張長勝，周 洌，任小波，李 川

(昆明理工大學(xué) 信息工程與自動化學(xué)院，云南 昆明650500)

在促進業(yè)務(wù)信息化以及網(wǎng)絡(luò)化快速發(fā)展的同時, 信息化技術(shù)給用戶的業(yè)務(wù)信息系統(tǒng)帶來了越來越多的安全問題,惡意代碼是其中一個倍受矚目的安全問題[1-2]。

針對Android[3]系統(tǒng)的惡意代碼檢測技術(shù)主要有動態(tài)檢測和靜態(tài)檢測技術(shù)。其中，最經(jīng)典的是基于惡意代碼特征指令序列的靜態(tài)檢測方法, 其通過分析軟件的源代碼等信息，與已知的惡意代碼進行匹配，檢測是否包含惡意代碼特征來確定，被廣泛應(yīng)用于各種殺毒軟件。N.Peiravian[4]使用純靜態(tài)分析，通過提取 APK 的權(quán)限與 API 調(diào)用，并構(gòu)建高維特征向量，使用機器學(xué)習(xí)的方法對數(shù)據(jù)集進行判斷，來確認軟件是否含有惡意代碼。董勝亞[5]提出基于 KNN 的 Android 平臺軟件異常監(jiān)測模型。傳統(tǒng)的靜態(tài)檢測方法因為需維護樣本庫使得其應(yīng)用受到制約。但是隨著云計算技術(shù)的發(fā)展，有效解決了傳統(tǒng)靜態(tài)檢測技術(shù)中樣本庫內(nèi)容不斷增加的難題，使靜態(tài)檢測技術(shù)突破了樣本庫維護的瓶頸[6]。因此，本文采用基于粗糙集算法的方法，建立特征模型，提取權(quán)限特征、API特征，在機器學(xué)習(xí)算法的基礎(chǔ)之上，對安卓惡意代碼特征進行分析檢測。

1 粗糙集理論

在粗糙集(RS)中，特征屬性叫做故障案例，由決策屬性、條件屬性組成。相似性由特征屬性決定。在計算特征相似度時，不同特征屬性的權(quán)重也不相同[7]。到目前為止，確定屬性權(quán)重的方法分為3類：(1)基于Z.Pawlak屬性重要度的概念[8]，通過代數(shù)的形式來算出屬性權(quán)重；(2)根據(jù)矩陣的方式來確定權(quán)重，在模糊矩陣中，屬性頻數(shù)就是該屬性權(quán)重重要程度；(3)使用信息熵來對屬性權(quán)重進行計算。為了得出比較客觀的權(quán)重值以及特征之間的相似度，結(jié)合粗糙集理論來進行權(quán)重、相似度的計算。

粗糙集算法基于其它算法有如下兩方面的優(yōu)點：首先， RS是一個用數(shù)據(jù)來分析的工具，數(shù)據(jù)分析能力強?？杀磉_和解決一些不確定、不完備、不精確的信息；可針對數(shù)據(jù)做出化簡操作；可判別數(shù)據(jù)之間的相互依賴關(guān)系；可根據(jù)經(jīng)驗數(shù)據(jù)，獲取得到容易驗證的規(guī)則知識信息[9]；其次，RS運用了數(shù)據(jù)自身所提供的數(shù)據(jù)信息，不要求有先驗的知識[10]。

2 特征匹配計算

2.1 知識粒度RS計算方法

Decui Liang 等人提出了計算粒度的一般方法[11]。苗奪謙研究了如何對RS中粒度進行劃分，并且提出了“粒度計算”模型來計算屬性權(quán)重[12]。

在RS中，把研究對象抽象成S=(U,C∪D,V,f)，U代表的是論域(U不為空)，屬性的子集為X?C,x?C代表屬性。則x對于X的屬性重要度用Sig(x)表示為[13]

(1)

2.2 屬性權(quán)重的計算

在RS中，屬性權(quán)重計算是歐式相似度計算的前提，根據(jù)信息系統(tǒng)中信息表求出各個屬性的權(quán)重值。

基于RS的屬性權(quán)重計算過程如下：

輸入案例特征信息表S=(U,A,V,F)，新案例集Ci=(ai1,ai2,…,ain)。

輸出客觀權(quán)重。

步驟1根據(jù)新案例特征屬性ai1～ain確定信息表；

步驟2將j初始化為1，n=|Ci|；

2.3 RS與歐氏距離匹配模型

知識粒度RS和歐氏距離的特征匹配模型如圖1所示。

圖1 基于RS和歐氏距離模型

移動終端手機故障按照一定的形式表現(xiàn)出來，如手機運行狀態(tài)、手機型號、CPU處理器型號等等。云平臺收集移動終端這些參數(shù)并且創(chuàng)建新的特征案例。

