Detecção de artaques no Android : um modelo baseado na comunicação entre processos
Autor(a) principal: | |
---|---|
Data de Publicação: | 2021 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Repositório Institucional da UFPR |
Texto Completo: | https://hdl.handle.net/1884/73214 |
Resumo: | Orientador: Carlos Alberto Maziero |
id |
UFPR_1d62b7e39f751c6db0ea20c9df0060c2 |
---|---|
oai_identifier_str |
oai:acervodigital.ufpr.br:1884/73214 |
network_acronym_str |
UFPR |
network_name_str |
Repositório Institucional da UFPR |
repository_id_str |
308 |
spelling |
Lemos, Rodrigo GomesUniversidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em InformáticaLemos, Rodrigo Gomes2022-05-26T19:29:08Z2022-05-26T19:29:08Z2021https://hdl.handle.net/1884/73214Orientador: Carlos Alberto MazieroDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 14/09/2021Inclui referências: p. 65-69Área de concentração: Ciência da ComputaçãoResumo: Atualmente o uso de celulares faz parte do cotidiano das pessoas e como consequência dessa popularização o Android se tornou o sistema operacional mais utilizado no mundo. Nesse contexto, os dispositivos Android são utilizados para conversas particulares, realizar operações bancárias, manter arquivos pessoais, entre outras atividades, se tornando assim um alvo atrativo para ataques hackers e malwares. Essa exposição a ações maliciosas gerou uma maior preocupação com a segurança de dispositivos Android e, consequentemente, ao desenvolvimento de diferentes métodos de proteção para os mesmos. Dentre esses métodos se destacam os sistemas de detecção de intrusão (IDS - Intrusion Detection System), que têm como objetivo identificar ameaças aos dispositivos. Existem diversas abordagens para a detecção de intrusão no Android, que podem ser classificadas em estáticas ou dinâmicas; onde os métodos estáticos têm como objetivo identificar ameaças através da análise dos arquivos de aplicativos sem executá-los e os métodos dinâmicos realizam essa atividade através da análise de dados coletados durante a execução da aplicação analisada. Além disso, uma das medidas de segurança adotada pelo Android é o isolamento de processos, que garante que um aplicativo não tenha acesso aos dados de outro; dessa forma, para que os aplicativos e componentes do Android se comuniquem é utilizado o módulo Binder, que implementa o IPC (Inter Process Communication) controlando toda a comunicação entre processos no Android. Apesar disso, o monitoramento do funcionamento do módulo Binder para detecção de ataques foi pouco explorada na literatura. Dessa forma, este trabalho apresenta uma metodologia para detecção de malware utilizando dados da comunicação entre processos como fonte de dados; esses dados foram coletados através do monitoramento de chamadas de funções do módulo Binder ao se executar a aplicação analisada. Utilizando-se esse mecanismo foi construída uma nova base de dados (AndroBind), que representa o comportamento de aplicações Android referente a comunicação com outros processos. Finalmente, a proposta do trabalho consiste no uso de métodos de aprendizado de máquina para identificar aplicações com comportamentos maliciosos através da base de dados de traços de chamadas de função no Binder construída. O modelo proposto alcançou como resultado uma taxa de identificação superior a 70%, validando assim a proposta. Além disso, também foi apresentada uma análise dos dados obtidos para identificar comportamentos maliciosos caracterizados nos mesmos, mostrando assim a relação entre o modo de uso de IPC e atividades maliciosas.Abstract: Currently the use of smartphones and IoT devices is part of people's daily lives and due to this popularization Android has become the most used operating system in the world. That said, Android devices are used for private conversations, banking, maintaining personal files such as photos, among other activities, thus becoming an attractive target for hackers and malware. This exposure to malicious activities created a greater concern about Android devices security and, then, the development of different methods for protecting them. Among these methods, there are intrusion detection systems (IDSs), which aim to identify threats to devices. The different approaches to identifying threats on Android devices can be classified as static or dynamic; static methods aim to identify threats by analyzing application files without executing them and dynamic methods perform this goal by analyzing data collected during the execution of the analyzed application. Furthermore, one of the core security measures adopted by Android is the processes isolation, which ensures that an application does not have access to the data of another; then, for Android applications