移动计算环境下恶意软件静态检测系统设计
赖修源
摘 要: 移動终端在互联网中下载到恶意软件的几率非常高,这对用户信息私密性造成了严重的威胁,但科研组织曾研究出的恶意软件检测系统往往误报率过高、实用性不强。为此,设计移动计算环境下恶意软件静态检测系统,其由特性提取与预处理模块和移动计算终端组成。特性提取与预处理模块根据静态检测特性数据库中的恶意软件标志特性,对用户移动终端软件的安装包特性、资源特性和编译特性进行提取,并使用静态检测函数对提取出的特性进行预处理,给出恶意与非恶意软件的特性分类结果。系统通过移动计算终端对特性分类结果中的恶意软件特性进行位置检测,隔离出用户移动终端中的恶意软件,防止恶意软件继续入侵。经实验分析可知,所设计的系统误报率较低、实用性较强。
关键词: 移动计算; 恶意软件; 静态检测系统; 用户移动终端
中图分类号: TN911.23?34; TP309 文献标识码: A 文章编号: 1004?373X(2017)08?0061?04
Design of malware software static detecting system in mobile computing environment
LAI Xiuyuan
(College of Economics and Management, Chengdu Technological University, Chengdu 611730, China)
Abstract: The probability of malicious software downloaded in Internet by mobile terminal is very high, which can cause a serious threat to user information privacy. The scientific research organization has developed a malware detection system, but its false alarm rate is often too high, and its practicability is poor. Therefore, a static detecting system of malicious software is designed for the mobile computing environment, which is composed of feature extraction and preprocessing module, and mobile computing terminal. The feature extraction and preprocessing module is used to extract the software installation package, resource characteristic and compiling feature of user′s mobile terminal according to the malware software marked features in the static detection feature database. The extracted feature is pretreated with static detecting function to give out the classification results of malicious and non?malicious software features. The position of the malicious software is detected by the mobile computing terminal according to malicious software features in the feature classification result. The malicious software in user′s mobile terminal is isolated to prevent malicious software to make the continuous invasion. The experimental analysis shows that the designed system has low false alarm rate and strong practicability.
Keywords: mobile computing; malicious software; static detection system; user′s mobile terminal
