CN108667806A - Android重打包恶意应用检测方法、可读存储介质和终端 - Google Patents
Android重打包恶意应用检测方法、可读存储介质和终端 Download PDFInfo
- Publication number
- CN108667806A CN108667806A CN201810309713.4A CN201810309713A CN108667806A CN 108667806 A CN108667806 A CN 108667806A CN 201810309713 A CN201810309713 A CN 201810309713A CN 108667806 A CN108667806 A CN 108667806A
- Authority
- CN
- China
- Prior art keywords
- network
- mobile application
- detected
- flow characteristic
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种Android重打包恶意应用检测方法、可读存储介质和终端,所述方法包括:分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用;将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用。上述的方案,可以对Android重打包恶意应用进行检测,提高网络安全。
Description
技术领域
本发明涉及网络安全技术领域,具体地涉及一种Android重打包恶意应用检测方法及装置、可读存储介质和终端。
背景技术
随着移动互联网的迅速发展,安卓(Android)智能终端,如智能手机、平板电脑(Pad)、智能手表等,已经成为日常社会活动的重要辅助工具。
但安卓智能终端的广泛使用,也吸引了众多攻击者的目光,各类恶意移动应用(Mobile malware)攻击事件层出不穷。通过对安卓恶意移动应用的实现方法进行统计分析,发现超过80%的安卓恶意移动应用是通过重打包(repackaging)方式完成。分析其原因,一是由于安卓移动应用易于修改,黑客可利用开源工具,如APKTOOL、JADX等,对任意安卓移动应用进行修改,增加恶意代码并重新打包发布;二是通过对流行的安卓移动应用进行重打包,便于恶意代码的快速传播。
因此,Android重打包恶意应用对网络运行安全存在着威胁,对其进行检测具有重要的意义。
发明内容
本发明解决的技术问题是如何检测Android重打包恶意应用,提高网络安全。
为解决上述技术问题,本发明实施例提供了一种Android重打包恶意应用检测方法,所述方法包括:
分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用;
将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用。
可选地,所述构建待检测移动应用的网络流量行为模型包括:
获取所述待检测移动应用的网络流量;所述待检测移动应用的网络流量包括以所述待检测移动应用为发起方的出流和以待检测移动应用为接受方的入流;
计算所述待检测移动应用的网络流量对应的多个网络流量特征;
将所述多个网络特征按照顺序进行排列,得到所述待检测移动应用的网络流量行为模型。
可选地,所述构建对比组的网络流量行为模型,包括:
分别获取所述对比组中各个移动应用的网络流量;所述对比组中各个移动应用的网络流量包括以所述对比组中各个移动应用为发起方的出流和以待检测移动应用为接受方的入流;
分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征;
分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值;
将所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值按照顺序进行排列,得到对比组的网络流量行为模型。
可选地,所述网络流量特征包括以下至少两项:
出流的数量;
入流的数量;
所有出流中报文的数量总和;
所有入流中报文的数量总和;
所有出流中报文长度的总和;
所有入流中报文长度的总和;
所有出流中平均报文长度值;
所有出流中报文长度值的方差;
所有入流中平均报文长度值;
所有入流中报文长度值的方差;
所有出流中平均报文时间间隔;
所有出流中报文时间间隔的方差;
所有入流中平均报文时间间隔;
所有入流中报文时间间隔的方差。
可选地,所述将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用,包括:
分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理;
计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离;
当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离大于预设的距离阈值时,确定所述待检测移动应用为Android重打包恶意应用;
当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离小于或等于所述距离阈值时,确定所述待检测移动应用为正常应用。
可选地,采用如下的公式分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理:
且
其中,表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征,表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征,Fj(A)表示所述待检测移动应用的网络流量行为模型中的第j个网络特征,Fj(C)表示所述对比组的网络流量行为模型中的第j个网络特征,A表示所述待检测移动应用的网络流量行为模型,C表示所述对比组的网络流量行为模型。
可选地,采用如下的公式计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离:
其中,d表示所述归一化处理后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的欧式距离。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令运行时执行上述任一项所述的Android重打包恶意应用检测方法的步骤。
本发明实施例还提供了一种终端,包括存储器和处理器,所述存储器上储存有能够在所述处理器上运行的计算机指令,所述处理器运行所述计算机指令时执行上述任一项所述的Android重打包恶意应用检测方法的步骤。
与现有技术相比,本发明实施例的技术方案具有以下有益效果:
上述的方案,通过分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用,并将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用,可以准确地检测出待检测移动应用是否为Android重打包恶意应用,提高网络安全。
附图说明
图1是本发明实施例中的一种Android重打包恶意应用检测方法的流程图;
图2是本发明实施例中的另一种Android重打包恶意应用检测方法的流程图;
图3是如何选取与待检测应用“Moto X3M Bike Race Game-repackaged”相类似的游戏应用的示意图;
图4是本发明实施例中的一种Android重打包恶意应用检测装置的结构示意图。
具体实施方式
本发明实施例中的技术方案通过分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用,并将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用,可以准确地检测出待检测移动应用是否为Android重打包恶意应用,提高网络安全。
为使本发明的上述目的、特征和有益效果能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
图1是本发明实施例的一种Android重打包恶意应用检测方法的流程图。参见图1,一种Android重打包恶意应用检测方法,可以包括如下的步骤:
步骤S101:分别构建待检测移动应用和对比组的网络流量行为模型。
在具体实施中,所述对比组中包括多个与所述待检测移动应用相类似的移动应用。
步骤S102:将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用。
在具体实施中,通过将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对的比对结果,可以确定所述待检测移动应用是否为Android重打包恶意应用。
上述的方案,通过分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用,并将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用,可以准确地检测出待检测移动应用是否为Android重打包恶意应用,提高网络安全。
下面将结合图2对本发明实施例中的技术方案进行进一步详细的说明。
图2示出了本发明实施例中的另一种Android重打包恶意应用检测方法的流程图。请参见图2,本发明实施例中的一种Android重打包恶意应用检测方法,适于对Android重打包恶意应用进行检测,具体可以采用如下的步骤实现:
步骤S201:选取与待检测移动应用类似的多个Android移动应用,构成所述待检测移动应用的对比组。
在具体实施中,可以在移动应用商店中选取与待检测移动应用相类似的Android移动应用,构成所述待检测移动应用的对比组。其中,所述待检测移动应用的对比组中的移动应用的个数可以根据实际的需要进行设置,在此不做限制。
以移动应用商店Google Play为例,将待检测的Android移动应用记为A,在移动应用商店Google Play中选择与移动应用A相类似的移动应用的过程如下:
首先,在Google Play中搜索移动应用A,点击搜索结果,出现移动应用A的详细介绍页面,在移动应用A的详细介绍页面中显示的“同类内容”,可以以“同类内容”中的应用为与移动应用A相类似的Android移动应用,记为S1,S2,S3...,Sn,也即采用{S1,S2,S3...,Sn}组成移动应用A的对比组。
当然,本领域的技术人员还可以采用其他的方式,选取与待检测移动应用相类似的Android移动应用,在此不做限制。
步骤S202:判断所述待检测移动应用的对比组是否构建成功;当判断结果为是时,可以执行步骤S203;反之,则可以从步骤S201重新开始执行。
步骤S203:运行所述待检测移动应用,并获取所述待检测移动应用的网络流量。
在具体实施中,在所述待检测移动应用A的运行过程中,实时或定时捕获所述移动应用A在预设时间段内的网络流量。其中,预设时间段的时长可以根据实际的需要进行设置。
在本发明一实施例中,以<源地址,目的地址,源端口,目的端口,上层协议,流方向>六元组为网络流标识,提取待检测移动应用A所产生的所有网络流量。其中,所述六元组中的上层协议为传输控制协议(Transmission Control Protocol,TCP)或用户数据报协议(User Datagram Protocol,UDP);所述流方向包括以移动应用A为报文接受方的入流和以移动应用A为报文发起方的出流。
步骤S204:计算所述待检测移动应用的网络流量对应的多个网络流量特征。
在具体实施中,在获取到所述待检测移动应用A在预设时间段内产生的所有网络流量时,可以针对待检测移动应用A的所有出流和入流,提取其包含的所有报文的长度、报文时间间隔的值。其中,报文长度值不包括TCP或UDP和IP头部的长度。
当提取得到所述待检测移动应用A的所有出流和入流的报文的长度、报文时间间隔的值时,再基于提取得到所述待检测移动应用A的所有出流和入流的报文的长度、报文时间间隔的值,生成所述待检测移动应用A的网络流量特征。
在本发明一实施例中,所述待检测移动应用A网络流量特征包括以下十四项:
F1:出流的数量;
F2:入流的数量;
F3:所有出流中报文的数量总和;
F4:所有入流中报文的数量总和;
F5:所有出流中报文长度的总和;
F6:所有入流中报文长度的总和;
