移動設(shè)備網(wǎng)絡(luò)流量分析技術(shù)綜述

徐明，楊雪,2，章堅武

（1.杭州電子科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，浙江 杭州 310018；2.浙江警察學(xué)院計算機與信息技術(shù)系，浙江 杭州 310053）

1 引言

隨著社會信息化、網(wǎng)絡(luò)化大潮的推進(jìn)，移動設(shè)備（如智能手機和平板電腦等）越來越多地滲透到人們的日常工作與生活中，成為全球數(shù)十億人不可獲取的工具。根據(jù)數(shù)據(jù)互聯(lián)網(wǎng)統(tǒng)計公司Statista的統(tǒng)計，2016年，全球智能手機用戶總?cè)藬?shù)為21億，預(yù)計這一數(shù)值將于2020年增長至28.7億[1]。與傳統(tǒng)網(wǎng)絡(luò)流量相比，Wi-Fi網(wǎng)絡(luò)的廣泛部署以及應(yīng)用市場中大量可用的應(yīng)用程序使得移動設(shè)備不僅能夠保障傳統(tǒng)的通信活動（如撥打語音電話、發(fā)送短消息），還更多地應(yīng)用于金融、在線游戲和網(wǎng)絡(luò)購物等高級場景。移動設(shè)備中往往存儲其持有者的隱私數(shù)據(jù)（如聯(lián)系人、照片、視頻以及GPS位置等），因而越來越多的攻擊者及流量分析人員瞄準(zhǔn)其產(chǎn)生的網(wǎng)絡(luò)流量，試圖從中挖掘有用的信息。

網(wǎng)絡(luò)流量分析是計算機信息安全領(lǐng)域的一個分支，它將一組設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量作為輸入，以與這些設(shè)備、用戶、應(yīng)用程序或流量本身有關(guān)的信息作為輸出。如圖 1所示，網(wǎng)絡(luò)流量分析通常包括 4個階段：流量收集、預(yù)處理、數(shù)據(jù)分析、結(jié)果評估。流量收集是構(gòu)建數(shù)據(jù)集的過程；預(yù)處理則通過去除數(shù)據(jù)集中無效的數(shù)據(jù)或提取流量的關(guān)鍵特征等將收集到的數(shù)據(jù)轉(zhuǎn)換為可理解的格式以便后續(xù)分析。數(shù)據(jù)分析是網(wǎng)絡(luò)流量分析流程中最重要的環(huán)節(jié)，可根據(jù)所采用的技術(shù)分為以下4類。

圖1 網(wǎng)絡(luò)流量分析流程

（1）基于端口的分析方法

基于端口的分析方法是最古老的網(wǎng)絡(luò)流量分析技術(shù)，具體做法為從TCP/UDP報文頭部提取端口號，并與互聯(lián)網(wǎng)數(shù)字分配機構(gòu)（Internet Assigned Numbers Authority，IANA）為各類應(yīng)用分配的TCP/UDP端口列表進(jìn)行對比，從而推斷網(wǎng)絡(luò)流量的來源?；诙丝诘姆椒ㄈ菀讓崿F(xiàn)，且不受流量加密的影響，常應(yīng)用于防火墻或訪問控制列表。然而，基于端口的網(wǎng)絡(luò)流量分析技術(shù)容易被端口混淆、NAT（network address translation）、端口轉(zhuǎn)發(fā)及隨機端口分配等技術(shù)影響，采用基于端口的網(wǎng)絡(luò)流量分析技術(shù)在分類流量時正確率不足70%[2]。

（2）深度報文檢測方法

深度報文檢測（deep packet inspection，DPI）技術(shù)分析應(yīng)用層的網(wǎng)絡(luò)流量，通過事先提取各應(yīng)用程序的模式，利用提取到的模式在未知網(wǎng)絡(luò)流量中區(qū)分不同流量的來源。由于應(yīng)用程序的底層邏輯可能會隨時間推移發(fā)生變化，因而DPI技術(shù)需要定期更新提取到的模板。此外，DPI技術(shù)往往受到網(wǎng)絡(luò)流量加密措施的影響。

（3）基于圖的分析方法

從網(wǎng)絡(luò)流量中構(gòu)建并分析不同的應(yīng)用程序或主機的交互圖，并應(yīng)用于應(yīng)用程序分類。Karaginanis等人[3]最早利用圖來表示主機在應(yīng)用層的交互模式并構(gòu)建圖樣本庫，然后從未知流量中構(gòu)建圖并去樣本庫中匹配，從而實現(xiàn)對應(yīng)用程序的識別。

（4）基于統(tǒng)計和機器學(xué)習(xí)的分析方法

基于統(tǒng)計和機器學(xué)習(xí)的流量分析方法是近年來應(yīng)用最多的方法，該方法假定不同應(yīng)用程序產(chǎn)生的網(wǎng)絡(luò)流量具有獨特的統(tǒng)計分布特性，在已知網(wǎng)絡(luò)流量中訓(xùn)練獲得分布特性并應(yīng)用于分析未知網(wǎng)絡(luò)流量。在應(yīng)用此類方法時，如何妥善選取報文特征及統(tǒng)計工具（或機器學(xué)習(xí)算法）是非常重要的因素，直接影響分析結(jié)果的正確率。Ferreira等人[4]采用元分析的手段調(diào)研了2005—2017年網(wǎng)絡(luò)流量分析領(lǐng)域的主要文獻(xiàn)，為從事網(wǎng)絡(luò)流量分析研究的同行在網(wǎng)絡(luò)報文特征選擇方面提供了有效的建議。在機器學(xué)習(xí)算法的選擇方面，常用的分類器有隨機森林、決策樹、高斯樸素貝葉斯和支持向量機等。

網(wǎng)絡(luò)流量分析流程的最后一個階段是結(jié)果評估，依照標(biāo)準(zhǔn)評估此前所采用的分析方法是否理想，常用的評價標(biāo)準(zhǔn)包括TP（true positive）、FN（false negative）、TN（true negative）、FP（false positive）、精確率、召回率及F1值等。

