基于异常流量监测的智能手机恶意软件检测研究

《》熬蓍誊　鼗　

《　懿蓍　

的普及遇到了困难。许多研究人员提出了基于特征　

值比对的改进方法，Ｂｒｙａｎ　Ｄｉｘｏｎ和Ｓｈｉｖａｋａｎｔ　

Ｍｉｓｈｒａ利用了用户经常将设备与ＰＣ同步的习惯，　

利用ＵＳＢ同步的空闲时间在ＰＣ上运行特征值比　

对程序，查杀设备上的恶意软件，而特征库的更　

新也在ＰＣ上完成　。这种做法几乎不占用设备资　

源，但用户使用ＵＳＢ同步设备具有极大的不确定性，　

他们可能很长时间才会与Ｐ　Ｃ进行一次同步，或者　

一

次同步时间过短，使得检测周期无法确定，最终　

导致检测效果具有很大的不确定性。Ｇｕｏｎｉｎｇ　Ｈｕ　

和Ｄｅｅｐａｋ　Ｖｅｎｕｇｏｐａｌ使用通用特征值标记同一类　

恶意代码，压缩特征库以减小系统开销　。但却仍　

然无法解决特征库更新滞后的问题。　

（２）启发式扫描。本方法检测的是程序的可疑逻　

辑，而非特征代码，因此可检测未知恶意软件。但　

在具体实现过程中，启发式扫描法不但要扫描文件，　

还要运用复杂算法判断恶意软件的可疑程度，对于　

计算性能极其有限的智能手机的可行性有待商榷。　

吴俊军等人提出了一种基于隐马尔科夫模型的启发　

式行为恶意软件监测技术　，但其在启发式分析方　

法等方面仍有提高空间，而系统学习的恶意软件样　

本不足时，该方法判别准确性也将下降。　

（３）基于行为监测的恶意软件检测。事实上，本　

方法是目前主流的研究方向，具体有以下几种方　

法：　

①系统调用监听。Ｓｈｕａｉｆｕ　Ｄａｉ等使用ＡＰＩ监　

听技术实时监听应用程序ＡＰＩ调用情况，并和恶意　

行为特征库比对　，此类特征库描述包括变种在内　

的恶意软件群，因此特征库数据更小，效率更高。　

②代码分析。Ｔｈｏｍａｓ　Ｂｉａｓｉｎｇ等提出了一种　

沙箱检测方法　，该方法由两部分组成，静态分析　

在应用程序安装到实体设备前就可以进行粗检验，　

动态分析在沙箱中执行应用，沙箱和检测算法可以　

在云端部署和执行。　

２　０　１　２．０　９　

１２　圆Ｉ＝＝　圈　

“ｅ　ｎｓＣ‘　０　ｆ　１　

１异常流量及恶意软件判定方法　

综合比较和分析现有恶意软件检测技术的优劣，　

基于行为监测的恶意软件检测更适用于在智能手机　

上使用和推广，恶意软件往往会联网下载大量恶　

意代码及其他非法信息，因此，手机被安装恶意软　

件后，往往伴随着流量的突发性爆长。现在提出一　

种基于异常流量监测的智能手机恶意软件检测方法，　

该方法属于基于行为监测的恶意软件检测。　

１．１正常流量统计拟合　

为了检测出异常流量，需要以正常流量作为参　

考，因此先考虑如何描述智能手机中正常流量特　

征，现进行如下统计实验，并进行统计拟合。实验　

环境：４部载有Ａｎｄｒｏｉｄ　２．３．３系统手机，网络环　

境：ＣＤＭＡ２０００，手机中应用软件：腾讯ＱＱ，手　

机人人网，ＵＣ浏览器，Ａｎｄｒｏｉｄ　Ｍａｒｋｅｔ，微博，　

酷狗音乐盒，墨迹天气等常见应用。　

在规定时间内，多名用户按照各自使用习惯使　

用上述配置手机，系统实时监测并统计出每分钟流　

量开销Ｘ＝（ｘ　，Ｘ：，Ｘ　”，Ｘ　），其中Ｘ。，Ｘ：，…Ｘ　

分别为实验开始后系统第１分钟，第２分钟至第ｎ　

