徐 建

(南京郵電大學(xué) 計算機(jī)學(xué)院，江蘇 南京 210023)

移動僵尸網(wǎng)絡(luò)檢測方法研究

徐 建

(南京郵電大學(xué) 計算機(jī)學(xué)院，江蘇 南京 210023)

移動設(shè)備的普及和強(qiáng)大功能引來了越來越多的網(wǎng)絡(luò)攻擊。攻擊者利用人們所使用的各種電子設(shè)備，將病毒傳播到網(wǎng)絡(luò)上。感染了病毒的移動設(shè)備，將會被加入到移動僵尸網(wǎng)絡(luò)中，聽從移動僵尸網(wǎng)絡(luò)主控機(jī)的指揮，去感染其他機(jī)器并控制其傳送信息。如不采用有效措施，隨著移動僵尸網(wǎng)絡(luò)的不斷擴(kuò)大，僵尸主控機(jī)有控制整個網(wǎng)絡(luò)的可能，給整個網(wǎng)絡(luò)安全帶來極大的威脅。當(dāng)前的移動僵尸網(wǎng)絡(luò)威脅的解決方案還處于改善階段，無法完全地檢測到惡意攻擊，因此迫切地需要更多的有關(guān)移動僵尸網(wǎng)絡(luò)的分類、檢測和響應(yīng)等方面的研究。為了不斷提高檢測的效率和準(zhǔn)確率，對移動僵尸網(wǎng)絡(luò)的檢測方法進(jìn)行了詳細(xì)的分析。綜合其他研究成果可知，混合的分析方式可以大大地提高僵尸網(wǎng)絡(luò)檢測的效率和準(zhǔn)確率。

移動僵尸網(wǎng)絡(luò)；靜態(tài)分析；動態(tài)分析；混合分析

0 引 言

由于新技術(shù)的出現(xiàn)和移動設(shè)備的特點(diǎn)，移動通信已成為教育、商業(yè)以及研究的各個方面不可缺少的組成部分。移動網(wǎng)絡(luò)不是孤立存在的，現(xiàn)在又與互聯(lián)網(wǎng)融合在一起(如：3G、4G和LTE技術(shù))。這些設(shè)備在全球范圍內(nèi)的使用在不斷增加，移動安全已經(jīng)成為一個至關(guān)重要的問題[1]?，F(xiàn)如今，使用移動設(shè)備不僅僅是打電話或發(fā)送信息，也用于Web瀏覽、社交網(wǎng)絡(luò)、網(wǎng)上銀行交易以及其他的一些擴(kuò)展功能。所有的機(jī)密信息，例如：銀行賬號、網(wǎng)上銀行的用戶名和密碼，信用卡卡號，珍貴的私人照片等都會保存在移動設(shè)備里。因此移動設(shè)備現(xiàn)在已成為網(wǎng)絡(luò)犯罪的理想目標(biāo)。針對移動設(shè)備的攻擊和威脅有很多種形式，如：病毒、木馬、蠕蟲和移動僵尸網(wǎng)絡(luò)等[2]，然而移動僵尸網(wǎng)絡(luò)更加危險，會給移動設(shè)備和移動網(wǎng)絡(luò)帶來嚴(yán)重的威脅[3-4]。文獻(xiàn)[3]定義了一組移動設(shè)備的移動僵尸網(wǎng)絡(luò)，它們被特定的惡意軟件或是用戶未知的軟件所感染，這些感染的設(shè)備相互通過C&C機(jī)制進(jìn)行通信，并由被稱為僵尸主控機(jī)的攻擊者來控制。攻擊者利用僵尸主控機(jī)控制被感染的設(shè)備進(jìn)行網(wǎng)絡(luò)犯罪或網(wǎng)絡(luò)攻擊，例如：發(fā)送垃圾信息、中斷、拒絕服務(wù)(DOS)和收集敏感信息用于非法的活動。移動僵尸網(wǎng)絡(luò)檢測方法的研究主要是通過對數(shù)據(jù)的不同分析方式進(jìn)行比較，證實(shí)混合分析方式更適合對移動僵尸網(wǎng)絡(luò)的檢測。主要從靜態(tài)分析、動態(tài)分析和混合分析中挑選出檢測率高的數(shù)據(jù)分析方式。

