基于云端服务器android恶意软件检测方案.docVIP

基于云端服务器android恶意软件检测方案 　　摘 要： 为了解决android系统的安全问题，提出采用客户端加云端服务器合作的方案，客户端主要负责轻量级检测、数据上传、检测结果的反馈[1]；云端服务器主要负责样本学习、IP地址和时间戳提取、异常IP地址的定位、结果的评定和验证，这样一部分恶意软件在客户端就被快速地检测出来，另一部分复杂的处理过程安排在云端服务器上，减轻了客户端数据处理的压力，提高了方案实施的稳定性和效率[2]。 　　关键词： 云端服务器；轻量级；样本学习；验证 　　中图分类号： TP309 文献标识码： A 文章编号： 2095-8153（2017）05-0103-03 　　目前Android 已然成为市场占有量最大的移动智能设备平台，据业界人士估计，今年Android在全球智能手机市场上的份额由去年的85%增长至90%。同时也成为了移动恶意应用最大的温床，Android 恶意软件成为当今主流安全威胁之一。2016年全年，360互联网安全中心累计截获Android平台新增恶意程序样本1 403.3万个，平均每天新增3.8万恶意程序样本。2016年全年，从手机用户感染恶意程序情况看，360互联网安全中心累计监测到Android用户感染恶意程序2.53亿，平均每天恶意程序感染量约为70万人次[3]，可见android系统存在很大的安全隐患。 　　目前主流的?阂馊砑?检测技术主要有静态检测和动态检测技术以及混合检测，静态检测技术主要通过匹配病毒库信息，检测速度快，准确率高，但是无法识别变异病毒和新型病毒；动态检测技术可以识别变异病毒和新型病毒，但是检测技术复杂，而且准确率低；混合检测技术就是将静态检测技术和动态检测技术融合起来，实现起来相当困难。鉴于以上情况，本文提出一种基于网络行为的对目标IP地址进行检测为核心的恶意软件检测技术，本方法将检测的主要模块安排在云端服务器，这样减轻了客户端的压力，提高了检测速度，重点是该方法是基于目标软件行为的检测方法[4]，可以准确识别新型恶意软件和变异的恶意软件。 　　1 检测方案框架概述 　　本方案提出的android平台恶意软件检测方案是客户端加云端服务器端的模式，客户端安装一款基于android平台的轻量级检测软件，云端服务器负责较复杂的恶意软件检测过程，客户端主要负责轻量级的静态扫描和数据的上传，检测结果的反馈，客户端静态扫描时可以识别的恶意软件，检测软件会直接将检测结果反馈给用户，如果遇到不能确定的目标软件，客户端就会提取该软件的名称、版本、运行的时间以及该软件通信时的DNS响应数据包[5]，并将这些信息上传到云端服务器，云端服务器有丰富的硬件和软件资源以及庞大的样本数据库，将对上传的数据作进一步的检测，如果发现异常，云端服务器将直接将数据传到客户端，客户端将结果反馈给用户，并存入自己的恶意软件病毒库。系统框架如图1所示。 　　2 客户端方案设计 　　2.1 客户端方案设计 　　客户端检测系统的设计就是将基于android系统的检测软件安装在客户端。首先，客户端会定期向云端服务器发送大量正常的应用程序样本配合云端服务器正常样本的学习[6]；其次，利用客户端的恶意软件病毒库对目标软件进行静态的扫描，发现异常直接将结果反馈给用户，一些常见的恶意病毒会很快检测出结果，节约了时间，提高了效率，如果遇到无法识别的目标软件，系统将提取该软件信息以及通信时的DNS响应数据包，将这些信息打包上传至云端服务器进一步检测；最后，对云端服务器反馈回来的结果除了反馈给用户外，客户端自己也会将其存储到自己的病毒库，以备下次用于恶意软件的轻量级检测。 　　2.2 DNS数据包的收集过程 　　当客户端对目标软件无法检测的时候，客户端就会将目标软件的信息包括软件的名称、版本号、已运行的时间以及该软件在通信时的DNS响应数据包一并上传至云端服务器，DNS数据包的信息收集工作主要借助于Wireshark软件来实现，具体就是将数据包在传输过程中的目标IP地址和时间戳截获，并且将目标软件运行态的相关信息一起发送至云端服务器。 　　3 云端服务器方案设计 　　3.1 云安全技术简述 　　云安全（Cloud Security）技术是网络时代信息安全的最新体现，包含了未知病毒行为判断的新兴技术和概念，通过网络上的大量客户端对网络中软件行为的异常监测，获取网上恶意程序的最新信息，上传到云端服务器进行自动分析和处理，并将结果反馈给每一个客户端，云端服务器也会根据客户端定期上传的正常软件的信息更新自己的样本学习数据库[7]。 　　3.2 云端服务器检测流程 　　整个检测方案的核心就是云端服务器检测部分，主要功能就是正常软件样本的学习、IP地址和时间戳获取、确定异常IP和目标软件的关系