移動設備網絡流量分析技術綜述

徐明，楊雪,2，章堅武

（1.杭州電子科技大學網絡空間安全學院，浙江 杭州 310018；2.浙江警察學院計算機與信息技術系，浙江 杭州 310053）

1 引言

隨著社會信息化、網絡化大潮的推進，移動設備（如智能手機和平板電腦等）越來越多地滲透到人們的日常工作與生活中，成為全球數十億人不可獲取的工具。根據數據互聯網統計公司Statista的統計，2016年，全球智能手機用戶總人數為21億，預計這一數值將于2020年增長至28.7億[1]。與傳統網絡流量相比，Wi-Fi網絡的廣泛部署以及應用市場中大量可用的應用程序使得移動設備不僅能夠保障傳統的通信活動（如撥打語音電話、發送短消息），還更多地應用于金融、在線游戲和網絡購物等高級場景。移動設備中往往存儲其持有者的隱私數據（如聯系人、照片、視頻以及GPS位置等），因而越來越多的攻擊者及流量分析人員瞄準其產生的網絡流量，試圖從中挖掘有用的信息。

網絡流量分析是計算機信息安全領域的一個分支，它將一組設備產生的網絡流量作為輸入，以與這些設備、用戶、應用程序或流量本身有關的信息作為輸出。如圖 1所示，網絡流量分析通常包括 4個階段：流量收集、預處理、數據分析、結果評估。流量收集是構建數據集的過程；預處理則通過去除數據集中無效的數據或提取流量的關鍵特征等將收集到的數據轉換為可理解的格式以便后續分析。數據分析是網絡流量分析流程中最重要的環節，可根據所采用的技術分為以下4類。

圖1 網絡流量分析流程

（1）基于端口的分析方法

基于端口的分析方法是最古老的網絡流量分析技術，具體做法為從TCP/UDP報文頭部提取端口號，并與互聯網數字分配機構（Internet Assigned Numbers Authority，IANA）為各類應用分配的TCP/UDP端口列表進行對比，從而推斷網絡流量的來源。基于端口的方法容易實現，且不受流量加密的影響，常應用于防火墻或訪問控制列表。然而，基于端口的網絡流量分析技術容易被端口混淆、NAT（network address translation）、端口轉發及隨機端口分配等技術影響，采用基于端口的網絡流量分析技術在分類流量時正確率不足70%[2]。

（2）深度報文檢測方法

深度報文檢測（deep packet inspection，DPI）技術分析應用層的網絡流量，通過事先提取各應用程序的模式，利用提取到的模式在未知網絡流量中區分不同流量的來源。由于應用程序的底層邏輯可能會隨時間推移發生變化，因而DPI技術需要定期更新提取到的模板。此外，DPI技術往往受到網絡流量加密措施的影響。

（3）基于圖的分析方法

從網絡流量中構建并分析不同的應用程序或主機的交互圖，并應用于應用程序分類。Karaginanis等人[3]最早利用圖來表示主機在應用層的交互模式并構建圖樣本庫，然后從未知流量中構建圖并去樣本庫中匹配，從而實現對應用程序的識別。

（4）基于統計和機器學習的分析方法

基于統計和機器學習的流量分析方法是近年來應用最多的方法，該方法假定不同應用程序產生的網絡流量具有獨特的統計分布特性，在已知網絡流量中訓練獲得分布特性并應用于分析未知網絡流量。在應用此類方法時，如何妥善選取報文特征及統計工具（或機器學習算法）是非常重要的因素，直接影響分析結果的正確率。Ferreira等人[4]采用元分析的手段調研了2005—2017年網絡流量分析領域的主要文獻，為從事網絡流量分析研究的同行在網絡報文特征選擇方面提供了有效的建議。在機器學習算法的選擇方面，常用的分類器有隨機森林、決策樹、高斯樸素貝葉斯和支持向量機等。

網絡流量分析流程的最后一個階段是結果評估，依照標準評估此前所采用的分析方法是否理想，常用的評價標準包括TP（true positive）、FN（false negative）、TN（true negative）、FP（false positive）、精確率、召回率及F1值等。

移動設備網絡流量分析由傳統的網絡流量分析領域發展而來，與傳統網絡流量相比，移動設備產生的下載流量比上載流量大[5-7]，流量持續時間較短、報文數目較多且單個報文長度較短[8]。大多數應用層流量通過 HTTP或 HTTPS協議傳遞[6,8-13]，但使用HTTPS傳輸應用層流量是未來發展的趨勢。視頻流貢獻了移動設備網絡流量中很重要的一部分[11,14]。Android與iOS操作系統上免費應用程序中嵌入的廣告及定位服務觸發了大量的網絡流量[15]。本文介紹了常用的移動設備網絡流量的收集方法，并根據移動設備網絡流量分析的目標對現有研究進行分類綜述，本文中的網絡流量指由移動設備產生的互聯網流量，不包含蜂窩數據流量、藍牙數據等其他類型的數據。

2 網絡流量收集

移動設備產生的網絡流量可從網絡各個層次（如數據鏈路層、傳輸層、應用層）或節點（Wi-Fi網絡接入點或設備內）收集，數據來源主要有：移動設備、網絡訪問點（access point，AP）、Wi-Fi監控器和運行移動設備仿真器的計算機。