1 移動設(shè)備所面臨的威脅

圖1顯示了移動僵尸網(wǎng)絡(luò)的基本體系結(jié)構(gòu)，入侵者通過控制僵尸主控機(jī)來控制整個被感染的網(wǎng)絡(luò)設(shè)備[5]。通常來看，智能移動設(shè)備面臨的威脅[6]主要有以下幾個方面：敏感數(shù)據(jù)泄露(手機(jī)密碼、聯(lián)系信息)、釣魚攻擊(從網(wǎng)站、公共的WiFi假身份驗(yàn)證)、安全隱患(藍(lán)牙、越獄或?yàn)g覽器的漏洞)、惡意軟件的攻擊(來自App Store或第三方的惡意應(yīng)用程序)。隨著使用智能移動設(shè)備安全意識的增強(qiáng)，有些威脅是可以避免的，但技術(shù)上的威脅是很難避免的，例如：各種漏洞和惡意軟件攻擊。

圖1 移動僵尸網(wǎng)絡(luò)結(jié)構(gòu)

攻擊者利用系統(tǒng)、網(wǎng)絡(luò)、軟件等各種各樣的漏洞，繞過自身的安全策略去攻擊和訪問目標(biāo)系統(tǒng)或ROOT系統(tǒng)。面對這樣的威脅，可以通過安裝補(bǔ)丁、不停進(jìn)行更新，以最大限度減少損失，而移動惡意軟件的攻擊就很難防范了。移動惡意軟件不斷地以指數(shù)的速度增長，是最受黑客歡迎的技術(shù)。移動惡意軟件在用戶不知情的狀態(tài)下，下載并安裝到移動設(shè)備上，通過C&C進(jìn)行信息的通信，形成一個移動僵尸網(wǎng)絡(luò)。這也是最著名的惡意軟件代表之一。它一直是用戶隱私和財產(chǎn)安全的最大威脅。攻擊者利用工具Zeus偷取銀行憑證等各種瀏覽器上的信息，并發(fā)送到遠(yuǎn)程數(shù)據(jù)庫。起初它主要針對臺式計算機(jī)，但現(xiàn)在出現(xiàn)的Zeus移動木馬病毒ZitMo，它是專門用在安卓系統(tǒng)上的。ZitMo是一個間諜木馬病毒程序，它可以一直在手機(jī)后臺運(yùn)行，并且無法被關(guān)閉。而ZitMo最主要的功能是竊取用戶使用手機(jī)支付時的交易授權(quán)碼，在用戶使用手機(jī)支付時，密碼以及認(rèn)證碼等信息就可能會被ZitMo記錄，從而導(dǎo)致財產(chǎn)和經(jīng)濟(jì)受損。其次ZitMo的變種還可以竊取短信信息，使該病毒的手機(jī)用戶隱私就無從保證了。在2012年攻擊安卓、塞班、Windows和黑莓智能手機(jī)的Eurograbber，它對銀行賬戶進(jìn)行欺詐，使得受害者的損失超過4 700萬美元。

近年來，移動惡意軟件的攻擊和威脅一直在上升。Fsecure調(diào)查研究表示，移動惡意軟件的威脅數(shù)量同比2013年第三季度上升了26%，2013年第三季度相比2012年第三季度有259個新的威脅出現(xiàn)。由于移動僵尸網(wǎng)絡(luò)給用戶帶來了難以估量的損失，在此主要研究在安卓系統(tǒng)上如何檢測移動僵尸機(jī)上感染的特定的惡意移動應(yīng)用。

2 移動僵尸網(wǎng)絡(luò)的基本理論

移動僵尸網(wǎng)絡(luò)是僵尸網(wǎng)絡(luò)的擴(kuò)展，其相關(guān)理論知識沿襲了僵尸網(wǎng)絡(luò)。下面主要從它的傳播、命令控制和攻擊三個方面來簡單介紹。移動僵尸網(wǎng)絡(luò)的傳播目的是為了構(gòu)建移動僵尸網(wǎng)絡(luò)，大都是在用戶不知情的前提下完成的，并帶有明顯的攻擊行為。

