安卓手機(jī)應(yīng)用流量分析及惡意行為檢測(cè)技術(shù)研究.pdf

1、Android應(yīng)用是在Android操作系統(tǒng)上進(jìn)行設(shè)計(jì)的應(yīng)用程序，適用于Android不同類型的移動(dòng)設(shè)備的應(yīng)用，比如，智能手機(jī)、平板電腦等。它為移動(dòng)用戶在日常生活等方面提供豐富多樣的功能。隨著安卓(Android)手機(jī)的快速發(fā)展，Android手機(jī)應(yīng)用的數(shù)目呈指數(shù)增加。Android手機(jī)產(chǎn)生的網(wǎng)絡(luò)流量增長(zhǎng)速度迅猛，Android手機(jī)及其相應(yīng)的應(yīng)用所生成的網(wǎng)絡(luò)流量所帶來(lái)的新情況逐漸成為國(guó)內(nèi)外的研究熱點(diǎn)。與此同時(shí)，由于Android系統(tǒng)和應(yīng)

2、用具有的開(kāi)源等特點(diǎn)，惡意應(yīng)用制造者通過(guò)嵌入惡意代碼來(lái)執(zhí)行惡意行為達(dá)到他們非法的目的。如何讓用戶了解Android應(yīng)用的網(wǎng)絡(luò)流量和檢測(cè)Android應(yīng)用的惡意行為也成為國(guó)內(nèi)外的研究熱點(diǎn)。因此本論文圍繞Android應(yīng)用網(wǎng)絡(luò)流量分析和惡意行為檢測(cè)這兩大問(wèn)題展開(kāi)深入研究，主要工作及創(chuàng)新點(diǎn)如下:
　　(1)Android應(yīng)用網(wǎng)絡(luò)流量自動(dòng)生成技術(shù)。如果要對(duì)Android應(yīng)用網(wǎng)絡(luò)流量進(jìn)行分析，網(wǎng)絡(luò)流量數(shù)據(jù)是必不可少的。但是運(yùn)營(yíng)商的網(wǎng)絡(luò)流量數(shù)據(jù)

3、包含大量的用戶隱私數(shù)據(jù)導(dǎo)致難以獲取。手動(dòng)執(zhí)行Android應(yīng)用產(chǎn)生網(wǎng)絡(luò)流量的方式不適合于大量Android應(yīng)用的情況。為了解決前述問(wèn)題，該工作設(shè)計(jì)并實(shí)現(xiàn)一種Android應(yīng)用網(wǎng)絡(luò)流量自動(dòng)生成系統(tǒng)，AndroGenerator。該系統(tǒng)首先設(shè)計(jì)一種自動(dòng)執(zhí)行的方法來(lái)自動(dòng)執(zhí)行大量的Android應(yīng)用，并采集應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量;隨后提取網(wǎng)絡(luò)流量的屬性，比如數(shù)據(jù)包個(gè)數(shù)、字節(jié)數(shù)等;再根據(jù)采集到的流量數(shù)據(jù)的特征和模式來(lái)模擬生成Android應(yīng)用的網(wǎng)絡(luò)流

4、量。實(shí)驗(yàn)結(jié)果表明，第一、該系統(tǒng)的自動(dòng)執(zhí)行應(yīng)用算法可以觸發(fā)Android應(yīng)用的大部分的網(wǎng)絡(luò)行為;第二、該系統(tǒng)模擬生成的Android應(yīng)用網(wǎng)絡(luò)流量與實(shí)際環(huán)境中的Android應(yīng)用網(wǎng)絡(luò)流量具有較高的相似度，可以為Android應(yīng)用網(wǎng)絡(luò)流量分析研究工作提供數(shù)據(jù)。
　　(2)融入網(wǎng)絡(luò)流量開(kāi)銷因素的Android應(yīng)用推薦方法。大部分的Android應(yīng)用完成其功能需要訪問(wèn)網(wǎng)絡(luò)從而產(chǎn)生網(wǎng)絡(luò)流量，并帶來(lái)手機(jī)流量套餐資費(fèi)的消耗。目前主流的Androi

5、d應(yīng)用市場(chǎng)在推薦應(yīng)用的時(shí)候主要考慮Android應(yīng)用的流行度（比如，應(yīng)用評(píng)分等），而忽略了該應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量開(kāi)銷。因此，如何使得用戶所下載的應(yīng)用同時(shí)具備高流行度和低網(wǎng)絡(luò)流量開(kāi)銷是本工作要解決的問(wèn)題。該工作首先從Android官方市場(chǎng)中的22個(gè)主流的應(yīng)用類別分別下載排名前100的應(yīng)用。其次，對(duì)這2200個(gè)應(yīng)用采集運(yùn)行時(shí)產(chǎn)生的網(wǎng)絡(luò)流量，并根據(jù)每秒流量開(kāi)銷、不同類型的流量開(kāi)銷、不同類型流量所占的比例等幾個(gè)方面來(lái)測(cè)量每個(gè)應(yīng)用的流量開(kāi)銷情況。在

