基于移动基站数据的手机恶意行为检测研究

发布时间：2022-01-25 06:17

　　随着智能手机和4G移动网络的普及,移动互联网行业在近年迅速发展壮大,带来了安卓应用程序的恶意软件、盗版软件等各种安全问题,安卓用户因此受到病毒、木马、蠕虫以及僵尸网络等威胁,安卓安全研究应运而生。研究者一方面通过软件加壳、代码混淆等技术对安卓应用进行保护,另一方面通过对检测恶意流量,进而检测手机恶意行为。安卓应用保护以应用程序为研究主体,验证应用的合法性和安全性。安卓流量检测则通过监控设备流量,及时发现非法上传下载行为。后者仅通过流量识别恶意服务器,而忽略了安卓客户端的保护,没有与安卓应用保护形成统一的检测保护方案。本文在现有工作基础上,深入研究了手机恶意流量基础,并总结分析了相关的国内外文献,提出了基于DNS特征和网络流量特征的移动终端APT恶意流量检测方法,以及基于DNS特征的移动终端僵尸网络恶意流量检测方法,建立基于机器学习的异常检测模型,并采用基于多分类器融合技术的声誉引擎对可疑的IP地址进行综合评价,使用两种方法并行检测不同类型的手机恶意流量。最终,使用流量分类的技术,通过应用程序的指纹匹配将产生恶意流量的安卓应用程序与恶意流量相关联,达到恶意流量定位的目的。本文协同了移动设... 

【文章来源】：电子科技大学四川省 211工程院校 985工程院校 教育部直属院校

【文章页数】：71 页

【学位级别】：硕士

【部分图文】：

图２－３?Ｅｑｕｉｔｙ?Ｂｏｔｎｅｔ网络结构??

?电子料技大学硕士学位论文???Ｅｑｕｉｔｙ?Ｂｏｔｎｅｔ管理复杂性更低，隐蔽性更高，网络结构如图２－４所示。??Ｂｏｔｍａｓｔｅｒ??／＼??????分眞、ｎ、??徹暮、炎博??圈２－４?Ｌｃ?Ｂｏｔｎｅｔ网络结构??（４）?Ｈｙｂｒｉｄ?Ｂｏｔｎｅｔ??Ｈｙｂｒｉｄ?Ｂｏｔｎｅｔ是一种整体中心、局部Ｐ２Ｐ结构＿，它将网络中的僵尸生机分??为两部分：其中具有静态ＩＰ、其他主机可远程访问的一类称为服务器僵尸主机（简??称服务器）；而由于动态ＩＰ或防火墙等原囡无法进行远程访何的－类称为客户端??僵尸主机（简称客户端）。网络中服务器间形成Ｐ２Ｐ网络进行通信＞?客户端内通过??维护一张连接表实现对服务器的Ｐ２Ｐ访问。该网络可有效解决Ｃｅｎｔｒａｌｉｚｅｄ?Ｂｏｔｎｅｔ??网络中服务器被关停后的网络失效问题，其网络结构如图２－５所示。??Ｂｏｔｍａｓｔｅｒ???方＇???？?＼??Ｓｅｒｖａｎｔ?，?、、、??：愈—??Ｃｌｉｅｎｔ?／?／?Ｉ?／、＇?ｉ?＼?＼??Ｂｏｔ?＇／?！?／?、、、：?、、ｉ??（５?（５?６?ｂ??图２－５?Ｈｙｂｒｉｄ?Ｂｏｔｎｅｔ网络结构??（５）?Ｓｕｐｅｒ?Ｂｏｔｎｅｔ??Ｓｕｐｅｒ?Ｂｏｔｎｅｔ是一种整体Ｐ２Ｐ、局部中心结构，网络中一些可远程访问的主机??充当服务器，每个服务器管理一部分公网不可达的主机，形成局部中心结构；而各??１２??

图２－６?Ｓｕｐｅｒ?Ｂｏｔｎｅｔ网絡结构??


本文编号：3608038