91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

     作者：鄭曉蒙

    本文主要工作是設(shè)計并實現(xiàn)一個檢測惡意軟件的方法，通過一些靜態(tài)分析軟件（如Androguard等）編寫python腳本實現(xiàn)一個大量軟件樣本權(quán)限的提取，并將提取的權(quán)限保存為矩陣，顯示每個APK文件調(diào)用的權(quán)限名；然后對矩陣進(jìn)行數(shù)據(jù)分析，對調(diào)用次數(shù)進(jìn)行統(tǒng)計、繪圖，最終將實驗結(jié)果通過某些數(shù)據(jù)挖掘軟件（如Weka等）對權(quán)限進(jìn)行分級評分，通過對各個權(quán)限的危險系數(shù)評分，可以得出一個應(yīng)用軟件安全性評分機(jī)制，用戶在安裝軟件時可以基于該機(jī)制考慮是否安裝，從而使基于權(quán)限的惡意軟件檢測與防范可投入使用，提供一個保護(hù)Android手機(jī)安全的機(jī)制。

    1智能手機(jī)安全現(xiàn)狀

    隨著智能手機(jī)產(chǎn)業(yè)和移動互聯(lián)網(wǎng)的飛速發(fā)展，移動互聯(lián)網(wǎng)面臨著4大威脅。

    1)打包黨泛濫：大量合法安卓軟件被惡意篡改，植入惡意代碼，PC互聯(lián)網(wǎng)時代的惡意產(chǎn)業(yè)鏈正在向移動互聯(lián)網(wǎng)漫延；

    2)惡意軟件普遍采用云端控制：最初安裝的山寨軟件在24—72小時內(nèi)可能毫無異常，之后開始接收云端指令產(chǎn)生多種惡意結(jié)果；

    3)安卓市場不夠規(guī)范：大量山寨軟件、被植入惡意代碼的軟件充斥其中，應(yīng)用市場缺乏有效安全審計；

    4)安卓軟件開發(fā)者濫用權(quán)限，過度申請或不規(guī)范使用系統(tǒng)權(quán)限的情況甚為嚴(yán)重。金山手機(jī)毒霸對8萬款安卓應(yīng)用軟件使用系統(tǒng)權(quán)限的情況做過詳細(xì)的技術(shù)分析，發(fā)現(xiàn)應(yīng)用軟件過度申請系統(tǒng)權(quán)限的情況相當(dāng)嚴(yán)重，其中55.31%的應(yīng)用軟件會嘗試定位用戶手機(jī)。

    與PC互聯(lián)網(wǎng)相比，移動互聯(lián)網(wǎng)客戶端安全同樣面臨4大挑戰(zhàn)。

    1)智能手機(jī)用戶對安卓系統(tǒng)風(fēng)險認(rèn)知不如PC用戶。智能手機(jī)上網(wǎng)的用戶群正在快速增長，且必然超過使用電腦上網(wǎng)的人群數(shù)量。安卓病毒木馬產(chǎn)業(yè)鏈一開始就是以追逐經(jīng)濟(jì)利益為目的，使得安卓惡意軟件的行為更隱蔽。在安卓手機(jī)平臺，只有手機(jī)惡意廣告讓中招用戶的感受很直接，安卓后門、竊取隱私、后臺推廣軟件等行為難以被普通網(wǎng)民察覺。

    2)更安全的安卓軟件市場尚在建設(shè)中。在媒體或消費者詢問哪里下載軟件更安全時，安全專家們難以回答，根據(jù)相關(guān)監(jiān)測的結(jié)果，幾乎所有安卓軟件市場都存在被植入惡意代碼的安卓軟件，有的還很嚴(yán)重，帶毒應(yīng)用動不動就被下載數(shù)百萬次。

    3)由于安卓智能手機(jī)用戶認(rèn)知上的不足，安卓安全軟件的警告易被用戶忽視。大約有10%的用戶會無視安全軟件的警告，在安全和玩游戲之間，選擇了繼續(xù)玩游戲。

