一种易部署的Android APP动态行为监控方法

doi:10.7523/j.issn.2095-6134.2015.05.016

中国科学院大学学报 ›› 2015, Vol. 32 ›› Issue (5): 689-694.DOI: 10.7523/j.issn.2095-6134.2015.05.016

一种易部署的Android APP动态行为监控方法

王学强^1,2,3, 雷灵光^1,2, 王跃武^1,2

1. 中国科学院信息工程研究所, 北京 100093;
2. 中国科学院数据与通信保护研究教育中心, 北京 100093;
3. 中国科学院大学, 北京 100049

收稿日期:2014-08-20 修回日期:2014-11-27 发布日期:2015-09-15
通讯作者: 雷灵光
基金资助:
国家保密局保密科研项目(BMKY2013B12-2) 资助

An easy-to-deploy behavior monitoring scheme for Android applications

WANG Xueqiang^1,2,3, LEI Lingguang^1,2, WANG Yuewu^1,2

1. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China;
2. Data Assurance and Communication Security Research Center, Chinese Academy of Sciences, Beijing 100093, China;
3. University of Chinese Academy of Sciences, Beijing 100049, China

Received:2014-08-20 Revised:2014-11-27 Published:2015-09-15

摘要/Abstract

摘要：

Android平台目前已经成为恶意代码攻击的首要目标,超过90%的Android 恶意代码以APP的形式被加载到用户设备.因此,监控APP行为成为对抗Android恶意代码攻击的重要手段.然而,已有的监控手段依赖于对Android系统底层代码的修改.由于不同OEM厂商对Android系统的严重定制,直接改动商用Android系统的底层代码很难由第三方人员部署到用户设备.本文在分析Android进程模型和代码执行特点的基础上,提出一种在应用层实现的程序行为监控方案,通过动态劫持Android虚拟机解释器的方法,实现对应用程序代码执行情况的全面监控.由于不直接对Android系统源码进行任何改动,该方案可以灵活、快速地部署在不同型号、不同版本的Android移动终端上.通过对原型系统的实现和测试,发现该系统易于部署、监控全面并且性能损耗较低.

关键词: Android APP, 行为监控, Dalvik劫持, 动态注入

Abstract:

Malicious applications pose tremendous threats to Android platform. More than 90% of malicious codes are introduced in the form of Android apps. Hence, behavior monitoring scheme for Android applications are required in order to resolve the problem. However, most of the schemes are based on system customization and hard to deploy on devices for Android's fragmentation problem. In this paper, an easy-to-deploy Android application monitoring method on the basis of process hijacking is proposed after analysis of Android process model and code execution details. The method depends on Dalvik interpreter entry point and system call interception. The authors created a fully usable prototype of the system, and the evaluation results show that the system is easy to deploy, provides a whole-scale behavior of Android applications, and incurs little performance overhead.

Key words: Android APP, behavior monitoring, Dalvik hijacking, dynamic instrumentation

中图分类号:

TP309

王学强, 雷灵光, 王跃武. 一种易部署的Android APP动态行为监控方法[J]. 中国科学院大学学报, 2015, 32(5): 689-694.

WANG Xueqiang, LEI Lingguang, WANG Yuewu. An easy-to-deploy behavior monitoring scheme for Android applications[J]. , 2015, 32(5): 689-694.

参考文献

[1] Gartner. Gartner says smartphone sales accounted for 55 percent of overall mobile phone sales in third quarter of 2013[EB/OL].(2013-11-14)[2014-07-20]. http://www.gartner.com/newsroom/id/2623415.

[2] Cisco. Cisco 2014 annual security report[R/OL]. Cisco_2014_ASR.pdf. (2014)[2014-07-20].https://www.cisco.com/web/offer/gist_ty2_asset/

[3] Enck W, Ongtang M, McDaniel P. On lightweight mobile phone application certification[C]//Proceedings of the 2009 ACM Conference on Computer and Communication Security (CCS). 2009:235-245.

[4] Felt A P, Chin E, Hanna S, et al. Android permissions demystied[C]//Proceedings of the 2011 ACM Conference on Computer and Communication Security (CCS). 2011:627-638.

