国家自然科学基金

  面向移动计算基于进程代数和协同信任机制的软件行为分析与判定

                                        61772450

Software Behavior Analysis and Judgement based on Process Algebra and Coordination Trust for Mobile Computing

                   申利民、尤殿龙、马川、陈真、李晖、孙中魁、李兆恩

                              2018.01-2021.12

     针对移动计算中现有的分析和判定方法还无法检测和判定大量的可疑行为和不确定行为、还不能完全满足阻止移动端向关键应用系统的发动攻击的问题，提出一种基于进程代数和协同信任机制的软件行为分析与判定方法和技术。利用进程代数对移动终端上的软件行为进行形式化建模和描述，提取出行为语义，得到行为的本质抽象，利用进程代数的推理和演算机制实行行为推理判定；利用协同机制收集软件行为在各移动终端上的表现，基于动态信任管理机制将行为的客观判定结果和主观判定结果转换为信任证据，使用汇聚移动终端、软件及行为表现的协同信任度判定可疑行为和不确定行为的性质。所提出方法和技术是增强移动计算中软件及相关应用系统可生存性的有效手段，研究成果有助于揭示面向移动计算软件行为分析与判定规律，为开发新型监控软件提供理论和技术依托.

                               问题的提出和研究的意义

     随着移动计算的广泛应用，移动互联网、传感网、Ad-hoc、物联网以及各种信息处理终端融合到以Internet为主的网络中。在联网设备中，PC所占份额越来越少,大量的移动终端和设备融入到各种信息系统中, 成为金融、税务、工商、交通、公安、石油、电力、数字化单兵等关键应用系统中必不可少的部分。移动终端上的软件正呈现疯狂性增长态势，且与这些关键应用系统休戚相关、不可分割。同时，恶意软件制作者、黑色产业从事者、外部敌对势力和内部不满人员将邪恶的矛头从传统网络服务器刺向移动终端，攻击移动终端并通过移动终端对关键应用系统发动攻击。  

     Motive Security Labs发布的恶意软件分析报告及Nokia Threat Intelligence Laboratories发布的威胁情况报告指出, 2015年上半年，受恶意软件感染的移动手机感染率为0.75%，相比2014年的0.68%，增长了0.07%。2016年上半年，智能手机的平均每月感染率增加到0.49％，比上年同期增长了98％，2015年下半年月平均感染率为0.25％，仅Android恶意软件样本的数量到2016年上半年增长了75％。根据CNNIC《2015年中国手机网民网络安全状况报告》和360互联网安全中心发布的《2016年中国手机安全状况报告》，截至2015年12月，国内手机网民规模达6.2亿，手机网民已经占到整体网民的90.1%。其中95.9%的网民遇到手机信息安全事件。2016年全年，360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个，平均每天新增3.8万恶意程序样本。

   在面临的诸多安全隐患当中，恶意软件造成的危害占据了绝大多数，增幅位居所有类型安全问题的前列。移动终端上恶意软件越来越多，不仅危害到移动设备安全、用户隐私财产安全也危害到了与其关联的关键应用系统的安全。如何保护移动设备及与其关联的关键应用系统的安全是学术界和产业界所关心的重点问题，它们都处在不安全的运行环境中，其安全性和可生存性受到如下几方面的挑战。

    (1) 移动智能终端更容易被攻击  移动智能终端使用频率非常高，无限连接，实时在线，随身携带，恶意程序能够通过第三方应用商店、手机论坛、二维码、网盘等多种方式进行传播。又由于移动终端的动态性、无边界性、处理能力弱、容量有限等固有特点使传统的安全方法和技术有效性大大降低。

    (2) 修补漏洞变得困难    移动智能终端的操作系统版本众多、软硬件种类繁杂，品牌各异、缺乏一致性，并且都拥有一定市场，使得修补漏洞难度和工作量增大，要开发面对各种设备、各种版本的移动操作系统的安全软件，需要花费大量的时间、人力、物力和财力，立即整改所有版本的代码根本不可能。

