基于HTTP的安卓惡意應(yīng)用通信機(jī)制及流量特征提取研究.pdf

1、近年來移動(dòng)設(shè)備和網(wǎng)絡(luò)接入點(diǎn)的快速發(fā)展，提高了手機(jī)應(yīng)用的增長速度，尤其是安卓(Android)平臺(tái)及該平臺(tái)下的應(yīng)用程序。與此同時(shí)，移動(dòng)惡意軟件編寫者也將攻擊目標(biāo)轉(zhuǎn)向了Android平臺(tái)。已有的Android惡意應(yīng)用的分析工作發(fā)現(xiàn)，大部分Android惡意應(yīng)用都是基于HTTP協(xié)議(HyperTextTransportProtocol)的類似僵尸程序，這些惡意應(yīng)用通過惡意扣費(fèi)、泄露隱私信息等惡意行為，嚴(yán)重危害了用戶的財(cái)產(chǎn)、隱私安全和Andro

2、id平臺(tái)的網(wǎng)絡(luò)安全性。但是日益增長的Android惡意應(yīng)用及其多樣化的變種程序，加大了Android惡意應(yīng)用檢測(cè)的難度。因此，為了提高Android平臺(tái)的安全性，需要通過深入研究Android惡意應(yīng)用的通信機(jī)制和惡意特征提取技術(shù)，為Android惡意應(yīng)用的檢測(cè)提供理論和技術(shù)支持。
　　本文首先對(duì)Android惡意應(yīng)用的通信機(jī)制進(jìn)行研究，構(gòu)造了一種類似移動(dòng)僵尸網(wǎng)絡(luò)命令與控制(CommandandControl，C&C)通信信道的An

3、droid惡意應(yīng)用通信機(jī)制。通過結(jié)合短消息服務(wù)(ShortMessageService，SMS)和HTTP協(xié)議作為Android惡意應(yīng)用C&C通信信道的設(shè)計(jì)方法，從而實(shí)現(xiàn)減少系統(tǒng)消耗、提高命令信息接收準(zhǔn)確率和執(zhí)行效率，以及更好地將惡意流量隱藏在其他良性的HTTP流量中。實(shí)驗(yàn)結(jié)果表明，結(jié)合SMS和HTTP協(xié)議混合通信信道的Android惡意應(yīng)用具有效率高、隱匿性強(qiáng)和消耗少的特點(diǎn)。另外針對(duì)Android惡意應(yīng)用的通信信道，提出了幾種可行的檢

4、測(cè)方法。
　　鑒于對(duì)Android惡意應(yīng)用通信機(jī)制的研究，以及針對(duì)大量Android惡意應(yīng)用及變種程序的檢測(cè)工作所面臨的挑戰(zhàn)，本文提出了一種基于HTTP協(xié)議的Android惡意應(yīng)用網(wǎng)絡(luò)特征簽名庫自動(dòng)生成系統(tǒng)。該系統(tǒng)設(shè)計(jì)了一個(gè)自動(dòng)化測(cè)試工具DroidRunner，用于自動(dòng)觸發(fā)網(wǎng)絡(luò)行為和流量采集，解決手動(dòng)采集工作量大的問題。然后對(duì)收集的1，260個(gè)已經(jīng)惡意家族的Android惡意應(yīng)用樣本和118個(gè)未知惡意家族的惡意樣本進(jìn)行了實(shí)驗(yàn)，通過