羅亞玲 ，黎文偉 ，蘇欣 ，3

（1.廣東松山職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系，廣東 韶關(guān) 512126；2.湖南大學(xué)信息科學(xué)與工程學(xué)院，湖南 長(zhǎng)沙 410082；3.湖南警察學(xué)院網(wǎng)絡(luò)偵查技術(shù)湖南省重點(diǎn)實(shí)驗(yàn)室，湖南 長(zhǎng)沙 410138）

Android惡意應(yīng)用HTTP行為特征生成與提取方法

羅亞玲1，黎文偉2，蘇欣2，3

（1.廣東松山職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系，廣東 韶關(guān) 512126；2.湖南大學(xué)信息科學(xué)與工程學(xué)院，湖南 長(zhǎng)沙 410082；3.湖南警察學(xué)院網(wǎng)絡(luò)偵查技術(shù)湖南省重點(diǎn)實(shí)驗(yàn)室，湖南 長(zhǎng)沙 410138）

Android惡意應(yīng)用數(shù)量的不斷增加不僅嚴(yán)重危害Android市場(chǎng)安全，同時(shí)也為Android惡意應(yīng)用檢測(cè)工作帶來(lái)挑戰(zhàn)。設(shè)計(jì)了一種基于HTTP流量的Android惡意應(yīng)用行為生成與特征自動(dòng)提取方法。該方法首先使用自動(dòng)方式執(zhí)行惡意應(yīng)用，采集所生成的網(wǎng)絡(luò)流量。然后從所生成的網(wǎng)絡(luò)流量中提取基于HTTP的行為特征。最后將得到的網(wǎng)絡(luò)行為特征用于惡意應(yīng)用檢測(cè)。實(shí)驗(yàn)結(jié)果表明，所設(shè)計(jì)的方法可以有效地提取Android惡意應(yīng)用行為特征，并可以準(zhǔn)確地識(shí)別Android惡意應(yīng)用。

Android惡意應(yīng)用；HTTP流量；網(wǎng)絡(luò)行為特征；安全

1 引言

近年來(lái)，智能手機(jī)數(shù)量及其業(yè)務(wù)量發(fā)展迅速。國(guó)內(nèi)移動(dòng)數(shù)據(jù)服務(wù)商QuestMobile發(fā)布的 《2015年中國(guó)移動(dòng)互聯(lián)網(wǎng)研究報(bào)告》顯示，截至2015年12月，國(guó)內(nèi)在網(wǎng)活躍移動(dòng)智能設(shè)備數(shù)量達(dá)到8.99億臺(tái)，其中，Android操作系統(tǒng)占70%左右［1］。Android系統(tǒng)代碼的開(kāi)放性以及 Android智能手機(jī)上存儲(chǔ)的大量用戶隱私信息，使得Android平臺(tái)成為了眾多惡意代碼開(kāi)發(fā)者的活躍地盤(pán)。

在已有的Android惡意應(yīng)用檢測(cè)研究中，很多工作都關(guān)注于提取系統(tǒng)層的行為特征（system-level behavioral signature）來(lái)對(duì)Android惡意應(yīng)用進(jìn)行檢測(cè)，此類方法主要分為靜態(tài)分析和動(dòng)態(tài)分析。其中，靜態(tài)分析的典型方法有RiskRanker［2］和 Drebin［3］等。RiskRanker提出了一種基于 代碼分析的主動(dòng)檢測(cè)策略，檢測(cè)當(dāng)前Android市場(chǎng)中的Android應(yīng)用，并通過(guò)分析應(yīng)用中是否存在危險(xiǎn)行為來(lái)檢測(cè)惡意應(yīng)用。該方法把危險(xiǎn)行為分為3類：高危險(xiǎn)、中危險(xiǎn)和低危險(xiǎn)。例如，一個(gè)應(yīng)用如果被檢測(cè)到存在root手機(jī)這一行為，就會(huì)被定義為具有高危險(xiǎn)行為的應(yīng)用；如果被檢測(cè)到使用短信服務(wù)但是沒(méi)有調(diào)用onClick這個(gè)方法，就會(huì)被定義為具有危險(xiǎn)行為的應(yīng)用。Drebin設(shè)計(jì)了一個(gè)輕量級(jí)、低開(kāi)銷、能實(shí)時(shí)在Android手機(jī)上檢測(cè)Android惡意應(yīng)用的系統(tǒng)。該系統(tǒng)從應(yīng)用的Manifest文件、dex代碼等系統(tǒng)層屬性中選取了8個(gè)屬性，并使用線性SVM算法［4］對(duì)實(shí)時(shí)運(yùn)行在Android手機(jī)中的應(yīng)用進(jìn)行分類，從而實(shí)現(xiàn)檢測(cè)惡意應(yīng)用的目的。然而，由于Android惡意應(yīng)用制造者廣泛使用代碼混淆和加密等技術(shù)，靜態(tài)分析不能很好地處理這些情況。因此，有些研究人員提出使用動(dòng)態(tài)分析，該類型的方法有 PUMA［5］、TaintDroid［6］等。其中，PUMA 設(shè)計(jì)了一 種PUMA腳本語(yǔ)言來(lái)自動(dòng)執(zhí)行、動(dòng)態(tài)分析Android應(yīng)用。該腳本語(yǔ)言通過(guò)使用Android Monkey［7］并針對(duì)不同的應(yīng)用控件設(shè)定多個(gè)執(zhí)行事件，比如點(diǎn)擊按鈕、拖拉屏幕等。該工具可以在用于測(cè)試Android應(yīng)用bug、廣告欺詐檢測(cè)、觸發(fā)Android惡意應(yīng)用惡意行為等多個(gè)工作中。TaintDroid提出了使用動(dòng)態(tài)污染分析變量層、方法層、消息層和文件層的信息，用于檢測(cè)隱私泄露方面的漏洞。