    4)安全軟件檢測或攔截安卓惡意軟件的技術(shù)有待進(jìn)一步完善和提高：一些安卓惡意軟件被安全軟件檢測到時，往往已經(jīng)感染了上百萬、上千萬臺安卓設(shè)備。

    2國內(nèi)外研究現(xiàn)狀

    國內(nèi)在基于權(quán)限方面的智能手機(jī)安全研究上，朱佳偉、喻梁文等人對目前的權(quán)限機(jī)制做了相關(guān)的研究工作，介紹說明了權(quán)限機(jī)制的實現(xiàn)原理，并對其進(jìn)行了有效性分析，提出了對權(quán)限機(jī)制的改進(jìn)方案，以及未來關(guān)于不依賴用戶進(jìn)行安全決策的研究發(fā)展方向。楊晶、金偉信等人提出了一套基于Android系統(tǒng)的權(quán)限配置方案，通過Permission Manager來對權(quán)限配置方案進(jìn)行實現(xiàn)，當(dāng)程序進(jìn)行安裝時，對配置權(quán)限設(shè)限，同時可以禁止高危權(quán)限運行，只有當(dāng)用戶授權(quán)使用高危權(quán)限時才可繼續(xù)，該方法在一定程度上優(yōu)化了Android的權(quán)限系統(tǒng)。

    對于惡意軟件的檢測技術(shù)研究，文偉平、梅瑞等人提出了手機(jī)端和服務(wù)端協(xié)作的惡意代碼檢測方案，手機(jī)端采用權(quán)限檢測技術(shù)，實行輕量檢測，服務(wù)器端對手機(jī)提交的可以樣本進(jìn)行檢測，同時進(jìn)行軟件行為分析，特征庫更新等功能。張一在檢測惡意行為時，提出一種基于靜態(tài)風(fēng)險評估的動態(tài)防御系統(tǒng)，通過對Andorid系統(tǒng)權(quán)限風(fēng)險值的靜態(tài)分析，選擇適當(dāng)?shù)谋O(jiān)測對象并建立相應(yīng)的敏感權(quán)限集合，并通過動態(tài)防御機(jī)制，對對象通信進(jìn)行監(jiān)測，確認(rèn)是否發(fā)生權(quán)限提升攻擊。張金鑫、楊曉輝給出了一種可以對PC端和移動端的應(yīng)用程序檢測的系統(tǒng)，不僅可以檢索權(quán)限信息，也可以檢索具有某條敏感權(quán)限的應(yīng)用，來對用戶提出一個判斷的過程，以此實現(xiàn)用戶安全的防護(hù)。張怡婷、張揚、張濤等人針對安卓系統(tǒng)提出了一種基于樸素貝葉斯的Android軟件惡意行為識別方法，該方法綜合考慮了軟件運行時的用戶操作場景和用戶行為習(xí)慣以及軟件權(quán)限特征，抽取軟件是否為系統(tǒng)應(yīng)用、權(quán)限使用是否有用戶操作、軟件是否申請了過多的權(quán)限、是否存在敏感權(quán)限組合、權(quán)限的使用是否存在突發(fā)性等作為分類屬性，對安卓安全框架進(jìn)行了擴(kuò)展，實現(xiàn)了對惡意行為的實時分析和處理，通過該方法實現(xiàn)的智能識別技術(shù)具有較高的識別率和較低的誤報率，并對系統(tǒng)性能有較小的影響。

    國外在Android系統(tǒng)的惡意軟件檢測方面，Di CerboFrancesco和Girardello Andrea通過提取Android平臺上應(yīng)用程序的權(quán)限信息作為基礎(chǔ)來發(fā)現(xiàn)惡意應(yīng)用，并在Google電子市場上的應(yīng)用程序進(jìn)行測試取得了較好的效果，這

正是通過提取了Android應(yīng)用文件的特征來對應(yīng)用程序數(shù)據(jù)進(jìn)行安全評估。Blasing Thoma和BatyukLeoni提出一種Android應(yīng)用程序沙箱(AASandbox)1 9J，能夠?qū)�Android應(yīng)用程序進(jìn)行靜態(tài)和動態(tài)的分析，自動檢測出可疑的應(yīng)用程序，為Android惡意應(yīng)用的檢測提供了很好的解決方案。

