An Android repackaged malicious application detection device includes a model building unit adapted to construct network traffic behavior models of mobile applications to be detected and a comparison group adapted to construct network traffic behavior models respectively; the comparison group includes a plurality of mobile applications similar to the mobile application to be detected; and the comparison determination unit adapted to be detected. The network traffic behavior model of the mobile application is compared with the network traffic behavior model of the contrast group to determine whether the mobile application to be detected is a malicious application repackaged for Android. The above scheme can detect malicious applications of Android repackage and improve network security.
【技术实现步骤摘要】
Android重打包恶意应用检测装置
本专利技术涉及网络安全
,具体地涉及一种Android重打包恶意应用检测装置。
技术介绍
随着移动互联网的迅速发展,安卓(Android)智能终端,如智能手机、平板电脑(Pad)、智能手表等,已经成为日常社会活动的重要辅助工具。但安卓智能终端的广泛使用,也吸引了众多攻击者的目光,各类恶意移动应用(Mobilemalware)攻击事件层出不穷。通过对安卓恶意移动应用的实现方法进行统计分析,发现超过80%的安卓恶意移动应用是通过重打包(repackaging)方式完成。分析其原因,一是由于安卓移动应用易于修改,黑客可利用开源工具,如APKTOOL、JADX等,对任意安卓移动应用进行修改,增加恶意代码并重新打包发布;二是通过对流行的安卓移动应用进行重打包,便于恶意代码的快速传播。因此,Android重打包恶意应用对网络运行安全存在着威胁,对其进行检测具有重要的意义。
技术实现思路
本专利技术解决的技术问题是如何检测Android重打包恶意应用,提高网络安全。为解决上述技术问题,本专利技术实施例提供了一种Android重打包恶意应用检测装置,所述装置包括:模型构建单元,适于分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用;比较确定单元,适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用。可选地,所述模型构建单元,适于获取所述待检测移动应用的网络流量;所述待检测移动应用的网络流量包括以 ...
【技术保护点】
1.一种Android重打包恶意应用检测装置,其特征在于,包括:模型构建单元,适于分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用;比较确定单元,适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用。
【技术特征摘要】
1.一种Android重打包恶意应用检测装置,其特征在于,包括:模型构建单元,适于分别构建待检测移动应用和对比组的网络流量行为模型;所述对比组中包括多个与所述待检测移动应用相类似的移动应用;比较确定单元,适于将待检测移动应用的网络流量行为模型与所述对比组的网络流量行为模型进行比对,以确定所述待检测移动应用是否为Android重打包恶意应用。2.根据权利要求1所述的Android重打包恶意应用检测装置,其特征在于,所述模型构建单元,适于获取所述待检测移动应用的网络流量;所述待检测移动应用的网络流量包括以所述待检测移动应用为发起方的出流和以待检测移动应用为接受方的入流;计算所述待检测移动应用的网络流量对应的多个网络流量特征;将所述多个网络特征按照顺序进行排列,得到所述待检测移动应用的网络流量行为模型。3.根据权利要求1所述的Android重打包恶意应用检测装置,其特征在于,所述模型构建单元,还适于分别获取所述对比组中各个移动应用的网络流量;所述对比组中各个移动应用的网络流量包括以所述对比组中各个移动应用为发起方的出流和以待检测移动应用为接受方的入流;分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征;分别计算所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值;将所述对比组中各个移动应用的网络流量对应的多个网络流量特征中相应的网络流量特征的均值按照顺序进行排列,得到对比组的网络流量行为模型。4.根据权利要求2或3所述的Android重打包恶意应用检测装置,其特征在于,所述网络流量特征包括以下至少一种:出流的数量;入流的数量;所有出流中报文的数量总和;所有入流中报文的数量总和;所有出流中报文长度的总和;所有入流中报文长度的总和;所有出流中平均报文长度值;所有出流中报文长度值的方差;所有入流中平均报文长度值;所有入流中报文长度值...
【专利技术属性】
技术研发人员:何高峰,孙雁飞,王堃,亓晋,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。