分钟消耗流量，现列出４用户频数分布直方图，如　

图ｌ所示。　

ｌ　ｌ　ｌ童　

麓，　一一　＝　……～…一　ｊ　～…　～一　

通过观察发现：若智能手机中不存在异常流量　

行为，其流量消耗可以被拟合为韦布尔分布。其概　

率分布函数如（１）式所示。　

ｍ　小　一

剖　㈩　

（１）式中，Ｅ．　．。分别为形状参数、位置参数和　

Ｊ｜薹Ｊ甏　蚕＇Ｉｔ　Ｅ　Ｒ喇　　＿啊匿　　

尺度参数。现在使用概率权重矩法对未知参数进行

估计，试验样本概率权重矩的估计值为　

（２）　

用概率权重锚表示韦布尔分布参数的估计值为　

Ｉｎ　２　

ｈ　

ＩＩ，ｌ。　！　ｉ　

２Ｍ：　Ｊｊ　ｎ　』　

扎”　、　，』　』　）　

４Ｍ　。

一

＂

１Ｍ

；　。

；

ｎ　

１。Ｉ；　

ｏ－一一一　

ｒ

ｌ　ｌＩｌ１　ｌ‘１，ｌ！　ｔ

。Ｉ　

２５１，，　／　（３）　

利用（２），（３）式计算得以上四组流量的Ｅ，　，ｏ　

数据如表１所示，拟合曲线如图１所示。　

表１图１中四组流量拟合曲线参数　

由以上图表可见，韦布尔分布可以比较好地拟合　

出智能手机正常流量分布特点，对于不同用户的使用　

习惯，只是在拟合参数上有所差别。因此，可以被拟　

合为韦布尔分布的流量即被认为是正常流量。下面主　

要探讨如何利用该拟合函数进行异常流量检测。　

１．２异常流量检测　

在具体说明异常流量检测方法之前，需要说明　

的是：系统流量拟合韦布尔曲线中的参数∈，　，ｏ　

将实时更新，系统每新检测到一个流量数据后，若　

被检验为正常流量，则会被添加进直方图中，系统　

根据此时的直方图重新拟合，计算韦布尔概率函数　

的参数Ｅ，　，ｏ。　

我们发现韦布尔拟合曲线为一条先增后减的　

曲线，通过最高点后，ｆ（ｘ）单调递减并且收敛于０，　

利用此特点，可以将实际流量统计直方图与不断更　

新拟合的流量曲线相比较。考虑到出现异常流量后　

将不符合韦布尔分布及智能手机运算能力的局限性，　

采用如下算法：　

Ｆ（Ｘ）为韦布尔拟合曲线所对应的关于流量Ｘ的　

概率分布函数，ｆ（ｘ）为Ｆ（ｘ）所对应的概率密度函数，　

ｘ　为ｘ．到ｘ　中的最大值。将０到Ｘ　。　平分为１７１　

个宽度为Ｘ　／ｎ的窗口，Ｓ．为第ｉ个窗口下系统实　

际检测流量。分别对这ｉ＂１个窗口的ｆ（ｘ）积分，并与　

直方图相减得到　×，若流量正常，△ｘ应趋近于０。　

第ｋ个窗口的流量差　

＿ｌ】川圳　一｛ｅｘ　（　１　－ＩＩ　一　（　川　

（４）　

经数据仿真分析，若实际的流量直方图能够较　

好地被分布曲线拟合，则被视为正常流量，反之，　

则可被视为异常。利用这一特点便可以进行异常流　

量检验。现在具体讨论检测办法：　

先给出异常流量判别条件：　

△　≥　

△　２　ｋ　

．

≥Ｏ．０２７　Ｓ　

（５）　

实际计算中，（５）式按如下（６）式计算：

　一

凡　

－　

必须同时满足（５）式中各式，才会被判定为异　

参　

常流量。其中（１），（２）式要求当前窗口流量大于等　

于其左右相邻窗口流量，即该流量出现频度较相邻　

州　

∽　

流量较高，不符合韦布尔拟合函数通过最高点后单　

调递减的分布特点；（３）式要求流量必须有量的累　