    而在Android系統(tǒng)的應(yīng)用權(quán)限機(jī)制控制方面，OngtangM和McLaughlin S等人提出一個稱為“SAINT”的模型，該模型允許應(yīng)用開發(fā)者設(shè)置應(yīng)用在安裝時和不同運行時環(huán)境下的權(quán)限，同樣彌補了現(xiàn)有Android系統(tǒng)應(yīng)用安裝后權(quán)限不可更改的缺陷。模型運行時的權(quán)限分派交給用戶設(shè)置，從用戶角度更加實用。Zemin Liu和Choon-Sung等人對現(xiàn)有的Android安全機(jī)制擴(kuò)展了-一個基于密級的權(quán)限控制模型jlll，擴(kuò)展后的系統(tǒng)可以實現(xiàn)多用戶環(huán)境下的權(quán)限控制，只有授權(quán)密級比該應(yīng)用設(shè)定的密級更高的用戶才能啟動該應(yīng)用及訪問其數(shù)據(jù)。

    Wei Wang和Xing Wang等人提出了三個不同層次的基于權(quán)限引起的風(fēng)險判斷研究。首先通過三種不同的策略對單獨權(quán)限根據(jù)它們的潛在風(fēng)險進(jìn)行了分級評分；其次用順序前選和PCA策略分析總權(quán)限的子集。然后采用幾個算法如支持向量機(jī)、決策樹、隨機(jī)森林機(jī)制來基于風(fēng)險權(quán)限的子集來檢測惡意應(yīng)用。同時構(gòu)建決策樹來測試惡意軟件的不同特征。該工作對高達(dá)310926個良性樣本和4868惡意樣本進(jìn)行了評估檢測。該項研究可以實現(xiàn)在掃描Android應(yīng)用時有效地判斷是否為惡意軟件。

    對于智能手機(jī)權(quán)限安全機(jī)制，國內(nèi)外學(xué)者已經(jīng)進(jìn)行了非常豐富的研究，同時提出了各種各樣地檢測惡意軟件的技術(shù)，對各類軟件行為進(jìn)行靜態(tài)動態(tài)分析，從而根據(jù)特征判斷惡意軟件。但是由于部分權(quán)限對于良性軟件和惡意軟件都是常用權(quán)限，僅從惡意樣本提取權(quán)限從而定義該權(quán)限風(fēng)險性會產(chǎn)生誤差，需要對比良性與惡意之間權(quán)限的使用差異。所以基于文獻(xiàn)[12]中的權(quán)限分級評分策略和權(quán)限風(fēng)險評估機(jī)制，本文提出了對樣本使用信息增益策略，來對比良性軟件和惡意軟件中不同權(quán)限對于判斷他們類別的影響大小，也就是他們的風(fēng)險性。

    3 Android平臺安全機(jī)制

    Android平臺應(yīng)用程序框架方面主要有兩種類型的安全機(jī)制：簽名機(jī)制和權(quán)限控制機(jī)制。

    簽名機(jī)制是指Android中每一個程序都被打包成APK格式以方便安裝。APK文件與Java標(biāo)準(zhǔn)jar文件相似，APK文件包括所有非代碼資源文件，如圖片、聲音等。Android要求所有應(yīng)用程序都經(jīng)過數(shù)字簽名認(rèn)證。簽名文件通常是Android確認(rèn)不同應(yīng)用程序是否來自同源開發(fā)者的依據(jù)。

    然而Android應(yīng)用程序安全的核心機(jī)制是權(quán)限控制機(jī)制。應(yīng)用程序必須在系統(tǒng)給予的權(quán)限中運行，不得訪問未被賦予權(quán)限的其它任何內(nèi)容。程序安裝時由包管理器賦予權(quán)限，運行時由應(yīng)用程序框架層執(zhí)行權(quán)限控制。A ndroid內(nèi)置大約有一百多種行為或服務(wù)的權(quán)限控制，包括打電話、發(fā)短信息、訪問互聯(lián)網(wǎng)等。應(yīng)用程序在安裝時必須申明其運行時需獲得的權(quán)限，Android通過檢查簽名和與用戶的交互賦予相應(yīng)權(quán)限。權(quán)限的申請只能在安裝時得到批準(zhǔn)或拒絕，在運行過程中不得再申請任何權(quán)限。

