基于網(wǎng)絡(luò)流量的安卓惡意軟件識(shí)別

王澍瑋，張林杰，2，賈 哲，2，屈宏剛

(1.中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；2.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081；3.電子科技大學(xué)，四川 成都 611731)

0 引言

由Google公司發(fā)布的移動(dòng)設(shè)備操作系統(tǒng)Android，因其開源和自由等特性，迅速超越了塞班系統(tǒng)，在智能移動(dòng)設(shè)備操作系統(tǒng)市場(chǎng)占有率排名第一。隨之而來，在安卓系統(tǒng)備受開發(fā)者和用戶歡迎的同時(shí)，也容易受到惡意者的攻擊。

自從2010年針對(duì)安卓操作系統(tǒng)的第一款惡意軟件FakePlayer出現(xiàn)以來，大量的惡意軟件被發(fā)現(xiàn)。惡意軟件攜帶了惡意代碼，會(huì)對(duì)操作系統(tǒng)以及其他軟件應(yīng)用產(chǎn)生威脅。因此，大多數(shù)的防病毒軟件公司針對(duì)安卓惡意軟件陸續(xù)推出了相應(yīng)的防病毒軟件，諸如Lookout Security & Antivirus，TrendMicro Mobile Security以及AVGAntivirus等。但大部分檢測(cè)工具都是通過靜態(tài)分析程序調(diào)用結(jié)構(gòu)或者動(dòng)態(tài)分析程序運(yùn)行來判定，導(dǎo)致一些隱蔽性較高的惡意軟件不容易被發(fā)現(xiàn)。

為了解決現(xiàn)有安卓惡意軟件識(shí)別效率和真陰率低的問題，提出基于網(wǎng)絡(luò)流量的檢測(cè)方法。采用深度學(xué)習(xí)的方法，在實(shí)驗(yàn)環(huán)境下和傳統(tǒng)機(jī)器學(xué)習(xí)方法進(jìn)行對(duì)比，大大提高了惡意軟件識(shí)別的效率和真陰率。目前將深度學(xué)習(xí)與網(wǎng)絡(luò)流量結(jié)合對(duì)Android應(yīng)用程序進(jìn)行惡意軟件檢測(cè)的研究比較少，但惡意軟件的網(wǎng)絡(luò)流量交互通常呈現(xiàn)出一定周期性，并且大部分惡意軟件的隱蔽性較高，要實(shí)現(xiàn)惡意行為都必須通過與服務(wù)器的通信，通過流量的分析能夠識(shí)別出大部分傳統(tǒng)機(jī)器學(xué)習(xí)方法不能識(shí)別出的惡意軟件。……