移動設(shè)備網(wǎng)絡(luò)流量分析由傳統(tǒng)的網(wǎng)絡(luò)流量分析領(lǐng)域發(fā)展而來，與傳統(tǒng)網(wǎng)絡(luò)流量相比，移動設(shè)備產(chǎn)生的下載流量比上載流量大[5-7]，流量持續(xù)時間較短、報文數(shù)目較多且單個報文長度較短[8]。大多數(shù)應(yīng)用層流量通過 HTTP或 HTTPS協(xié)議傳遞[6,8-13]，但使用HTTPS傳輸應(yīng)用層流量是未來發(fā)展的趨勢。視頻流貢獻(xiàn)了移動設(shè)備網(wǎng)絡(luò)流量中很重要的一部分[11,14]。Android與iOS操作系統(tǒng)上免費應(yīng)用程序中嵌入的廣告及定位服務(wù)觸發(fā)了大量的網(wǎng)絡(luò)流量[15]。本文介紹了常用的移動設(shè)備網(wǎng)絡(luò)流量的收集方法，并根據(jù)移動設(shè)備網(wǎng)絡(luò)流量分析的目標(biāo)對現(xiàn)有研究進(jìn)行分類綜述，本文中的網(wǎng)絡(luò)流量指由移動設(shè)備產(chǎn)生的互聯(lián)網(wǎng)流量，不包含蜂窩數(shù)據(jù)流量、藍(lán)牙數(shù)據(jù)等其他類型的數(shù)據(jù)。

2 網(wǎng)絡(luò)流量收集

移動設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量可從網(wǎng)絡(luò)各個層次（如數(shù)據(jù)鏈路層、傳輸層、應(yīng)用層）或節(jié)點（Wi-Fi網(wǎng)絡(luò)接入點或設(shè)備內(nèi)）收集，數(shù)據(jù)來源主要有：移動設(shè)備、網(wǎng)絡(luò)訪問點（access point，AP）、Wi-Fi監(jiān)控器和運行移動設(shè)備仿真器的計算機。

最直接的流量收集方法是在移動設(shè)備上安裝輕量級的應(yīng)用記錄程序。除此之外，在可控制的小規(guī)模網(wǎng)絡(luò)中，也可利用小型網(wǎng)關(guān)、VPN服務(wù)器和臺式計算機等作為AP來記錄用戶的網(wǎng)絡(luò)流量，圖2展示了這種流量收集方式。

隨著移動用戶對 Wi-Fi網(wǎng)絡(luò)需求的增長，Wi-Fi訪問點也被用于流量收集。Wi-Fi網(wǎng)絡(luò)通常包括兩種類型的硬件設(shè)備：采用IEEE 802.11標(biāo)準(zhǔn)為移動設(shè)備提供網(wǎng)絡(luò)連接的AP與將來自AP的網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)的網(wǎng)關(guān)。Wi-Fi調(diào)制解調(diào)器等硬件既可用作AP又可用作網(wǎng)關(guān)。在Wi-Fi訪問點進(jìn)行流量收集又分為網(wǎng)絡(luò)中只存在單訪問點和網(wǎng)絡(luò)中存在多訪問點的情況。

圖2 將計算機設(shè)置為AP以收集流量

Wi-Fi監(jiān)聽器是一種能夠掃描Wi-Fi頻段以獲取網(wǎng)絡(luò)流量的硬件設(shè)備。常見于將傳統(tǒng)的 Wi-Fi設(shè)備（如PCI卡或臺式計算機）設(shè)置為監(jiān)聽模式，使其被動監(jiān)聽附近的 Wi-Fi信號。為了有效地監(jiān)聽 Wi-Fi設(shè)備的網(wǎng)絡(luò)流量，該監(jiān)聽設(shè)備必須處于目標(biāo)網(wǎng)絡(luò)的覆蓋范圍內(nèi)，其有效性受到選取的監(jiān)聽頻段、Wi-Fi調(diào)制解調(diào)器的頻率以及周圍建筑物等因素的影響。

移動設(shè)備仿真器是能夠虛擬設(shè)備組件及操作系統(tǒng)的虛擬機，是一種應(yīng)用程序測試方案。由于運行該仿真器的計算機負(fù)責(zé)在仿真器和互聯(lián)網(wǎng)間轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量，因此該計算機可作為網(wǎng)絡(luò)流量的理想收集點。

3 移動設(shè)備網(wǎng)絡(luò)流量分析的研究目的

移動設(shè)備網(wǎng)絡(luò)流量分析的目的是從網(wǎng)絡(luò)流量中推斷設(shè)備、用戶及設(shè)備上安裝的應(yīng)用程序的相關(guān)信息。圖3展示了對這一領(lǐng)域研究目的的分類。

3.1 設(shè)備信息推斷

移動設(shè)備上運行的操作系統(tǒng)類型及版本是重要的設(shè)備相關(guān)信息。操作系統(tǒng)識別指通過分析網(wǎng)絡(luò)流量判斷移動設(shè)備運行的操作系統(tǒng)。攻擊者在識別目標(biāo)設(shè)備的操作系統(tǒng)后可進(jìn)一步定制后續(xù)的攻擊，而在人群聚集的情況下，操作系統(tǒng)識別技術(shù)可服務(wù)于市場或社會調(diào)研。

Coull與Dyer等人[16]針對蘋果公司的即時通信工具 iMessage，利用用戶與蘋果服務(wù)器間交換的加密報文長度來確定用戶使用的是iOS或OSX操作系統(tǒng)，方法不受流量加密的影響，且僅需觀察流量中的前5個報文就能夠達(dá)到100%的識別率。

圖3 移動設(shè)備網(wǎng)絡(luò)流量分析研究目的分類

Ruffing等人[17]認(rèn)為移動設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量的時序特征由該移動設(shè)備運行的操作系統(tǒng)決定，提出通過分析網(wǎng)絡(luò)報文時序的頻譜以識別與操作系統(tǒng)相關(guān)的頻率特性。由于無需審查報文內(nèi)容，該方法可適用于流量加密的場景。收集運行 Android、iOS、Windows Phone和 Symbian等操作系統(tǒng)的智能手機產(chǎn)生的流量，在觀察時長為5 min的報文序列后檢測率能夠達(dá)到90%。然而該方法在判斷同一操作系統(tǒng)的不同版本時效果不理想。

Malik等人[18]利用移動設(shè)備產(chǎn)生的報文時間間隔來推斷該設(shè)備運行的操作系統(tǒng)并成功區(qū)分Android、iOS與Windows Phone。由于只使用報文時間間隔信息，該方法不受流量加密的影響。然而，在實驗階段僅使用了3臺設(shè)備，即每臺設(shè)備運行一種操作系統(tǒng)平臺。因此，無法判斷同一操作系統(tǒng)的不同版本對檢測率的影響。

3.2 用戶信息推斷

（1）用戶識別

用戶通過移動設(shè)備接入互聯(lián)網(wǎng)，使用應(yīng)用程序。同一用戶在不同移動設(shè)備、不同網(wǎng)絡(luò)中產(chǎn)生的網(wǎng)絡(luò)流量模式基本是穩(wěn)定的。通過學(xué)習(xí)用戶的網(wǎng)絡(luò)模式可以推斷某些網(wǎng)絡(luò)流量是否來自特定用戶。

