恶意软件检测(精选十篇)
恶意软件检测 篇1
一、安卓平台下恶意软件的类型
随着现代计算机技术的不断发展, 黑客的攻击手段也层出不穷, 但在目前安卓平台下的恶意软件主要包括3大类, 分别是安装攻击、功能触发以及恶意负载。
1、安装攻击。安卓平台下的安装攻击式恶意软件, 其主要就是将自己伪装成时下各类人们的应用软件, 吸引用户对其进行下载, 这样就能够达到快速传播的目的, 当用户错误下载了这类恶意软件, 其就会通过重打包、更新包以及偷渡式下载方式对用户的移动通讯端口进行入侵。其中重打包主要就是当用户安装软件后, 软件就会向用户端植入恶意负载, 对其系统进行重新的编码, 以此隐藏恶意软件;而更新包的方式主要是在用户安装过程中提示需要下载更新包, 而更新包中就隐藏着恶意编码, 对用户端进行入侵;偷渡式下载主要就是在安装软件中有部分恶意网站的连接, 引导用户对恶意软件进行下载。
2、功能触发。功能触发主要就是通过诱导用户对软件进行点击来完成恶意软件的安装, 其一般是在网站上挂出相关的恶意链接, 将其伪装成热门连接, 诱导用户进行点击。还有部分恶意软件具有监听功能, 能够对用户端的相关信息进行窃取, 部分恶意软件还可以对用户的话费进行非法扣取, 对于用户的经济造成较大的损失。
3、恶意负载。安卓平台下的恶意软件其主要特征就是恶意负载, 通过提高黑客对用户端的权限, 对用户进行远程控制, 以达到获取用户信息, 扣取话费, 并对恶意软件进行隐藏保护。安卓平台下的系统权限主要通过root权限来实现, 而大多数恶意软件中均含有针对于root进行的攻击, 将自身伪装成含有png后坠的图片文件, 保护恶意软件。而远程控制主要就是通过恶意软件中搭载的信息回传、更新本地等功能来实现的, 其可以突破用户的安全防护, 对用户的通讯设备进行远程的控制, 并使用自定义的编码序列加密自己的服务器, 窃取用户信息的同时隐藏恶意软件。同时, 这种恶意软件还可以对通信服务商的短信进行过滤, 这样就可以隐藏扣取用户话费的踪迹, 并同时可以窃取到用户的通话信息和短信信息, 非法获取用户的信息个人信息。
二、安卓平台下恶意软件的检测技术
随着网络恶意软件危害范围的逐渐扩大, 使得人们对于网络安全问题更加重视, 并且对于移动用户端的安全问题进行了更深层次的分析。目前, 就安卓平台下的移动用户端恶意软件问题, 主要采用的是特征码技术下的检测方法、行为检测法以及启发式方法这三种。
其中特征码技术下的检测方法主要就是对恶意软件进行取样分析, 了解其特征码的排列组合。这样, 在检测过程中, 就可以利用已知的各类特征码与需要检测的软件特征码进行对比检测, 判断二者是否出现符合的情况。而这种方法也是目前应用范围最为广泛的方法, 但是这种方法具有着极大的局限性, 其对于已知恶意软件的检测功能十分强大, 但是对于发生衍变的各类恶意软件的检测能力却十分小。
行为检测法主要就是利用各类恶意软件的特征性行为对各类恶意软件进行检测, 当相关软件开始运行时, 就对其开始进行监视, 如果发现与恶意软件的主要行为模式相似的软件, 就能够马上对其进行筛选并报警。这种检测方式能够有效地对各类衍变型的恶意软件进行检测, 但是在检测的过程中存在着较高的误报率, 降低了检测的准确性。
启发式方法就是通过模拟程序的运行, 诱发恶意软件对其进行攻击, 并以此寻找软件中的可疑代码, 如果软件中可以代码的阈值超过了一定的标准, 则认为其是恶意软件, 予以报警。这种检测方法虽然也能够对未知的恶意软件进行检测, 但是与行为检测法相同, 其误报率也较高。
三、结论
安卓平台下的恶意软件发展迅速, 如果不能够制定出有效的应对政策, 可能会导致大量用户信息的外漏, 导致用户信任度下降, 对整个通讯行业市场造成加大的损失。
因此, 相关研究者应该基于目前的检测技术, 不断进行完善, 研发出准确率高, 对已知和未知恶意软件都能够识别的检测技术。
摘要:随着现代科技技术的不断进步, 计算机和互联网技术得到了飞跃式的发展, 网络的普及率在我国已经达到了空前的程度。在网络计算机技术高度发展的今天, 人们不但能够感受到网络带给人们的方便, 同时也会担心网络上相关恶意软件的攻击, 尤其是现代安卓系统手机的普及, 使得恶意软件的攻击范围扩展到了移动通讯行业。本文即是对安卓平台下恶意软件的检测技术进行的研究, 对目前流行的恶意软件种类进行分析, 并对检测技术进行探讨, 以期能为相关工作提供参考。
关键词:安卓平台,恶意软件,分类,检测技术
参考文献
[1]刘伟, 孙其博.Android平台恶意软件行为模式研究[J].国际IT传媒品牌, 2012, 33 (11) .
[2]奚小溪, 孙荣会.恶意软件的行为与检测技术分析[J].安徽建筑工业学院学报 (自然科学版) , 2012, 20 (03) .
恶意软件与流氓软件谁恶意谁流氓 篇2
呜呼,笔者不才,以区区一介书生网民之拙眼,不明白那些不经过网民允许强行安装的、为欺世盗名者谋财谋利的软件,用流氓来称呼是如何不客观、不公正?
流氓者,鲁迅先生在上海东亚同文书院作题为《流氓与文学》的讲演时,曾对“流氓”一词作过如下界定:“流氓等于无赖子加上壮士、加三百代言。流氓的造成,大约有两种东西:一种是孔子之徒,就是儒;一种是墨子之徒,就是侠。这两种东西本来也很好,可是后来他们的思想一堕落,就慢慢地演成了‘流氓’。
《流氓的历史》中早已指出:越是向当今靠近,流氓的内涵越是突出其行为特征。这时既包含无产无业、专事游荡而又扰乱社会秩序者,同时也兼及有业有产却不务正业,在社会下层施展流氓手段为非作歹者,甚至还包括那些有某种劣迹的行为过失者。
可见,流氓一词早已不是什么市井漫骂之词,而是一种社会文化现象的符号。互联网是虚拟社会,同样也反映出现实社会的文化折射。
想想7的那位先人,靠皮厚 ,如今已是富甲四方。如今他的新老东家都是XX互联网协会的座上宾客,
如今用新东家反击老东家,从流氓教父从容变身江湖大侠。如今按XX互联网协会的说法,你连流氓的称呼都不能给他了!原来只是所谓恶意软件,请问那什么是善意软件呢?
明明是对广大网民干了坏事,靠欺诈手段骗取网民和投资商的金钱,用无耻的原始资本手段一夜暴富。如今老百姓终于生气了,愤怒了,于是心虚了,一方面左躲右闪,强词夺辩,一方面狼狈为奸,不客观、不公正、不规范的去研究下流氓一词的由来和内涵,将广大网民的正义叱责当成是泼皮诬赖,是典型的不学无术,缺乏文化修养,就悍然妄图剥夺百姓话语权的官僚霸道作风。信口胡说什么“流氓软件”称谓不公正,非要换一个文绉绉的“恶意软件”来代替!
请问XX互联网协会,谁给你统一称谓的权利?让一群不理网民痛痒的“精英”欢聚一堂闭门造车,那么多受害的广大网民的意见哪里去了?
请问XX互联网协会,广大受害的网民要对迄今依然居庙堂之高的大小流氓要如何客观、如何公正、如何规范?
开会不征求网民意见,没有网民代表,最好还要厚颜无耻的声称“希望通过此次治理工作,维护网络的正常秩序,保护广大网民的正当权益。”如今国家提倡和谐社会,可某些人就敢公然打着维护和谐的口号,不听不闻不问广大网民的呼声,蛇鼠两端,以一己自私而忘义妄为。
流氓软件纵横江湖数载春秋,不见这XX协会振臂高呼,中流击砥,敢做敢为。如今流氓软件厂商惶惶不可终日,舆论形势一片喊打胜利在望之际,突然冒出个称谓不当的奇谈怪论!只怕是某些人居心叵测,害怕网民的自发组织威胁到其权威的饭碗,而妄图狐假虎威,假以维护正义的名义,行裹胁敛财和欺世盗名之卑鄙行经吧!