由于基于系統(tǒng)層行為特征的檢測(cè)方法存在不易部署、開(kāi)銷大等不足，基于網(wǎng)絡(luò)流量行為特征的檢測(cè)方法受到研究人員的關(guān)注。Wei等人［8］對(duì)27個(gè)Android應(yīng)用所產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行分析，然而該方法通過(guò)手動(dòng)的方式來(lái)執(zhí)行應(yīng)用生成流量，不適用于大量Android應(yīng)用的情況。參考文獻(xiàn)［9］提出了一種DNS域名分析方法，來(lái)檢測(cè)網(wǎng)絡(luò)中存在的Android惡意應(yīng)用所產(chǎn)生的流量。然而很多Android惡意應(yīng)用會(huì)經(jīng)常變換DNS域名，從而導(dǎo)致該方法檢測(cè)率較低。Su等人［10］提出了使用HTTP特征簽名和時(shí)間關(guān)聯(lián)度的方法來(lái)識(shí)別Android應(yīng)用。該方法以特征簽名為基礎(chǔ)，通過(guò)自定義的時(shí)間窗口來(lái)發(fā)現(xiàn)不具備特征簽名的HTTP流，從而達(dá)到Android應(yīng)用識(shí)別的目的。Dai等人［11］提出了一種自動(dòng)生成移動(dòng)應(yīng)用HTTP流量并從中提取特征字符串對(duì)Android應(yīng)用進(jìn)行識(shí)別的方法，然而并未對(duì)Android應(yīng)用識(shí)別的準(zhǔn)確率進(jìn)行實(shí)驗(yàn)證明。Xu等人［12］設(shè)計(jì)一種名為FLOWER的自動(dòng)學(xué)習(xí)Android應(yīng)用特征簽名的系統(tǒng)。該系統(tǒng)通過(guò)觀察同時(shí)出現(xiàn)的應(yīng)用屬性，從HTTP頭部文件中學(xué)習(xí)特征簽名。但是該系統(tǒng)并不能準(zhǔn)確地識(shí)別網(wǎng)絡(luò)流量由哪個(gè)應(yīng)用產(chǎn)生，只能把網(wǎng)絡(luò)流量產(chǎn)生的應(yīng)用數(shù)量范圍限定在5個(gè)以下。因此，不適用于Android惡意應(yīng)用的檢測(cè)。

本文設(shè)計(jì)了一種針對(duì)Android惡意應(yīng)用的HTTP行為特征自動(dòng)生成與提取方法，解決上述工作存在的不足。在Zhou等人的研究工作［13］中發(fā)現(xiàn)，大部分的Android惡意應(yīng)用都是通過(guò)HTTP與外部服務(wù)器進(jìn)行通信，并執(zhí)行惡意活動(dòng)，比如隱私竊取、下載惡意代碼等。因此，本文重點(diǎn)關(guān)注Android惡意應(yīng)用產(chǎn)生的HTTP流量，并從中提取基于網(wǎng)絡(luò)流量的行為特征。不同于已有研究中所提取的端口或者主機(jī)域名等網(wǎng)絡(luò)特征，本文所提取的網(wǎng)絡(luò)特征包括流量的五元組、HTTP頭部文件中的主機(jī)域名、HTTP請(qǐng)求方法和URI等，可以準(zhǔn)確地捕獲到Android惡意應(yīng)用的網(wǎng)絡(luò)行為。

所提出的方法首先自動(dòng)地執(zhí)行Android惡意應(yīng)用并捕獲其所產(chǎn)生的網(wǎng)絡(luò)流量；其次，解析所捕獲的網(wǎng)絡(luò)流量數(shù)據(jù)，提取出相應(yīng)的HTTP流的行為特征；隨后對(duì)所提取的HTTP流的行為特征進(jìn)行聚類，并合并具有重疊元素的特征；最后得到一個(gè)由HTTP流行為特征所組成的Android惡意應(yīng)用網(wǎng)絡(luò)流量行為特征的特征庫(kù)，并將該特征庫(kù)用于Android惡意應(yīng)用檢測(cè)。實(shí)驗(yàn)結(jié)果表明，本文提出的方法可以有效地從HTTP流量中提取Android惡意應(yīng)用的行為特征，并準(zhǔn)確地檢測(cè)Android惡意應(yīng)用。

2 行為特征提取方法設(shè)計(jì)

設(shè)計(jì)并實(shí)現(xiàn)了一種自動(dòng)執(zhí)行Android惡意應(yīng)用，并從所生成的網(wǎng)絡(luò)流量中提取行為特征的方法。該方法通過(guò)提取網(wǎng)絡(luò)流量中的HTTP流的行為特征來(lái)檢測(cè)Android惡意應(yīng)用。首先調(diào)用Android的測(cè)試工具（比如Monkey等）的程序接口（application programming interface，API）來(lái)自動(dòng)執(zhí)行 Android惡意應(yīng)用，并使用 TCPDUMP［14］捕獲應(yīng)用在運(yùn)行過(guò)程中生成的網(wǎng)絡(luò)流量。隨后，對(duì)捕獲到的網(wǎng)絡(luò)流量數(shù)據(jù)中的HTTP流的行為特征進(jìn)行提取，并通過(guò)聚類算法對(duì)提取到的行為特征進(jìn)行聚類和合并。最后建立一個(gè)基于HTTP流的Android惡意應(yīng)用網(wǎng)絡(luò)流量的行為特征庫(kù)，用于Android惡意應(yīng)用檢測(cè)工作。圖1是本文方法的框架。

圖1 Android惡意應(yīng)用網(wǎng)絡(luò)行為特征自動(dòng)提取框架

2.1 自動(dòng)執(zhí)行

由于手動(dòng)執(zhí)行Android惡意應(yīng)用會(huì)造成時(shí)間和精力的大量浪費(fèi)［8］，因此使用 Android自動(dòng)測(cè)試工具M(jìn)onkey所提供的自動(dòng)執(zhí)行功能來(lái)解決這個(gè)不足。Monkey是Android中的一個(gè)命令行工具，可以運(yùn)行在模擬器或?qū)嶋H設(shè)備中。它向系統(tǒng)發(fā)送偽隨機(jī)的用戶事件流（如按鍵輸入、觸摸屏輸入、手勢(shì)輸入等），以實(shí)現(xiàn)對(duì)正在開(kāi)發(fā)的應(yīng)用程序進(jìn)行壓力測(cè)試。由于Monkey所提供的自動(dòng)操作Android應(yīng)用的事情都是隨機(jī)產(chǎn)生的，無(wú)法根據(jù)應(yīng)用中不同的控件類型而生成相對(duì)應(yīng)的操作事件，導(dǎo)致一些Android惡意應(yīng)用的網(wǎng)絡(luò)行為無(wú)法被觸發(fā)。針對(duì)這個(gè)不足，本文所設(shè)計(jì)的方法在Monkey的基礎(chǔ)上增加了如何根據(jù)不同的Android應(yīng)用控件類型生成相對(duì)應(yīng)的自動(dòng)操作事件。自動(dòng)執(zhí)行模塊的工作流程如圖2所示。圖2由4個(gè)組件組成，分別是事件模擬器、路徑生成器、控件識(shí)別器和流量捕獲。