最直接的流量收集方法是在移動設備上安裝輕量級的應用記錄程序。除此之外，在可控制的小規模網絡中，也可利用小型網關、VPN服務器和臺式計算機等作為AP來記錄用戶的網絡流量，圖2展示了這種流量收集方式。

隨著移動用戶對 Wi-Fi網絡需求的增長，Wi-Fi訪問點也被用于流量收集。Wi-Fi網絡通常包括兩種類型的硬件設備：采用IEEE 802.11標準為移動設備提供網絡連接的AP與將來自AP的網絡流量轉發至互聯網的網關。Wi-Fi調制解調器等硬件既可用作AP又可用作網關。在Wi-Fi訪問點進行流量收集又分為網絡中只存在單訪問點和網絡中存在多訪問點的情況。

圖2 將計算機設置為AP以收集流量

Wi-Fi監聽器是一種能夠掃描Wi-Fi頻段以獲取網絡流量的硬件設備。常見于將傳統的 Wi-Fi設備（如PCI卡或臺式計算機）設置為監聽模式，使其被動監聽附近的 Wi-Fi信號。為了有效地監聽 Wi-Fi設備的網絡流量，該監聽設備必須處于目標網絡的覆蓋范圍內，其有效性受到選取的監聽頻段、Wi-Fi調制解調器的頻率以及周圍建筑物等因素的影響。

移動設備仿真器是能夠虛擬設備組件及操作系統的虛擬機，是一種應用程序測試方案。由于運行該仿真器的計算機負責在仿真器和互聯網間轉發網絡流量，因此該計算機可作為網絡流量的理想收集點。

3 移動設備網絡流量分析的研究目的

移動設備網絡流量分析的目的是從網絡流量中推斷設備、用戶及設備上安裝的應用程序的相關信息。圖3展示了對這一領域研究目的的分類。

3.1 設備信息推斷

移動設備上運行的操作系統類型及版本是重要的設備相關信息。操作系統識別指通過分析網絡流量判斷移動設備運行的操作系統。攻擊者在識別目標設備的操作系統后可進一步定制后續的攻擊，而在人群聚集的情況下，操作系統識別技術可服務于市場或社會調研。

Coull與Dyer等人[16]針對蘋果公司的即時通信工具 iMessage，利用用戶與蘋果服務器間交換的加密報文長度來確定用戶使用的是iOS或OSX操作系統，方法不受流量加密的影響，且僅需觀察流量中的前5個報文就能夠達到100%的識別率。

圖3 移動設備網絡流量分析研究目的分類

Ruffing等人[17]認為移動設備產生的網絡流量的時序特征由該移動設備運行的操作系統決定，提出通過分析網絡報文時序的頻譜以識別與操作系統相關的頻率特性。由于無需審查報文內容，該方法可適用于流量加密的場景。收集運行 Android、iOS、Windows Phone和 Symbian等操作系統的智能手機產生的流量，在觀察時長為5 min的報文序列后檢測率能夠達到90%。然而該方法在判斷同一操作系統的不同版本時效果不理想。

Malik等人[18]利用移動設備產生的報文時間間隔來推斷該設備運行的操作系統并成功區分Android、iOS與Windows Phone。由于只使用報文時間間隔信息，該方法不受流量加密的影響。然而，在實驗階段僅使用了3臺設備，即每臺設備運行一種操作系統平臺。因此，無法判斷同一操作系統的不同版本對檢測率的影響。

3.2 用戶信息推斷

（1）用戶識別

用戶通過移動設備接入互聯網，使用應用程序。同一用戶在不同移動設備、不同網絡中產生的網絡流量模式基本是穩定的。通過學習用戶的網絡模式可以推斷某些網絡流量是否來自特定用戶。

Vanrykel 等[19]開發了一款自動執行應用程序并收集網絡流量的工具，審查HTTP數據并識別明文傳送的敏感標識符，利用這些敏感標識符提取來自某特定用戶的網絡流量。他們收集了來自42個類別的1 260個Android應用程序產生的流量，并成功將同一用戶的57%的流量關聯起來。然而，由于該方法需要使用HTTP報文內容，因此無法處理加密后的流量。

Verde等[20]使用互聯網提供商從用戶網絡流量中提取出的統計數據“NetFlow記錄”訓練分類器，能夠精確識別某一用戶是否連接到指定網絡并獲取其IP地址，且不受NAT技術影響。他們收集了通過同一Wi-Fi接入點連接互聯網的26個用戶的網絡流量，選取隨機森林作為分類器獲得95%的正確率和7%的誤判率。值得說明的是，由于“NetFlow記錄”不包含網絡報文數據，因此該方法不受流量加密的干擾。

（2）用戶行為識別

用戶在使用應用程序時會執行若干操作并觸發網絡數據傳輸。這些操作涉及“用戶—應用程序”間的交互，因而某一特定的操作會呈現固定的模式（如瀏覽Facebook個人主頁所產生的流量與在 Twitter上發送推文的流量模式不同），這些模式可被用于在網絡流量中識別用戶特定的行為。用戶行為識別可用于市場或調查分析，還可用來實現去匿名化。目前，用戶行為識別針對的應用程序大多屬于即時通信類（iMessage、WhatsApp）、社交（Facebook、Twitter）、郵件客戶端（Gmail、Yahoo Mail）等。