警惕安卓恶意软件 篇3
迈克菲发现,恶意攻击者会伪装成用户银行的工作人员,给用户发送电子邮件、短信、网站和链接,诱使用户安装该恶意应用程序。当恶意应用被安装后,它会邀请用户输入登录名和密码,从而获取用户的身份信息。
实际上,大多数银行诈骗并非是由于银行的IT系统被攻破,而是因为用户在不知情的情况下,将个人银行信息给了恶意攻击者。不少以Android手机为目标的恶意应用程序,还会在用户不知情且并未授权的情况下,将手机用户包括银行登录账号密码及手机交易密码等信息秘密发送给攻击者。
在分析了各种手机银行的安全威胁之后,迈克菲安全建议中心为手机银行用户提出了以下安全操作建议,帮助用户避免手机银行的安全威胁。这些建议包括:
一、不轻易透露个人的银行信息:不向除银行工作人员以外的任何人透露您的银行卡号码或密码;不在短信或电子邮件中透露任何帐户相关的信息;如果您收到金融机构发送来的短信,在阅读后最好能删除。
二、警惕假冒的应用程序和假冒成银行或银行工作人员发来的信息:对伪装成来自银行的电子邮件(又称网络钓鱼)不要轻易回复,从而避免感染上病毒;下载银行的移动应用程序之前进行确认,确保每次您正在访问真正的银行;报告任何可能是恶意的银行应用程序。
三、如果您使用Wi-Fi联网,请在确保无线网络安全的情况下安全连接至您的手机银行站点或应用程序:切勿通过不安全的无线网络发送敏感信息,例如酒店或咖啡厅里的无线网络;如果您要在公共场合下查看银行帐户(如图书馆或咖啡厅),请注意安全并在结束查看后立即更改密码。
四、确保您的设备安全:使用密码保护设备,并将设备设置为一段时间后自动锁定。切勿尝试破解或修改设备,因为这可能会使设备受到恶意软件的攻击。
五、检查您的设置:Android用户应该确保他们只从信任的来源处下载应用程序。不对“来源不明”的应用授权。
六、如果您丢失了手机或更改了手机号码,请联系金融机构,以便他们及时更新您的手机银行信息。
七、留意查看财务对账单:仔细查看财务对账单或交易明细,及时发现任何异常情况。
八、通过专业化的手机安全软件获得更为完整的安全保护。如可以选择在您的Android设备上安装McAfee Mobile Security一类的移动安全软件,它不仅能够提供全天候的防病毒保护,还让你能够备份和恢复个人数据,在设备丢失或被盗时,能对设备进行远程锁定、定位和擦除数据的操作。此外,也可以考虑McAfee All Access这样的整体解决方案,以便跨包括电脑、笔记本电脑、上网本、智能手机和平板电脑在内的所有设备提供安全保护,保护用户远离恶意网站和黑客、病毒、网络犯罪、电子诈骗、身份窃取等。
恶意软件检测 篇4
恶意软件作用一般分为搜集用户信息、窃取信用卡信息、组建僵尸网络和获取root权限等。趋势科技的监测数据显示, 截止到2012年底, Android系统中的恶意应用已经达到35万个。而在2013年, 这一数字很有可能增长4倍, 跃升至140万个, 对信息安全构成严重挑战[1]。
SVM是在高维特征空间使用线性函数假设空间的学习系统, 它是由一个来自最优化理论的学习算法训练, 该算法实现了一个由统计学理论导出的学习偏置。它在文本分类、生物信息、语音识别、图像分类[2]、故障识别和预测以及信息安全等诸多领域有了成功的应用。因此, 将支持向量机引入手机恶意检测是一种非常有效的方法。手机恶意检测方法分为静态检测和动态检测。文献[3]是基于行为的恶意检测, 需要模拟应用运行环境, 监控系统变化, 属于动态检测。本文的方法是在Android应用包上做静态分析, 导出分类器所需的向量集, 属于静态检测。
对于Android恶意检测, 静态分析有很多有利条件。不用模拟手机软件运行环境, 耗用资源少、快速且有较高的检测准确率。像Android Leaks[4]和文献[5]提到的组件都属于静态检测工具, 但是都集中在检测信息泄露的方面。文献[6]应用机器学习方法对Android应用进行分类, 其研究对象为工具类应用和游戏类应用。文献[7]通过抽取DEX文件的类与函数名应用信息, 作为程序的行为特征, 应用机器学习算法对样本进行分类, 但分类精度不高。文献[8]采用用户级和内核级的特征向量, 应用机器学习算法对恶意软件分类, 也是没有考虑到权限方面的影响。文献[9]特征集来源静态链接库和应用程序接口, 未涉及到Android权限和命令行的调用, 文献[10]则使用的是单类支持向量机。
综上所述, 提出了基于混合特征的Android恶意软件静态检测方案, 利用危险API调用、命令行和权限集结合组成的混合特征集, 然后采用主成分分析 (PCA) 方法和支持向量机 (SVM) 结合构造分类器, 对Android样本进行恶意检测。混合特征更能全方面地表现Android恶意软件的特征, 且采用PCA方法能够去除一些冗余特征, 提高分类精度。
1 基于混合特征的Android恶意静态检测
1.1 Android应用基础
Android应用大部分都是运用Java语言开发的。Android SDK工具编译源代码, 将数据和资源打包成一个以.apk结尾的包文件。编译生成的apk文件都可以看做一个在Android上运行的应用。
Android应用程序由4个组件组成:活动 (Activities) 、服务 (Services) 、广播接收 (Broadcast Receivers) 和内容提供者 (Content Providers) 。每一个应用程序必须在程序工程根目录下的manifest文件中声明自己的组件。在Android系统运行一个程序组件前, 系统必须读取应用程序的manifest文件来确定有多少组件存在。这个文件还声明了应用需要的权限, 例如网络访问权限和通讯录访问权限等。
Android应用程序apk文件是由一系列的文件压缩而成, 这些文件主要包括:Android Manifest.xml, classes.dex (一个完整的字节码文件, 由Dalvik VM解释) , 其他二进制或XML等资源文件都保存在res/和assets/目录下。
本文的检测方法是利用Android应用依赖的平台API和它的权限列表、系统调用等属性来作为应用程序可疑行为的指示器, 例如信息泄露、运行时实时下载恶意软件或嵌入额外的程序。这些属性作为分类器的样本数据, 可以用来决定Android应用程序是正常的还是恶意的。
1.2 样本集的获取
Virus Total是一个免费的病毒、蠕虫、木马和各种恶意软件分析服务, 可以针对可疑文件和网址进行快速检测。在第3方应用市场下载多款Android应用, 这些软件覆盖多种不同类型, 包括娱乐、工具、体育、健康卫生、新闻和杂志、财经、音乐、商贸、教育以及游戏等。使用Virus Total对这些应用进行检测分析, 确认是否为恶意软件。为了试验中正、负样本的平衡, 经过人工整理, 整理出450款恶意软件和450款正常软件。分析过程中发现, 经过官方发布的软件, 含有较少的威胁, 而非官方的软件, 则包含较多的恶意行为。
1.3 Android应用逆向工程
恶意软件和正常软件都为apk文件, 为了获得建立分类器模型的样本数据, 采用开源工具apktool, 将apk文件解压成mainifest文件、资源文件、签名文件和dex文件, 然后利用工具dex2jar将dex文件反编译成.jar文件, 最后利用Java Decompiler生成java源文件。然后在代码源文件和mainifest文件中提取所需要的混合特征, 具体过程如图1所示。
1.4 特征向量的获取
经过Android应用的逆向工程后, 得到应用源代码和manifest文件, 采用匹配算法, 探测程序中出现的API调用、命令行和权限列表, 并计算它们出现的次数作为这个应用的特征。
API调用是应用程序与手机相互作用的纽带, API调用可以获取手机的subscriber ID、phone ID和其他类似个人隐秘信息。同样, 可以发送/接收SMS、调用手机号码、获取手机信息和下载其他应用程序等。而Android恶意行为包括窃取用户隐私、远程控制、私自下载和恶意扣费等行为, 这些行为涉及的API如表1所示, 利用匹配算法, 计算出每个应用中对应API的数目, 形成API特征向量[FAPI]1×14。
因为Android是基于Linux系统的, 因而Linux系统命令可以在Android上运行。这些命令包括‘chmod’、‘mount’、‘remount’和‘chown’等。其他包括Java Realtime.exec命令, 它可以运行子进程来下载恶意软件。分析450款恶意软件, 统计其中使用频率较高的系统命令如表2所示, 利用匹配算法, 计算出每个应用中对应系统命令行的数目, 形成命令行特征向量[FC MD]1×10。
每个apk文件都包含一个mainifest文件, Android系统可以在这个文件中获得应用所需要的权限的详细信息。这些权限包括各种硬件访问权限 (GPS、照相机等) 和敏感信息 (通讯录、短信等) , 还有访问其他应用的权限。例如, 权限“android.permission.INTERNET”允许应用连接网络;权限“android.permission.READ_CONTACTS”允许应用访问手机通讯录。450个恶意软件中使用频率较高的权限列表如表3所示, 利用匹配算法, 计算出每个应用中对应权限的数目, 形成权限特征向量[FPER]1×20。
1.5 评价方法
有多种方法可以评价基于机器学习方法的分类器性能。在本文中引用以下提到的公式来评价分类器性能。以下公式中, nnor→nor代表正常应用软件被分类器正确分类的数目;nnor→sus代表正常应用软件被分类器错误分类的数目;nsus→sus代表恶意软件被分类器正确分类的数目;nsus→nor代表恶意软件被分类器错误分类的数目。准确率Acc和错误率Err分别为:
式中, Acc代表所有被正确分类的应用占所有测试应用的比例, 包括正常软件和恶意软件;Err代表所有被错误分类的应用占测试应用的比例。其中, Err=1-Acc。还定义了FPR、FNR、TPR、TNR和精度P:
FPR代表正常应用被分类器错误分类的数目占所有测试正常应用中的比例。TNR测量的是正常应用被分类器正确分类的数目占所有测试正常应用中的比例。TPR和检测率意义相同, 因为它测量的是恶意应用被分类器正确分类的数目占所有测试恶意应用中的比例, 它同样代表着分类器检测未知恶意软件的能力。FNR代表恶意应用被分类器错误分类的数目占所有测试恶意应用中的比例, 是检测率的补充。预测率反映整个恶意检测模型预测恶意软件的预测能力。
