移動僵尸網絡中數據流的采集與分析

徐 建，吳燁虹，程晶晶

(南京郵電大學 計算機學院，江蘇 南京 210023)

移動僵尸網絡中數據流的采集與分析

徐 建，吳燁虹，程晶晶

(南京郵電大學 計算機學院，江蘇 南京 210023)

近年來，移動僵尸網絡已經成為移動通信和網絡安全的最大威脅。隨著移動設備功能的不斷增強，給網絡犯罪提供了更好的環境。因此，僵尸網絡等各種新型的惡意軟件在移動設備和網絡中肆意傳播。針對移動設備安全的研究還不充分，依然缺乏高效的安全解決方案。因此，提供有效的數據以了解和分析移動僵尸網絡，對于移動設備的安全和隱私來說至關重要。為此，在對移動僵尸網絡數據集的生成、正常數據流量數據集的區分以及對非正常數據的清理詳細介紹的基礎上，對數據進行了標注和聚合。通過對以往的數據集和樣本優缺點的分析討論，進一步研究與分析了適合移動僵尸網絡的數據集與樣本的建立方法、數據采集和清理方法以及數據聚合成合法數據并擺脫移動僵尸主控機控制的方法。

移動僵尸網絡；檢測；數據集；數據分析

0 引 言

現如今智能手機已成為人們隨身攜帶的溝通工具，它已經不是單純的移動電話，而是基本上包含了所有計算機的功能，可以看作是一臺掌上計算機。因此針對計算機的威脅在不斷地遷移到智能終端設備和智能手機上。起初攻擊者利用各種短信來詐騙。隨著技術的革新和網絡瀏覽器的進步，手機上網成為一種潮流，手機上可以設計安裝各種應用程序(這里主要指Android系統)。這也給攻擊者提供了更多的機會，在移動設備上的攻擊和威脅方式有多種形式，如病毒、木馬、蠕蟲和移動僵尸網絡[1]。其中威脅最大的是移動僵尸網絡，它是由一個稱之為“移動僵尸主控機”的攻擊者，通過復雜的連接和通信，在網絡空間創建、執行惡意活動，并控制其子網絡進行協調攻擊，最終形成一個有組織的網絡犯罪形式[2]。

近年來，移動惡意軟件的攻擊和威脅，以及移動僵尸網絡一直處于上升的趨勢。F-Secure[3]的調查表明，移動惡意軟件的威脅數量與2013年第三季度同期相比上升了26%，2013年第三季度相比2012年第三季度有259個新的威脅出現。在2012年，有一個值得關注的移動僵尸網絡攻擊，它是Zitmo僵尸網絡的變體，專門攻擊安卓、塞班、Windows和黑莓智能手機，被稱為Eurograbber。它對受害者的銀行賬戶進行欺詐，導致了超過4 700萬美元的損失[4]。因此，移動僵尸網絡給人們帶來的損失是巨大的。而針對安卓平臺上的數據流進行采集和分析，有助于今后對移動僵尸網絡的檢測和應用。

為此，從移動僵尸網絡的特點出發，簡述了檢測移動僵尸網絡的兩種途徑，對檢測的數據流進行分析，共同探討它的數據收集方式，為今后移動僵尸網絡的進一步研究提供一些依據。通過對移動僵尸網絡的數據進行采集、分析、清理，來分析數據的有效性。

1 移動僵尸網絡的特點

與傳統的計算機環境下的僵尸網絡類似，移動僵尸網絡也包含三個主要元素：僵尸主控機、僵尸機和C&C機制[5-6]。移動僵尸主控機通過C&C機制在移動僵尸機上設計和實現移動惡意應用，去感染其他的移動設備，并將其轉化為移動僵尸機[7]。與其他類型的惡意軟件的主要區別在于被感染的設備相互連接，形成了移動僵尸網絡[1,8]。移動僵尸主控機主要通過C&C機制給移動僵尸機發送命令和設置更新[9]。據上所述，移動僵尸網絡的生命周期可以分為三個階段：傳播和感染、信息的傳遞、接收指令和攻擊[10]。

