为区分恶意Android移动应用在运行过程中产生的恶意流量和正常流量,提出一种Android移动应用恶意流量标注方法。针对加密类型的网络流量,根据端口号和流载荷内容的字节熵值进行加密检测,依据服务器证书等内容判断加密流量是否异常,同时对恶意Android移动应用进行反编译,并利用程序控制流程图分析该加密流量是否涉及敏感操作,从而标注出恶意加密流量。对300个重打包类型的恶意移动应用进行测试,实验结果与同基准值对比分析表明,与未采用该方法的标注结果(1 602条恶意加密流量)相比,该方法检测出的恶意加密流量有341条,且标注结果中仅有28条为误报流量。

• 单位
  东南大学; 南京邮电大学; 物联网学院; 南京林业大学