Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

Mining Android Apps to Recommend Permissions

摘要

  • 由于PScout对权限的分析精确度并不是很高,作者使用数据挖掘中频繁集项挖掘的技术适用到挖掘 API-权限 对,可以更加精确的分析权限的使用。
  • 帮助开发者在使用相关API的时候能够提醒这些API需要的权限。

ApMiner

  1. 分析一些已有的app作为训练样本。提取AndroidManifest.xml中说明的权限,并且利用静态分析工具(srcML)提取APP中使用的所有API类。
  2. 产生相关的集合,通过算法得到关联规则:
    • BaseMiner: 把所有的API类和所有权限放在一起作为关联。
    • FilteredMiner:通过提炼,找到相互匹配的权限和API类。
    • FilteredMiner’:在FilteredMiner基础上,提炼出一对多的 API-权限 对。
  3. 对于给予的API,通过关联规则,找到合适的权限。

实验

  • 将600个APP分为10组,每组中50个APP作为训练样本,10个APP作为测试样本。

Fig