1.1 傳播和感染

在移動僵尸網絡中傳播惡意代碼的主要途徑是使用者的傳播和對漏洞的利用。首先，最流行的就是利用社會工程學，就如那些計算機的軟件一樣，目前的智能手機已超出了以前打電話和發送信息的范疇，有自己獨立的操作系統，與計算機更加相似，可以頻繁訪問INTERNET網絡，因此它也成為了惡意軟件攻擊的目標。在垃圾郵件和MMS消息中包含有惡意內容的附件，或在垃圾郵件和MMS消息中嵌入鏈接，指向包含有惡意代碼的虛擬主機。在移動設備使用者不經意間就會執行附件或點擊那些下載惡意程序的鏈接，從而受到移動僵尸主控機的控制，加入到移動僵尸網絡中。常見的還有利用系統或軟件的漏洞，在移動設備上傳播惡意代碼。例如由西班牙安全研究人員披露的HTC藍牙漏洞[11]，Mulliner等[12]發現的一種不需要通過移動服務提供商的網絡，就可以直接操縱不同移動平臺的短信。還可以通過藍牙技術進行傳播，被感染的移動設備可以使用藍牙搜索附近的設備，與之配對之后，主控機會將惡意軟件注入到周邊的移動手機中?？傊悄苁謾C在使用方便的同時，也給攻擊者開辟了更廣闊的空間。

攻擊者的攻擊手段多種多樣，主要是利用手機漏洞，被感染的URL，SMS/MMS和藍牙等感染新的移動設備，使用戶在不知情的情況下成為移動僵尸網絡的成員[13-14]。一般來說，攻擊者就是操縱僵尸主控機，利用高帶寬無監控的智能手機設備去盡可能多地傳播和感染僵尸機[1,9]。

1.2 信息的傳遞

這是每個移動僵尸網絡的關鍵階段，它由每個僵尸機通過控制命令(C&C)服務器獲得僵尸主控機的新命令和更新，僵尸機在接收到命令后，將執行結果立即報告給僵尸主控機[5,15]。C&C機制作為僵尸主控機發出命令到目標機器(僵尸機)和接收響應的接口[16]。目前一直在研究僵尸主控機與僵尸機之間的通信方式。起初在基于計算機的僵尸網絡中，可以建立IRC服務器及相應的信道，接著發展到P2P和HTTP機制[17]。但是在移動僵尸網絡中，由于不同的操作系統，缺乏公共的IP地址，不同方式的連接類型以及通信的成本，很難實現一個多種模式的C&C機制[18]。下面討論幾種技術創造的C&C機制。

1.2.1 短信息服務

短信息服務是移動設備最廣泛的通信方式。在一些科研人員的研究中[19]，評估了Kademila和Gnutella兩種模型，建立了基于SMS的移動僵尸網絡。但在現實世界中，短信是需要收費的，通信成本會通知移動用戶，從而導致該模式能很快被檢測出來[20]。因此基于SMS的移動僵尸網絡的數量比較少。

1.2.2 互聯網/網絡

由于移動設備與因特網的融合，大量的移動僵尸網絡是基于網絡技術和協議的(例HTTP協議)。為了能與僵尸機(被感染的移動設備)進行通信，就需要僵尸主控機發布特定的命令[21]。僵尸主控機通過標準的網絡協議和服務，將控制命令隱藏在正常的網絡數據流中，這樣更加隱蔽，很難檢測出來。在今后的技術發展中，Web服務和互聯網會更加廣泛地應用到移動設備中?；贖TTP的僵尸網絡被認為是僵尸網絡中最危險的類型之一，被移動僵尸網絡廣泛應用[9]。美國北卡羅萊納州立大學的Zhou Yajin等[22]在與網秦的合作過程中，一年內成功識別和收集了1 200多種移動惡意軟件，他們發現超過97%的移動僵尸機都是通過基于HTTP的Web數據流與C&C服務器進行通信的。表1為幾種移動僵尸網絡實例所使用的C&C機制[23]。

1.3 攻擊行為

感染僵尸機和建立C&C機制的目的就是進行攻擊，在攻擊的前后，僵尸機與主控機之間都要進行信息的交互，僵尸機可以接收并執行多種類型的攻擊命令。事實上，移動僵尸網絡是一個攻擊平臺，每種類型的惡意活動都可以在移動設備和網絡中進行，例如：對固件的破壞、垃圾郵件、竊取敏感信息、點擊欺詐和廣告軟件，以及下載更多內容等。除了上述所討論的攻擊外，移動僵尸網絡還會利用自帶智能設備(BYOD)攻擊企業的機密信息、金融資產和知識產權。近年來，BYOD已成為人們辦公的一種流行趨勢，它可以在任何時間、任何地點通過網絡進行靈活的辦公[24]。在超過80%的國家組織中都使用BYOD，但是許多員工的安全意識較低。

