基于LKM系统调用劫持的恶意软件行为监控技术研究

doi:10.3969/j.issn.1671-1122.2016.04.001

信息网络安全 ›› 2016, Vol. 16 ›› Issue (4): 1-8.doi: 10.3969/j.issn.1671-1122.2016.04.001

• • 下一篇

基于LKM系统调用劫持的恶意软件行为监控技术研究

丁庸, 曹伟, 罗森林()

北京理工大学信息系统及安全对抗实验中心,北京 100081

收稿日期:2016-03-04 出版日期:2016-04-20 发布日期:2020-05-13
作者简介:
作者简介：丁庸（1992—）,男,山东,硕士研究生,主要研究方向为信息安全;曹伟（1991—）,男,安徽,硕士研究生,主要研究方向为信息安全;罗森林（1968—）男,河北,教授,博士,主要研究方向为信息安全、数据挖掘、文本安全。
基金资助:
国家242信息安全计划[2005C48]

Research on the Technology of Malware Behavior Monitoring Based on LKM System Call Hijacking

Yong DING, Wei CAO, Senlin LUO()

Information System and Security & Countermeasures Experimental Center, Beijing Institute of Technology, Beijing 100081, China

Received:2016-03-04 Online:2016-04-20 Published:2020-05-13

摘要/Abstract

摘要：

Android操作系统是目前设备数最多,使用最为广泛的智能手机操作系统。但Android操作系统在给用户带来方便的同时,其巨大的市场价值也吸引了黑客的目光。以Android恶意软件为主要攻击方式的黑色产业链也逐渐发展壮大,严重危害到了广大智能手机用户的隐私和个人财产安全。因此,针对Android恶意软件检测技术的研究有着极其重要的理论意义和实用价值。文章简述了Android恶意软件相关知识,提出了一种基于LKM的Android应用软件动态行为监控方法。该方法在Linux内核层劫持并替换系统调用,以后台服务的形式运行,可以监控软件发送短信、拨打电话、获取电话号码、网络连接、权限提升等行为。最后,基于该方法设计和实现了软件动态行为监控系统。实验结果表明,该系统对Android软件恶意行为的监控准确率达到了93%,系统性能开销小于5%,具有较高的实用价值。

关键词: 行为监控, LKM, 恶意软件, Android

Abstract:

Android operating system occupies most of the smart devices and has the largest number of users. But smartphone’s huge market value has also attracted the attention of hackers while bringing convenience to users. The black chain which uses malware as the main attack method can put users’ privacy and their property safety in dangerous situation. Therefore, study of the technology on Android malware detection has a very important theoretical value and practical significance. This paper gives a brief introduction on knowledge of Android malware, and proposes an Android application software dynamic behavior monitoring method based on LKM. This method hijacks and replaces the system call in the Linux kernel layer, and later runs in the form of services. It can monitor sending text messages, making phone calls, getting the phone number, network connections, privilege escalation and et al. Experimental results show that the monitoring accuracy rate of malicious behavior reaches to 93% and its performance overhead is less than 5%. Finally, this paper design and implement the dynamic behavior monitoring system based on the method. So, it has a high practical value.

Key words: behavior monitoring, LKM, malware, Android

中图分类号:

TP309

丁庸, 曹伟, 罗森林. 基于LKM系统调用劫持的恶意软件行为监控技术研究[J]. 信息网络安全, 2016, 16(4): 1-8.

Yong DING, Wei CAO, Senlin LUO. Research on the Technology of Malware Behavior Monitoring Based on LKM System Call Hijacking[J]. Netinfo Security, 2016, 16(4): 1-8.

