信息安全綜合設計

錯誤!未找到引用源。，Libsvm中實現(xiàn)的核函數(shù)有：線性核函數(shù)、多項式核函數(shù)、徑向基核函數(shù)（RBF核）與Sigmoid核函數(shù)。1）多項式核函數(shù)(3-42)2）RBF核函數(shù)(3-43)3）Sigmod函數(shù)(3-44）（3）libsvm工具包1)libsvm工具包的簡單介紹Libsvm是臺灣大學林智仁博士開發(fā)的一個簡單易用的SVM軟件工具。該工具完全開源，提供了C++、Java、Matlab、Python等語言的函數(shù)接口，以供不同的環(huán)境下使用。當然，這樣也方便了后人根據(jù)自己的需求進行改進程序。Libsvm工具包包含了分類問題、回歸問題和分布估計的解決方法，并提供了線性、多項式、RBF和Sigmod四種常用的核函數(shù)。在訓練時，SVM的參數(shù)選擇并沒有一個很好的模式進行選擇，通常是采用實驗搜索的方法進行查找最優(yōu)的參數(shù)。在Libsvm中，參數(shù)的選擇是在訓練樣本時進行交叉檢驗時進行查找最優(yōu)的。2)libsvm的使用該工具包提供了源代碼以及在win32平臺下的可執(zhí)行文件，主要包括一下文件：對數(shù)據(jù)集進行縮放的svm-scale.exe，對訓練樣本進行訓練的svm-train.exe，以及使用訓練得到的模型對測試數(shù)據(jù)集進行預測的預測程序svm-predict.exe。下面具體介紹下該工具包的使用。Libsvm的輸入數(shù)據(jù)集如下所示：[label][index1]:[value1][index2]:[value2]...[label][index1]:[value1][index2]:[value2]其中，顧名思義，支持向量機的輸入格式是采用向量的形式，如上所示，label表示該向量的標簽，即分類的類別，用整數(shù)表示；index表示向量數(shù)據(jù)的順序索引，即向量的維數(shù)，范圍從1開始，直至最大維數(shù)；value即向量每一維的數(shù)值，從樣本中提取出的特征值。2）數(shù)據(jù)集的縮放處理我們使用工具包提供的svm-scale.exe對數(shù)據(jù)集進行預處理，把向量組中的數(shù)值縮放到一定的范圍內(nèi)，通常是縮放到[0,1]或者[-1,1]之間。這一步在訓練樣本時并不嚴格要求一定要縮放，但是我們一般都在訓練前縮放下，原因具體有二：一是為了加快計算速度，因為在訓練中，樣本數(shù)據(jù)集通常很大，而且未經(jīng)縮放的數(shù)據(jù)集的差距范圍很大，這將影響訓練的處理能力。二是為了提高計算精度，因為我們在接下來利用快速腳本對訓練參數(shù)進行選擇時，參數(shù)會在某一個范圍內(nèi)進行選擇，而此范圍很小，所以我們只有把所有的特征值縮放在一個范圍之內(nèi)時才可以更好的從該范圍中尋優(yōu)。3）樣本數(shù)據(jù)集的訓練訓練使用工具包中提供的svm-train.exe，通常使用經(jīng)過縮放的樣本數(shù)據(jù)集進行訓練。Libsvm工具包中在訓練程序中提供了多種核函數(shù)以供選擇，其中包括線性核、多項式核、RBF核與Sigmod核四類核函數(shù)?？梢栽谑褂脮r通過設置對應的參數(shù)來進行調(diào)用對應的核函數(shù)。在該程序參數(shù)中，懲罰系數(shù)c和gamma參數(shù)比較重要，其默認值分別為1和1/k，在使用時我們通常利用該工具包中附帶的easy.py腳本程序調(diào)用該訓練程序，并通過交叉驗證的方法在一定范圍內(nèi)窮舉對上述兩個參數(shù)進行測試尋優(yōu)，easy.py腳本的使用方法將在下面進行介紹。該程序的其他詳細的參數(shù)可以查看提示文檔。