积才可被判定为异常，认为该异常流量累计占总流　

量０．０２７以上才可以被判定为异常。（

㈤　

３）式中的系　

数０．０２７是一个经验值，说明如下：　

随机产生８００组流量数据，其中４００组为异常　

数据，不断修改（３）式中的系数，发现为０．０２７时，　

检测率较高，且虚警率较低，统计此时算法检测率　

为０．９３５，虚警率为０．０３ｌ，现通过３组具有代表　

性的仿真数据样本，进一步说明上述算法可有效控　

制虚警等现象发生，对异常流量检测具有较高的准　

确性。　

２　０　１　２，０　９　

弱Ｅ＝＝瓯豳１３　

ＷＷ＇￣Ａ／．１　Ｓｃ　ＯＩｇ　Ｃｎ　

《　《》熊　鼍Ｊ　薹鼍　

Ｓ　Ｅ《　垦鼍　

表２三组仿真数据中某窗口关于式（５）、（６）相关计算值　

表２列出了三组仿真数据中某窗口在式（

一

图２　三组仿真数据统计直方图及其拟舍曲线　

一　

５）、　

（６）中的相关计算值，图２为三组仿真数据拟合曲线，　

现具体说明如下：　

（１）本组检测样本的特点为有噪声。如图２左　

中虚线框内所示流量即为典型的噪声流量。用户在　

正常使用过程中，偶尔也会出现短时间的流量大量　

消耗，但这些流量却不是异常的，而应被视为噪声，　

若将噪声判定为异常流量，即造成了虚警。表２中　

第ｌ组计算数据表明：虽然　Ｘｋ大于　Ｘｋ＋ｌ和　￣ｋｌ但由　

于ｓｋ小于总流量２％，因此被判定为噪声，而非异　

常流量。　

（２）本组检测样本特点是大流量出现频率高，但　

在较大范围内始终保持高流量消耗，造成这类现象　

的原因与用户的使用习惯有关，如：长时间观看流　

媒体节目、下载或频繁地系统更新等，此类流量也　

不可判定为异常。表２中第２组所计算结果表明：　

小于　和　，因此只能说明用户具备大量消　

耗流量的习惯，而非由于某异常应用的规律性操作　

而产生的有规律大流量，不满足式（５）、（６）的判定　

条件，亦视为正常流量．　

（３）本组样本中含有典型的异常流量分布。由　

图２右图可见虚线框内为典型的异常流量分布。表　

内计算数据说明　大于　＋　和　，且ｓ　大于０．０２７，　

该流量被判定为异常。　

检测出异常流量后，立刻记录下此时系统内正　

在运行的应用程序至１３志文件，后根据先验知识可　

逐步筛选并判断出异常应用。　

１．３仿真实验验证　

２　ｆ）１　２　Ｏ　９　

１４　圃【＝＝ｌｊｉ围　

为了验证上述异常流量检测方法及相关参数具　

有一定的可靠性，现随机产生３组仿真数据，每组　

含有８００条流量数据，而三组数据在随机时各有侧　

重：第一组数据侧重检验噪声流量对检测算法虚警　

率的影响；第二组数据侧重于检验算法对大流量高　

频率出现时的抗干扰能力，第三组数据侧重于对算　

法检测准确性的检验。　

代入以上算法进行检测，检测结果如表３所示。　

表５仿真实验验证结果统计　

ｌ　３７８　３８３　０　９７６　

２　４ｌ２　４２７　０　９８ｌ　

３　３９９　４０８　０　９７５　

仿真结果表明，本算法在检测异常流量时具有　

较高的检测率，同时控制了虚警率，具有一定的使　

用价值．　

２结语　

本文在分析智能手机恶意软件特点及当今检测　

方法的基础上，提出了基于统计拟合的异常流量及　

恶意软件检测方法，此方法仅需要建立一个极小的　

