安卓手機(jī)應(yīng)用流量分析及惡意行為檢測技術(shù)研究.pdf

1、Android應(yīng)用是在Android操作系統(tǒng)上進(jìn)行設(shè)計的應(yīng)用程序，適用于Android不同類型的移動設(shè)備的應(yīng)用，比如，智能手機(jī)、平板電腦等。它為移動用戶在日常生活等方面提供豐富多樣的功能。隨著安卓(Android)手機(jī)的快速發(fā)展，Android手機(jī)應(yīng)用的數(shù)目呈指數(shù)增加。Android手機(jī)產(chǎn)生的網(wǎng)絡(luò)流量增長速度迅猛，Android手機(jī)及其相應(yīng)的應(yīng)用所生成的網(wǎng)絡(luò)流量所帶來的新情況逐漸成為國內(nèi)外的研究熱點(diǎn)。與此同時，由于Android系統(tǒng)和應(yīng)

2、用具有的開源等特點(diǎn)，惡意應(yīng)用制造者通過嵌入惡意代碼來執(zhí)行惡意行為達(dá)到他們非法的目的。如何讓用戶了解Android應(yīng)用的網(wǎng)絡(luò)流量和檢測Android應(yīng)用的惡意行為也成為國內(nèi)外的研究熱點(diǎn)。因此本論文圍繞Android應(yīng)用網(wǎng)絡(luò)流量分析和惡意行為檢測這兩大問題展開深入研究，主要工作及創(chuàng)新點(diǎn)如下:
　　(1)Android應(yīng)用網(wǎng)絡(luò)流量自動生成技術(shù)。如果要對Android應(yīng)用網(wǎng)絡(luò)流量進(jìn)行分析，網(wǎng)絡(luò)流量數(shù)據(jù)是必不可少的。但是運(yùn)營商的網(wǎng)絡(luò)流量數(shù)據(jù)

3、包含大量的用戶隱私數(shù)據(jù)導(dǎo)致難以獲取。手動執(zhí)行Android應(yīng)用產(chǎn)生網(wǎng)絡(luò)流量的方式不適合于大量Android應(yīng)用的情況。為了解決前述問題，該工作設(shè)計并實現(xiàn)一種Android應(yīng)用網(wǎng)絡(luò)流量自動生成系統(tǒng)，AndroGenerator。該系統(tǒng)首先設(shè)計一種自動執(zhí)行的方法來自動執(zhí)行大量的Android應(yīng)用，并采集應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量;隨后提取網(wǎng)絡(luò)流量的屬性，比如數(shù)據(jù)包個數(shù)、字節(jié)數(shù)等;再根據(jù)采集到的流量數(shù)據(jù)的特征和模式來模擬生成Android應(yīng)用的網(wǎng)絡(luò)流

4、量。實驗結(jié)果表明，第一、該系統(tǒng)的自動執(zhí)行應(yīng)用算法可以觸發(fā)Android應(yīng)用的大部分的網(wǎng)絡(luò)行為;第二、該系統(tǒng)模擬生成的Android應(yīng)用網(wǎng)絡(luò)流量與實際環(huán)境中的Android應(yīng)用網(wǎng)絡(luò)流量具有較高的相似度，可以為Android應(yīng)用網(wǎng)絡(luò)流量分析研究工作提供數(shù)據(jù)。
　　(2)融入網(wǎng)絡(luò)流量開銷因素的Android應(yīng)用推薦方法。大部分的Android應(yīng)用完成其功能需要訪問網(wǎng)絡(luò)從而產(chǎn)生網(wǎng)絡(luò)流量，并帶來手機(jī)流量套餐資費(fèi)的消耗。目前主流的Androi

5、d應(yīng)用市場在推薦應(yīng)用的時候主要考慮Android應(yīng)用的流行度（比如，應(yīng)用評分等），而忽略了該應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量開銷。因此，如何使得用戶所下載的應(yīng)用同時具備高流行度和低網(wǎng)絡(luò)流量開銷是本工作要解決的問題。該工作首先從Android官方市場中的22個主流的應(yīng)用類別分別下載排名前100的應(yīng)用。其次，對這2200個應(yīng)用采集運(yùn)行時產(chǎn)生的網(wǎng)絡(luò)流量，并根據(jù)每秒流量開銷、不同類型的流量開銷、不同類型流量所占的比例等幾個方面來測量每個應(yīng)用的流量開銷情況。在

