一种基于突变流量的在野黑产应用采集方法

作     者：陈沛 洪赓 邬梦莹 陈晋松 段海新 杨珉 CHEN Pei;HONG Geng;WU Meng-Ying;CHEN Jin-Song;DUAN Hai-Xin;YANG Min

作者机构：复旦大学计算机科学技术学院上海201203 清华大学网络科学与网络空间研究院北京100084 中关村实验室北京100081 

出 版 物：《软件学报》 (Journal of Software)

年 卷 期：2024年第35卷第8期

页      面：3684-3697页

核心收录：

学科分类：08[工学] 0835[工学-软件工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金(62302101) 

主　　题：网络黑产 网络犯罪 移动应用 流量分析 

摘      要：近年来,移动互联网的兴起使以诈骗、博彩和色情为主的网络黑产移动应用(APP)变得更加猖獗,亟待采取有效措施进行管控.目前,研究人员针对黑产应用的研究较少,其原因是由于执法部门持续对黑产应用的传统分发渠道进行打击,已有的通过基于搜索引擎和应用商店的采集方法效果不佳,缺乏大规模具有代表性的在野黑产应用数据集,已经成为开展深入研究的一大掣肘.为此,尝试解决在野黑产应用大规模采集的难题,为后续深入全面分析黑产应用及其生态提供数据支撑.提出了一种基于突变流量分析的黑产应用批量捕获方法,以黑产应用分发的关键途径为抓手,利用其具有的突变和伴随流量特点,批量快速发现正处于传播阶段的新兴在野黑产应用,为后续实时分析和追踪提供数据基础.在测试中,该方法成功获取了3439条应用下载链接和3303个不同的应用.捕获的移动应用中,不但有91.61%的样本被标记为恶意软件,更有98.14%的样本为首次采集发现的零天应用.上述结果证明了所提出的方法在黑产应用采集方面的有效性.