记录流量的数据库，利用统计学方法判断流量异常，　

进而判定设备中恶意软件的存在。由于计算分布函　

数参数的过程中未使用迭代等方法，算法对系统资　

源需求低，符合设备的硬软件特点。今后的研究目　

标是：设计出更合理、灵活的统计模型以更加准确　

地检测出异常流量，并设计出更有效的恶意软件判　

别方法。　

一

Ｃ《，　ｌｊ　雕鼗　

Ｓ　ｌ！ｌ　｜ｊ　

可移植性：因为Ｓｅｒｖｌｅｔ是由Ｊａｖａ开发的符合　

规范定义和广泛接收的ＡＰＩ，它可以在不同的操作　

系统平台和不同的应用服务器平台下移植。　

功能强大：Ｓｅｒｖｌｅｔ可以使用Ｊａｖａ　ＡＰＩ核心的　

围，通过这种Ｊａｖａ应用程序开发平台，可以开发　

许多新的功能强大的信息产品，同时加上各种移动　

网的通信功能，还可开发功能强大的网络程序，让　

用户使用移动设备象使用桌面电脑一样方便地进　

行Ｉｎｔｅｒｎｅｔ的各种应用，但是作为这些小型设备的　

所有功能，这些功能包括Ｗｅｂ和ＵＲＬ访问、图像　

处理、数据压缩、多线程、ＪＤＢＣ，ＲＭＩ、序列化　

对象等。　

应用开发平台，应用的安全问题将越来越受到重视。　

Ｊ２ＭＥ通过３层体系面向市场，同时它又在配置层　

采用了必要的安全策略，用以保障Ｊ２ＭＥ应用的安　

全１生。　

模块扩展性和灵活性：Ｓｅｒｖｌｅｔ本身的接口设计　

得非常精简，使得它具有很强的扩展性和灵活性。　

移动互联网信息安全监管试验系统中服务器　

端采用Ｓｅｒｖｌｅｔ负责响应移动客户端ＭＩＤｌｅｔ程　

序的请求。Ｓｅｒｖｌｅｔ一般直接继承Ｈ　ｔｔｐＳｅｒｖｌｅｔ，　

ＨｔｔｐＳｅｒｖｌｅｔ封装了编写Ｈｔｔｐ协议的Ｓｅｒｖｌｅｔ的大　

参考文献　

［１］Ｃｏｓｓ　Ｍ，Ｓｈａｒｐ　Ｒ．Ｔｈｅ　ｎｅｔｗｏｒｋ　ｐｒｏｃｅｓｓｏｒ　ｄｅｃｉｓｉｏｎ［ｄ］．Ｂｅｌｌ　ＬａｂＳ　

Ｔｅｃｈｎｉｃａｌ　Ｊｏｕｒｎａ１．２００４，９（１）：１　７７－－１　８９．　

【２】Ｄ．Ｊｏｈｎｓｏｎ，Ｃ．Ｐｅｒｋｉｎｓ　ａｎｄ　Ｊ．Ａｒｋｋｏ，”Ｍｏｂｉｌｉｔｙ　Ｓｕｐｐｏｒｔ　ｉｎ　

ＩＰｖ６”

，

部分功能。Ｓｅｒｖｌｅｔ中有两个方法，一个是ｄｏＧｅｔ（），　

它负责响应Ｈｔｔｐ　Ｇｅｔ请求；另一个是ｄｏＰｏｓｔ（），　

ｇＦＣ５７７５，Ｊｕｎｅ　２００４．　

［ｓ］Ｊ．Ａｒｋｋｏ，Ｖ．Ｄｅｖａｒａｐａｌｌｉ　ａｎｄ　Ｆ．Ｄｕｐｏｎｔ，”Ｕｓｉｎｇ　ＩＰＳｅｃ　ｔｏ　

Ｐｒｏｔｅｃｔ　Ｍｏｂｉｌｅ　ＩＰｖ６　Ｓｉｇｎａｌｉｎｇ　Ｂｅｔｗｅｅｎ　Ｍｏｂｉｌｅ　Ｎｏｄｅｓ　ａｎｄ　Ｈｏｍｅ　

Ａｇｅｎｔｓ”

，

它负责响应Ｈｔｔｐ　Ｐｏｓｔ请求。ｄｏＧｅｔ（）或ｄｏＰｏｓｔ　

（）方法被ｓｅｒｖｉｃｅ（）方法的默认实现所调用，并把　

ｒｅｑｕｅｓｔ对象和ｒｅｓｐｏｎｓｅ对象作为参数传递给该函数。　

Ｒ，ＦＣ　５７７６，ｄｕｎｅ　２００４．　

［４］Ｇｌｅｎｎ　Ｍ　Ｋｅｅｎｉ，Ｋａｚｕｈｉｄｅ　Ｋｏｉｄｅ，Ｋｅｎｉｃｈｉ　Ｎａｇａｍｉ　ａｎｄ　Ｓｒｉ　

Ｇｕｎｄａｖｅｌｌｉ．”Ｍｏｂｉｌｅ　ＩＰｖ６　Ｍａｎａｇｅｍｅｎｔ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｂａｓｅ＜ｄｒａｆｔ—　

