Droidmat
Páginas: 6 (1281 palabras)
Publicado: 27 de diciembre de 2012
Teniendo en cuenta la expansión de los terminales móviles basados en Android y la simultánea proliferación de malware para este tipo de dispositivos, es imperativa la necesidad de sistemas específicos que garanticen la seguridad de la información que almacenan nuestros terminales. Las herramientas de seguridad existentes basadas en el análisis dinámico suponen altos costes de desarrollo además deimportantes esfuerzos en investigación. Por este motivo, en este artículo se propone como alternativa la herramienta DroidMat, basada en el análisis estático de características para la detección de malware Android.
Actualmente Android es la plataforma de aplicaciones móviles de mayor crecimiento del mercado, tres veces la tasa del crecimiento del Apple App. Store, lo cual supone una granatractivo para los desarrolladores de malware. En concreto, el mercado de aplicaciones móviles Google Play realiza una detección pasiva de malware en las aplicaciones que ofrece, cuya seguridad reside en la experiencia de los usuarios. Según esta estrategia, los usuarios de aplicaciones de Google Play informarán de las aplicaciones que contienen malware basándose en su experiencia, alertando a laplataforma Google Play que eliminará la aplicación de su catálogo.
Teniendo en cuenta que el modelo de seguridad de Android consiste principalmente en un mecanismo basado en permisos, las aplicaciones instaladas en los terminales solicitan a los usuarios una autorización genérica para ejecutarse, carente de información adicional. Los usuarios, por tanto, desconocen el propósito y alcance de lasactividades de la aplicación en su terminal, lo cual supone un gran riesgo.
En este estudio, se propone un mecanismo de análisis estático basado en características para la detección de malware en aplicaciones Android. Se consideran las siguientes características: permisos, despliegue de componentes, paso de mensajes y llamadas a API para la caracterización del comportamiento de aplicaciones Android. Seutilizarán diferentes técnicas de clustering para el reconocimiento de distintos comportamientos de malware, por ejemplo K-means y kNN.
Se postulan distintas alternativas en el ámbito de la detección de malware. Por una parte, la detección de abusos se basa en la detección de patrones de malware por medio de un conjunto de normas o políticas, y tiene como principal inconveniente que no esaplicable a nuevo malware e implica la ampliación de los patrones que es capaz de detectar. Existen soluciones híbridas, como DroidRanger, capaces de detectar nuevo malware, que quedan fuera del ámbito de este documento.
Otra mecanismo alternativo para la detección de malware se basa en la aplicación de técnicas de aprendizaje automático para el conocimiento del comportamiento del malware existente.Este tipo de técnicas permiten también la detección de malware desconocido aunque con el inconveniente de la detección de falsos positivos. Algunos ejemplos de estas técnicas consisten en el estudio del consumo de batería, las llamadas al sistema relacionadas con los eventos a través de la interfaz de usuario y la extracción de permisos críticos entre otras.
El análisis de malware se basa entres tipos de características: dinámicas, estáticas e información adicional.
En el caso de las características dinámicas, se proponen las siguientes: secuencia de comportamiento registrado, llamadas al sistema, contaminación dinámica del flujo de datos y control y el consumo de energía entre otros.
El análisis estático de características, frente al análisis dinámico, proporciona ventajas en cuantoa coste y mejora el rendimiento. Algunas de las características empleadas en este tipo de análisis son las siguientes: permisos solicitados, paquetes importados, llamadas a la API, instrucción (Opcode), flujo de datos y control.
Por otra parte, además de las características dinámicas y estáticas, existe otro tipo de información relevante que no pertenece a la aplicación en sí. Los datos sobre...
Actualmente Android es la plataforma de aplicaciones móviles de mayor crecimiento del mercado, tres veces la tasa del crecimiento del Apple App. Store, lo cual supone una granatractivo para los desarrolladores de malware. En concreto, el mercado de aplicaciones móviles Google Play realiza una detección pasiva de malware en las aplicaciones que ofrece, cuya seguridad reside en la experiencia de los usuarios. Según esta estrategia, los usuarios de aplicaciones de Google Play informarán de las aplicaciones que contienen malware basándose en su experiencia, alertando a laplataforma Google Play que eliminará la aplicación de su catálogo.
Teniendo en cuenta que el modelo de seguridad de Android consiste principalmente en un mecanismo basado en permisos, las aplicaciones instaladas en los terminales solicitan a los usuarios una autorización genérica para ejecutarse, carente de información adicional. Los usuarios, por tanto, desconocen el propósito y alcance de lasactividades de la aplicación en su terminal, lo cual supone un gran riesgo.
En este estudio, se propone un mecanismo de análisis estático basado en características para la detección de malware en aplicaciones Android. Se consideran las siguientes características: permisos, despliegue de componentes, paso de mensajes y llamadas a API para la caracterización del comportamiento de aplicaciones Android. Seutilizarán diferentes técnicas de clustering para el reconocimiento de distintos comportamientos de malware, por ejemplo K-means y kNN.
Se postulan distintas alternativas en el ámbito de la detección de malware. Por una parte, la detección de abusos se basa en la detección de patrones de malware por medio de un conjunto de normas o políticas, y tiene como principal inconveniente que no esaplicable a nuevo malware e implica la ampliación de los patrones que es capaz de detectar. Existen soluciones híbridas, como DroidRanger, capaces de detectar nuevo malware, que quedan fuera del ámbito de este documento.
Otra mecanismo alternativo para la detección de malware se basa en la aplicación de técnicas de aprendizaje automático para el conocimiento del comportamiento del malware existente.Este tipo de técnicas permiten también la detección de malware desconocido aunque con el inconveniente de la detección de falsos positivos. Algunos ejemplos de estas técnicas consisten en el estudio del consumo de batería, las llamadas al sistema relacionadas con los eventos a través de la interfaz de usuario y la extracción de permisos críticos entre otras.
El análisis de malware se basa entres tipos de características: dinámicas, estáticas e información adicional.
En el caso de las características dinámicas, se proponen las siguientes: secuencia de comportamiento registrado, llamadas al sistema, contaminación dinámica del flujo de datos y control y el consumo de energía entre otros.
El análisis estático de características, frente al análisis dinámico, proporciona ventajas en cuantoa coste y mejora el rendimiento. Algunas de las características empleadas en este tipo de análisis son las siguientes: permisos solicitados, paquetes importados, llamadas a la API, instrucción (Opcode), flujo de datos y control.
Por otra parte, además de las características dinámicas y estáticas, existe otro tipo de información relevante que no pertenece a la aplicación en sí. Los datos sobre...
Leer documento completo
Regístrate para leer el documento completo.