基于靜態分析的TVOS惡意應用檢測方法研究

曹 咪， 王繼剛， 王 偉， 邵 坤， 何永忠

(1.北京交通大學 智能交通數據安全與隱私保護技術北京市重點實驗室 北京 100044;2.中興通訊股份有限公司 技術規劃部 江蘇 南京 210012)

0 引言

TVOS是我國廣電總局科技司組織研發的一款新型智能電視操作系統，目的是實現智能電視操作系統的自主安全，增強廣播電視的信息安全管控能力.TVOS與Android相比，具備Android的基本功能，其采用“墊片”機制，實現了對Android應用的兼容.圍繞TVOS，可以建立與Android一樣的生態系統，由于TVOS中加入了更多的組件，能夠支持比Android更豐富的功能，如DTV、DCAS等與數字電視相關的服務，具有面向廣電行業及媒體融合的特點.TVOS制定了全局的安全管理框架，采用多種安全技術手段，實現TVOS系統安全的全局防控，形成了硬件安全、軟件安全、網絡安全、數據安全、應用安全等全方位的安全防護能力[1].智能電視的快速發展激活了應用開發市場，2016年TV端應用分發量比2015年增長了近10倍，與此同時，智能電視平臺的惡意軟件數量也大幅增長.另外，由于TVOS完全兼容Android應用，針對Android手機的惡意應用也有可能被用來針對智能電視.目前，智能電視應用安全的研究，仍然處于起步階段，其安全防御水平遠遠落后于智能手機和桌面計算機，使得智能電視很容易成為網絡犯罪分子新的攻擊目標.

針對TVOS惡意應用檢測的問題，本文進行了深入研究.由于當前TVOS應用商店中的應用多為Android應用，本文主要研究了TVOS上Android應用的惡意應用檢測方法.本文以應用的特征為基礎，全面分析了TVOS應用與Android應用的差異；提取了TVOS應用的11類特征， 并提出了基于支持向量機、邏輯回歸、決策樹、隨機森林的4種TVOS惡意應用檢測方法；以真實的歡視網應用市場的所有應用為基礎，做了大量的實驗，實驗結果證明，本文基于支持向量機的惡意應用檢測方法效果良好，準確率達到98.67%.

1 基于靜態特征的TVOS應用分析與惡意應用檢測方法

目前Android惡意應用檢測有較多的研究成果，大量企業、研究院和高等院校也進行了更加深入的研究.靜態分析是惡意應用檢測的重要方法.許多靜態特征，如權限[2-8]、意圖[9-10]、API調用[11-14]、進程間通信(IPC)[7]、代碼語義[12，15-16]、字符串[17]、組件[18-19]或其中某些特征的組合[20-24]等已被用于惡意應用檢測當中.本文在Android惡意應用檢測相關研究的基礎上，基于靜態特征分析TVOS應用并研究TVOS惡意應用檢測方法.本文的具體實驗方法及過程如圖1所示.

圖1 TVOS應用分析與惡意應用檢測方法及過程Fig.1 The methods and process for vetting TVOS apps and detecting malicious apps

首先，下載并收集實際的TVOS應用和Android應用，提取所有應用的特征并對特征進行量化分析比較；其次，檢測并標定TVOS應用，對TVOS應用進行特征提??；再次，量化分析比較TVOS正常應用與惡意應用的特征，并將應用特征轉化為特征矩陣，使用支持向量機(SVM)、邏輯回歸(LR)、決策樹(DT)及隨機森林(RF) 4種檢測方法對應用進行檢測；最后，深入分析檢測結果，討論本文中基于靜態特征的TVOS惡意應用檢測方法的可行性與局限性.

1.1 TVOS應用標定方法

本實驗使用防病毒引擎VirusTotal(https://www.virustotal.com)在線服務對所有應用進行檢測，標定正常應用和惡意應用.本文中正常應用和惡意應用的標定方法如下.

定義1正常應用：檢出率<1/58，至少有57家防毒軟件報告了檢測結果，且均未檢出任何后門、木馬等惡意代碼的應用標定為正常應用.

定義2惡意應用：檢出率>30/60，至少有30家防毒軟件報告出了惡意檢測結果，或檢出應用程序中包含后門、木馬、勒索欺詐、間諜程序等惡意代碼的應用標定為惡意應用，如檢出者為Android.Trojan.Slocker、Android.Trojan.Adwo、Android.Exploit.Lootor.D、Android.Riskware.Agent、Andr.Exploit.CVE_2014_7911-1等.

為了保證應用質量，本文對應用進行了兩輪篩選，兩輪均滿足正常應用標定要求的應用標定為正常應用，均滿足惡意應用標定要求的應用標定為惡意應用，兩輪篩選分別于2016年11—12月和2017年2—3月進行.

