基于HTTP的安卓惡意應用通信機制及流量特征提取研究.pdf

1、近年來移動設備和網(wǎng)絡接入點的快速發(fā)展，提高了手機應用的增長速度，尤其是安卓(Android)平臺及該平臺下的應用程序。與此同時，移動惡意軟件編寫者也將攻擊目標轉(zhuǎn)向了Android平臺。已有的Android惡意應用的分析工作發(fā)現(xiàn)，大部分Android惡意應用都是基于HTTP協(xié)議(HyperTextTransportProtocol)的類似僵尸程序，這些惡意應用通過惡意扣費、泄露隱私信息等惡意行為，嚴重危害了用戶的財產(chǎn)、隱私安全和Andro

2、id平臺的網(wǎng)絡安全性。但是日益增長的Android惡意應用及其多樣化的變種程序，加大了Android惡意應用檢測的難度。因此，為了提高Android平臺的安全性，需要通過深入研究Android惡意應用的通信機制和惡意特征提取技術，為Android惡意應用的檢測提供理論和技術支持。
　　本文首先對Android惡意應用的通信機制進行研究，構造了一種類似移動僵尸網(wǎng)絡命令與控制(CommandandControl，C&C)通信信道的An

3、droid惡意應用通信機制。通過結合短消息服務(ShortMessageService，SMS)和HTTP協(xié)議作為Android惡意應用C&C通信信道的設計方法，從而實現(xiàn)減少系統(tǒng)消耗、提高命令信息接收準確率和執(zhí)行效率，以及更好地將惡意流量隱藏在其他良性的HTTP流量中。實驗結果表明，結合SMS和HTTP協(xié)議混合通信信道的Android惡意應用具有效率高、隱匿性強和消耗少的特點。另外針對Android惡意應用的通信信道，提出了幾種可行的檢

4、測方法。
　　鑒于對Android惡意應用通信機制的研究，以及針對大量Android惡意應用及變種程序的檢測工作所面臨的挑戰(zhàn)，本文提出了一種基于HTTP協(xié)議的Android惡意應用網(wǎng)絡特征簽名庫自動生成系統(tǒng)。該系統(tǒng)設計了一個自動化測試工具DroidRunner，用于自動觸發(fā)網(wǎng)絡行為和流量采集，解決手動采集工作量大的問題。然后對收集的1，260個已經(jīng)惡意家族的Android惡意應用樣本和118個未知惡意家族的惡意樣本進行了實驗，通過