2 方法和实验
实验所用均来自Android第3方应用市场, 经过Virus Total分析检测, 最终整理得到450款正常软件和450款恶意软件, 经过图1所示的方法, 将每个apk文件转化为对应的[FAPI, FCMD, RPER]1×44的特征向量, 随机选择正常软件和恶意软件的70%作为训练集, 剩余作为测试集。
所有实验在Intel (R) Core (TM) i5、内存4G的计算机上运行, 算法在matlap 2010a上实现, SVM实现采用libsvm3-17, 实验中所有参数都采用默认参数。式 (1) 和式 (2) 对应, 式 (4) 和式 (5) 对应, 式 (3) 和式 (6) 对应, 因而实验结果只记录Acc、FPR、TPR和P。
2.1 实验1
首先分别提取应用放入API特征[FAPI]1×14、系统命令行调用特征[FCMD]1×10和权限特征[FPER]1×20这3个特征;然后采用SVM对Android应用进行分类, 2类应用在不同的单一特征下的运行10次后平均分类结果如表4示。
从表4以看出, 无论使用哪种单一特征对恶意软件的分类, 其分类的结果都不高。其中权限特征的分类结果要明显低于其他两种特征, 检测准确率Acc只有0.725 9, 其原因是在于正常软件与恶意软件大体上都拥有相似的权限, 区分度不高。系统命令行特征分类结果Acc为0.833 3, 低于API特征分类结果的0.870 4, 可以看出API特征在3种特征中对Andriod恶意软件的检测能力最高。而基于系统命令行特征分类结果在于有些恶意软件不调用系统命令行, 也能达到其恶意攻击用户手机的目的。同样, 有些恶意软件只在代码中调用危险的API, 也能攻击用户手机, 因此可以看出, 单一特征不能为Android恶意软件检测提供高精度的检测率。
2.2 实验2
首先对实验1中所提取的3种特征进行合并, 从而得到Android应用的混合特征[FAPI, FCMD, RPER]1×44。然后利用PCA方法对混合特征进行降维处理, 去除冗余信息, 最后利用libsvm对Android应用进行分类, 记为PCA-SVM算法。同样, 为了对比实验, 不对混合特征做处理, 利用libsvm对Android应用进行分类, 记为SVM算法。10次运行后平均分类结果如表5所示。
从表4和表5可以看出, 单一特征的Android恶意软件检测都要低于混合特征的Android恶意检测。实验结果表明, 混合特征在Android恶意检测方面有更佳的检测能力。从PCA-SVM算法和SVM算法的比较结果上可以看出, PCA-SVM算法在去除混合特征中冗余特征后, 分类结果更优。
综上所述, Android静态恶意检测中, 混合特征恶意检测准确率要高于单一特征的恶意检测准确率, Android恶意软件实现手段的多样化, 使得单一特征不足以表现Android恶意软件的特征。而混合特征可以多方面地表现Android恶意软件, 基于PCA的SVM分类器对Android恶意静态检测有很高的准确率。
3 结束语
通过多款恶意软件, 从中分析出恶意软件中的危险API调用、危险系统命令行和权限集, 并以这些特征建立Andriod恶意静态检测模型。通过对450款恶意软件和450款正常软件进行恶意检测仿真实验, 实验结果表明, 基于混合特征的Android静态检测方法能够有效地提高Andriod恶意检测的检测精度和恶意检测模型的泛化能力。
摘要:当前智能手机市场中, Android占有很大的市场份额, 又因其他的开源, 基于Android系统的智能手机很容易成为攻击者的首选目标。随着对Android恶意软件的快速增长, Android手机用户迫切需要保护自己手机安全的解决方案。为此, 对多款Android恶意软件进行静态分析, 得出Android恶意软件中存在危险API列表、危险系统调用列表和权限列表, 并将这些列表合并, 组成Android应用的混合特征集。应用混合特征集, 结合主成分分析 (PCA) 和支持向量机 (SVM) , 建立Android恶意软件的静态检测模型。利用此模型实现仿真实验, 实验结果表明, 该方法能够快速检测Android应用中恶意软件, 且不用运行软件, 检测准确率较高。
关键词:混合特征,主成分分析法,支持向量机,Android应用,恶意检测
参考文献
[1]趋势科技.2013信息安全关键十大预测报告[J].计算机安全, 2013 (2) :75-76.
[2]李钊, 李建军, 李智生, 等.基于生物视觉特征的SVM目标分类算法[J].无线电工程, 2012, 42 (10) :58-60.
[3]BURGUERA I, ZURUTUZA U, NADJM-TEHRANI S.Crowdroid:Behavior-based Malware Detection System for Android[C]∥Proc.First ACM Workshop on Security and Privacy in Smartphones and Mobile devices (SPSM’11) , New York, NY, USA, 2011:15-26.
[4]GIBLER C, CRUSSELL J, ERICKSON J, et al.Android Leaks:Automatically Detecting Potential Privacy Leaks in Android Applications on a Large Scale[C]∥Proc.Fifth Int.Conf.Trust and Trustworthy Computing (TRUST2012) , Vienna, Austria, 2012:291-307.
[5]MANN C, STAROSTIN A.A Framework for Static Detection of Privacy Leaks in Android Applications[C]∥Proc.27th Annual ACM Symp.Applied Computing (SAC’12) , Trento, Italy, 2012:1457-1462.
[6]SHABTAI A, FLEDEL Y, ELOVICI Y.Automated Static Code Analysis for Classifying Android Applications Using Machine Learning[C]∥in Proceedings of the 2010 International Conf.on Computational Intelligence and Security, 2010:329-333.
[7]房鑫鑫.Android恶意软件实现及检测研究[D].南京:南京邮电大学, 2013:36-46.
[8]DINI G, MARTINELLI F, SARACINO A, et al.A Multilevel Anomaly Detector for Android Malware[J].In:Kotenko, I., Skormin, V. (eds.) MMM-ACNS 2012.LNCS, 2012 (7531) :240-253.
[9]WANG T Y, WU C H, HSIEH C C.A Virus Prevention Model Based on Static Analysis and Data Mining Methods[C]∥Proc.IEEE Eighth Int.Conf.Computer and Information Technology Workshops, Sydney, 2008:288-293.
恶意软件瞄准关键经济领域 篇5
迈克菲实验室高级副总裁 Vincent Weafer 表示:“我们注意到,攻击已转向一些新领域,已从工厂转向企业、政府机构以及将它们联系在一起的基础设施。这标志着网络安全掀开了新的一页,金融行业的利润成为威胁开发的驱使动力,一个日渐成熟的地下市场为这些网络犯罪提供着源源不断的‘弹药’以及创新方法,来帮助不法分子规避各个行业的常规安全措施。”
借助迈克菲全球威胁智能感知系统 (GTI) 网络采集的数据,迈克菲实验室分布在 30 多个国家/地区、由 500 名多学科研究人员组成的团队会实时跟踪各类威胁,识别应用程序漏洞、分析和关联各种风险,并提供即时补救措施来为企业和公众提供保护。
在2012年第四季度,迈克菲实验室分析到的威胁趋势主要有:
威胁蔓延
总体而言,密码窃取木马在第四季度增长 72%,这是因为网络犯罪分子认识到用户身份验证凭据构成了存储在多数计算机中最具价值的知识财产。这些木马现在广泛存在,越来越多地出现在定制威胁中,或与互联网上的其他“现成可用”的威胁相结合。第四季度有关 Citadel 木马的数据显示,该木马的信息窃取功能被广泛部署,不仅仅局限于金融服务领域。
从僵尸网络转向URL
根据迈克菲的持续监控,恶意 URL 已取代僵尸网络成为恶意软件的主要传播机制。一项 Web 分析显示,第四季度新的可疑 URL 数量增长 70%。新的可疑 URL 平均每月达 460 万个,几乎是前两季度每月 270 万的两倍。其中 95% 的 URL 被发现“藏匿有”专为感染计算机而设计的恶意软件、漏洞或代码。由僵尸网络操控者控制的受感染系统数量呈下降态势,部分原因在于打击僵尸网络的执法努力,但也许更主要的原因是僵尸网络这种“业务模式”已过气。
MBR威胁上升
与主引导记录 (MBR, Master Boot Record) 相关的恶意软件数量增长27%,达到前所未有的季度高点。此类威胁旨在“隐匿于”操作系统和应用程序之下来发起攻击,通过攻击PC BIOS 和存储堆栈,以窃取数据或“引导”系统来获得对系统的足够控制。一旦得逞,系统将被添加到僵尸网络或进一步感染更多恶意软件以达到其他不法目的。虽然MBR攻击现在只代表了整体PC恶意软件态势的冰山一角,但迈克菲实验室预计它们将在2013年大行其道。
恶意文件也加签名
带有电子签名的恶意软件样本数量在第四季度翻番。这清晰表明,网络犯罪分子已认定带有签名的恶意二进制文件是规避标准的系统安全措施的最佳方式之一。
移动恶意软件增势依就
恶意软件检测 篇6