图/表 8

图1

图2

图3

图4

图5

表1

表2

表3

参考文献 13

[1]	腾讯移动安全实验室. 2015年上半年手机安全报告[EB/OL]. , 2016-02-18.
[2]	朱筱赟,胡爱群,邢月秀,等. 基于Android平台的移动办公安全方案综述[J]. 信息网络安全,2015(1):76-83.
[3]	DAI Shuaifu, WEI Tao, ZOU Wei.DroidLogger: Reveal Suspicious Behavior of Android Applications via Instrumentation[C]//IEEE. 7th International Conference on Computing and Convergence Technology, December 3-5, 2012, Seoul. New Jersey: IEEE, 2012: 550-555.
[4]	BATYUK L, HERPICH M, CAMTEPE S A, et al.Using Static Analysis for Automatic Assessment and Mitigation of Unwanted and Malicious Activities within Android Applications[C]//ACM. 6th International Conference on Malicious and Unwanted Software, October 18-19, 2011, Fajardo. New York: ACM, 2011: 66-72.
[5]	XU Rubin, SAÏDI H, ANDERSON R. Aurasium: Practical Policy Enforcement for Android Applications[C]//USENIX. 21st USENIX Conference on Security Symposium, August 8-10, 2012, Bellevue. New York: ACM, 2012: 27.
[6]	PENG Guojun, SHAO Yuru, WANG Taige, et al.Research on Android Malware Detection and Interception Based on Behavior Monitoring[J]. Wuhan University Journal of Natural Sciences, 2012, 17(5): 421-427.
[7]	张磊,陈兴蜀,任益,等. 一种基于VMM的内核级Rootkit检测技术[J]. 信息网络安全,2015(4):56-61.
[8]	ISOHARA T, TAKEMORI K, KUBOTA A.Kernel-based Behavior Analysis for Android Malware Detection[C]//Guangdong University of Technology, Beijing Normal University, Hainan Province Institution of Computing. 7th International Conference on Computational Intelligence and Security, December 3-4, 2011, Hainan. New Jersey: IEEE, 2011: 1011-1015.
[9]	ZHOU Yajin, JIANG Xuxian.Dissecting Android Malware: Characterization and Evolution[C]//IEEE. 2012 IEEE Symposium on Security and Privacy, May 20-23, 2012, San Francisco. New Jersey: IEEE, 2012: 95-109.
[10]	李汶洋. Android操作系统恶意软件检测技术研究[J]. 信息网络安全,2015(9):62-65.
[11]	Google. 官方Android开发文档[EB/OL]. , 2016-2-18.
[12]	DAVIS B, SANDERS B, KHODAVERDIAN A, et al. I-ARM-Droid: A Rewriting Framework for In-App Reference Monitors for Android Applications[EB/OL]. , 2016-1-22.
[13]	赵光泽,李晖,孟杨. Android平台WebView组件安全及应用加固研究[J]. 信息网络安全,2015(10):61-65.

[1]	侯留洋, 罗森林, 潘丽敏, 张笈. 融合多特征的Android恶意软件检测方法[J]. 信息网络安全, 2020, 20(1): 67-74.
[2]	宋鑫, 赵楷, 张琳琳, 方文波. 基于随机森林的Android恶意软件检测方法研究[J]. 信息网络安全, 2019, 19(9): 1-5.
[3]	丁丽萍, 刘雪花, 陈光宣, 李引. Android智能手机动态内存取证技术综述[J]. 信息网络安全, 2019, 19(2): 10-17.
[4]	冯胥睿瑞, 刘嘉勇, 程芃森. 基于特征提取的恶意软件行为及能力分析方法研究[J]. 信息网络安全, 2019, 19(12): 72-78.
[5]	张健, 陈博翰, 宫良一, 顾兆军. 基于图像分析的恶意软件检测技术研究[J]. 信息网络安全, 2019, 19(10): 24-31.
[6]	宋新龙, 郑东, 杨中皇. 基于AOSP与SELinux的移动设备管理系统[J]. 信息网络安全, 2017, 17(9): 103-106.
[7]	陆德冰, 崔浩亮, 张文, 牛少彰. 基于Intent过滤的应用安全加固方案[J]. 信息网络安全, 2017, 17(11): 67-73.
[8]	刘佳佳, 俞研, 胡恒伟, 吴家顺. 一种基于虚拟机定制的应用保护方法研究[J]. 信息网络安全, 2017, 17(1): 63-67.
[9]	张健, 王文旭, 牛鹏飞, 顾兆军. 恶意软件防治产品与服务评测体系研究[J]. 信息网络安全, 2016, 16(9): 113-117.
[10]	文伟平, 汤炀, 谌力. 一种基于Android内核的APP敏感行为检测方法及实现[J]. 信息网络安全, 2016, 16(8): 18-23.
[11]	余丽芳, 杨天长, 牛少彰. 一种增强型Android组件间安全访问控制方案[J]. 信息网络安全, 2016, 16(8): 54-60.
[12]	曲乐炜, 罗森林, 孙志鹏, 朱帅. Android系统数据完整性检测方法研究[J]. 信息网络安全, 2016, 16(8): 61-67.
[13]	张家旺, 李燕伟. 基于N-gram算法的恶意程序检测系统研究与设计[J]. 信息网络安全, 2016, 16(8): 74-80.
[14]	杨静雅, 罗森林, 朱帅, 曲乐炜. 基于多层次交叉视图分析的Android系统恶意行为监控方法研究[J]. 信息网络安全, 2016, 16(7): 40-46.
[15]	李亚萌, 何泾沙. 基于Hash的YAFFS2文件各版本恢复算法研究[J]. 信息网络安全, 2016, 16(5): 51-57.

基于LKM系统调用劫持的恶意软件行为监控技术研究

Research on the Technology of Malware Behavior Monitoring Based on LKM System Call Hijacking

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 8

参考文献 13

相关文章 15

编辑推荐

Metrics

本文评价