比textCNN与LSTM, 可以看到在相同测试集上textCNN模型的检测准确率还是有所提升的, 虽然这种提升是有限的, 但是应该考虑到textCNN具有模型复杂度更小且训练速度更快的先天优势. 图3展示的是4种模型在相同数据集上损失函数值随迭代次数变化而变化的情况. 从图中可以看出, textCNN模型的损失值相对于其他3种模型不仅下降速度较快, 而且最终收敛到一个更低的稳定值.综合两部分的实验结果可以表明本文提出的基于textCNN模型的利用动态行为分析方法的Android恶意程序检测模型是切实可行的方案, 能够有效提升Android恶意程序检测的准确性和有效性.200600400100080014001200180020001600LSTMRandomForestSVMtextCNN迭代次数图3 不同模型损失值变化图4 结论与展望本文提出了基于textCNN模型的Android恶意程序检测方法. 该方法实现了包含多种触发机制的行为触发系统, 有效提高了程序动态行为的检测覆盖率; 通过hook技术动态采集程序系统函数接口和应用层API的调用情况来生成动态行为日志; 通过fastText算法对行为日志进行词嵌入处理, 将文本数据转换为词向量数据; 使用textCNN模型对程序的行为数据进行检测与分类. 在实验环节, 本文使用1500个恶意样本和1000个正常样本, 分别对动态行为采集模块和基于textCNN的检测模块设置了对照实验, 实验结果证实了本文提出的这两个模块是切实可行的且能够有效提高Android恶意软件检测的准确性.在下一步工作中, 针对动态行为采集模块, 将研究更加智能的动态行为触发机制, 以提高行为检测的覆盖率; 针对动态行为检测与分类模块, 将继续研究分类模型的优化问题, 并尝试将捕捉行为词汇前后依赖关系的机制以及注意力机制引入到模型中, 使模型能够更高效地检测Android程序是否存在恶意性.参考文献360互联网安全中心. 2019年手机安全状况报告. 2020.1–9.1吴震雄. Android恶意软件静态检测方案研究[硕士学位论文]. 南京: 南京邮电大学, 2015.2Ma Z, Ge HR, Liu Y, et al. A combination method for Android malware detection based on control flow graphs and machine learning algorithms. IEEE Access, 2019, 7: 21235–21245. [doi: 10.1109/ACCESS.2019.2896003]3Enck W, Gilbert P, Han S, et al. TaintDroid: An information-flow tracking system for realtime privacy monitoring on smartphones. ACM Transactions on Computer Systems, 4计算机系统应用2021 年 第 30 卷 第 1 期120。

androidkiller工作原理
Android Killer是一种恶意软件，它的主要功能是窃取用户的个人信息和敏感数据。

它的工作原理如下：
1. 感染设备：Android Killer会通过各种途径感染用户的设备，包括通过恶意应用程序、短信、邮件、社交媒体等方式。

2. 获取权限：一旦感染设备，Android Killer会尝试获取系统的各种权限，包括读取通讯录、拨打电话、发送短信、访问网络等权限。

3. 收集信息：一旦获取了足够的权限，Android Killer会开始收集用户的个人信息和敏感数据，包括联系人、短信、通话记录、位置信息等。

4. 传输数据：Android Killer会将收集到的数据传输到远程服务器，这些服务器通常由黑客控制，黑客可以利用这些数据进行各种非法活动。

5. 控制设备：除了收集用户的个人信息外，Android Killer还可以通过远程控制的方式控制用户的设备，包括拍照、录音、发送短信等操作。

为了保护用户的个人信息和设备安全，用户应该保持警惕，不要下载不明来源的应用程序，不要轻易点击陌生链接，定期更新系统和应用程序，安装杀毒软件等。

安全检测检查清单（Android版APP）(⼀)检查项：allowbackup备份权限优先级：⾼检查要点：被测应⽤的AndroidManifest.xml⽂件中allowBackup属性值被设置为true，可通过adb backup对应⽤数据进⾏备份，在⽆root的情况下可以导出应⽤中存储的所有数据，造成⽤户数据泄露。

检查⽅法：1、使⽤AndroidKiller对APK⽂件进⾏反编译；2、AndroidManifest.xml 是每个android程序中必须的⽂件，位于整个项⽬的根⽬录，描述了package中暴露的组件（activities, services, 等等），以及各⾃的实现类，各种能被处理的数据和启动位置。

