基于網(wǎng)絡(luò)異常行為的智能終端惡意軟件檢測技術(shù)研究.pdf

1、近幾年，智能移動終端使用量迅猛增加，尤其是Android平臺的手機，幾乎占了手機市場的大半份額。而由于Android系統(tǒng)的開放特性和上網(wǎng)環(huán)境的便捷性，很多攻擊者把智能終端當成了攻擊的目標，他們能輕易收集用戶隱私信息，從而對用戶造成巨大威脅。本文主要在研究Android平臺上惡意軟件威脅特性和現(xiàn)有檢測方案的基礎(chǔ)上，提出一種基于網(wǎng)絡(luò)行為的惡意軟件檢測方案，實現(xiàn)了對Android平臺上惡意軟件的有效檢測。
　　本文通過分析軟件運行過程中

2、相關(guān)的網(wǎng)絡(luò)特性如流量、端口、IP地址等，發(fā)現(xiàn)在正常軟件運行情況下，網(wǎng)絡(luò)信息比較穩(wěn)定，而一旦感染竊密木馬或僵尸網(wǎng)絡(luò)，就會在流量和網(wǎng)址等網(wǎng)絡(luò)行為上表現(xiàn)出異常。由此可知惡意軟件的多種操作都和網(wǎng)絡(luò)信息有關(guān)，所以將網(wǎng)絡(luò)行為作為檢測依據(jù)的方法是有效的。本文具體研究工作如下：
　　首先，獲取網(wǎng)絡(luò)行為信息。為提高網(wǎng)絡(luò)行為數(shù)據(jù)的真實性，網(wǎng)絡(luò)行為獲取模塊基于Linux內(nèi)核的Netfilter框架，在框架的檢測點處設(shè)置處理函數(shù)，分析從內(nèi)核獲取的網(wǎng)絡(luò)數(shù)據(jù)

3、包并解析出需要的信息，這些信息是來自 Android手機架構(gòu)的Linux內(nèi)核層，底層獲取的方法能保證數(shù)據(jù)的真實性。
　　然后，處理數(shù)據(jù)與檢測異常。為了提高檢測效率，本文采用約簡特征數(shù)據(jù)的方法對捕獲的原始網(wǎng)絡(luò)數(shù)據(jù)進行預(yù)處理，提高樸素貝葉斯算法在網(wǎng)絡(luò)行為數(shù)據(jù)處理環(huán)境下的適用性。預(yù)處理部分首先對網(wǎng)絡(luò)數(shù)據(jù)進行清理，將無用信息清除；然后借助建立靜態(tài)地址庫和字段查詢等方法對各數(shù)據(jù)進行劃分，將繁雜數(shù)據(jù)歸一化，最后構(gòu)造特征向量。本文的異常識別模塊

4、主要部分是樸素貝葉斯分類器，將預(yù)處理后的數(shù)據(jù)作為特征向量引入到樸素貝葉斯分類器中，進行分類檢測，檢測結(jié)果有兩個：正常和異常。
　　最后，引入隱私數(shù)據(jù)監(jiān)測技術(shù)。由于隱私竊取軟件危害大小與其竊取數(shù)據(jù)的來源和路徑有關(guān)，為了保證隱私竊取軟件的危害可知性，本文引入了隱私數(shù)據(jù)監(jiān)測技術(shù)，對異常識別模塊檢測出的惡意軟件進行數(shù)據(jù)流跟蹤，確定其隱私數(shù)據(jù)泄漏路徑，從而明確其危害性大小，以便進行下一步處理。
　　文章最后將該系統(tǒng)進行功能測試，測試結(jié)