徐 建，吳燁虹，程晶晶

(南京郵電大學(xué) 計算機(jī)學(xué)院，江蘇 南京 210023)

移動僵尸網(wǎng)絡(luò)中數(shù)據(jù)流的采集與分析

徐 建，吳燁虹，程晶晶

(南京郵電大學(xué) 計算機(jī)學(xué)院，江蘇 南京 210023)

近年來，移動僵尸網(wǎng)絡(luò)已經(jīng)成為移動通信和網(wǎng)絡(luò)安全的最大威脅。隨著移動設(shè)備功能的不斷增強(qiáng)，給網(wǎng)絡(luò)犯罪提供了更好的環(huán)境。因此，僵尸網(wǎng)絡(luò)等各種新型的惡意軟件在移動設(shè)備和網(wǎng)絡(luò)中肆意傳播。針對移動設(shè)備安全的研究還不充分，依然缺乏高效的安全解決方案。因此，提供有效的數(shù)據(jù)以了解和分析移動僵尸網(wǎng)絡(luò)，對于移動設(shè)備的安全和隱私來說至關(guān)重要。為此，在對移動僵尸網(wǎng)絡(luò)數(shù)據(jù)集的生成、正常數(shù)據(jù)流量數(shù)據(jù)集的區(qū)分以及對非正常數(shù)據(jù)的清理詳細(xì)介紹的基礎(chǔ)上，對數(shù)據(jù)進(jìn)行了標(biāo)注和聚合。通過對以往的數(shù)據(jù)集和樣本優(yōu)缺點(diǎn)的分析討論，進(jìn)一步研究與分析了適合移動僵尸網(wǎng)絡(luò)的數(shù)據(jù)集與樣本的建立方法、數(shù)據(jù)采集和清理方法以及數(shù)據(jù)聚合成合法數(shù)據(jù)并擺脫移動僵尸主控機(jī)控制的方法。

移動僵尸網(wǎng)絡(luò)；檢測；數(shù)據(jù)集；數(shù)據(jù)分析

0 引 言

現(xiàn)如今智能手機(jī)已成為人們隨身攜帶的溝通工具，它已經(jīng)不是單純的移動電話，而是基本上包含了所有計算機(jī)的功能，可以看作是一臺掌上計算機(jī)。因此針對計算機(jī)的威脅在不斷地遷移到智能終端設(shè)備和智能手機(jī)上。起初攻擊者利用各種短信來詐騙。隨著技術(shù)的革新和網(wǎng)絡(luò)瀏覽器的進(jìn)步，手機(jī)上網(wǎng)成為一種潮流，手機(jī)上可以設(shè)計安裝各種應(yīng)用程序(這里主要指Android系統(tǒng))。這也給攻擊者提供了更多的機(jī)會，在移動設(shè)備上的攻擊和威脅方式有多種形式，如病毒、木馬、蠕蟲和移動僵尸網(wǎng)絡(luò)[1]。其中威脅最大的是移動僵尸網(wǎng)絡(luò)，它是由一個稱之為“移動僵尸主控機(jī)”的攻擊者，通過復(fù)雜的連接和通信，在網(wǎng)絡(luò)空間創(chuàng)建、執(zhí)行惡意活動，并控制其子網(wǎng)絡(luò)進(jìn)行協(xié)調(diào)攻擊，最終形成一個有組織的網(wǎng)絡(luò)犯罪形式[2]。

近年來，移動惡意軟件的攻擊和威脅，以及移動僵尸網(wǎng)絡(luò)一直處于上升的趨勢。F-Secure[3]的調(diào)查表明，移動惡意軟件的威脅數(shù)量與2013年第三季度同期相比上升了26%，2013年第三季度相比2012年第三季度有259個新的威脅出現(xiàn)。在2012年，有一個值得關(guān)注的移動僵尸網(wǎng)絡(luò)攻擊，它是Zitmo僵尸網(wǎng)絡(luò)的變體，專門攻擊安卓、塞班、Windows和黑莓智能手機(jī)，被稱為Eurograbber。它對受害者的銀行賬戶進(jìn)行欺詐，導(dǎo)致了超過4 700萬美元的損失[4]。因此，移動僵尸網(wǎng)絡(luò)給人們帶來的損失是巨大的。而針對安卓平臺上的數(shù)據(jù)流進(jìn)行采集和分析，有助于今后對移動僵尸網(wǎng)絡(luò)的檢測和應(yīng)用。