开放性、自由性等特点也给负面带来了很多的影响。从第一例Android系统恶意软件出现, 到现在大面积的恶意app的出现, 对Android系统的各行各业带来众多影响。恶意app吸费扣费、恶意推广、隐私贩卖为目的的利益产业链。目前恶意app变种迅速、家族种类繁多, 安全公司每天面临着大量待测可疑的样本, 分析检测工作量巨大。特征提取效率低下、导致静态检测的杀毒软件效率低下。目前Android系统的“内忧外患”恶化了Android安全形势。
面对目前Android系统的安全形势, 本文做了一下工作:
一是, 采集app数据集, 并按关联类别分类;
二是, 对所采集的数据进行反编译, 提取权限特征进行训练分类器, 采用SVM机器学习算法建立分类模型。
三是, 对分类模型进行信息检索学评估。并提出基于类别SVM的Android系统恶意软件检测方法。
1 Android系统介绍
1.1 Android系统架构
Android的系统构架和其他的操作系统一样, 采用了分层的构架, 层次非常清晰。
Android分为4层, 从高到低依次为应用程序层 (Application) 、应用程序框架层 (Application Framework) 、系统运行库层 (Libraries和Android Runtime) 和linux内核层 (Linux Kernel) 。
应用程序层:包括图1中的各项功能。所有的应用程序都是使用Java语言编写。通过调用应用程序框架层所提供的API来完成。应用程序框架层:该层为开发人员提供了可以完全访问核心程序所使用的API框架。系统运行库层:包括程序库和Android运行时库。前者主要为c/c++库。后者又分为核心库和Dalvik虚拟机两部分, 核心库提供Java语言核心库的大多数功能, Dalvik虚拟机执行.dex文件。内核层:Android依赖于linux2.6版内核提供的核心服务。
1.2 Android安全特点
Android的安全一保护用户的数据和移动设备硬件、系统和软件为目标。Android系统安全的主要基础主要是下面几点:依赖linux内核, 应用沙箱机制, 应用签名机制和应用程序定义和用户授予权限机制等。Linux内核通常被认可用于较高的安全敏感环境中。
由于开放环境, linux安全方面一直被安全专家、修补bug的开发者、寻找容易被利用点的攻击者们巩固提升。同时提供了从内核中去除不必要的和不安全部分的能力。沙箱机制特点是用唯一的UID隔离应用程序的进程和数据与其他的应用程序。在内核中, 当应用程序安装时, Android系统分配每个应用程序不同的用户ID。换句话说, 每个应用程序在整个生命周期中拥有一个唯一的UID。同一个应用程序可能在其他设备上有一个不同的UID, 重要的是两个不同的应用程序不能分配相同的UID。因为每个应用程序都有自己的UID, 所以它们不能在同一进程中运行, 而是需要在其UID下单独运行。这样能隔离正在运行的进程, 以使应用程序彼此安全。
此外, 任何应用程序的数据存储在其UID下, 其他应用程序无法访问。应用程序的签名机制, 要求任何应用程序的.apk文件必须由开发人员的证书签署, 以识别应用程序的作者。这样可以实现如果他们由相同的证书签名, 那么应用程序可以共享一个UID。它还允许系统授予或拒绝签名级权限;如果系统使用声明权限与其他应用程序的相同证书签名, 系统将向该申请权限的应用程序授予签名级权限。
最后, Android采用的权限模型保护手机的资源和功能, 使其只能通过授予相应权限的应用访问。默认情况下, 应用程序没有处理手机硬件, 软件, 功能和数据的权限。应用程序的开发人员需要声明应用程序功能所需的权限。在安装时, 用户需要授予请求的权限, 否则系统会终止安装。
1.3 Android恶意软件
1.4 Android恶意软件检测技术
目前有很多的恶意软件检测技术用于商业和研究方面的恶意代码检测软件。大部分的商业恶意软件扫描工具依赖于静态或者动态的技术去检测恶意代码。静态分析扫面源代码或者二进制代码去对比已知的恶意特征码。当恶意软件制作者使用代码混淆制作恶意软件时, 使用静态分析恶意代码往往变得力不从心。相对静态检测技术, 动态检测技术在恶意代码受控环境下分析并追踪恶意软件。动态检测技术也被叫做基于行为的检测技术。以前的大多数Android设备上的恶意软件检测技术都采用某种动态的检测技术。
来自Zhou和Jiang的研究概述商业的扫面工具在Android设备检测恶意软件性能并不是很好, 他们测试了四种商业扫描工具 (AVG, Lookout, Norton, Trend Micro) , 将这四种工具用具检测来自49个恶意软件家族的1260个恶意应用程序。最好的移动恶意软件扫描工具只识别出了收集的恶意应用程序的79.6%, 最差的还不到20.2%。在上述的工作中, Google自己的恶意软件检测服务只检测出1260恶意应用的15.32%
2 基于类别SVM检测技术
2.1 检测技术框架
整个方案的步骤大致为:收集Apps样本, 反编译app样本, 提取特征集, 用特征选择算法选择最佳的特征子集, 建立分类模型。如图1所示。
2.2 数据收集
该研究中我们对所有类别app建立样本。首先对120个恶意app和50个良性app进行特征模型训练, 然后对社交app收集数据, 良性app为50个, 恶意app为30个。并命名“所有组”、“社交组”。
2.3 反编译数据
App中有个文件叫做“apk”, 在特定的特征组app反编译时, 该文件被反编译成相应的源码文件。这个过程被一个叫做santoku的反编译工具自动完成, 因为特定为移动安全制定的linux系统机制, .apk文件将转化为源码中的Android Mainfest.xml文件形式和.java文件。我们采用apktool工具进行反编译。
2.4 特征提取
在该部分我们选取app中的权限为特征进行过滤提取。并提取其中排名前10的权限。权限是非常重要和常用的特征用于在Android系统中检测恶意代码。我们这里也会相应的考虑其他的静态权限。在该领域许多研究通过建立权限模型, 将相应的权限授予app验证其能否使app可以有恶意行为。
在我们的研究中, 将app请求的权限与我们上文提到的类别app训练成的分类模型中一组共同的权限相关联。显然地, 特定类别的功能需要一组权限, 然而如果app出现需求的异常或者超级权限相对于良性app, 则表明该app有恶意意图。
2.5 分类模型
支持向量机 (SVM) 也称作支持向量网络 (SVN) , 是一种有监督的机器学习模型, 它可以对数据进行分类分析、检测和模式识别以及回归分析。SVM是一种非概率的线性分类器, 它将数据分配到一个或者多个类别中。它也可以使用Kernel Trick有效的用在非线性分类问题中。Kernel Trick是一类支持向量机算法, 它可以简易和经济的方式的将输入特征映射到较高维的输出空间中。
SVM将训练数据视为一个空间的点, 该空间的点基于它们的类别以群组形式聚集, 这些群组被称作超平面的清晰的间隙相隔离。在训练阶段, SVM从训练数据中建立起模式模型, 这些数据在分类阶段是用在一个空间。
在分类阶段, 新的输入点被映射到训练空间中, 并按照它们落在间隙的哪一侧来分类。如图4所示, 直线分离了两个类别, 新的数据如果在直线以上则映射到类的空间中, 否则映射其他类空间。
3 实验与结论
在该部分我们主要对上节的方案进行实验, 比对实验结果进行讨论, 最后得出结论。我的研究目标是通过提高从训练分类器的特征选择质量进而提高分类模型的性能。每个类别有各自的功能, 良性app在特定类别中有共同的一组特征, 而恶意app的特征异常、罕见、或者比特定类别中的app更多的特征。为检测到恶意代码, 我们将app的特征与特定功能类别中app特征相关联。为达到这种目标, 我们准备2组数据 (“所有app”、“社交app”) 包含良性和恶意二进制向量。在训练阶段, 我们用支持向量机 (SVM) 建立2个分类模型, 使用权限特征训练分类器。实验重复15次, 每一轮实验中三组数据集顺序随机打乱, 70%的数据用于训练, 其余数据用于测试。
测试环境采用pc机, OS采用win7, 数据挖掘工具采用weka。实验结果采用求平均数的方法。最后得出结论, 基于SVM的“所有app”精确度为0.901, 基于类别SVM的“社交app”组精确度为0.958。基于SVM的“所有app”组的召回率为0.930, 基于类别SVM的“社交app”组的召回率为0.971。综合评价, 基于类别的Android系统恶意软件检测技术精确度高于普通的SVM检测技术。
参考文献
[1]罗瑜.支持向量机在机器学习中的应用研究.西南交通大学博士学位论文, 2007, 7.
[2]彭国军, 李晶雯, 等.Android恶意软件检测研究与进展.武汉大学学报 (理学版) , 2015年2月, 第61卷第1期.
[3]龚炳江, 唐宇敬.Android平台下软件安全漏洞挖掘方法研究.计算机应用于软件, 2014年1月, 第31卷第1期.
[4]Huda Ali Alatwi Android malware Detection Using Category-Based Machine Learing Classifiers Rochester Institute of Technology RIT Scholar Works, June 2016.
恶意软件的治理策略探究 篇7
1 恶行软件的定义以及基本特征
1.1 定义
按照中国互联网协会的相关定义, 恶意软件主要指的是在没有经过用户许可或不是非常明确的提示用户的情况之下, 在用户终端或计算机上进行运行的在正规软件和病毒之间的一种软件的安装, 这种软件是属于具有下载以及媒体播放等正常功能以及弹广告等恶意行为的软件。
1.2 基本特征
第一, 强制安装。主要是指为对用户进行非常明确的提示, 甚至未经过用户的同意, 就在用户的计算机和相关终端上安装一系列软件的行为。第二是卸载过程很繁琐。该类软件未对用户提供比较明确和有效的卸载方式, 即使在人为破坏或其他软件的影响下也能够继续运行的行为。第三是劫持浏览器。其一般是未获得用户的允许, 就对用户的计算机浏览器或相关设置进行更改;同时, 强迫用户去访问某些特定网站, 导致用户无法正常上网行为。第四是弹出广告, 主要是指在未明确提示用户的条件下甚至用户根本不知情的情况下, 通过已经安装在用户终端或者计算机上的一些软件进行广告随意弹出的行为。第五是对用户信息进行恶意的收集, 主要是指在未明确提示用户的条件下甚至用户根本不知情的情况下, 对用户信息进行恶意收集的一种行为。第六是恶意的进行卸载。该特征主要是指没有对用户进行明确的提示、根本没有经过经用户的统一, 或者误导、欺骗用户卸载一些根本不会对用户造成任何威胁的软件的行为。第七是进行恶意的捆绑。在软件安装过程中捆绑一些已经被确定为恶意软件的行为。此外, 它的特征还包括一些严重侵犯用户知情权和选择权的恶意行为。
