為實現(xiàn)對惡意移動應(yīng)用的準確檢測以保障移動設(shè)備安全,提出一種基于域名關(guān)聯(lián)的惡意移動應(yīng)用檢測方法。以DNS域名為檢測分析對象識別網(wǎng)絡(luò)流量中的惡意域名,利用DNS請求流量的時間特征尋找惡意域名的相關(guān)聯(lián)域名,并將關(guān)聯(lián)域名與文本分類樣本庫進行比對,確定惡意移動應(yīng)用名稱。實驗結(jié)果表明,該方法可有效用于移動設(shè)備的安全防護,其在公開測試數(shù)據(jù)集中的檢測率達到97.1%,在實際網(wǎng)絡(luò)的部署運行中共檢測出13款惡意移動應(yīng)用,且誤報數(shù)量為0。 

【文章來源】：計算機工程. 2020,46(05)北大核心

【文章頁數(shù)】：7 頁

【部分圖文】：

本文檢測方法整體流程

關(guān)于DNS惡意域名的判別,研究者已提出多種有效方法,如基于知識、基于機器學(xué)習(xí)等方法[24]。本文在現(xiàn)有工作基礎(chǔ)上,采用一種本地與遠程相結(jié)合的方法進行惡意域名的判別。首先將DNS域名與本地黑名單庫進行比對,若存在,則判斷為惡意域名。本地黑名單庫可簡單存儲為文本文件,易于部署實現(xiàn),其示例如圖2所示。若域名不存在于本地黑名單庫中,則繼續(xù)查詢遠程服務(wù)器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多種安全掃描引擎,且特征庫實時更新,可以準確有效地檢測出惡意域名。由于Virustotal同時給出多個掃描引擎的檢測結(jié)果,需要對檢測結(jié)果進行綜合分析處理。在本文工作中,對于待檢測域名U,若有一項及以上檢測結(jié)果標注為惡意,則判斷U為惡意域名;否則,判斷U為合法域名。如圖3所示,對于域名ytfkch.com,67個檢測引擎中只有CyRadar的檢測結(jié)果為惡意。本文仍將其判別為惡意域名,從而減少漏報。

若域名不存在于本地黑名單庫中,則繼續(xù)查詢遠程服務(wù)器,如Virustotal(https://www.virustotal.com/)等。Virustotal集成了70多種安全掃描引擎,且特征庫實時更新,可以準確有效地檢測出惡意域名。由于Virustotal同時給出多個掃描引擎的檢測結(jié)果,需要對檢測結(jié)果進行綜合分析處理。在本文工作中,對于待檢測域名U,若有一項及以上檢測結(jié)果標注為惡意,則判斷U為惡意域名;否則,判斷U為合法域名。如圖3所示,對于域名ytfkch.com,67個檢測引擎中只有CyRadar的檢測結(jié)果為惡意。本文仍將其判別為惡意域名,從而減少漏報。2.3 域名關(guān)聯(lián)


本文編號：3046752