圖2 自動(dòng)執(zhí)行模塊流程

2.1.1 事件模擬器

該組件基于 Android的測(cè)試工具 MonkeyRunner［15］的API設(shè)計(jì)實(shí)現(xiàn)，主要實(shí)現(xiàn)兩個(gè)功能：一是連接Android設(shè)備（如Android智能手機(jī)或模擬器），自動(dòng)安裝和卸載所需要運(yùn)行的應(yīng)用，并啟動(dòng)需要采集流量的應(yīng)用；二是向Android設(shè)備發(fā)送應(yīng)用操作事件，比如點(diǎn)擊按鈕、拖拉屏幕等，并返回執(zhí)行應(yīng)用的狀態(tài)。根據(jù)控件識(shí)別器所提供的不同控件類型生成不同的操作事件，保證Android惡意應(yīng)用可以被正常地執(zhí)行。

2.1.2 控件識(shí)別器

該組件基于Android另一個(gè)測(cè)試工具Hierarchy Viewer［15］的API設(shè)計(jì)實(shí)現(xiàn)，主要功能是識(shí)別當(dāng)前Android設(shè)備上顯示的界面中所定義的控件類型，比如按鈕、文本框等，并發(fā)送給事件生成器，以便事件生成器根據(jù)不同類型的控件生成不同的應(yīng)用操作事件。

2.1.3 路徑識(shí)別器

該模塊調(diào)用Hierarchy Viewer所提供的API進(jìn)行設(shè)計(jì)，主要功能是識(shí)別當(dāng)前手機(jī)或者模擬器屏幕顯示的界面（activity），并獲取該activity上所有控件的信息（如控件名稱、ID、是否可點(diǎn)擊等），從而為事件生成模塊提供控件信息生成相應(yīng)的執(zhí)行事件。典型的Android應(yīng)用包含一個(gè)或多個(gè)activities。一個(gè)activity可以被看作一個(gè)容納了很多控件元素的容器，如按鈕、列表、文本框等。不同的activity之間都是執(zhí)行這些控件進(jìn)行轉(zhuǎn)換。

一個(gè)Android應(yīng)用包含一條或多條可執(zhí)行路徑，執(zhí)行路徑不同可能觸發(fā)不同網(wǎng)絡(luò)行為，從而導(dǎo)致產(chǎn)生的流量具有不一樣的屬性。因此，為了識(shí)別Android應(yīng)用的可執(zhí)行路徑，提出一個(gè)基于深度優(yōu)先搜索的可執(zhí)行路徑識(shí)別算法，即深度優(yōu)先識(shí)別算法（depth-first identification algorithm）。該算法是基于傳統(tǒng)的深度優(yōu)先遍歷樹(shù)算法，根據(jù)Android應(yīng)用的特點(diǎn)進(jìn)行改進(jìn)得到的。該算法最初把一個(gè)Android應(yīng)用啟動(dòng)時(shí)首先出現(xiàn)在屏幕的activity作為根節(jié)點(diǎn)；隨后對(duì)根節(jié)點(diǎn)的activity中控件進(jìn)行點(diǎn)擊，當(dāng)前activity就會(huì)跳轉(zhuǎn)到下一級(jí)節(jié)點(diǎn)，一直重復(fù)這個(gè)過(guò)程直到跳轉(zhuǎn)到某個(gè)activity上不存在可點(diǎn)擊的控件或者點(diǎn)擊后該activity不再轉(zhuǎn)換。該算法則返回上一級(jí)節(jié)點(diǎn)的activity去尋找沒(méi)有點(diǎn)擊過(guò)的控件進(jìn)行點(diǎn)擊。那么從根節(jié)點(diǎn)到葉子節(jié)點(diǎn)的這條路徑就可以記錄為Android應(yīng)用的一條可執(zhí)行路徑。深度優(yōu)先識(shí)別算法將詳細(xì)介紹可執(zhí)行路徑識(shí)別的過(guò)程，如算法1所示。

算法1 基于深度優(yōu)先的路徑識(shí)別算法

輸入 Android應(yīng)用的操作界面；

輸出 Android應(yīng)用執(zhí)行路徑；

（1）function DFI（|A|）

（2） for all activities Ai，Ajin|A|do

（3） change to activity Ai；

（4） DEPFIRSTIDENT （Ai）；

（5） end for

（6）end function

（7）function DEPFIRSTIDENTI （Ai）

（8） widgetset←GET_WIDGET（Ai）；

（9） for each widget in widgetset do

（10） if（widgetset.isclickable==TURE）then

（11） if（Ai→Aj）

（12） record this activity transition；

（13） DEPFIRSTIDENTI （Ai）；

（14） back to activity Ai；

（15） end if

（16） end if

（17） end for

（18）end function

在深度優(yōu)先路徑識(shí)別算法中，首先從Android應(yīng)用的manifest文件中提取應(yīng)用啟動(dòng)時(shí)顯示的activity名稱 （比如main activity），這些activity將作為可執(zhí)行路徑的起點(diǎn)。然后從這個(gè)起點(diǎn)開(kāi)始執(zhí)行算法（第1～5行）。對(duì)于應(yīng)用中的每個(gè) activity（Ai），算法都會(huì)提取其所有的控件的屬性（第9行）。該算法將逐個(gè)判斷每個(gè)控件是否可點(diǎn)擊，如果該控件可點(diǎn)擊，則進(jìn)行點(diǎn)擊。當(dāng)發(fā)現(xiàn)當(dāng)前activity Ai跳轉(zhuǎn)到一個(gè)新的activity Aj時(shí)，算法將在Aj上遞歸地調(diào)用DEPFIRSTIDENT函數(shù)，并記錄這個(gè)轉(zhuǎn)換。該算法將以深度優(yōu)先的形式執(zhí)行下去，直到當(dāng)面顯示的activity中沒(méi)有可點(diǎn)擊的控件或者點(diǎn)擊可點(diǎn)擊的控件后activity不再轉(zhuǎn)換，算法將跳轉(zhuǎn)到上一級(jí)的activity，并重復(fù)前述的過(guò)程。

假設(shè)Android應(yīng)用具有N個(gè)activity。每個(gè)activity調(diào)用DEPFIRSTIDENT函數(shù)的次數(shù)是根據(jù)該activity中所定義的可點(diǎn)擊控件的個(gè)數(shù)來(lái)決定的，即widgetset所包含控件個(gè)數(shù)W。在執(zhí)行一個(gè)Android應(yīng)用時(shí)，DEPFIRSTIDENT函數(shù)被調(diào)用的次數(shù)應(yīng)該是該應(yīng)用所具有的可點(diǎn)擊控件的個(gè)數(shù)，即所以該算法的時(shí)間復(fù)雜度為O（M）。