Vanrykel 等[19]開發(fā)了一款自動執(zhí)行應(yīng)用程序并收集網(wǎng)絡(luò)流量的工具，審查HTTP數(shù)據(jù)并識別明文傳送的敏感標(biāo)識符，利用這些敏感標(biāo)識符提取來自某特定用戶的網(wǎng)絡(luò)流量。他們收集了來自42個類別的1 260個Android應(yīng)用程序產(chǎn)生的流量，并成功將同一用戶的57%的流量關(guān)聯(lián)起來。然而，由于該方法需要使用HTTP報文內(nèi)容，因此無法處理加密后的流量。

Verde等[20]使用互聯(lián)網(wǎng)提供商從用戶網(wǎng)絡(luò)流量中提取出的統(tǒng)計數(shù)據(jù)“NetFlow記錄”訓(xùn)練分類器，能夠精確識別某一用戶是否連接到指定網(wǎng)絡(luò)并獲取其IP地址，且不受NAT技術(shù)影響。他們收集了通過同一Wi-Fi接入點連接互聯(lián)網(wǎng)的26個用戶的網(wǎng)絡(luò)流量，選取隨機森林作為分類器獲得95%的正確率和7%的誤判率。值得說明的是，由于“NetFlow記錄”不包含網(wǎng)絡(luò)報文數(shù)據(jù)，因此該方法不受流量加密的干擾。

（2）用戶行為識別

用戶在使用應(yīng)用程序時會執(zhí)行若干操作并觸發(fā)網(wǎng)絡(luò)數(shù)據(jù)傳輸。這些操作涉及“用戶—應(yīng)用程序”間的交互，因而某一特定的操作會呈現(xiàn)固定的模式（如瀏覽Facebook個人主頁所產(chǎn)生的流量與在 Twitter上發(fā)送推文的流量模式不同），這些模式可被用于在網(wǎng)絡(luò)流量中識別用戶特定的行為。用戶行為識別可用于市場或調(diào)查分析，還可用來實現(xiàn)去匿名化。目前，用戶行為識別針對的應(yīng)用程序大多屬于即時通信類（iMessage、WhatsApp）、社交（Facebook、Twitter）、郵件客戶端（Gmail、Yahoo Mail）等。

Coull和Dyer等人[16]檢測用戶在Apple即時通信工具 iMessage 上執(zhí)行的“開始輸入”“停止輸入”“發(fā)送信息”“發(fā)送附件”“閱讀”5個動作，并在iOS系統(tǒng)上獲得99%的正確率。除此之外，他們還對用戶使用的自然語言（中文、英文、法文、德文、俄文和西班牙文）所交互的信息長度進(jìn)行推測。由于該方法選取用戶與 Apple服務(wù)器間交換報文的長度為特征，因此他們的方法不受信息加密的影響。

Park和 Kim[21]研究韓國即時聊天應(yīng)用程序KakaoTalk支持的11種用戶行為（加入聊天室、發(fā)送信息、添加朋友等），得到每種行為模式對應(yīng)的報文特征序列，該序列被用于在未知網(wǎng)絡(luò)流量中識別對應(yīng)的用戶行為。由于選取報文長度為特征，因此該方法在 KakaoTalk流量加密的情況下仍能得到99.7%的準(zhǔn)確率。

Shafiq等人[22]首次提出識別微信用戶發(fā)送文本及圖片產(chǎn)生的流量，在其所處校園及宿舍收集了兩個網(wǎng)絡(luò)流量數(shù)據(jù)集，從中提取44個統(tǒng)計特征，采用C4.5、貝葉斯網(wǎng)絡(luò)、支持向量機和樸素貝葉斯4種分類器對用戶發(fā)送文本和圖片所產(chǎn)生的流量進(jìn)行分類。實驗結(jié)果顯示，C4.5和支持向量機對這兩種用戶行為所產(chǎn)生的流量的分類效果最好，分別能夠達(dá)到99.91%和99.57%的精確率。

Conti等人[23]使用IP地址、TCP報文頭部信息識別用戶在同一應(yīng)用中執(zhí)行的不同操作。其核心思想為當(dāng)用戶在同一應(yīng)用中執(zhí)行不同操作時，其出站和入站網(wǎng)絡(luò)流的特征不同。由于以TCP報文流中出站及入站字節(jié)數(shù)序列作為特征統(tǒng)計量，因而適用于在傳輸層加密的流量。與參考文獻(xiàn)[23]類似，F(xiàn)u等人[24]提出識別用戶在同一應(yīng)用內(nèi)不同操作的系統(tǒng)CUMMA，他們先將收集到的流量劃分為Session和Dialog兩個層次，以Dialog為單位選擇報文長度序列和時間間隔序列作為特征，Wechat和WhatsApp兩款應(yīng)用（包含8種不同用戶操作）上的實驗表明，使用隨機森林作為分類器時CUMMA系統(tǒng)的整體正確率能夠達(dá)到96%以上。

（3）用戶標(biāo)識信息檢測

移動設(shè)備上安裝的應(yīng)用程序大多請求訪問用戶的敏感信息，如GPS定位、照片、聯(lián)系人等，并需要接入互聯(lián)網(wǎng)。個人標(biāo)識信息（personal identifiable information，PII）可用于識別、定位用戶。移動設(shè)備中通常包含以下4種PII。

· 移動設(shè)備相關(guān)信息，如國際移動設(shè)備識別號（international mobile equipment identity，IMEI）、Android設(shè)備ID（Android設(shè)備第一次啟動時隨機生成的標(biāo)識符）與 MAC地址（網(wǎng)卡的唯一標(biāo)識符）等。

· SIM 卡相關(guān)信息，如 IMSI（international mobile subscriber identity）與SIM序列號。

· 用戶信息，如姓名、性別、出生日期、居住地址、電話號碼和電子郵件地址等。

· 用戶地理位置信息，如GPS定位和郵政編碼等。

由于移動設(shè)備上安裝的應(yīng)用程序更容易產(chǎn)生易被識別的流量特征，因此，在移動設(shè)備上使用應(yīng)用程序比使用瀏覽器訪問相同的服務(wù)更容易泄露隱私數(shù)據(jù)[25]。個人標(biāo)識信息檢測技術(shù)通過分析網(wǎng)絡(luò)流量檢測是否存在敏感信息泄露。

Stevens等人[7]研究 Android系統(tǒng) 13個廣告庫，通過分析廣告網(wǎng)絡(luò)流量以檢測是否有用戶標(biāo)識信息泄露。他們發(fā)現(xiàn)在2012年僅有1個廣告庫提供商對其網(wǎng)絡(luò)流量實現(xiàn)了加密。對廣告庫觸發(fā)的網(wǎng)絡(luò)流量執(zhí)行深度報文檢測，顯示多種用戶標(biāo)識信息（如年齡、性別、GPS位置）被以明文的方式泄露。參考文獻(xiàn)[7]指出，即使廣告庫提供商并未刻畫用戶畫像，外部攻擊者仍可利用其網(wǎng)絡(luò)流量中泄露的唯一設(shè)備標(biāo)識符（unique device identifier，UDID）從不同的廣告庫提供商關(guān)聯(lián)用戶的敏感信息并構(gòu)建完整的用戶畫像。

