随科技发展,智能设备进入了前所未有的飞速发展时代,时下智能手机应用良莠不齐,供学习、工作、娱乐的同时,一些软件在用户未知情况下,悄然产生窃取隐私、远程控制、恶意扣费、群发短信等恶意行为,产生相似恶意行为的恶意软件构成一类恶意家族。这些恶意应用会侵犯用户隐私及财产,甚至危害到我们的人身安全,面向智能终端的恶意应用家族检测和行为分析已成为学术界、网络安全厂商和国家有关部门普遍关心的问题。因此,本文围绕恶意应用行为检测问题,提出基于网络流量的恶意应用家族多分类方法并对实时在线检测系统进行应用级开发,最终实现了一套具有部署简单、用户交互性好、高性能、低功耗的移动恶意应用家族实时检测平台。主要研究内容如下:(1)检测技术分析及数据分析。本文通过查阅相关文献资料,了解当前国内外学术和实务动态,分析移动恶意应用检测技术,获取网络流量数据集,分析网络流量协议。确定本文重点关注网络流量协议类型为HTTP协议及TLS协议,为后续研究夯实基础。(2)提出基于非加密HTTP协议头部文本向量映射的恶意家族多分类方法,命名为DLGBM模型。本方法使用TCP统计特征和HTTP协议头部信息特征,采用One-hot编码将文本词汇向量化为数值型,卡方检验构建词袋,方差过滤及互信息法等特征选择算法进行降维,使用DNN算法将高维稀疏向量映射到低维非稀疏向量,降低树模型属性相关性和过拟合,结合LightGBM进行多分类,模型的准确率达到99.46%。(3)提出基于加密流TLS协议时空特性的恶意家族多分类方法,命名为CNN-LSTM模型。该模型同时考虑网络流量时空特性,使用TCP层字节码的字节分布,避免因特征输入卷积神经网络进行裁剪而造成的信息损失,使用一维卷积进行自动特征提取数据包内空间特性,连接LSTM提取数据包间时序特性,使用Dropout算法降低过拟合,最后连接Softmax分类器进行多分类,模型达到98.30%的召回率。(4)搭建移动恶意应用家族实时在线检测系统,命名为YoursGuard。系统移动端负责获取安卓Linux文件信息及页面展示,服务端捕获实时流量、映射流量与应用名称、部署离线模型进行检测反馈,最终实现用户友好型且可解释性强的手机应用检测服务。综上所述,本文提出了具有创新意义的恶意家族多分类方法,搭建的基于网络流量的移动恶意应用家族检测平台实效性高、扩展性强,且在行业企业内有一定的实用价值。