CN107463847B - 一种Android系统下的权限共谋攻击检测方法 - Google Patents

Abstract

本发明提供了一种Android系统下的权限共谋攻击检测方法，包括按顺序进行的下列步骤：提取已知应用的特征生成特征向量集；对权限特征向量集训练和分类并生成安全策略规则集；然后根据组件和通信方式特征向量集生成组件通信有限状态机；最后通过提取待测应用特征向量集生成新权限状态机，通过与已优化安全策略规则集的匹配检测权限共谋攻击；本发明提供的检测方法可实现对Android系统中权限共谋攻击的有效检测，具有检测准确率高、检测速度快的特点。

Description

一种Android系统下的权限共谋攻击检测方法

技术领域

本发明属于智能终端与移动互联网安全应用领域，特别是涉及一种Android系统下的权限共谋攻击检测方法。

背景技术

随着移动智能终端的普及，Android系统所面临的安全威胁越来越多。Android权限共谋攻击是近年来新出现的一种安全威胁，具有攻击形式多样、隐蔽性强和攻击范围大等特点，成为相关学者研究的热点课题。共谋攻击主要通过绕过Android安全机制(签名、沙盒等)的检查实施攻击。相比于其它类型的攻击，Android共谋攻击隐蔽性更好，检测难度更高。

与检测恶意应用不同，检测共谋攻击不仅涉及检测存在安全威胁的特征属性，还需检测应用间是否存在通信行为。由于大多数现有恶意应用检测技术并未涉及检测应用间的通信，所以并不适用于检测共谋攻击。为此，有研究者提出例如FlowDroid和Amandroid等的基于污点分析技术的共谋攻击检测方法，通过标记应用间信息流向来检测敏感数据的窃取，达到检测共谋攻击的目的，但在效率方面表现不佳。为改善上述检测方法的效率，APKCombiner通过分析应用间的信息流提高检测共谋攻击的准确率，但该工具仅能检测出两个应用间的共谋攻击行为。某些文献通过提取应用的公开和隐蔽信道信息来检测隐私数据泄露，但该方法单一且检测数据有限。还有文献提出一种基于权限的共谋攻击检测方法，通过提取应用权限特征并静态分析函数调用检测共谋攻击，但检测精度和效率不高。另有文献提出一种检测应用间共谋攻击的COVERT工具，该工具虽然能够检测并显示组件间的通信，但在检测隐式组件方面误差大，从而导致检测攻击准确率低。

发明内容

为解决上述问题，本发明的目的是提供一种融合Bayes分类方法和有限状态机的Android系统下的权限共谋攻击检测方法。

为了达到上述目的，本发明提供的Android系统下的权限共谋攻击检测方法包括按顺序进行的下列步骤：

(1)训练样本数据，得到安全策略规则集和通信数据集

①反编译现有已知攻击行为的APK样本文件，得到AndroidManifest.xml文件，提取权限、组件和通信特征生成对应的特征向量，得到样本数据；

②对Bayes分类算法进行改进，传统Bayes分类算法通过计算权限W_i是共谋应用的条件概率P(C|W_i)来进行分类，W_i是共谋应用的条件概率P(C|W_i)为：

其中，P(C|W_i)表示出现权限W_i的应用是共谋应用的条件概率；P(C)为训练阶段应用中存在共谋应用的概率；P(W_i|C)表示共谋应用中权限W_i出现的概率；P(H)表示训练阶段应用中非共谋应用的概率；P(W_i|H)表示非共谋应用中权限W_i出现的概率；

③将上述提取的权限特征向量作为改进后Bayes分类算法的输入，将改进后Bayes分类算法的分类结果作为共谋应用的安全策略规则集；

④利用上述提取的通信方式特征向量和组件特征向量生成通信状态机；将步骤③中得到的的安全策略规则集输入通信状态机，得到优化后的安全策略规则集；

⑤将优化后的安全策略规则集保存到数据库中。

(2)对权限共谋攻击进行检测

1)反编译待检测行为的APK文件得到AndroidManifest.xml文件，提取AndroidManifest.xml文件中权限、组件和通信相关特征生成对应的特征向量；

2)提取步骤1)中的权限特征向量作为改进Bayes分类算法的输入，得到待检测行为权限组合数据集；

3)利用步骤1)提取的待检测行为的通信方式特征向量和组件特征向量生成待检测行为通信状态机，将步骤2)中得到的待检测行为权限组合数据集输入待检测行为通讯状态机得到优化待检测行为权限组合数据集；