2.1.4 流量捕獲

該組件是基于 TCPDUMP［14］設(shè)計(jì)實(shí)現(xiàn)的，主要功能就是捕獲Android惡意應(yīng)用在運(yùn)行時(shí)產(chǎn)生的網(wǎng)絡(luò)流量，并保存為pcap格式文件，便于后續(xù)的分析工作。

2.2 網(wǎng)絡(luò)行為特征提取

該模塊通過(guò)對(duì)Android惡意應(yīng)用運(yùn)行時(shí)產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行捕獲、解析，并從中提取HTTP的行為特征。將提取的行為特征保存到Android惡意應(yīng)用網(wǎng)絡(luò)行為特征庫(kù)中。網(wǎng)絡(luò)行為可以映射為多個(gè)不同的網(wǎng)絡(luò)特征，比如一個(gè)Android惡意應(yīng)用可能訪問(wèn)一個(gè)或者多個(gè)命令與控制（command and control，Camp;C）服務(wù)器，訪問(wèn)不同的 Camp;C 服務(wù)器可能導(dǎo)致不同的網(wǎng)絡(luò)行為，從而產(chǎn)生不同的網(wǎng)絡(luò)流量行為特征。而根據(jù)Zhou等人的研究發(fā)現(xiàn)［13］，絕大部分的Android惡意應(yīng)用都是通過(guò)HTTP和Camp;C服務(wù)器進(jìn)行通信，。因此，Android惡意應(yīng)用的網(wǎng)絡(luò)流量特征主要集中在HTTP流中。所以本文將從Android惡意應(yīng)用產(chǎn)生的HTTP流中提取Android惡意應(yīng)用的網(wǎng)絡(luò)流量行為特征。如圖1所示，該模塊由4個(gè)不同的組件組成，接下來(lái)將詳細(xì)介紹每個(gè)組件。

2.2.1 流量解析

每一個(gè)被捕獲的流量數(shù)據(jù)文件都包含一條或多條HTTP請(qǐng)求的信息。由于受限于最大分段長(zhǎng)度，很多HTTP請(qǐng)求被分割成多段進(jìn)行傳輸。因此，本組件需要把這些被分割的段整合為一個(gè)整體。本組件將根據(jù)網(wǎng)絡(luò)流量屬性中的具有相同的源／目的IP地址和源／目的端口的流判斷為同一條流。HTTP流整合完成后，提取如下的網(wǎng)絡(luò)流量的屬性 ：{fid，srcIP，dstIP，srcPort，dstPort，host，method，URI，header，isad，isalexa}。其中，fid 表示 Android 惡意應(yīng)用的識(shí)別符，＜ srcIP，dstIP，srcPort，dstPort＞分別表示源／目的 IP地址和源／目的端口，host表示所訪問(wèn)的服務(wù)器域名，method表示HTTP請(qǐng)求的方法，如 get或者 post，URI表示HTTP請(qǐng)求的統(tǒng)一資源定位符，header表示HTTP頭部信息，isad表示是否為廣告庫(kù)生成的流量，isalexa表示是否是正常流量。

2.2.2 流量聚類

為了更好地區(qū)分Android惡意應(yīng)用的不同的HTTP行為，本組件將相似度較高的HTTP行為聚類到同一個(gè)簇中。聚類的原則是，基于URI相似度將具有相同的HTTP請(qǐng)求方法并具有相同或者相似的URI的HTTP流聚類到同一個(gè)簇。相似度的計(jì)算方法是基于Jaccard index［16］進(jìn)行計(jì)算的，該模塊對(duì)每一對(duì)URI進(jìn)行Jaccard指標(biāo)計(jì)算，如果計(jì)算得到的Jaccard指標(biāo)的值大于0.6（第3.3節(jié)詳述），則認(rèn)為這兩條流具有相似性，并可以聚類到同一個(gè)簇。

2.2.3 特征生成

HTTP流的行為特征代表了Android惡意應(yīng)用的網(wǎng)絡(luò)行為，該特征是由多個(gè)網(wǎng)絡(luò)屬性所組成的。由于大多數(shù)的Android惡意應(yīng)用都通過(guò)HTTP與外部服務(wù)器進(jìn)行通信，因此本組件重點(diǎn)關(guān)注于HTTP流的行為特征提取。HTTP流的行為特征由HTTP請(qǐng)求流中的主機(jī)域名、請(qǐng)求方法和URI 3個(gè)部分組成。其中，URI又包括URL路徑或者查詢路徑以及查詢的參數(shù)，這些元素可以映射為應(yīng)用不同的網(wǎng)絡(luò)行為。圖3通過(guò)一個(gè)名為ADRD［17］的Android惡意應(yīng)用所產(chǎn)生的HTTP請(qǐng)求中所包含的URI為例子來(lái)更好地解釋Android惡意應(yīng)用的行為特征。

其中，page表示該應(yīng)用所訪問(wèn)的URL或者請(qǐng)求的資源路徑，f表示應(yīng)用所訪問(wèn)的具體頁(yè)面或者請(qǐng)求具體的資源文件類型，query表示查詢部分，k表示查詢的參數(shù)，υ表示查詢參數(shù)的值。

該組件首先根據(jù)分隔符“？”把整個(gè)字段劃分成兩個(gè)子字段，分別是請(qǐng)求頁(yè)面字符串和查詢字符串。隨后去掉查詢字段里面的查詢參數(shù)值，因?yàn)橛行﹨?shù)表示Android設(shè)備的參數(shù)，比如IMEI、屏幕分辨率等，對(duì)于不同的Android設(shè)備這些值是不一樣的，但是并不能說(shuō)明所產(chǎn)生的網(wǎng)絡(luò)行為不同。最后，該模塊從URI中提取出的page和k兩類字段，與流量解析部分描述的其他網(wǎng)絡(luò)屬性共同組成了Android惡意應(yīng)用的網(wǎng)絡(luò)流量行為特征。

2.2.4 特征合并

在HTTP流量聚類后，不同的簇中可能存在HTTP流包含同樣的或者相似的URI，導(dǎo)致所提取的行為特征具有一定的冗余性，增加后續(xù)檢測(cè)工作的開(kāi)銷。因此，本文對(duì)所提取的行為特征進(jìn)行合并。假設(shè)有兩個(gè)URI，提取后得到的字段集合分別用S1和S2表示。

S1：／zsxh／*.aspx，type=，imei=，imsi=，area=

S2：／zsxh／*.aspx，imei=，imsi=，ver=

從S1和S2可以看出，兩個(gè)字段集合的page部分是完全一樣的，而查詢參數(shù)部分也具有一定的重合度。因此具有這樣特征的行為特征字段是需要進(jìn)行合并的。合并的方法就是對(duì)查詢參數(shù)取交集操作。最后得到S：／zsxh／*.aspx，imei=，imsi=。