Kuzuno與Tonami[26]調(diào)查免費Android應(yīng)用程序中加載的廣告庫對用戶敏感信息的泄露情況，關(guān)注移動設(shè)備標(biāo)識符、IMSI與SIM序列號以及運營商等信息。以多款泄露用戶敏感信息的應(yīng)用程序產(chǎn)生的流量為輸入，對這些數(shù)據(jù)進(jìn)行聚類以生成流量簽名，然后使用這些簽名檢測移動設(shè)備上其他應(yīng)用程序是否會泄露用戶敏感信息。由于該方法需要審查HTTP報文以獲得簽名，因此無法應(yīng)用于加密后的網(wǎng)絡(luò)流量。

跨平臺的系統(tǒng) Recon[27]能夠使用戶控制移動設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量對其敏感信息的泄露。Recon基于跨平臺的網(wǎng)絡(luò)流量收集與分析系統(tǒng)Meddle[28]，由于Meddle利用VPN隧道將目標(biāo)設(shè)備的流量重定向到自己的代理服務(wù)器，因此能夠處理在傳輸層加密的流量。此外，Recon[27]還提供網(wǎng)頁接口使用戶實時查看被泄露的敏感信息，并選擇修改這些信息或阻止泄露敏感信息的網(wǎng)絡(luò)連接。

AntMonitor[29]是一個收集并分析 Android設(shè)備流量的系統(tǒng)，它在收集到的流量數(shù)據(jù)中查找IMEI、Android ID、手機號碼、電子郵件地址和設(shè)備定位等用戶標(biāo)識信息，檢測用戶標(biāo)識信息是否遭到泄露。由于AntMonitor在執(zhí)行用戶標(biāo)識信息檢測時查看應(yīng)用層數(shù)據(jù)，因此無法應(yīng)用于加密流量。

開源 Android應(yīng)用程序 PrivacyGuard[30]利用Android API的VPNService類竊聽安裝在Android設(shè)備上的應(yīng)用程序產(chǎn)生的網(wǎng)絡(luò)流量。PrivacyGuard被用來監(jiān)測應(yīng)用程序是否泄露與用戶（如電話號碼）或設(shè)備（如IMEI）相關(guān)的敏感信息。與前人的研究成果TaintDroid[31]相比，PrivacyGuard能夠檢測出更多被泄露的信息且能夠偽造數(shù)據(jù)替換它們。PrivacyGuard能夠利用中間人技術(shù)處理在傳輸層加密的網(wǎng)絡(luò)流量。

Continella等人[32]開發(fā)開源工具Agrigento分析 Android應(yīng)用程序以檢測用戶標(biāo)識信息是否遭到泄露。首先在設(shè)備上多次運行Agrigento收集設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量及系統(tǒng)和應(yīng)用級信息（如隨機生成的標(biāo)識符、時間戳等）；然后對移動設(shè)備操作系統(tǒng)中的敏感信息賦一些特殊值，再次運行該工具收集網(wǎng)絡(luò)流量和執(zhí)行時信息。若前后收集到的數(shù)據(jù)模型不一致，則提示敏感信息泄露。與Recon[27]相比，Agrigento在控制誤報率的同時，能夠檢測到更多被泄露的敏感信息。與PrivacyGuard類似該工具也能夠使用中間人技術(shù)查看HTTPS報文信息，處理在傳輸層加密的流量。

（4）用戶隱私信息推斷

目前，Wi-Fi網(wǎng)絡(luò)數(shù)據(jù)泄露用戶隱私的問題已獲得廣泛關(guān)注，但從Wi-Fi流量元信息及移動設(shè)備屬性（如安裝的應(yīng)用程序、連接的Wi-Fi網(wǎng)絡(luò)）中推斷用戶的社會屬性也是一個需要重視的威脅。

Barbera等人[33]研究能否從大量移動設(shè)備發(fā)送的Wi-Fi探測請求中推斷用戶的社會屬性。他們在商場、火車站和大學(xué)校園等區(qū)域收集超過16萬設(shè)備發(fā)送的11 MB探測數(shù)據(jù)，生成移動設(shè)備用戶社交圖，該社交圖中用戶及服務(wù)集標(biāo)識（service set identifier，SSID）等屬性呈現(xiàn)冪次現(xiàn)象。參考文獻(xiàn)[33]得出用戶之間關(guān)系越緊密越傾向于選擇同一廠商的移動設(shè)備的結(jié)論，并利用設(shè)備提供商識別號推斷用戶年齡及社會地位。

Li等人[34]提出一個無需檢查Wi-Fi流量內(nèi)容推斷用戶隱私信息的系統(tǒng) DIP。該系統(tǒng)使用流量中的 MAC地址、IP地址作為位置特征，HTTP報文頭部的host及user-agent字段作為應(yīng)用特征，采用隨機森林模型作為分類器，在大學(xué)校園網(wǎng)絡(luò)內(nèi)推斷用戶的性別及教育水平（博士研究生、碩士研究生、本科生），并分別達(dá)到78%和74%的精確率。在流量加密的情況下，由于無法獲取 host和 user-agent特征，其精確率受到影響降為 67%和72%。此外，還討論了使用Tor網(wǎng)絡(luò)、MAC地址隨機化、隨機發(fā)送無效報文等技術(shù)防御隱私推斷攻擊。

（5）定位與軌跡估計

用戶頻繁訪問的地點通常揭示其社會地位、興趣及愛好等隱私，這些信息可用于商業(yè)用途（如定點投放廣告）或警方的偵查活動。定位目標(biāo)用戶的移動設(shè)備是一種簡單有效地獲取此類信息的方式。設(shè)備定位指通過移動設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量來推斷其地理位置，而軌跡估計指通過分析移動設(shè)備產(chǎn)生的網(wǎng)絡(luò)流量，推斷其在某地理區(qū)域內(nèi)的移動軌跡。通過軌跡估計能夠獲得單個用戶的興趣、社會習(xí)性等，也可以聚合多個用戶的軌跡來預(yù)測路網(wǎng)的交通狀況。