2.1 傳 播

移動僵尸網(wǎng)絡(luò)的傳播方式多種多樣。它繼承了傳統(tǒng)的下載式傳播和電腦連接式傳播。入侵者利用被盜用的手機(jī)，使用藍(lán)牙搜索附近的設(shè)備，在與其他設(shè)備配對后，會試圖把他們的惡意軟件注入到周邊的移動手機(jī)用戶。由于藍(lán)牙技術(shù)的局限性，它不會出現(xiàn)病毒大規(guī)模爆發(fā)的情況。但在手機(jī)集中的公共場所，在藍(lán)牙的通信范圍之內(nèi)，感染病毒的智能手機(jī)就會大幅增加，所以藍(lán)牙還是一種傳播病毒的載體。藍(lán)牙手機(jī)病毒的傳播不是集中式的，它是攻擊者與受害者之間的暫時性連接，使其很難被監(jiān)控、預(yù)防。

相對于藍(lán)牙傳播的局限性，WiFi傳播具有一定的優(yōu)勢，無線僵尸網(wǎng)絡(luò)可以實(shí)現(xiàn)更快的傳輸速度，支持多種僵尸網(wǎng)絡(luò)活動，范圍可以分散到多個城市。但是對于加密的網(wǎng)絡(luò)來說，無線僵尸網(wǎng)絡(luò)如果想入侵就比較困難，因此無線僵尸網(wǎng)絡(luò)主要用于開放的和非加密的無線網(wǎng)絡(luò)。家庭WiFi網(wǎng)絡(luò)不想被別人占用，基本上都是加密的，而一些公共場所(如餐館、咖啡館)卻都是開放的和非加密的。這給無線僵尸網(wǎng)絡(luò)提供了傳播的環(huán)境。這種傳播形式的覆蓋面還不是很廣，而隨著SMS/MMS的大量使用，利用SMS/MMS來傳播越來越普遍。

在日常使用手機(jī)過程中，經(jīng)常會使用SMS/MMS來發(fā)送消息。很多的控制命令就嵌入在短信、圖片、聲音、視頻里，再通過SMS/MMS傳播到用戶的手機(jī)上。在用戶不知情的情況下，在后臺安裝、運(yùn)行。

現(xiàn)如今智能手機(jī)有自己的操作系統(tǒng)，計算機(jī)大部分的工作都可以用智能手機(jī)來完成，因此僵尸網(wǎng)絡(luò)的一些傳播方式也可以移植到移動僵尸網(wǎng)絡(luò)中來。所以智能手機(jī)也可能通過網(wǎng)絡(luò)瀏覽和Email的方式受到移動僵尸網(wǎng)絡(luò)的感染。在未來的發(fā)展中，將會有更多的方式來傳播、加入到移動僵尸網(wǎng)絡(luò)中。

2.2 移動僵尸網(wǎng)絡(luò)的命令控制機(jī)制

移動僵尸網(wǎng)絡(luò)的命令控制(C&C)是指移動僵尸程序通過命令控制信道傳輸控制命令及數(shù)據(jù)，它主要是用來與移動僵尸網(wǎng)絡(luò)的控制者進(jìn)行通信?？刂泼顧C(jī)制是由控制信道的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、通信協(xié)議與算法和控制者使用的軟件資源構(gòu)成。

