Android审计平台,Android系统安全审计方法研究

摘要：

随着智能手机的快速发展和大量普及,移动互联网的安全已是当今主流安全威胁之一。Android是目前市场占有量最大的移动智能设备平台,它也成为众多恶意代码攻击的目标。恶意代码产生的危害巨大,它不仅会窃取用户个人隐私,侵犯用户的权益,更会对用户造成严重的经济损失。定期对移动终端设备进行安全审计,有利于降低系统被入侵的风险,提高系统的安全性。但现有的Android安全审计系统的全面性、安全性和灵活性等方面存在不足。因此,针对Android系统安全审计方法的研究具有重要的理论意义和实际应用价值。针对现有的行为监控方法或需重新编译系统,或需改动被监控软件,且大多数监控不全面、无法识别恶意代码隐藏行为的问题,提出一种基于多层次交叉视图分析的Android系统恶意行为监控方法。该方法基于进程注入和可加载内核模块技术,在Java层、Native层和Kernel层对恶意行为进行监控,获取行为监控表并通过交叉视图对比分析识别其中存在的隐藏行为。在Android模拟器环境下利用12种能够覆盖主要恶意行为的恶意代码进行实验,结果表明,方法对恶意行为的监控准确率达到了91.43%,并能有效检测其隐藏行为,监控粒度细、实用性强。针对现有Android审计系统仅检测文件或内存数据的完整性,从而影响其实用性问题,提出了一种结合文件数据和内存数据的Android系统数据完整性检测方法。该方法基于可信的基线数据库,采用MD5哈希算法对文件数据完整性进行检测;在保证文件完整性的条件下,再进行内存数据完整性检测;最后获得数据完整性检测结果。在Android模拟器环境下,利用7种攻击数据完整性的恶意代码进行实验,结果表明,方法可有效检测到采用不同攻击方式的恶意代码对系统数据完整性的破坏,检测准确率高,实用性强。设计并实现了一个Android安全审计原型系统。系统审计的内容包含恶意行为监控、数据完整性检测、流量监测、数据包捕获与分析、日志记录等,最后生成审计报告。在Android模拟器环境下,针对27种应用和19种恶意代码进行实验,结果表明,系统审计的全面性、安全性和灵活性强,可直接用于Android系统安全审计,具有较高的实际应用价值。

展开