表1 移動僵尸網絡C&C機制

盡管目前針對BYOD的移動安全也提出了一些解決方案，例如安裝登錄終端、增加安全控件等，但這些方案大都專注于管理設備(MDM)、應用程序(MAM)和一些策略信息(MIM)[25-26]。因此，隨著移動設備和用戶的不斷增多，移動安全和移動僵尸網絡的檢測與分析就成為了全球性的關鍵問題。

2 移動僵尸網絡的檢測

以往研究的蜜罐和蜜網、攻擊的行為分析、監測和DNS分析、基于簽名的僵尸網絡檢測和行為分析技術，都是基于計算機和計算機網絡行為特征的，不能直接應用于移動設備。因此需要先了解當前移動僵尸網絡檢測所面臨的問題：

(1)資源的局限性和特殊性。移動設備的資源，如CPU、內存和電池壽命都是有限的，而且移動設備的安全管理策略與計算機也有差異，因此不能將僵尸網絡的檢測直接部署到移動僵尸網絡。La Polla M等[13]對移動性、詳細的個性特征、不同類型的連接、技術融合等多種功能進行了總結。

(2)感染和傳播的多樣性。移動設備的傳播媒介多樣，它可以通過SMS/MMS、藍牙、WiFi以及互聯網等不同方式進行傳播。

(3)自我保護技術。正如其他類型的僵尸網絡，移動僵尸機也有一些很難被檢測到的特征，而且僵尸主控機也不斷地從現有的檢測方案中嘗試不同的技術來保護自己的僵尸機。

(4)缺乏安全管理中心。移動設備相比計算機和計算機網絡缺少更多的保護，主要是它們的用戶不注意安全的更新。從上述問題來看，最主要的就是缺乏安全管理中心，因為它可以追蹤和監控安全威脅，并在相應的移動設備上更新安全策略[2]。此外正如Bailey等[27]提出，目前廣泛的僵尸網絡檢測方法的設計是在同一個僵尸網絡內，基于形成合作行為的僵尸機。事實上，在移動設備中，對這些相似之處的分析沒有集中的安全管理。

對于移動僵尸網絡檢測的這些問題，目前已有專家在技術上進行了嘗試。盡管這些技術主要都是針對移動惡意軟件的檢測，但也促進了移動僵尸網絡技術的開發。常見的檢測方式有兩種：靜態分析和動態分析。也可以將兩者結合，形成混合的方式[28]。

靜態分析是指對沒有執行的移動應用程序的檢查和評估(如apk文件)。它的主要步驟是將apk文件逆向到源代碼，從源代碼本身分析尋找惡意行為。而動態分析是在應用程序執行期間評估它的行為和動作。除此之外，還可以根據移動僵尸網絡的自身特點，分析僵尸機與C&C服務器的通信特性。

3 數據采集及分析

檢測數據是否屬于移動惡意軟件，是否用來提供C&C通信，這需要有基準的數據集來判斷。M. Eslahi等指出[15]移動僵尸網絡是最近才出現，還沒有進行充分的研究。因此對于移動僵尸網絡檢測和分析的主要挑戰是對這些新出現的網絡犯罪形式的了解有限，缺乏足夠的樣品和基準數據集[22,29]。因此本節參照現有的惡意軟件樣本和數據集，分析和尋找有關移動僵尸網絡活動的數據。

3.1 有效的惡意軟件樣本

在現有移動安全研究中，最主要的問題就是沒有完整的移動惡意軟件樣本，只有部分研究團體公布了一些惡意軟件實例，而且數據樣本也并不完全可靠。

由北卡羅萊納州立大學的Zhou Yajin和Jiang Xuxian兩位研究人員發起的Android Malware Genome Project(安卓惡意軟件基因組計劃)，共享了安卓平臺惡意程序樣本和分析結果，這成為了安卓平臺上最大規模的綜合惡意軟件數據樣本之一。一年中，他們成功地從49種不同惡意軟件家族中收集了1 200多個安卓惡意代碼樣本。在收集的這些惡意軟件中，超過93%的轉換成手機的僵尸機，通過C&C服務器與僵尸主控機通信。