0 引 言
近年来,随着互联网技术的持续发展,移动的终端性能也不断提升,移动计算随之产生。所谓移动计算,是指实现移动终端无线数据资源共享的一种传输技术,其高效、精准、实用的工作有效提高了各领域的运营成果[1?3]。随着用户对移动终端使用频率的不断上升,移动终端在互联网中下载到恶意软件的几率非常高,这对用户信息的私密性造成了一定威胁。为此,提出在移动计算环境下利用静态检测方法,设计恶意软件检测系统[4?6]。
科研组织曾研究出一些恶意软件检测系统,但由于所选取的方法处理性能不高,导致系统的误报率过高、实用性不强。如文献[7]设计反编译环境下恶意软件静态检测系统。这一系统根据移动终端安全弱点制定出具有较强针对性的反编译工具,并利用特殊的审核软件对用户下载的互联网软件进行权限限制,具有较强的实用性,但误报率过高。文献[8]设计基于知识时间序列的恶意软件KBTA算法检测系统。系统可对互联网数据和移动终端软件进行实时检测,并通过KBTA算法对检测成果进行处理,拥有非常低的误报率,但KBTA算法的检测工作占用了较高的移动终端硬件资源,故系统的实用性不强。文献[9]设计后台监听环境下恶意软件检测系统,这一系统主要针对用户移动终端软件的传输记录进行后台监听和检测,将不安全传输行为加以纠正,其误报率较低,但由于某些恶意软件并不会产生不安全传输记录,故系统的实用性不强。文献[10]设计TISSA模型下恶意软件静态检测系统,该系统通过主动控制移动终端软件的访问位置,对恶意软件的不安全行为进行封杀,取得了较强的实用性。但由于一些用户对软件不安全行为不够了解,导致该系统误报率较高。
为了提高恶意软件检测系统的实用性、降低系统误报率,设计移动计算环境下恶意软件静态检测系统。经实验分析可知,所设计的系统误报率较低、实用性较强。
1 恶意软件静态检测系统总体设计
所设计的移动计算环境下恶意软件静态检测系统由特性提取与预处理模块和移动计算终端组成,系统总体结构图如图1所示。
由图1可知,移动计算环境下恶意软件静态检测系统所选取的静态检测方法,将穿插在特性提取与预处理模块中进行移动终端软件的特性提取和安装包特性、资源特性和编译特性的预处理工作,为系统提供高效、准确的恶意软件检测工作。
移动计算终端是安装于用户移动终端的系统实现层,其可利用移动计算为用户提供最为实际的恶意软件检测工作,也是评价系统性能的直接模块。因此,这一模块的设计需要尽可能考虑到用户的实际需求,将系统检测结果以可视化的方式呈现在用户面前。
2 系统具体模块设计
2.1 特性提取与预处理模块设计
静态检测是一种在移动终端软件处于关闭状态下,对软件的静态特性进行提取、分析、对比和判断的检测方法。静态检测拥有较为完善的特性数据库,其运算简便,并具有较强的实用性。
由于恶意软件的标志特性是惟一且稳定不变的,故静态检测的误报率非常低。
2.1.1 特性提取
恶意软件的标志特性有:安装包特性、资源特性和编译特性。特性提取与预处理模块根据静态检测特性数据库给出的恶意软件的标志特性,对用户移动终端软件的安装包特性、资源特性和编译特性进行提取和预处理。其中,安装包特性是移动终端软件中最重要的参数,它在很大程度上直接决定了移动计算环境下恶意软件静态检测系统的误报率和实用性,为此,特性提取与预处理模块针对安装包特性的提取和检测工作进行了重点设计,如图2所示。
由图2可知,特性提取与预处理模块首先对特性数据库中的恶意软件标志特性进行调用,再利用CmdShell指令对移动终端的软件安装包进行解压,并对解压后的测试文件和软件等级文件进行反向分析。分析結果将于与软件权限文件组成安装包特性集合进行预处理。也就是说,安装包特性集合中包含软件权限文件、测试文件和软件等级文件。
2.1.2 预处理
特性提取与预处理模块利用静态检测函数对安装包特性集合进行预处理,最终给出安装包特性集合的恶意与非恶意软件特性分类结果。静态检测函数的实质是对安装包特性集合中是否含有恶意软件特性进行分类。假设安装包特性集合中含有种恶意软件特性类别,将恶意软件特性集合设为,恶意软件特性集合存在的概率为。用表示非恶意软件特性集合存在的概率,那么,非恶意软件特性集合与恶意软件特性集合中的重叠数据可用表示。此时,安装包特性集合中存在恶意软件特性的概率可表示为:
(1)
将与中的删去,可得到和,表示中剩余的数据数量,表示中剩余的数据数量。由于和相互独立,故可根据和中存在恶意软件特性的概率,获取到式(1)中计算结果的最大值,用表示,有:
(2)
通常,科研组织研究出的恶意软件检测系统可直接用式(2)表示恶意与非恶意软件特性分类结果,但式(2)并未对恶意软件特性的使用权限进行分类,导致误报率较高。为此,所设计的移动计算环境下恶意软件静态检测系统在式(2)的基础上,引入恶意软件特性的使用权限方差和使用权限对检测结果的影响参数。此时,静态检测函数给出的恶意与非恶意软件特性分类结果可表示为:
(3)
(4)
恶意与非恶意软件特性分类结果可限制用户可能引发软件变恶意的不良操作,防止用户在软件使用中产生恶意软件标志特性。最后,特性提取与预处理模块将软件特性分类结果传输到移动计算终端进行恶意软件的最终检测。
2.2 移动计算终端设计
为了实现移动计算环境下恶意软件静态检测系统误报率低、实用性强的设计目标,要求移动计算终端除了拥有基础的恶意软件检测功能外,还需具备较强的应用拓展性能。为此,本文为移动计算终端设计出如图3所示的硬件架构。
由图3可知,移动计算环境下恶意软件静态检测系统的移动计算终端主要由电源电路、检测电路、显示电路、通信电路和应用拓展电路组成。其中,电源电路、检测电路、显示电路是移动计算终端的基础硬件配置,通常,这三个电路一旦连接成功,便会在系统中循环使用。而通信电路和应用拓展电路是可以依照用户需求进行随时更换的。基础硬件配置与通信电路和应用拓展电路均通过RS 232接口连接,RS 232接口是一种异步传输的标准接口,可增强系统的实用性。
当恶意与非恶意软件特性分类结果通过通信电路被传输到移动计算终端后,检测电路将对其中的恶意软件特性进行恶意软件位置检测,恶意软件位置检测的作用是将用户移动终端中含有恶意软件特性的软件区域进行隔离,防止恶意软件继续侵害用户移动终端。移动计算终端的工作流程和检测结果将在显示电路中实现可视化,用户可随意查看,并选择是否删除移动终端中的恶意软件。
3 实验结果分析
3.1 实验概述
为了分析本文所设计的移动计算环境下恶意软件静态检测系统的误报率和实用性,实验将本文系统与反编译环境下恶意软件静态检测系统、后台监听环境下恶意软件检测系统在两款用户移动终端中进行实验分析。实验在两个用户移动终端中均安装70个软件,其中,终端1中有10款恶意软件,终端2中有2款恶意软件。
系统的误报率是指非恶意软件被错误分类到恶意软件中的概率,系统的实用性可使用受试者工作特性曲线(ROC曲线)表示。ROC曲线能够反映出受试者应对系统刺激所产生的感受。在本文实验中,ROC曲线的横、纵坐标分别用恶意软件检测系统的误报率和灵敏度表示,曲线下方的面积越大,表示系统的实用性越强。
3.2 系统误报率实验结果分析
图4、图5分别表示在两款用户移动终端中,本文系统、反编译环境下恶意软件静态检测系统和后台监听环境下恶意软件检测系统的误报率曲线。
由图4和图5可知,用户移动终端中的恶意软件越多,恶意软件检测系统的误报率就越高。并且,其他两个恶意软件检测系统的误报率均远高于本文系统的误报率,证明本文系统误报率较低。
3.3 系统实用性实验结果分析
图6、图7分别表示在两款用户移动终端中,三个系统的ROC曲线。
由圖6和图7可知,在用户移动终端1,2中,本文系统ROC曲线下的面积均要高于其他两个系统,证明本文系统具有较强的实用性。
4 结 论
移动计算是一种可实现移动终端无线数据资源共享的一种传输技术,其高效、精准、实用的工作在一定程度上提高了各领域的运营成果,因此,本文设计移动计算环境下恶意软件静态检测系统。系统使用静态检测函数和移动计算,对本文系统误报率低、实用性强的设计目标进行了较好的实现。在未来,所设计的移动计算环境下恶意软件静态检测系统必将在信息挖掘和恶意软件检测等领域发挥较大的作用。
参考文献
[1] 周利琴,谷林.基于高斯肤色模型的人脸区域及下巴检测[J].西安工程大学学报,2015,29(6):751?755.
[2] 卢文清,何加铭,曾兴斌,等.基于混合特性的Android恶意软件静态检测[J].无线电通信技术,2014,40(6):64?68.
[3] 蒋煦,张长胜,戴大蒙,等.Android平台恶意应用程序静态检测方法[J].计算机系统应用,2016,25(4):1?7.
[4] 周裕娟,张红梅,张向利,等.基于Android权限信息的恶意软件检测[J].计算机应用研究,2015,32(10):3036?3040.
[5] 倪斌,李红兰.一种基于移动Agent的云端计算任务安全分割与分配算法[J].现代电子技术,2015,38(17):89?92.
[6] 耿颖.基于区间数据场景级属性可信评测的检测能力分析[J].现代电子技术,2015,38(17):149?150.
[7] 樊郁徽,徐宁.Andriod平台的恶意软件行为分析[J].重庆文理学院学报(社会科学版),2014,33(5):144?147.
[8] 彭国军,李晶雯,孙润康,等.Android恶意软件检测研究与进展[J].武汉大学学报(理学版),2015,61(1):21?33.
[9] 刘晓东,何加铭,冯波,等.一种静态Android程序恶意性检测方法[J].无线电通信技术,2014,40(2):70?73.
[10] 文伟平,梅瑞,宁戈,等.Android恶意软件检测技术分析和应用研究[J].通信学报,2014,35(8):78?85.