Coull和Dyer等人[16]檢測用戶在Apple即時通信工具 iMessage 上執行的“開始輸入”“停止輸入”“發送信息”“發送附件”“閱讀”5個動作，并在iOS系統上獲得99%的正確率。除此之外，他們還對用戶使用的自然語言（中文、英文、法文、德文、俄文和西班牙文）所交互的信息長度進行推測。由于該方法選取用戶與 Apple服務器間交換報文的長度為特征，因此他們的方法不受信息加密的影響。

Park和 Kim[21]研究韓國即時聊天應用程序KakaoTalk支持的11種用戶行為（加入聊天室、發送信息、添加朋友等），得到每種行為模式對應的報文特征序列，該序列被用于在未知網絡流量中識別對應的用戶行為。由于選取報文長度為特征，因此該方法在 KakaoTalk流量加密的情況下仍能得到99.7%的準確率。

Shafiq等人[22]首次提出識別微信用戶發送文本及圖片產生的流量，在其所處校園及宿舍收集了兩個網絡流量數據集，從中提取44個統計特征，采用C4.5、貝葉斯網絡、支持向量機和樸素貝葉斯4種分類器對用戶發送文本和圖片所產生的流量進行分類。實驗結果顯示，C4.5和支持向量機對這兩種用戶行為所產生的流量的分類效果最好，分別能夠達到99.91%和99.57%的精確率。

Conti等人[23]使用IP地址、TCP報文頭部信息識別用戶在同一應用中執行的不同操作。其核心思想為當用戶在同一應用中執行不同操作時，其出站和入站網絡流的特征不同。由于以TCP報文流中出站及入站字節數序列作為特征統計量，因而適用于在傳輸層加密的流量。與參考文獻[23]類似，Fu等人[24]提出識別用戶在同一應用內不同操作的系統CUMMA，他們先將收集到的流量劃分為Session和Dialog兩個層次，以Dialog為單位選擇報文長度序列和時間間隔序列作為特征，Wechat和WhatsApp兩款應用（包含8種不同用戶操作）上的實驗表明，使用隨機森林作為分類器時CUMMA系統的整體正確率能夠達到96%以上。

（3）用戶標識信息檢測

移動設備上安裝的應用程序大多請求訪問用戶的敏感信息，如GPS定位、照片、聯系人等，并需要接入互聯網。個人標識信息（personal identifiable information，PII）可用于識別、定位用戶。移動設備中通常包含以下4種PII。

· 移動設備相關信息，如國際移動設備識別號（international mobile equipment identity，IMEI）、Android設備ID（Android設備第一次啟動時隨機生成的標識符）與 MAC地址（網卡的唯一標識符）等。

· SIM 卡相關信息，如 IMSI（international mobile subscriber identity）與SIM序列號。

· 用戶信息，如姓名、性別、出生日期、居住地址、電話號碼和電子郵件地址等。

· 用戶地理位置信息，如GPS定位和郵政編碼等。

由于移動設備上安裝的應用程序更容易產生易被識別的流量特征，因此，在移動設備上使用應用程序比使用瀏覽器訪問相同的服務更容易泄露隱私數據[25]。個人標識信息檢測技術通過分析網絡流量檢測是否存在敏感信息泄露。

Stevens等人[7]研究 Android系統 13個廣告庫，通過分析廣告網絡流量以檢測是否有用戶標識信息泄露。他們發現在2012年僅有1個廣告庫提供商對其網絡流量實現了加密。對廣告庫觸發的網絡流量執行深度報文檢測，顯示多種用戶標識信息（如年齡、性別、GPS位置）被以明文的方式泄露。參考文獻[7]指出，即使廣告庫提供商并未刻畫用戶畫像，外部攻擊者仍可利用其網絡流量中泄露的唯一設備標識符（unique device identifier，UDID）從不同的廣告庫提供商關聯用戶的敏感信息并構建完整的用戶畫像。

Kuzuno與Tonami[26]調查免費Android應用程序中加載的廣告庫對用戶敏感信息的泄露情況，關注移動設備標識符、IMSI與SIM序列號以及運營商等信息。以多款泄露用戶敏感信息的應用程序產生的流量為輸入，對這些數據進行聚類以生成流量簽名，然后使用這些簽名檢測移動設備上其他應用程序是否會泄露用戶敏感信息。由于該方法需要審查HTTP報文以獲得簽名，因此無法應用于加密后的網絡流量。

跨平臺的系統 Recon[27]能夠使用戶控制移動設備產生的網絡流量對其敏感信息的泄露。Recon基于跨平臺的網絡流量收集與分析系統Meddle[28]，由于Meddle利用VPN隧道將目標設備的流量重定向到自己的代理服務器，因此能夠處理在傳輸層加密的流量。此外，Recon[27]還提供網頁接口使用戶實時查看被泄露的敏感信息，并選擇修改這些信息或阻止泄露敏感信息的網絡連接。

AntMonitor[29]是一個收集并分析 Android設備流量的系統，它在收集到的流量數據中查找IMEI、Android ID、手機號碼、電子郵件地址和設備定位等用戶標識信息，檢測用戶標識信息是否遭到泄露。由于AntMonitor在執行用戶標識信息檢測時查看應用層數據，因此無法應用于加密流量。