2 恶意软件的种类
总的来说, 恶意软件主要被划分为以下五种主要的类型。
第一种是广告软件。其一般是未经过用户允许或同意的情况下, 在用户电脑上或客户端上随意下载并安装, 或者与相关软件进行捆绑, 借助广告弹出式等方式来获取商业利益的一种程序。第二种是间谍软件。其主要实在用户不了解情况的条件下, 在用户计算机上进行用户信息的收集、后门的安装的一种软件。第三种是劫持浏览器。它属于一种相对非常恶意的程序, 利用浏览器插件以及浏览器辅助对象等方式来试图篡改用户的浏览器设置, 从而导致用户浏览器的相关配置无法正常运行, 甚至被强制性进入一些特定的商业网站。第四种是行为记录软件。该软件指的主要是没有经过客户的同意, 对用户的隐私数据进行修改、窃取和分析, 对用户网络浏览的习惯以及使用电脑的习惯等进行详细跟踪和记录的一种软件。第五是恶意共享软件。这种软件出现的主要目的是获取巨大利益, 其主要是诱骗以及陷阱手段来引导用户去注册帐号, 或者在软件内部进行各种恶性软件的捆绑, 根本没有经过用户的允许就把插件直接安装在用户的计算机当中。目前, 随着网络的快速发展, 有着越来越细的恶意软件方面的分类, 不断出现新种类的一些恶意软件, 因此, 会适当调整分类的具体标准。
根据相关的调查和统计发现, 我国已有的恶意软件类型大概有130多种, 并且有超过90%的计算机用户都曾经遭受过或大或小的侵害。2006年, 由于社会舆论对恶意软件行为的严重谴责, 导致恶意软件泛滥趋势减弱, 但在2007年时, 计算机用户又遭受了感染广告恶意程序的侵害, 并且该现象越发严重。如今, 随着计算机用户和手机上网用户的不断增加, 各类恶意软件一直非常猖狂, 并逐渐向移动通讯领域蔓延。
3 导致恶意软件疯狂蔓延的主要原因
现实生活中, 有很多因素都有可能诱发恶意软件疯狂蔓延, 对其相关原因进行探索已经成为预防恶意软件蔓延的主要措施。网络自身存在的漏洞已经成为网络入侵对用户相关程序进行控制和攻击的主要原因, 并且在很大程度上为恶意软件入侵提供了可能性以及机会和可能性。此外, 还包括其他几个社会方面的原因, 主要表现在以下几个方面。
3.1 网络竞争环境无序化
恶意软件一般是借助网络计算机技术的相关漏洞来对网络和用户进行不正当竞争的行为。目前, 网络竞争环境无序化已经成为恶意软件繁衍的母体, 反过来, 日益泛滥的恶意软件会在很大程度加剧网络竞争环境的无序化。一般来说, 现阶段, 我国恶意软件的发展主要包括以下几类:推广插件、网页的恶意代码、病毒化流氓软件以及捆绑软件等。而前面两种类型中, 一般是被一些比较普通又常见的情色网站或者中小网站所利用, 后面两种类型中, 这些恶意软件会直接成为很多知名网站的广告或者营销工具。所有的非法分子都是在借助恶意软件来进行相应的营销活动, 如果不运用, 就会远远落后于激烈的网络电子商务的实际竞争。
3.2 逐渐激荡的网络病毒产业
网络为各类商业活动的开展提供了一个优秀平台, 与之相同的是商业和网络的结合在一定程度上衍生出新黑色产业, 即所谓的计算机病毒产业。计算机病毒产业中主要包括恶意软件和计算机病毒两大类商品, 他们只在网上进行秘密买卖。当买方完成付款以及取货之后, 就可以利用恶意网站、电子邮件以及P2P软件等方法将用户信息在网上进行肆意传播, 导致客户信息被泄漏。这样做的目的主要包括以下三点:利用网络黑客程序盗取各类网络账号和密码, 然后利用这些账号和密码在网络上进行销售或非法活动;利用病毒的传播进行远程控制区域网络用户的电脑, 让大量的网站服务器以及电脑终端用户变成“僵尸”或者“傀儡”, 然后借助他们来实施网络敲诈等非法犯罪活动;对恶意软件程序进行漫无目的的传播, 主要用来宣传一些不正当的竞争行为或一些非法商业广告。
3.3 国内部分共享软件已经出现了发展畸形的现象
一般来讲, 有着多种恶意软件进行传播的途径。当前, 我国有很多恶意软件蔓延的非常猖獗, 他们一般都是通过软件的共享来进行大肆传播的。在国外共享软件一般是用户先进性使用, 感觉不错之后才会付款购买, 并最终获取软件版权的一种软件。但是在我国大部分正版软件以及付费软件市场前景不容乐观, 并且在网络上到处可以找到或下载已经破解的共享软件, 导致共享软件发展成为一种免费软件。因此, 致使共享软件的版权人无法利用软件来获取相应利润, 只可以依靠恶意广告捆绑以及网络广告等一些不正当的手段来进行盈利。越来越多的下载并使用免费的共享软件, 在很大程度上导致了恶意软件肆意进入用户的计算机。
3.4 法律规范不够健全
纵观全球网络的发展, 在许多的国家和地区, 都存在恶意软件肆意泛滥的现象, 但是在某些国家和地区, 恶意软件却很少出现, 主要是因为这些国家和地区的法律、法规比较健全, 而惩罚措施非常严厉, 所以很少有人回去与国家的法律、法规对抗。目前, 根据我国的立法现状来看, 与恶意软件相关的法律、法规还有待进一步的补充和完善。由于法律规范不够健全现象比较严重, 导致一些杀毒软件的厂商也处在非常尴尬的一种境地, 敢怒不敢言。在一定意义上, 恶意软件的泛滥并不完全属于杀毒软件的技术问题, 而是国家相关法律规范不健全所致。
4 恶意软件造成的主要危害
4.1 严重侵犯了用户的隐私权
网络用户一般是整个恶意软件产业链的终端, 他们一般是无辜的, 因为他们都是在完全不知情的情况下被非法用户侵犯, 主要包括非常收集用户的个人信息、行为记录、屏幕内容以及银行账号密码等, 并将所有的用户信息收集在一起组成一个非常巨大的个人信息数据库, 然后运用一些营销战略将数据库当中的资料贩卖给其他的商家进行非法活动, 进而从中获取巨额利润的过程。
4.2 对计算机系统造成攻击
大部分用户的电脑页面都会时不时的弹出一些用户所不需要的信息窗口, 导致计算机有着非常慢的工作速度, 甚至会产生文件被删除、重启、或者死机等现象。甚至导致部分计算机系统根本无法正常进行运行的状况会为用户带来时间、金钱以及精神方面的伤害。
4.3 已经形成欺骗链条
恶意软件形成的欺骗链条一般是以利益作为核心的起点, 然后借助相关的流量公司以及网络广告公司对网民进行率先欺瞒。之后运用无限放大的虚假广告效果来欺瞒广大计算机用户。实际上, 其并不能对网站的真实流量给予准确的统计, 无法获得广告的真实效果。我国的大部分互联网产业已经出现了严重的互相欺骗以及自欺欺人的现象。
4.4 对市场竞争环境造成了严重的损害
一般来讲, 日益猖獗的恶意软件加大了公司维护和推广正常共享软件的成本, 这属于一种极其不正当的竞争行为。恶意软件一般可以通过反复或即时更新版本等方法来逃避用户的查杀, 甚至有些恶毒软件还能够自行销毁一些恶意侵害的相关证据。如今, 网络上肆意蔓延的恶毒软件大多数借助侵犯网民的利益来不断发展起来的, 其属于一种非理性、极其不道德的行为。
5 治理恶性软件的主要措施
如今, 加大恶意软件的治理问题已经成为计算机用户比较关心的问题, 主要是因为恶意软件已经侵犯了用户的合法权益, 破坏了社会的和谐发展。要想有效治理恶意软件, 就需要从以下几点入手。
5.1 严格制定相关的法律法规
首先, 应该对关于恶意软件的一些专门立法进行有效的补充和完善。在法律规定的原则下, 一些相对比较落后的法律、法规会产生与恶意软件相同甚至更加严重的后果, 导致一些非法用户不能得到应有的惩罚。因此, 需要将与恶意软件相关法律、法规的制定提上日程。其次, 还要尽量加大恶意软件的惩罚力度。《刑法》中的有关规定明确指出“对国家规定进行违反, 删除、增加、干扰以及修改计算机信息系统的功能, 导致计算机信息系统不可以进行正常的运行”或“对国家规定进行违反, 删除、增加以及修改在计算机相关系统内部存储、处理或传输的一些应用程序以及相应数据”的行为很容易产生无法弥补的严重后果, 由于“对计算机系统进行破坏的犯罪活动”要依法追究相应的刑事责任。恶意软件会破坏计算机信息, 同时还能够被犯罪分子利用成为其参与犯罪的工具。例如, 借助恶意软件来盗取计算机用户的账号和密码以供非法使用。如果上述行为对用户造成经济损失的, 则构成盗窃罪。借助恶意软件来传播虚假广告, 有可能会构成诈骗罪。因此, 应该加大关于恶意软件的惩罚力度, 有效减少恶性软件。
5.2 有效完善行政监管的职能
几乎所有人都知道网站是恶意软件肆意传播的根本途径, 所以, 尽可能在源头上杜绝恶意软件的传播。首先, 相关的行政监管部门应该加强对计算机网络的监管力度, 制定一套相关网站管理措施;其次, 改革和完善网民的投诉机制, 确保网络用户发现恶意软件后能够及时进行投诉。
5.3 与网民监督和行业自律结合在一起
仅仅依靠行政机关的查处来防止恶意软件的泛滥是远远不够的, 应该在广大的网民以及协会组织的主动积极的配合之下, 结合我国监督以及行业自律等形式, 让恶意软件尽可能暴露在阳光下。相关的行政监管部门要尽量加大对网络的监管力度, 而且网络用户还要不断提高自身的防范意识, 只有这样, 才能真正抵制网上恶意软件, 才能让整个互联网行业活跃。
5.4 对反恶意软件进行组织研发
目前, 反恶意软件的研发工作正在如火如荼的进行, 其可以有效的帮助网络用户阻挡或者卸载恶意软件。在国外, 反恶意软件能够从技术方面实现对恶意软件的全面查杀。如今需要所有厂商来提供有效技术公开的以及网民自主选择的一些卸载工具, 形成组织开发“反恶意软件”的浪朝, 这样才可以在实质上严重抵制恶意软件产业。一旦网络用户获得这些反恶意软件, 就能够养成定期查杀恶意软件的习惯以及意识, 就越可以尽可能对恶意软件生存的空间进行有效压缩。
6 结语
恶意软件的逐渐泛滥已经严重危害了网民的利益;同时, 也扰乱了网络市场。本文分析了恶意软件的一些基本的概念以及特征等, 让人们对恶性软件有了一定的了解。要想将恶性软件进行完全的抵制, 相关的行政部门应该进行严格的监管, 并有效结合网民监督以及行业自律, 共同建立健康和谐的网络市场。
参考文献
[1]李洋.如何有效治理互联网恶意软件[J].中国电信业, 2012 (9) :27-28.
[2]安洲.计算机恶意软件存在的原因及治理对策[J].消费导刊, 2014 (2) :127-128.