在RSCu={a01,a02,…,a0n}中，定義一般特征案例集為Ci=(ai1,ai2,…,ain)，Ci代表案例庫中的案例集，ai1,ai2,…,ain代表特征屬性。用多維數(shù)組來表示新產(chǎn)生的案例，a01,a02,…,a0n表示Cu特征案例中的參數(shù)屬性值。云平臺利用知識粒度RS原理計算屬性的權(quán)重值。一般把計算出來的屬性權(quán)重值定義為I=(Ia1,Ia2,…,Ian),0≤Iai≤1。計算一般案例與新增案例的歐氏距離[12]

(2)

基于粗糙集和歐氏距離的相似度匹配算法過程如下：在收集新特征案例之后，云平臺首先從案例庫中檢索出有沒有與新案例一樣的特征案例，若存在，云平臺就直接返回特征案例的結(jié)果，若云平臺中不存在與案例庫匹配的特征案例，利用歐氏距離算法進行特征匹配計算[15-16]。(1)提取終端特征，同時創(chuàng)建新故障案例； (2)根據(jù)提取的特征屬性案例，生成特征故障信息表； (3)基于RS計算屬性權(quán)重； (4)按照式(2)計算當(dāng)前特征案例與案例庫中條件屬性的歐氏距離。

3 實驗結(jié)果與分析

3.1 實驗設(shè)計

針對本文中研究的安卓惡意代碼檢測模型，進行多組實驗，包括：權(quán)限特征的特征選擇對比實驗、系統(tǒng) API 特征的特征選擇對比實驗。

(1)權(quán)限特征實驗。 權(quán)限特征實驗進行 10組分類實驗，觀察準確率、漏報率、誤報率評估指標的變化；

(2)API 特征實驗。 在 API 特征實驗過程中，為 2 000 個 API 分別設(shè)計了 10 組實驗，梯度是 200 ，觀察準確率、漏報率、誤報率評估指標的變化。

在機器學(xué)習(xí)算法的基礎(chǔ)之上，對安卓惡意代碼特征進行分析檢測，需要對實驗數(shù)據(jù)集進行劃分操作，劃分出測試樣本集合以及訓(xùn)練模型的訓(xùn)練樣本集合。在實驗數(shù)據(jù)集劃分的過程中，對樣本采取均勻抽樣的方法來對樣本進行提取，從而構(gòu)成訓(xùn)練數(shù)據(jù)集以及測試數(shù)據(jù)集。訓(xùn)練數(shù)據(jù)集樣本數(shù)量是3 140，測試數(shù)據(jù)集樣本數(shù)據(jù)是2 123。

本實驗實施過程中，將安卓惡意應(yīng)用程序說明為正樣本，良性應(yīng)用程序說明為負樣本。為檢測本文方案的性能以及效果，需要計算Accuracy(準確率)，F(xiàn)PR(誤報率)，F(xiàn)NR(漏報率) 指標。TP 表示惡意樣本被正確分類為惡意樣本的數(shù)量； FN 表示惡意樣本被錯誤分為良性樣本的數(shù)量；TN 表示良性樣本的數(shù)量；FP 表示良性樣本誤報為惡意樣本的數(shù)量。

準確率的計算如式(3)所示

(3)

誤報率的計算如式(4)所示

(4)

漏報率的計算如式(5)所示

(5)

3.2 實驗結(jié)果分析

在進行權(quán)限特征實驗之前，需要對權(quán)限特征進行分組，根據(jù)權(quán)限特征在相應(yīng)數(shù)據(jù)集上的排序，對權(quán)限特征進行分組，梯度為10 個權(quán)限特征，一共分了13組，在數(shù)據(jù)集現(xiàn)有的情況下，使用粗糙集(RS)實驗所采用的數(shù)據(jù)集合當(dāng)中良性安卓樣本和惡意安卓樣本數(shù)量都為500。針對權(quán)限特征在實驗數(shù)據(jù)集上的準確率、誤報率、漏報率進行實驗結(jié)果詳細統(tǒng)計。實驗結(jié)果如表1所示，準確率如圖 2所示，誤報率如圖 3 所示，漏報率如圖4 所示。

表1 基于RS權(quán)限特征

圖2 準確率

圖3 誤報率

圖4 漏報率

從以上3幅圖中分析得到：對于維度不一樣的權(quán)限特征的選擇，以及不同的算法的選擇，當(dāng)特征維數(shù)達到 約60維時，其準確率、誤報率、漏報率所對應(yīng)的數(shù)值都接近收斂。所以，在建立基于權(quán)限特征的安卓惡意代碼檢測模塊的時候，選擇前60維的權(quán)限特征。