移動僵尸網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)可分為中心結(jié)構(gòu)、P2P結(jié)構(gòu)、組合結(jié)構(gòu)和混合結(jié)構(gòu)。純中心結(jié)構(gòu)是由移動僵尸網(wǎng)絡(luò)的控制者通過控制中心節(jié)點(diǎn)來操控整個移動僵尸網(wǎng)絡(luò)。在傳統(tǒng)的僵尸網(wǎng)絡(luò)中一般采用IRC和HTTP來構(gòu)建中心結(jié)構(gòu)的僵尸網(wǎng)絡(luò)；而在移動互聯(lián)網(wǎng)中相對比較復(fù)雜，中心節(jié)點(diǎn)是群發(fā)短信的手機(jī)，或具有群發(fā)功能的設(shè)備。這種結(jié)構(gòu)的移動僵尸網(wǎng)絡(luò)比較好檢測，也容易破壞。因此后來又出現(xiàn)了純P2P結(jié)構(gòu)，通過在每個手機(jī)終端設(shè)置轉(zhuǎn)發(fā)指令的僵尸網(wǎng)絡(luò)通信錄列表來解決轉(zhuǎn)發(fā)的問題，這樣沒有中心的結(jié)構(gòu)加大了檢測和防御的難度。為了提高移動僵尸網(wǎng)絡(luò)的傳播，增加檢測的難度，將中心結(jié)構(gòu)與P2P結(jié)構(gòu)相結(jié)合，稱為組合結(jié)構(gòu)。組合結(jié)構(gòu)的僵尸網(wǎng)絡(luò)是基于信譽(yù)度的，控制者將可信度高、在線時間長、計算能力高的節(jié)點(diǎn)添加到核心節(jié)點(diǎn)群，既保證通訊效率又保證僵尸網(wǎng)絡(luò)的安全性。例如李書豪等提出的MRRbot就是這種結(jié)構(gòu)。還有一種混合結(jié)構(gòu)是利用以上兩種或兩種以上的結(jié)構(gòu)進(jìn)行搭配，來提高整個網(wǎng)絡(luò)的生存性。在移動僵尸網(wǎng)絡(luò)中使用的通訊協(xié)議包括基于IRC的、基于HTTP的、基于P2P的。攻擊者最終的目的就是利用最新技術(shù)不斷增強(qiáng)移動僵尸網(wǎng)絡(luò)的魯棒性和容納能力。

2.3 移動僵尸網(wǎng)絡(luò)的攻擊

僵尸網(wǎng)絡(luò)是當(dāng)今最具有威脅的網(wǎng)絡(luò)攻擊平臺，它幾乎可以發(fā)動任何形式的攻擊，例如DDOS、垃圾郵件、網(wǎng)絡(luò)釣魚、隱私竊取等等。移動僵尸網(wǎng)絡(luò)的自身特點(diǎn)包括惡意扣費(fèi)、通話竊聽、垃圾短信、行為嗅探等。移動僵尸網(wǎng)絡(luò)不像傳統(tǒng)的軟件病毒，它是有組織的，由控制者操縱的行為，是具有連續(xù)性的攻擊行為。因此檢測移動僵尸網(wǎng)絡(luò)的存在是非常有必要的。

3 移動僵尸網(wǎng)絡(luò)檢測方法

在眾多的移動應(yīng)用程序中，檢測和響應(yīng)技術(shù)主要的目的就是檢測惡意程序的存在。一旦發(fā)現(xiàn)，就凈化、隔離、屏蔽或刪除。現(xiàn)在已經(jīng)有幾種專門針對移動應(yīng)用程序的檢測技術(shù)[7-12]，但這些研究大都集中在對移動惡意軟件的檢測，不過也適用于基本的移動僵尸網(wǎng)絡(luò)檢測技術(shù)的研究。一般的移動惡意軟件檢測可以分為靜態(tài)分析、動態(tài)分析和混合分析。

3.1 靜態(tài)分析

靜態(tài)分析是在應(yīng)用程序還沒有執(zhí)行的時候進(jìn)行分析。它可以發(fā)現(xiàn)僵尸程序的詳細(xì)功能，為動態(tài)分析提供補(bǔ)充。靜態(tài)分析可以利用反編譯工具查看僵尸程序源代碼，并從程序中提取特性和方法，為以后追蹤僵尸網(wǎng)絡(luò)提供幫助。靜態(tài)分析主要是利用了自動分析網(wǎng)站和反編譯工具[13]。

