發(fā)布時間：2020-08-17 10:57

【摘要】：隨著移動互聯(lián)網(wǎng)時代的到來,移動智能終端快速發(fā)展。海量的移動應用為用戶提供便利的同時,也帶來諸多安全與隱私問題。其中,由移動應用中嵌入的廣告導致的安全和隱私問題日漸凸顯。移動應用廣告是大部分開發(fā)者的主要收入來源,支撐著市場上66%以上應用軟件的免費運營。由移動廣告生態(tài)中的參與者不規(guī)范活動引入的廣告欺詐、惡意廣告內(nèi)容和廣告庫漏洞等安全問題,嚴重影響了廣告生態(tài)系統(tǒng)的健康發(fā)展。因此,移動應用廣告安全分析成為了當前的研究熱點。移動應用廣告(Mobile Advertising)生態(tài)系統(tǒng)主要包括應用開發(fā)者、廣告平臺、廣告商和用戶四個角色。其中,廣告平臺提供廣告庫(又稱為SoftwareDevelopmentKit,SDK),開發(fā)者將廣告庫嵌入到宿主應用中,廣告商向廣告平臺投放廣告內(nèi)容,用戶打開宿主應用,廣告庫加載展示廣告內(nèi)容。前三個角色是廣告的生產(chǎn)者,在廣告產(chǎn)生的過程中引入了安全風險,導致三個安全問題:(1)開發(fā)者由于不規(guī)范使用廣告庫引入廣告欺詐(Ad Fraud)安全問題,其通過使用技巧或者欺詐方式制造非用戶意愿的廣告展示或者點擊,從而獲取更多廣告收入,導致廣告商蒙受經(jīng)濟損失以及嚴重影響用戶體驗;(2)廣告商投放惡意廣告(Malicious Advertisement,也稱為Malvertising)內(nèi)容,如色情、賭博圖片和惡意鏈接及文件等,導致惡意應用的廣泛傳播以及用戶利益受損;(3)廣告平臺提供的廣告庫代碼中存在安全問題,主要包括過度收集用戶隱私數(shù)據(jù)和權限濫用等惡意行為,以及由于不安全編碼原因導致缺陷漏洞,導致用戶隱私泄露嚴重以及移動應用受攻擊面增加。不同于傳統(tǒng)的Web廣告(WebAdvertising),移動廣告具有很多新特性,例如運行于宿主應用中,共享宿主權限等。因而,傳統(tǒng)的Web廣告安全分析方法不能簡單的移植到移動廣告的安全分析中。盡管當前很多研究工作關注于移動廣告生態(tài)系統(tǒng)的安全和隱私問題,然而仍然存在著很多研究挑戰(zhàn):(1)在廣告欺詐問題上,相關研究關注較為簡單的點擊欺詐(Click Fraud)和靜態(tài)放置型欺詐(Static Placement Fraud),無法處理更為復雜的新型廣告欺詐,例如動態(tài)交互式欺詐(Dynamic Interactive Fraud)等。此外,目前學術界的靜態(tài)放置型欺詐研究主要面向Windows Phone平臺,不能簡單的移植到Android平臺;(2)在惡意廣告內(nèi)容問題上,廣告內(nèi)容包含廣告展示內(nèi)容(組成廣告的圖片和腳本)和廣告?zhèn)鞑��?nèi)容(點擊廣告后跳轉的鏈接或下載的應用)兩個部分,但現(xiàn)有的研究大部分關注廣告?zhèn)鞑��?nèi)容,忽略了廣告展示內(nèi)容的安全和欺詐行為;(3)在廣告庫安全問題上,針對廣告庫隱私泄露和權限濫用等惡意行為的研究較為豐富,而廣告庫漏洞相關的研究相對較少,特別是面向大規(guī)模應用的廣告庫漏洞傳播和分布情況研究。本論文的目標是在現(xiàn)有研究基礎上,全面深入地研究移動應用廣告生態(tài)系統(tǒng)中存在的三個主要安全問題,構建移動應用廣告生態(tài)系統(tǒng)安全分析平臺。首先,為了檢測新型廣告欺詐,本論文提出基于動態(tài)界面轉移圖的新型廣告欺詐檢測方法。該方法通過新型自動化測試技術生成應用動態(tài)界面轉移圖來記錄應用行為,使用廣告函數(shù)調用棧技術識別界面中廣告行為,將廣告欺詐形式化為啟發(fā)式規(guī)則,與動態(tài)界面轉移圖中的廣告行為匹配,檢測廣告欺詐行為。其次,為了分析廣告展示內(nèi)容中的惡意廣告內(nèi)容,本論文提出大規(guī)模移動應用惡意廣告內(nèi)容分析方法。