為了挖掘出較強分類能力的系統(tǒng) API 特征集，本實驗獲取了系統(tǒng) API 排序中的前2000個 API 來進行實驗，并且分成 10 組，基于RS算法進行實驗。本實驗采用的實驗數(shù)據(jù)集正樣本數(shù)量和負樣本數(shù)量都是500。實驗結(jié)果如表2所示，準確率如圖5所示，誤報率如圖6所示，漏報率如圖7所示。

表2 基于RS 系統(tǒng)API特征

圖5 準確率

從圖5中API特征準確率分析得到，隨著 API特征維數(shù)的增加，準確率在提高，但當(dāng)API 特征的維數(shù)超過 1 300時，算法的準確率開始趨向收斂，不會發(fā)生明顯變化。

圖6 誤報率

圖7 漏報率

由圖6和圖7可知，隨著特征維數(shù)的增加算法誤報率以及漏報率都會降低，當(dāng)系統(tǒng) API 特征維數(shù)增加到約1 300維，漏報率以及誤報率均趨收斂、平緩，有最低趨勢。所以訓(xùn)練時，使用前1 300維的 API 特征。

4 結(jié)束語

從實驗結(jié)果可知，實驗的全部檢測準確率都達到90%，說明了提取權(quán)限特征、API特征，并進行惡意檢測的思路是可行的。但是，良性與惡意樣本的準確率都沒有達到100%。良性樣本沒有達到100%主要原因是部分應(yīng)用特征的行為跟惡意程序的很相似，從而導(dǎo)致了檢測過程的誤報。而惡意樣本沒達到100%，主要原因是本實驗對惡意軟件調(diào)用的API特征沒有進行覆蓋完全，部分少量的惡意應(yīng)用行為沒有被全部檢測到。

[1] 徐小琳,云曉春,周勇林,等. 基于特征聚類的海量惡意代碼在線自動分析模型[J]. 通信學(xué)報, 2013(8):146-153.

[2] 韓曉光.惡意代碼檢測關(guān)鍵技術(shù)研究[D].北京：北京科技大學(xué),2015.

[3] 萬一,朱志祥,吳晨,等. 一種基于數(shù)據(jù)加密技術(shù)的安卓軟件保護方案[J]. 電子科技, 2016, 29(2):173-176.

[4] 董勝亞.基于Android 平臺的軟件異常行為檢測技術(shù)研究[D].北京：北京郵電大學(xué)，2013.

[5] Peiravian N, Zhu X. Machine learning for android malware detection using permission and API calls[C].Houston: International Conference on TOOLS with Artificial Intelligence. IEEE, 2013.

[6] 卿斯?jié)h. Android安全研究進展[J]. 軟件學(xué)報,2016,27(1):45-71.

[7] 賈冀婷.基于PSOABC-SVM的軟件可靠性預(yù)測模型[J]. 計算機系統(tǒng)應(yīng)用,2014,23(7):161-164.

[8] 張銳,楊吉云.基于權(quán)限相關(guān)性的Android惡意軟件檢測[J].計算機應(yīng)用,2014, 34(5):1322-1325.

[9] 張文,嚴寒冰,文偉平.一種Android惡意程序檢測工具的實現(xiàn)[J].信息網(wǎng)絡(luò)安全, 2013(1):27-32.

[10] 徐尤華, 熊傳玉. Android應(yīng)用的反編譯[J]. 電腦與信息技術(shù), 2012, 20(1):50-51.

[11] Jia J T, Computer D O. Software Reliability Prediction Based on PSOABC-SVM Model[J]. Computer Systems & Applications, 2014(9):511-519.

[12] 于洪,王國胤,姚一豫,等. 決策粗糙集理論研究現(xiàn)狀與展望[J].計算機學(xué)報, 2015(8):1628-1639.

[13] 王蕊,馮登國,楊軼,等. 基于語義的惡意代碼行為特征提取及檢測方法[J].軟件學(xué)報,2012, 23(2):378-393.

[14] 楊帆. 軟件安全性測試與分析的若干關(guān)鍵技術(shù)研究[D]. 武漢：武漢大學(xué), 2013.

[15] 張清華,王進,王國胤.粗糙模糊集的近似表示[J].計算機學(xué)報,2015(7):1484-1496.

[16] Miao D Q,Xu F F,Yao Y Y,et al. Set-theoretic formulation of granular computing[J]. Chinese Journal of Computers, 2012, 35(2):351-363.