惡意網(wǎng)絡(luò)（即由一組惡意 Wi-Fi設(shè)備構(gòu)成的網(wǎng)絡(luò)）能夠定位移動設(shè)備的地理位置[35]，網(wǎng)絡(luò)中的每個惡意 Wi-Fi節(jié)點都會查找包含目標(biāo)設(shè)備MAC地址的Wi-Fi查詢請求報文，并將其所得信息上傳至中央服務(wù)器。中央服務(wù)器利用其從多個節(jié)點獲得的信息進(jìn)行分析，從而定位目標(biāo)設(shè)備。參考文獻(xiàn)[35]中利用軟件仿真城市中攜帶啟用了IEEE 802.11協(xié)議的移動設(shè)備用戶，研究結(jié)果表明采用最新的 IEEE 802.11標(biāo)準(zhǔn)更容易構(gòu)建定位移動設(shè)備地理信息的網(wǎng)絡(luò)。

移動設(shè)備周期性發(fā)送的 Wi-Fi查詢請求可被用于設(shè)備跟蹤[36]。攻擊者可通過部署多個 Wi-Fi監(jiān)聽器將監(jiān)測到的 Wi-Fi查詢請求發(fā)送給中央服務(wù)器，中央服務(wù)器將多個監(jiān)聽器對同一移動設(shè)備的監(jiān)測結(jié)果聚合為一條時空軌跡。部署了3個監(jiān)聽器并通過GPS信息作為位置監(jiān)測對照數(shù)據(jù)來評估系統(tǒng)。實驗結(jié)果表明，當(dāng)所部署的 Wi-Fi監(jiān)聽器相互距離為400 m時，該系統(tǒng)的平均地理位置定位誤差在70 m以內(nèi)。

3.3 應(yīng)用程序信息推斷

（1）應(yīng)用程序識別

應(yīng)用程序的網(wǎng)絡(luò)流量指紋指由應(yīng)用程序產(chǎn)生的網(wǎng)絡(luò)流量表現(xiàn)出的模式，可用來在未知網(wǎng)絡(luò)流量中識別應(yīng)用。應(yīng)用程序識別對提高網(wǎng)絡(luò)服務(wù)質(zhì)量（quality of service，QoS）或網(wǎng)絡(luò)安全防護(hù)等有積極意義。

Lee[37]等人選取Android和iOS應(yīng)用市場排名前50的應(yīng)用生成網(wǎng)絡(luò)流量指紋，利用這些指紋在未知網(wǎng)絡(luò)流量中檢測是否存在相關(guān)應(yīng)用。實驗結(jié)果顯示，與已收集到的指紋匹配的網(wǎng)絡(luò)流量僅占測試流量的15.37%，這一結(jié)果表明智能手機用戶在應(yīng)用程序的使用方面存在很大差異。由于使用最長公共子序列（LCS）從 HTTP報文中提取指紋，因此該方法無法處理加密后的網(wǎng)絡(luò)流量。

SAMPLES是一個自適應(yīng)的應(yīng)用程序識別框架[38]，把HTTP流量中應(yīng)用程序標(biāo)識符的出現(xiàn)模式抽象為包含應(yīng)用標(biāo)識符的HTTP字段、標(biāo)識符的前綴及后綴字符串的一組文本規(guī)則。利用“聚合—驗證”的方式提高規(guī)則的精確度并確定優(yōu)先級，并將調(diào)優(yōu)后的規(guī)則加載到應(yīng)用程序識別引擎中，通過“提取—查找”的模式識別網(wǎng)絡(luò)流量對應(yīng)的應(yīng)用程序。為了驗證SAMPLES的有效性，選取了70萬個Android應(yīng)用程序，并收集了1 500萬網(wǎng)絡(luò)流，實驗結(jié)果表明SAMPLES能夠識別出90%的應(yīng)用程序，并能夠達(dá)到99%的正確率。然而，由于文本規(guī)則來源于HTTP報文，因此SAMPLES對加密后的流量無效。

Wang等人[25]指出即使應(yīng)用程序網(wǎng)絡(luò)流量加密，攻擊者也可以利用邊通道泄露的信息識別用戶的行為。他們將應(yīng)用程序接收及發(fā)送的流量劃分為多個子序列，并提取序列中各個報文長度、到達(dá)時間、傳輸方向以及報文長度平均值、標(biāo)準(zhǔn)差等共20項統(tǒng)計值作為特征，使用隨機森林算法識別應(yīng)用并達(dá)到很好的效果。此外，還指出由于移動設(shè)備上的應(yīng)用程序產(chǎn)生的流量模式更易被識別，因而用戶使用移動設(shè)備訪問服務(wù)比使用瀏覽器訪問同一服務(wù)更易泄露信息。

AppScanner[39]從應(yīng)用程序接收、發(fā)送及雙向網(wǎng)絡(luò)流中提取54種統(tǒng)計特征，訓(xùn)練隨機森林分類器識別未知網(wǎng)絡(luò)中的應(yīng)用程序，并評估流量收集時間、移動設(shè)備、操作系統(tǒng)版本及應(yīng)用程序版本等因素對檢測率的影響。AppScanner從TCP和IP報文頭部提取特征，因而能夠處理被SSL/TLS加密的流量。Alan等[40]利用Android應(yīng)用程序啟動階段產(chǎn)生的網(wǎng)絡(luò)流量的TCP/IP報文頭部信息識別應(yīng)用程序，與參考文獻(xiàn)[39]類似，參考文獻(xiàn)[40]同樣評估了流量收集時間、移動設(shè)備、操作系統(tǒng)及運營商對應(yīng)用識別正確率的影響，并得出操作系統(tǒng)、運營商信息發(fā)生變化時對結(jié)果影響最大，而測試集與訓(xùn)練集間隔數(shù)天對檢測結(jié)果幾乎無影響。

（2）惡意應(yīng)用程序檢測

移動設(shè)備中往往包含大量用戶敏感信息，很容易成為惡意軟件開發(fā)者攻擊的對象，因而應(yīng)用程序市場、安全公司以及移動用戶對惡意軟件的檢測技術(shù)非常關(guān)注。

Su[41]等人提出一個由部署在云上的驗證服務(wù)器和 Android設(shè)備構(gòu)成的惡意應(yīng)用程序檢測框架供 Android應(yīng)用市場使用。開發(fā)者在應(yīng)用軟件發(fā)布前需要將其提交至驗證服務(wù)器檢測，Android設(shè)備則用于執(zhí)行開發(fā)者提交的程序并監(jiān)控系統(tǒng)調(diào)用和網(wǎng)絡(luò)流量。服務(wù)器基于系統(tǒng)調(diào)用統(tǒng)計和網(wǎng)絡(luò)流量特征判斷應(yīng)用程序惡意與否，采用隨機森林作為網(wǎng)絡(luò)流量分類器達(dá)到96.7%的正確率。