    當(dāng)我們打開一個APK文件，從得到的文件目錄中可以看到Android-Manifest.xml這個文件，我們所要的權(quán)限將從該文件解析得到。Android開發(fā)者在Android-Manifest．xml聲明所有必需的權(quán)限。當(dāng)應(yīng)用程序試圖訪問一個系統(tǒng)特定資源，Android系統(tǒng)將查詢軟件包中的Android-Manifest來檢索應(yīng)用程序是否有必要的權(quán)限。經(jīng)過對大量樣本檢測表明，目前Android系統(tǒng)中共有124種權(quán)限，這124種權(quán)限為系統(tǒng)資源提供了保護(hù)。

    4 Android權(quán)限分析

    首先，為了對比權(quán)限控制在正常應(yīng)用和惡意軟件中的差別，從安智市場上找到了26743個正常應(yīng)用APK文件和835個惡意APK樣本。對正常樣本和惡意樣本分別進(jìn)行權(quán)限提取、保存、統(tǒng)計，并對他們的權(quán)限調(diào)用情況進(jìn)行繪圖，通過表圖直觀地觀察正常應(yīng)用和惡意應(yīng)用的權(quán)限調(diào)用習(xí)慣。最后通過數(shù)據(jù)挖掘工具，將兩者的結(jié)果采用信息增益的概念，通過判斷權(quán)限在良性應(yīng)用和惡意應(yīng)用中所占的比例特征，計算得到權(quán)限風(fēng)險性的安全評分，由此可以得到一個惡意軟件檢測機(jī)制，并給出評分和理由供用戶參考。

    4.1樣本權(quán)限提取

    為了保證實驗數(shù)據(jù)的完整性和可靠性，從安智市場上下載了26743個普通APK與835個惡意APK作為樣本。將對上述應(yīng)用程序分別提取權(quán)限，并整理。

    4.1.1單應(yīng)用權(quán)限提取

    我們借助了Santoku操作系統(tǒng)中的Androgurad靜態(tài)分析工具來實現(xiàn)對APK的權(quán)限提取分析。Androguard提供了一組工具包來輔助分析人員快速鑒別與分析APK文件。其中的Androlyze．py腳本是一個靜態(tài)分析工具，提供獨立Shell環(huán)境來進(jìn)行分析。我們通過腳本檢索該應(yīng)用的Android-Manifest來提取該應(yīng)用所需要的權(quán)限。

    圖1所示為指定目錄下特定應(yīng)用軟件的權(quán)限提取示例，首先輸入APK文件地址，然后進(jìn)行提取操作，獲得INTERNET（允許程序打開網(wǎng)絡(luò)套接字）、GET_AccouBlrrs（獲取賬戶信息）、ACCESS_NETWORK_STATE（訪問網(wǎng)絡(luò)狀態(tài)）三個權(quán)限。

    4.1.2多應(yīng)用自動化權(quán)限提取

    為了對超大量樣本實現(xiàn)上述效果，圖2通過python語言編寫了一個自動化提取權(quán)限的程序，目標(biāo)通過該程序自動化地實現(xiàn)目標(biāo)目錄中27578個應(yīng)用程序文件的提取，并將程序名和權(quán)限輸出到一個txt文檔或者excel中，方便后面的統(tǒng)計、繪圖。

    通過對近27578個樣本實驗我們共得到124種權(quán)限，經(jīng)過上述程序?qū)⒛夸浿兴�有的．a(chǎn)pk文件全部遍歷，并存儲在矩陣中，橫坐標(biāo)取權(quán)限名，縱坐標(biāo)取應(yīng)用名。每當(dāng)一個應(yīng)用的權(quán)限被提取，被提取到的權(quán)限標(biāo)志1，未被提取到的權(quán)限標(biāo)志0。這樣就可以獲得一個顯而易見的數(shù)據(jù)，輕松地查詢到每個APK文件調(diào)用權(quán)限情況。

