APK Auditor:Permission-based Android malware detection system, Digital Investigation(SCI,IF=0.986), 2015年6月 [1]

1.1. 背景

         土耳其Abant Izzet Baysal大学和Gazi大学的研究人员针对现有Android权限管理无法动态调整、用户难以理解权限意义等问题，提出了一种基于权限的Android恶意软件检测方法，并实现了其原型系统APK Auditor。APK Auditor的服务器端可以对用户设备中的应用和Google Play应用商店中的应用进行权限分析，并基于概率论方法对每个权限的安全性进行打分，通过公式给出应用为恶意应用的可能性分数，并通过Logistic回归方法确定恶意应用分数临界值。

         APK Auditor提供了在线测试的网站：其地址为：http://app.ibu.edu.tr:8080/apkinspectoradmin，用户名、密码为“guest/Guest1”。

1.2. 贡献

         本文提出了基于权限的恶意软件检测系统APK Auditor，体系结构如图1所示。APK Auditor由三部分组成：1）Android客户端；2）指纹数据库；3）中心服务器。其中中心服务器负责与Android客户端和指纹数据库进行通信，并执行真正的分析流程。Android客户端通过Web浏览器界面与中心服务器通信，可以提交应用或者获取分析结果。

图1  APK Auditor体系结构

         中心服务器一方面会将Android客户端提交的应用样本进行分析，另一方面会在午夜时自动从Google应用商店下载100个应用进行分析。因此APK Auditor是一个能够不断自学习的系统。

1.3. 对比

         对比本文，其他现有工作1）APK Auditor全部在服务器端完成分析工作，不需要占用手机资源；2）本文方法时间开销小，分析速度快，并且对APK大小不敏感，不会因为APK尺寸而导致分析时间过长。

1.4. 实验

         本文的应用样本共有8762个应用，由两部分组成：1）恶意应用采用公开的contagio mobile、Drebin、Android Malware Genome Project恶意应用数据集，共有6909个恶意应用；2）从谷歌应用商店下载的正常应用，共1853个。

在数据集中，APK Auditor采用70%的数据作为训练集，30%的数据作为测试集，实验结果表明，本文方法恶意应用检测的准确率为88.28%，误报率为0.46%。具体数据如表1所示。

表1  APK Auditor方法恶意应用检测结果

1.5. 专家观点

         Symantec公司最新互联网安全报告显示，目前Android平台的应用里有17%是恶意软件，包括恶意扣费、隐私获取、诱骗欺诈、恶意传播等类型，给终端用户带来巨大的安全隐患，因此Android恶意应用检测也一直是一个研究热点。本文提出的方法优势在于比较实用，实时性较好，适合业界公司进行实现和部署。手机公司有自己的手机操作系统和应用商店，面对数量庞大的应用开发者，其应用商店的应用审核完全靠人工去识别不现实，需要类似本文的自动化工具的辅助检测。本文成果利用该成果可用于手机应用商店中，以更好地改善手机生态的安全性。

1.6. 参考文献

[1] Talha, Kabakus Abdullah, Dogru IbrahimAlper, and Cetin Aydin. "APK Auditor: Permission-based Android malwaredetection system." Digital Investigation 13 (2015): 1-14.