论文部分内容阅读
在移动通信领域,随着宽带无线接入技术和移动终端技术的飞速发展,人们迫切希望能够随时随地乃至在移动过程中都能方便地从互联网获取信息和服务,于是移动互联网应运而生并迅猛发展。移动互联网(Mobile Internet)是一种通过智能移动终端,采用移动无线通信方式获取业务和服务的新兴业态。近年来,移动智能终端计算能力逐步提高,移动智能终端的功能日趋复杂,伴随而来的问题是操作系统漏洞随之增加,相关的安全事件也日渐增多。此外,移动互联网的迅速发展也加速了恶意程序在移动智能终端上的传播与增长。这些恶意程序往往被用于窃取用户个人信息,非法订购各类增值业务,侵犯个人隐私,造成用户直接经济损失。移动应用安全形势越来越严峻,对安全的轻视将导致严重的后果,移动恶意应用程序已经成为威胁移动互联网发展的重要因素之一。对移动智能终端恶意程序进行有效地防范和控制关系到我国移动互联网产业的健康发展和广大移动终端用户的切身利益。然而,移动安全环境与传统安全环境差别极大,移动智能终端相比传统终端具有的移动性以及保存个人隐私数据等新特性,使得传统的软件安全分析和保护方法不能对移动平台提供有效支撑,因此针对移动智能终端研究软件安全分析和保护技术有重要的意义。本文对移动互联网软件安全方面的成果进行了系统的总结,针对当前移动应用安全面对的威胁和挑战,分析了当前技术所存在的局限性,面向不同的场景,提出了移动应用程序静态行为分析方法、移动应用程序动态行为序列分析模型,以及移动应用安全保护方案等核心解决方法,并在实际环境中搭建移动应用安全服务平台,在大量实验中对文中所提方法进行了验证。本文的主要工作与贡献如下:1、提出基于指令序列的恶意代码特征检测方法。安卓应用数量巨大且开发门槛低,对应用程序修改方便,同一程序通常会出现多个版本。传统的特征比对方法无法有效检测出海量应用中的恶意代码,而现有的基于模式识别的恶意代码检测方法由于目标指令集特征复杂,分析效率和准确性较低。针对这一问题,本文首先通过统计分析与语义归纳优化和精简Dalvik指令集,生成中间语言SDIL(Simple-Dalvik Intermediate Language),在此基础上利用改进的MOSS算法对恶意应用进行特征提取及检测。实验证明,该方法能够准确高效地提取恶意样本特征,且对恶意代码的简单变种有较好的识别效果。2、提出基于指令语义形式化描述的恶意应用行为分析方法。当前恶意代码编写者通常将恶意代码隐藏在足够深的执行路径中,仅在特定条件下触发,而传统的恶意应用检测方法无法发现深层次的恶意行为。针对这一问题,本论文在Dalvik指令精简集SDIL的基础上,对指令语义进行符号化描述,揭示其中的工作机制与控制依赖关系,并跟踪敏感调用相关控制流和数据流的变化情况,从而有效解决上述问题。同时,为了计算和验证这些后台恶意行为的触发条件,本文在流追踪的基础上借鉴符号执行的思想,基于SDIL语义描述,对存在敏感调用的路径条件约束求解。分析中根据恶意代码控制流分析的特点,在控制依赖追踪、数据流追踪及符号计算的过程中优化分析路径,缓解了符号执行中的路径爆炸问题,最终求解出具体后台行为和触发条件,揭示出样本后台行为的执行全过程。实验表明本方法可以有效对移动应用后台行为进行分析,能够发现特征检测无法发现的未知移动恶意应用程序。3、提出基于HMMs-SVM的移动恶意行为动态分析方法。针对移动应用程序行为序列分析及分类问题,本文以传统入侵检测方法中异常检测思想为切入点,将隐马尔科夫模型(HMM)和支持向量机(SVM)相结合进行建模,提出了基于多重隐马尔科夫模型和支持向量机的移动恶意程序动态分析方法。该方法以动态行为序列作为关键特征,对不同类别移动应用软件运行时多种行为建模。该方法融合了HMM和SVM的优点并克服二者的不足,适合于在获取连续动态行为特征序列后进行行为分类,可以主动发现终端在执行过程中的异常,及时发现终端中具有已建模行为的未知程序或者已建模程序的变体等恶意威胁。实验表明,该方法分析准确率较高,可以有效捕捉应用的异常行为并将其按照类型分类。4、提出了基于自定义加载技术的移动应用安全保护方案。针对目前移动应用所面临的安全问题,特别是Android应用程序易被篡改和重打包的现象,为了节省开发者在软件安全方面所投入的精力,本文在研究传统软件保护技术的基础上,提出了一套适用于移动环境的软件保护方案。框架通过逆向分析系统源码,开发出了一套可以用于Android系统的应用程序自定义加载器,在应用程序运行时释放并在内存中加载受保护数据,避免攻击者轻易获取受保护数据。同时,为了解决加载器在加载和解密中的密钥保护问题,针对移动终端中运算与存储资源受限的问题改进了白盒AES算法,提高了算法运算效率。本文提出的移动应用保护方案解决了传统软件保护技术在移动平台无法有效应用以及基于签名的软件保护方法易被绕过等问题,结合代码混淆算法以及反调试、校验等传统手段,提升了攻击者分析受保护数据的难度,有效地阻止了攻击者篡改移动应用。