    圖3為上述腳本提取權(quán)限結(jié)果。第一行為各個權(quán)限名稱，第一列為各個應(yīng)用程序文件名稱，對于每行來說，每當(dāng)該應(yīng)用調(diào)用某一權(quán)限時，對該權(quán)限標(biāo)記為1，未調(diào)用標(biāo)記為0，樣本遍歷結(jié)果如圖3所示。

    4.2樣本結(jié)果統(tǒng)計

    為了對比非惡意應(yīng)用和惡意軟件的權(quán)限使用情況，分別對他們的權(quán)限提取結(jié)果進(jìn)行了統(tǒng)計，通過表格和圖形來分析他們在調(diào)用權(quán)限方面的特征。

    4.2.1正常應(yīng)用結(jié)果

    將26743個正常APK文件進(jìn)行上述權(quán)限提取操作，將結(jié)果保存為．csv格式，方便后期繪制表格與柱狀圖以及使用電子表格分析軟件分析數(shù)據(jù)。圖4為表格模式下的良性應(yīng)用名與權(quán)限名使用情況表。

    與此同時，對權(quán)限訪問次數(shù)求和，對權(quán)限訪問次數(shù)進(jìn)行降序排列，繪制權(quán)限訪問次數(shù)統(tǒng)計柱狀圖，如圖5所示，左側(cè)柱狀圖橫坐標(biāo)為權(quán)限名稱，縱坐標(biāo)為權(quán)限訪問次數(shù)，圖5右側(cè)標(biāo)記各個權(quán)限代表的顏色，并按訪問次數(shù)倒序排列。

    由圖5可知，在26743個正常樣本中，INTERNET權(quán)限訪問了25137次，占94%，緊接著分別為ACCESS_NETWORK_STATE、READ_PHONE_STATE、WRITE_EXTERNAL_STORAGE，分別占83.20/0、79.50/0、79.0%,該4項為正常應(yīng)用調(diào)用最為頻繁的權(quán)限。

    4.2.2惡意應(yīng)用結(jié)果

    對835個惡意軟件而言采用上述的同樣方法，得到惡意軟件權(quán)限訪問次數(shù)柱狀圖，如圖6所示，左側(cè)柱狀圖橫坐標(biāo)為權(quán)限名稱，縱坐標(biāo)為權(quán)限訪問次數(shù)，圖右側(cè)標(biāo)記各個權(quán)限的名稱，并按訪問次數(shù)倒序排列。

    由圖6可知，在835個惡意軟件中，INTERNET權(quán)限訪問了814次，占98.70/0，然后分別為READ_PHONE_STATE、ACCESS_NETWORK_STATE、WRITE_EXTERNAL_STORAGE，分別占94.2%、82.7%、82.4%。

    惡意軟件對于這幾項權(quán)限的調(diào)用對比與正常程序有大幅度的提升，其中讀取電話狀態(tài)權(quán)限由普通的第三名上升為第二名，側(cè)面表明了惡意軟件對該權(quán)限的依賴度。而對比兩者聲明次數(shù)最少的一些權(quán)限上，也有顯著不同，例如正常應(yīng)用中設(shè)置鬧鈴權(quán)限、設(shè)置時間權(quán)限、閱讀歷史書簽權(quán)限在惡意應(yīng)用中所占比例不是很低。此統(tǒng)計結(jié)果進(jìn)一步說明了在對權(quán)限聲明的選擇上，惡意軟件與良性軟件有許多不同的側(cè)重點。

    4.2.3基于信息增益的特征分析

    為了對上述結(jié)果進(jìn)行特征分析，基于文獻(xiàn)[Il]所帶來的權(quán)限分級評分機(jī)制，我們引入了信息增益的概念來研究每項權(quán)限對于判斷一個應(yīng)用程序為惡意軟件的可能性的影響大小。

    在信息增益中，重要性的衡量標(biāo)準(zhǔn)就是看特征能夠為分類系統(tǒng)帶來多少信息，帶來的信息越多，該特征越重要。一個變量可能的變化越多．它攜帶的信息量就越大。信息增益是針對單個的特征而言的，就是看一個特征，系統(tǒng)有它或沒它的時候信息量各是多少，兩者的差值就是這個特征給系統(tǒng)帶來的信息量，即增益，也就是所謂的信息熵。