Wei[42]等人提出一種 Android惡意軟件檢測框架，利用惡意 Android應(yīng)用程序產(chǎn)生的流量學(xué)習(xí)它們的行為。除此之外，該框架能夠自動分析某指定應(yīng)用程序的DNS流量并判斷是否惡意。使用Android惡意軟件公開數(shù)據(jù)集和從Android應(yīng)用市場收集的正常應(yīng)用程序?qū)蚣苓M(jìn)行評估，正確率、召回率和精確率接近100%。由于該框架需要訪問應(yīng)用程序生成的DNS流量，因而無法應(yīng)用于加密網(wǎng)絡(luò)流量。

參考文獻(xiàn)[43]利用惡意應(yīng)用程序通常會將用戶敏感信息發(fā)送到惡意遠(yuǎn)程主機這一特點，記錄移動設(shè)備上安裝的應(yīng)用程序與遠(yuǎn)程主機的全部通信，并利用已知的惡意域名，將與惡意域名主機交互的應(yīng)用程序標(biāo)記為惡意。同樣，該方法需要訪問應(yīng)用程序產(chǎn)生的HTTP報文中的URL，因此無法適用于加密流量。

Narudin等人[44]研究基于惡意的入侵檢測系統(tǒng)能否依靠流量分析檢測惡意Android應(yīng)用程序。他們通過在移動設(shè)備上運行正常應(yīng)用程序，在動態(tài)分析平臺上運行惡意應(yīng)用程序來收集網(wǎng)絡(luò)流量數(shù)據(jù)集，并將這些數(shù)據(jù)發(fā)送到訓(xùn)練多款分類器的中央服務(wù)器。該方法使用了HTTP報文中的信息，因而無法處理加密后的網(wǎng)絡(luò)流量。

TrafficAV是一款基于機器學(xué)習(xí)的Android惡意軟件檢測系統(tǒng)，能夠分別提供基于TCP和HTTP報文特征的檢測模型[45]。由于HTTP流量能夠提供更加豐富的信息，因而基于HTTP報文特征的檢測模型檢測率高于基于TCP報文特征的模型檢測率，但基于HTTP報文特征的模型無法處理加密后的網(wǎng)絡(luò)流量。

Arora 等人[46]收集惡意軟件流量的樣本，從網(wǎng)絡(luò)層提取特征（如接收報文的平均時間間隔、網(wǎng)絡(luò)流發(fā)送的字節(jié)數(shù)等）訓(xùn)練樸素貝葉斯分類器，并使用與訓(xùn)練集不同的、來自6個家族的惡意應(yīng)用程序評估其檢測方法。此外，還提出一種特征選擇算法，在保證檢測率不會驟降的情況下，減少所使用的特征數(shù)量。該方法的優(yōu)勢在于不受網(wǎng)絡(luò)流量加密的影響。

Shabtai等人[47]設(shè)計了一款基于主機的Android惡意應(yīng)用程序檢測系統(tǒng)，通過監(jiān)控設(shè)備的內(nèi)存、網(wǎng)絡(luò)、電量等提取特征，訓(xùn)練多種分類器（決策樹、貝葉斯網(wǎng)絡(luò)等）檢查設(shè)備是否安裝了惡意應(yīng)用程序，并評估當(dāng)測試應(yīng)用程序未被用于訓(xùn)練及訓(xùn)練和測試階段在不同移動設(shè)備上執(zhí)行等情形對檢測結(jié)果的影響。他們還設(shè)計了一款基于惡意行為的 Android惡意應(yīng)用程序檢測系統(tǒng)[48]，識別惡意的攻擊及設(shè)備上安裝的看似“正?！?，實則是注入了惡意代碼后重新打包的應(yīng)用程序。此外，針對當(dāng)年Google官方應(yīng)用市場出現(xiàn)的具有自動更新能力的惡意應(yīng)用程序，提出基于網(wǎng)絡(luò)流量模式的檢測辦法，學(xué)習(xí)正常應(yīng)用程序的網(wǎng)絡(luò)流量模式與待測應(yīng)用程序表現(xiàn)出的流量模式比較，判斷待測應(yīng)用程序是否惡意。實驗結(jié)果表明，應(yīng)用程序在感染惡意代碼前后表現(xiàn)出明顯不同的流量模式，因而惡意應(yīng)用在運行數(shù)分鐘后就能被檢測到。

4 結(jié)束語

移動設(shè)備網(wǎng)絡(luò)流量分析是現(xiàn)階段的研究熱點。本文結(jié)合近年來的相關(guān)研究成果，歸納了目前常用的流量收集方式，并從設(shè)備、用戶及應(yīng)用程序3個方面對流量分析的研究目的進(jìn)行分類。從研究目的來看，目前用戶識別、應(yīng)用識別、隱私信息泄露檢測等方向研究成果較多，而用戶定位、軌跡估計和隱私信息推斷等方向研究相對較少。從流量分析的網(wǎng)絡(luò)層次來看，與低層（網(wǎng)絡(luò)層及傳輸層）相比，高層（應(yīng)用層）網(wǎng)絡(luò)流量提供更加豐富的信息，往往能夠得到更好的結(jié)果，但低層網(wǎng)絡(luò)流量分析更適用于流量加密的情況，因此研究者應(yīng)關(guān)注如何在加密流量中挖掘更多有用信息。此外，海量的網(wǎng)絡(luò)數(shù)據(jù)是現(xiàn)有網(wǎng)絡(luò)安全分析機制面臨的一大挑戰(zhàn)[49-52]，除目前常用的機器學(xué)習(xí)方法以外，如何在保證流量分析效果的同時，壓縮流量特征、減少待處理的數(shù)據(jù)[53]也將是未來研究的方向。

參考文獻(xiàn)：

[1] STATIST A.Number of smartphone user worldwide from 2014 to 2020 (in billions) [EB].2016.

[2] MOORE A, PAPAGIANNAKI K.Toward the accurate identification of network applications [C]//International Conference on passive and active network measurement, March 31-April 1,2005, Boston, MA, USA.Heidelberg： Springer-Verlag, 2005：41-54.

[3] KARAGIANNIS T, PAPAGIANNAKI K, FALOUTSOS M.BLINC： multilevel traffic classification in the dark [C]//ACM Special Interest Group on Data Communication, August 22-26,2005, Philadelphia, PA, USA.New York： ACM Press, 2005：229-240.

[4] FERREIRA D, VAZQUEZ F, VORMAYR G.A meta-analysis approach for feature selection in network traffic research [C]//The Reproducibility Workshop, August 21-25, 2017, Los Angeles, NV, USA.[S.l.：s.n.], 2017.

[5] LINDORFER M, NEUGSCHWANDTNER M, WEICHSELBAUM L,et al.ANDRUBIS - 1,000,000 apps later： a view on current Android malware behaviors[C]// The 3rd International Workshop on Building Analysis Datasets and Gathering Experience Returns for Security, September 11, 2014, Wroclaw, Poland.Washington： IEEE Computer Society, 2014： 3-17.

