本發明提供了一種Android系統下的權限共謀攻擊檢測方法，包括按順序進行的下列步驟：提取已知應用的特征生成特征向量集；對權限特征向量集訓練和分類并生成安全策略規則集；然后根據組件和通信方式特征向量集生成組件通信有限狀態機；最后通過提取待測應用特征向量集生成新權限狀態機，通過與已優化安全策略規則集的匹配檢測權限共謀攻擊；本發明提供的檢測方法可實現對Android系統中權限共謀攻擊的有效檢測，具有檢測準確率高、檢測速度快的特點。

技術領域

本發明屬于智能終端與移動互聯網安全應用領域，特別是涉及一種Android系統下的權限共謀攻擊檢測方法。

背景技術

隨著移動智能終端的普及，Android系統所面臨的安全威脅越來越多。Android權限共謀攻擊是近年來新出現的一種安全威脅，具有攻擊形式多樣、隱蔽性強和攻擊范圍大等特點，成為相關學者研究的熱點課題。共謀攻擊主要通過繞過Android安全機制(簽名、沙盒等)的檢查實施攻擊。相比于其它類型的攻擊，Android共謀攻擊隱蔽性更好，檢測難度更高。

與檢測惡意應用不同，檢測共謀攻擊不僅涉及檢測存在安全威脅的特征屬性，還需檢測應用間是否存在通信行為。由于大多數現有惡意應用檢測技術并未涉及檢測應用間的通信，所以并不適用于檢測共謀攻擊。為此，有研究者提出例如FlowDroid和Amandroid等的基于污點分析技術的共謀攻擊檢測方法，通過標記應用間信息流向來檢測敏感數據的竊取，達到檢測共謀攻擊的目的，但在效率方面表現不佳。為改善上述檢測方法的效率，APKCombiner通過分析應用間的信息流提高檢測共謀攻擊的準確率，但該工具僅能檢測出兩個應用間的共謀攻擊行為。某些文獻通過提取應用的公開和隱蔽信道信息來檢測隱私數據泄露，但該方法單一且檢測數據有限。還有文獻提出一種基于權限的共謀攻擊檢測方法，通過提取應用權限特征并靜態分析函數調用檢測共謀攻擊，但檢測精度和效率不高。另有文獻提出一種檢測應用間共謀攻擊的COVERT工具，該工具雖然能夠檢測并顯示組件間的通信，但在檢測隱式組件方面誤差大，從而導致檢測攻擊準確率低。

發明內容

為解決上述問題，本發明的目的是提供一種融合Bayes分類方法和有限狀態機的Android系統下的權限共謀攻擊檢測方法。

為了達到上述目的，本發明提供的Android系統下的權限共謀攻擊檢測方法包括按順序進行的下列步驟：

(1)訓練樣本數據，得到安全策略規則集和通信數據集

①反編譯現有已知攻擊行為的APK樣本文件，得到AndroidManifest.xml文件，提取權限、組件和通信特征生成對應的特征向量，得到樣本數據；

②對Bayes分類算法進行改進，傳統Bayes分類算法通過計算權限W_i是共謀應用的條件概率P(C|W_i)來進行分類，W_i是共謀應用的條件概率P(C|W_i)為：

其中，P(C|W_i)表示出現權限W_i的應用是共謀應用的條件概率；P(C)為訓練階段應用中存在共謀應用的概率；P(W_i|C)表示共謀應用中權限W_i出現的概率；P(H)表示訓練階段應用中非共謀應用的概率；P(W_i|H)表示非共謀應用中權限W_i出現的概率；

③將上述提取的權限特征向量作為改進后Bayes分類算法的輸入，將改進后Bayes分類算法的分類結果作為共謀應用的安全策略規則集；

④利用上述提取的通信方式特征向量和組件特征向量生成通信狀態機；將步驟③中得到的的安全策略規則集輸入通信狀態機，得到優化后的安全策略規則集；

⑤將優化后的安全策略規則集保存到數據庫中。

(2)對權限共謀攻擊進行檢測