and components to communicate between them it is used the Binder module, wich implements the IPC (Inter Process Communication) that allows it to manage all communication between processes on Android. Despite this, using the Binder module operational data to detect attacks has been little explored in the literature. Therefore, this work presents a methodology for intrusion detection that uses the inter-process communication as data source; this data is collected by monitoring function calls in the Binder module when executing the analyzed application. Using this mechanism a new dataset (AndroBind) was built, which represents the behavior of Android applications relative to communication with other processes. Finally, this work's approach consists of using machine learning methods to detect malicious behaviors in applications through this built dataset consisting of Binder function call traces. The model proposed achieved an over 70% identification rate and therefore validated the proposal. Besides that, it was introduced an analysis on the dataset in order to identify the malicious behaviors characterized on it and then show the relation about the way of using IPC and malicious activities.1 recurso online : PDF.application/pdfAndroid (Recurso eletrônico)Computadores - Medidas de segurançaVirus de computadorCiência da ComputaçãoDetecção de artaques no Android : um modelo baseado na comunicação entre processosinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisporreponame:Repositório Institucional da UFPRinstname:Universidade Federal do Paraná (UFPR)instacron:UFPRinfo:eu-repo/semantics/openAccessORIGINALR - D - RODRIGO GOMES LEMOS.pdfapplication/pdf2125901https://acervodigital.ufpr.br/bitstream/1884/73214/1/R%20-%20D%20-%20RODRIGO%20GOMES%20LEMOS.pdf18b464c68fa4311618dcdf618b6590bbMD51open access1884/732142022-05-26 16:29:08.439open accessoai:acervodigital.ufpr.br:1884/73214Repositório de PublicaçõesPUBhttp://acervodigital.ufpr.br/oai/requestopendoar:3082022-05-26T19:29:08Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)false |
dc.title.pt_BR.fl_str_mv |
Detecção de artaques no Android : um modelo baseado na comunicação entre processos |
title |
Detecção de artaques no Android : um modelo baseado na comunicação entre processos |
spellingShingle |
Detecção de artaques no Android : um modelo baseado na comunicação entre processos Lemos, Rodrigo Gomes Android (Recurso eletrônico) Computadores - Medidas de segurança Virus de computador Ciência da Computação |
title_short |
Detecção de artaques no Android : um modelo baseado na comunicação entre processos |
title_full |
Detecção de artaques no Android : um modelo baseado na comunicação entre processos |
title_fullStr |
Detecção de artaques no Android : um modelo baseado na comunicação entre processos |
title_full_unstemmed |
Detecção de artaques no Android : um modelo baseado na comunicação entre processos |
title_sort |
Detecção de artaques no Android : um modelo baseado na comunicação entre processos |
author |
Lemos, Rodrigo Gomes |
author_facet |
Lemos, Rodrigo Gomes |
author_role |
author |
dc.contributor.other.pt_BR.fl_str_mv |
Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática |
dc.contributor.author.fl_str_mv |
Lemos, Rodrigo Gomes |
dc.contributor.advisor1.fl_str_mv |
Lemos, Rodrigo Gomes |
contributor_str_mv |
Lemos, Rodrigo Gomes |
dc.subject.por.fl_str_mv |
Android (Recurso eletrônico) Computadores - Medidas de segurança Virus de computador Ciência da Computação |
topic |
Android (Recurso eletrônico) Computadores - Medidas de segurança Virus de computador Ciência da Computação |
description |
Orientador: Carlos Alberto Maziero |
publishDate |
2021 |
dc.date.issued.fl_str_mv |
2021 |
dc.date.accessioned.fl_str_mv |
2022-05-26T19:29:08Z |
dc.date.available.fl_str_mv |
2022-05-26T19:29:08Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
https://hdl.handle.net/1884/73214 |
url |
https://hdl.handle.net/1884/73214 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
1 recurso online : PDF. application/pdf |
dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UFPR instname:Universidade Federal do Paraná (UFPR) instacron:UFPR |
instname_str |
Universidade Federal do Paraná (UFPR) |
instacron_str |
UFPR |
institution |
UFPR |
reponame_str |
Repositório Institucional da UFPR |
collection |
Repositório Institucional da UFPR |
bitstream.url.fl_str_mv |
https://acervodigital.ufpr.br/bitstream/1884/73214/1/R%20-%20D%20-%20RODRIGO%20GOMES%20LEMOS.pdf |
bitstream.checksum.fl_str_mv |
18b464c68fa4311618dcdf618b6590bb |
bitstream.checksumAlgorithm.fl_str_mv |
MD5 |
repository.name.fl_str_mv |
Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR) |
repository.mail.fl_str_mv |
|
_version_ |
1813898807239245824 |