經(jīng)過(guò)上述4個(gè)組件提取了基于網(wǎng)絡(luò)流量的Android惡意應(yīng)用的行為特征。圖 4以 ADRD和 DroidDreamLight［18］兩類惡意應(yīng)用為例，展示了存儲(chǔ)于特征庫(kù)里面的最終行為特征的格式。本文將行為特征存儲(chǔ)為類似于Snort規(guī)則的格式，以便于部署到Android惡意應(yīng)用檢測(cè)工作中。

3 實(shí)驗(yàn)結(jié)果

3.1 實(shí)驗(yàn)數(shù)據(jù)集

圖3 ADRD惡意應(yīng)用的URI

圖4 基于HTTP流量的Android惡意應(yīng)用的行為特征格式

使用兩個(gè)不同的數(shù)據(jù)集，第一個(gè)是美國(guó)北卡羅萊納州立 大學(xué) 提 供 的 Android malware genome project［13］中 所 提 供 的Android惡意應(yīng)用數(shù)據(jù)集。該數(shù)據(jù)集包括了來(lái)自49個(gè)不同Android惡意應(yīng)用家族的1 260個(gè)惡意應(yīng)用，其中，1 171個(gè)惡意應(yīng)用都會(huì)通過(guò)HTTP與Camp;C服務(wù)器進(jìn)行通信。該數(shù)據(jù)集用于自動(dòng)執(zhí)行應(yīng)用并從中提取Android惡意應(yīng)用的網(wǎng)絡(luò)流量的行為特征。第二個(gè)數(shù)據(jù)集是由118個(gè)未知類型的惡意應(yīng)用組成。該數(shù)據(jù)集用于驗(yàn)證所提取的行為特征的有效性。表1列舉了兩類數(shù)據(jù)集的詳細(xì)信息。

表1 數(shù)據(jù)集詳細(xì)信息

由于大多數(shù)Android惡意應(yīng)用都是通過(guò)在正常應(yīng)用中嵌入惡意代碼的方式來(lái)生成的。因此，在運(yùn)行惡意應(yīng)用時(shí)會(huì)同時(shí)產(chǎn)生正常和惡意兩類網(wǎng)絡(luò)流量。為了更加準(zhǔn)確地提取惡意應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量的行為特征，本文根據(jù)流量的域名定義了一個(gè)白名單，該名單是由Alexa［19］網(wǎng)站所提供的世界上最流行的500個(gè)網(wǎng)站域名組成的。在采集完網(wǎng)絡(luò)流量數(shù)據(jù)后先用該白名單過(guò)濾掉那些正常的網(wǎng)絡(luò)流量。此外，Android應(yīng)用還具有一個(gè)特點(diǎn)，即內(nèi)嵌的廣告庫(kù)在應(yīng)用運(yùn)行時(shí)也會(huì)產(chǎn)生網(wǎng)絡(luò)流量。因此這部分流量也需要在提取行為特征之前過(guò)濾掉。本文同樣建立一個(gè)廣告名單，由AdRisk［20］中所提到的廣告域名所組成。同樣地在采集Android惡意應(yīng)用生成的網(wǎng)絡(luò)流量時(shí)根據(jù)廣告名單過(guò)濾掉廣告流量。表2列舉了過(guò)濾后的網(wǎng)絡(luò)流量信息。

表2 流量分類統(tǒng)計(jì)信息

實(shí)驗(yàn)中，每個(gè)Android惡意應(yīng)用都是在真實(shí)的Android智能手機(jī)上（系統(tǒng)版本2.3.3）運(yùn)行，每個(gè)應(yīng)用運(yùn)行5 min。此外，由于在自動(dòng)執(zhí)行過(guò)程中需要識(shí)別控件類型，該階段平均消耗的時(shí)間為10 s左右。

3.2 Android惡意應(yīng)用自動(dòng)執(zhí)行結(jié)果

通過(guò)使用activity覆蓋率來(lái)驗(yàn)證本文所設(shè)計(jì)的Android惡意應(yīng)用自動(dòng)執(zhí)行方法的有效性。activity覆蓋率是指一個(gè)Android惡意應(yīng)用在自動(dòng)執(zhí)行過(guò)程中執(zhí)行的activity個(gè)數(shù)占該應(yīng)用總的activity個(gè)數(shù)的比例。因?yàn)樵贏ndroid惡意應(yīng)用中觸發(fā)不同的activity可能導(dǎo)致不同的網(wǎng)絡(luò)行為，從而生成不同的HTTP流量。所以在自動(dòng)執(zhí)行過(guò)程中如果可以執(zhí)行Android惡意應(yīng)用所有的activity，那么就可以從HTTP流量中提取到可以完全表示該惡意應(yīng)用網(wǎng)絡(luò)行為的特征。圖5列舉了5個(gè)流行的Android惡意應(yīng)用的activity覆蓋率，并和手動(dòng)執(zhí)行方法、使用Monkey隨機(jī)執(zhí)行方法進(jìn)行比較。這5個(gè)惡意應(yīng)用分別來(lái)自5個(gè)不同的惡意家族，分別是AnserverBot、Basebridge、Beanbot、Geinimi和 DroidKungfu。

圖5 activity覆蓋率

從圖5可以看出，本文所設(shè)計(jì)的Android惡意應(yīng)用自動(dòng)執(zhí)行的方法和手動(dòng)執(zhí)行的方法在activity覆蓋率上能達(dá)到幾乎一樣的結(jié)果，只是在執(zhí)行Droidkungfu這個(gè)Android惡意應(yīng)用時(shí)，activity覆蓋率稍微差了一些。但是自動(dòng)執(zhí)行方法不需要消耗人力和時(shí)間。此外，自動(dòng)執(zhí)行方法比Monkey隨機(jī)執(zhí)行的方法在activity覆蓋率上要高出很多。這說(shuō)明自動(dòng)執(zhí)行方法通過(guò)對(duì)所執(zhí)行控件的類型進(jìn)行識(shí)別后生成相應(yīng)的執(zhí)行動(dòng)作，保證了Android惡意應(yīng)用可以不中斷地執(zhí)行。其中，只有Beanbot惡意應(yīng)用的activity覆蓋率同另外兩種方法一樣，這是因?yàn)樵搼?yīng)用只包含1個(gè)activity。activity覆蓋率的結(jié)果也驗(yàn)證本文所提出的方法可以有效地執(zhí)行Android惡意應(yīng)用，盡可能多地觸發(fā)其網(wǎng)絡(luò)行為，從而可以提取到更加全面有效的行為特征。

