基于網(wǎng)絡(luò)異常行為的智能終端惡意軟件檢測(cè)技術(shù)研究.pdf

1、近幾年，智能移動(dòng)終端使用量迅猛增加，尤其是Android平臺(tái)的手機(jī)，幾乎占了手機(jī)市場(chǎng)的大半份額。而由于Android系統(tǒng)的開放特性和上網(wǎng)環(huán)境的便捷性，很多攻擊者把智能終端當(dāng)成了攻擊的目標(biāo)，他們能輕易收集用戶隱私信息，從而對(duì)用戶造成巨大威脅。本文主要在研究Android平臺(tái)上惡意軟件威脅特性和現(xiàn)有檢測(cè)方案的基礎(chǔ)上，提出一種基于網(wǎng)絡(luò)行為的惡意軟件檢測(cè)方案，實(shí)現(xiàn)了對(duì)Android平臺(tái)上惡意軟件的有效檢測(cè)。
　　本文通過分析軟件運(yùn)行過程中

2、相關(guān)的網(wǎng)絡(luò)特性如流量、端口、IP地址等，發(fā)現(xiàn)在正常軟件運(yùn)行情況下，網(wǎng)絡(luò)信息比較穩(wěn)定，而一旦感染竊密木馬或僵尸網(wǎng)絡(luò)，就會(huì)在流量和網(wǎng)址等網(wǎng)絡(luò)行為上表現(xiàn)出異常。由此可知惡意軟件的多種操作都和網(wǎng)絡(luò)信息有關(guān)，所以將網(wǎng)絡(luò)行為作為檢測(cè)依據(jù)的方法是有效的。本文具體研究工作如下：
　　首先，獲取網(wǎng)絡(luò)行為信息。為提高網(wǎng)絡(luò)行為數(shù)據(jù)的真實(shí)性，網(wǎng)絡(luò)行為獲取模塊基于Linux內(nèi)核的Netfilter框架，在框架的檢測(cè)點(diǎn)處設(shè)置處理函數(shù)，分析從內(nèi)核獲取的網(wǎng)絡(luò)數(shù)據(jù)

3、包并解析出需要的信息，這些信息是來(lái)自 Android手機(jī)架構(gòu)的Linux內(nèi)核層，底層獲取的方法能保證數(shù)據(jù)的真實(shí)性。
　　然后，處理數(shù)據(jù)與檢測(cè)異常。為了提高檢測(cè)效率，本文采用約簡(jiǎn)特征數(shù)據(jù)的方法對(duì)捕獲的原始網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)處理，提高樸素貝葉斯算法在網(wǎng)絡(luò)行為數(shù)據(jù)處理環(huán)境下的適用性。預(yù)處理部分首先對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行清理，將無(wú)用信息清除；然后借助建立靜態(tài)地址庫(kù)和字段查詢等方法對(duì)各數(shù)據(jù)進(jìn)行劃分，將繁雜數(shù)據(jù)歸一化，最后構(gòu)造特征向量。本文的異常識(shí)別模塊

4、主要部分是樸素貝葉斯分類器，將預(yù)處理后的數(shù)據(jù)作為特征向量引入到樸素貝葉斯分類器中，進(jìn)行分類檢測(cè)，檢測(cè)結(jié)果有兩個(gè)：正常和異常。
　　最后，引入隱私數(shù)據(jù)監(jiān)測(cè)技術(shù)。由于隱私竊取軟件危害大小與其竊取數(shù)據(jù)的來(lái)源和路徑有關(guān)，為了保證隱私竊取軟件的危害可知性，本文引入了隱私數(shù)據(jù)監(jiān)測(cè)技術(shù)，對(duì)異常識(shí)別模塊檢測(cè)出的惡意軟件進(jìn)行數(shù)據(jù)流跟蹤，確定其隱私數(shù)據(jù)泄漏路徑，從而明確其危害性大小，以便進(jìn)行下一步處理。
　　文章最后將該系統(tǒng)進(jìn)行功能測(cè)試，測(cè)試結(jié)