開源 Android應用程序 PrivacyGuard[30]利用Android API的VPNService類竊聽安裝在Android設備上的應用程序產生的網絡流量。PrivacyGuard被用來監測應用程序是否泄露與用戶（如電話號碼）或設備（如IMEI）相關的敏感信息。與前人的研究成果TaintDroid[31]相比，PrivacyGuard能夠檢測出更多被泄露的信息且能夠偽造數據替換它們。PrivacyGuard能夠利用中間人技術處理在傳輸層加密的網絡流量。

Continella等人[32]開發開源工具Agrigento分析 Android應用程序以檢測用戶標識信息是否遭到泄露。首先在設備上多次運行Agrigento收集設備產生的網絡流量及系統和應用級信息（如隨機生成的標識符、時間戳等）；然后對移動設備操作系統中的敏感信息賦一些特殊值，再次運行該工具收集網絡流量和執行時信息。若前后收集到的數據模型不一致，則提示敏感信息泄露。與Recon[27]相比，Agrigento在控制誤報率的同時，能夠檢測到更多被泄露的敏感信息。與PrivacyGuard類似該工具也能夠使用中間人技術查看HTTPS報文信息，處理在傳輸層加密的流量。

（4）用戶隱私信息推斷

目前，Wi-Fi網絡數據泄露用戶隱私的問題已獲得廣泛關注，但從Wi-Fi流量元信息及移動設備屬性（如安裝的應用程序、連接的Wi-Fi網絡）中推斷用戶的社會屬性也是一個需要重視的威脅。

Barbera等人[33]研究能否從大量移動設備發送的Wi-Fi探測請求中推斷用戶的社會屬性。他們在商場、火車站和大學校園等區域收集超過16萬設備發送的11 MB探測數據，生成移動設備用戶社交圖，該社交圖中用戶及服務集標識（service set identifier，SSID）等屬性呈現冪次現象。參考文獻[33]得出用戶之間關系越緊密越傾向于選擇同一廠商的移動設備的結論，并利用設備提供商識別號推斷用戶年齡及社會地位。

Li等人[34]提出一個無需檢查Wi-Fi流量內容推斷用戶隱私信息的系統 DIP。該系統使用流量中的 MAC地址、IP地址作為位置特征，HTTP報文頭部的host及user-agent字段作為應用特征，采用隨機森林模型作為分類器，在大學校園網絡內推斷用戶的性別及教育水平（博士研究生、碩士研究生、本科生），并分別達到78%和74%的精確率。在流量加密的情況下，由于無法獲取 host和 user-agent特征，其精確率受到影響降為 67%和72%。此外，還討論了使用Tor網絡、MAC地址隨機化、隨機發送無效報文等技術防御隱私推斷攻擊。

（5）定位與軌跡估計

用戶頻繁訪問的地點通常揭示其社會地位、興趣及愛好等隱私，這些信息可用于商業用途（如定點投放廣告）或警方的偵查活動。定位目標用戶的移動設備是一種簡單有效地獲取此類信息的方式。設備定位指通過移動設備產生的網絡流量來推斷其地理位置，而軌跡估計指通過分析移動設備產生的網絡流量，推斷其在某地理區域內的移動軌跡。通過軌跡估計能夠獲得單個用戶的興趣、社會習性等，也可以聚合多個用戶的軌跡來預測路網的交通狀況。

惡意網絡（即由一組惡意 Wi-Fi設備構成的網絡）能夠定位移動設備的地理位置[35]，網絡中的每個惡意 Wi-Fi節點都會查找包含目標設備MAC地址的Wi-Fi查詢請求報文，并將其所得信息上傳至中央服務器。中央服務器利用其從多個節點獲得的信息進行分析，從而定位目標設備。參考文獻[35]中利用軟件仿真城市中攜帶啟用了IEEE 802.11協議的移動設備用戶，研究結果表明采用最新的 IEEE 802.11標準更容易構建定位移動設備地理信息的網絡。

移動設備周期性發送的 Wi-Fi查詢請求可被用于設備跟蹤[36]。攻擊者可通過部署多個 Wi-Fi監聽器將監測到的 Wi-Fi查詢請求發送給中央服務器，中央服務器將多個監聽器對同一移動設備的監測結果聚合為一條時空軌跡。部署了3個監聽器并通過GPS信息作為位置監測對照數據來評估系統。實驗結果表明，當所部署的 Wi-Fi監聽器相互距離為400 m時，該系統的平均地理位置定位誤差在70 m以內。

3.3 應用程序信息推斷

（1）應用程序識別

應用程序的網絡流量指紋指由應用程序產生的網絡流量表現出的模式，可用來在未知網絡流量中識別應用。應用程序識別對提高網絡服務質量（quality of service，QoS）或網絡安全防護等有積極意義。

Lee[37]等人選取Android和iOS應用市場排名前50的應用生成網絡流量指紋，利用這些指紋在未知網絡流量中檢測是否存在相關應用。實驗結果顯示，與已收集到的指紋匹配的網絡流量僅占測試流量的15.37%，這一結果表明智能手機用戶在應用程序的使用方面存在很大差異。由于使用最長公共子序列（LCS）從 HTTP報文中提取指紋，因此該方法無法處理加密后的網絡流量。