4）對測試數(shù)據(jù)集進行預測對測試數(shù)據(jù)集的預測使用工具包中提供的svm-predict.exe程序，通過在預測前對待測試數(shù)據(jù)集也進行縮放的預處理。值得注意的是，訓練樣本集和測試數(shù)據(jù)集的縮放要同時進行，或者使用在對訓練樣本集scale時利用-s參數(shù)得到的range范圍文件作為參數(shù)對測試數(shù)據(jù)集進行scale，以保證一致性，不然預測的效果可能不是很好。順便提到一點，在默認情況下，預測是不帶概率的，要想得到一個樣本分類到每一類的概率，那么需要在預測時加上-b參數(shù)，而且要求預測的model文件也具有概率的功能，即在訓練時也需要使用-b參數(shù)使得到的model具有概率的功能。5）快捷腳本的使用Libsvm在提供工具包的同時，也提供了多個簡單的python腳本，以方便我們快捷的使用該工具包，我們只需要對該腳本文件做簡單的配置即可便捷的使用。下面對腳本文件做簡單介紹，包括checkdata.py腳本、grid.py腳本和easy.py腳本。首先我們需要安裝python程序包[20]和gnuplot繪圖軟件[19]，python程序包安裝之后，在使用時，由于Libsvm中提供的接口文件svmc.pyd可能是針對特定的python版本進行編譯的，那么我們在安裝python之后，最好針對本機再重新編譯出該接口文件，不然會導致調(diào)用出錯，具體的編譯方法參見Libsvm程序包中的幫助文檔，本文不再詳細介紹。而gnuplot是個綠色軟件，放到一個固定路徑即可。腳本checkdata.py是用來檢驗數(shù)據(jù)集文件的格式是否符合Libsvm的輸入格式，用法很簡單，本文也不做詳細介紹，下面具體介紹下grid.py和easy.py腳本。在使用前，我們需要把easy.py和grid.py中的參數(shù)路徑進行配置，即設定好Libsvm中的各個程序的路徑以及gnuplot的路徑，然后才能正確使用。在使用時，easy.py把svm的流程都一體化的放在腳本里，運行該腳本時，腳本會依次調(diào)用縮放程序、訓練程序以及預測程序。在訓練時，easy.py調(diào)用grid.py來對訓練參數(shù)c和gamma進行尋優(yōu)，grid.py封裝了尋優(yōu)的過程，其采用交叉驗證（CrossValidation）的方法，對c和gamma在一定范圍內(nèi)進行窮舉尋優(yōu)。2.3軟件流程2.3.1方案一流程 首先使用google的APK工具包Apktool，在Java環(huán)境下對軟件APK進行反編譯。反編譯結(jié)束后將得到軟件同名文件夾，在文件夾中找到AndroidManifest.xml文件。Matrix.py是編寫的用于提取并輸出AndroidManifest.xml中權(quán)限信息的程序。運行后將得到對應的permatrix.txt文件，該文件中的每一行為一個APK文件的權(quán)限特征，其中第一列為縮寫后的文件名，第二列開始為95個特征的順序0、1序列。其中0代表該APK不含此權(quán)限；1代表該APK含有此權(quán)限。此處95個特征的順序由permission.txt文件給出。 對已知的一定數(shù)目的樣本，進行上述提取權(quán)限后，使用Matlab對permatrix.txt進行讀取。設置libsvm的樣本集、樣本集的標簽以及測試集和測試集的標簽。設置完成后即可運算得出相應的Model及其準確率。根據(jù)準確率調(diào)整libsvm的相關(guān)參數(shù)，以達到一個較高的準確率。 對參數(shù)調(diào)整完畢后，對未知是否惡意軟件的APK文件提取權(quán)限信息，即可使用該Model進行預測。2.3.2方案二流程 不使用Apktools反編譯APK包，直接利用AXMLPrinter工具從解壓后的APK包中對xml文件進行反編譯，減少計算成本。