恶意软件对手机安全潜在威胁分析 篇8
1 恶意软件潜在威胁的种类
恶意软件是故意在计算机系统上执行恶意任务的病毒、蠕虫和特鲁伊木马的总称, 在PC机上已经存在了很多年。智能手机一般都有相应的软件开发平台, 允许第三方为智能手机开发软件即App, 巨大的智能手机市场带动了App产业经济的迅速发展, 由于经济利息的诱惑, 智能手机和App自然而然也就成为了恶意软件和黑客攻击的新的目标。根据目前恶意软件的种类和特征, 恶意软件带来的潜在威胁可以分为以下几类:
1) 功能破坏型
这类恶意软件以破坏系统和消耗资源为主要目的, 如果有一天你的手机突然变慢, 某些功能受到了限制, 内存瞬间被消耗殆尽, 一些应用无法启动, 极有可能就是感染了这种类型的恶意软件。
2) 信息窃取型
随着手机网民的逐年增加以及移动业务的不断丰富, 人们使用手机访问网络已经越来越频繁, 从而手机上存储的重要信息越来越多。信息窃取型恶意软件以窃取用户手机当中的个人重要信息为主要目的。如果用户不小心安装了含有这类恶意软件的App或者安装了有安全缺陷的App而被这类恶意软件所攻击, 那么你的个人信息如:照片、短信、通话、通讯录、游戏账号密码甚至银行卡号密码、支付宝账号密码都存在潜在被盗取的可能。
3) 通信吸费型
这类恶意软件最终的目的就是获得可观的经济收益。被这类恶意软件攻击的用户, 可能在不知不觉中就被骗取了通信费用。这类恶意病毒往往通过短信定制SP业务的方式骗用户定制收费业务;或者直接把恶意扣费代码嵌入到某些App中, 当用户运行了这种App后, 可能就无形中产生了使用费用。这些恶意扣费都非常的隐蔽, 甚至是通过运营商的合法渠道来实现的, 对于普通手机用户来说根本无法察觉, 直到恶意费用产生以后才有可能发现。这样的行为在无线互联网领域时有发生, 不法软件商、SP经常把恶意程序、木马或者吸费软件, 打包成一个很正常的软件来诱骗用户下载使用, 从而牟取暴利[3]。
4) 恶意推广并散播型
这类恶意软件主要以推广散播一些非法应用软件为目的。有时候我们会发现我们的手机无缘无故的自动安装了一些软件, 有的甚至无法卸载。更有甚者, 某些这类恶意软件会通过读取用户手机内的通讯录自行进行发送和散播, 从而造成更大范围的危害。
2 手机恶意软件的感染途径
我们的手机到底是怎么感染上这些严重危害手机安全的恶意软件的?经过分析, 手机感染病毒和恶意软件的途径主要有以下几种:
1) 手机自带恶意软件或留有软件后门
有些用户为了省钱就通过网络或其他非正规渠道购买二手机、翻新机、山寨机, 殊不知这些手机极有可能已经被人动了手脚, 在手机内植入了恶意软件或者留有软件后门便于恶意软件的入侵。
2) 下载App时感染恶意软件或病毒
智能手机的主要的特点就是可以由用户自行安装软件、游戏等第三方服务商提供的程序即App, 通过这些程序可以不断地扩充手机的功能。因而, 许多用户热衷于定期在网络上下载和升级App程序。但是很多用户没有在安全的或者正规的手机厂家的网站上去下载或升级App, 而是在一些监管制度不严格的手机论坛上去下载, 经常会被“破解”、“最新”等一些标题词语所吸引, 而涉险下载来历不明的App程序。一旦下载安装了这类App程序, 恶意软件就悄无声息的进入了你的手机。
3) 刷机时感染恶意软件或病毒
有的用户为了获得对手机的绝对控制权限常常采用刷机的方法来重装手机操作系统。而很多用户刷机都是在一些手机论坛上直接下载刷机软件和数据包, 如果这些刷机软件和数据包是由别有用心的人上传的, 那么很有可能潜伏着危险。用户用这样的刷机软件和数据包刷机, 自然就难逃感染恶意软件的命运。
4) 网络交往中感染恶意软件或病毒
现在越来越多的人喜欢使用手机上网, 热门的一些交友聊天软件如腾讯QQ等都已经移植到了手机上来, 给人们的交流和娱乐提供了更加便利的途径。殊不知在享受便利的同时手机安全却存在着一些安全隐患, 在交流时认识的或不认识的人经常会发送一些链接, 如果对方的手机感染了恶意软件或病毒, 则发送过来的链接往往有可能就携带着恶意软件或病毒。
3 手机恶意软件的防范策略
由于智能手机生产厂商各自技术标准不统一, 智能手机操作系统繁多等原因, 目前智能手机领域还没有形成像PC领域健全的安全机制。而作为普通手机用户应当从以下几方面做好防范。
1) 提高手机用户个人安全意识
从前面我们分析的恶意软件的感染途径可以看出许多时候恶意软件的感染都是用户自己安全意识薄弱而造成的, 有些恶意软件甚至是自己“亲手安装”上去的。所以安全意识淡薄是造成恶意软件传播的主要原因之一, 所以提高用户手机安全防范意识至关重要。
2) 只从安全可靠的正规渠道下载App
App下载是目前智能手机用户最乐意也最频繁的行为, 这也让App成为了最易感染恶意软件和病毒的途径之一。所以用户下载的App是否安全可靠, 对手机的安全防范也至关重要。因此, 用户应当切记要从安全可靠的应用商店和平台下载所需的App程序。
3) 慎重“同意”App对手机功能权限的要求
我们很多用户在安装新的软件或游戏时, 对于软件或游戏要求的种种手机功能权限, 看都不看, 只是习惯性的点击同意。其实很多软件要求的权限即使我们不同意, 软件依然能够正常的工作。如果你在安装的App携带有恶意软件, 而恶意软件恰恰需要这个权限来工作, 你盲目的点击同意, 无异于在帮助恶意软件构建了运行环境。一时的疏忽可能造成很严重的后果和损失。
4) 加强银行账号等重要信息的保管
如果需要使用网银或支付宝等重要的账号和密码时, 一定首先要确认你所使用的App是否是安全可靠的, 甚至可以只使用银行官方的App。另外尽量不要通过链接打开银行页面, 因为一些假的银行页面伪造的相当的逼真, 一旦贸然登入, 必将造成不可挽回的后果。还有就是不要在公共的WIFI场所使用银行等支付服务;在使用时记得关闭蓝牙功能。只有加强银行账号等重要信息的保管, 才能避免让恶意软件所利用, 对自己造成不必要的经济损失。
5) 安装手机安全软件
除了以上一些主观的防范措施外, 安装手机安全软件也是避免手机遭受恶意软件和病毒侵害的一种行之有效的方法。一个较好的手机安全软件往往具有防病毒、防垃圾信息, 以及实时防火墙保护的功能[4]。现在很多安全软件公司都推出了手机安全软件如360手机安全卫士等等, 这些手机安全软件很多都是免费的, 使用也非常的方便。正是由于手机安全软件的存在, 也让手机用户逐渐意识到了手机也存在安全问题, 对于提高用户的安全防范意识也起到了一定促进作用。
4 小结
在未来一段时间无线网络和智能手机必将得到进一步发展和繁荣, 手机安全也将面临更加严峻的挑战。但是随着手机用户安全防范意识的不断提高, 手机领域安全体系的不断完善, 我们必将构筑起一条坚固的防线, 打败各类层出不穷的恶意软件和病毒, 保卫我们手机的安全。
参考文献
[1]中国互联网信息中心.第31次《中国互联网络发展状况统计报告》[EB-OL].2013-01-15.http://www.cnnic.net.cn/gywm/xwzx/rdxw/2012nrd/201301/t20130115_38507.htm
[2]工信部电信管理局.2012年11月通信业运行状况[EB-OL].2012-12-24.http://www.miit.gov.cn/n11293472/n11505629/n11506323/n11512423/n11512603/n11930035/15073105.html
[3]庄小岚.智能手机面临安全威胁[J].信息安全与通信保密, 2011 (3) .