F7:所有出流中平均报文长度值;
F8:所有出流中报文长度值的方差;
F9:所有入流中平均报文长度值;
F10:所有入流中报文长度值的方差;
F11:所有出流中平均报文时间间隔;
F12:所有出流中报文时间间隔的方差;
F13:所有入流中平均报文时间间隔;
F14:所有入流中报文时间间隔的方差。
本领域的技术人员可以理解的是,所述待检测移动应用A的网络流量特征可以比上述的十四项网络特征更多或者更少,在此不做限制。
步骤S205:将所述多个网络特征按照顺序进行排列,得到所述待检测移动应用的网络流量行为模型。
在具体实施中,当生成所述待检测移动应用A的各项网络流量特征时,可以将成所述待检测移动应用A的各项网络流量特征按照预设的顺序进行排列,得到所述待检测移动应用A的网络流量行为模型。在本发明一实施例中,采用<F1,F2,F3,F4,F5,F6,F7,F8,F9,F10,F11,F12,F13,F14>,作为待检测移动应用A的网络行为模型,记为N(A)。
步骤S206:分别获取所述对比组中各个移动应用的网络流量。
在具体实施中,与所述对比组中各个移动应用的网络流量可以包括以所述对比组中各个移动应用为发起方的出流和以待检测移动应用为接受方的入流。
步骤S207:分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征。
在具体实施中,针对对比组{S1,S2,S3...,Sn}中每个移动应用Si(1≤i≤n),可以分别采用S203~S205的方式构建对比组中的每个移动应用Si的网络行为模型,记为N(Si),不再赘述。例如,当每个移动应用的网络特征包括上述的十四项网络流量特征时,对比组中的每个移动应用Si对应的网络流量特征记为Fj(Si)(1≤j≤14),且每个移动应用Si对应的网络特征模型,记为N(Si)=<F1(Si),F2(Si),F3(Si),F4(Si),F5(Si),F6(Si),F7(Si),F8(Si),F9(Si),F10(Si),F11(Si),F12(Si),F13(Si),F14(Si)>。
在具体实施中,当生成对比组中的每个移动应用Si对应的网络特征模型N(Si),可以基于对比组中的每个移动应用Si对应的网络特征模型N(Si),生成所述对比组的网络特征模型,记为N(C)。
步骤S208:分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值,并将所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值按照顺序进行排列,得到对比组的网络流量行为模型。
在本发明一实施例中,首先计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值,也即计算所述对比组C中的所有移动应用的各项网络流量特征的均值,并将计算得到的均值按照预设顺序进行排列,得到对比组的网络流量行为模型N(C)。例如,当每个移动应用的网络特征包括上述的十四项网络流量特征时,对比组的网络流量行为模型为N(C)为:
步骤S209:分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理。
在本发明一实施例中,采用如下的公式分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理:
且:
其中,表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征,表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征,Fj(A)表示所述待检测移动应用的网络流量行为模型中的第j个网络特征,Fj(C)表示所述对比组的网络流量行为模型中的第j个网络特征,A表示所述待检测移动应用的网络流量行为模型,C表示所述对比组的网络流量行为模型。
步骤S210:计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离。
在本发明一实施例中,计算所述归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离可以为欧式距离,也即采用如下的公式计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离:
其中,d表示所述归一化处理后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的欧式距离。
步骤S211:判断所述距离是否大于预设的距离阈值;当判断结果为是时,可以执行S212;反之,则可以执行步骤S213。
在具体实施中,所述预设的距离阈值t的数值,可以根据实际的需要,如根据先验知识进行确定,只要所设置的距离阈值t可以满足Android重打包恶意应用的检测要求即可,在此不做限定。
步骤S212:确定所述待检测移动应用为Android重打包恶意应用。
在具体实施中,当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离d大于距离阈值t时,可以确定待检测移动应用为Android重打包恶意应用。
步骤S213:确定所述待检测移动应用为正常应用。
在具体实施中,当确定能够确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离d小于或等于距离阈值t时,可以确定待检测移动应用为非Android重打包恶意应用,也即待检测移动应用为正常的Android移动应用。
为了方便描述,下面将结合具体的实例对本发明实施例中的基于网络流量行为比对的Android重打包恶意应用检测进行介绍。
参见图3,以对Android游戏应用“Moto X3M Bike Race Game”进行重打包,植入AnserverBot恶意程序,记重打包后的应用为“Moto X3M Bike Race Game-repackaged”,当采用本发明实施例中的方法进行对“Moto X3M Bike Race Game-repackaged”进行检测时:
首先,选择“Moto X3M Bike Race Game-repackaged”的对比组。通过在GooglePlay中搜索Moto X3M Bike Race Game,点击搜索结果进入该应用的详细介绍页面,选择详细介绍页面中的“同类内容”中的前5项应用组成对比组,也即选择的对比组中的移动应用为“摩托競技3D-Bike Racing”、“Bike Race免費版-最棒的免費遊戲”、“Traffic Rider”、“Wheelie Challenge”和“Mad Motor-Motocross racing-Dirt bike racing”,具体请参见图如图2所示。
接着,构建重打包后的Moto X3M Bike Race Game的网络行为模型。使用PacketCapture应用捕获“Moto X3M Bike Race Game-repackaged”产生的网络流量如下框所示:
然后,构建对比组的网络行为模型。使用Packet Capture应用分别捕获“摩托競技3D-Bike Racing”、“Bike Race免費版-最棒的免費遊戲”、“Traffic Rider”、“WheelieChallenge”和“Mad Motor-Motocross racing-Dirt bike racing”产生的网络流量,并使用前述的计算方法构建对比组的网络行为模型如下框所示:
之后,设定阈值t的值为0.8。使用上述的方法计算出“Moto X3M Bike Race Game-repackaged”和其对比组的网络流量行为模型间的欧氏距离d的值。计算出d的值为1.8416,大于0.8,故判定“Moto X3M Bike Race Game-repackaged”应用为Android重打包恶意应用。
上述对本发明实施例中的Android重打包恶意应用检测方法进行了详细的描述,下面将对上述的方法对应的装置进行介绍。
图4示出了本发明实施例还提供了一种Android重打包恶意应用检测装置的结构。参见图4,一种Android重打包恶意应用检测装置40可以包括模型构建单元401和比较确定单元402,其中:
所述模型构建单元401,适于分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用;
所述比较确定单元402,适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用。
在本发明一实施例中,所述模型构建单元401,适于获取所述待检测移动应用的网络流量;所述待检测移动应用的网络流量包括以所述待检测移动应用为发起方的出流和以待检测移动应用为接受方的入流;计算所述待检测移动应用的网络流量对应的多个网络流量特征;将所述多个网络特征按照顺序进行排列,得到所述待检测移动应用的网络流量行为模型。
在本发明一实施例中,所述模型构建单元401,还适于分别获取所述对比组中各个移动应用的网络流量;所述对比组中各个移动应用的网络流量包括以所述对比组中各个移动应用为发起方的出流和以待检测移动应用为接受方的入流;分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征;分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值;将所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值按照顺序进行排列,得到对比组的网络流量行为模型。
在具体实施中,所述网络流量特征包括以下至少一种:出流的数量;入流的数量;所有出流中报文的数量总和;所有入流中报文的数量总和;所有出流中报文长度的总和;所有入流中报文长度的总和;所有出流中平均报文长度值;所有出流中报文长度值的方差;所有入流中平均报文长度值;所有入流中报文长度值的方差;所有出流中平均报文时间间隔;所有出流中报文时间间隔的方差;所有入流中平均报文时间间隔;所有入流中报文时间间隔的方差。
在本发明一实施例中,所述比较确定单元402,适于分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理;计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离;当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离大于预设的距离阈值时,确定所述待检测移动应用为Android重打包恶意应用;当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离小于或等于所述距离阈值时,确定所述待检测移动应用为正常应用。
在本发明一实施例中,所述比较确定单元402,适于采用如下的公式分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理:
且
其中,表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征,表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征,Fj(A)表示所述待检测移动应用的网络流量行为模型中的第j个网络特征,Fj(C)表示所述对比组的网络流量行为模型中的第j个网络特征,A表示所述待检测移动应用的网络流量行为模型,C表示所述对比组的网络流量行为模型。
在本发明一实施例中,所述比较确定单元402,适于采用如下的公式计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离:
其中,d表示所述归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令运行时执行上述任一项所述的Android重打包恶意应用检测方法的步骤。
本发明实施例还提供了一种终端,包括存储器和处理器,所述存储器上储存有能够在所述处理器上运行的计算机指令,所述处理器运行所述计算机指令时执行上述任一项所述的Android重打包恶意应用检测方法的步骤。
采用本发明实施例中的上述方案,通过分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用,并将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用,可以准确地检测出待检测移动应用是否为Android重打包恶意应用,提高网络安全。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (9)