SAMPLES是一個自適應的應用程序識別框架[38]，把HTTP流量中應用程序標識符的出現模式抽象為包含應用標識符的HTTP字段、標識符的前綴及后綴字符串的一組文本規則。利用“聚合—驗證”的方式提高規則的精確度并確定優先級，并將調優后的規則加載到應用程序識別引擎中，通過“提取—查找”的模式識別網絡流量對應的應用程序。為了驗證SAMPLES的有效性，選取了70萬個Android應用程序，并收集了1 500萬網絡流，實驗結果表明SAMPLES能夠識別出90%的應用程序，并能夠達到99%的正確率。然而，由于文本規則來源于HTTP報文，因此SAMPLES對加密后的流量無效。

Wang等人[25]指出即使應用程序網絡流量加密，攻擊者也可以利用邊通道泄露的信息識別用戶的行為。他們將應用程序接收及發送的流量劃分為多個子序列，并提取序列中各個報文長度、到達時間、傳輸方向以及報文長度平均值、標準差等共20項統計值作為特征，使用隨機森林算法識別應用并達到很好的效果。此外，還指出由于移動設備上的應用程序產生的流量模式更易被識別，因而用戶使用移動設備訪問服務比使用瀏覽器訪問同一服務更易泄露信息。

AppScanner[39]從應用程序接收、發送及雙向網絡流中提取54種統計特征，訓練隨機森林分類器識別未知網絡中的應用程序，并評估流量收集時間、移動設備、操作系統版本及應用程序版本等因素對檢測率的影響。AppScanner從TCP和IP報文頭部提取特征，因而能夠處理被SSL/TLS加密的流量。Alan等[40]利用Android應用程序啟動階段產生的網絡流量的TCP/IP報文頭部信息識別應用程序，與參考文獻[39]類似，參考文獻[40]同樣評估了流量收集時間、移動設備、操作系統及運營商對應用識別正確率的影響，并得出操作系統、運營商信息發生變化時對結果影響最大，而測試集與訓練集間隔數天對檢測結果幾乎無影響。

（2）惡意應用程序檢測

移動設備中往往包含大量用戶敏感信息，很容易成為惡意軟件開發者攻擊的對象，因而應用程序市場、安全公司以及移動用戶對惡意軟件的檢測技術非常關注。

Su[41]等人提出一個由部署在云上的驗證服務器和 Android設備構成的惡意應用程序檢測框架供 Android應用市場使用。開發者在應用軟件發布前需要將其提交至驗證服務器檢測，Android設備則用于執行開發者提交的程序并監控系統調用和網絡流量。服務器基于系統調用統計和網絡流量特征判斷應用程序惡意與否，采用隨機森林作為網絡流量分類器達到96.7%的正確率。

Wei[42]等人提出一種 Android惡意軟件檢測框架，利用惡意 Android應用程序產生的流量學習它們的行為。除此之外，該框架能夠自動分析某指定應用程序的DNS流量并判斷是否惡意。使用Android惡意軟件公開數據集和從Android應用市場收集的正常應用程序對框架進行評估，正確率、召回率和精確率接近100%。由于該框架需要訪問應用程序生成的DNS流量，因而無法應用于加密網絡流量。

參考文獻[43]利用惡意應用程序通常會將用戶敏感信息發送到惡意遠程主機這一特點，記錄移動設備上安裝的應用程序與遠程主機的全部通信，并利用已知的惡意域名，將與惡意域名主機交互的應用程序標記為惡意。同樣，該方法需要訪問應用程序產生的HTTP報文中的URL，因此無法適用于加密流量。

Narudin等人[44]研究基于惡意的入侵檢測系統能否依靠流量分析檢測惡意Android應用程序。他們通過在移動設備上運行正常應用程序，在動態分析平臺上運行惡意應用程序來收集網絡流量數據集，并將這些數據發送到訓練多款分類器的中央服務器。該方法使用了HTTP報文中的信息，因而無法處理加密后的網絡流量。

TrafficAV是一款基于機器學習的Android惡意軟件檢測系統，能夠分別提供基于TCP和HTTP報文特征的檢測模型[45]。由于HTTP流量能夠提供更加豐富的信息，因而基于HTTP報文特征的檢測模型檢測率高于基于TCP報文特征的模型檢測率，但基于HTTP報文特征的模型無法處理加密后的網絡流量。

Arora 等人[46]收集惡意軟件流量的樣本，從網絡層提取特征（如接收報文的平均時間間隔、網絡流發送的字節數等）訓練樸素貝葉斯分類器，并使用與訓練集不同的、來自6個家族的惡意應用程序評估其檢測方法。此外，還提出一種特征選擇算法，在保證檢測率不會驟降的情況下，減少所使用的特征數量。該方法的優勢在于不受網絡流量加密的影響。

Shabtai等人[47]設計了一款基于主機的Android惡意應用程序檢測系統，通過監控設備的內存、網絡、電量等提取特征，訓練多種分類器（決策樹、貝葉斯網絡等）檢查設備是否安裝了惡意應用程序，并評估當測試應用程序未被用于訓練及訓練和測試階段在不同移動設備上執行等情形對檢測結果的影響。他們還設計了一款基于惡意行為的 Android惡意應用程序檢測系統[48]，識別惡意的攻擊及設備上安裝的看似“正常”，實則是注入了惡意代碼后重新打包的應用程序。此外，針對當年Google官方應用市場出現的具有自動更新能力的惡意應用程序，提出基于網絡流量模式的檢測辦法，學習正常應用程序的網絡流量模式與待測應用程序表現出的流量模式比較，判斷待測應用程序是否惡意。實驗結果表明，應用程序在感染惡意代碼前后表現出明顯不同的流量模式，因而惡意應用在運行數分鐘后就能被檢測到。