摘 要: 移動终端在互联网中下载到恶意软件的几率非常高,这对用户信息私密性造成了严重的威胁,但科研组织曾研究出的恶意软件检测系统往往误报率过高、实用性不强。为此,设计移动计算环境下恶意软件静态检测系统,其由特性提取与预处理模块和移动计算终端组成。特性提取与预处理模块根据静态检测特性数据库中的恶意软件标志特性,对用户移动终端软件的安装包特性、资源特性和编译特性进行提取,并使用静态检测函数对提取出的特性进行预处理,给出恶意与非恶意软件的特性分类结果。系统通过移动计算终端对特性分类结果中的恶意软件特性进行位置检测,隔离出用户移动终端中的恶意软件,防止恶意软件继续入侵。经实验分析可知,所设计的系统误报率较低、实用性较强。
关键词: 移动计算; 恶意软件; 静态检测系统; 用户移动终端
中图分类号: TN911.23?34; TP309 文献标识码: A 文章编号: 1004?373X(2017)08?0061?04
Design of malware software static detecting system in mobile computing environment
LAI Xiuyuan
(College of Economics and Management, Chengdu Technological University, Chengdu 611730, China)
Abstract: The probability of malicious software downloaded in Internet by mobile terminal is very high, which can cause a serious threat to user information privacy. The scientific research organization has developed a malware detection system, but its false alarm rate is often too high, and its practicability is poor. Therefore, a static detecting system of malicious software is designed for the mobile computing environment, which is composed of feature extraction and preprocessing module, and mobile computing terminal. The feature extraction and preprocessing module is used to extract the software installation package, resource characteristic and compiling feature of user′s mobile terminal according to the malware software marked features in the static detection feature database. The extracted feature is pretreated with static detecting function to give out the classification results of malicious and non?malicious software features. The position of the malicious software is detected by the mobile computing terminal according to malicious software features in the feature classification result. The malicious software in user′s mobile terminal is isolated to prevent malicious software to make the continuous invasion. The experimental analysis shows that the designed system has low false alarm rate and strong practicability.
Keywords: mobile computing; malicious software; static detection system; user′s mobile terminal
0 引 言