使用相同的Matrix.py提取并輸出AndroidManifest.xml中的權(quán)限信息。對于生成的permission.txt中的權(quán)限列表，根據(jù)方案一的測試情況，進行一定的篩選，剔除極少采用的權(quán)限或者對Model影響較小的權(quán)限。 在使用Matlab進行權(quán)限分析時，同樣根據(jù)方案一的測試情況，對樣本集、測試集的權(quán)限特征進行相應的加權(quán)處理。選擇對Model影響明顯的、判斷對惡意軟件有重要作用的權(quán)限，設定一定的權(quán)值，并且在測試中通過設定權(quán)值參數(shù)變量，在一定的值域內(nèi)進行大量枚舉運算，最終選擇出最優(yōu)的加權(quán)參數(shù)，達到一個優(yōu)化的加權(quán)特征模型。 2.4.3方案三流程根據(jù)方案一、二的測試情況和結(jié)果，對95個權(quán)限進行相應的分類和分級。其中分類的原則基于不同權(quán)限的不同系統(tǒng)功能性，而分級則基于不同權(quán)限對Model的影響效果。對于分類、分級的權(quán)限塊，設置相應的基于權(quán)限個數(shù)的閾值，并加以適當?shù)募訖?quán)處理。將不同權(quán)限塊的計算值是否達到閾值的邏輯結(jié)果加入方案二的樣本特征矩陣中，即在使用方案二中基于APK權(quán)限的加權(quán)特征同時，對樣本特征集加入額外的統(tǒng)計特征，從而進一步從權(quán)限本身性質(zhì)、相互關(guān)聯(lián)性的角度，加深和拓展了APK權(quán)限特征對于惡意軟件檢測的效用及意義。2.4功能本系統(tǒng)采用不同的方案對大量Android軟件樣本進行分析，通過結(jié)合基于權(quán)限統(tǒng)計分析的檢測方法進行機器學習，建立可預測Android軟件是否為惡意軟件的模型。通過這一模型建立預估檢測系統(tǒng)，并且在給出檢測結(jié)果時會同時給出系統(tǒng)檢測的準確率，為用戶提供參考。2.5指標本系統(tǒng)實現(xiàn)的是以apk權(quán)限為檢測要素，通過機器學習建立模型對安卓平臺的惡意軟件進行評估。本報告擬從以下幾個方面對所設計方案做性能評估。（1）評估范圍：本系統(tǒng)在初期是比較簡單的，只對apk包中的permission單純地提取，所有的permission以同等地位作為評估因素。這里檢測permission的選擇與加權(quán)所要考慮的因素大致有：權(quán)限使用率、黑白樣本權(quán)限使用差別等。（2）不確定性：從實驗初期的測試結(jié)果來看，本系統(tǒng)的不確定性相對較低，基本上能夠確保檢測的準確率。（3）完備性：本系統(tǒng)目前主要是專門針對apk權(quán)限的分析，使用到的因素還不夠完備。我們將會在更多方面提取能作為惡意軟件檢測的特征，來完善并優(yōu)化本檢測系統(tǒng)。（4）準確性：在實驗初期，本系統(tǒng)的準確性高達80%以上。隨著我們對本系統(tǒng)的進一步完善，準確性一直在不斷提高。（5）虛警率：目前，多數(shù)apk的預測結(jié)果都是正確的，但在實驗初期，系統(tǒng)市場有誤報惡意軟件的情況，不過隨著系統(tǒng)的不斷完善，我們將努力將判錯的概率控制在比較小的范圍內(nèi)，來提高系統(tǒng)的準確率。（6）實用性：本系統(tǒng)與用戶的交互能力很強，預測結(jié)果可靠，且用戶群體眾多，可以應用到很多的領(lǐng)域。作品測試與分析3.1測試環(huán)境搭建3.1.1WindowsPython3.4.31）登錄官網(wǎng)/下載最新版本的python并安裝。