4 結束語

移動設備網絡流量分析是現階段的研究熱點。本文結合近年來的相關研究成果，歸納了目前常用的流量收集方式，并從設備、用戶及應用程序3個方面對流量分析的研究目的進行分類。從研究目的來看，目前用戶識別、應用識別、隱私信息泄露檢測等方向研究成果較多，而用戶定位、軌跡估計和隱私信息推斷等方向研究相對較少。從流量分析的網絡層次來看，與低層（網絡層及傳輸層）相比，高層（應用層）網絡流量提供更加豐富的信息，往往能夠得到更好的結果，但低層網絡流量分析更適用于流量加密的情況，因此研究者應關注如何在加密流量中挖掘更多有用信息。此外，海量的網絡數據是現有網絡安全分析機制面臨的一大挑戰[49-52]，除目前常用的機器學習方法以外，如何在保證流量分析效果的同時，壓縮流量特征、減少待處理的數據[53]也將是未來研究的方向。

參考文獻：

[1] STATIST A.Number of smartphone user worldwide from 2014 to 2020 (in billions) [EB].2016.

[2] MOORE A, PAPAGIANNAKI K.Toward the accurate identification of network applications [C]//International Conference on passive and active network measurement, March 31-April 1,2005, Boston, MA, USA.Heidelberg： Springer-Verlag, 2005：41-54.

[3] KARAGIANNIS T, PAPAGIANNAKI K, FALOUTSOS M.BLINC： multilevel traffic classification in the dark [C]//ACM Special Interest Group on Data Communication, August 22-26,2005, Philadelphia, PA, USA.New York： ACM Press, 2005：229-240.

[4] FERREIRA D, VAZQUEZ F, VORMAYR G.A meta-analysis approach for feature selection in network traffic research [C]//The Reproducibility Workshop, August 21-25, 2017, Los Angeles, NV, USA.[S.l.：s.n.], 2017.

[5] LINDORFER M, NEUGSCHWANDTNER M, WEICHSELBAUM L,et al.ANDRUBIS - 1,000,000 apps later： a view on current Android malware behaviors[C]// The 3rd International Workshop on Building Analysis Datasets and Gathering Experience Returns for Security, September 11, 2014, Wroclaw, Poland.Washington： IEEE Computer Society, 2014： 3-17.

[6] SHEPARD C, RAHMATI A, TOSSELL C, et al.LiveLab：Measuring wireless networks and smartphone users in the field [J].ACM SIGMETRICS Performance Evaluation Review, 2010,38(3)： 15-20.

[7] STEVENS R, GIBLER C, CRUSSELL J, et al.Investigating user privacy in Android Ad libraries[C]//The 2012 Workshop on Mobile Security Technologies, May 24, 2012, San Francisco,CA, USA.[S.l.：s.n.], 2012.

[8] CHEN X, JIN R, SUH K, et al.Network performance of smart mobile handhelds in a university campus WI-FI network[C]//The 2012 ACM SIGCOMM Internet Measurement Conference,August 13-16, 2012, Helsinki, Finland.New York： ACM Press,2012： 315-328.

[9] CHEN Z, HAN H, YAN Q, et al.A first look at Android malware traffic in first few minutes[C]//2015 IEEE Trustcom/BigDataSE/ISPA, August 20-22, 2015, Helsinki,Finland.New York： IEEE Computer Society, 2015： 206-213.

[10] NAYAM W, LAOLEE A, CHAROENWATANA L, et al.An analysis of mobile application network behavior[C]//The 12th Asian Internet Engineering Conference, November 30-December 2,2016, Bangkok, Thailand.New York： ACM Press, 2016： 9-16.

[11] GEMBER A, ANAND A, AKELLA A.A comparative study of handheld and non-handheld traffic in campus Wi-Fi networks[C]//The 12th International Conference on Passive and Active Measurement, March 20-22, 2011, Atlanta.Heidelberg：Springer-Verlag, 2011： 173-183.

[12] WEI X, VALLER N, MADHYASTHA H, et al.Characterizing the behavior of handheld devices and its implications [J].Computer Networks, 2017(114)： 1-12.

[13] FALAKI H, LYMBEROPOULOS D, MAHAJAN R, et al.A first look at traffic on smartphones[C]//The 2010 ACM SIGCOMM Internet Measurement Conference, November 1-3,2010, Melbourne, Australia.New York： ACM Press, 2010：281-287.

[14] AFANASYEV M, CHEN T, VOELKER G, et al.Usage patterns in an urban Wi-Fi network[J].IEEE/ACM Transactions on Networking, 2010, 18(5)： 1359-1372.

[15] ESPADA A, GALLARDO M, SALMERON A, et al.Performance analysis of Spotifyc for Android with model-based testing[J].Mobile Information Systems, 2017.

[16] COULL S, DYER K.Traffic analysis of encrypted messaging services： Apple iMessage and beyond [J].ACM SIGCOMM Computer Communication Review, 2014, 44(5)： 5-11.

