王澍瑋,張林杰,2,賈 哲,2,屈宏剛
(1.中國(guó)電子科技集團(tuán)公司第五十四研究所,河北 石家莊 050081;2.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室,河北 石家莊 050081;3.電子科技大學(xué),四川 成都 611731)
由Google公司發(fā)布的移動(dòng)設(shè)備操作系統(tǒng)Android,因其開源和自由等特性,迅速超越了塞班系統(tǒng),在智能移動(dòng)設(shè)備操作系統(tǒng)市場(chǎng)占有率排名第一。隨之而來,在安卓系統(tǒng)備受開發(fā)者和用戶歡迎的同時(shí),也容易受到惡意者的攻擊。
自從2010年針對(duì)安卓操作系統(tǒng)的第一款惡意軟件FakePlayer出現(xiàn)以來,大量的惡意軟件被發(fā)現(xiàn)。惡意軟件攜帶了惡意代碼,會(huì)對(duì)操作系統(tǒng)以及其他軟件應(yīng)用產(chǎn)生威脅。因此,大多數(shù)的防病毒軟件公司針對(duì)安卓惡意軟件陸續(xù)推出了相應(yīng)的防病毒軟件,諸如Lookout Security & Antivirus,TrendMicro Mobile Security以及AVGAntivirus等。但大部分檢測(cè)工具都是通過靜態(tài)分析程序調(diào)用結(jié)構(gòu)或者動(dòng)態(tài)分析程序運(yùn)行來判定,導(dǎo)致一些隱蔽性較高的惡意軟件不容易被發(fā)現(xiàn)。
為了解決現(xiàn)有安卓惡意軟件識(shí)別效率和真陰率低的問題,提出基于網(wǎng)絡(luò)流量的檢測(cè)方法。采用深度學(xué)習(xí)的方法,在實(shí)驗(yàn)環(huán)境下和傳統(tǒng)機(jī)器學(xué)習(xí)方法進(jìn)行對(duì)比,大大提高了惡意軟件識(shí)別的效率和真陰率。目前將深度學(xué)習(xí)與網(wǎng)絡(luò)流量結(jié)合對(duì)Android應(yīng)用程序進(jìn)行惡意軟件檢測(cè)的研究比較少,但惡意軟件的網(wǎng)絡(luò)流量交互通常呈現(xiàn)出一定周期性,并且大部分惡意軟件的隱蔽性較高,要實(shí)現(xiàn)惡意行為都必須通過與服務(wù)器的通信,通過流量的分析能夠識(shí)別出大部分傳統(tǒng)機(jī)器學(xué)習(xí)方法不能識(shí)別出的惡意軟件。……