(1)網(wǎng)站自動分析。

目前有很多網(wǎng)站支持惡意程序自動分析功能。例如360、金山的火眼系統(tǒng)等。因此，只需要提供僵尸程序，這些網(wǎng)站很快就可以做出分析結(jié)果。可以從這些網(wǎng)站所給的分析結(jié)果中直觀地查看僵尸程序的惡意行為。但是只能從這種分析中大致了解它的惡意行為，以作為動態(tài)分析結(jié)果是否全面的映證。因此利用網(wǎng)站進(jìn)行分析是一種輔助行為，是動態(tài)分析結(jié)果的補(bǔ)充。

(2)利用反編譯工具進(jìn)行分析。

反編譯工具可以將僵尸程序反編譯為可以閱讀的代碼，方便直觀地查看原程序。主要目的是為了提取僵尸程序中的解密密鑰和解密方式。因?yàn)橐苿咏┦W(wǎng)絡(luò)在發(fā)布控制命令時，都要對控制命令進(jìn)行加密。如果不知道解密密鑰和解密步驟，即使與僵尸網(wǎng)絡(luò)建立了連接，所截獲的控制命令也是一串沒有語義的代碼。只有找到僵尸程序中的解密密鑰，掌握解密的步驟，才能破解所追蹤僵尸網(wǎng)絡(luò)發(fā)布的控制命令，才可以實(shí)時掌握僵尸網(wǎng)絡(luò)的動向，為切斷和移除僵尸網(wǎng)絡(luò)提供幫助。

Schmidt是第一個提出在移動設(shè)備上檢測惡意軟件的研究人員，特別是在裝有安卓系統(tǒng)的智能手機(jī)。系統(tǒng)從應(yīng)用程序的二進(jìn)制文件中提取函數(shù)調(diào)用，并運(yùn)用聚類機(jī)制檢測未知惡意軟件，稱為重心。這是通過執(zhí)行靜態(tài)分析在安卓環(huán)境，Linux ELF(Executable and Linking Format)的目標(biāo)文件使用readelf命令。這些文件中包含的信息如函數(shù)調(diào)用和修改的文件。將函數(shù)調(diào)用與惡意軟件的可執(zhí)行文件相比較，利用決策樹學(xué)習(xí)(DTL)、最近鄰算法(NN)和規(guī)則誘導(dǎo)因子(RI)進(jìn)行分類。他們宣稱該技術(shù)具有96%的檢測精度，而誤報率只有10%。但是該系統(tǒng)中主要使用的是小的惡意軟件樣本集合。這些惡意軟件樣本都是由自己編碼的，并不能代表是在安卓市場上的移動惡意軟件。此外，當(dāng)時沒有真正可用的安卓設(shè)備，無法正常測試該系統(tǒng)。同一年，一些專家[8]提出另外一種靜態(tài)分析方式，即掃描匹配的惡意軟件應(yīng)用程序模式，被稱為Kirin。定義具有各種潛在危險的權(quán)限組合規(guī)則來阻止?jié)撛诘牟话踩珣?yīng)用程序的安裝。然而，Kirin更多的是對應(yīng)用程序漏洞的評估，而不是移動惡意軟件的檢測。

文獻(xiàn)[14]中也運(yùn)用靜態(tài)分析，提出將安卓惡意軟件檢測工具命名為DroidMat。DroidMat通過清單文件和API調(diào)用的痕跡來檢測惡意軟件。證明使用Androguard工具包能夠找到比其他安卓檢測工具更多的安卓惡意軟件。然而，僅僅一個單一的安卓惡意軟件樣本，DroidMat無法預(yù)測和學(xué)習(xí)新惡意軟件的行為。此外，有兩個惡意軟件家族(BaseBridge and DroidKungFu)使用了更新的攻擊技術(shù)，這是DroidMat檢測不到的[15]。

靜態(tài)分析主要是針對已知的移動惡意軟件，提供快速、簡單、有效的檢測和分類。但是對于通過加密和模糊等技術(shù)處理的新的、未知的移動惡意軟件卻無法檢測。為了解決這個問題，就要使用動態(tài)分析來檢測移動惡意軟件。