由馬來西亞博特拉大學進行的M0Droid項目，是通過模式識別技術來分析和檢測安卓惡意軟件。他們發布了兩類實例，被稱為惡意軟件和Goodware數據集。M0Droid項目的主要優勢是惡意軟件和可信應用的采集，它有效地促進了對正常行為異常活動的異常檢測分析[23]。

3.2 真實世界行為數據集

除了以上提到的惡意軟件樣本，智能手機有它自身的一些特點，例如系統信息、位置、運算以及手機使用等。目前可以從兩個方面對數據進行分析。

(1)移動數據的挑戰(MDC)。MDC是最全面的移動行為數據集，是通過大規模的研究來收集的唯一一組數據，之后可以對此數據進行深入分析。表2就是由N. Kiukkonen[30]等收集的數據。MDC是由200多人經過兩年時間收集的，它是所有數據中最真實、完整的數據集之一。

表2 收集的數據集

(2)數據開發(D4D)的挑戰。N. Kiukkonen[30]等于2011年12月到2012年4月，從5億用戶的信息中收集了2.5億多條記錄。這項研究已經從移動痕跡、集群通信和通信子圖三個類別發布了幾個數據集。而最后兩個數據集可以作為移動惡意軟件分析的依據，在被感染的移動網絡中，區分僵尸機通信和正常的用戶。

4 數據采集方法的探討

由于目前沒有足夠的移動HTTP流量數據(良性和惡性)，Meisam Eslahi等[23]提出了一種數據收集方法來除去惡意的和與僵尸機通信產生的流量，創建正常移動網絡流量。在任何一個實驗中，如何選擇真正的移動惡意軟件是非常重要的，因此為了確保惡意的APK肯定是僵尸機，樣品必須來自于合法的來源[31]。然而，準確的網絡流量可能不是簡單地通過提交APK文件生成服務。圖1所示為如何構建數據集。

4.1 生成移動僵尸網絡數據集

要想生成惡意數據集，首先需要建立一個虛擬的移動僵尸網絡。它主要包括三部分：安卓虛擬環境、移動僵尸機和虛擬的C&C服務器。

安卓的虛擬環境：可以在Android x86平臺上創建一組移動設備，形成移動網絡測試平臺實現虛擬的移動僵尸網絡。

圖1 數據集構建過程

移動僵尸機：虛擬的移動設備被重新封裝的真正移動僵尸機所感染，將它們原始C&C服務器的IP和URLs地址重新替換成新的虛擬C&C服務器的地址。相同的方法在文獻[32]中也有研究，在一個實驗環境中，Geinimi、DroidKungFu-B和DroidKungFu僵尸機樣本修改新設置執行網絡連接。

虛擬的C&C服務器：M. Eslahi等在文獻[9]中指出，僵尸機的通信模式和特征可以用來區分僵尸網絡和正常的網絡活動。另一方面，移動僵尸機大部分最初的C&C服務已在安卓惡意軟件基因組項目數據集中被發現并關閉。因此，為了能夠在實驗平臺上模擬一個完整功能的移動僵尸網絡，就必須植入虛擬的C&C服務器。

4.2 生成正常數據流量數據集

雖然在模擬環境中同樣可以生成正常的流量，為了能生成更真實的數據，許多移動設備需要安裝一個網絡嗅探器模塊來收集網絡流量。文獻[32]提到根據目前的研究，4到8個移動設備收集真實數據需要持續兩個星期到三個月。然而，有更多的設備就可以更可靠和準確地收集數據。

4.3 數據清理

數據清理是數據集預處理的主要部分，特別是涉及到人為因素。與控制環境(如實驗平臺)不同，現實世界的數據通常是不完整的(如缺乏感興趣的某些屬性)，會包含有噪聲、錯誤、異常數據等。因此數據清理主要應用于收集正常流量數據，平滑噪聲數據，識別或刪除錯誤數據，以及解決數據的不一致問題。

4.4 數據標注和聚合

將惡意和正常的數據進行標注可以促進和評價過程。此外，收集的流量數據也是基于原始應用程序的標注。最后將這兩個數據聚合，創造出最終的數據集。研究人員可以從最終的數據集中提取他們所需要的功能，去進行未來的分析研究。