2）在系統(tǒng)環(huán)境變量path中添加python安裝目錄。3.1.3JavaSE8u451）登錄官網(wǎng)/technetwork/java/javase/downloads下載最新版本的JDK并安裝。2）在系統(tǒng)環(huán)境變量path中添加JDK安裝目錄。3.1.4Matlab2014a1）下載Matlab2014a版本并安裝。2）在系統(tǒng)環(huán)境變量path中添加Matlab的安裝目錄。3）在Matlab的命令行窗口使用mex–setup為matlab制定編譯器，本測試中使用的編譯器為MicrosoftVisualStudio2013Ultimate。3.2測試目的 本系統(tǒng)使用了三種不同的Android惡意軟件檢測方案。測試目的如下：由于Libsvm機器學習算法所得的Model準確性與所采用的樣本的完備性以及樣本標簽的準確性有很大的關(guān)系，在測試過程中選擇出合適的樣本數(shù)量以及樣本集。由于使用了三種不同檢測方案，通過測試來驗證方案改進方向的正確性和方案改進方法的有效性，得出最優(yōu)的檢測方案。將本系統(tǒng)的測試結(jié)果于已有的檢測方案、工具作對比，評估本系統(tǒng)的完備性、準確性、虛警率以及實用性。3.3測試方案3.3.1系統(tǒng)方案一測試測試方案1 系統(tǒng)方案一的小樣本測試，選取黑白共計334個樣本進行測試，其中白樣本來源于360安卓市場，且為市場上知名度較高，安全性較可靠的應用。利用libsvm的交叉驗證得到model的準確率。測試方案2 系統(tǒng)方案二的大樣本測試，選取黑白共計1005個樣本進行l(wèi)ibsvm訓練，其中白樣本來源于hiapk安卓網(wǎng)隨機下載的應用，經(jīng)過360病毒查殺。利用libsvm的交叉驗證得到model的準確率。3.3.2系統(tǒng)方案二測試測試方案3 系統(tǒng)方案二的無加權(quán)測試，對334個樣本進行權(quán)限篩選后的libsvm訓練，將系統(tǒng)方案一中的95個樣本縮減為51個，利用libsvm的交叉驗證得到model的準確率，將測試結(jié)果于測試方案1進行對比。測試方案4 系統(tǒng)方案二的加權(quán)測試，對1005個樣本進行權(quán)限篩選、特征加權(quán)、權(quán)值優(yōu)化，并將最后的加權(quán)特征集進行l(wèi)ibsvm訓練。利用libsvm的交叉驗證得到model的準確率，并將結(jié)果于測試方案2的結(jié)果進行對比。3.3.3系統(tǒng)方案三測試測試方案5 系統(tǒng)方案三的測試，對1005個樣本進行權(quán)限篩選、特征加權(quán)、權(quán)值優(yōu)化，并對權(quán)限進行分類、分級。其中，權(quán)限分類基于權(quán)限的不同功能；權(quán)限分級基于權(quán)限對Model的影響程度。對于不同的類、級設定一定的閾值，各類、各級權(quán)限的個數(shù)是否超過閾值的邏輯結(jié)果作為額外的特征加入特征矩陣。3.3.4實用性測試測試方案6 360殺毒對比測試，選取一定的樣本，用360殺毒進行檢測，將檢測結(jié)果于測試方案1-5的結(jié)果進行對比。3.4測試過程及數(shù)據(jù)3.4.1測試方案11）測試文件 2）測試過程a)反編譯APK文件:使用Apktool將所有apk文件夾中的文件反編譯，便于提取AndroidManifest.xml。b)使用matrix.py對AndroidManifest.xml中的users-permission標簽進行提取，同時將提取結(jié)果于permission.txt中的95個Android權(quán)限項進行匹配。將95個權(quán)限作為單個樣本的95個特征，樣本使用的權(quán)限對應特征值為1，未使用的對應特征值為0。