    在概率論和信息論中，信息增益是非對稱的，用以度量兩種概率分布P和Q的差異，信息增益描述了當(dāng)使用Q進(jìn)行編碼時，再使用P進(jìn)行編碼的差異。通常P代表樣本或觀察值的分布，也有可能是精確計算的理論分布。Q代表一種理論、模型、描述或者對P的近似。

    公式(1)為信息增益的定義。

    信息增益的連續(xù)分布形式如公式(2)所示。

    其中p和q表示P、Q的密度概率函數(shù)。

    在這里，為了考察每項權(quán)限對于判斷一個程序為良性程序還是惡意程序的作用，我們分別標(biāo)記良性和惡意程序為特定屬性，i代表100多項權(quán)限列表的每個權(quán)限，P和Q分別代表良性與惡意軟件，通過上述的試驗結(jié)果可以分別得到每個權(quán)限i下良性軟件和惡意應(yīng)用分別占有的比率P(/)和Q(/)，這樣就鮮明地表示了i這個權(quán)限在幫助判斷一個應(yīng)用為正常應(yīng)用還是惡意應(yīng)用下的作用性大小，得到的信息增益也就表示了這個權(quán)限i攜帶的信息量的大小，值越大表示該權(quán)限對于區(qū)分惡意和良性的作用越大。

    這樣就可以將上述惡意軟件和正常應(yīng)用的權(quán)限提取結(jié)果分別帶入公式(1)的P、Q中，就可以考察該項權(quán)限對整個系統(tǒng)的貢獻(xiàn)，簡而言之就是具體某一項權(quán)限判斷一個應(yīng)用程序為惡意軟件可能性的大小。

    為了將信息增益的概念運用于本實驗結(jié)果的分析，引入Weka數(shù)據(jù)挖掘工具。它所處理的數(shù)據(jù)集是一個二維的表格，表格的橫行作為一個實例、樣本、記錄，豎行作為屬性、變量，通過該軟件呈現(xiàn)出屬性之間的關(guān)系。利用該軟件的ArffViewer模塊可以打開.csv文件并通過Explorer模塊保存為該軟件所需的ARFF文件格式。

    由于利用Weka數(shù)據(jù)分析軟件讀取正常的26000多個數(shù)據(jù)會產(chǎn)生溢出錯誤，所以正常應(yīng)用的樣本選取為3000，并將835個惡意樣本合并，繪制如圖7的新表，在尾列對每個Apk文件賦予新的屬性，正常的應(yīng)用標(biāo)記為Normal，惡意軟件標(biāo)記為Abnormal。使用Weka的Explorer功能讀取該表格。

    圖8為Weka讀取表格界面，最上方的選項卡是切換不同的挖掘任務(wù)面板，左側(cè)上部顯示數(shù)據(jù)集的一些基本情況，左下方列出了數(shù)據(jù)集的所有屬性，如圖8所示為全部權(quán)限名稱。

    圖8中左側(cè)為作為屬性出現(xiàn)的在3835個應(yīng)用中提取出的100多個權(quán)限名。打開軟件的選擇屬性目錄，在屬性計算中選擇InfoGainAttributeEval信息增益選擇，在選擇方法中選擇Ranker，通過上述操作即可實現(xiàn)將目標(biāo)樣本通過信息增益的概念進(jìn)行處理，得到各個權(quán)限在判斷惡意軟件上的風(fēng)險性評分。