5 結束語

針對目前移動僵尸網絡的發展還不完善的現狀，為杜絕其現存和未來的危害，在詳細介紹其特點和檢測方式的基礎上，分析了當前移動僵尸網絡的數據集和數據樣本，并提出了對現有的數據集和數據樣本進行改進的方法。在實際的現實世界中，大多數真實的移動僵尸網絡是通過HTTP協議在互聯網上進行通信的。大部分的研究都是針對基于HTTP的移動僵尸網絡數據集的分析。因此，只有通過對移動僵尸網絡的數據合理的采集、分析、清理，才能區分出什么是合法有效的數據。但目前對于移動僵尸網絡的研究還處于起步階段，需要進行更進一步的研究，給大家提供更方便、快捷的移動網絡服務。

[1] Eslahi M,Salleh R,Anuar N B.Bots and botnets:an overview of characteristics,detection and challenges[C]//Proceedings of the IEEE international conference on control system,computing and engineering.[s.l.]:IEEE,2012:349-354.

[2] Flo A R,Josang A.Consequences of Botnets spreading to mobile devices[C]//Proceedings of the 14th Nordic conference on secure IT systems.[s.l.]:[s.n.],2009:37-43.

[3] F-Secure.F-Secure mobile threat[R].[s.l.]:F-Secure,2013.

[4] Kalige E,Burkey D,Director I P S.A case study of Eurograbber:how 36 million euros was stolen via malware[M].[s.l.]:[s.n.],2012.

[5] Balhare Z J,Gulhane V S.A study on security for mobile devices[J].International Journal of Research in Advent Technology,2014,2(4):196-203.

[6] Liao Q,Li Z.Portfolio optimization of computer and mobile botnets[J].International Journal of Information Security,2014,13(1):1-14.

[7] Leavitt N.Mobile security:finally a serious problem?[J].Computer,2011,44(6):11-14.

[8] Lee H,Kang T,Lee S,et al.Punobot:mobile botnet using push notification service in android[C]//International workshop on information security applications.[s.l.]:Springer International Publishing,2013:124-137.

[9] Eslahi M,Hashim H,Tahir N M.An efficient false alarm reduction approach in HTTP-based botnet detection[C]//Proceedings of the IEEE symposium on computers & informatics.[s.l.]:IEEE,2013:201-205.

[10] Rodríguez-Gómez R A,Maciá-Fernández G,García-Teodoro P.Survey and taxonomy of botnet research through life-cycle[J].ACM Computing Surveys,2013,45(4):45.

[11] HTC smartphones left vulnerable to bluetooth attack[EB/OL].2009-07-14.http://www.cio.com/article/497146/HTC_Smartphones_Left_Vulnerable_to_Bluetooth_Attack.

[12] Miller C,Mulliner C.Fuzzing the phone in your phone[C]//Black hat technical security conference.USA:[s.n.],2009.

[13] LaPolla M,Martinelli F,Sgandurra D.A survey on security for mobile devices[J].IEEE Communications Surveys & Tutorials,2013,15(1):446-471.

[14] Mohite S,Sonar P R S.A survey on mobile malware:a war without end[J].International Journal of Computer Science and Business Informatics,2014,9(1):23-35.

[15] Eslahi M,Salleh R,Anuar N B.MoBots:a new generation of botnets on mobile devices and networks[C]//Proceedings of the IEEE symposium on computer applications and industrial electronics.[s.l.]:IEEE,2012:262-266.

[16] Hachem N,Ben Mustapha Y,Granadillo G G,et al.Botnets:lifecycle and taxonomy[C]//Proceedings of the conference on network and information systems security.[s.l.]:[s.n.],2011:1-8.

[17] Jae-Seo L,Hyun-Cheol J,Jun-Hyung P,et al.The activity analysis of malicious HTTP-based botnets using degree of periodic repeatability[C]//Proceedings of the international conference on security technology.[s.l.]:[s.n.],2008:83-86.

[18] Mulliner C,Seifert J P.Rise of the iBots:owning a telco network[C]//Proceedings of the 5th international conference on malicious and unwanted software.[s.l.]:[s.n.],2010:71-80.