恶意软件检测 篇9
近年来,随着Android系统的流行,针对Android平台的攻击也日益增加。2012年第三季度,以腾讯手机管家产品服务为基础的腾讯移动安全实验室截获的恶意软件包总数为57221个,其中,Android平台的恶意软件包占据了总数的92%,呈连续递增趋势[1]。并且2012年第三季度截获的Android的恶意软件包已经超过了2012年上半年截获的Android恶意软件包总数之和。Android系统面临着严重的安全威胁。
与此同时,针对智能手机的安全研究也成为了全球安全研究的重点。M.Miettinen和.Halonen[2]对移动智能设备面临的安全威胁(主要来自于恶意软件),以及智能设备安全检测中的主要挑战和不足做了详尽的分析。他们从理论上分析了在动智能设备上以操作系统事件和应用事件作为异常检测对象的可行性,为后续的智能手机异常检测研究奠定了基础。
Abhijit Bose等人在论文中提出了一个全新的智能手机异常检测模型[3],与M.Miettinen和P.Halonen最大的不同是,该模型采用的异常检测对象是智能手机上正在运行的应用。他们采用基于因果关系的时间逻辑描述智能手机应用的行为模式,并使用SVM机器学习方法[4]进行异常检测分析。Abhijit Bose在异常检测对象的选取上为后来的研究提供了一些新的思路,并且将机器学习引入智能手机的异常检测分析中,开辟了新的视野。
Aubrey-Derrick Schmidt等人在深入研究Android系统安全架构前提下,提出在Android平台上引入异常检测保护用户安全[5]。他们的异常检测对象与M.Miettinen和P.Halonen相同,均是采用系统数据作为检测对象,包括Android架构中的各个层次:Linux层、Library层、Application Framework层和应用层。并创新地提出使用Ad-Hoc[6]网络中的联合异常检测算法进行异常检测分析。
可以看到现有的智能手机安全研究基本集中在通用的基于行为模式的异常检测。对于特定智能手机平台,例如Android,并没有研究人员对该平台的恶意软件行为模式进行研究和总结。本论文在对大量Android平台主流恶意软件行为模式分析的基础上,总结了Android平台恶意软件的攻击意图和手段,为后续的Android平台的异常检测研究奠定了基础。
1 Android平台恶意软件行为模式分析
本节以Android平台典型恶意软件为例分析Android平台恶意软件的行为模式。如前所述,Android平台恶意软件的行为模式的研究对于Android平台异常检测研究具有很重要的意义。
1.1 Droid Dream
截止至2012年第三季度,已经出现了超过150款感染了Droid Dream的应用,估计大约12万到20万的用户被感染。并且已经出现了变种:Droid Dream Light。
Droid Dream采用重新包装的方式隐藏自己,将自己与合法应用一起打包,当用户下载、安装并运行了加载了Droid Dream的伪合法应用时,Droid Dream会随之启动起来。启动起来后,Droid Dream首先手机用户敏感数据发送给C&C服务器;然后利用名为“exploid”或“Rageagainstthecage”的系统漏洞获取root权限;获得root权限后,Droid Dream将会从网上下载名为Download Provider Manager的安装包并安装,完成这步后,Droid Dream算是完全入侵了用户手机,并已经获得了手机的控制权。Download Provider Manager拥有偷偷下载安装Droid Dream开发者选择的任何应用的能力。
1.2 Droid Kung Fu
与Droid Dream相同,Droid Kung Fu也是采用重新包装的方式隐藏自身,当被感染的应用被用户启动,它首先收集用户信息,这些信息包括IMEI号、手机型号、Android系统版本。相关代码如图1所示。
然后Droid Kung Fu采用HTTP Post的方式将数据发送给硬编码的远程服务器:http://xxxxxx.xxxxxx.com:8511/search/sayhi.php,如图2所示。
Droid Kung Fu采用和与Droid Dream相同的漏洞“expoid”和“rageagainstthecage”试图获取root权限,获得root权限后,Droid Kung Fu拥有安装或者卸载任何包的能力,Droid Kung Fu进一步行动也是安装其他的恶意应用或者将移动设备作为其僵尸网络的一员。(如图3)
JSMSHider是一款针对中国Android用户的木马,它主要影响定制ROM用户。定制ROM采用第三方发布的定制Android版本。截止到2012年6月15号,已经出现了八款感染了j SMSHider的应用,并且全部出现在针对中国用户的Android Market的替代应用商场。j SMSHider的威胁级别比较低,它主要影响下载了定制ROM或者root了的手机。
JSMSHider采用了一般模式伪装成合法应用,尽管增加了一点点授权。咋一看,j SMSHider就像最近的Android木马一样,试图通过root手机,突破Android安全容器,进而控制移动设备,但是其实,j SMSHider采用了其他方式。它利用大部分定制ROM系统镜像数字签名认证这一漏洞,获得控制手机的能力,因为大部分的定制ROM的数字签名认证都是采用Android开源计划(AOSP)中的公开可用的私钥。在Android安全模型中,任何与平台系统签署了相同系统镜像密钥的应用都可以不提供正常的应用程序权限声明,并且可以在用户不知情的情况下安装、卸载应用。
1.4 Gold Dream
Gold Dream暗中监视用户收到的短信和呼入、打出的电话号码,并且在用户没意识到的时候上传到远程服务器。此外,它还可以从远程服务器获取命令并且相应的执行。
Gold Dream的启动过程和其他Android恶意软件的启动过程相似。它将注册一个高优先级的接收器,从而使它能够在某些系统事件触发的时候收到通知,例如接收到短信或者是打、接电话。除此之外,这个恶意软件还将运行一个用户不知情的后台服务。一旦服务开始运行之后,Gold Dream将收集被感染手机的一系列信息,包括IMEI号码、唯一的用户标识。稍后它将这些信息上传到http://lebar.gicp.net/zj/upload/Upload Files.aspx这个地址。Gold Dream传递用户敏感信息的程序段如图4所示。
通过实验显示,当一个被感染的手机收到短信,Gold Dream将记录短信的源地址、内容以及时间戳,创建zjsms.txt保存数据,当打电话的时候,恶意软件将收集电话号码和时间戳。创建zjphonecall.txt保存数据,在接电话呢的时候,恶意软件将收集结束的时间、电话号码以及开始的时间。
Gold Dream能够接受远程服务器的命令然后相应的执行。在接受指令之后可能执行以下的行为:安装执行一个新的包、任意的拨打电话、任意的发送短信、卸载一个包。
1.5 Droid Deluxe
Droid Deluxe声称具有帮助用户恢复密码的功能,但是其实它并没有这个功能,而是在取得root权限后,将一些包含用户信息的文件暴露给外界。实验发现它目前的能力比较有限,也没有什么很明显的恶意行为,但是它在手机里创建了一个后门,使得其他很多应用可以利用它来绕过或破坏Android的安全保护系统。
与Droid Dream、Base Bridge和Droid Kung Fu相似,它也是利用“Rageagainstthecage”这个漏洞。虽然目前没有发现其他恶意行为,但是它已经让用户处于极大地风险当中。
1.6 Base Bridge
至今已有20多项Android应用程序感染恶意软件Base Bridge,该恶意软件通过自动拨号导致高额话费。
Base Bridge被嵌入到合法的应用程序中,当用户安装应用程序时,该恶意软件提醒用户进行升级。一旦用户选择升级,则该恶意软件就在用户不知情的情况下被安装在用户设备上,名称为“com.android.battery”。之后恶意软件会提醒用户重新启动所安装应用,重启后恶意软件也随之被激活。
激活后,恶意软件将启动三项恶意服务,Ad Sms Service、Bridge Provider和Phone Service,之后他们会在程序安装目录下创建3个分享设置文件和一个数据库文件,供与服务器交互指令使用。
Base Bridge为了保护自己会强制关闭某些安全软件。实验发现最常见的表现形式为当用户重新解开键盘锁的时候,会有提示框弹出显示某安全程序(如360安全卫士)意外停止,需退出,而实际上该安全程序一切正常,如图5所示。
在其代码中还发现,当屏幕黑屏事件超过服务器下达的指令时间后,会后台向外拨打指定号码,该号码由服务器下达,并会向指定号码发送短信,并屏蔽10086短信,以上现象均由服务器和定时器控制,用户很难摸清规律。此外,该恶意软件还会定时向用户收件箱中插入消息。
1.7 Plankton
Plankton是一款间谍软件,它通过使用本地化加载功能进行伪装,而不会试图获取Android手机的root权限。
对有效负载的分析显示,这种病毒不会破解root权限,但却可以支持很多与僵尸网络相关的指令,例如上传用户浏览器内书签和浏览历史记录、搜集用户账号信息。相关指令如图6所示。
由于采用了动态加载技术,Plankton以后还能继续扩展它的功能,例如利用漏洞获得root权限等。
1.8 Gambler SMS
Gambler SMS是一种间谍软件,被描述为“短信间谍”,它的作用是监视每一条进出Android用户手机的短信和打出的每一个电话。Gambler SMS记录每一次打出电话的谈话内容并将这些内容存为一个文件,然后Gambler SMS通过硬编码邮件账户将这个文件发给用户给出的接收人的邮箱中,而且Gambler SMS的硬编码邮件账户的发件箱中有文件备份,这个备份文件使得Ganmbler SMS这个间谍软件可以备份用户所有的通话记录。
Gambler SMS可以安装到手机上并且在主屏幕上不显示图标,当安装Gambler SMS时,Gambler SMS会要求用户输入一个监视人的手机号码用来接收被监视人手机进出的短信,并且输入一个邮件地址用来接收被监视人的通话记录的邮件,如图7所示。
安装成功后,Gambler SMS将会在后台默默的运行。值得注意的是,每次被监视手机重启后,Gambler SMS会通过后台服务邮件监视器自动运行。
Gambler SMS使用的是硬编码邮件账户和标准的SMTP协议传送邮件,结果,发送给监视者的邮件将会同时发给Gambler SMS的制作者,如图8所示。目前只在一些中国非官网站发现了Gambler SMS,在正式的官网没有发现Gambler SMS。(如图8)
Hippo SMS是一款短信恶意软件,它如果侵入用户手机后会通过向一个硬编码保险收费号码发送短信,从而增加使用户增加额外的手机费用。
当有Hippo SMS侵入的手机应用程序运行后,Hippo SMS就会立即向保险收费号码发送短信,然后它再启动一个服务来监视用户收到的短信,这个服务将会删除所有用户手机服务提供商发给用户的通知他们所用掉的电话费或他们的账户欠款额的短信,删除这些有关费用的短信用来隐藏由这款恶意软件所产生得额外费用,让用户难以发现。
Hippo SMS寄生到主机应用程序上,所以当应用程序运行时,Hippo SMS会立即启动一个服务向硬编码保险收费号码(如:1066******),之后Hippo SMS在启动Content Observer服务来监视手机收到的短信,Content Observer将会删除任何以10开始的号码发送给用户手机的短信,例如:10086/10010这些代表着合法的中国手机服务商的号码,这些号码发的短信通常是通知用户目前所定制的服务以及用户当前的手机的消费账单。从而我们可以得知,Hippo SMS删除短信这一行为的目的是隐藏由这款恶意软件所产生得额外费用。