3.3 特征提取結(jié)果

首先本實(shí)驗(yàn)驗(yàn)證Jaccard指標(biāo)的閾值選取。分別選取Jaccard指標(biāo)為 0.2、0.4、0.6、0.8進(jìn)行 10倍交叉驗(yàn)證的聚類。聚類的結(jié)果見(jiàn)表3。

從表3可以看出，當(dāng)Jaccard指標(biāo)從0.2增加到0.6時(shí)，聚類的準(zhǔn)確率、精準(zhǔn)率（precision）、召回率（recall）和F值也隨著增加。在0.6時(shí)達(dá)到最高值，誤判率隨著降低，在0.6時(shí)達(dá)到最低值。當(dāng)Jaccard指標(biāo)繼續(xù)增加到0.8時(shí)，聚類的準(zhǔn)確率、精準(zhǔn)率、召回率和F值有一定程度的降低，而誤判率有一定程度的增加。因此，在聚類Android惡意應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量時(shí)，Jaccard指標(biāo)選擇為0.6可以得到最優(yōu)的聚類結(jié)果。

表3 不同Jaccard指標(biāo)值的聚類結(jié)果

表4列舉了自動(dòng)提取行為特征中每一階段的結(jié)果。Android惡意應(yīng)用的網(wǎng)絡(luò)流量的行為特征提取是根據(jù)第2節(jié)所描述的方法進(jìn)行提取的。

表4 Genome和未知類型數(shù)據(jù)集特征提取結(jié)果

從表4的結(jié)果觀察到，通過(guò)對(duì)Genome數(shù)據(jù)集中的1 171個(gè)Android惡意應(yīng)用所產(chǎn)生的HTTP流量進(jìn)行特征提取，一共提取了660條基于網(wǎng)絡(luò)流量的行為特征。其中經(jīng)過(guò)合并后得到623條不同的行為特征，并屬于99個(gè)不同的簇。而未知類型的Android惡意應(yīng)用數(shù)據(jù)集由于應(yīng)用個(gè)數(shù)遠(yuǎn)少于Genome的應(yīng)用個(gè)數(shù)。因此，所提取的行為特征也遠(yuǎn)少于從Genome數(shù)據(jù)集里面提取的特征，生成84條行為特征，合并后只有79條，分別聚類到11個(gè)不同的簇。表5列舉了特征提取過(guò)程中每一步所需要的時(shí)間開(kāi)銷。

表5 自動(dòng)特征提取的時(shí)間開(kāi)銷分布

從表5的結(jié)果可以看出，在自動(dòng)特征提取的過(guò)程中，最為耗時(shí)的就是流量解析過(guò)程，兩類數(shù)據(jù)集的流量解析時(shí)間基本上占據(jù)了總體時(shí)間開(kāi)銷的90%以上。但是本文提出的方法主要用于線下分析，比如Android市場(chǎng)的應(yīng)用審核。因此，分鐘級(jí)別的時(shí)間開(kāi)銷應(yīng)該是可以接受的。

［21］中提出了對(duì)僵尸網(wǎng)絡(luò)的Camp;C信道的網(wǎng)絡(luò)進(jìn)行聚類分析。該工作使用X-means算法對(duì)網(wǎng)絡(luò)流量屬性（如數(shù)據(jù)分組個(gè)數(shù)等）進(jìn)行聚類分析。本實(shí)驗(yàn)將本文的方法與參考文獻(xiàn)［21］的方法在流量解析和流量聚類的時(shí)間開(kāi)銷方面進(jìn)行對(duì)比，以Genome數(shù)據(jù)集為例，結(jié)果見(jiàn)表6。

表6 聚類分析時(shí)間開(kāi)銷對(duì)比

從表6中的結(jié)果可以看出，兩類方法在流量解析的時(shí)間開(kāi)銷上相差不大，因?yàn)榱髁拷馕龉ぷ髦饕橇髁繉傩缘奶崛。@兩種方法都是使用同樣的流量解析方法。但是在流量聚類階段，本文方法的時(shí)間開(kāi)銷遠(yuǎn)低于參考文獻(xiàn)［17］的方法。這是因?yàn)楸疚牡木垲惙椒ㄊ峭ㄟ^(guò)預(yù)先設(shè)定的Jaccard指標(biāo)值來(lái)判斷兩條流量是否具有相似度，并歸類到同一個(gè)簇中。而參考文獻(xiàn)［21］的方法需要經(jīng)過(guò)多次迭代后才能把具有相似屬性的網(wǎng)絡(luò)流量歸類到同一個(gè)簇。因此，本文的流量聚類的方法能更加快速地把具有相似屬性的網(wǎng)絡(luò)流量進(jìn)行聚類。

圖6以8類流行的Android惡意應(yīng)用家族為例，展示了行為特征提取后各個(gè)家族所對(duì)應(yīng)的行為特征數(shù)目。從圖6中觀察得到，從Android惡意應(yīng)用生成的HTTP流中提取到的行為特征數(shù)目要多于Android惡意應(yīng)用的數(shù)目。這是因?yàn)橐粋€(gè)Android惡意應(yīng)用一般具有多種不同的網(wǎng)絡(luò)行為，比如竊取不同的隱私數(shù)據(jù)、接收Camp;C服務(wù)器的命令等。不同的網(wǎng)絡(luò)行為映射為不同的行為特征。因此，行為特征的數(shù)目要多于應(yīng)用的數(shù)目。

圖6 流行Android惡意應(yīng)用家族行為特征數(shù)分布

3.4 Android惡意應(yīng)用檢測(cè)

首先通過(guò)使用從Genome數(shù)據(jù)集里面提取到的行為特征，對(duì)未知類型的數(shù)據(jù)集中的Android惡意應(yīng)用進(jìn)行檢測(cè)，并判斷它們分別是屬于哪些Android惡意應(yīng)用家族。檢測(cè)結(jié)果見(jiàn)表7。

表7 行為特征驗(yàn)證結(jié)果

從表7中觀察到，未知類型的數(shù)據(jù)集中一共正常運(yùn)行了96個(gè)惡意應(yīng)用，并成功地判斷出86個(gè)惡意應(yīng)用分別所屬的惡意應(yīng)用家族。還有10個(gè)惡意應(yīng)用沒(méi)有成功判定，是因?yàn)樾袨樘卣魈崛〉臄?shù)據(jù)集中沒(méi)有包含這些惡意應(yīng)用家族。將在未來(lái)的工作中繼續(xù)擴(kuò)大數(shù)據(jù)集，爭(zhēng)取包含更多的惡意應(yīng)用家族，從而提高Android惡意應(yīng)用的行為特征提取質(zhì)量。此外，在未知類型的Android惡意應(yīng)用中，DroidKungfu惡意應(yīng)用的數(shù)量是最多的。該惡意應(yīng)用可以入侵Android手機(jī)存在的漏洞，并躲避目前殺毒軟件的檢測(cè)。