从安全⾓度来看，它包含了应⽤程序中所有使⽤到的组件信息，同时它还会显⽰应⽤程序使⽤的permissiosns信息。

在其中搜索allowBackup属性，检查是否被设置为true。

（⼆）检查项：Debuggable属性优先级：⾼检查要点：被测应⽤的AndroidManifest.xml⽂件中Debuggable属性值被设置为true，可以设置断点来控制程序的执⾏流程，在应⽤程序运⾏时修改其⾏为。

检查⽅法：1、使⽤AndroidKiller对APK⽂件进⾏反编译；2、在AndroidManifest.xml中搜索Debuggable属性，检查是否被设置为true。

（三）检查项：APP恶意⽊马捆绑安全检查优先级：⾼检查要点：检查APP应⽤是否被捆绑了恶意代码检查⽅法：1、采⽤杀毒软件等⼯具，对APP代码进⾏安全扫描；2、检查APP应⽤是否捆绑了恶意⽊马，如：键盘记录恶意⽊马等。

（四）检查项：密码锁定策略优先级：⾼检查要点：测试客户端是否存在⼿势密码多次输⼊错误被锁定的安全策略。

检查⽅法：1、⾸先通过正常的操作流程设置⼀个⼿势密码。

2、输⼊不同于步骤1中的⼿势密码，观察客户端的登陆状态及相应提⽰。

基于深度学习的Android 恶意软件检测：成果与挑战陈 怡①③④ 唐 迪② 邹 维*①③④①(中国科学院信息工程研究所 北京 100093)②(香港中文大学 香港 999077)③(中国科学院网络测评技术重点实验室 北京 100093)④(中国科学院大学网络空间安全学院 北京 100049)摘 要：随着Android 应用的广泛使用，Android 恶意软件数量迅速增长，对用户的财产、隐私等造成的安全威胁越来越严重。

近年来基于深度学习的Android 恶意软件检测成为了当前安全领域的研究热点。

该文分别从数据采集、应用特征、网络结构、效果检测4个方面，对该研究方向已有的学术成果进行了分析与总结，讨论了它们的局限性与所面临的挑战，并就该方向未来的研究重点进行了展望。

关键词：移动安全；Android 恶意软件；Android 应用；深度学习；机器学习中图分类号：TP309.5文献标识码：A文章编号：1009-5896(2020)09-2082-13DOI : 10.11999/JEIT200009Android Malware Detection Based on Deep Learning:Achievements and ChallengesCHEN Yi ①③④ TANG Di ② ZOU Wei ①③④①(Institute of Information Engineering , Chinese Academy of Sciences , Beijing 100093, China )②(Chinese University of Hong Kong , Hongkong 999077, China )③(Key Laboratory of Network Assessment Technology , Chinese Academy of Sciences , Beijing 100093, China )④(School of Cyber Security , University of Chinese Academy of Sciences , Beijing 100049, China )Abstract : With the prosperous of Android applications, Android malware has been scattered everywhere, which raises the serious security risk to users. On the other hand, the rapid developing of deep learning fires the combat between the two sides of malware detection. Inducing deep learning technologies into Android malware detection becomes the hottest topic of society. This paper summarizes the existing achievements of malware detection from four aspects: Data collection, feature construction, network structure and detection performance.Finally, the current limitations and facing challenges followed by the future researches are discussed.Key words : Mobile security; Android malware; Android application; Deep learning; Machine learning1 引言Android 系统是由Google 公司于2007年11月正式发布的一款面向智能移动设备的开源操作系统，其开放自由的特性使得Android 系统迅速普及。

基于特征图像生成的Android恶意软件检测方法基于特征图像生成的Android恶意软件检测方法随着智能手机的普及，Android操作系统逐渐成为了主流的移动操作系统。

