基於API的靜態插樁技術與Android平台惡意代碼檢測

隨著智慧型移動終端的普及，用戶正在手機與平板電腦上越來越多地使用或存儲個人隱私信息。然而，在這個新興的技術平台上，大量使用了混淆以及隱蔽技術的變種惡意代碼正不斷地湧現，侵害著用戶的隱私。本項目以Android這個廣為使用的平台作為對象，針對當前惡意代碼往往是變種的、混淆的、隱蔽的，三個新特徵，提出基於靜態插樁的惡意代碼檢測技術。具體來說，我們的研究將包括三個方面。首先，API粒度程式插樁技術為我們提供高效的程式運行監控手段。其次，惡意代碼行為建模技術為我們捕獲惡意行為，確認變種的、代碼混淆的惡意程式。最後，基於可疑API接口的識別技術為我們識破職能混淆與合謀攻擊兩種隱蔽攻擊。本項目的研究一方面希望能夠推進基於API粒度的靜態插樁技術與Android惡意代碼檢測理論；另一方面希望能夠構造通用的靜態插樁工具集，為Android惡意代碼分析與檢測提供支持，為用戶提供實用的全方位保護。

隨著智慧型移動終端的普及，越來越多的用戶在手機與平板電腦上使用或存儲個人隱私信息。然而，在這個新興的技術平台上，大量使用了混淆以及隱蔽技術的變種惡意代碼也正不斷地湧現，侵害著用戶的隱私。對於安卓平台的應用程式而言，APIs能夠在兩種上下文前提下被調用：用戶應用程式接口調用和回調函式。惡意軟體通常會通過回調函式等來啟動惡意代碼的執行，並且最終達到攻擊的目的。本項目以Android這個廣為使用的平台作為對象，旨在針對當前惡意代碼的三個新特徵，即變種的、混淆的、隱蔽的，進行惡意代碼的識別，同時通過對惡意代碼的識別（如代碼復用，敏感API）進行惡意軟體的檢測。在研究成果中，我們先後研究了基於惡意代碼復用攻擊、基於安卓組件的拓撲結構圖的惡意代碼檢測、基於敏感API間的數據依賴的特徵抽取、具有實用性和高效性的安卓系統安全框架等，並在重要國際會議上發表了多篇論文。其中，提出了一種精確健壯的代碼復用檢測系統，其主要思想是基於安卓組件的控制流圖，而其中控制流圖的節點即安卓APIs以及各個組件之間的控制流跳轉組成邊，研究結果在上千個Android應用程式（包括惡意的）中表現為零誤報率以及極其低的漏報率，因此被國際會議所錄取，被SCI檢索。其次提出了一種新型的基於安卓組件拓撲結構圖的代碼混淆方法，其效果是幾乎繞過了絕大部分的安全檢測工具，這一研究成果很大程度的對黑客攻擊的預言，為提早作出相應防範措施做好準備做出了貢獻，因此同樣被國際會議錄取，被SCI檢索。另外我們還提出了一種集實用性和性能於一體的安卓安全防禦的框架，該框架核心思想是在Linux 核心中以占據極小空間的TCB所實現，它能夠密切的監控安卓應用程式的惡意行為並且實時遏制其執行。緊接著基於前面的成果，我們又提出了基於安卓平台的DroidADDMiner，其思想是用機器學習的方法，抽取敏感API函式之間的數據依賴的特徵，以此來識別惡意軟體。本項目的研究一方面希望能夠推進基於API粒度的靜態插樁技術與Android惡意代碼檢測理論；另一方面希望通過構造通用的靜態插樁工具集，為Android惡意代碼分析與檢測提供支持。