所有樣本形成的特征矩陣儲存在perMatrix.txt中。（上圖為特征矩陣）c)在matlab中使用importdata()函數(shù)讀取特征矩陣作為訓練集，并根據(jù)樣本黑白屬性建立樣本的標簽集。d)使用libersvm工具箱對樣本訓練集和標簽集進行訓練，使用算法自動尋找使得訓練集交叉驗證所得準確率最高的libsvm參數(shù)。（上圖為自動尋找最優(yōu)參的函數(shù)）3.4.2測試方案21)測試文件2）測試過程（與測試方案1相同）3.4.3測試方案31）測試文件（根目錄）（Xmls目錄）2）測試過程a)使用python的zipfile模塊對apk包進行批量解壓縮，只解壓縮出AndroidManifest.xml文件。b)使用Axmlprinter2對AndroidManifest.xml進行反編譯，使其變?yōu)榭勺x取的形式。c)對每個apk提取AndroidManifest.xml中的users-permission標簽，得到特征矩陣的過程與系統(tǒng)實驗一種的過程相同。d)使用matlab的importdata()函數(shù)對特征矩陣進行讀取，使用sum()函數(shù)統(tǒng)計本次測試中各權(quán)限出現(xiàn)的次數(shù)，將其中不足1%的項剔除。(上圖為權(quán)限頻數(shù)統(tǒng)計結(jié)果)根據(jù)以上結(jié)果，判斷可刪除的特征項如下：v=[179131417192426293133353640414345465052545557606170:7880:85899192];使用以下代碼去除v所標注的特征項light_apk(:,v)=[];訓練集為light_apk。e)對篩選特征后的訓練集進行l(wèi)ibsvm訓練，自動求出最優(yōu)參數(shù)的Model，并將Model的差分驗證準確率與實驗1進行比較。3.4.4測試方案41）測試文件 文件目錄與測試方案3相同，測試樣本集不同。2）測試過程a)使用python的zipfile模塊對apk包進行批量解壓縮，只解壓縮出AndroidManifest.xml文件。b)使用Axmlprinter2對AndroidManifest.xml進行反編譯，使其變?yōu)榭勺x取的形式。c)對每個apk提取AndroidManifest.xml中的users-permission標簽，得到特征矩陣的過程與系統(tǒng)實驗一種的過程相同。d)根據(jù)測試方案3的結(jié)果，直接從訓練集中剔除以下序號的特征項v=[179131417192426293133353640414345465052545557606170:7880:85899192];e)對于剔除后的訓練集采用以下處理：通過對特征頻數(shù)的統(tǒng)計，將特征分為三類：一類為黑白樣本中均頻數(shù)較高且相差不多的特征；二類為黑白樣本中頻數(shù)差距明顯的特征；剩下的特征為第三類。對于三類特征，在一定區(qū)間內(nèi)自動尋找最優(yōu)的三個加權(quán)參數(shù)，使得加權(quán)后的特征矩陣能夠生成達到最高準確率的模型。3.4.5測試方案51）測試文件 與測試方案4相同2）測試過程a)使用python的zipfile模塊對apk包進行批量解壓縮，只解壓縮出AndroidManifest.xml文件。b)使用Axmlprinter2對AndroidManifest.xml進行反編譯，使其變?yōu)榭勺x取的形式。c)對每個apk提取AndroidManifest.xml中的users-permission標簽，得到特征矩陣的過程與系統(tǒng)實驗一種的過程相同。d)通過對特征頻數(shù)的統(tǒng)計，將特征分為三類：一類為黑白樣本中均頻數(shù)較高且相差不多的特征；二類為黑白樣本中頻數(shù)差距明顯的特征；剩下的特征為第三類。