圖9為按照上述操作后Weka的輸出結(jié)果，從結(jié)果中可以得到運用方法、樣本數(shù)量、屬性數(shù)量等屬性。

    5實驗數(shù)據(jù)分析

    表1為輸出的實驗結(jié)果。

    表1顯示出了3835個樣本文件、125個不同權(quán)限通過信息增益算法處理得到的屬性評分結(jié)果，表1中可以看到第77號權(quán)限READ_SMS的評分為0.235926；82號權(quán)限RECEIVE_BOOB_COMPLETED評分為0.169521；122號權(quán)限WRITE_SMS的評分為0.168198；8號權(quán)限ACCESS_WIFI_STATE的評分為0.163213；34號權(quán)限CHANGE_WIFI_STATE的評分為0.161624。這些權(quán)限在判斷一個應(yīng)用為惡意軟件可能性的大小上面作用最為明顯。當(dāng)用戶在安裝一個應(yīng)用時，用戶可以優(yōu)先重點注意那些風(fēng)險評分高的權(quán)限，一旦發(fā)現(xiàn)一些應(yīng)用聲明的不可靠權(quán)限，則可以及時停止軟件安裝，保護(hù)手機(jī)安全。而在惡意軟件中占98.7%的57號INTERNET權(quán)限評分卻僅為0.006863，這表明了大部分惡意軟件最常申請的權(quán)限，正常的應(yīng)用也經(jīng)常申請這些權(quán)限，所以該權(quán)限對于判斷風(fēng)險性的評估作用很小。

    如此就可以依靠上述實驗數(shù)據(jù)實現(xiàn)對各項權(quán)限風(fēng)險性的評分，由此可以得到一個惡意軟件檢測機(jī)制來檢測一個未安裝程序的危險性，還可以通過算法實現(xiàn)該軟件的綜合評分，供用戶參考。

    6結(jié)束語

    本文通過對大量的正常與非正常樣本進(jìn)行靜態(tài)權(quán)限提取，將他們對權(quán)限的調(diào)用情況進(jìn)行了對比，從而分析得到了各個權(quán)限在正常應(yīng)用和惡意軟件中的使用頻度。與此同時，引入信息增益的概念，將正常應(yīng)用和惡意軟件作為兩個不同屬性，借助Weka數(shù)據(jù)挖掘工具得到每一個權(quán)限對于區(qū)分惡意軟件和正常軟件的一個級別和評分。大量的數(shù)據(jù)結(jié)果表明，基于上述結(jié)果可形成一個軟件保護(hù)機(jī)制，用來幫助用戶實現(xiàn)對惡意軟件的辨別，從而保護(hù)Android智能手機(jī)的安全。

    由于Android權(quán)限機(jī)制是在安裝時期對之進(jìn)行授權(quán)，這種機(jī)制存在一個問題就是用戶在安裝該應(yīng)用時沒有足夠的預(yù)知來判斷該軟件是否需要哪些權(quán)限。因此有效的解決方案可以從運行時調(diào)用權(quán)限去限制來做到防護(hù)，這也是今后的研究方向之一。

未來將圍繞上述結(jié)果來完善Android手機(jī)安全機(jī)制，可以通過樣本調(diào)查研究高危權(quán)限組合規(guī)則，亦可以結(jié)合動態(tài)分析對程序的動態(tài)行為進(jìn)行檢測，從而得到一套完整地基于權(quán)限分析的安卓手機(jī)安全的保護(hù)機(jī)制。

    7摘要：

    隨著近年來移動互聯(lián)網(wǎng)的興起，智能手機(jī)飛速發(fā)展。由于Android的開源性，使得Android平臺的惡意軟件與日俱增，并且具有數(shù)量大、傳播快、變種多等特點。文章提出了一種檢測和防范Android惡意軟件的策略及方法。首先通過靜態(tài)分析的方法提取大量的正常Android應(yīng)用程序和惡意程序樣本的權(quán)限，然后統(tǒng)計樣本結(jié)果，對比正常應(yīng)用與惡意程序所調(diào)用權(quán)限的區(qū)別，重點研究良性軟件和惡意程序中調(diào)用最頻繁的權(quán)限的區(qū)別。該統(tǒng)計結(jié)果很好地反映了惡意軟件與良性軟件在權(quán)限選擇上有許多不同側(cè)重點；最后引入信息增益概念，來研究每項權(quán)限對于判斷一個應(yīng)用程序為惡意軟件的可能性的影響大小，對應(yīng)用程序的權(quán)限進(jìn)行分級評分，從而形成一個可靠有效的安全測評機(jī)制、，通過實驗證明，該方法能有效的檢測和防范惡意軟件，從而更好地保護(hù)Android手機(jī)安全。