android恶意软件流量,基于流量分析的安卓恶意软件检测

摘要：

随着智能手机行业的发展,人们在日常的工作学习生活中越来越离不开智能手机.Android系统作为流行度最高的智能手机系统之一,其安全性正受到越来越多恶意攻击者和安全研究者的关注.根据Zhou,Sarma和Yerima等人各自的研究,超过93%的Android恶意软件需要访问网络才能完成攻击,使用网络流量特征检测Android恶意软件具有可行性.近年来,该领域已有了较多研究,本文中分析了现有方案的不足,发现了两类较为突出的问题.首先,目前Android恶意软件流量检测研究成果主要基于较早的公开数据集,如2012年的Android Malware Genome.根据Pendlebury等人的研究,Android恶意软件的持续更新会导致检测效率逐渐下降,因此我们需要采集最新的流量数据以验证检测效果.其次,目前的研究方案主要基于机器学习,存在特征选取困难,无法充分利用流量上下文信息以及识别准确率较低等问题.针对第一个问题,本文构造了一种Android软件流量生成方案,实现从安装到测试完成流程的自动化,并集成了流量降噪和去重功能.使得我们可以近实时地获取最新的软件流量以判定其恶意性.经实验验证本文方案采集流量真实有效,过滤方案在不影响分类效果的前提下成功过滤掉干扰项.针对第二个问题,本文分析网络流量的结构特点,发现Pcap文件结构使其可看作二维矩阵,同时网络流量的序列性使其可以看作长文本.据此本文提出了基于时空特征的Android恶意软件流量检测方案,设计了结合使用CNN和双向LSTM学习时间空间双重特征.在基于CICAndMal2017和本文自动化采集方案所制作的数据集上,对比了单一CNN和LSTM的模型,随机森林,决策树,KNN和统计特征等检测方案,在对比实验中,时空特征方案相比上述方案在准确率,精确率,查全率和F1-score上均有所提升.

展开