4)将步骤3)中得到的优化待检测行为权限组合数据集在数据库中与步骤(1)得到的优化后安全策略规则集进行匹配；若完全匹配成功，则待检测行为是非权限共谋攻击，否则该行为是权限共谋攻击。

Bayes分类算法进行改进的方法为：

Ⅰ)判断权限特征向量W＝{W₁,W₂,W₃....W_n}中的权限W_i＝0是否为0，若判断结果为“是”，则计算P(W_i|C)和P(W_i|H)时，将所有权限出现的次数初始化为1，并根据样本调整P(C|W)的值；否则，进入下一步，计算P(C|W)，

其中，n表示应用的数量；

Ⅱ)判断P(C|W_i)是否小于0.001，判断结果为“是”(即P(C|W_i)小于0.001)，则计算共谋攻击概率P(W_i|C)和非共谋攻击概率P(W_i|H)时，取P(C|W_i)的对数ln{(P(C|W_i))^-1}，将P(C|W_i)的结果判断转换为对P(W₁|C)P(W₂|C)...P(W_n|C)P(C)与P(W₁|H)P(W₂|H)...P(W_n|H)P(H)的比较；若判断结果为“否”(即P(C|W_i)大于0.001)，则进入下一步；

Ⅲ)计算P(C|W)时引入一个变量调整因子θ，其作用是调整权限列表中某一权限组合共谋攻击的联合概率，并利用Adaboost算法进行多次迭代确定变量调整因子θ；

Ⅳ)计算L_τ(S)，其中，L_τ(S)＝ln{(P(C|W))^-1}，当L_τ(S)大于0.5，将权限组合列表保存作为安全策略规则集。

通讯状态机的生成方法为：

步骤1：将每一个应用转化为用点集合V与边集E表示的状态图G(V,E)；

用A表示一个应用，V表示某个应用中Activities组件集合、Services组件的集合、Broadcast Receivers组件的集合和API调用与Intent相关的所有操作字符串的集合。

定义点集合V为：

V＝α∪β∪γ∪ζ(ξ) (3)

其中，α表示应用A中Activities组件的集合，β表示应用A中Services组件的集合，γ表示应用A中Broadcast Receivers组件的集合，ξ表示应用A中与Intent相关的API调用，ζ(ξ)表示API调用ξ中所有操作字符串的集合。

定义边集E为：

其中，x和y是随机变量，分别代表所属集合中的某个元素；S(ξ)表示API调用ξ中发送Intent传递信息组件集，S(ξ)＝{x∈{α∪β∪γ}，表示x发送Intent i∈ξ；T(ξ)表示接收Intent处理信息的组件集，T(ξ)＝{x∈{α∪β∪γ}，表示x接收Intent i∈ξ；

表示API调用ξ中Intent与Intent组件之间相关传递信息的组件集合。

步骤2：将所有应用转化后的状态图进行融合，得到融合图；

为处理应用间的隐式Intent调用问题，将状态图G(V,E)融合，将n个应用对应的所有状态图融合后表示为融合图G^u，如公式(5)所示：

其中，V_i表示某个应用中点集合，E_i表示某个应用中边集合，G_i表示某个应用点和边集合形成的状态图，G^u表示所有应用状态图的并集。

步骤3：对融合图进行优化，删除融合图中的动作字符串的节点得到优化图G^d；

步骤4：建立优化图G^d的状态机；

将优化图G^d转化为状态机M中对应的元素，优化图G^d节点作为状态机M中接受状态集F；初始状态为q₀，权限集Q＝F∪{q₀}，状态转移函数δ包含从q₀→F的转换，且能够访问接受状态集F中的元素和优化图G^d中的所有边，若组件间存在通信，则保存通信相关的数据。

本发明提供的Android系统下的权限共谋攻击检测方法，与传统的权限共谋攻击检测方法相比，本发明使用Bayes分类算法和基于有限状态机的组件通信检测算法对权限共谋攻击进行检测，本发明提供的检测方法可实现对Android系统中权限共谋攻击的有效检测，具有高的检测效率和检测精度。