為此，從移動僵尸網(wǎng)絡(luò)的特點(diǎn)出發(fā)，簡述了檢測移動僵尸網(wǎng)絡(luò)的兩種途徑，對檢測的數(shù)據(jù)流進(jìn)行分析，共同探討它的數(shù)據(jù)收集方式，為今后移動僵尸網(wǎng)絡(luò)的進(jìn)一步研究提供一些依據(jù)。通過對移動僵尸網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行采集、分析、清理，來分析數(shù)據(jù)的有效性。

1 移動僵尸網(wǎng)絡(luò)的特點(diǎn)

與傳統(tǒng)的計算機(jī)環(huán)境下的僵尸網(wǎng)絡(luò)類似，移動僵尸網(wǎng)絡(luò)也包含三個主要元素：僵尸主控機(jī)、僵尸機(jī)和C&C機(jī)制[5-6]。移動僵尸主控機(jī)通過C&C機(jī)制在移動僵尸機(jī)上設(shè)計和實現(xiàn)移動惡意應(yīng)用，去感染其他的移動設(shè)備，并將其轉(zhuǎn)化為移動僵尸機(jī)[7]。與其他類型的惡意軟件的主要區(qū)別在于被感染的設(shè)備相互連接，形成了移動僵尸網(wǎng)絡(luò)[1,8]。移動僵尸主控機(jī)主要通過C&C機(jī)制給移動僵尸機(jī)發(fā)送命令和設(shè)置更新[9]。據(jù)上所述，移動僵尸網(wǎng)絡(luò)的生命周期可以分為三個階段：傳播和感染、信息的傳遞、接收指令和攻擊[10]。

1.1 傳播和感染

在移動僵尸網(wǎng)絡(luò)中傳播惡意代碼的主要途徑是使用者的傳播和對漏洞的利用。首先，最流行的就是利用社會工程學(xué)，就如那些計算機(jī)的軟件一樣，目前的智能手機(jī)已超出了以前打電話和發(fā)送信息的范疇，有自己獨(dú)立的操作系統(tǒng)，與計算機(jī)更加相似，可以頻繁訪問INTERNET網(wǎng)絡(luò)，因此它也成為了惡意軟件攻擊的目標(biāo)。在垃圾郵件和MMS消息中包含有惡意內(nèi)容的附件，或在垃圾郵件和MMS消息中嵌入鏈接，指向包含有惡意代碼的虛擬主機(jī)。在移動設(shè)備使用者不經(jīng)意間就會執(zhí)行附件或點(diǎn)擊那些下載惡意程序的鏈接，從而受到移動僵尸主控機(jī)的控制，加入到移動僵尸網(wǎng)絡(luò)中。常見的還有利用系統(tǒng)或軟件的漏洞，在移動設(shè)備上傳播惡意代碼。例如由西班牙安全研究人員披露的HTC藍(lán)牙漏洞[11]，Mulliner等[12]發(fā)現(xiàn)的一種不需要通過移動服務(wù)提供商的網(wǎng)絡(luò)，就可以直接操縱不同移動平臺的短信。還可以通過藍(lán)牙技術(shù)進(jìn)行傳播，被感染的移動設(shè)備可以使用藍(lán)牙搜索附近的設(shè)備，與之配對之后，主控機(jī)會將惡意軟件注入到周邊的移動手機(jī)中。總之，智能手機(jī)在使用方便的同時，也給攻擊者開辟了更廣闊的空間。

攻擊者的攻擊手段多種多樣，主要是利用手機(jī)漏洞，被感染的URL，SMS/MMS和藍(lán)牙等感染新的移動設(shè)備，使用戶在不知情的情況下成為移動僵尸網(wǎng)絡(luò)的成員[13-14]。一般來說，攻擊者就是操縱僵尸主控機(jī)，利用高帶寬無監(jiān)控的智能手機(jī)設(shè)備去盡可能多地傳播和感染僵尸機(jī)[1,9]。