[19] Zeng Y,Shin K G,Hu X.Design of SMS commanded-and-controlled and P2P-structured mobile botnets[C]//Proceedings of the fifth ACM conference on security and privacy in wireless and mobile networks.[s.l.]:ACM,2012:137-148.

[20] Hua J,Sakurai K.Botnet command and control based on short message service and human mobility[J].Computer Networks,2013,57(2):579-597.

[21] Silva S R S C,Silva R M P,Pinto R C G,et al.Botnets:a survey[J].Computer Networks,2013,57(2):378-403.

[22] Zhou Yajin,Jiang Xuxian.Dissecting Android malware:characterization and evolution[C]//Proceedings of the symposium on security and privacy.[s.l.]:IEEE,2012:95-109.

[23] Eslahi M,Rostami M R,Hashim H,et al.A data collection approach for mobile botnet analysis and detection[C]//IEEE symposium on wireless technology and applications.Kota Kinabalu,Malaysia:IEEE,2014:199-204.

[24] Morrow B.BYOD securitychallenges:control and protect your most sensitive data[J].Network Security,2012(12):5-8.

[25] Armando A,Costa G,Merlo A.Bring your own device,securely[C]//28th annual ACM symposium on applied computing.Coimbra,Portugal:ACM,2013.

[26] Eslahi M,Naseri M V,Hashim H,et al.BYOD:current state and security challenges[C]//IEEE symposium on computer applications & industrial electronics.Peneng,Malaysia:IEEE,2014.

[27] Bailey M,Cooke E,Jahanian F,et al.A survey of botnet technology and defenses[C]//Proceedings of the cybersecurity applications & technology conference for homeland security.[s.l.]:[s.n.],2009:299-304.

[28] Abdullah Z,Saudi M M,Anuar N B.Mobile botnet detection:proof of concept[C]//2014 IEEE 5th control and system graduate research colloquium.[s.l.]:IEEE,2014:257-262.

[29] Jiang X,Zhou Y.A survey of Android malware[M]//Android malware.New York:Springer,2013:3-20.

[30] Kiukkonen N,Blom J,Dousse O,et al.Towards rich mobile phone datasets:lausanne data collection campaign[C]//Proc of ICPS.Berlin:[s.n.],2010.

[31] Deshotels L,Notani V,Lakhotia A.DroidLegacy:automated familial classification of Android malware[C]//Proceedings of ACM SIGPLAN on program protection and reverse engineering workshop.San Diego,CA,USA:ACM,2014.

[32] Shabtai A,Tenenboim-Chekina L,Mimran D,et al.Mobile malware detection through analysis of deviations in application network behavior[J].Computers & Security,2014,43:1-18.

Collection and Analysis of Data Flow in Mobile Botnet

XU Jian，WU Ye-hong，CHENG Jing-jing

(College of Computer Science，Nanjing University of Posts and Telecommunications, Nanjing 210023,China)

In recent years,mobile Botnet has become the biggest threat for mobile communications and network security.With the continuous enhancement of the function of mobile devices,it provides a better environment for network crimes.Therefore,Botnet and other new types of malicious software in mobile devices and networks have been spread.Investigation on mobile device security has not still been sufficient because of lack of efficient security solutions.Thus,it is most important and necessary for security and privacy of mobile devices to provide effective data to understand and analyze the mobile Botnet.So the data have been labeled and aggregated on the basis of a detailed introduction to the generation of mobile Botnet data sets,the distinction between normal data traffic data sets and the non-normal data cleaning.Based on the analysis of the previous data set and the advantages and disadvantages of samples,further investigations and analysis on establishment methods of data sets and samples suited to mobile botnet as well as those of data sampling and data cleaning and for the approaches of data aggregation into legitimate data and extrication from mobile zombie master machine control is carried out.

mobile Botnet;detection;data set;data analysis

2015-06-30

2015-10-28

時間：2016-10-24

國家自然科學基金資助項目(61202353)；南京郵電大學實驗室工作研究課題(2015XSG05)

徐 建(1980-)，男，碩士，工程師，研究方向為信息安全、人工智能。

http://www.cnki.net/kcms/detail/61.1450.TP.20161024.1105.002.html

TP309

A

1673-629X(2016)11-0101-05

10.3969/j.issn.1673-629X.2016.11.023