附图说明

图1为本发明提供的Android权限共谋攻击检测方法架构图。

图2为本发明提供的测试样本动态检测过程截图。

图3为共谋与非共谋样本分类效果图。

图4为共谋分析与权限数量关系图。

具体实施方式

下面结合附图和具体实例对本发明提供的Android系统下的权限共谋攻击检测方法进行详细说明。

如图1所示，本发明提供的Android系统下的权限共谋攻击检测方法包括按顺序进行的下列步骤：

(1)使用Androguard逆向分析软件反编译APK文件，得到AndroidManifest.xml文件，并使用python软件中的xml.dom模块和IO模块对此文件解析，解析后将权限属性集、组件属性集、通信属性集保存到相应的文件中，然后分别计算三类属性集中每个属性的数量并按使用频率从高到低排序后保存，得到新特征属性集，最后将新特征向量属性集分成权限特征向量集、组件特征向量集及通信方式特征向量集并保存。

(2)对Bayes分类算法进行改进；传统Bayes分类算法通过计算权限W_i是共谋应用的条件概率P(C|W_i)来进行分类，W_i是共谋应用的条件概率P(C|W_i)为：

其中，P(C|W_i)表示出现权限W_i的应用是共谋应用的条件概率；P(C)为训练阶段应用中存在共谋应用的概率；P(W_i|C)表示共谋应用中权限W_i出现的概率；P(H)表示训练阶段应用中非共谋应用的概率；P(W_i|H)表示共谋应用中权限W_i出现的概率；

对Bayes分类算法进行改进的方法为：

Ⅰ)判断权限特征向量W＝{W₁,W₂,W₃....W_n}中的权限W_i＝0是否为0，若判断结果为“是”，则计算共谋应用中权限W_i出现的概率P(W_i|C)和共谋应用中权限W_i出现的概率P(W_i|H)时，将所有权限出现的次数初始化为1，并根据样本调整P(C|W)的值；否则，进入下一步，计算P(C|W)，

其中，n表示应用的数量；

Ⅱ)判断P(C|W_i)是否小于0.001，若判断结果为“是”(即P(C|W_i)小于0.001)，则计算P(W_i|C)和P(W_i|H)时，取P(C|W_i)的对数ln{(P(C|W_i))^-1}，将P(C|W_i)的结果判断转换为对P(W₁|C)P(W₂|C)...P(W_n|C)P(C)和P(W₁|H)P(W₂|H)...P(W_n|H)P(H)的比较；若判断结果为“否”(即P(C|W_i)大于0.001)，则进入下一步；

Ⅲ)计算P(C|W)时引入一个变量调整因子θ，其作用是调整权限列表中某一权限组合共谋攻击的联合概率，并利用Adaboost算法进行多次迭代确定变量调整因子θ。

(3)将上述提取的权限特征向量集合输入改进Bayes的分类算法，对样本进行学习和测试后，将得到的样本权限组合作为安全策略规则集；利用上述提取的通信方式特征向量和组件特征向量生成通信状态机；将步骤(3)中的安全策略规则集输入通信状态机，得到优化后的安全策略规则集；最后，将优化后安全策略规则集保存到数据库中。

通信状态机的生成方法为：

步骤1：将每一个应用转化为用点集合V与边集E表示的状态图G(V,E)；

用A表示一个应用，V表示某个应用中Activities组件集合、Services组件的集合、Broadcast Receivers组件的集合和API调用与Intent相关的所有操作字符串的集合。

定义点集合V为：

V＝α∪β∪γ∪ζ(ξ) (3)

其中，α表示应用A中Activities组件的集合，β表示应用A中Services组件的集合，γ表示应用A中Broadcast Receivers组件的集合，ξ表示应用A中与Intent相关的API调用，ζ(ξ)表示API调用ξ中所有操作字符串的集合。

定义边集E为：

S(ξ)＝{x∈{α∪β∪γ}，表示x发送Intent i∈ξ；T(ξ)表示接收Intent处理信息的组件集，T(ξ)＝{x∈{α∪β∪γ}，表示x接收Intent i∈ξ。

步骤2：将所有应用转化后的状态图进行融合；

为处理应用间的隐式Intent调用问题，将状态图G(V,E)融合，将n个应用对应的所有状态图的融合后表示为融合图G^u，

G^u＝(V,E)，其中，V＝V₁∪V₂∪V₃···∪V_n，E＝E₁∪E₂∪E₃···∪E_n∪E'。其中，E'表示应用间发送和接收隐式Intent信息的边。

对于任意应用A_i和应用A_j(i≠j∈{1,···,n})，都有对应的应用图G_i和应用图G_j，用ξ_i或ξ_j表示应用A_i或应用A_j中与Intent有关的API调用。令k＝i,j(i≠j∈{1,···,n})，则S(ξ_k)和T(ξ_k)分别表示ξ_k中发送和接收Intent的组件集；因此，E'可表示为：

