一种android应用程序恶意行为的动态检测及拦截方法.docVIP

  一种 android 应用程序恶意行为的动态检测 及拦截方法 温圣召，温巧燕，张华** 5 10 15 20 25 30 35 40 （北京邮电大学网络安全研究中心） 摘要：本文主要是研究如何对基于 Android 平台的恶意应用的恶意行为的动态检测及拦截技 术。通过对 Android 系统架构、binder 通信及代码注入技术的研究，设计出一种基于 native 层代码注入方式的拦截技术，实现对恶意应用的恶意行为的拦截；通过对 binder 协议的研 究及通信数据的逆向，实现对用户定制的黑白名单应用的拦截、放行或检测。该系统可以 接受用户定制、实现用户行为自学习等功能，通过用户定制及自学习结果，减少与用户的 交互，实现后台拦截。相对于其他检测或保护方法，本文给出的方法具有时时、动态的特 性，这些特性可以实现在恶意应用的恶意行为发生前或发生时进行检测拦截，进而减少用 户的机密信息泄漏或经济损失，在学术研究及商业应用上有着广阔的研究价值及应用前 景。 关键词：Android；代码注入；动态检测；动态拦截；用户定制； 中图分类号：TP311.1 One kind of android application dynamically detect malicious behavior and intercept method wenshengzhao, wenqiaoyan, zhanghua (Beijing university of posts and telecommunications(BUPT) The Network Security Research Center (NSRC)) Abstract: This paper is to study how dynamically detect and intercept the malicious action of the applications on android system. Through study of the Android system architecture, binder communications and code injection technology, design a native layer code injection method to achieve the intercept of malicious applications action. Through research binder communication protocol and reverse connunication data to achieve the intercept, release or detection of the black and white lists of applications that given by user. This system can accept user constomize and learn user behaviors, so it can reduce the interactive with user and run in the background. Compared with other methods, this method have promptness and dynamics characters. these characters can achieve to intercept the malicious action before it executed or being executed，so it can protect users confidential information and reduce economic losses. This method hava broad research value and business use. Key words: Android; code inject; dynamic detection; dynamic intercept; user constomize; 0 引言 目前 Android 系统的移动设备已经得到了广泛的应用。 去年上半年搭载 Android 系统 的智能终端出货量达到一亿多部，市场占有率近 70%[1]。随着移动智能终端的发展，Android 平台上的安全问题也日益突出，恶意软件的数量出现爆发式的增长。仅 2012 年第三季度就 查杀恶意软件 2.3 万余款，感染手机 991 万部，且 94%的恶意软件集中在 Android 平台[2]。 作者简介：温圣召（1990-），男，硕