[17] RUFFING N, ZHU Y, LIBERTINI R, et al.Smartphone reconnaissance： Operating system identification[C]//13th IEEE Annual Consumer Communications and Networking Conference,January 9-12, 2016, Las Vegas, NV, USA.New York： IEEE Communications Society, 2016： 1086-1091.

[18] MALIK N, CHANDRAMOULI J, SURESH P, et al.Using network traffic to verify mobile device forensic artifacts[C]//The 14th IEEE Annual Consumer Communications and Networking Conference, January 8-11, 2017, Las Vegas, NV, USA.Piscataway： IEEE Press, 2017： 114-119.

[19] VANRYKEL E, ACAR G, HERRMANN M, et al.Leaky birds：exploiting mobile application traffic for surveillance [C]// the 20th International Conference on Financial Cryptography and Data Security, February 22-26, 2016, Barbados.Heidelberg：Springer-Verlag, 2017： 367-384.

[20] VERDE N, ATENIESE G, GABRIELLI E, et al.No NAT’d user left behind： fingerprinting users behind NAT from NetFlow records alone[C]//The 34th IEEE International Conference on Distributed Computing Systems, June 30-July 3, 2014, Madrid, Spain.Washington： IEEE Computer Society, 2014： 218-227.

[21] PARK K, KIM H.Encryption is not enough： inferring user activities on KakaoTalk with traffic analysis[C]//The 16th International Workshop on Information Security Applications,August 20-22, 2015, Jeju Island, Korea.Heidelberg： Springer-Verlag, 2015： 254-265.

[22] SHAFIQ M, YU X Z, LOGHARI A, et al.WeChat text and picture messages service flow traffic classification using machine learning technique[C]//The 14th International Conference on Smart City, December 12-14, 2016, Sydney, Australia.[S.l.：s.n.], 2016.

[23] CONTI M, MANCINI L, SPOLAOR R, et al.Analyzing Android encrypted network traffic to identify user actions [J].IEEE Transactions on Information Forensics and Security, 2016,11(1)： 114-25.

[24] FU Y J, XIONG H, LU X J, et al.Service usage classification with encrypted Internet traffic in mobile messaging apps [J].IEEE Transactions on Mobile Computing, 2016, 15(11)：2851-2864.

[25] WANG Q L, YAHYAVI A, KEMME B, et al.I know what you did on your smartphone： inferring app usage over encrypted data traffic[C]//The 2015 IEEE Conference on Communications and Network Security, September 28-30, 2015, Florence, Italy.New York： IEEE Communications Society, 2015： 433-441.

[26] H.KUZUNO AND S.Tonami.Signature generation for sensitive information leakage in Android applications[C]//The 29th IEEE International Conference on Data Engineering, April 8-12,2013, Brisbane, Australia.Washington： IEEE Computer Society,2013： 112-119.

[27] REN J, RAO A, LINDORFER M, et al.ReCon： revealing and controlling PII leaks in mobile network traffic[C]//The 14th Annual International Conference on Mobile Systems, Applications, and Services, June 26-30, 2016, Singapore.New York：ACM Press, 2016： 361-374.

[28] RAO A, MOLAVI KAKHKI A, RAZAGHPANAHS A, et al.Using the middle to meddle with mobile [R].2012.

[29] LE A, VARMARKEN J, LANGHOFF S, et al.AntMonitor： a system for monitoring from mobile devices[C]//2015 ACM SIGCOMM Workshop on Crowdsourcing and Crowdsharing of Big (Internet) Data, August 17-21, 2015, London, UK.New York： ACM Press, 2015： 15-20.

[30] SONG Y, HENGARTNER U.PrivacyGuard： a VPN-based platform to detect information leakage on Android devices[C]//The 5th Annual ACM CCS Workshop on Security and Privacy in Smartphones and Mobile Devices, October 12, 2015, Denver,USA.New York： ACM Press, 2015： 15-26.

[31] ENCK W, GILBERT P, CHUN B G, et al.TaintDroid： an information-flow tracking system for realtime privacy monitoring on smartphones[C]//The 9th USENIX Symposium on Operating Systems Design and Implementation, October 4-6, 2010, Vancouver, Canada.Berkeley： USENIX Association, 2010：393-407.

[32] CONTINELLA A, FRATANTONIO Y, LINDORFER M, et al.Obfuscation-resilient privacy leak detection for mobile apps through differential analysis[C]//The 2017 Network and Distributed System Security Symposium, February 26-March 1,2017, San Diego, USA.Reston： Internet Society, 2017.

[33] BARBERA M, EPASTO A, MEI A, et al.Signals from the crowd： Uncovering social relationships through smartphone probes[C]//The 2013 ACM SIGCOMM Internet Measurement Conference, October 23-25, 2013, Barcelona, Spain.New York：ACM Press, 2013： 265-276.

[34] LI H , XU Z , ZHU H , et al.Demographics Inference through WI-FI network traffic analysis [C]//The 35th IEEE International Conference on Computer Communications, April 10-15, 2016,San Francisco, USA.Piscataway： IEEE Press, 2016： 1-9.