1.2 信息的傳遞

這是每個移動僵尸網(wǎng)絡(luò)的關(guān)鍵階段，它由每個僵尸機(jī)通過控制命令(C&C)服務(wù)器獲得僵尸主控機(jī)的新命令和更新，僵尸機(jī)在接收到命令后，將執(zhí)行結(jié)果立即報告給僵尸主控機(jī)[5,15]。C&C機(jī)制作為僵尸主控機(jī)發(fā)出命令到目標(biāo)機(jī)器(僵尸機(jī))和接收響應(yīng)的接口[16]。目前一直在研究僵尸主控機(jī)與僵尸機(jī)之間的通信方式。起初在基于計算機(jī)的僵尸網(wǎng)絡(luò)中，可以建立IRC服務(wù)器及相應(yīng)的信道，接著發(fā)展到P2P和HTTP機(jī)制[17]。但是在移動僵尸網(wǎng)絡(luò)中，由于不同的操作系統(tǒng)，缺乏公共的IP地址，不同方式的連接類型以及通信的成本，很難實現(xiàn)一個多種模式的C&C機(jī)制[18]。下面討論幾種技術(shù)創(chuàng)造的C&C機(jī)制。

1.2.1 短信息服務(wù)

短信息服務(wù)是移動設(shè)備最廣泛的通信方式。在一些科研人員的研究中[19]，評估了Kademila和Gnutella兩種模型，建立了基于SMS的移動僵尸網(wǎng)絡(luò)。但在現(xiàn)實世界中，短信是需要收費(fèi)的，通信成本會通知移動用戶，從而導(dǎo)致該模式能很快被檢測出來[20]。因此基于SMS的移動僵尸網(wǎng)絡(luò)的數(shù)量比較少。

1.2.2 互聯(lián)網(wǎng)/網(wǎng)絡(luò)

由于移動設(shè)備與因特網(wǎng)的融合，大量的移動僵尸網(wǎng)絡(luò)是基于網(wǎng)絡(luò)技術(shù)和協(xié)議的(例HTTP協(xié)議)。為了能與僵尸機(jī)(被感染的移動設(shè)備)進(jìn)行通信，就需要僵尸主控機(jī)發(fā)布特定的命令[21]。僵尸主控機(jī)通過標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議和服務(wù)，將控制命令隱藏在正常的網(wǎng)絡(luò)數(shù)據(jù)流中，這樣更加隱蔽，很難檢測出來。在今后的技術(shù)發(fā)展中，Web服務(wù)和互聯(lián)網(wǎng)會更加廣泛地應(yīng)用到移動設(shè)備中。基于HTTP的僵尸網(wǎng)絡(luò)被認(rèn)為是僵尸網(wǎng)絡(luò)中最危險的類型之一，被移動僵尸網(wǎng)絡(luò)廣泛應(yīng)用[9]。美國北卡羅萊納州立大學(xué)的Zhou Yajin等[22]在與網(wǎng)秦的合作過程中，一年內(nèi)成功識別和收集了1 200多種移動惡意軟件，他們發(fā)現(xiàn)超過97%的移動僵尸機(jī)都是通過基于HTTP的Web數(shù)據(jù)流與C&C服務(wù)器進(jìn)行通信的。表1為幾種移動僵尸網(wǎng)絡(luò)實例所使用的C&C機(jī)制[23]。

1.3 攻擊行為

感染僵尸機(jī)和建立C&C機(jī)制的目的就是進(jìn)行攻擊，在攻擊的前后，僵尸機(jī)與主控機(jī)之間都要進(jìn)行信息的交互，僵尸機(jī)可以接收并執(zhí)行多種類型的攻擊命令。事實上，移動僵尸網(wǎng)絡(luò)是一個攻擊平臺，每種類型的惡意活動都可以在移動設(shè)備和網(wǎng)絡(luò)中進(jìn)行，例如：對固件的破壞、垃圾郵件、竊取敏感信息、點(diǎn)擊欺詐和廣告軟件，以及下載更多內(nèi)容等。除了上述所討論的攻擊外，移動僵尸網(wǎng)絡(luò)還會利用自帶智能設(shè)備(BYOD)攻擊企業(yè)的機(jī)密信息、金融資產(chǎn)和知識產(chǎn)權(quán)。近年來，BYOD已成為人們辦公的一種流行趨勢，它可以在任何時間、任何地點(diǎn)通過網(wǎng)絡(luò)進(jìn)行靈活的辦公[24]。在超過80%的國家組織中都使用BYOD，但是許多員工的安全意識較低。

