新的技术目标C代码，以发现，包含恶意软件攻击

北卡罗来纳州立大学(North Carolina State University)的研究人员开发了一种新工具，可以检测并包含试图对安卓设备进行根治攻击的恶意软件。该工具改进了以前的技术，将目标锁定在C语言编写的代码上——C语言经常被用来创建根攻击恶意软件，而大多数Android应用程序都是用Java编写的。

Root漏洞会接管操作系统(如Android)的系统管理功能。一个成功的Android root漏洞可以有效地让黑客不受限制地控制用户的智能手机。

新的安全工具称为实用的根攻击遏制(PREC)。它改进了一种名为异常检测的现有技术，这种技术可以比较下载的智能手机应用程序(或应用程序)的行为，比如愤怒的小鸟(Angry Birds)，并将其与应用程序应该如何运行的数据库进行比较。

当检测到偏离正常行为时，PREC会分析它们，以确定它们是恶意软件还是无害的“误报”。如果PREC确定应用程序正在尝试利用根资源，它将有效地包含恶意代码并阻止其执行。

“异常检测并不是什么新鲜事，它在报告大量误报的历史上也有问题，”威尔·恩克博士说，他是北卡罗来纳州立大学计算机科学助理教授，也是一篇有关这项工作的论文的合著者。“让我们的方法与众不同的是，我们只专注于C代码，这是大多数(如果不是全部的话)Android根漏洞的编写。”

“采用这种方法大大减少了误报的数量，”北卡罗来纳州立大学计算机科学副教授、论文的合著者Helen Gu博士说。“这减少了对用户的干扰，使异常检测更加实用。”

研究人员希望与应用程序供应商合作，如谷歌Play，以建立一个正常应用程序行为的数据库。

大多数应用程序供应商会对他们的产品进行筛选，以防止恶意软件的出现，但恶意软件程序员已经开发出了一种技术来避免检测——在用户下载应用程序并在智能手机上运行之前，隐藏恶意软件。

北卡罗来纳州的研究团队希望利用现有供应商的筛选工作，创建每个应用程序的正常行为的数据库。这可以通过让供应商将PREC软件整合到他们的应用程序评估过程中来实现。该软件将获取应用程序的行为数据，并创建一个外部数据库，但不会影响筛选过程。

“我们已经实现了PREC系统，并在真正的Android设备上进行了测试，”Gu说。“我们现在正在寻找行业合作伙伴来部署PREC，这样我们就可以保护Android用户免受根本漏洞的侵害。”

这篇论文，“PREC: Android设备的实用根漏洞遏制”，将在3月3-5日在德克萨斯州圣安东尼奥举行的第四届ACM数据和应用安全与隐私会议上发表。论文的主要作者是前北卡罗莱纳州研究生何宗宣。这篇论文的合著者是北卡罗来纳州立大学古博士实验室的博士生丹尼尔·迪恩(Daniel Dean)。

这项工作得到了国家安全局(National Security Agency)的支持;美国陆军研究办公室授予W911NF-10-1-0273;国家自然科学基金资助CNS-1149445、CNS-1253346和CNS-1222680;IBM教员奖和谷歌研究奖。

希普曼-

编辑:论文摘要如下。

PREC: Android设备的实用根漏洞遏制

作者:何宗轩，丹尼尔J.迪恩，顾晓辉，威廉恩克，北卡罗莱纳州立大学

提出了: 3月3-5日，在美国德克萨斯州圣安东尼奥举行的第四届ACM数据与应用安全与隐私会议上。

文摘:像谷歌Play Store和苹果App Store这样的应用市场已经成为向移动设备分发软件的实际方法。虽然官方市场投入了大量资源来检测恶意软件，但最先进的恶意软件检测可以很容易地通过逻辑炸弹或模拟环境的检查来规避。我们提出了一个实用的根攻击遏制(PREC)框架，它保护用户免受这种有条件的恶意行为。PREC可以动态地识别来自高风险组件(例如，第三方本机库)的系统调用，并在独立的线程中执行这些系统调用。因此，PREC可以在对良性应用施加低干扰的同时，高精度地检测和阻止根漏洞的利用。我们已经实现了PREC，并在140个最流行的良性应用程序和10个root exploit恶意应用程序上评估了我们的方法。结果表明，PREC能够成功地检测和停止所有被测试的恶意软件，并且与传统的恶意软件检测算法相比，其误报率降低了一个以上的数量级。PREC是轻量级的，这使得它适用于运行时设备上的根攻击检测和遏制。