[6] SHEPARD C, RAHMATI A, TOSSELL C, et al.LiveLab：Measuring wireless networks and smartphone users in the field [J].ACM SIGMETRICS Performance Evaluation Review, 2010,38(3)： 15-20.

[7] STEVENS R, GIBLER C, CRUSSELL J, et al.Investigating user privacy in Android Ad libraries[C]//The 2012 Workshop on Mobile Security Technologies, May 24, 2012, San Francisco,CA, USA.[S.l.：s.n.], 2012.

[8] CHEN X, JIN R, SUH K, et al.Network performance of smart mobile handhelds in a university campus WI-FI network[C]//The 2012 ACM SIGCOMM Internet Measurement Conference,August 13-16, 2012, Helsinki, Finland.New York： ACM Press,2012： 315-328.

[9] CHEN Z, HAN H, YAN Q, et al.A first look at Android malware traffic in first few minutes[C]//2015 IEEE Trustcom/BigDataSE/ISPA, August 20-22, 2015, Helsinki,Finland.New York： IEEE Computer Society, 2015： 206-213.

[10] NAYAM W, LAOLEE A, CHAROENWATANA L, et al.An analysis of mobile application network behavior[C]//The 12th Asian Internet Engineering Conference, November 30-December 2,2016, Bangkok, Thailand.New York： ACM Press, 2016： 9-16.

[11] GEMBER A, ANAND A, AKELLA A.A comparative study of handheld and non-handheld traffic in campus Wi-Fi networks[C]//The 12th International Conference on Passive and Active Measurement, March 20-22, 2011, Atlanta.Heidelberg：Springer-Verlag, 2011： 173-183.

[12] WEI X, VALLER N, MADHYASTHA H, et al.Characterizing the behavior of handheld devices and its implications [J].Computer Networks, 2017(114)： 1-12.

[13] FALAKI H, LYMBEROPOULOS D, MAHAJAN R, et al.A first look at traffic on smartphones[C]//The 2010 ACM SIGCOMM Internet Measurement Conference, November 1-3,2010, Melbourne, Australia.New York： ACM Press, 2010：281-287.

[14] AFANASYEV M, CHEN T, VOELKER G, et al.Usage patterns in an urban Wi-Fi network[J].IEEE/ACM Transactions on Networking, 2010, 18(5)： 1359-1372.

[15] ESPADA A, GALLARDO M, SALMERON A, et al.Performance analysis of Spotifyc for Android with model-based testing[J].Mobile Information Systems, 2017.

[16] COULL S, DYER K.Traffic analysis of encrypted messaging services： Apple iMessage and beyond [J].ACM SIGCOMM Computer Communication Review, 2014, 44(5)： 5-11.

[17] RUFFING N, ZHU Y, LIBERTINI R, et al.Smartphone reconnaissance： Operating system identification[C]//13th IEEE Annual Consumer Communications and Networking Conference,January 9-12, 2016, Las Vegas, NV, USA.New York： IEEE Communications Society, 2016： 1086-1091.

[18] MALIK N, CHANDRAMOULI J, SURESH P, et al.Using network traffic to verify mobile device forensic artifacts[C]//The 14th IEEE Annual Consumer Communications and Networking Conference, January 8-11, 2017, Las Vegas, NV, USA.Piscataway： IEEE Press, 2017： 114-119.

[19] VANRYKEL E, ACAR G, HERRMANN M, et al.Leaky birds：exploiting mobile application traffic for surveillance [C]// the 20th International Conference on Financial Cryptography and Data Security, February 22-26, 2016, Barbados.Heidelberg：Springer-Verlag, 2017： 367-384.

[20] VERDE N, ATENIESE G, GABRIELLI E, et al.No NAT’d user left behind： fingerprinting users behind NAT from NetFlow records alone[C]//The 34th IEEE International Conference on Distributed Computing Systems, June 30-July 3, 2014, Madrid, Spain.Washington： IEEE Computer Society, 2014： 218-227.

[21] PARK K, KIM H.Encryption is not enough： inferring user activities on KakaoTalk with traffic analysis[C]//The 16th International Workshop on Information Security Applications,August 20-22, 2015, Jeju Island, Korea.Heidelberg： Springer-Verlag, 2015： 254-265.

[22] SHAFIQ M, YU X Z, LOGHARI A, et al.WeChat text and picture messages service flow traffic classification using machine learning technique[C]//The 14th International Conference on Smart City, December 12-14, 2016, Sydney, Australia.[S.l.：s.n.], 2016.

[23] CONTI M, MANCINI L, SPOLAOR R, et al.Analyzing Android encrypted network traffic to identify user actions [J].IEEE Transactions on Information Forensics and Security, 2016,11(1)： 114-25.

[24] FU Y J, XIONG H, LU X J, et al.Service usage classification with encrypted Internet traffic in mobile messaging apps [J].IEEE Transactions on Mobile Computing, 2016, 15(11)：2851-2864.

[25] WANG Q L, YAHYAVI A, KEMME B, et al.I know what you did on your smartphone： inferring app usage over encrypted data traffic[C]//The 2015 IEEE Conference on Communications and Network Security, September 28-30, 2015, Florence, Italy.New York： IEEE Communications Society, 2015： 433-441.

[26] H.KUZUNO AND S.Tonami.Signature generation for sensitive information leakage in Android applications[C]//The 29th IEEE International Conference on Data Engineering, April 8-12,2013, Brisbane, Australia.Washington： IEEE Computer Society,2013： 112-119.

[27] REN J, RAO A, LINDORFER M, et al.ReCon： revealing and controlling PII leaks in mobile network traffic[C]//The 14th Annual International Conference on Mobile Systems, Applications, and Services, June 26-30, 2016, Singapore.New York：ACM Press, 2016： 361-374.

[28] RAO A, MOLAVI KAKHKI A, RAZAGHPANAHS A, et al.Using the middle to meddle with mobile [R].2012.

[29] LE A, VARMARKEN J, LANGHOFF S, et al.AntMonitor： a system for monitoring from mobile devices[C]//2015 ACM SIGCOMM Workshop on Crowdsourcing and Crowdsharing of Big (Internet) Data, August 17-21, 2015, London, UK.New York： ACM Press, 2015： 15-20.

[30] SONG Y, HENGARTNER U.PrivacyGuard： a VPN-based platform to detect information leakage on Android devices[C]//The 5th Annual ACM CCS Workshop on Security and Privacy in Smartphones and Mobile Devices, October 12, 2015, Denver,USA.New York： ACM Press, 2015： 15-26.