表1 移動僵尸網(wǎng)絡(luò)C&C機(jī)制

盡管目前針對BYOD的移動安全也提出了一些解決方案，例如安裝登錄終端、增加安全控件等，但這些方案大都專注于管理設(shè)備(MDM)、應(yīng)用程序(MAM)和一些策略信息(MIM)[25-26]。因此，隨著移動設(shè)備和用戶的不斷增多，移動安全和移動僵尸網(wǎng)絡(luò)的檢測與分析就成為了全球性的關(guān)鍵問題。

2 移動僵尸網(wǎng)絡(luò)的檢測

以往研究的蜜罐和蜜網(wǎng)、攻擊的行為分析、監(jiān)測和DNS分析、基于簽名的僵尸網(wǎng)絡(luò)檢測和行為分析技術(shù)，都是基于計算機(jī)和計算機(jī)網(wǎng)絡(luò)行為特征的，不能直接應(yīng)用于移動設(shè)備。因此需要先了解當(dāng)前移動僵尸網(wǎng)絡(luò)檢測所面臨的問題：

(1)資源的局限性和特殊性。移動設(shè)備的資源，如CPU、內(nèi)存和電池壽命都是有限的，而且移動設(shè)備的安全管理策略與計算機(jī)也有差異，因此不能將僵尸網(wǎng)絡(luò)的檢測直接部署到移動僵尸網(wǎng)絡(luò)。La Polla M等[13]對移動性、詳細(xì)的個性特征、不同類型的連接、技術(shù)融合等多種功能進(jìn)行了總結(jié)。

(2)感染和傳播的多樣性。移動設(shè)備的傳播媒介多樣，它可以通過SMS/MMS、藍(lán)牙、WiFi以及互聯(lián)網(wǎng)等不同方式進(jìn)行傳播。

(3)自我保護(hù)技術(shù)。正如其他類型的僵尸網(wǎng)絡(luò)，移動僵尸機(jī)也有一些很難被檢測到的特征，而且僵尸主控機(jī)也不斷地從現(xiàn)有的檢測方案中嘗試不同的技術(shù)來保護(hù)自己的僵尸機(jī)。

(4)缺乏安全管理中心。移動設(shè)備相比計算機(jī)和計算機(jī)網(wǎng)絡(luò)缺少更多的保護(hù)，主要是它們的用戶不注意安全的更新。從上述問題來看，最主要的就是缺乏安全管理中心，因為它可以追蹤和監(jiān)控安全威脅，并在相應(yīng)的移動設(shè)備上更新安全策略[2]。此外正如Bailey等[27]提出，目前廣泛的僵尸網(wǎng)絡(luò)檢測方法的設(shè)計是在同一個僵尸網(wǎng)絡(luò)內(nèi)，基于形成合作行為的僵尸機(jī)。事實上，在移動設(shè)備中，對這些相似之處的分析沒有集中的安全管理。

對于移動僵尸網(wǎng)絡(luò)檢測的這些問題，目前已有專家在技術(shù)上進(jìn)行了嘗試。盡管這些技術(shù)主要都是針對移動惡意軟件的檢測，但也促進(jìn)了移動僵尸網(wǎng)絡(luò)技術(shù)的開發(fā)。常見的檢測方式有兩種：靜態(tài)分析和動態(tài)分析。也可以將兩者結(jié)合，形成混合的方式[28]。

靜態(tài)分析是指對沒有執(zhí)行的移動應(yīng)用程序的檢查和評估(如apk文件)。它的主要步驟是將apk文件逆向到源代碼，從源代碼本身分析尋找惡意行為。而動態(tài)分析是在應(yīng)用程序執(zhí)行期間評估它的行為和動作。除此之外，還可以根據(jù)移動僵尸網(wǎng)絡(luò)的自身特點(diǎn)，分析僵尸機(jī)與C&C服務(wù)器的通信特性。