3.2 動態(tài)分析

與靜態(tài)分析相比，動態(tài)分析不檢查源代碼，而是對受控環(huán)境下執(zhí)行的應(yīng)用程序樣本進(jìn)行分析。在目前的研究中，有很多方法可以監(jiān)視應(yīng)用程序的行為，一般有登錄行為序列、系統(tǒng)調(diào)用和動態(tài)污染、數(shù)據(jù)流和控制流[16]。通過監(jiān)控和記錄每個相關(guān)的執(zhí)行操作生成報告，然后再對報告進(jìn)行檢測分析。

移動僵尸網(wǎng)絡(luò)檢測的動態(tài)分析主要借助于沙箱、蜜罐等設(shè)備分析移動僵尸程序、記錄這些僵尸程序的詳細(xì)活動過程，再對這些數(shù)據(jù)進(jìn)行分析，步驟如下[13]：

(1)建立沙盒環(huán)境。用來獲取僵尸程序運(yùn)行的日志文件。目前使用比較廣泛的有PC平臺的SandBox、安卓平臺的DroidBox等。

(2)在沙盒中運(yùn)行僵尸程序。主要是用來記錄僵尸程序活動的詳細(xì)情況。由于運(yùn)行周期較長，為了能得到完整的活動記錄，所以要有較長的運(yùn)行時間。

(3)獲取行為日志。在沙盒中運(yùn)行僵尸程序的目的就是為了獲取僵尸程序的活動日志。目前各種主流的沙盒都是提供自動記錄所運(yùn)行惡意程序的日志，因此，只需在運(yùn)行結(jié)束后，取出沙盒中自動記錄的日志，再對所記錄的日志信息進(jìn)行分析。

在2010年，A. Shabtai和Y. Elovici提出了一種惡意軟件檢測方法。在移動設(shè)備執(zhí)行應(yīng)用程序時，通過監(jiān)測獲得各種特性和事件，然后利用機(jī)器學(xué)習(xí)異常檢測器對正常良性的和非正常惡意的數(shù)據(jù)進(jìn)行分類。他們將CPU的消耗，通過WiFi發(fā)送數(shù)據(jù)包的數(shù)量，鍵盤或觸摸屏的按壓以及應(yīng)用程序的啟動都作為一種特性。使用了信息增益、Fisher Score、卡方分布三種選擇特性的方式來驗(yàn)證此模型。這種方法的準(zhǔn)確度達(dá)到92%，然而這個系統(tǒng)有兩個不足之處，一個是使用的不是真正的惡意軟件樣本，另一個是使用的被稱為ADB Monkey的模擬用戶交互應(yīng)用程序并非是真正的用戶。

I.Burguera和U. Zurutuza[11]針對安卓市場的應(yīng)用程序行為提出了一種動態(tài)分析方法。他們使用一種名為CrowDroid的眾包系統(tǒng)來獲取應(yīng)用程序的行為，如系統(tǒng)調(diào)用。CrowDroid收集在運(yùn)行時間中一組用戶的所有系統(tǒng)調(diào)用。主要采用K-均值聚類算法，將采集的數(shù)據(jù)分為兩組(即良性組和惡意組)，用來識別將惡意應(yīng)用程序重新打包的特定用戶。CrowDroid需要一組用戶去執(zhí)行惡意應(yīng)用程序相應(yīng)的原始應(yīng)用程序。雖然實(shí)驗(yàn)結(jié)果表明檢測的準(zhǔn)確率達(dá)到100%，但是他們使用小規(guī)模的惡意數(shù)據(jù)集作為訓(xùn)練集。此外，該評價機(jī)制也是使用一套自我實(shí)施的惡意軟件樣本，而不是網(wǎng)絡(luò)市場中公共的惡意軟件樣本。

3.3 混合分析

前面對應(yīng)用程序分別進(jìn)行了靜態(tài)和動態(tài)的分析，并指出了不足之處。T. Bl?sing等[10]提出一種靜態(tài)分析和動態(tài)分析相結(jié)合的混合方法，稱為AAsandbox。靜態(tài)分析是通過解壓縮apk文件，將它們的類文件轉(zhuǎn)換成java源代碼，搜索可疑的模式并標(biāo)記出良性的或惡意的。在安卓模擬器應(yīng)用程序執(zhí)行期間，AAsandbox統(tǒng)計了所有系統(tǒng)調(diào)用的數(shù)量，用來檢測惡意行為。但是通過AAsandbox獲得的數(shù)據(jù)是多樣化的，也導(dǎo)致了較低的檢測精度[17]。另外，他們在動態(tài)分析模擬中也使用了ADB monkey。