然而，随着Android应用程序的快速发展，也出现了越来越多的恶意软件，给用户的信息安全带来了严重威胁。

因此，研究和开发一种高效准确的Android恶意软件检测方法显得尤为重要。

基于特征图像生成的Android恶意软件检测方法是一种新的检测手段。

该方法首先通过对已知正常应用程序和已知恶意应用程序的样本进行特征提取，得到样本的特征图像。

然后，使用这些特征图像来生成一个基于图像的恶意软件检测模型。

最后，通过将待检测应用程序的特征图像输入到检测模型中，判断该应用程序是否为恶意软件。

特征提取是基于特征图像生成的Android恶意软件检测方法的关键步骤。

在Android恶意软件检测中，可以利用应用程序的行为和组件等信息进行特征提取。

行为特征包括应用程序的权限使用、网络通信行为、敏感API调用等。

组件特征包括应用程序的活动、服务、广播接收器以及内容提供者等。

将这些特征转化成图像的形式，可以更好地提取和表示应用程序的特征。

特征图像生成采用了一种将特征转化为图像的方法。

首先，定义一个特征矩阵，矩阵的行代表不同的特征，矩阵的列表示不同的应用程序。

然后，根据特征的值将特征矩阵中的每个元素映射成一个像素点。

特征值越高的元素，对应的像素点越亮，特征值越低的元素，对应的像素点越暗。

这样，就可以得到每个样本的特征图像。

基于特征图像的恶意软件检测模型使用了深度学习算法。

传统的恶意软件检测方法主要使用了机器学习算法，但由于Android应用程序的特征空间非常庞大和复杂，使用传统的机器学习算法可能无法获取到足够准确的恶意软件检测模型。