3 數(shù)據(jù)采集及分析

檢測數(shù)據(jù)是否屬于移動惡意軟件，是否用來提供C&C通信，這需要有基準(zhǔn)的數(shù)據(jù)集來判斷。M. Eslahi等指出[15]移動僵尸網(wǎng)絡(luò)是最近才出現(xiàn)，還沒有進(jìn)行充分的研究。因此對于移動僵尸網(wǎng)絡(luò)檢測和分析的主要挑戰(zhàn)是對這些新出現(xiàn)的網(wǎng)絡(luò)犯罪形式的了解有限，缺乏足夠的樣品和基準(zhǔn)數(shù)據(jù)集[22,29]。因此本節(jié)參照現(xiàn)有的惡意軟件樣本和數(shù)據(jù)集，分析和尋找有關(guān)移動僵尸網(wǎng)絡(luò)活動的數(shù)據(jù)。

3.1 有效的惡意軟件樣本

在現(xiàn)有移動安全研究中，最主要的問題就是沒有完整的移動惡意軟件樣本，只有部分研究團(tuán)體公布了一些惡意軟件實例，而且數(shù)據(jù)樣本也并不完全可靠。

由北卡羅萊納州立大學(xué)的Zhou Yajin和Jiang Xuxian兩位研究人員發(fā)起的Android Malware Genome Project(安卓惡意軟件基因組計劃)，共享了安卓平臺惡意程序樣本和分析結(jié)果，這成為了安卓平臺上最大規(guī)模的綜合惡意軟件數(shù)據(jù)樣本之一。一年中，他們成功地從49種不同惡意軟件家族中收集了1 200多個安卓惡意代碼樣本。在收集的這些惡意軟件中，超過93%的轉(zhuǎn)換成手機(jī)的僵尸機(jī)，通過C&C服務(wù)器與僵尸主控機(jī)通信。

由馬來西亞博特拉大學(xué)進(jìn)行的M0Droid項目，是通過模式識別技術(shù)來分析和檢測安卓惡意軟件。他們發(fā)布了兩類實例，被稱為惡意軟件和Goodware數(shù)據(jù)集。M0Droid項目的主要優(yōu)勢是惡意軟件和可信應(yīng)用的采集，它有效地促進(jìn)了對正常行為異?；顒拥漠惓z測分析[23]。

3.2 真實世界行為數(shù)據(jù)集

除了以上提到的惡意軟件樣本，智能手機(jī)有它自身的一些特點(diǎn)，例如系統(tǒng)信息、位置、運(yùn)算以及手機(jī)使用等。目前可以從兩個方面對數(shù)據(jù)進(jìn)行分析。

(1)移動數(shù)據(jù)的挑戰(zhàn)(MDC)。MDC是最全面的移動行為數(shù)據(jù)集，是通過大規(guī)模的研究來收集的唯一一組數(shù)據(jù)，之后可以對此數(shù)據(jù)進(jìn)行深入分析。表2就是由N. Kiukkonen[30]等收集的數(shù)據(jù)。MDC是由200多人經(jīng)過兩年時間收集的，它是所有數(shù)據(jù)中最真實、完整的數(shù)據(jù)集之一。

表2 收集的數(shù)據(jù)集

(2)數(shù)據(jù)開發(fā)(D4D)的挑戰(zhàn)。N. Kiukkonen[30]等于2011年12月到2012年4月，從5億用戶的信息中收集了2.5億多條記錄。這項研究已經(jīng)從移動痕跡、集群通信和通信子圖三個類別發(fā)布了幾個數(shù)據(jù)集。而最后兩個數(shù)據(jù)集可以作為移動惡意軟件分析的依據(jù)，在被感染的移動網(wǎng)絡(luò)中，區(qū)分僵尸機(jī)通信和正常的用戶。

4 數(shù)據(jù)采集方法的探討

由于目前沒有足夠的移動HTTP流量數(shù)據(jù)(良性和惡性)，Meisam Eslahi等[23]提出了一種數(shù)據(jù)收集方法來除去惡意的和與僵尸機(jī)通信產(chǎn)生的流量，創(chuàng)建正常移動網(wǎng)絡(luò)流量。在任何一個實驗中，如何選擇真正的移動惡意軟件是非常重要的，因此為了確保惡意的APK肯定是僵尸機(jī)，樣品必須來自于合法的來源[31]。然而，準(zhǔn)確的網(wǎng)絡(luò)流量可能不是簡單地通過提交APK文件生成服務(wù)。圖1所示為如何構(gòu)建數(shù)據(jù)集。