1.2 特征提取及特征分析

本文提取了所有應用的11種靜態特征，分別為：Permissions、Filtered Intents、Restricted API Calls、Components、Code Related Features、Payload Information、Certificate Information、Strings、Used Permissions、Hardwares及Suspicious API Calls[20-22]，并對歡視網(http://app.tvhuan.com)的所有3 425個TVOS應用與55 819個Android應用的每種特征進行了量化分析.同時也對TVOS應用和Android應用做了分類比較，分別為游戲應用和影視應用，用來發現特征在類別上的差異.本文也對TVOS應用的11種靜態特征進行了進一步的分析，對TVOS正常應用和惡意應用的特征進行了比較.比較結果將在2.2節進行詳細介紹.

1.3 檢測方法

本文基于TVOS應用的特征，使用支持向量機、邏輯回歸、決策樹及隨機森林4種檢測方法對TVOS應用進行檢測.

支持向量機是一種二類分類模型，其基本模型定義為特征空間上的間隔最大的線性分類器，支持向量機在解決小樣本、非線性及高維模式識別中有許多特有的優勢，可以分析數據，識別模式，用于分類和回歸分析.

邏輯回歸是一種通過歷史數據的表現對未來結果發生的概率進行預測的分類方法.對于分類問題，首先建立代價函數，通過優化方法迭代求解出最優的模型參數，然后測試驗證求解模型的好壞，可用于各種分類判別和預測.

決策樹算法是一種逼近離散函數值的方法.首先對數據進行處理，利用歸納算法生成可讀的規則和決策樹，然后使用決策樹對新數據進行分析.決策樹是一個預測模型，代表對象屬性與對象值之間的一種映射關系，用于數據分析和預測.

隨機森林是一個包含多個決策樹的分類器，其輸出的類別由個別樹輸出的類別的眾數而定.隨機森林算法較好地解決了單分類器在性能上無法提升的瓶頸，具有較好的性能，能應用于各種分類篩選和預測.

2 實驗及結果分析

2.1 實驗數據集

本實驗共下載收集了62 235個應用，其中包含6 416個智能電視應用和55 819個Android手機應用(分別收集于2016年2—12月及2017年4—6月)，所下載應用的詳細來源及數量情況如表1所示.

表1 實驗所下載應用來源及數量情況

本文以TVOS的典型應用市場歡視網應用市場為例，下載了歡視網應用市場中的所有應用作為TVOS應用，歡視網應用市場是歡網科技的官方應用市場，歡網科技是目前國內最大的智能電視服務商，河南省廣電、江蘇省廣電、新疆維吾爾自治區廣電、秦皇島廣電、歌華有線、陜西省廣電等多家廣電與歡網科技合作共建TVOS應用商店，歡視網應用市場中的部分智能電視應用已經運行于TVOS系統之上，歡視網應用市場對TVOS應用商店具有很強的代表性.H.TV(http://www.htvmarket.com/webMain.isp)是專門散布包含ANDROIDOS_ROOTSTV.A等惡意程序的智能電視應用市場，本文下載了H.TV應用市場中的所有應用，用于發現并收集智能電視惡意應用.當貝市場(http://down.znds.com)是具有代表性的Android智能電視應用市場，由于TVOS系統完全兼容Android應用，故當貝市場的所有應用均適用于TVOS，本文下載并檢測了當貝市場中的所有應用，使用其中的部分惡意應用評估本文惡意應用檢測方法的有效性.通過GitHub(http://github.com)搜索收集了21個智能電視勒索軟件樣本，也作為本文的惡意應用樣本.安智市場(http://www.anzhi.com)是國內最專業的Android手機應用市場，具有海量的Android手機應用，本文將安智市場所有類別的1/4應用用于實驗(本文所述Android應用均表示Android手機應用).實驗所用應用涵蓋了以上各個應用市場所有類別的應用，保證了應用的全面可靠.

本文將歡視網應用市場的3 425個應用與安智市場的55 819個應用進行了特征的比較，使用1 438個應用進行惡意應用檢測方法的研究.1 438個應用中正常應用的數量為1 288個.惡意應用的數量為150個，分別來源于歡視網應用市場(84個)、H.TV應用市場(14個)、當貝市場(31個)及GitHub網站(21個).所有正常應用和惡意應用均符合相應的標定要求.

圖2 不同類別應用所占比例情況Fig.2 The ratio of different application categories between TVOS and Android

2.2 特征對比及結果分析

本文對應用特征進行了大量的分析和比較，實驗發現TVOS應用和Android應用在多個方面存在差異.不同類別的應用所占應用市場的數量比例差異較大，相同類別應用的特征也存在不同程度的差異.

由于智能電視和智能手機在使用環境及使用人群上的側重點有所不同，比如智能電視多固定在家庭、辦公區等場所，智能手機多為隨身攜帶，智能電視多針對家庭使用，而手機多針對個人使用等，導致智能電視和智能手機對不同類別的應用有不同程度的需求，所以智能電視應用和智能手機應用在各個類別上的比例差異較大.圖2顯示了歡視網應用市場與安智市場不同類別的應用所占市場比例的對比情況.

