為區(qū)分惡意Android移動應(yīng)用在運行過程中產(chǎn)生的惡意流量和正常流量,提出一種Android移動應(yīng)用惡意流量標注方法。針對加密類型的網(wǎng)絡(luò)流量,根據(jù)端口號和流載荷內(nèi)容的字節(jié)熵值進行加密檢測,依據(jù)服務(wù)器證書等內(nèi)容判斷加密流量是否異常,同時對惡意Android移動應(yīng)用進行反編譯,并利用程序控制流程圖分析該加密流量是否涉及敏感操作,從而標注出惡意加密流量。對300個重打包類型的惡意移動應(yīng)用進行測試,實驗結(jié)果與同基準值對比分析表明,與未采用該方法的標注結(jié)果（1 602條惡意加密流量）相比,該方法檢測出的惡意加密流量有341條,且標注結(jié)果中僅有28條為誤報流量。 

【文章來源】：計算機工程. 2020,46(07)北大核心CSCD

【文章頁數(shù)】：7 頁

【部分圖文】：

本文標注方法的整體思路

在上述步驟中,初始化階段的核心功能是反編譯APK文件F,然后針對得到的源代碼,構(gòu)建全局程序控制流程圖G。APK文件名稱、反編譯后的文件與全局程序控制流程圖將一一對應(yīng)保存,便于后續(xù)分析使用。程序控制流程圖反映程序調(diào)用關(guān)系,示例如圖2所示。Android應(yīng)用的程序控制流程圖可由Soot框架自動生成,本文不再進行贅述。在初始化階段的步驟2中,利用域名或IP地址A定位至特定函數(shù)。但在實際中,域名可以動態(tài)生成(通過參數(shù)賦值或多個參數(shù)串聯(lián)而成,如new URL(str)),無法直接進行匹配查詢。因此,在生成全局程序控制流程圖時,對于網(wǎng)絡(luò)訪問類函數(shù),需要對訪問地址參數(shù)進行數(shù)據(jù)流分析,進而得到域名的完整表示,具體流程同前向搜索類似。

執(zhí)行完初始化后,進行前向搜索,確定函數(shù)參數(shù)是否含有敏感數(shù)據(jù)。參數(shù)變量Par1,Par2,…,Parp表示Android系統(tǒng)提供的網(wǎng)絡(luò)相關(guān)函數(shù),如setURI函數(shù)的參數(shù)。在當前節(jié)點所在的函數(shù)Fun(A)中尋找對Par1,Par2,…,Parp的賦值語句,若在賦值語句的右邊存在變量Var,則繼續(xù)向上遍歷其父節(jié)點,尋找對變量Var的賦值語句(即對參數(shù)Par1,Par2,…,Parp的隱形賦值)。以此類推,形成遞歸分析,從而最終確定參數(shù)Par1,Par2,…,Parp的具體值,如圖3所示。若在賦值路徑中存在敏感函數(shù)調(diào)用,則返回“惡意”標注。在后向搜索中,無需考慮參數(shù)問題,只需判斷子節(jié)點是否為敏感函數(shù)。即在網(wǎng)絡(luò)通信結(jié)束后,根據(jù)通信內(nèi)容,惡意移動應(yīng)用會執(zhí)行相關(guān)攻擊代碼。此行為在遠程控制、廣告展示類惡意應(yīng)用中較為常見。惡意流量的確認算法中的敏感函數(shù)具體有startService()、loadClass()、sendTextMessage()、getContentResolver()、query()、mkdir()、delete()、ListFiles()等。完整的函數(shù)列表及其在惡意應(yīng)用的常見應(yīng)用解釋見文獻[27]的第4節(jié)內(nèi)容,但不包括其中的HttpURLConnection 和Sockets等網(wǎng)絡(luò)相關(guān)函數(shù)。

【參考文獻】：
期刊論文
[1]基于域名關(guān)聯(lián)的惡意移動應(yīng)用檢測研究[J]. 蔡榮彥,王鶴,姚啟桂,何高峰.  計算機工程. 2020(05)
[2]移動應(yīng)用安全生態(tài)鏈構(gòu)建方法[J]. 楊昕雨,徐國愛.  軟件學報. 2017(11)
[3]基于圖的可擴展移動應(yīng)用安全評估模型[J]. 陳璐,劉行,陳牧,李尼格,戴造建.  計算機工程. 2018(05)
[4]PKI技術(shù)的近年研究綜述[J]. 林璟鏘,荊繼武,張瓊露,王展.  密碼學報. 2015(06)



本文編號：3094350