57、实时安卓恶意软件检测系统详解

实时安卓恶意软件检测系统详解

1. 研究背景

在安卓恶意软件检测领域，此前已有不少相关研究。有研究表明，恶意软件和良性软件在网络特征上存在巨大差异，如入站和出站字节、入站和出站数据以及内外时间间隔等。一些研究基于应用程序的网络流量模式设计了检测系统，但存在局限性。例如，Shabtai 等人设计的系统仅关注几种恶意类型，可扩展性不足；Jin 等人提出的基于 SDN 的移动恶意软件检测系统虽先进，但难以部署在现有计算机网络架构上。

近年来，通过被动监控 DNS 层次结构上层的 DNS 来检测恶意域名也成为一种方法，这使 DNS 运营商能独立检测恶意域名。不过，目前缺乏利用安卓恶意软件网络流量的检测方法，尤其是实时检测方法。

2. 恶意软件网络行为与 DNS 查询响应

2.1 恶意软件网络行为

在分析恶意软件有效负载的远程控制功能时，多数样本会将受感染手机变成用于远程控制的僵尸程序。命令与控制（C&C）通道利用通信协议将指令从 C&C 服务器分发到僵尸程序，该通道对僵尸网络的存在和攻击有效性至关重要。僵尸网络的通信通道分为推式和拉式：推式通道中，僵尸程序等待 C&C 服务器主动联系；拉式通道中，僵尸程序定期联系 C&C 服务器获取指令。

早期僵尸网络广泛使用加密的 IRC 协议进行通信，如今仍有许多僵尸网络在使用，但随着 IRC 不再常见且防御者对基于通信签名的僵尸网络检测关注度增加，僵尸网络正转向更复杂、灵活的通信方法，如使用 HTTP 或 P2P 协议伪装成正常网络流量，甚至在社交网站帖子中隐藏指令，还越来越多地使用公钥加密来认证 C&C 服务器及其指令。部分恶意软件家族会加