基于网络流量的Android恶意应用检测方法及其系统
发布时间:2021-06-28 12:00
随着移动互联网的快速发展,越来越多的人使用智能手机通信和办公。尽管现在的移动操作系统已经尽最大可能为用户提供安全的上网环境,但由于Android的开源特性,它仍然无法完全阻止Android恶意软件的大规模感染和爆发。基于代码段的静态检测和基于行为的动态检测虽然可以一定程度上识别恶意软件,但仍存在许多问题,例如检测未知恶意变种效率低和部署困难等。调查研究发现,目前市场上对恶意应用的审查机制主要有两种,第一种为服务端和云平台的恶意应用检测,第二种为移动智能终端的恶意应用检测。事实证明,虽然通过严密的机器和人工审查,仍然有大量的用户被恶意变种应用所感染。而大多数的恶意应用都是以经济利益为目的,在恶意行为执行过程中,恶意应用往往会表现出明显的网络交互特征。因此,这就为高效、轻量级的恶意应用检测平台的探索提供了可能。本文对Android恶意应用检测领域的问题,做了如下的研究工作:(1)研究了Android平台网络流量采集方法。利用Android SDK开发工具包提供的VPNService类,完成了在手机本地自建的VPN通道内捕获移动终端应用程序的网络流量,为模型的构建提供了基础流量数据支持。(2...
【文章来源】:济南大学山东省
【文章页数】:56 页
【学位级别】:硕士
【部分图文】:
/proc/net/tcp文件返回记录其中包括本地地址和端口号、远程地址和端口号、连接状态、UID等
图 5.4 安装 CA 证书 图 5.5 VPN 连接提示用户打开 Android 恶意应用检测系统后,因为该系统是基于网络流量的恶意应用户如果想要检测当前手机中应用程序的安全性等情况,可以直接点击主界面匙形状的按钮。由于流量数据中包含用户大量的隐私和上网操作等数据,因此启 VPN 服务时,系统会提示获取 VPN 许可并监控网络流量,用户只有点击确系统才会正常工作。开启 VPN 服务提示页面如图 5.5 所示:在开启主界面右下角的钥匙按钮后,按钮会由 OFF 变为 ON。这时,用户就可去访问和使用已安装在手机上的待测应用程序。在联网的状态下,待测应用通络请求至目的服务器,进行网络交互行为。如图 5.6 为 3 个待测应用功程序运这 3 个待测应用程序分别为今日头条(图 5.6(a))、时钟(图 5.6(b))、微博极 5.6(c)),其中今日头条和微博极速版为正常应用程序,而时钟为恶意应用程VPN 服务开启过程中,应用程序的所有网络请求都会被系统自动捕获,以监测的网络行为。
图 5.4 安装 CA 证书 图 5.5 VPN 连接提示用户打开 Android 恶意应用检测系统后,因为该系统是基于网络流量的恶意应用户如果想要检测当前手机中应用程序的安全性等情况,可以直接点击主界面匙形状的按钮。由于流量数据中包含用户大量的隐私和上网操作等数据,因此启 VPN 服务时,系统会提示获取 VPN 许可并监控网络流量,用户只有点击确系统才会正常工作。开启 VPN 服务提示页面如图 5.5 所示:在开启主界面右下角的钥匙按钮后,按钮会由 OFF 变为 ON。这时,用户就可去访问和使用已安装在手机上的待测应用程序。在联网的状态下,待测应用通络请求至目的服务器,进行网络交互行为。如图 5.6 为 3 个待测应用功程序运这 3 个待测应用程序分别为今日头条(图 5.6(a))、时钟(图 5.6(b))、微博极 5.6(c)),其中今日头条和微博极速版为正常应用程序,而时钟为恶意应用程VPN 服务开启过程中,应用程序的所有网络请求都会被系统自动捕获,以监测的网络行为。
【参考文献】:
期刊论文
[1]基于移动软件行为大数据挖掘的恶意软件检测技术[J]. 张巍,任环,张凯,李成明,姜青山. 集成技术. 2016(02)
[2]Droid Detector:Android Malware Characterization and Detection Using Deep Learning[J]. Zhenlong Yuan,Yongqiang Lu,Yibo Xue. Tsinghua Science and Technology. 2016(01)
本文编号:3254278
【文章来源】:济南大学山东省
【文章页数】:56 页
【学位级别】:硕士
【部分图文】:
/proc/net/tcp文件返回记录其中包括本地地址和端口号、远程地址和端口号、连接状态、UID等
图 5.4 安装 CA 证书 图 5.5 VPN 连接提示用户打开 Android 恶意应用检测系统后,因为该系统是基于网络流量的恶意应用户如果想要检测当前手机中应用程序的安全性等情况,可以直接点击主界面匙形状的按钮。由于流量数据中包含用户大量的隐私和上网操作等数据,因此启 VPN 服务时,系统会提示获取 VPN 许可并监控网络流量,用户只有点击确系统才会正常工作。开启 VPN 服务提示页面如图 5.5 所示:在开启主界面右下角的钥匙按钮后,按钮会由 OFF 变为 ON。这时,用户就可去访问和使用已安装在手机上的待测应用程序。在联网的状态下,待测应用通络请求至目的服务器,进行网络交互行为。如图 5.6 为 3 个待测应用功程序运这 3 个待测应用程序分别为今日头条(图 5.6(a))、时钟(图 5.6(b))、微博极 5.6(c)),其中今日头条和微博极速版为正常应用程序,而时钟为恶意应用程VPN 服务开启过程中,应用程序的所有网络请求都会被系统自动捕获,以监测的网络行为。
图 5.4 安装 CA 证书 图 5.5 VPN 连接提示用户打开 Android 恶意应用检测系统后,因为该系统是基于网络流量的恶意应用户如果想要检测当前手机中应用程序的安全性等情况,可以直接点击主界面匙形状的按钮。由于流量数据中包含用户大量的隐私和上网操作等数据,因此启 VPN 服务时,系统会提示获取 VPN 许可并监控网络流量,用户只有点击确系统才会正常工作。开启 VPN 服务提示页面如图 5.5 所示:在开启主界面右下角的钥匙按钮后,按钮会由 OFF 变为 ON。这时,用户就可去访问和使用已安装在手机上的待测应用程序。在联网的状态下,待测应用通络请求至目的服务器,进行网络交互行为。如图 5.6 为 3 个待测应用功程序运这 3 个待测应用程序分别为今日头条(图 5.6(a))、时钟(图 5.6(b))、微博极 5.6(c)),其中今日头条和微博极速版为正常应用程序,而时钟为恶意应用程VPN 服务开启过程中,应用程序的所有网络请求都会被系统自动捕获,以监测的网络行为。
【参考文献】:
期刊论文
[1]基于移动软件行为大数据挖掘的恶意软件检测技术[J]. 张巍,任环,张凯,李成明,姜青山. 集成技术. 2016(02)
[2]Droid Detector:Android Malware Characterization and Detection Using Deep Learning[J]. Zhenlong Yuan,Yongqiang Lu,Yibo Xue. Tsinghua Science and Technology. 2016(01)
本文编号:3254278
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3254278.html