步骤3：对融合图进行优化；删除融合图中的动作字符串的节点(即在G^u中删除ζ(ξ))；得到优化图G^d，此处所说的融合图节点即为组件；

删除融合图节点的规则设计如下：

①若某个融合图节点没有进来的边只有出去边，则删掉此节点；

②若融合图节点有来自其它组件的边，则保留该节点的边并删掉对应的操作字符串节点。

优化融合图记为G^d＝(V^d,E^d)，边记为E^d＝E∪{S(ξ)→T(ξ)|S(ξ)→x→T(ξ),x∈ζ}\{{(x,y)|x∈S(ξ),y∈ζ(ξ)}∪{(x,y)|x∈T(ξ),y∈ζ(ξ)}}，节点记为V^d＝V-ζ(ξ)。

步骤4：建立优化图G^d的状态机；

将优化图G^d转化为状态机M中对应的元素，G^d节点作为状态机M中接受状态集F；初始状态为q₀，权限集Q＝F∪{q₀}，状态转移函数δ包含从q₀→F的转换，且能够访问接受状态集F中的元素和优化图G^d中的所有边，若组件间存在通信，则保存通信相关的数据。

(4)对权限共谋攻击的检测

1)反编译待检测行为的APK文件得到AndroidManifest.xml文件，提取AndroidManifest.xml文件中权限、组件和通信相关特征生成对应的特征向量；

2)提取步骤1)中的权限特征向量作为改进Bayes分类算法的输入，得到待检测行为权限组合数据集；

3)利用步骤1)提取的待检测行为的通信方式特征向量和组件特征向量生成待检测行为通信状态机，将步骤2)中得到的待检测行为权限组合数据集输入待检测行为通讯状态机得到优化待检测行为权限组合数据集；

4)将步骤3)中得到的优化待检测行为权限组合数据集在数据库中与步骤(1)得到的优化后安全策略规则集进行匹配；若完全匹配成功，则待检测行为是非权限共谋攻击，否则该行为是权限共谋攻击。

本发明人从共谋攻击检测效率和检测精度两个方面对本发明提供的Android系统下的权限共谋攻击检测方法进行了分析。

图2为采用500(300个共谋应用，200个非共谋应用)个测试集下的动态检测过程截图；从图2的实验结果可以看出检测到286个共谋应用，表明本发明提供的检测方法具有较高的检测准确率。

图3为采用500(300个共谋应用，200个非共谋应用)个测试集下的分类效果图；其中，圆形代表非共谋应用，三角形代表为共谋应用，从图3中可见，样本中共谋应用与非共谋应用在Lτ约为0.5处分离，表明此阈值可近似作为分类共谋与非共谋应用的阈值。

图4为共谋风险与权限数量关系图；为验证应用申请权限数量与共谋攻击之间的关系，对共谋样本中每个应用10个最常用权限的数量与共谋攻击之间的关系进行统计。从图4的实验结果可以看出，10个权限中随着申请数量的增加，产生共谋风险的可能性增大。依据是权限数量增多，可能的共谋权限组合也就越多。

Claims (3)

1.一种Android系统下的权限共谋攻击检测方法，其特征在于：包括按顺序进行的下列步骤：

(1)训练样本数据，得到安全策略规则集和通信数据集

①反编译现有已知攻击行为的APK样本文件，得到AndroidManifest.xml文件，提取权限、组件和通信特征生成对应的特征向量，得到样本数据；

②对Bayes分类算法进行改进，传统Bayes分类算法通过计算权限W_i是共谋应用的条件概率P(C|W_i)来进行分类，W_i是共谋应用的条件概率P(C|W_i)为：

其中，P(C|W_i)表示出现权限W_i的应用是共谋应用的条件概率；P(C)为训练阶段应用中存在共谋应用的概率；P(W_i|C)表示共谋应用中权限W_i出现的概率；P(H)表示训练阶段应用中非共谋应用的概率；P(W_i|H)表示非共谋应用中权限W_i出现的概率；

