移動互聯(lián)網(wǎng)的興起給人們帶來了極大便利,但越來越多的惡意安卓應用滲透到了人們的生活中。對安卓惡意應用進行溯源分析有助于從源頭上封堵惡意應用,是治理安卓惡意應用的重要環(huán)節(jié)。近年來,威脅情報在溯源分析中的地位愈加重要,但利用主流威脅情報平臺進行分析存在兩點不足:一是現(xiàn)有威脅情報規(guī)范的設計側重于網(wǎng)絡攻擊、計算機病毒等領域,對移動惡意軟件未做特殊處理;二是威脅情報的關聯(lián)方法上側重于利用IP、URL等網(wǎng)絡特征進行關聯(lián),對代碼、資源文件等樣本內部特征考慮較少,最終導致現(xiàn)有威脅情報方案無法很好地應用于移動安全溯源分析實踐。本文針對上述問題,結合安卓惡意應用與溯源分析的特點,從關聯(lián)惡意應用獲取、威脅情報表示、情報關聯(lián)方法三個方面對傳統(tǒng)方案進行了改進,具體工作如下:1)在關聯(lián)惡意應用獲取方面,提出了一種基于多特征的安卓相似應用檢測方法,該方法從資源文件、網(wǎng)絡、代碼和元數(shù)據(jù)共四個維度提取一系列特征,再針對各個維度構建相似度檢測算法,并使用B-Tree索引、倒排索引等技術提高檢測效率。實驗表明,本方法相比傳統(tǒng)方法召回率提高了 10.9%、檢測時間縮短了28.9%且具有較好的抗混淆能力。2)在威脅情報表示方面,... 

【文章來源】：北京郵電大學北京市 211工程院校 教育部直屬院校

【文章頁數(shù)】：79 頁

【學位級別】：碩士

【部分圖文】：

圖１－１傳統(tǒng)基于威脅情報的溯源分析流程??然而目前主流威脅情報廠商的關注重點都在網(wǎng)絡攻擊、計算機病毒等領域，??

務器信息后，通過域名反查到關聯(lián)ＱＱ郵箱以及ＱＱ賬號，然后通過搜索引擎找??到了其在百度貼吧販賣盜號木馬的連接，并最終潛入販賣盜號木馬的ＱＱ群中。??圖２－１展示了該盜號木馬的控制服務器的ＷＨＯＩＳ注冊信息??敏名?ｘｃｊ．ｉｅ．ｃｉｉ?的信麼：，、＿?＞■?－?，ＣＯ＇勞隹圬??，＾．?ｘｃｉｚｅ－？：ｎ?＂ｗｈｃｉｓ?ｆｆｉＭ??ｃｒ?ｃｃｎ?ｃｃ??￡４Ｓ４Ｓ４６３６＾＜｝ｑ．ｃｏｒｎ??故鞍Ｍ?ｉＧｌ／＾０９．￡＝２４＝??￡２幼時屬?２ＧｉＳ＆Ｄ９．＾２４Ｓ??ＤＮＳ?ｆ５＾ｌＪｉｒ．ｈ〇ｆｔａｄｒｒ：ｌｎ．ｒ：５ｓ??ｍ?ｒ－．ｒｎｙ?＾〇ｉｔ３ｄ：Ｔ！?ｊＴｉ．ｎｓｔ：??？＾ｓ６＾（ｙｈ〇５ｔ，ｓｄｎｒ；５？ｊ．ｒ：！？Ｔ??熱縱Ｓｉ項飲跋ｓ〇??圖２－１某盜號木馬控制服務器的ＷＨＯＩＳ注冊信息??７??

務器信息后，通過域名反查到關聯(lián)ＱＱ郵箱以及ＱＱ賬號，然后通過搜索引擎找??到了其在百度貼吧販賣盜號木馬的連接，并最終潛入販賣盜號木馬的ＱＱ群中。??圖２－１展示了該盜號木馬的控制服務器的ＷＨＯＩＳ注冊信息??敏名?ｘｃｊ．ｉｅ．ｃｉｉ?的信麼：，、＿?＞■?－?，ＣＯ＇勞隹圬??，＾．?ｘｃｉｚｅ－？：ｎ?＂ｗｈｃｉｓ?ｆｆｉＭ??ｃｒ?ｃｃｎ?ｃｃ??￡４Ｓ４Ｓ４６３６＾＜｝ｑ．ｃｏｒｎ??故鞍Ｍ?ｉＧｌ／＾０９．￡＝２４＝??￡２幼時屬?２ＧｉＳ＆Ｄ９．＾２４Ｓ??ＤＮＳ?ｆ５＾ｌＪｉｒ．ｈ〇ｆｔａｄｒｒ：ｌｎ．ｒ：５ｓ??ｍ?ｒ－．ｒｎｙ?＾〇ｉｔ３ｄ：Ｔ！?ｊＴｉ．ｎｓｔ：??？＾ｓ６＾（ｙｈ〇５ｔ，ｓｄｎｒ；５？ｊ．ｒ：��？Ｔ??熱縱Ｓｉ項飲跋ｓ〇??圖２－１某盜號木馬控制服務器的ＷＨＯＩＳ注冊信息??７??

【參考文獻】：
期刊論文
[1]惡意代碼演化與溯源技術研究[J]. 宋文納,彭國軍,傅建明,張煥國,陳施旅.  軟件學報. 2019(08)
[2]基于威脅情報的金融信息安全指標建模研究[J]. 段越,林蓉,劉翔,薛質,施勇.  信息技術. 2018(06)
[3]網(wǎng)絡空間威脅情報共享技術綜述[J]. 楊沛安,武楊,蘇莉婭,劉寶旭.  計算機科學. 2018(06)
[4]面向網(wǎng)絡空間安全的威脅情報本體化共享研究[J]. 陳劍鋒,范航博.  通信技術. 2018(01)
[5]抗混淆的Android應用相似性檢測方法[J]. 王兆國,李城龍,關毅,薛一波.  華中科技大學學報(自然科學版). 2016(03)
[6]面向攻擊溯源的威脅情報共享利用研究[J]. 楊澤明,李強,劉俊榮,劉寶旭.  信息安全研究. 2015(01)

碩士論文
[1]移動互聯(lián)網(wǎng)應用代碼同源性安全分析[D]. 占力超.北京郵電大學 2017



本文編號：3563118