基于網絡流量的安卓惡意軟件識別

王澍瑋，張林杰，2，賈 哲，2，屈宏剛

(1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；2.通信網信息傳輸與分發技術重點實驗室，河北 石家莊 050081；3.電子科技大學，四川 成都 611731)

0 引言

由Google公司發布的移動設備操作系統Android，因其開源和自由等特性，迅速超越了塞班系統，在智能移動設備操作系統市場占有率排名第一。隨之而來，在安卓系統備受開發者和用戶歡迎的同時，也容易受到惡意者的攻擊。

自從2010年針對安卓操作系統的第一款惡意軟件FakePlayer出現以來，大量的惡意軟件被發現。惡意軟件攜帶了惡意代碼，會對操作系統以及其他軟件應用產生威脅。因此，大多數的防病毒軟件公司針對安卓惡意軟件陸續推出了相應的防病毒軟件，諸如Lookout Security & Antivirus，TrendMicro Mobile Security以及AVGAntivirus等。但大部分檢測工具都是通過靜態分析程序調用結構或者動態分析程序運行來判定，導致一些隱蔽性較高的惡意軟件不容易被發現。

為了解決現有安卓惡意軟件識別效率和真陰率低的問題，提出基于網絡流量的檢測方法。采用深度學習的方法，在實驗環境下和傳統機器學習方法進行對比，大大提高了惡意軟件識別的效率和真陰率。目前將深度學習與網絡流量結合對Android應用程序進行惡意軟件檢測的研究比較少，但惡意軟件的網絡流量交互通常呈現出一定周期性，并且大部分惡意軟件的隱蔽性較高，要實現惡意行為都必須通過與服務器的通信，通過流量的分析能夠識別出大部分傳統機器學習方法不能識別出的惡意軟件。……