Y. Zhou等[16]也提出了一種混合的分析方式，稱為DroidRanger。DroidRanger使用靜態(tài)和動態(tài)的分析技術(shù)去開發(fā)行為配置文件，通過掃描大量的安卓第三方應(yīng)用程序的惡意行為，來檢測可擴(kuò)展的移動惡意軟件。DroidRanger實(shí)現(xiàn)了一個基于許可的行為足跡的結(jié)合來檢測已知的惡意軟件族樣本和基于啟發(fā)式過濾方案檢測未知的惡意族。在動態(tài)部分，使用了一個內(nèi)核模塊記錄僅僅由安卓開發(fā)的系統(tǒng)調(diào)用或惡意軟件，但是只監(jiān)控現(xiàn)有root權(quán)限下的root開發(fā)的系統(tǒng)調(diào)用，因此不是在root權(quán)限下開發(fā)的新的惡意軟件的系統(tǒng)調(diào)用，就很有可能避免被發(fā)現(xiàn)。這種使用啟發(fā)式的檢測假陰性率高，從5.04%到23.52%不等[18]。

無論是哪種結(jié)構(gòu)的檢測方式都有它的優(yōu)缺點(diǎn)，也都可以通過不斷進(jìn)步的技術(shù)手段進(jìn)行改善。盡管移動僵尸網(wǎng)絡(luò)是最危險的移動惡意軟件，大多數(shù)的系統(tǒng)都專注于移動惡意軟件的檢測。X. Jiang和Y. Zhou[19]研究顯示，對1 260個移動惡意軟件樣本進(jìn)行分析，有93%屬于移動僵尸網(wǎng)絡(luò)行為，因此迫切需要深入研究移動僵尸網(wǎng)絡(luò)的檢測。

4 結(jié)束語

通過靜態(tài)分析、動態(tài)分析以及混合分析的方式解決移動僵尸網(wǎng)絡(luò)的檢測問題，僅僅是一個初級階段，目前主要是針對移動惡意軟件的檢測。對不同數(shù)據(jù)分析方式的分析驗(yàn)證表明，一定條件下，混合分析方法更加有效可行。今后的研究工作應(yīng)集中于移動僵尸網(wǎng)絡(luò)組織結(jié)構(gòu)及其個體的控制方式等方面。

[1] Flo A,Josang A.Consequences of Botnets spreading to mobile devices[C]//Proceedings of the 14th nordic conference on secure IT systems.[s.l.]:[s.n.],2009:37-43.

[2] Eslahi M,Salleh R,Anuar N B.Bots and botnets:an overview of characteristics,detection and challenges[C]//IEEE international conference on control system,computing and engineering.[s.l.]:IEEE,2012:349-354.

[3] LaPolla M, Martinelli F,Sgandurra D.A survey on security for mobile devices[J].IEEE Communications Surveys & Tutorials,2013,15(1):446-471.

[4] Pieterse H, Olivier M S.Android botnets on the rise:trends and characteristics[C]//2012 information security for South Africa.[s.l.]:[s.n.],2012:1-5.

[5] Abdullah Z,Saudi M M,Anuar N B.Mobile Botnet detection:proof of concept[C]//2014 IEEE 5th control and system graduate research colloquium.[s.l.]:IEEE,2014:257-262.

[6] Pu Shi,Chen Zhouguo,Huang Chen,et al.Threat analysis of smart mobile device[C]//General assembly and scientific symposium.[s.l.]:IEEE,2014.

[7] Schmidt A,Bye R,Schmidt H,et al.Static analysis of executables for collaborative malware detection on android[C]//IEEE international conference on communications.[s.l.]:IEEE,2009.