其次，為了驗(yàn)證白名單和廣告名單對(duì)Android惡意應(yīng)用特征提取的影響。對(duì)未過(guò)濾的Android惡意應(yīng)用產(chǎn)生的網(wǎng)絡(luò)流量按照前述方法進(jìn)行特征提取，并使用這類特征和從過(guò)濾后的Android惡意應(yīng)用中提取的特征一起對(duì)一個(gè)由100個(gè)從第三方市場(chǎng)下載的Android應(yīng)用組成的數(shù)據(jù)集進(jìn)行驗(yàn)證。該數(shù)據(jù)集通過(guò)VirusTotal［22］的驗(yàn)證發(fā)現(xiàn)一共存在37個(gè)Android惡意應(yīng)用和63個(gè)Android正常應(yīng)用。VirusTotal是一個(gè)提供在線檢測(cè)Android惡意應(yīng)用的網(wǎng)站，其中集成了40多個(gè)商業(yè)反病毒軟件。最后，根據(jù)兩類特征的檢測(cè)結(jié)果見(jiàn)表8。

如表8所示，根據(jù)兩類不同的提取特征都從37個(gè)惡意應(yīng)用中檢測(cè)到32個(gè)。但是通過(guò)白名單和廣告名單過(guò)濾所提取出來(lái)的特征僅僅誤判5個(gè)正常應(yīng)用為惡意應(yīng)用，而未通過(guò)白名單和廣告名單過(guò)濾所提取的特征誤判21個(gè)正常應(yīng)用為惡意應(yīng)用。該結(jié)果說(shuō)明了通過(guò)白名單和廣告名單過(guò)濾后所提取的特征更加能反映Android惡意應(yīng)用的網(wǎng)絡(luò)行為特征，在實(shí)際檢測(cè)中具有較高的準(zhǔn)確率和較低的誤判率。

最后，為了驗(yàn)證本文方法的有效性，本實(shí)驗(yàn)將對(duì)比本文的方法和參考文獻(xiàn)［10］所提出的Android應(yīng)用識(shí)別的方法進(jìn)行惡意應(yīng)用檢測(cè)的精準(zhǔn)率和召回率，實(shí)驗(yàn)數(shù)據(jù)集使用未知類型中的96個(gè)Android惡意應(yīng)用。其中，精準(zhǔn)率和召回率的計(jì)算式如下所示：

表8 Android應(yīng)用檢測(cè)結(jié)果

其中，TP表示檢測(cè)的成功率，F(xiàn)P表示檢測(cè)的誤判率，F(xiàn)N表示檢測(cè)的漏判率。比較結(jié)果如圖7所示。

圖7 本文方法和參考文獻(xiàn)［10］方法的比較結(jié)果

從圖7可以看出，在檢測(cè)6個(gè)不同Android惡意應(yīng)用家族中的惡意應(yīng)用時(shí)，本文方法在精準(zhǔn)率和召回率兩個(gè)指標(biāo)上均能達(dá)到90%以上，而參考文獻(xiàn)［10］的方法在這兩個(gè)指標(biāo)上只能達(dá)到80%左右的程度。這是因?yàn)閰⒖嘉墨I(xiàn)［10］中的方法主要通過(guò)特征簽名和時(shí)間窗口來(lái)生成網(wǎng)絡(luò)行為特征，這樣會(huì)導(dǎo)致把一些不屬于該應(yīng)用的流量誤判為該應(yīng)用所生成的網(wǎng)絡(luò)流量，導(dǎo)致精準(zhǔn)率和召回率有所降低。此外，在ADRD和DroidDreamLight兩個(gè)惡意應(yīng)用家族上，本文的方法和參考文獻(xiàn)［10］的方法具有相同的精準(zhǔn)率和召回率。這是因?yàn)檫@兩個(gè)家族的應(yīng)用數(shù)目較少，變種應(yīng)用也較少，所以具有較高的精準(zhǔn)率和召回率。

4 結(jié)束語(yǔ)

針對(duì)Android惡意應(yīng)用提出了一種基于HTTP流的自動(dòng)網(wǎng)絡(luò)流量行為生成與特征提取的方法。首先介紹如何設(shè)計(jì)自動(dòng)執(zhí)行Android惡意應(yīng)用的方法來(lái)解決手動(dòng)執(zhí)行方法中存在的耗時(shí)耗精力的不足；其次，通過(guò)對(duì)捕獲到的網(wǎng)絡(luò)流量進(jìn)行流量解析、聚類，特征生成和合并等操作，提取到基于HTTP流的Android惡意應(yīng)用行為特征。在實(shí)驗(yàn)階段，使用兩類不同的數(shù)據(jù)集對(duì)本文所設(shè)計(jì)的提取方法進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，本文的方法不僅能有效地提取Android惡意應(yīng)用的HTTP流量的行為特征，并且所提取的特征可以準(zhǔn)確地識(shí)別未知的Android惡意應(yīng)用。

參考文獻(xiàn)：

［1］上年國(guó)內(nèi)在網(wǎng)活躍移動(dòng)智能設(shè)備數(shù)量達(dá)到 8.99億［EB／OL］.［2016-04-25］. http：／／www.ce.cn／culture／whcyk／cysj／201601／18／t20160118_8352012.shtml.The number of online active smart devices reach 0.899 billion in first half of 2015 in China ［EB／OL］. ［2016-04-25］.http：／／www.ce.cn／culture／whcyk／cysj／201601／18／t20160118_8352012.shtml.

［2］GRACE M，ZHOU Y，ZHANG Q，et al.RiskRanker：scalable and accuratezero-dayAndroid malwaredetection ［C］／／The 10th International Conference on Mobile Systems，Applications and Services （MobiSys 2012），April 5-11，2012，San Diego，CA，USA.New York：ACM Press，2012：281-294.

［3］ARP D，SPREITZENBARTH M，HUBNER M，et al.Drebin：effective and explainable detection of Android malware in yourpocket ［C］／／Network and Distributed System Security Symposium（NDSS 2014），June 11-15，2014，San Diego，CA，USA.Washington：IEEE Computer Society，2014：199-210.

［4］ Linear SVM ［EB／OL］. ［2016-04-25］.http：／／www.linearsvm.com.