近年来,随着互联网技术的持续发展,移动的终端性能也不断提升,移动计算随之产生。所谓移动计算,是指实现移动终端无线数据资源共享的一种传输技术,其高效、精准、实用的工作有效提高了各领域的运营成果[1?3]。随着用户对移动终端使用频率的不断上升,移动终端在互联网中下载到恶意软件的几率非常高,这对用户信息的私密性造成了一定威胁。为此,提出在移动计算环境下利用静态检测方法,设计恶意软件检测系统[4?6]。
科研组织曾研究出一些恶意软件检测系统,但由于所选取的方法处理性能不高,导致系统的误报率过高、实用性不强。如文献[7]设计反编译环境下恶意软件静态检测系统。这一系统根据移动终端安全弱点制定出具有较强针对性的反编译工具,并利用特殊的审核软件对用户下载的互联网软件进行权限限制,具有较强的实用性,但误报率过高。文献[8]设计基于知识时间序列的恶意软件KBTA算法检测系统。系统可对互联网数据和移动终端软件进行实时检测,并通过KBTA算法对检测成果进行处理,拥有非常低的误报率,但KBTA算法的检测工作占用了较高的移动终端硬件资源,故系统的实用性不强。文献[9]设计后台监听环境下恶意软件检测系统,这一系统主要针对用户移动终端软件的传输记录进行后台监听和检测,将不安全传输行为加以纠正,其误报率较低,但由于某些恶意软件并不会产生不安全传输记录,故系统的实用性不强。文献[10]设计TISSA模型下恶意软件静态检测系统,该系统通过主动控制移动终端软件的访问位置,对恶意软件的不安全行为进行封杀,取得了较强的实用性。但由于一些用户对软件不安全行为不够了解,导致该系统误报率较高。
为了提高恶意软件检测系统的实用性、降低系统误报率,设计移动计算环境下恶意软件静态检测系统。经实验分析可知,所设计的系统误报率较低、实用性较强。
1 恶意软件静态检测系统总体设计
所设计的移动计算环境下恶意软件静态检测系统由特性提取与预处理模块和移动计算终端组成,系统总体结构图如图1所示。
由图1可知,移动计算环境下恶意软件静态检测系统所选取的静态检测方法,将穿插在特性提取与预处理模块中进行移动终端软件的特性提取和安装包特性、资源特性和编译特性的预处理工作,为系统提供高效、准确的恶意软件检测工作。
移动计算终端是安装于用户移动终端的系统实现层,其可利用移动计算为用户提供最为实际的恶意软件检测工作,也是评价系统性能的直接模块。因此,这一模块的设计需要尽可能考虑到用户的实际需求,将系统检测结果以可视化的方式呈现在用户面前。
2 系统具体模块设计
2.1 特性提取与预处理模块设计
静态检测是一种在移动终端软件处于关闭状态下,对软件的静态特性进行提取、分析、对比和判断的检测方法。静态检测拥有较为完善的特性数据库,其运算简便,并具有较强的实用性。
由于恶意软件的标志特性是惟一且稳定不变的,故静态检测的误报率非常低。
2.1.1 特性提取
恶意软件的标志特性有:安装包特性、资源特性和编译特性。特性提取与预处理模块根据静态检测特性数据库给出的恶意软件的标志特性,对用户移动终端软件的安装包特性、资源特性和编译特性进行提取和预处理。其中,安装包特性是移动终端软件中最重要的参数,它在很大程度上直接决定了移动计算环境下恶意软件静态检测系统的误报率和实用性,为此,特性提取与预处理模块针对安装包特性的提取和检测工作进行了重点设计,如图2所示。
由图2可知,特性提取与预处理模块首先对特性数据库中的恶意软件标志特性进行调用,再利用CmdShell指令对移动终端的软件安装包进行解压,并对解压后的测试文件和软件等级文件进行反向分析。分析結果将于与软件权限文件组成安装包特性集合进行预处理。也就是说,安装包特性集合中包含软件权限文件、测试文件和软件等级文件。
2.1.2 预处理
特性提取与预处理模块利用静态检测函数对安装包特性集合进行预处理,最终给出安装包特性集合的恶意与非恶意软件特性分类结果。静态检测函数的实质是对安装包特性集合中是否含有恶意软件特性进行分类。假设安装包特性集合中含有种恶意软件特性类别,将恶意软件特性集合设为,恶意软件特性集合存在的概率为。用表示非恶意软件特性集合存在的概率,那么,非恶意软件特性集合与恶意软件特性集合中的重叠数据可用表示。此时,安装包特性集合中存在恶意软件特性的概率可表示为:
(1)
将与中的删去,可得到和,表示中剩余的数据数量,表示中剩余的数据数量。由于和相互独立,故可根据和中存在恶意软件特性的概率,获取到式(1)中计算结果的最大值,用表示,有:
(2)
通常,科研组织研究出的恶意软件检测系统可直接用式(2)表示恶意与非恶意软件特性分类结果,但式(2)并未对恶意软件特性的使用权限进行分类,导致误报率较高。为此,所设计的移动计算环境下恶意软件静态检测系统在式(2)的基础上,引入恶意软件特性的使用权限方差和使用权限对检测结果的影响参数。此时,静态检测函数给出的恶意与非恶意软件特性分类结果可表示为:
(3)
(4)
恶意与非恶意软件特性分类结果可限制用户可能引发软件变恶意的不良操作,防止用户在软件使用中产生恶意软件标志特性。最后,特性提取与预处理模块将软件特性分类结果传输到移动计算终端进行恶意软件的最终检测。
2.2 移动计算终端设计
为了实现移动计算环境下恶意软件静态检测系统误报率低、实用性强的设计目标,要求移动计算终端除了拥有基础的恶意软件检测功能外,还需具备较强的应用拓展性能。为此,本文为移动计算终端设计出如图3所示的硬件架构。
由图3可知,移动计算环境下恶意软件静态检测系统的移动计算终端主要由电源电路、检测电路、显示电路、通信电路和应用拓展电路组成。其中,电源电路、检测电路、显示电路是移动计算终端的基础硬件配置,通常,这三个电路一旦连接成功,便会在系统中循环使用。而通信电路和应用拓展电路是可以依照用户需求进行随时更换的。基础硬件配置与通信电路和应用拓展电路均通过RS 232接口连接,RS 232接口是一种异步传输的标准接口,可增强系统的实用性。
当恶意与非恶意软件特性分类结果通过通信电路被传输到移动计算终端后,检测电路将对其中的恶意软件特性进行恶意软件位置检测,恶意软件位置检测的作用是将用户移动终端中含有恶意软件特性的软件区域进行隔离,防止恶意软件继续侵害用户移动终端。移动计算终端的工作流程和检测结果将在显示电路中实现可视化,用户可随意查看,并选择是否删除移动终端中的恶意软件。
3 实验结果分析
3.1 实验概述
为了分析本文所设计的移动计算环境下恶意软件静态检测系统的误报率和实用性,实验将本文系统与反编译环境下恶意软件静态检测系统、后台监听环境下恶意软件检测系统在两款用户移动终端中进行实验分析。实验在两个用户移动终端中均安装70个软件,其中,终端1中有10款恶意软件,终端2中有2款恶意软件。
系统的误报率是指非恶意软件被错误分类到恶意软件中的概率,系统的实用性可使用受试者工作特性曲线(ROC曲线)表示。ROC曲线能够反映出受试者应对系统刺激所产生的感受。在本文实验中,ROC曲线的横、纵坐标分别用恶意软件检测系统的误报率和灵敏度表示,曲线下方的面积越大,表示系统的实用性越强。
3.2 系统误报率实验结果分析
图4、图5分别表示在两款用户移动终端中,本文系统、反编译环境下恶意软件静态检测系统和后台监听环境下恶意软件检测系统的误报率曲线。
由图4和图5可知,用户移动终端中的恶意软件越多,恶意软件检测系统的误报率就越高。并且,其他两个恶意软件检测系统的误报率均远高于本文系统的误报率,证明本文系统误报率较低。
3.3 系统实用性实验结果分析
图6、图7分别表示在两款用户移动终端中,三个系统的ROC曲线。
由圖6和图7可知,在用户移动终端1,2中,本文系统ROC曲线下的面积均要高于其他两个系统,证明本文系统具有较强的实用性。
4 结 论
移动计算是一种可实现移动终端无线数据资源共享的一种传输技术,其高效、精准、实用的工作在一定程度上提高了各领域的运营成果,因此,本文设计移动计算环境下恶意软件静态检测系统。系统使用静态检测函数和移动计算,对本文系统误报率低、实用性强的设计目标进行了较好的实现。在未来,所设计的移动计算环境下恶意软件静态检测系统必将在信息挖掘和恶意软件检测等领域发挥较大的作用。
参考文献
[1] 周利琴,谷林.基于高斯肤色模型的人脸区域及下巴检测[J].西安工程大学学报,2015,29(6):751?755.
[2] 卢文清,何加铭,曾兴斌,等.基于混合特性的Android恶意软件静态检测[J].无线电通信技术,2014,40(6):64?68.
[3] 蒋煦,张长胜,戴大蒙,等.Android平台恶意应用程序静态检测方法[J].计算机系统应用,2016,25(4):1?7.
[4] 周裕娟,张红梅,张向利,等.基于Android权限信息的恶意软件检测[J].计算机应用研究,2015,32(10):3036?3040.
[5] 倪斌,李红兰.一种基于移动Agent的云端计算任务安全分割与分配算法[J].现代电子技术,2015,38(17):89?92.
[6] 耿颖.基于区间数据场景级属性可信评测的检测能力分析[J].现代电子技术,2015,38(17):149?150.
[7] 樊郁徽,徐宁.Andriod平台的恶意软件行为分析[J].重庆文理学院学报(社会科学版),2014,33(5):144?147.
[8] 彭国军,李晶雯,孙润康,等.Android恶意软件检测研究与进展[J].武汉大学学报(理学版),2015,61(1):21?33.
[9] 刘晓东,何加铭,冯波,等.一种静态Android程序恶意性检测方法[J].无线电通信技术,2014,40(2):70?73.
[10] 文伟平,梅瑞,宁戈,等.Android恶意软件检测技术分析和应用研究[J].通信学报,2014,35(8):78?85.