ｉｅｔｆ－ｍｉｐｖ６一ｍｉｂ－０７．ｔｘｔ＞”　Ｍａｒｃｈ　７　２００５．　

在整个系统中，Ｓｅｒｖｌｅｔ作为无线终端和　

ＪａｖａＢｅａｎ的中间层，负责客户端和应用服务器之　

问的信息传递，ＪａｖａＢｅａｎ用来进行逻辑运算，驱　

动ＪＤＢＣ和数据库进行连接，完成数据的存储。　

［５１Ｍ．Ｂｅｎａｎｔａｒ．Ｔｈｅ　Ｉｎｔｅｒｎｅｔ　ｐｕｂｌｉｃ　ｋｅｙ　ｉｎｆｒａｓｔｒｕｃｔｕｒｅ．ＩＢＭ　Ｓｙｓｔｅｍｓ　

ｌｏ１］ｒｎａＩ　２００　１．６４８—６６６　

　９６８一），女，高级讲师，本科学历。　

作者简介：　

肖莉贞（１

研究方向：　

网络技术高为民（１　９７５一），男，副教授，硕士，　

４结语　

Ｊ２ＭＥ技术的引人扩大了Ｊａｖａ技术的使用范　

研究方向：　

网络信息安全。　

　２－０８－０８　

收稿日期：　

２０１

（上接第１　４页）　

ｏｎ　Ｄｅｐｅｎｄａｂｌｅ　Ｓｙｓｔｅｍｓ　ａｎｄ　Ｎｅｔｗｏｒｋｓ　Ｗｏｒｋｓｈｏｐｓ，２　０　１　Ｄｉｅ］．　

Ｃｈｉｃａｇｏ．ＩＬ．ＵＳＡ：１　６２－Ｉ　６５．Ｍｏｂｉｌｅ　Ｐｈｏｎｅ　Ｖｉｒｕｓ　Ｄｅｆｅｎｓｅ　ｂａｓｅｄ　

［６］Ａｎ　Ａｎｄｒｏｉｄ　Ａｐｐｌｉｃａｔｉｏｎ　Ｓａｎｄｂｏｘ　Ｓｙｓｔｅｍ　ｆｏｒ　Ｓｕｓｐｉｃｉｏｕｓ　Ｓｏｆｔｗａｒｅ　

Ｄｅｔｅｃｔｉｏｎ：Ｍａｌｉｃｉｏｕｓ　ａｎｄ　Ｕｎｗａｎｔｅｄ　Ｓｏｆｔｗａｒｅ（ＭＡＬＷＡＢＥ），２　０　１　０　

Ｏｆ　Ｈｅｕｒｉｓｔｉｃ　Ｂｅｈａｖｉｏｒ—ｃｈｅｃｋｌｎｇ【Ｊ】．Ｃｏｍｐｕｔｅｒ　Ｅｎｇｉｎｅｅｒｔｉｎｇ＆　

Ｓｃｉｅｎｃｅ，２０１　０，５２：５５．　

５ｔｈ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ，２０　１　ｏ［ｃ】．５５－６２．　

［吴俊军，方明伟，张新访．基于启发式行为检测的手机　

病毒防治研究［Ｊ］．计算机工程与科学。２０１　０，５２：５５］　

作者简介：洪云峰（１　９９０一），男，本科，研究方向为移动　

互联网设备安全；徐超（１　９９０一），男，本科，研究方向　

为网络安全；苏顿昕（１　９９２一）女，本科，研究方向为信　

息安全与通信协议。　

［５］Ｓｈｕａｉｆｕ　Ｄａｉ，Ｙａｘｉｎ　Ｌｉｕ，Ｔｉｅｌｅｉ　Ｗａｎｇ　ｅｔ　ａ１．Ｂｅｈａｖｉｏｒ—　

Ｂａｓｅｄ　Ｍａｌｗａｒｅ　Ｄｅｔｅｃｔｉｏｎ　ｏｎ　Ｍｏｂｉｌｅ　Ｐｈｏｎｅ：Ｗｉｒｅｌｅｓｓ　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ　

Ｎｅｔｗｏｒｋｉｎｇ　ａｎｄ　Ｍｏｂｉｌｅ　Ｃｏｍｐｕｔｉｎｇ（ＷｉＣＯＭ），２０　１　０　６ｔｈ　Ｉｎｔｅｒｎａｔｉｏｎａｌ　

收稿日期：２０１　２一Ｏ６—２５　

Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ，２０１　ｏ［ｃ］．１—４．　

２　０　１　２．０　９　

１８；圃ｌ＝＝ＩＥｊ圈　

ＷＷＷｔｈＳＣ　ｏｒｇ　ｃｎ