[35] HUSTED N, MYERS S.Mobile location tracking in metro areas： Malnets and others[C]//The 17th ACM Conference on Computer and Communications Security, October 4-8, 2010,Chicago, USA.New York： ACM Press, 2010： 85-96.

[36] MUSA A, ERIKSSON J.Tracking unmodified smartphones using Wi-Fi monitors[C]//The 10th ACM Conference on Embedded Networked Sensor Systems, November 6-9, 2012, Toronto, Canada.New York： ACM Press, 2012： 281-294.

[37] LEE S, PARK J, LEE H, et al.A study on smart-phone traffic analysis[C]//The 13th Asia-Pacific Network Operations and Management Symposium, September 21-23, 2011, Taipei, China.New York： IEEE Communications Society, 2011： 177-183.

[38] YAO H, RANJAN G, TONGAONKAR A, et al.SAMPLES：self adaptive mining of persistent LExical Snippets for classifying mobile application traffic[C]//The 21th Annual International Conference on Mobile Computing and Networking, September 7-11,2015, Paris, France.New York： ACM Press, 2015： 439-451.

[39] TAYOR V, SPOLAOR R, CONTI M, et al.AppScanner： automatic fingerprinting of smartphone Apps from encrypted net-work traffic [C]//The 1st IEEE European Symposium on Security and Privacy, March 21-24, 2016, Saarbrucken, Germany.Piscataway： IEEE Press, 2016： 439-454.

[40] ALAN H, KAUR J.Can Android applications be identified using only TCP/IP headers of their launch time traffic[C]//The 9th ACM Conference on Security and Privacy in Wireless and Mobile Networks, July 18-20, 2016, Darmstadt, Germany.New York： ACM Press, 2016： 61-66.

[41] SU X, CHUAN M, TAN G.Smartphone dual defense protection framework： detecting malicious applications in Android markets[C]//The 8th International Conference on Mobile Ad-hoc and Sensor Networks, December 14-16, 2012, Chengdu,China.Washington： IEEE Computer Society, 2012： 153-160.

[42] WEI T E, MAO C H, JENG A B, et al.Android malware detection via a latent network behavior analysis[C]//The 11th IEEE International Conference on Trust, Security and Privacy in Computing and Communications, June 25-27, 2012, Liverpool,UK.Washington： IEEE Computer Society, 2012： 1251-1258.

[43] ZAMAN M, SIDDIQUI T, AMIN M, et al.Malware detection in Android by network traffic analysis[C]//The 1st International Conference on Networking Systems and Security, January 5-7,2015, Dhaka, Bangladesh.Piscataway： IEEE Press, 2015： 1-5.

[44] NARUDIN F, FEIZOLLAH A, ANUAR N, et al.Evaluation of machine learning classifiers for mobile malware detection [J].Soft Computing, 2016, 20(1)： 1-5.

[45] WANG S, CHEN Z, ZHANG L, et al.TrafficAV： an effective and explainable detection of mobile malware behavior using network traffic[C]//The 24th IEEE/ACM International Symposium on Quality of Service, June 20-21, 2016, Beijing, China.Piscataway： IEEE Press, 2016： 384-389.

[46] ARORA A, PEDDOJU S.Minimizing network traffic features for Android mobile malware detection[C]//The 18th International Conference on Distributed Computing and Networking,January 4-7, 2017, Hyderabad, India.New York： ACM Press,2017： 32.

[47] SHABTAI A, KANONOV U, ELOVICI Y, et al.“Andromaly”： a behavioral malware detection framework for Android devices [J].Journal of Intelligent Information Systems, 2012, 38(1)： 161-190.

[48] SHABTAI A, TENENBOIM-CHEKINA L, MIMRAN D, et al.Mobile malware detection through analysis of deviations in application network behavior [J].Computers & Security, 2014,43(6)： 1-18.

[49] 汪來富, 金華敏, 劉東鑫, 等.面向網絡大數據的安全分析技術應用[J].電信科學, 2017, 33(3)： 112-118.WANG L F, JIN H M, LIU D X, et al.Application of security analysis technology for network big data[J].Telecommunications Science, 2017, 33(3)： 112-118.

[50] 姜紅紅, 張濤, 趙新建, 等.基于大數據的電力信息網絡流量異常檢測機制[J].電信科學, 2017, 33(3)： 134-141.JIANG H H, ZHANG T, ZHAO X J, et al.A big data based flow anomaly detection mechanism of electric power information network[J].Telecommunications Science, 2017, 33(3)：134-141.

[51] 王帥, 汪來富, 金華敏, 等.網絡安全分析中的大數據技術應用[J].電信科學, 2015, 31(7)： 145-150.WANG S, WANG L F, JIN H M, SHEN J, et al.Big data application in network security analysis [J].Telecommunications Science, 2015, 31(7)： 145-150.

[52] 曹旭, 曹瑞彤.基于大數據分析的網絡異常檢測方法[J].電信科學, 2014, 30(6)： 152-156.CAO X, CAO R T.Network anomaly prediction method based on big data [J].Telecommunications Science, 2014, 30(6)：152-156.

[53] NASR M, HOUMANSADR A, MAZUMDAR A.Compressive traffic analysis： a new paradigm for scalable traffic analysis [C]//The 2017 ACM Conference on Computer and Communications Security, October 30-November 3, 2017, Dallas, USA.New York： ACM Press, 2017： 2053-2069.