4.1 生成移動僵尸網(wǎng)絡(luò)數(shù)據(jù)集

要想生成惡意數(shù)據(jù)集，首先需要建立一個虛擬的移動僵尸網(wǎng)絡(luò)。它主要包括三部分：安卓虛擬環(huán)境、移動僵尸機(jī)和虛擬的C&C服務(wù)器。

安卓的虛擬環(huán)境：可以在Android x86平臺上創(chuàng)建一組移動設(shè)備，形成移動網(wǎng)絡(luò)測試平臺實現(xiàn)虛擬的移動僵尸網(wǎng)絡(luò)。

圖1 數(shù)據(jù)集構(gòu)建過程

移動僵尸機(jī)：虛擬的移動設(shè)備被重新封裝的真正移動僵尸機(jī)所感染，將它們原始C&C服務(wù)器的IP和URLs地址重新替換成新的虛擬C&C服務(wù)器的地址。相同的方法在文獻(xiàn)[32]中也有研究，在一個實驗環(huán)境中，Geinimi、DroidKungFu-B和DroidKungFu僵尸機(jī)樣本修改新設(shè)置執(zhí)行網(wǎng)絡(luò)連接。

虛擬的C&C服務(wù)器：M. Eslahi等在文獻(xiàn)[9]中指出，僵尸機(jī)的通信模式和特征可以用來區(qū)分僵尸網(wǎng)絡(luò)和正常的網(wǎng)絡(luò)活動。另一方面，移動僵尸機(jī)大部分最初的C&C服務(wù)已在安卓惡意軟件基因組項目數(shù)據(jù)集中被發(fā)現(xiàn)并關(guān)閉。因此，為了能夠在實驗平臺上模擬一個完整功能的移動僵尸網(wǎng)絡(luò)，就必須植入虛擬的C&C服務(wù)器。

4.2 生成正常數(shù)據(jù)流量數(shù)據(jù)集

雖然在模擬環(huán)境中同樣可以生成正常的流量，為了能生成更真實的數(shù)據(jù)，許多移動設(shè)備需要安裝一個網(wǎng)絡(luò)嗅探器模塊來收集網(wǎng)絡(luò)流量。文獻(xiàn)[32]提到根據(jù)目前的研究，4到8個移動設(shè)備收集真實數(shù)據(jù)需要持續(xù)兩個星期到三個月。然而，有更多的設(shè)備就可以更可靠和準(zhǔn)確地收集數(shù)據(jù)。

4.3 數(shù)據(jù)清理

數(shù)據(jù)清理是數(shù)據(jù)集預(yù)處理的主要部分，特別是涉及到人為因素。與控制環(huán)境(如實驗平臺)不同，現(xiàn)實世界的數(shù)據(jù)通常是不完整的(如缺乏感興趣的某些屬性)，會包含有噪聲、錯誤、異常數(shù)據(jù)等。因此數(shù)據(jù)清理主要應(yīng)用于收集正常流量數(shù)據(jù)，平滑噪聲數(shù)據(jù)，識別或刪除錯誤數(shù)據(jù)，以及解決數(shù)據(jù)的不一致問題。

4.4 數(shù)據(jù)標(biāo)注和聚合

將惡意和正常的數(shù)據(jù)進(jìn)行標(biāo)注可以促進(jìn)和評價過程。此外，收集的流量數(shù)據(jù)也是基于原始應(yīng)用程序的標(biāo)注。最后將這兩個數(shù)據(jù)聚合，創(chuàng)造出最終的數(shù)據(jù)集。研究人員可以從最終的數(shù)據(jù)集中提取他們所需要的功能，去進(jìn)行未來的分析研究。