由于智能電視和智能手機在功能和交互方式上的側重點有所不同，比如智能電視側重于家庭共享，智能手機更側重于人機交互，智能電視多用遙控器或游戲手柄進行操作，而智能手機多使用觸屏操作，使得即使是相同類別的應用在相同特征上的使用頻率和數量也存在差異，對于不同的類別，差異情況也有所不同.本文對游戲類別的應用和影視類別的應用做了特征的詳細分析和對比，圖3和圖4分別顯示了游戲應用和影視應用在9種特征上的對比情況，由圖3和圖4可以看出，游戲類別的應用特征差異較為明顯.圖5以游戲應用的Hardwares特征為例，顯示了TVOS智能電視應用與Android手機應用在具體特征上細化的差異.

圖3 游戲應用特征對比情況Fig.3 The number of features on game apps

圖4 影視應用特征對比情況Fig.4 The number of features on video apps

圖5 游戲應用Hardwares特征使用情況Fig.5 Occurrence percentage of Hardwares features of game category in TVOS apps and Android apps

另外，本文也對TVOS正常應用和惡意應用進行了特征分析和特征對比.總的來說，正常應用和惡意應用所請求的特征數量和具體類型均存在差異，惡意應用對特定的特征集的請求率普遍較高，并且存在一些特征是惡意應用所特有的，這些特征集有利于我們區分特征明顯的正常應用和惡意應用.通過大量的對比分析，本文選取Permissions、Restricted API Calls、Components、Code Related Features、Strings、Used Permissions、Hardwares、Suspicious API Calls 8種特征用于惡意應用檢測，相較于DREBIN中使用的特征，本文去掉了Filtered Intents特征，加上了Code Related Features特征，實驗結果表明，本文的方法對于TVOS惡意應用檢測更為有效，惡意應用與正常應用的Code Related Features對比情況如圖6所示.

圖6 TVOS應用Code Related Features特征使用情況Fig.6 Occurrence percentage of Code Related Features in TVOS benign apps and malware apps

表2 4種檢測方法及與DREBIN對比的檢測結果

2.3 檢測結果及分析

本文基于4種檢測方法對TVOS應用進行了檢測，表2顯示了4種方法的檢測結果.由表2可以看出，基于SVM的檢測方法的準確率最高，在FPR為0.54%的情況下準確率達到98.67%，相比DREBIN的檢測效果更好.SVM、LR、DT、RF 4種檢測方法的AUC值分別為99.88%、99.76%、99.80%、99.58%，SVM檢測方法的AUC最高，結合準確率和AUC可知，基于SVM的TVOS惡意應用檢測方法的效果最好.為公平比較4種檢測方法，本文的檢測結果均來自10重交叉驗證.下面分析討論實驗方法的可行性與局限性.

方法的可行性.首先，本文選取具有代表性的歡視網應用市場的所有應用進行實驗，保證應用的豐富性和可靠性.通過對應用進行兩輪高標準的篩選，保證應用分類的準確性和可靠性.其次，通過TVOS惡意應用與正常應用的特征統計情況，可以發現惡意應用和正常應用對相同類型不同特征的請求，情況差異明顯，對不同類型不同特征的請求，情況差異更大，使用上述8類靜態特征對應用進行建模分析，可以有效區分特征明顯的正常應用和惡意應用.最后，使用4種檢測方法對TVOS應用進行檢測，基于SVM的檢測方法準確率達到98.67%，實驗結果證明，本文的惡意應用檢測方法可行有效，效果良好.

方法的局限性.首先，存在一些惡意應用并不需要太多的特征請求即可實施惡意行為，由此檢測到的惡意應用的特征與正常應用并無太大差別，從而影響檢測精度.據實驗統計結果發現，惡意應用各類特征的平均請求數量均高于正常應用.如果實驗中惡意應用請求的特征數量明顯低于正常應用請求的平均特征數量，在這種情況下，檢測方法不能產生穩定的結果，就會導致漏報惡意應用.其次，一些正常應用在開發過程中被加入了過多的請求，有些請求并不真正需要或者并不被真正使用，導致從這些正常應用提取出的特征數量超過正常應用的一般水平，從而影響檢測精度.另外，惡意應用檢測所使用的TVOS應用特征總量為41 381個，而實驗中使用的所有應用的平均特征數量為180個，41 381維特征向量十分稀疏，而且實驗所用的特征向量為布爾類型，使得稀疏矩陣向量不足以全面描述應用程序的行為，這也增加了惡意應用檢測的難度.

3 總結

本文通過分析比較TVOS應用和Android應用，發現TVOS應用和Android應用的各種特征在數量和類別上均存在一定程度的差異，研究有效針對TVOS的惡意應用檢測方法，有助于更大程度保障TVOS應用商店中應用的安全.通過使用4種檢測方法對TVOS應用進行檢測，實驗結果表明，本文基于SVM的惡意應用檢測方法在誤報率為0.54%的條件下，能夠有效檢測出98.67%的潛在惡意應用.

隨著廣電總局對TVOS智能電視操作系統的大力推進，TVOS惡意應用檢測方法的研究將成為TVOS推進中的重要一環.隨著惡意應用的日益復雜化和多態化，下一步我們還將提取更多的有效特征和方法來提高惡意應用的檢測準確率.