隨著移動互聯(lián)網(wǎng)的快速發(fā)展,越來越多的人使用智能手機(jī)通信和辦公。盡管現(xiàn)在的移動操作系統(tǒng)已經(jīng)盡最大可能為用戶提供安全的上網(wǎng)環(huán)境,但由于Android的開源特性,它仍然無法完全阻止Android惡意軟件的大規(guī)模感染和爆發(fā)�；诖a段的靜態(tài)檢測和基于行為的動態(tài)檢測雖然可以一定程度上識別惡意軟件,但仍存在許多問題,例如檢測未知惡意變種效率低和部署困難等。調(diào)查研究發(fā)現(xiàn),目前市場上對惡意應(yīng)用的審查機(jī)制主要有兩種,第一種為服務(wù)端和云平臺的惡意應(yīng)用檢測,第二種為移動智能終端的惡意應(yīng)用檢測。事實(shí)證明,雖然通過嚴(yán)密的機(jī)器和人工審查,仍然有大量的用戶被惡意變種應(yīng)用所感染。而大多數(shù)的惡意應(yīng)用都是以經(jīng)濟(jì)利益為目的,在惡意行為執(zhí)行過程中,惡意應(yīng)用往往會表現(xiàn)出明顯的網(wǎng)絡(luò)交互特征。因此,這就為高效、輕量級的惡意應(yīng)用檢測平臺的探索提供了可能。本文對Android惡意應(yīng)用檢測領(lǐng)域的問題,做了如下的研究工作:（1）研究了Android平臺網(wǎng)絡(luò)流量采集方法。利用Android SDK開發(fā)工具包提供的VPNService類,完成了在手機(jī)本地自建的VPN通道內(nèi)捕獲移動終端應(yīng)用程序的網(wǎng)絡(luò)流量,為模型的構(gòu)建提供了基礎(chǔ)流量數(shù)據(jù)支持。（2... 

【文章來源】：濟(jì)南大學(xué)山東省

【文章頁數(shù)】：56 頁

【學(xué)位級別】：碩士

【部分圖文】：

/proc/net/tcp文件返回記錄其中包括本地地址和端口號、遠(yuǎn)程地址和端口號、連接狀態(tài)、UID等

圖 5.4 安裝 CA 證書 圖 5.5 VPN 連接提示用戶打開 Android 惡意應(yīng)用檢測系統(tǒng)后，因?yàn)樵撓到y(tǒng)是基于網(wǎng)絡(luò)流量的惡意應(yīng)用戶如果想要檢測當(dāng)前手機(jī)中應(yīng)用程序的安全性等情況，可以直接點(diǎn)擊主界面匙形狀的按鈕。由于流量數(shù)據(jù)中包含用戶大量的隱私和上網(wǎng)操作等數(shù)據(jù)，因此啟 VPN 服務(wù)時(shí)，系統(tǒng)會提示獲取 VPN 許可并監(jiān)控網(wǎng)絡(luò)流量，用戶只有點(diǎn)擊確系統(tǒng)才會正常工作。開啟 VPN 服務(wù)提示頁面如圖 5.5 所示：在開啟主界面右下角的鑰匙按鈕后，按鈕會由 OFF 變?yōu)?ON。這時(shí)，用戶就可去訪問和使用已安裝在手機(jī)上的待測應(yīng)用程序。在聯(lián)網(wǎng)的狀態(tài)下，待測應(yīng)用通絡(luò)請求至目的服務(wù)器，進(jìn)行網(wǎng)絡(luò)交互行為。如圖 5.6 為 3 個待測應(yīng)用功程序運(yùn)這 3 個待測應(yīng)用程序分別為今日頭條（圖 5.6(a)）、時(shí)鐘（圖 5.6(b)）、微博極 5.6(c)），其中今日頭條和微博極速版為正常應(yīng)用程序，而時(shí)鐘為惡意應(yīng)用程VPN 服務(wù)開啟過程中，應(yīng)用程序的所有網(wǎng)絡(luò)請求都會被系統(tǒng)自動捕獲，以監(jiān)測的網(wǎng)絡(luò)行為。

圖 5.4 安裝 CA 證書 圖 5.5 VPN 連接提示用戶打開 Android 惡意應(yīng)用檢測系統(tǒng)后，因?yàn)樵撓到y(tǒng)是基于網(wǎng)絡(luò)流量的惡意應(yīng)用戶如果想要檢測當(dāng)前手機(jī)中應(yīng)用程序的安全性等情況，可以直接點(diǎn)擊主界面匙形狀的按鈕。由于流量數(shù)據(jù)中包含用戶大量的隱私和上網(wǎng)操作等數(shù)據(jù)，因此啟 VPN 服務(wù)時(shí)，系統(tǒng)會提示獲取 VPN 許可并監(jiān)控網(wǎng)絡(luò)流量，用戶只有點(diǎn)擊確系統(tǒng)才會正常工作。開啟 VPN 服務(wù)提示頁面如圖 5.5 所示：在開啟主界面右下角的鑰匙按鈕后，按鈕會由 OFF 變?yōu)?ON。這時(shí)，用戶就可去訪問和使用已安裝在手機(jī)上的待測應(yīng)用程序。在聯(lián)網(wǎng)的狀態(tài)下，待測應(yīng)用通絡(luò)請求至目的服務(wù)器，進(jìn)行網(wǎng)絡(luò)交互行為。如圖 5.6 為 3 個待測應(yīng)用功程序運(yùn)這 3 個待測應(yīng)用程序分別為今日頭條（圖 5.6(a)）、時(shí)鐘（圖 5.6(b)）、微博極 5.6(c)），其中今日頭條和微博極速版為正常應(yīng)用程序，而時(shí)鐘為惡意應(yīng)用程VPN 服務(wù)開啟過程中，應(yīng)用程序的所有網(wǎng)絡(luò)請求都會被系統(tǒng)自動捕獲，以監(jiān)測的網(wǎng)絡(luò)行為。

【參考文獻(xiàn)】：
期刊論文
[1]基于移動軟件行為大數(shù)據(jù)挖掘的惡意軟件檢測技術(shù)[J]. 張巍,任環(huán),張凱,李成明,姜青山.  集成技術(shù). 2016(02)
[2]Droid Detector:Android Malware Characterization and Detection Using Deep Learning[J]. Zhenlong Yuan,Yongqiang Lu,Yibo Xue.  Tsinghua Science and Technology. 2016(01)



本文編號：3254278