［5］HAO S，LIU B，NATH S，et al.Programmable UI-automation forlarge-scale dynamic analysisofmobile apps ［C］／／12th International Conference on Mobile Systems，Applications and Services （MobiSys 2014），September 5-11，2014，Bretton Woods，New Hampshire，USA.New York：ACM Press，2014：204-217.

［6］ENCK W，GILBERTP，CHUN B，etal.Taintdroid：an information-flow tracking system for realtime privacy monitoring on smartphones［C］／／9th USENIX Conference on Operating Systems Design and Implementation，December 9-12，2010，Vancouver，BC，Canada.New Jersey：IEEE Press，2010：1-6.

［7］ Monkey［EB／OL］. ［2016-04-25］.http：／／developer.android.com／tools／help／monkey.html.

［8］WEI X，GOMEZ L，NEAMTIU I，et al.Profile droid：multilayer profiling of android applications ［C］／／18th Annual International Conference on Mobile Computing and Networking（MobiCom 2012），June 11-15，2012，Istanbul，Turkey.New York：ACM Press，2012：137-148.

［9］JIANG X， ZHOU Y. Dissecting android malware：Characterization and evolution ［C］／／2012 IEEE Symposium on Security and Privacy，May 20-23，2012，San Francisco，USA.New Jersey：IEEE Press，2012：95-109.

［10］SU X，ZHANG D，DAI S，et al.Mobile traffic Identification based on applications network signature ［J］.International Journal of Embedded Systems，2016，8（2-3）：217-227.

［11］DAI S，TONGAONKAR A，WANG X，et al.Network profiler：Towards automatic fingerprinting of android apps［C］／／32nd IEEE International Conference on Computer Communications，Infocom 2013，June 5-7，2013，Turin，Italy.New Jersey：IEEE Press，2013：809-817.

［12］XU Q，LIAO Y，MISKOVIC S，et al.Automatic generation of mobile App signatures from traffic observations ［C］／／34th IEEE International Conference on Computer Communications，Infocom 2015，November 3-5，2015，Hong Kong，China.New Jersey：IEEE Press，2015：1481-1489.

［13］ZHOU Y，JIANG X.Dissecting android malware：characterization and evolution［C］／／IEEE Symposium on Security and Privacy，June 5-9，2012，San Francisco，CA，USA.New Jersey：IEEE Press，2012：95-109.

［14］Tcpdump［EB／OL］.［2016-04-25］.http：／／www.tcpdump.org.

［15］Tools［EB／OL］.［2016-04-25］.http：／／developer.android.com／tools.

［16］Jaccard index［EB／OL］.［2016-04-25］.http：／／en.wikipedia.org／wiki／Jaccard_index.

［17］Adrd ［EB／OL］. ［2016-04-25］.https：／／www.microsoft.com／security／portal／threat／encyclopedia／entry.aspx？Name=TrojanSpy%3AAndroid OS%2FAdrd.A.

［18］Trojan：droid dream light ［EB／OL］. （2011-07-23）［2016-04-25］.http：／／tools.cisco.com／security／center／viewAlert.x？alertId=23296.

［19］Alexa ［EB／OL］.［2016-04-25］.http：／／www.alexa.com.

［20］GRACE M，ZHOU W，JIANG X，et al.Unsafe exposure analysis of mobile in-app advertisements ［C］／／Fifth ACM Conference on Security and Privacy in Wireless and Mobile Networks（WiSec 2012），November 3-5，2012，Tucson，Arizona，USA.New York：ACM Press，2012：101-112.

［21］蘇欣，張大方，羅章琪，等.基于Command and Control通信信道流量屬性聚類的僵尸網(wǎng)絡(luò)檢測(cè)方法［J］.電子與信息學(xué)報(bào)，2012，34（8）：1993-1999.SU X，ZHANG D F，LUO Z Q，et al.Botnet detecting method based on clustering flow attributes of Command and Control communication channel ［J］.Journal of Electronicsamp;Information Technology，2012，34（8）：1993-1999.

［22］Virus total［EB／OL］.［2016-04-25］.https：／／www.virustotal.com／.

HTTP behavior characteristics generation and extraction approach for Android malware

LUO Yaling1，LI Wenwei2，SU Xin2，3
1.Department of Computer，Guangdong Songshan Polytechnic College，Shaoguan 512126，China 2.College of Computer Science and Electronics Engineering，Hunan University，Changsha 410082，China 3.Hunan Provincial Key Laboratory of Network Investigational Technology，Hunan Police Academy，Changsha 410138，China

Growing of Android malware，not only seriously endangered the security of the Android market，but also brings challenges for detection.A generation and extraction approach of automatic Android malware behavioral signatures was proposed based on HTTP traffic.Firstly，the behavioral signatures were extracted from the traffic traces generated by Android malware.Then，network behavioral characteristics were extracted from the generated network traffic.Finally，these behavioral signatures were used to detect Android malware.The experimental results show that the approach is able to extract Android malware network traffic behavioral signature with accuracy and efficiency.

Android malware，HTTP traffic，network behavioral characteristic，security

s： The National Natural Science Foundation of China（No.61173168，No.61471169），F(xiàn)oundation of the Education Department of Guangdong Province of China （No.［2012］54-A12），The Open Research Fund of Key Laboratory of Network Crime Investigation of Hunan Provincial Colleges （No.2016WLFZZC008）

TP393.08

A

10.11959／j.issn.1000-0801.2016222

2016-04-25；

2016-08-04

羅亞玲，versace0922@163.com

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61173168，No.61471169）；廣東省教育廳資助項(xiàng)目（粵教高函［2012］54號(hào)-A12）；網(wǎng)絡(luò)犯罪偵查湖南省普通高等學(xué)校重點(diǎn)實(shí)驗(yàn)室開(kāi)放研究基金資助項(xiàng)目（No.2016WLFZZC008）

羅亞玲（1977-），女，廣東松山職業(yè)技術(shù)學(xué)院講師，主要研究方向?yàn)閃eb開(kāi)發(fā)與研究、移動(dòng)應(yīng)用。

黎文偉（1975-），男，博士，湖南大學(xué)信息科學(xué)與工程學(xué)院副教授，主要研究方向?yàn)榭尚畔到y(tǒng)與網(wǎng)絡(luò)、網(wǎng)絡(luò)測(cè)試。

蘇欣（1983-），男，湖南大學(xué)信息科學(xué)與工程學(xué)院博士生，主要研究方向?yàn)橐苿?dòng)應(yīng)用安全、移動(dòng)互聯(lián)網(wǎng)大數(shù)據(jù)挖掘。