發(fā)布時(shí)間：2021-06-28 12:00

　　隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,越來(lái)越多的人使用智能手機(jī)通信和辦公。盡管現(xiàn)在的移動(dòng)操作系統(tǒng)已經(jīng)盡最大可能為用戶提供安全的上網(wǎng)環(huán)境,但由于Android的開(kāi)源特性,它仍然無(wú)法完全阻止Android惡意軟件的大規(guī)模感染和爆發(fā)�；诖a段的靜態(tài)檢測(cè)和基于行為的動(dòng)態(tài)檢測(cè)雖然可以一定程度上識(shí)別惡意軟件,但仍存在許多問(wèn)題,例如檢測(cè)未知惡意變種效率低和部署困難等。調(diào)查研究發(fā)現(xiàn),目前市場(chǎng)上對(duì)惡意應(yīng)用的審查機(jī)制主要有兩種,第一種為服務(wù)端和云平臺(tái)的惡意應(yīng)用檢測(cè),第二種為移動(dòng)智能終端的惡意應(yīng)用檢測(cè)。事實(shí)證明,雖然通過(guò)嚴(yán)密的機(jī)器和人工審查,仍然有大量的用戶被惡意變種應(yīng)用所感染。而大多數(shù)的惡意應(yīng)用都是以經(jīng)濟(jì)利益為目的,在惡意行為執(zhí)行過(guò)程中,惡意應(yīng)用往往會(huì)表現(xiàn)出明顯的網(wǎng)絡(luò)交互特征。因此,這就為高效、輕量級(jí)的惡意應(yīng)用檢測(cè)平臺(tái)的探索提供了可能。本文對(duì)Android惡意應(yīng)用檢測(cè)領(lǐng)域的問(wèn)題,做了如下的研究工作:（1）研究了Android平臺(tái)網(wǎng)絡(luò)流量采集方法。利用Android SDK開(kāi)發(fā)工具包提供的VPNService類,完成了在手機(jī)本地自建的VPN通道內(nèi)捕獲移動(dòng)終端應(yīng)用程序的網(wǎng)絡(luò)流量,為模型的構(gòu)建提供了基礎(chǔ)流量數(shù)據(jù)支持。（2... 

【文章來(lái)源】：濟(jì)南大學(xué)山東省

【文章頁(yè)數(shù)】：56 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

/proc/net/tcp文件返回記錄其中包括本地地址和端口號(hào)、遠(yuǎn)程地址和端口號(hào)、連接狀態(tài)、UID等

圖 5.4 安裝 CA 證書(shū) 圖 5.5 VPN 連接提示用戶打開(kāi) Android 惡意應(yīng)用檢測(cè)系統(tǒng)后，因?yàn)樵撓到y(tǒng)是基于網(wǎng)絡(luò)流量的惡意應(yīng)用戶如果想要檢測(cè)當(dāng)前手機(jī)中應(yīng)用程序的安全性等情況，可以直接點(diǎn)擊主界面匙形狀的按鈕。由于流量數(shù)據(jù)中包含用戶大量的隱私和上網(wǎng)操作等數(shù)據(jù)，因此啟 VPN 服務(wù)時(shí)，系統(tǒng)會(huì)提示獲取 VPN 許可并監(jiān)控網(wǎng)絡(luò)流量，用戶只有點(diǎn)擊確系統(tǒng)才會(huì)正常工作。開(kāi)啟 VPN 服務(wù)提示頁(yè)面如圖 5.5 所示：在開(kāi)啟主界面右下角的鑰匙按鈕后，按鈕會(huì)由 OFF 變?yōu)?ON。這時(shí)，用戶就可去訪問(wèn)和使用已安裝在手機(jī)上的待測(cè)應(yīng)用程序。在聯(lián)網(wǎng)的狀態(tài)下，待測(cè)應(yīng)用通絡(luò)請(qǐng)求至目的服務(wù)器，進(jìn)行網(wǎng)絡(luò)交互行為。如圖 5.6 為 3 個(gè)待測(cè)應(yīng)用功程序運(yùn)這 3 個(gè)待測(cè)應(yīng)用程序分別為今日頭條（圖 5.6(a)）、時(shí)鐘（圖 5.6(b)）、微博極 5.6(c)），其中今日頭條和微博極速版為正常應(yīng)用程序，而時(shí)鐘為惡意應(yīng)用程VPN 服務(wù)開(kāi)啟過(guò)程中，應(yīng)用程序的所有網(wǎng)絡(luò)請(qǐng)求都會(huì)被系統(tǒng)自動(dòng)捕獲，以監(jiān)測(cè)的網(wǎng)絡(luò)行為。

圖 5.4 安裝 CA 證書(shū) 圖 5.5 VPN 連接提示用戶打開(kāi) Android 惡意應(yīng)用檢測(cè)系統(tǒng)后，因?yàn)樵撓到y(tǒng)是基于網(wǎng)絡(luò)流量的惡意應(yīng)用戶如果想要檢測(cè)當(dāng)前手機(jī)中應(yīng)用程序的安全性等情況，可以直接點(diǎn)擊主界面匙形狀的按鈕。由于流量數(shù)據(jù)中包含用戶大量的隱私和上網(wǎng)操作等數(shù)據(jù)，因此啟 VPN 服務(wù)時(shí)，系統(tǒng)會(huì)提示獲取 VPN 許可并監(jiān)控網(wǎng)絡(luò)流量，用戶只有點(diǎn)擊確系統(tǒng)才會(huì)正常工作。開(kāi)啟 VPN 服務(wù)提示頁(yè)面如圖 5.5 所示：在開(kāi)啟主界面右下角的鑰匙按鈕后，按鈕會(huì)由 OFF 變?yōu)?ON。這時(shí)，用戶就可去訪問(wèn)和使用已安裝在手機(jī)上的待測(cè)應(yīng)用程序。在聯(lián)網(wǎng)的狀態(tài)下，待測(cè)應(yīng)用通絡(luò)請(qǐng)求至目的服務(wù)器，進(jìn)行網(wǎng)絡(luò)交互行為。如圖 5.6 為 3 個(gè)待測(cè)應(yīng)用功程序運(yùn)這 3 個(gè)待測(cè)應(yīng)用程序分別為今日頭條（圖 5.6(a)）、時(shí)鐘（圖 5.6(b)）、微博極 5.6(c)），其中今日頭條和微博極速版為正常應(yīng)用程序，而時(shí)鐘為惡意應(yīng)用程VPN 服務(wù)開(kāi)啟過(guò)程中，應(yīng)用程序的所有網(wǎng)絡(luò)請(qǐng)求都會(huì)被系統(tǒng)自動(dòng)捕獲，以監(jiān)測(cè)的網(wǎng)絡(luò)行為。

【參考文獻(xiàn)】：
期刊論文
[1]基于移動(dòng)軟件行為大數(shù)據(jù)挖掘的惡意軟件檢測(cè)技術(shù)[J]. 張巍,任環(huán),張凱,李成明,姜青山.  集成技術(shù). 2016(02)
[2]Droid Detector:Android Malware Characterization and Detection Using Deep Learning[J]. Zhenlong Yuan,Yongqiang Lu,Yibo Xue.  Tsinghua Science and Technology. 2016(01)



本文編號(hào)：3254278