[8] Enck W, Ongtang M, McDaniel P. On lightweight mobile phone application certification[C]//Proceedings of the 16th ACM conference on computer and communications security.[s.l.]:ACM,2009.

[9] Shabtai A,Fledel Y,Elovici Y.Automated static code analysis for classifying Android applications using machine learning[C]//International conference on computational intelligence and security.[s.l.]:[s.n.],2010:329-333.

[10] Bl?sing T,Batyuk L,Schmidt A,et al.An Android application sandbox system for suspicious software detection[C]//2010 5th international conference on malicious and unwanted software.[s.l.]:[s.n.],2010:55-62.

[11] Burguera I,Zurutuza U.Crowdroid:behavior-based malware detection system for Android[C]//Proceedings of the 1st ACM workshop on security and privacy in smartphones and mobile devices.[s.l.]:ACM,2011.

[12] Grace M,Zhou Y,Zhang Q,et al. S.Riskranker:scalable and accurate zero-day android malware detection[C]//Proceedings of the 10th international conference on mobile systems,applications,and services.[s.l.]:[s.n.],2012:281-293.

[13] 王 帥.移動僵尸網(wǎng)絡(luò)檢測與追蹤技術(shù)研究[D].北京：中國科學(xué)院大學(xué),2013.

[14] Wu D J,Mao C H,Wei T E,et al.DroidMat:Android malware detection through manifest and API calls tracing[C]//2012 seventh Asia joint conference on information security.[s.l.]:[s.n.],2012:62-69.

[15] Kwong L,Yin Heng.DroidScope:seamlessly reconstructing the OS and Dalvik semantic views for dynamic Android malware analysis[EB/OL].2013.https://www.researchgate.net/publication/267203108_DroidScope_Seamlessly_Reconstructing_the_OS_and_Dalvik_Semantic_Views_for_Dynamic_Android_Malware_Analysis.

[16] Zhou Y,Wang Z,Zhou W,et al.Hey,you,get off of my market:detecting malicious Apps in official and alternative Android markets[J].NDSS,2012,25(4):50-52.

[17] Lin Y D,Lai Y C,Chen C H,et al.Identifying android malicious repackaged applications by thread-grained system call sequences[J].Computer and Security,2013,39:340-350.

[18] Suarez-Tangil G,Tapiador J E,Peris-Lopez P,et al.Evolution,detection and analysis of malware for smart devices[J].IEEE Communications Surveys & Tutorials,2014,16(2):961-987.

[19] Jiang X,Zhou Y.Android malware[M].New York,NY:Springer,2013.

Investigation on Mobile Botnets Detecting

XU Jian

(College of Computer Science,Nanjing University of Posts and Telecommunications,Nanjing 210023,China)

The popularity of mobile devices and its powerful functions have attracted more and more attacks.An attacker uses a variety of electronic equipment used by people to spread the virus to other mobile devices on the network.The mobile devices with infected virus can be integrated into mobile Botnet to obey the dictates from the master control machine in the mobile Botnet and to infect other machines and control the transmission of information.Without the use of effective measures,the mobile Botnet has been expanding so quickly that the master control machine could have the potential to control the whole network leading to a great threat to the security of the whole network.Since the current solution for the threat of mobile botnet is still under evolution and unable to detect malicious attacks.Therefore it is an urgent need to develop the means of classification,detection and response for mobile Botnet.In order to improve efficiency and accuracy of detection,the detection method of mobile botnet has been analyzed in detail.The results integrated with other comprehensive investigations show that the hybrid analysis has greatly improved efficiency and accuracy of the mobile Botnet detection.

mobile Botnets;static analysis;dynamic analysis;hybrid analysis

2015-07-01

2015-12-16

時間：2016-11-21

國家自然科學(xué)基金資助項(xiàng)目(61202353)

徐 建(1980-)，男，碩士，工程師，研究方向?yàn)樾畔踩?、人工智能?/p>

http://www.cnki.net/kcms/detail/61.1450.TP.20161121.1633.002.html

TP309

A

1673-629X(2016)12-0117-05

10.3969/j.issn.1673-629X.2016.12.026