1.一种Android重打包恶意应用检测方法,其特征在于,包括:
分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用;
将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用。
2.根据权利要求1所述的Android重打包恶意应用检测方法,其特征在于,所述构建待检测移动应用的网络流量行为模型包括:
获取所述待检测移动应用的网络流量;所述待检测移动应用的网络流量包括以所述待检测移动应用为发起方的出流和以待检测移动应用为接受方的入流:
计算所述待检测移动应用的网络流量对应的多个网络流量特征;
将所述多个网络特征按照顺序进行排列,得到所述待检测移动应用的网络流量行为模型。
3.根据权利要求1所述的Android重打包恶意应用检测方法,其特征在于,所述构建对比组的网络流量行为模型,包括:
分别获取所述对比组中各个移动应用的网络流量;所述对比组中各个移动应用的网络流量包括以所述对比组中各个移动应用为发起方的出流和以待检测移动应用为接受方的入流;
分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征;
分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值;
将所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值按照顺序进行排列,得到对比组的网络流量行为模型。
4.根据权利要求2或3所述的Android重打包恶意应用检测方法,其特征在于,所述网络流量特征包括以下至少两项:
出流的数量;
入流的数量;
所有出流中报文的数量总和;
所有入流中报文的数量总和;
所有出流中报文长度的总和;
所有入流中报文长度的总和;
所有出流中平均报文长度值;
所有出流中报文长度值的方差;
所有入流中平均报文长度值;
所有入流中报文长度值的方差;
所有出流中平均报文时间间隔;
所有出流中报文时间间隔的方差;
所有入流中平均报文时间间隔;
所有入流中报文时间间隔的方差。
5.根据权利要求4所述的Android重打包恶意应用检测方法,其特征在于,所述将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用,包括:
分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理;
计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离;
当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离大于预设的距离阈值时,确定所述待检测移动应用为Android重打包恶意应用;
当确定归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离小于或等于所述距离阈值时,确定所述待检测移动应用为正常应用。
6.根据权利要求5所述的Android重打包恶意应用检测方法,其特征在于,采用如下的公式分别将所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行归一化处理:
且
其中,表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征,表示归一化处理后的所述待检测移动应用的网络流量行为模型中的第j个网络特征,Fj(A)表示所述待检测移动应用的网络流量行为模型中的第j个网络特征,Fj(C)表示所述对比组的网络流量行为模型中的第j个网络特征,A表示所述待检测移动应用的网络流量行为模型,C表示所述对比组的网络流量行为模型。
7.根据权利要求6所述的Android重打包恶意应用检测方法,其特征在于,采用如下的公式计算归一化后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的距离:
其中,d表示所述归一化处理后的所述待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型之间的欧式距离。
8.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,所述计算机指令运行时执行权利要求1至7任一项所述的Android重打包恶意应用检测方法的步骤。
9.一种终端,其特征在于,包括存储器和处理器,所述存储器上储存有能够在所述处理器上运行的计算机指令,所述处理器运行所述计算机指令时执行权利要求1至7任一项所述的Android重打包恶意应用检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810309713.4A CN108667806A (zh) | 2018-04-08 | 2018-04-08 | Android重打包恶意应用检测方法、可读存储介质和终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810309713.4A CN108667806A (zh) | 2018-04-08 | 2018-04-08 | Android重打包恶意应用检测方法、可读存储介质和终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108667806A true CN108667806A (zh) | 2018-10-16 |
Family
ID=63783396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810309713.4A Pending CN108667806A (zh) | 2018-04-08 | 2018-04-08 | Android重打包恶意应用检测方法、可读存储介质和终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108667806A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104715194A (zh) * | 2013-12-13 | 2015-06-17 | 北京启明星辰信息安全技术有限公司 | 恶意软件检测方法和装置 |