而深度学习算法可以通过多层次的特征提取和自动学习来构建高效准确的检测模型，因此在Android恶意软件检测中具有很大的潜力。

生成的基于特征图像的恶意软件检测模型可以用于检测未知应用程序的恶意性。

Android系统应用程序安全检测技术随着智能手机的普及和移动应用的快速发展，Android系统成为了世界上最流行的移动操作系统之一。

然而，随之而来的是对于Android系统应用程序安全的关注。

在这篇文章中，我们将探讨Android系统应用程序安全检测技术，包括常见的安全漏洞和对应的防护方法。

一、安全漏洞在Android系统应用程序中，存在许多种安全漏洞。

其中最常见的安全漏洞包括代码注入、越权访问、缓冲区溢出和信息泄露等。

1. 代码注入代码注入是Android系统应用程序中常见的一种安全漏洞。

这种漏洞的发生是因为未经过充分检查的用户输入数据被直接嵌入到代码中，从而使攻击者能够执行恶意代码。

为了防止代码注入漏洞，开发者应该对用户输入数据进行合理的过滤和验证，避免恶意代码的执行。

2. 越权访问越权访问是指攻击者通过某种方式绕过应用程序的权限限制，获取到不应该获得的数据或者执行不被允许的操作。

这种漏洞的发生是因为应用程序的权限控制不够严格，或者存在安全隐患。

为了防止越权访问漏洞，开发者需要在应用程序中正确配置权限，并确保对用户的身份验证和授权操作的正确性。

3. 缓冲区溢出缓冲区溢出是一种在计算机程序中经常出现的安全漏洞。

在Android系统应用程序中，当攻击者向缓冲区中输入超过其容量的数据时，就可能导致缓冲区溢出，从而使攻击者能够执行未授权的操作或者临时占用系统资源。

为了防止缓冲区溢出漏洞，应用程序开发者需要在编写代码时尽量避免使用容易导致缓冲区溢出的函数，同时需要确保对用户输入数据的合理过滤和验证。

4. 信息泄露信息泄露是指应用程序在处理用户敏感信息时发生的安全漏洞。

这种漏洞的发生是因为应用程序在存储用户敏感数据、传输数据或者处理数据时没有采取适当的安全措施。

为了防止信息泄露漏洞，开发者需要采取加密、身份验证等技术手段来保护用户敏感信息。

二、安全检测技术为了保护Android系统应用程序的安全，开发者可以采用各种安全检测技术。

恶意应用程序检测报告
1. 背景信息
恶意应用程序是指具有恶意意图的应用程序，可能会对用户的设备和数据造成威胁。

为了确保设备的安全性，本报告旨在对恶意应用程序进行检测和分析。

2. 检测方法
使用单信号特征和多信号特征相结合的方式对应用程序进行检测。

我们使用了以下几种方法：
- 静态分析：对应用程序的代码进行静态分析，检查是否存在恶意行为的迹象。

- 动态分析：运行应用程序，并监视其行为，以便及时发现潜在的恶意行为。

- 机器研究算法：使用训练好的模型对应用程序进行分类，以识别恶意应用程序。

3. 检测结果
经过检测和分析，我们发现以下结果：
- 总共检测了1000个应用程序，其中有200个应用程序被判定
为恶意应用程序。

- 恶意应用程序主要包含以下类型：恶意广告、恶意软件、恶
意权限获取等。

- 恶意应用程序的特征包括：异常的网络请求、频繁的后台运行、隐私权限滥用等。

4. 建议措施
为了减少恶意应用程序对用户的伤害，我们提出以下建议措施：- 定期更新设备的操作系统和应用程序，以获取最新的安全补丁。

- 注意应用程序的权限请求，避免授权敏感权限给不可信的应
用程序。

- 安装并定期更新可靠的安全应用程序，对设备进行实时监测
和防护。

5. 总结
针对恶意应用程序的检测是确保设备安全的重要一环。

通过综
合采用静态分析、动态分析和机器研究算法的检测方法，我们能够
快速准确地识别恶意应用程序，并提供相应的建议措施，帮助用户保护设备和数据的安全。

Android恶意软件检测低冗余特征选择方法
郝靖伟;潘丽敏;李蕊;杨鹏;罗森林
【期刊名称】《北京航空航天大学学报》
【年(卷),期】2022(48)2
【摘要】针对Android恶意软件检测特征选择中,对类间具有相同频率分布的特征过度关注而导致特征冗余问题,提出了一种Android恶意软件检测低冗余特征选择方法。

利用Mann-Whitney检验方法选择出存在频率分布偏差的特征;通过外观比率间隔算法量化偏差程度和特征出现频率剔除低偏差和整体软件中低频使用的特征;结合粒子群优化算法和分类器检测效果得到最优特征子集。

使用公开数据集DREBIN和AMD进行实验,实验结果显示,在AMD数据集上选择出了294维特征,进行特征选择后6种分类器的检测准确率提高了1%~5%,在DREBIN数据集上选择出了295维特征,少于4种对比方法,且进行特征选择后6种分类器的检测准确率提高了1.7%~5%。

实验结果表明,所提方法能够降低Android恶意软件检测中特征的冗余性,提升恶意软件的检测准确率。

【总页数】8页(P225-232)
【作者】郝靖伟;潘丽敏;李蕊;杨鹏;罗森林
【作者单位】北京理工大学信息与电子学院;国家计算机网络应急技术处理协调中心
【正文语种】中文
【中图分类】V219;TP317
【相关文献】
1.基于特征生成方法的Android恶意软件检测方法
2.基于特征生成方法的Android恶意软件检测方法
3.基于改进哈里斯鹰算法同步优化特征选择的恶意软件检测方法
4.一种基于异质模型融合的Android终端恶意软件检测方法
5.一种基于生物启发特征优化的Android恶意软件检测方法
因版权原因，仅展示原文概要，查看原文内容请购买。

基于Android系统的手机恶意软件检测模型
马晋杨;徐蕾
【期刊名称】《计算机测量与控制》
【年(卷),期】2016(24)1
【摘要】为提高手机应用软件的安全性,提出一种基于Android系统的手机恶意软件检测模型;模型利用数据挖掘的方法对恶意软件中的敏感API调用进行数据挖掘,进而得到恶意软件检测规则;针对检测规则在检测非恶意软件时,产生较高误报率的问题,设计了加权FP-growth关联规则挖掘算法,算法在数据挖掘的两个步骤中,对敏感API调用加权,利用支持度阈值去除一些出现次数频繁而权重小的规则,降低了非恶意软件的误报率;实验结果表明,模型对恶意软件检测率达到81.7％,非恶意软件的检错率降低到11.3％.
【总页数】3页(P156-158)
【作者】马晋杨;徐蕾
【作者单位】沈阳航空航天大学计算机学院,沈阳 110136;沈阳航空航天大学计算机学院,沈阳 110136
【正文语种】中文
【中图分类】TP309.5
【相关文献】
1.基于良性样本的Android系统恶意软件检测 [J], 谢丽霞;赵彬彬
2.手机恶意软件检测的分布式免疫模型 [J], 王盼;梁意文
3.基于类别SVM的Android系统恶意软件检测研究 [J], 管飞诗;徐夫田
4.基于免疫危险理论的手机恶意软件检测模型 [J], 邹劲松
5.基于优化K-means的Android系统恶意软件检测的研究与设计 [J], 赵中军;曾涌泉;王运兵
因版权原因，仅展示原文概要，查看原文内容请购买。