③将上述提取的权限特征向量作为改进后Bayes分类算法的输入，将改进后Bayes分类算法的分类结果作为共谋应用的安全策略规则集；

④利用上述提取的通信方式特征向量和组件特征向量生成通信状态机；将步骤③中得到的的安全策略规则集输入通信状态机，得到优化后的安全策略规则集；

⑤将优化后的安全策略规则集保存到数据库中；

(2)对权限共谋攻击进行检测

1)反编译待检测行为的APK文件得到AndroidManifest.xml文件，提取AndroidManifest.xml文件中权限、组件和通信相关特征生成对应的特征向量；

2)提取步骤1)中的权限特征向量作为改进Bayes分类算法的输入，得到待检测行为权限组合数据集；

3)利用步骤1)提取的待检测行为的通信方式特征向量和组件特征向量生成待检测行为通信状态机，将步骤2)中得到的待检测行为权限组合数据集输入待检测行为通讯状态机得到优化待检测行为权限组合数据集；

4)将步骤3)中得到的优化待检测行为权限组合数据集在数据库中与步骤(1)得到的优化后安全策略规则集进行匹配；若完全匹配成功，则待检测行为是非权限共谋攻击，否则该行为是权限共谋攻击。

2.根据权利要求1所述的方法，其特征在于，对Bayes分类算法进行改进的方法为：

Ⅰ)判断权限特征向量W＝{W₁,W₂,W₃....W_n}中的权限W_i＝0是否为0，若判断结果为“是”，则计算P(W_i|C)和P(W_i|H)时，将所有权限出现的次数初始化为1，并根据样本调整P(C|W)的值；否则，进入下一步，计算P(C|W)，

其中，n表示应用的数量；

Ⅱ)判断P(C|W_i)是否较小于0.001，若判断结果为“是”(即P(C|W_i)小于0.001)，则计算共谋攻击概率P(W_i|C)和非共谋攻击概率P(W_i|H)时，取P(C|W_i)的对数ln{(P(C|W_i))^-1}，将P(C|W_i)的结果判断转换为对P(W₁|C)P(W₂|C)...P(W_n|C)P(C)与P(W₁|H)P(W₂|H)...P(W_n|H)P(H)的比较；若判断结果为“否”(即P(C|W_i)大于0.001)，则进入下一步；

Ⅲ)计算P(C|W)时引入一个变量调整因子θ，其作用是调整权限列表中某一权限组合共谋攻击的联合概率，并利用Adaboost算法进行多次迭代确定变量调整因子θ；

Ⅳ)计算L_τ(S)，其中，L_τ(S)＝ln{(P(C|W))^-1}，当L_τ(S)大于0.5，将权限组合列表保存作为安全策略规则集。

3.根据权利要求1所述的方法，其特征在于，所述的通信状态机的生成方法为：

步骤1：将每一个应用转化为用点集合V与边集E表示的状态图G(V,E)；

用A表示一个应用，V—某个应用中Activities组件集合、Services组件的集合、Broadcast Receivers组件的集合和API调用与Intent相关的所有操作字符串的集合；

定义点集合V为：

V＝α∪β∪γ∪ζ(ξ) (3)

α—应用A中Activities组件的集合；

β—应用A中Services组件的集合；

γ—应用A中Broadcast Receivers组件的集合；

ξ—应用A中与Intent相关的API调用；

ζ(ξ)表示API调用ξ中所有操作字符串的集合；

定义边集E为：

S(ξ)—API调用ξ中发送Intent传递信息组件集；

S(ξ)＝{x∈{α∪β∪γ}，表示x发送Intent i∈ξ；T(ξ)表示接收Intent处理信息的组件集；

T(ξ)＝{x∈{α∪β∪γ}，表示x接收Intent i∈ξ；

—API调用ξ中Intent与Intent组件之间相关传递信息的组件集合；

步骤2：将所有应用转化后的状态图进行融合，得到融合图；

为处理应用间的隐式Intent调用问题，将状态图G(V,E)融合，将n个应用对应的所有状态图融合后表示为融合图G^u，

步骤3：对融合图进行优化，删除融合图中的动作字符串的节点得到优化图G^d；

步骤4：建立优化图G^d的状态机；

将优化图G^d转化为状态机M中对应的元素，优化图G^d节点作为状态机M中接受状态集F；初始状态为q₀，权限集Q＝F∪{q₀}，状态转移函数δ包含从q₀→F的转换，且能够访问接受状态集F中的元素和优化图G^d中的所有边，若组件间存在通信，则保存通信相关的数据。

Images