所提方法結合廣告欺詐分析中自動化測試方法來觸發(fā)廣告流量,基于機器學習的廣告流量識別方法從流量中提取廣告圖片、文本和傳播的鏈接等廣告展示內(nèi)容和傳播內(nèi)容,隨后集成圖像識別、OCR和病毒引擎等方法檢測色情、賭博和惡意鏈接等惡意廣告內(nèi)容。為了研究大規(guī)模應用中廣告庫漏洞的傳播與分布情況,本論文提出細粒度廣告庫識別及漏洞傳播分析方法。該方法通過細粒度廣告庫識別技術,識別大規(guī)模應用中使用的廣告庫及對應的細粒度版本,隨后檢測每個版本廣告庫中存在的安全漏洞,通過版本漏洞映射,分析大規(guī)模應用中廣告庫漏洞傳播與分布情況。本論文的主要貢獻總結如下:一,針對開發(fā)者不規(guī)范使用廣告庫引入的廣告欺詐安全問題,提出基于動態(tài)界面轉移圖的新型廣告欺詐檢測方法。首先,本論文依據(jù)廣告相關法律法規(guī)和廣告庫使用規(guī)范,首次對移動應用廣告欺詐行為進行分類,并發(fā)現(xiàn)五類新型動態(tài)交互式廣告欺詐。其次,針對廣告自動化測試準確性和效率問題,提出動態(tài)界面轉移圖和廣告優(yōu)先遍歷策略,將應用廣告測試效率提高41.6倍(216秒vs2.5小時)。針對廣告控件識別的準確性問題,提出基于廣告函數(shù)調用棧廣告控件識別技術,將識別的準確率提高到93.36%。最后,將基于動態(tài)界面轉移圖的新型廣告欺詐檢測方法應用于12000個包含不同廣告平臺的應用中,發(fā)現(xiàn)335個廣告欺詐應用。實驗結果表明,方法能夠準確的檢測大規(guī)模應用中的廣告欺詐行為。此外,實驗中發(fā)現(xiàn)廣告欺詐行為廣泛存在于廣告平臺和應用市場中,需要引起更多的關注和安全投入。二,針對惡意廣告的內(nèi)容安全問題,提出大規(guī)模移動應用惡意廣告內(nèi)容分析方法。首先,除了現(xiàn)有的廣告?zhèn)鞑��?nèi)容安全分析,該方法還首次針對廣告展示內(nèi)容進行安全分析,并發(fā)現(xiàn)一系列新型安全威脅,包括新型關閉誘導欺詐,以及色情和賭博等惡意廣告內(nèi)容。針對新型關閉誘導欺詐問題,提出基于物體識別的檢測方法,構建相應的標準數(shù)據(jù)集。最后,將大規(guī)模移動應用惡意廣告內(nèi)容分析方法應用于36000個包含52個主流廣告平臺的應用中,發(fā)現(xiàn)1399(3.89%)個包含惡意廣告內(nèi)容的應用。研究結果表明惡意廣告內(nèi)容問題廣泛存在于廣告平臺,并且具有動態(tài)產(chǎn)生、根據(jù)用戶畫像推送等特點,使其難以檢測,嚴重影響了廣告生態(tài)系統(tǒng)的安全性,廣告平臺需要加強對廣告內(nèi)容,特別是廣告展示內(nèi)容的審核。三,針對廣告庫引入的安全漏洞問題,提出細粒度廣告庫識別及漏洞傳播分析方法。首先,本論文提出細粒度廣告庫識別方法,用模糊哈希樹技術提取版本級別的廣告庫特征,經(jīng)過聚類,識別大規(guī)模應用中廣告庫版本集群。其次,針對廣告庫版本識別的挑戰(zhàn),提出基于動態(tài)流量版本特征的版本識別方法,突破了現(xiàn)有方法依賴官方SDK匹配的局限性,提高識別準確率。最后,基于版本識別與漏洞版本映射相結合的方法進行大規(guī)模應用廣告庫漏洞傳播分析。不同于傳統(tǒng)的漏洞掃描方法,基于版本識別與漏洞版本映射結合的漏洞傳播分析方法無需掃描每個應用,每個廣告庫版本集群中僅檢測一個應用,大大減少漏洞分析的樣本輸入,將時間效率提高31.33倍(16.6小時vs520.05小時)。實驗結果表明,86.67%的廣告庫版本存在安全漏洞,87.3%(9080/10401)的應用中存在廣告庫漏洞,并且81.72%(7420/9080)應用由于使用舊版本廣告庫而存在安全漏洞。廣告平臺應當加強廣告庫漏洞方面安全,應用開發(fā)者應當及時更新應用中的廣告庫版本,以降低應用受漏洞攻擊的風險。
【學位授予單位】：北京郵電大學
【學位級別】：博士
【學位授予年份】：2018
【分類號】：TP309
【圖文】：