1.1 0 Rogue SPPush:
在中国移动通讯中短信业务变的越来越普及,但基于这种增值业务的短信诈骗也变的多起来。例如,有些服务提供商会诱导用户定制额外的短信服务业务。因此中国的信息产业部规定:运营商必须给用户发送确认订购的短信。只有用户确认订购这种业务,运营商才可以收取业务费。因此,中国的用户订购手机业务需要经历以下三个步骤:
1)用户发送订购手机业务的短信。
2)服务提供商发送给用户确认短信。
3)用户确认订购此项业务,否则,此项业务定制失败。
Rogue SPPush就是一款可以违反或者绕开这种机制的恶意软件。当收到确认短信后,它会自动为用户发送确认的回复。当安装时其会征求用户的许可如图9所示。
1.1 1 Nicki Bot
Nicki Bot是一款同属于Nicki Spy家族的恶意软件,不同的是它的远端服务器完全依赖于短消息对其进行控制。Nick Bot支持一系列的马蝇指令,例如:基于GPS的位置检测,录音,基于email的上传,通话记录的采集。对于远程站点他有一个签到机制。
Nicki Bot的安装过程具有极大的欺骗性,在安装过程中,它会要求用户填写一个接受录音文件的邮箱地址及一个记录运行状态的手机号码,如图10所示。
当安装之后,其会以"Android System Log."的名字运行。用户很容易忽视它的存在,如图11所示。
2 Android平台恶意软件攻击意图
理论上来说,恶意软件入侵用户手机必然是为了获取某些利益。总结起来恶意软件攻击意图包括以下几种。
1)窃取用户隐私资料
Gold Dream、Droid Deluxe、Gambler SMS这几款恶意软件就是监听用户的手机短信以及IMEI号码,当前的地理信息还有各种账号密码等一系列的用户隐私信息,并且将信息收集发送到远端服务器。Plankton这款恶意软件上传用户网上浏览器内书签和浏览历史记录、搜集用户账号信息。获取用户隐私后兜售给部分SP公司进行盈利,直接导致了垃圾短信泛滥和部分欺诈信息的广泛传播,还可以进行二次传播手机病毒。
2)资费消耗
Base Bridge恶意软件通过自动拨号导致高额的花费。Hippo SMS则是一款短信恶意软件,它如果侵入用户手机后会通过向一个保险收费号码发送短信,从而使用户增加额外的手机费用。Rogue SPPush是一款绕开中国用户订制手机业务三步骤的恶意软件,在用户不知情的情况下给用户订制一系列的业务,导致了高额的花费。
3)无提示联网下载软件、卸载软件
无任何提示的情况下下载或者卸载软件,花费用户的流量,而且可以无限制的链接某一个网址通过流量或者浏览次数增加而收益,大大消耗了用户的流量。例如Droid Dream、j SMSHider等。
4)监视监听
恶意软件监听用户通话信息,监视用户的短信信息以及地理位置等敏感信息。此类恶意软件有:Gold Gream、Gambler SMS等。
5)传播恶意软件
某些恶意软件在用户手机上入侵成功之后,会利用用户手机上的通信录在不知情的情况下发送大量的带有恶意链接的短信或者彩信,另外的用户不经意点击链接后手机就会感染恶意软件。
3 Android平台恶意软件攻击手段总结
总结来说恶意软件执行其任务的声明周期包括四个步骤:入侵、启动、准备、执行。现在Android平台恶意软件最为主流的入侵方式是重包装。重包装是一种社会工程学的入侵方式,它通过将恶意软件嵌入到合法应用中,来诱骗用户下载并安装。恶意软件制作者一般会采用免费、优化等理由诱骗用户进行下载。当重包装的恶意软件已经被安装到用户手机上,恶意软件制作者需要思考的下一个问题就是如何让重新包装应用的恶意代码启动起来。在这之后就是恶意软件执行其恶意操作,包括两步:准备和执行。准备即用户为了获取系统的某些特权或者隐藏自身的操作,比如获取root权限,申请高优先级的接收器等。执行则是执行相关的恶意操作,即上节中总结的Android平台恶意软件的攻击意图。
3.1 Android平台恶意软件入侵行为模式
Android主流的入侵方式(也几乎是所有恶意软件入侵的方式),是重新包装。重新包装方式有以下几种:
1)通过修改合法应用程序代码,恶意软件重新包装到合法应用当中,如图1所示。
2)恶意软件本身完全伪装成一个合法的应用,如图2所示。
3)将恶意软件的部分代码嵌入到合法应用当中,以后再通过其他方式加载整个恶意软件代码,如图3所示。
3.2 Android平台恶意软件启动行为模式总结
恶意软件入侵后会尽量让自己的恶意代码启动起来,其方式大致可分为两类,总结如下:
1)对于重新包装方式一和方式二,当恶意软件启动时,会向远端控制服务器发送若干数据,比如手机IMEI号、手机型号、Android系统版本等数据;然后等待服务器返回数据,返回的数据中可能包含进行下一步动作的指令或其它数据。如Droid Dream、Droid Kung Fu、Gold Gream、Droid Dream、Plankton等均采用此种方式。(如图15)
2)对于重新包装方式三,恶意软件的部分代码嵌入到其它合法应用中,安装该合法应用后,后会提醒用户更新升级应用,当用户选择升级后,该恶意软件也会随之下载并安装到手机上,并通过重启来激活该恶意软件。采用这种方式的恶意软件有:Base Bridge等。(如图16)
3.3 Android平台恶意软件准备行为模式总结
1)当恶意软件成功启动后,会利用系统漏洞,来获得手机的root权限,使其成功入侵手机系统。常见的被利用的系统漏洞有“exploid”和“Rageagainstthecage”。采用此种方式的恶意软件有:Droid Dream、JSMSHider、Droid Kung Fu、Droid Deluxe、Base Bridge等。(如图17)
2)恶意软件成功启动后,会为其注册接收器。这些接收器具有极高的优先级,会拦截系统的短信、电话等broadcast信息,使该恶意软件能第一时间优先处理短信等信息,执行恶意行为,并且用户对此毫不知情。采用此方式的恶意软件有:Gold Dream、Gambler SMS、Hippo SMS、Rogue SPPush、Nicki Bot等。(如图18)
3)恶意软件成功启动后,通过使用本地化加载功能进行伪装,而不会试图获取Android手机的root权限,但它却可以支持很多与僵尸网络相关的指令,并且以后还能继续扩展它的功能。采用此种方式的恶意软件有Plankton等。(如图19)
总的来说,Android平台恶意软件的攻击基本遵循:入侵、启动、准备、执行四个步骤。入侵的基本采用社会工程学的方式,使用重包装的技术手段,引诱用户下载安装含有恶意代码的应用;恶意软件为了将自身启动起来,采取监听特定事件的方式启动自身,启动后一般运行一个后台服务执行后续操作;恶意软件为了更好地执行恶意行为,一般会去获取root权限或者注册较高优先级的接收器,这是恶意行为的准备;最后就是执行恶意操作获取相关利益。
4 结论
随着智能手机的快速发展,智能终端上的恶意软件也越来越多。而Android平台作为目前市场上占有率最高的手机平台,成为杀毒厂商和黑客关注的重点。现有的安全研究集中在通用的异常检测模型,没有对各个平台恶意软件的特殊情况加以考虑。
本文在对大量Android平台的主流恶意软件的行为模式详细分析的基础上,总结了Android平台恶意软件的攻击意图和攻击手段。为后续Android平台的异常检测研究提供了丰富的素材。
本课题选取的典型恶意软件数量较少,对于Android平台的恶意软件可能覆盖不足,并且没有对各类型恶意软件进行分类。后续工作需要更进一步增加恶意软件行为模式分析数量,并对恶意软件进行分类研究。
参考文献
[1]腾讯移动安全实验室.腾讯移动安全实验室2012年第三季度手机安全报告.北京:腾讯移动安全实验室,2012
[2]M.Miettinen,P.Halonen.Host-based intrusion detection for advanced mobile devices[J].Information Networking and Applications,2006,20(4):72-76.
[3]detection of malware on mobile handsets[A].Abhijit Bose.MobiSys'08Proceedings of the6th international conference on Mobile systems[C].America:ACM New York
[4]B.Scholkopf,A.J.Smola.Learning with kernels:support vector machines regularization optimization and beyond[M].American:the MIT Press,2002.
[5]Aubrey-Derrick Schmidt,Rainer Bye,Hans-Gunther Schmidt,Kamer Ali Yüksel,Osman Kiraz.Static analysis of executables for collaborative malware detection on android[A].Aubrey-Derrick Schmidt.ICC2009IEEE International Conference[C].Germany:Berlin.
Q2威胁报告:恶意软件再创新高 篇10
2010年第2季度,恶意软件保持了一直以来的疯涨态势,上半年记录在案的新恶意软件数量达到了惊人的1000万。与上季度一样,针对便携式存储设备的威胁仍是常见恶意软件中发展最快的分支。紧随其后的是伪造防病毒软件和针对社交媒体的恶意软件。在全球范围内,每天都会出现约55000个新恶意软件,其中AutoRun恶意软件和密码盗取木马分别占据了恶意软件威胁的前两位。 在2009年第3季度达到最高点(每天近1750亿封)之后,垃圾邮件进入了一个平稳增长期。随着南非世界杯的到来,网络犯罪份子开始利用全球对这项赛事的期待和大肆宣传,极尽所能地实施各种诈骗活动和搜索引擎“投毒”。在全球范围,最常见的垃圾邮件在不同国家/地区存在较大差别。例如,在美国、意大利、西班牙、中国、英国、巴西、德国和澳大利亚,最常见的是投递状态通知或投递失败回执垃圾邮件。而在哥伦比亚、印度、韩国、俄罗斯和越南,恶意垃圾邮件或附带病毒或木马的垃圾邮件比较流行,这类垃圾邮件会诱使收件人访问受感染的网站。在垃圾邮件种类方面,阿根廷最多的,有16种不同的主题(包括药品、寂寞女士征友、办证等),而意大利最少,只有6种。
迈克菲全球威胁智能感知系统(McAfee Global Threat Intelligence)高级副总裁兼首席技术官Mike GaUagher表示:“我们最新的威胁报告显示,2010年上半年恶意软件呈现稳步增长之势。同时一个明显的变化是,相比以往,网络犯罪份子更善于从技术角度在公众特别关注的事情上大做文章,借此来引诱毫无戒备的人。这些结果表明,我们不但需要更加普及网络犯罪方面的教育培训,而且安全机构也应转变战略,从被动式响应向主动式预测过渡。”
攻击者以世界杯和中东地区冲突这些大事件为诱饵向互联网搜索“投毒”,但墨西哥湾BP石油泄漏事件却出人意料地落选20大“有毒”搜索关键字。此外,迈克菲实验室研究显示,两种消失已久的僵尸网络“重现江湖”:Storm WOrlTl和Kraken一它们曾被认为是全球最大的僵尸网络。
【恶意软件检测】相关文章:
一步步教你赶走恶意软件07-15
拒绝恶意软件 安全上网三大利器WEB安全06-30
恶意代码检测08-19
恶意应用检测08-26
规制恶意串通之恶意诉讼的立法借鉴与重构09-11
恶意抢注05-30
恶意07-31
恶意行为06-12
恶意代码攻击05-15