基于API的静态插桩技术与Android平台恶意代码检测

In these days, smart mobile phones or pads have stored numerous vital privacy information. However, on these novel platforms, a great deal of mobile malwares, which are obfuscated, concealed and varietal, are emerging and purloining users' privacy information. In order to handle malwares with these three features, we propose a malware detection approach using API-grained program instrumentation technique and choose Google Android as our target OS. Our system is supposed to solve three problems. First, we plan to implement program instrumentation technique as an efficient runtime monitor mechanism. Second, we study malware behavior modeling utilized to capture obfuscated and varietal malicious programs. Third, we study recognition technique to defend two concealed permission attacks, confused deputy attack and collusion attack. As a summary, we propose the theory of API-grained program instrumentation and Android malware detection. Meanwhile, we plan to implement a general program instrumentation tool set, which can give support to analyze and detect Android malicious programs and roundly protect users.

随着智能移动终端的普及，用户正在手机与平板电脑上越来越多地使用或存储个人隐私信息。然而，在这个新兴的技术平台上，大量使用了混淆以及隐蔽技术的变种恶意代码正不断地涌现，侵害着用户的隐私。本项目以Android这个广为使用的平台作为对象，针对当前恶意代码往往是变种的、混淆的、隐蔽的，三个新特征，提出基于静态插桩的恶意代码检测技术。具体来说，我们的研究将包括三个方面。首先，API粒度程序插桩技术为我们提供高效的程序运行监控手段。其次，恶意代码行为建模技术为我们捕获恶意行为，确认变种的、代码混淆的恶意程序。最后，基于可疑API接口的识别技术为我们识破职能混淆与合谋攻击两种隐蔽攻击。本项目的研究一方面希望能够推进基于API粒度的静态插桩技术与Android恶意代码检测理论；另一方面希望能够构造通用的静态插桩工具集，为Android恶意代码分析与检测提供支持，为用户提供实用的全方位保护。

随着智能移动终端的普及，越来越多的用户在手机与平板电脑上使用或存储个人隐私信息。然而，在这个新兴的技术平台上，大量使用了混淆以及隐蔽技术的变种恶意代码也正不断地涌现，侵害着用户的隐私。对于安卓平台的应用程序而言，APIs能够在两种上下文前提下被调用：用户应用程序接口调用和回调函数。恶意软件通常会通过回调函数等来启动恶意代码的执行，并且最终达到攻击的目的。本项目以Android这个广为使用的平台作为对象，旨在针对当前恶意代码的三个新特征，即变种的、混淆的、隐蔽的，进行恶意代码的识别，同时通过对恶意代码的识别（如代码复用，敏感API）进行恶意软件的检测。. 在研究成果中，我们先后研究了基于恶意代码复用攻击、基于安卓组件的拓扑结构图的恶意代码检测、基于敏感API间的数据依赖的特征抽取、具有实用性和高效性的安卓系统安全框架等，并在重要国际会议上发表了多篇论文。其中，提出了一种精确健壮的代码复用检测系统，其主要思想是基于安卓组件的控制流图，而其中控制流图的节点即安卓APIs以及各个组件之间的控制流跳转组成边，研究结果在上千个Android应用程序（包括恶意的）中表现为零误报率以及极其低的漏报率，因此被国际会议所录取，被SCI检索。其次提出了一种新型的基于安卓组件拓扑结构图的代码混淆方法，其效果是几乎绕过了绝大部分的安全检测工具，这一研究成果很大程度的对黑客攻击的预言，为提早作出相应防范措施做好准备做出了贡献，因此同样被国际会议录取，被SCI检索。另外我们还提出了一种集实用性和性能于一体的安卓安全防御的框架，该框架核心思想是在Linux 内核中以占据极小空间的TCB所实现，它能够密切的监控安卓应用程序的恶意行为并且实时遏制其执行。紧接着基于前面的成果，我们又提出了基于安卓平台的DroidADDMiner，其思想是用机器学习的方法，抽取敏感API函数之间的数据依赖的特征，以此来识别恶意软件。本项目的研究一方面希望能够推进基于API粒度的静态插桩技术与Android恶意代码检测理论；另一方面希望通过构造通用的静态插桩工具集，为Android恶意代码分析与检测提供支持。