| CN104778409A (zh) * | 2015-04-16 | 2015-07-15 | 电子科技大学 | 一种Android应用软件相似性的检测方法及装置 |
| CN105323247A (zh) * | 2015-10-13 | 2016-02-10 | 华中科技大学 | 一种用于移动终端的入侵检测系统 |
| CN106972968A (zh) * | 2017-03-29 | 2017-07-21 | 北京理工大学 | 一种基于交叉熵联合马氏距离的网络异常流量检测方法 |
| CN107169323A (zh) * | 2017-05-11 | 2017-09-15 | 南京大学 | 一种基于布局簇图的安卓应用重打包检测方法 |
| CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
-
2018
- 2018-04-08 CN CN201810309713.4A patent/CN108667806A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104715194A (zh) * | 2013-12-13 | 2015-06-17 | 北京启明星辰信息安全技术有限公司 | 恶意软件检测方法和装置 |
| CN104778409A (zh) * | 2015-04-16 | 2015-07-15 | 电子科技大学 | 一种Android应用软件相似性的检测方法及装置 |
| CN105323247A (zh) * | 2015-10-13 | 2016-02-10 | 华中科技大学 | 一种用于移动终端的入侵检测系统 |
| CN106972968A (zh) * | 2017-03-29 | 2017-07-21 | 北京理工大学 | 一种基于交叉熵联合马氏距离的网络异常流量检测方法 |
| CN107169323A (zh) * | 2017-05-11 | 2017-09-15 | 南京大学 | 一种基于布局簇图的安卓应用重打包检测方法 |
| CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 侯勤胜: "基于网络行为分析的Android恶意软件动态检测", 《中国优秀硕士论文全文数据库信息科技辑》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
| CN112543176A (zh) | 一种异常网络访问检测方法、装置、存储介质及终端 | |
| CN110351280A (zh) | 一种威胁情报提取的方法、系统、设备及可读存储介质 | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| JP6500086B2 (ja) | 二次元コードの解析方法および装置、コンピュータ読み取り可能な記憶媒体、コンピュータプログラムおよび端末機器 | |
| Moodi et al. | A hybrid intelligent approach to detect android botnet using smart self-adaptive learning-based PSO-SVM | |
| CN106878314B (zh) | 基于可信度的网络恶意行为检测方法 | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| US11729189B1 (en) | Virtual security appliances for eliciting attacks | |
| JP2017215954A (ja) | アンチウイルススキャンを実行するために分散システムを構成する仮想マシン間でファイルを配布するシステム及び方法 | |
| CN107463844B (zh) | Web木马检测方法及系统 | |
| CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN112565308B (zh) | 基于网络流量的恶意应用检测方法、装置、设备及介质 | |
| CN111476610A (zh) | 一种信息检测方法、装置及计算机可读存储介质 | |
| Tekiner et al. | A Lightweight IoT Cryptojacking Detection Mechanism in Heterogeneous Smart Home Networks. | |
| JP2010187282A (ja) | 暗号鍵生成システム、暗号鍵生成方法および暗号鍵生成用プログラム | |
| CN109068150A (zh) | 一种视频的精彩画面提取方法、终端及计算机可读介质 | |
| Wu et al. | Chaos-based detection of LDoS attacks | |
| CN112801233B (zh) | 一种物联网设备蜜罐系统攻击分类方法、装置及设备 | |
| CN104978523A (zh) | 一种基于网络热词识别的恶意样本捕获方法及系统 | |
| Folino et al. | Automatic offloading of mobile applications into the cloud by means of genetic programming | |
| CN108667806A (zh) | Android重打包恶意应用检测方法、可读存储介质和终端 | |
| CN108540472A (zh) | Android重打包恶意应用检测装置 | |
| CN107204856B (zh) | 一种检测椭圆曲线算法漏洞的方法及装置 | |
| CN109120579A (zh) | 恶意域名的检测方法、装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181016 |