一种基于突变流量的在野黑产应用采集方法
CSTR:
作者:
作者单位:

作者简介:

陈沛(2001-), 女, 博士生, CCF学生会员, 主要研究领域为网络黑产, 网络资产滥用测量;陈晋松(2002-), 男, 硕士生, 主要研究领域为互联网探测;洪赓(1994-), 男, 博士, 助理研究员, CCF专业会员, 主要研究领域为网络空间治理, 移动安全, 区块链安全;段海新(1972-), 男, 博士, 教授, 博士生导师, CCF高级会员, 主要研究领域为网络安全, 网络测量, 漏洞挖掘, 网络犯罪, 入侵检测;邬梦莹(1999-), 女, 博士生, 主要研究领域为网络黑产, 互联网测量;杨珉(1979-), 男, 博士, 教授, 博士生导师, CCF杰出会员, 主要研究领域为网络安全, 恶意代码检测, 漏洞分析挖掘, AI安全, 区块链安全, Web安全和系统安全机制等.

通讯作者:

杨珉, E-mail: m_yang@fudan.edu.cn

中图分类号:

基金项目:

国家自然科学基金(62302101)


Underground Application Collection Method Based on Spiking Traffic Analysis
Author:
Affiliation:

Fund Project:

  • 摘要
  • |
  • 图/表
  • |
  • 访问统计
  • |
  • 参考文献
  • |
  • 相似文献
  • |
  • 引证文献
  • |
  • 资源附件
  • |
  • 文章评论
    摘要:

    近年来, 移动互联网的兴起使以诈骗、博彩和色情为主的网络黑产移动应用(APP)变得更加猖獗, 亟待采取有效措施进行管控. 目前, 研究人员针对黑产应用的研究较少, 其原因是由于执法部门持续对黑产应用的传统分发渠道进行打击, 已有的通过基于搜索引擎和应用商店的采集方法效果不佳, 缺乏大规模具有代表性的在野黑产应用数据集, 已经成为开展深入研究的一大掣肘. 为此, 尝试解决在野黑产应用大规模采集的难题, 为后续深入全面分析黑产应用及其生态提供数据支撑. 提出了一种基于突变流量分析的黑产应用批量捕获方法, 以黑产应用分发的关键途径为抓手, 利用其具有的突变和伴随流量特点, 批量快速发现正处于传播阶段的新兴在野黑产应用, 为后续实时分析和追踪提供数据基础. 在测试中, 该方法成功获取了3 439条应用下载链接和3 303个不同的应用. 捕获的移动应用中, 不但有91.61%的样本被标记为恶意软件, 更有98.14%的样本为首次采集发现的零天应用. 上述结果证明了所提出的方法在黑产应用采集方面的有效性.

    Abstract:

    In recent years, with the rise of the mobile Internet, underground mobile applications primarily involved in scams, gambling, and pornography have become more rampant, requiring effective control measures. Currently, there is a lack of research on underground applications by researchers. Due to the continuous crackdown by law enforcement agencies on traditional distribution channels for these applications, the existing collection methods based on search engines and app stores have proven to be ineffective. The lack of large-scale and representative datasets of real-world underground applications has become a major constraint for in-depth research. Therefore, this study aims to address the challenge of collection of large-scale real-world underground applications, providing data support for a comprehensive in-depth analysis of these applications and their ecosystem. A method is proposed to capture underground applications based on traffic analysis. By focusing on the key distribution channels of underground applications and leveraging their characteristics of mutation and accompanying traffic, underground applications can be discovered in the propagation stage. In the test, the proposed method successfully obtained 3 439 application download links and 3 303 distinct applications. Among these apps, 91.61% of the samples were labeled as malware by antivirus engine, while 98.14% of the samples were zero-days. The results demonstrate the effectiveness of the proposed method in the collection of underground applications.

    参考文献
    相似文献
    引证文献
引用本文

陈沛,洪赓,邬梦莹,陈晋松,段海新,杨珉.一种基于突变流量的在野黑产应用采集方法.软件学报,2024,35(8):3684-3697

复制
分享
文章指标
  • 点击次数:
  • 下载次数:
  • HTML阅读次数:
  • 引用次数:
历史
  • 收稿日期:2023-09-11
  • 最后修改日期:2023-10-30
  • 录用日期:
  • 在线发布日期: 2024-01-05
  • 出版日期: 2024-08-06
文章二维码
您是第位访问者
版权所有:中国科学院软件研究所 京ICP备05046678号-3
地址:北京市海淀区中关村南四街4号,邮政编码:100190
电话:010-62562563 传真:010-62562533 Email:jos@iscas.ac.cn
技术支持:北京勤云科技发展有限公司

京公网安备 11040202500063号