6、完成測量后，根據(jù)得到的測量結(jié)果提出了一個基于網(wǎng)絡(luò)流量開銷的應(yīng)用推薦技術(shù)。該技術(shù)可以和現(xiàn)有的Android市場的推薦算法相結(jié)合來為用戶推薦不僅具有較高的流行度，同時節(jié)省網(wǎng)絡(luò)流量開銷的Android應(yīng)用。
　　(3) HTTP流的Android應(yīng)用識別方法。為了解決已有的方法在識別Android應(yīng)用上存在識別準(zhǔn)確率低，識別不夠全面的問題。本工作提出一種從Android應(yīng)用產(chǎn)生HTTP流中提取特征簽名的識別方法。不同于傳統(tǒng)的網(wǎng)絡(luò)特征簽名

7、，該特征簽名不僅包括具有特殊字符串，也包括具有普通字符串。該方法首先識別具有特殊字符串的HTTP流，再通過時間窗口和恢復(fù)HTTP響應(yīng)流中的壓縮內(nèi)容的方法來關(guān)聯(lián)具有普通字符串的HTTP流。隨后從這些HTTP流中提取的HTTP特征簽名來識別網(wǎng)絡(luò)中運(yùn)行的Android應(yīng)用，并統(tǒng)計這些Android應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量大小。實驗結(jié)果表明該方法的Android應(yīng)用識別率相比于已有的方法的識別率提高了35％-81％。
　　(4)基于HTTP流挖

8、掘技術(shù)的Android惡意應(yīng)用和不安全廣告庫檢測方法。根據(jù)已有研究工作，發(fā)現(xiàn)大部分的Android應(yīng)用及其嵌入的廣告庫與服務(wù)器之間的通信都是基于HTTP協(xié)議。根據(jù)這個現(xiàn)象，本工作提出針對Android應(yīng)用和廣告庫產(chǎn)生的HTTP流進(jìn)行屬性挖掘并檢測Android惡意應(yīng)用和不安全廣告庫。該方法首先分析Android正常應(yīng)用和Android惡意應(yīng)用，安全廣告庫和不安全廣告庫之間的在HTTP流量屬性上的區(qū)別，并分析HTTP流量屬性和惡意行為之間

9、的關(guān)聯(lián);其次，根據(jù)比較后得到正常應(yīng)用和惡意應(yīng)用，安全廣告庫和不安全廣告庫的HTTP流量屬性，使用分類算法建立分類模型來對Android惡意應(yīng)用和不安全廣告庫進(jìn)行分類檢測;最后，從檢測到的Android惡意應(yīng)用和不安全廣告庫中提取HTTP指紋特征來進(jìn)一步歸類Android惡意應(yīng)用和不安全廣告庫。實驗結(jié)果表明，該方法在檢測Android惡意應(yīng)用和不安全廣告庫分別達(dá)到97.67％和95.86％的準(zhǔn)確率，并可以對檢測到的惡意應(yīng)用和不安全廣告庫進(jìn)

10、行歸類。
　　(5)移動僵尸網(wǎng)絡(luò)檢測方法。移動僵尸網(wǎng)絡(luò)(Mobile Botnet)是一種從傳統(tǒng)僵尸網(wǎng)絡(luò)(Botnet)進(jìn)化而來的新型網(wǎng)絡(luò)攻擊方式，為黑客提供了隱匿、靈活且高效的一對多命令與控制信道(Command and Control channel，C&C)機(jī)制，可以控制大量僵尸主機(jī)實現(xiàn)信息竊取、分布式拒絕服務(wù)攻擊和垃圾郵件發(fā)送等攻擊目的。該工作提出一種與移動僵尸網(wǎng)絡(luò)結(jié)構(gòu)和C&C協(xié)議無關(guān)，不需要分析數(shù)據(jù)包的特征負(fù)載的移動僵尸

11、網(wǎng)絡(luò)檢測方法。該方法首先使用預(yù)過濾規(guī)則對捕獲的流量進(jìn)行過濾，去掉與移動僵尸網(wǎng)絡(luò)無關(guān)的流量;其次對過濾后的流量屬性進(jìn)行統(tǒng)計并提取網(wǎng)絡(luò)流量屬性;接著使用基于umergedX-means聚類算法的兩步聚類方法對包含了C&C信道的流量和其他正常程序的網(wǎng)絡(luò)流量的混合數(shù)據(jù)集進(jìn)行分析與聚類，從而達(dá)到對移動僵尸網(wǎng)絡(luò)檢測的目的。在實驗階段，該方法在檢測移動僵尸網(wǎng)絡(luò)的準(zhǔn)確率可以達(dá)到98.34％。
　　綜上所述，本文首先通過設(shè)計AndroGenerat