10.3969/j.issn.1671-1122.2020.07.004
基于异常加密流量标注的Android恶意进程识别方法研究
现有Android恶意样本分析方法需要提前获得待检的样本程序,当待检对象是Android智能终端而非一个样本程序时,因无法确定智能终端内哪个进程为待检恶意进程,导致样本分析法无法有效应用.现有针对恶意加密流量的检测方法可以达到较高的识别精度,但无法确定恶意流量与Android终端内恶意进程的映射关系,即无法确定恶意加密流量是由哪个进程产生的,也就不能锁定恶意进程具体位置信息.针对上述问题,文章提出一种基于异常加密流量标注的Android恶意进程识别方法,通过监听待检Android终端产生的网络通信数据,提取TLS加密通信流DNS特征、TLS握手协商特征和流统计特征,采用基于随机森林算法的二元分类器,识别恶意加密通信流;再通过提取流五元组特征值,在恶意加密通信流与Android终端进程之间建立一一映射关系,确定终端内恶意进程的具体位置.实验结果表明,该方法对复杂网络环境下来知恶意加密流量的检测精确度为97.46%,可根据检测出的恶意加密数据流定位Android终端内的恶意进程.
TLS协议、加密流量标注、五元组、随机森林、恶意进程识别
TP309(计算技术、计算机技术)
辽宁省自然科学基金[2019-ZD-0167,2015020091,20180550841;中央高校基本科研业务费[3242017013;公安部技术研究计划[2016JSYJB06
2020-08-19(万方平台首次上网日期,不代表论文的发表时间)
共12页
30-41