6、完成測(cè)量后，根據(jù)得到的測(cè)量結(jié)果提出了一個(gè)基于網(wǎng)絡(luò)流量開(kāi)銷的應(yīng)用推薦技術(shù)。該技術(shù)可以和現(xiàn)有的Android市場(chǎng)的推薦算法相結(jié)合來(lái)為用戶推薦不僅具有較高的流行度，同時(shí)節(jié)省網(wǎng)絡(luò)流量開(kāi)銷的Android應(yīng)用。
　　(3) HTTP流的Android應(yīng)用識(shí)別方法。為了解決已有的方法在識(shí)別Android應(yīng)用上存在識(shí)別準(zhǔn)確率低，識(shí)別不夠全面的問(wèn)題。本工作提出一種從Android應(yīng)用產(chǎn)生HTTP流中提取特征簽名的識(shí)別方法。不同于傳統(tǒng)的網(wǎng)絡(luò)特征簽名

7、，該特征簽名不僅包括具有特殊字符串，也包括具有普通字符串。該方法首先識(shí)別具有特殊字符串的HTTP流，再通過(guò)時(shí)間窗口和恢復(fù)HTTP響應(yīng)流中的壓縮內(nèi)容的方法來(lái)關(guān)聯(lián)具有普通字符串的HTTP流。隨后從這些HTTP流中提取的HTTP特征簽名來(lái)識(shí)別網(wǎng)絡(luò)中運(yùn)行的Android應(yīng)用，并統(tǒng)計(jì)這些Android應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量大小。實(shí)驗(yàn)結(jié)果表明該方法的Android應(yīng)用識(shí)別率相比于已有的方法的識(shí)別率提高了35％-81％。
　　(4)基于HTTP流挖

8、掘技術(shù)的Android惡意應(yīng)用和不安全廣告庫(kù)檢測(cè)方法。根據(jù)已有研究工作，發(fā)現(xiàn)大部分的Android應(yīng)用及其嵌入的廣告庫(kù)與服務(wù)器之間的通信都是基于HTTP協(xié)議。根據(jù)這個(gè)現(xiàn)象，本工作提出針對(duì)Android應(yīng)用和廣告庫(kù)產(chǎn)生的HTTP流進(jìn)行屬性挖掘并檢測(cè)Android惡意應(yīng)用和不安全廣告庫(kù)。該方法首先分析Android正常應(yīng)用和Android惡意應(yīng)用，安全廣告庫(kù)和不安全廣告庫(kù)之間的在HTTP流量屬性上的區(qū)別，并分析HTTP流量屬性和惡意行為之間

9、的關(guān)聯(lián);其次，根據(jù)比較后得到正常應(yīng)用和惡意應(yīng)用，安全廣告庫(kù)和不安全廣告庫(kù)的HTTP流量屬性，使用分類算法建立分類模型來(lái)對(duì)Android惡意應(yīng)用和不安全廣告庫(kù)進(jìn)行分類檢測(cè);最后，從檢測(cè)到的Android惡意應(yīng)用和不安全廣告庫(kù)中提取HTTP指紋特征來(lái)進(jìn)一步歸類Android惡意應(yīng)用和不安全廣告庫(kù)。實(shí)驗(yàn)結(jié)果表明，該方法在檢測(cè)Android惡意應(yīng)用和不安全廣告庫(kù)分別達(dá)到97.67％和95.86％的準(zhǔn)確率，并可以對(duì)檢測(cè)到的惡意應(yīng)用和不安全廣告庫(kù)進(jìn)

10、行歸類。
　　(5)移動(dòng)僵尸網(wǎng)絡(luò)檢測(cè)方法。移動(dòng)僵尸網(wǎng)絡(luò)(Mobile Botnet)是一種從傳統(tǒng)僵尸網(wǎng)絡(luò)(Botnet)進(jìn)化而來(lái)的新型網(wǎng)絡(luò)攻擊方式，為黑客提供了隱匿、靈活且高效的一對(duì)多命令與控制信道(Command and Control channel，C&C)機(jī)制，可以控制大量僵尸主機(jī)實(shí)現(xiàn)信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等攻擊目的。該工作提出一種與移動(dòng)僵尸網(wǎng)絡(luò)結(jié)構(gòu)和C&C協(xié)議無(wú)關(guān)，不需要分析數(shù)據(jù)包的特征負(fù)載的移動(dòng)僵尸

11、網(wǎng)絡(luò)檢測(cè)方法。該方法首先使用預(yù)過(guò)濾規(guī)則對(duì)捕獲的流量進(jìn)行過(guò)濾，去掉與移動(dòng)僵尸網(wǎng)絡(luò)無(wú)關(guān)的流量;其次對(duì)過(guò)濾后的流量屬性進(jìn)行統(tǒng)計(jì)并提取網(wǎng)絡(luò)流量屬性;接著使用基于umergedX-means聚類算法的兩步聚類方法對(duì)包含了C&C信道的流量和其他正常程序的網(wǎng)絡(luò)流量的混合數(shù)據(jù)集進(jìn)行分析與聚類，從而達(dá)到對(duì)移動(dòng)僵尸網(wǎng)絡(luò)檢測(cè)的目的。在實(shí)驗(yàn)階段，該方法在檢測(cè)移動(dòng)僵尸網(wǎng)絡(luò)的準(zhǔn)確率可以達(dá)到98.34％。
　　綜上所述，本文首先通過(guò)設(shè)計(jì)AndroGenerat