5 結(jié)束語

針對目前移動僵尸網(wǎng)絡(luò)的發(fā)展還不完善的現(xiàn)狀，為杜絕其現(xiàn)存和未來的危害，在詳細(xì)介紹其特點(diǎn)和檢測方式的基礎(chǔ)上，分析了當(dāng)前移動僵尸網(wǎng)絡(luò)的數(shù)據(jù)集和數(shù)據(jù)樣本，并提出了對現(xiàn)有的數(shù)據(jù)集和數(shù)據(jù)樣本進(jìn)行改進(jìn)的方法。在實際的現(xiàn)實世界中，大多數(shù)真實的移動僵尸網(wǎng)絡(luò)是通過HTTP協(xié)議在互聯(lián)網(wǎng)上進(jìn)行通信的。大部分的研究都是針對基于HTTP的移動僵尸網(wǎng)絡(luò)數(shù)據(jù)集的分析。因此，只有通過對移動僵尸網(wǎng)絡(luò)的數(shù)據(jù)合理的采集、分析、清理，才能區(qū)分出什么是合法有效的數(shù)據(jù)。但目前對于移動僵尸網(wǎng)絡(luò)的研究還處于起步階段，需要進(jìn)行更進(jìn)一步的研究，給大家提供更方便、快捷的移動網(wǎng)絡(luò)服務(wù)。

[1] Eslahi M,Salleh R,Anuar N B.Bots and botnets:an overview of characteristics,detection and challenges[C]//Proceedings of the IEEE international conference on control system,computing and engineering.[s.l.]:IEEE,2012:349-354.

[2] Flo A R,Josang A.Consequences of Botnets spreading to mobile devices[C]//Proceedings of the 14th Nordic conference on secure IT systems.[s.l.]:[s.n.],2009:37-43.

[3] F-Secure.F-Secure mobile threat[R].[s.l.]:F-Secure,2013.

[4] Kalige E,Burkey D,Director I P S.A case study of Eurograbber:how 36 million euros was stolen via malware[M].[s.l.]:[s.n.],2012.

[5] Balhare Z J,Gulhane V S.A study on security for mobile devices[J].International Journal of Research in Advent Technology,2014,2(4):196-203.

[6] Liao Q,Li Z.Portfolio optimization of computer and mobile botnets[J].International Journal of Information Security,2014,13(1):1-14.

[7] Leavitt N.Mobile security:finally a serious problem?[J].Computer,2011,44(6):11-14.

[8] Lee H,Kang T,Lee S,et al.Punobot:mobile botnet using push notification service in android[C]//International workshop on information security applications.[s.l.]:Springer International Publishing,2013:124-137.

[9] Eslahi M,Hashim H,Tahir N M.An efficient false alarm reduction approach in HTTP-based botnet detection[C]//Proceedings of the IEEE symposium on computers & informatics.[s.l.]:IEEE,2013:201-205.

[10] Rodríguez-Gómez R A,Maciá-Fernández G,García-Teodoro P.Survey and taxonomy of botnet research through life-cycle[J].ACM Computing Surveys,2013,45(4):45.

[11] HTC smartphones left vulnerable to bluetooth attack[EB/OL].2009-07-14.http://www.cio.com/article/497146/HTC_Smartphones_Left_Vulnerable_to_Bluetooth_Attack.

[12] Miller C,Mulliner C.Fuzzing the phone in your phone[C]//Black hat technical security conference.USA:[s.n.],2009.

[13] LaPolla M,Martinelli F,Sgandurra D.A survey on security for mobile devices[J].IEEE Communications Surveys & Tutorials,2013,15(1):446-471.

[14] Mohite S,Sonar P R S.A survey on mobile malware:a war without end[J].International Journal of Computer Science and Business Informatics,2014,9(1):23-35.

[15] Eslahi M,Salleh R,Anuar N B.MoBots:a new generation of botnets on mobile devices and networks[C]//Proceedings of the IEEE symposium on computer applications and industrial electronics.[s.l.]:IEEE,2012:262-266.

[16] Hachem N,Ben Mustapha Y,Granadillo G G,et al.Botnets:lifecycle and taxonomy[C]//Proceedings of the conference on network and information systems security.[s.l.]:[s.n.],2011:1-8.

[17] Jae-Seo L,Hyun-Cheol J,Jun-Hyung P,et al.The activity analysis of malicious HTTP-based botnets using degree of periodic repeatability[C]//Proceedings of the international conference on security technology.[s.l.]:[s.n.],2008:83-86.

[18] Mulliner C,Seifert J P.Rise of the iBots:owning a telco network[C]//Proceedings of the 5th international conference on malicious and unwanted software.[s.l.]:[s.n.],2010:71-80.