     (3) 移动终端被控制危害更大  当移动终端作为关键应用系统的终端，一旦被恶意软件、恶意的应用人员控制，可被用来通过网络远程管理、控制系统的运行。这种攻击方式更容易避开单位和现场的监视，为恶意攻击和破坏提供了便利条件，危害更大。

    (4) 协同共谋攻击的出现  攻击不再局限于单一和孤立的入侵和攻击行为，复合攻击、多线程攻击、分布式入侵、群体协同攻击已经出现^[3]，单个孤立程序的行为不会对系统安全造成威胁，但是几个并发程序的共同作用可能会产生严重的后果^[4]，传统的漏洞检测、隐私检测等手段难以应付这类多个应用关联的攻击。

    (5) 隐蔽攻击的出现   攻击隐藏在合法的操作和请求之中,不仅使安全和防护措施失效，而且常常是通过影响系统正确性、完整性、一致性和实时性来达到恶意目的。

     目前，一般的应对措施是依靠移动安全产品和移动系统自身的权限控制机制。权限机制采取粗粒度系统资源访问控制，难以有效应对恶意代码攻击。常见的移动安全防护软件有360手机卫士、百度手机卫士、LBE安全大师、腾讯手机管家等安全产品，具有骚扰拦截、扣费软件扫描、垃圾清理、手机加速、流量监控、应用管理等功能，起到了手机辅助管理和应对已知恶意代码的作用，可以实现对已知恶意代码的高覆盖性检测，技术成熟，并得到了很好的应用，在一定程度上保护了移动终端和应用系统的安全，但它们存在如下局限性：

    （1）缺乏应对未知攻击的有效方法  目前广泛采用的检测技术是高效特征码匹配技术，实现了对已知恶意代码的高覆盖性检测，但对未知攻击和可疑行为，无法提供有效的分析和判定方法。

    （2）缺乏协同分析与判定机制  分散在各终端上的防护机构往往都在孤立地进行单点分析与检测，缺乏信息交互、支持和协同，无法分析和判定大量的可疑行为和不确定行为的性质。

    （3）缺乏分析和判定协同隐含攻击的有效技术  很多软件攻击行为是由精英团队精心谋划的，其入侵不再局限于单一孤立的攻击方式，攻击经常隐藏在正常的请求中，针对此类攻击尚缺乏有效的分析和判定技术。

    （4）缺乏对应用系统攻击的防护方法  目前的检测和防护主要针对移动终端本身的信息，对于利用移动终端对关键应用系统进行攻击的研究偏少，没有给出可行的方法。

    （5）缺乏移动软件行为的形式化描述  目前的软件行为判定大都还是基于特例和特征，还没有很好的对软件的行为进行本质抽象和形式化建模，难以进行软件行为自动分析、推理和判定。

     针对上述移动计算中软件行为分析和判定还无法检测和判定大量的可疑行为和不确定行为，还不能完全满足阻止移动端向关键应用系统的发动攻击的问题，提出一种软件行为分析与判定方法与技术，该方法和技术具有如下特点。

    （1）利用进程代数对移动终端上的软件行为进行形式化描述，提取出软件行为本质语义，利用进程代数的推理和演算机制实现行为分析与判定。

    （2）利用协同机制收集软件行为在各移动终端上的表现，基于动态信任管理机制将行为的客观判定结果和主观判定结果转换为信任证据，使用协同信任度判定可疑行为和不确定行为的性质。

     该课题研究的内容尚无完整和成熟的理论和技术，未见对应的商业工具和软件，其中的科学问题需要提炼，核心理论与技术问题尚未解决，研究成果有助于揭示移动终端软件行为分析与判定规律，为增强移动终端及其相关应用系统的安全性和可生存性提供一种新颖有效的方法和手段，为开发新型面向移动计算的检测与防护软件提供理论和技术依托。