[5] Grace M C, Zhou Y, Wang Z, et al. Systematic detection of capability leaks in stock android smartphones[C]//19th Annual Network and Distributed System Security Symposium (NDSS). Internet Society, 2012.

[6] Jiang X X. Security alert:new sophisticated Android malware DroidKungFu found in alternative Chinese app markets[EB/OL].(2011-06-23)[2014-07-20]. http://www.csc.ncsu.edu/faculty/jiang/DroidKungFu.html.

[7] Bläsing T, Batyuk L, Schmidt A D, et al. An android application sandbox system for suspicious software detection[C]//5th International Conference on Malicious and Unwanted Software (MALWARE). 2010:55-62.

[8] Burguera I, Zurutuza U, Tehrani S N. Crowdroid:behavior-based malware detection system for android[C]//Proceedings of the 1st ACM Workshop on Security and Privacy in Smartphones and Mobile Devices (SPSM). ACM, 2011:15-26.

[9] Enck W, Gilbert P, Chun B G, et al. TaintDroid:an information-flow tracking system for realtime privacy monitoring on smartphones[C]//Proceedings of the USENIX Symposium on Operating Systems Design and Implementation (OSDI). 2010:393-407.

[10] Xu R, Saïdi H, Anderson R. Aurasium:Practical policy enforcement for android applications[C]//Proceedings of the 21st USENIX Conference on Security Symposium. USENIX Association, 2012:539-552.

[1]	苗栋, 马锐, 孙鑫凯, 史祎诗. 对线性幺正光学加密系统的选择明文攻击^*[J]. 中国科学院大学学报, 0, (): 53-53.
[2]	郎欢, 张蕾, 吴文玲. SM4的快速软件实现技术[J]. 中国科学院大学学报, 2018, 35(2): 180-187.
[3]	尹芷仪, 沈嘉荟, 郭晓博, 查达仁. 一种基于参数污点分析的软件行为模型[J]. 中国科学院大学学报, 2017, 34(5): 647-656.
[4]	李从午, 潘无穷, 林璟锵. 基于AD的私有云存储访问控制实现方案[J]. 中国科学院大学学报, 2015, 32(5): 676-681.
[5]	王雷, 王平建, 向继. 云存储环境中的统一认证技术[J]. 中国科学院大学学报, 2015, 32(5): 682-688.
[6]	贾世杰, 夏鲁宁, 闻楠. 基于Nand Flash物理特性的签名私钥产生方法及其应用[J]. 中国科学院大学学报, 2015, 32(5): 695-700.
[7]	林雪燕, 林璟锵, 管乐, 王雷. 在桌面虚拟化系统中实施国产密码算法[J]. 中国科学院大学学报, 2015, 32(5): 701-707.
[8]	李凤海, 张佰龙, 杜皎, 宋衍, 李爽. 一种基于可信计算的涉密文件抗丢失技术[J]. 中国科学院大学学报, 2015, 32(5): 714-720.
[9]	刘波, 陈华. 一种基于项重写的密码模块API安全性检测算法[J]. 中国科学院大学学报, 2013, 30(5): 699-705.
[10]	易锦, 罗峋, 凹建勋, 杨光宇, 罗平. 基于马尔科夫链的软件故障分类预测模型[J]. 中国科学院大学学报, 2013, 30(4): 562-567.
[11]	田雪, 徐震, 陈驰. 若干新型数据库隐蔽信道应用场景研究[J]. 中国科学院大学学报, 2013, 30(3): 403-409.
[12]	冷晓旭, 肖俊. 一种基于Haar小波和归一化的鲁棒零水印算法[J]. 中国科学院大学学报, 2013, 30(3): 410-416.
[13]	黄桂芳, 胡磊. 统计绑定的非交互的非延展承诺[J]. 中国科学院大学学报, 2013, 30(2): 264-271.
[14]	李昭, 王跃武, 雷灵光, 张中文. 基于动态密钥的Android短信加密方案[J]. 中国科学院大学学报, 2013, 30(2): 272-277.
[15]	李凌, 李京, 徐琳, 王维维. 一种云计算环境中用户身份信息隐私保护方法[J]. 中国科学院大学学报, 2013, 30(1): 98-105.

一种易部署的Android APP动态行为监控方法

An easy-to-deploy behavior monitoring scheme for Android applications

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

访问统计

联系我们