1、隨著智能移動平臺的飛速發(fā)展，智能手機開始成為人們日常生活中不可或缺的一部分。因此，越來越多的用戶隱私軟件和信息（如手機銀行、移動支付等）開始在手機端富集。然而，移動端的安全性卻不容樂觀。惡意軟件隨著智能手機的普及迅速發(fā)展并在數(shù)量上以驚人的速度增長。在智能機時代，惡意軟件無論是從質量上還是數(shù)量上均全面超越了功能機時代，成為了智能移動終端發(fā)展的最大隱患。
　　目前移動操作系統(tǒng)多使用基于應用的權限授予機制。未被授權的應用將不能訪問被保護

2、的安全組件以及用戶數(shù)據(jù)。然而，基于應用的權限授予擁有天然的安全問題。首先，靜態(tài)權限缺乏詳細的解釋，普通用戶很難理解權限的確切含義;其次，可能由于多個正?；驉阂鈶没ハ啻óa(chǎn)生權限擴大攻擊(PermissionEscalation Attack)。最后，重打包應用和間諜軟件同時具有正常和惡意功能，用戶難以辨識。這些問題的核心是權限授予的主體描述能力不足，用戶難以靜態(tài)判斷是否應授予權限。
　　對于惡意應用，現(xiàn)有惡意代碼往往不是單獨出現(xiàn)

3、的，更多的情況是惡意代碼感染了正常程序，從而形成惡意重打包應用。重打包應用同時具有正常程序的功能和惡意行為。與此類似，灰件和間諜軟件的泛濫模糊了惡意應用的邊界。這些應用表面上具有正常的功能，然而會在后臺收集用戶的隱私數(shù)據(jù)和操作。因此，僅僅基于現(xiàn)有的安全體系架構，用戶完全無法分辨新安裝軟件是否應被授予所申請的權限。因為應用一旦獲得權限，所有的組件和代碼（正常和惡意）均可以使用該權限。
　　針對上述移動安全問題，本文提出了一種新的基于

4、事件流的移動平臺惡意行為檢測技術。相比于傳統(tǒng)的基于應用惡意評判粒度，本文使用程序行為作為權限授予與惡意判斷的單位。程序行為是指應用中由某一事件觸發(fā)的一系列事件處理函數(shù)的執(zhí)行過程。由于移動平臺事件驅動的特性，所有的應用程序代碼都將由事件觸發(fā)。除此之外，程序行為上下文是應用程序行為的綜述，可以讓用戶清楚地查看該行為詳細內容。它包括了本次行為的起因（由什么事件觸發(fā)）、經(jīng)過（調用了哪些函數(shù)、訪問了什么隱私數(shù)據(jù)）以及結果（最終處理的數(shù)據(jù)流向）。通

5、過閱讀“行為上下文”，用戶可以清楚地知道此次應用行為的詳情，并據(jù)此對應用的這次行為進行判定。
　　基于上述概念和理論，本文在Android系統(tǒng)上實現(xiàn)了動態(tài)惡意檢測系統(tǒng)EventChain。它能夠追蹤應用程序行為構建事件流，并跨線程、進程傳播事件流上下文。當應用違反了預先設定好的安全策略時，EventChain會向用戶報警，并提供當時的事件流上下文供用戶評判。作為動態(tài)惡意檢測系統(tǒng)，EventChain在計算密集型測試用例中引入了小于