對于三類特征，在一定區(qū)間內(nèi)自動尋找最優(yōu)的三個加權(quán)參數(shù)，使得加權(quán)后的特征矩陣能夠生成達到最高準確率的模型。e)再次通過對特征頻數(shù)的統(tǒng)計，將特征分為三級:第一級為超過40%樣本使用的特征；第二級為超過10%樣本使用的特征；剩下的特征為第三級。對三級特征的統(tǒng)計結(jié)果提供三個額外的特征項進行表示，通過對于各級設置閾值，樣本當級特征數(shù)量超過閾值，即將特征項值置為1，反之為0。f)通過對apk權(quán)限說明的分析，將其分為三類:第一類為高威脅系統(tǒng)權(quán)限；第二類為高威脅硬件權(quán)限；剩下的權(quán)限為第三類。類似e）中的方法設置閾值和額外的特征項g)對增加特征、加權(quán)后的特征集，進行l(wèi)ibsvm訓練，得到最終的分類模型。3.4.6測試方案6對4000個樣本apk，用本系統(tǒng)的方案和360殺毒同時檢測，觀察結(jié)果。3.5結(jié)果分析3.5.1測試方案1結(jié)果：交叉驗證準確率達到95%結(jié)論：由于樣本較少，尤其是白樣本的普遍性較低，雖然交叉驗證準確率較高，但是實際應用中的準確率并不理想。3.5.2測試方案2結(jié)果：交叉驗證準確率為87%結(jié)論：由于樣本較多，但樣本質(zhì)量不算最佳，交叉準確率比測試方案1相對降低，但是實際應用中的準確率更高。3.5.3測試方案3結(jié)果：準確率完全達到測試方案1的水平結(jié)論：篩選特征成功，去除的近一半特征并沒有對模型產(chǎn)生過大影響，但是可能和樣本數(shù)量不多有關(guān)。3.5.4測試方案4結(jié)果：交叉驗證準確率為90%結(jié)論：準確率較測試方案2有所提升，證明了加權(quán)方案的有效性。3.5.5測試方案5結(jié)果：交叉驗證準確率為87%結(jié)論：準確率較測試方案2、4沒有明顯的提升，說明創(chuàng)新性的分級、分類處理尚未達到最佳，也可能是沒有調(diào)整好額外特征權(quán)值以及閾值的因素。有待后續(xù)工作的優(yōu)化和加強。3.5.6測試方案6結(jié)果：360殺毒的報警率為5%，本系統(tǒng)為11%結(jié)論：本系統(tǒng)相較360殺毒能檢測出更多的疑似惡意軟件，但是其中可能存在虛報和預警。創(chuàng)新性說明4.1對Apk權(quán)限特征采取加權(quán)處理 對于Android系統(tǒng)下的95個權(quán)限項，其本身在功能性上存在一定差異性。如“允許程序?qū)懚绦拧?、“運行程序訪問聯(lián)系人通訊錄”之類的權(quán)限，顯然在Android應用的安全性上具有很大的決定性作用；與此同時，95個權(quán)限項中又有許多權(quán)限很少被使用或者僅有特定的程序才會進行使用。針對Android系統(tǒng)權(quán)限的這一特性，本系統(tǒng)在基于權(quán)限分析的Android惡意軟件監(jiān)測方案中，使用Apk文件的permission特征組成特征矩陣，并且對特征矩陣進行篩選、加權(quán)、優(yōu)化權(quán)值的處理，進而提高了檢測模型的準確率。4.2對Apk權(quán)限特征進行基于統(tǒng)計的拓展 離散的Apk權(quán)限特征所能表達的意義十分有限，雖然機器學習算法在對大量樣本進行學習后已經(jīng)能夠達到一個較高的判斷準確率，但是如果不克服Apk權(quán)限特征本身的局限性，僅僅依靠基于權(quán)限的預測很難進一步提高準確率。針對這種現(xiàn)象，本系統(tǒng)試圖通過對Apk權(quán)限特征的分類、分級，并增加基于閾值的統(tǒng)計特