[31] ENCK W, GILBERT P, CHUN B G, et al.TaintDroid： an information-flow tracking system for realtime privacy monitoring on smartphones[C]//The 9th USENIX Symposium on Operating Systems Design and Implementation, October 4-6, 2010, Vancouver, Canada.Berkeley： USENIX Association, 2010：393-407.

[32] CONTINELLA A, FRATANTONIO Y, LINDORFER M, et al.Obfuscation-resilient privacy leak detection for mobile apps through differential analysis[C]//The 2017 Network and Distributed System Security Symposium, February 26-March 1,2017, San Diego, USA.Reston： Internet Society, 2017.

[33] BARBERA M, EPASTO A, MEI A, et al.Signals from the crowd： Uncovering social relationships through smartphone probes[C]//The 2013 ACM SIGCOMM Internet Measurement Conference, October 23-25, 2013, Barcelona, Spain.New York：ACM Press, 2013： 265-276.

[34] LI H , XU Z , ZHU H , et al.Demographics Inference through WI-FI network traffic analysis [C]//The 35th IEEE International Conference on Computer Communications, April 10-15, 2016,San Francisco, USA.Piscataway： IEEE Press, 2016： 1-9.

[35] HUSTED N, MYERS S.Mobile location tracking in metro areas： Malnets and others[C]//The 17th ACM Conference on Computer and Communications Security, October 4-8, 2010,Chicago, USA.New York： ACM Press, 2010： 85-96.

[36] MUSA A, ERIKSSON J.Tracking unmodified smartphones using Wi-Fi monitors[C]//The 10th ACM Conference on Embedded Networked Sensor Systems, November 6-9, 2012, Toronto, Canada.New York： ACM Press, 2012： 281-294.

[37] LEE S, PARK J, LEE H, et al.A study on smart-phone traffic analysis[C]//The 13th Asia-Pacific Network Operations and Management Symposium, September 21-23, 2011, Taipei, China.New York： IEEE Communications Society, 2011： 177-183.

[38] YAO H, RANJAN G, TONGAONKAR A, et al.SAMPLES：self adaptive mining of persistent LExical Snippets for classifying mobile application traffic[C]//The 21th Annual International Conference on Mobile Computing and Networking, September 7-11,2015, Paris, France.New York： ACM Press, 2015： 439-451.

[39] TAYOR V, SPOLAOR R, CONTI M, et al.AppScanner： automatic fingerprinting of smartphone Apps from encrypted net-work traffic [C]//The 1st IEEE European Symposium on Security and Privacy, March 21-24, 2016, Saarbrucken, Germany.Piscataway： IEEE Press, 2016： 439-454.

[40] ALAN H, KAUR J.Can Android applications be identified using only TCP/IP headers of their launch time traffic[C]//The 9th ACM Conference on Security and Privacy in Wireless and Mobile Networks, July 18-20, 2016, Darmstadt, Germany.New York： ACM Press, 2016： 61-66.

[41] SU X, CHUAN M, TAN G.Smartphone dual defense protection framework： detecting malicious applications in Android markets[C]//The 8th International Conference on Mobile Ad-hoc and Sensor Networks, December 14-16, 2012, Chengdu,China.Washington： IEEE Computer Society, 2012： 153-160.

[42] WEI T E, MAO C H, JENG A B, et al.Android malware detection via a latent network behavior analysis[C]//The 11th IEEE International Conference on Trust, Security and Privacy in Computing and Communications, June 25-27, 2012, Liverpool,UK.Washington： IEEE Computer Society, 2012： 1251-1258.

[43] ZAMAN M, SIDDIQUI T, AMIN M, et al.Malware detection in Android by network traffic analysis[C]//The 1st International Conference on Networking Systems and Security, January 5-7,2015, Dhaka, Bangladesh.Piscataway： IEEE Press, 2015： 1-5.

[44] NARUDIN F, FEIZOLLAH A, ANUAR N, et al.Evaluation of machine learning classifiers for mobile malware detection [J].Soft Computing, 2016, 20(1)： 1-5.

[45] WANG S, CHEN Z, ZHANG L, et al.TrafficAV： an effective and explainable detection of mobile malware behavior using network traffic[C]//The 24th IEEE/ACM International Symposium on Quality of Service, June 20-21, 2016, Beijing, China.Piscataway： IEEE Press, 2016： 384-389.

[46] ARORA A, PEDDOJU S.Minimizing network traffic features for Android mobile malware detection[C]//The 18th International Conference on Distributed Computing and Networking,January 4-7, 2017, Hyderabad, India.New York： ACM Press,2017： 32.

[47] SHABTAI A, KANONOV U, ELOVICI Y, et al.“Andromaly”： a behavioral malware detection framework for Android devices [J].Journal of Intelligent Information Systems, 2012, 38(1)： 161-190.

[48] SHABTAI A, TENENBOIM-CHEKINA L, MIMRAN D, et al.Mobile malware detection through analysis of deviations in application network behavior [J].Computers & Security, 2014,43(6)： 1-18.

[49] 汪來富, 金華敏, 劉東鑫, 等.面向網(wǎng)絡(luò)大數(shù)據(jù)的安全分析技術(shù)應(yīng)用[J].電信科學(xué), 2017, 33(3)： 112-118.WANG L F, JIN H M, LIU D X, et al.Application of security analysis technology for network big data[J].Telecommunications Science, 2017, 33(3)： 112-118.

[50] 姜紅紅, 張濤, 趙新建, 等.基于大數(shù)據(jù)的電力信息網(wǎng)絡(luò)流量異常檢測機制[J].電信科學(xué), 2017, 33(3)： 134-141.JIANG H H, ZHANG T, ZHAO X J, et al.A big data based flow anomaly detection mechanism of electric power information network[J].Telecommunications Science, 2017, 33(3)：134-141.

[51] 王帥, 汪來富, 金華敏, 等.網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用[J].電信科學(xué), 2015, 31(7)： 145-150.WANG S, WANG L F, JIN H M, SHEN J, et al.Big data application in network security analysis [J].Telecommunications Science, 2015, 31(7)： 145-150.

[52] 曹旭, 曹瑞彤.基于大數(shù)據(jù)分析的網(wǎng)絡(luò)異常檢測方法[J].電信科學(xué), 2014, 30(6)： 152-156.CAO X, CAO R T.Network anomaly prediction method based on big data [J].Telecommunications Science, 2014, 30(6)：152-156.

[53] NASR M, HOUMANSADR A, MAZUMDAR A.Compressive traffic analysis： a new paradigm for scalable traffic analysis [C]//The 2017 ACM Conference on Computer and Communications Security, October 30-November 3, 2017, Dallas, USA.New York： ACM Press, 2017： 2053-2069.