[19] Zeng Y,Shin K G,Hu X.Design of SMS commanded-and-controlled and P2P-structured mobile botnets[C]//Proceedings of the fifth ACM conference on security and privacy in wireless and mobile networks.[s.l.]:ACM,2012:137-148.

[20] Hua J,Sakurai K.Botnet command and control based on short message service and human mobility[J].Computer Networks,2013,57(2):579-597.

[21] Silva S R S C,Silva R M P,Pinto R C G,et al.Botnets:a survey[J].Computer Networks,2013,57(2):378-403.

[22] Zhou Yajin,Jiang Xuxian.Dissecting Android malware:characterization and evolution[C]//Proceedings of the symposium on security and privacy.[s.l.]:IEEE,2012:95-109.

[23] Eslahi M,Rostami M R,Hashim H,et al.A data collection approach for mobile botnet analysis and detection[C]//IEEE symposium on wireless technology and applications.Kota Kinabalu,Malaysia:IEEE,2014:199-204.

[24] Morrow B.BYOD securitychallenges:control and protect your most sensitive data[J].Network Security,2012(12):5-8.

[25] Armando A,Costa G,Merlo A.Bring your own device,securely[C]//28th annual ACM symposium on applied computing.Coimbra,Portugal:ACM,2013.

[26] Eslahi M,Naseri M V,Hashim H,et al.BYOD:current state and security challenges[C]//IEEE symposium on computer applications & industrial electronics.Peneng,Malaysia:IEEE,2014.

[27] Bailey M,Cooke E,Jahanian F,et al.A survey of botnet technology and defenses[C]//Proceedings of the cybersecurity applications & technology conference for homeland security.[s.l.]:[s.n.],2009:299-304.

[28] Abdullah Z,Saudi M M,Anuar N B.Mobile botnet detection:proof of concept[C]//2014 IEEE 5th control and system graduate research colloquium.[s.l.]:IEEE,2014:257-262.

[29] Jiang X,Zhou Y.A survey of Android malware[M]//Android malware.New York:Springer,2013:3-20.

[30] Kiukkonen N,Blom J,Dousse O,et al.Towards rich mobile phone datasets:lausanne data collection campaign[C]//Proc of ICPS.Berlin:[s.n.],2010.

[31] Deshotels L,Notani V,Lakhotia A.DroidLegacy:automated familial classification of Android malware[C]//Proceedings of ACM SIGPLAN on program protection and reverse engineering workshop.San Diego,CA,USA:ACM,2014.

[32] Shabtai A,Tenenboim-Chekina L,Mimran D,et al.Mobile malware detection through analysis of deviations in application network behavior[J].Computers & Security,2014,43:1-18.

Collection and Analysis of Data Flow in Mobile Botnet

XU Jian，WU Ye-hong，CHENG Jing-jing

(College of Computer Science，Nanjing University of Posts and Telecommunications, Nanjing 210023,China)

In recent years,mobile Botnet has become the biggest threat for mobile communications and network security.With the continuous enhancement of the function of mobile devices,it provides a better environment for network crimes.Therefore,Botnet and other new types of malicious software in mobile devices and networks have been spread.Investigation on mobile device security has not still been sufficient because of lack of efficient security solutions.Thus,it is most important and necessary for security and privacy of mobile devices to provide effective data to understand and analyze the mobile Botnet.So the data have been labeled and aggregated on the basis of a detailed introduction to the generation of mobile Botnet data sets,the distinction between normal data traffic data sets and the non-normal data cleaning.Based on the analysis of the previous data set and the advantages and disadvantages of samples,further investigations and analysis on establishment methods of data sets and samples suited to mobile botnet as well as those of data sampling and data cleaning and for the approaches of data aggregation into legitimate data and extrication from mobile zombie master machine control is carried out.

mobile Botnet;detection;data set;data analysis

2015-06-30

2015-10-28

時間：2016-10-24

國家自然科學(xué)基金資助項目(61202353)；南京郵電大學(xué)實驗室工作研究課題(2015XSG05)

徐 建(1980-)，男，碩士，工程師，研究方向為信息安全、人工智能。

http://www.cnki.net/kcms/detail/61.1450.TP.20161024.1105.002.html

TP309

A

1673-629X(2016)11-0101-05

10.3969/j.issn.1673-629X.2016.11.023