圖１－丨移動應用廣告生態(tài)系統(tǒng)組成及其運行機制逡逑移動應用廣告作為大部分開發(fā)者主要收入來源，支撐著應用市場中６６％的應用Ｗ逡逑

全屏廣告（Ｆｕｌｌ－ｓｃｒｅｅｎ）、信息流廣告（ＮａｔｉｖｅＩｎ－ｆｅｅｄ）和視頻廣告（Ｖｉｄｅｏ）等類型，逡逑每個類型的廣告具有不同的特征，適用于不同的展示場景，通過不同形式的廣告，可逡逑以提升用戶與廣告交互的體驗。圖２－１展示了橫幅廣告、插屏廣告和全屏廣告示例。逡逑１１逡逑

巧導致的廣告欺詐行為更為復雜和難以檢測，根據(jù)目前研究所知，還沒有與之相關的逡逑研究。本論文將這類欺詐行為定義為動態(tài)交互式欺詐（Ｄｙｎａｍｉｃ邋Ｉｎｔｅｒａｃｔｉｖｅ邋Ｆｒａｕｄ），并逡逑對其進行深入研究。圖３－１為一個典型的動態(tài)交互式欺詐樣例，右圖用戶點擊退出應逡逑用（包名：ｃｏｍ．ａｎｄｒｏｉｄ．ｙａｔｒｅｅ．ｔａｉｊｉａｏｍｕｓｉｃ）后，廣告控件突然彈出，并覆蓋在交互框逡逑２８逡逑

【相似文獻】

相關期刊論文 前10條

1 王紅梅;;淺談移動應用安全[J];信息系統(tǒng)工程;2017年12期

2 宋杰;李文虎;吳思源;;移動應用安全態(tài)勢及發(fā)展趨勢探析[J];中國交通信息化;2018年05期

3 Tnooz;孫淑華;;移動旅行時代來臨 移動應用助推旅游業(yè)發(fā)展[J];中國會展(中國會議);2017年02期

4 劉玉石;;淺談油田移動應用平臺建設[J];中國管理信息化;2017年04期

5 趙永國;張詩軍;;電力行業(yè)移動應用安全體系關鍵技術研究[J];電力信息與通信技術;2017年03期

6 胡吉;;善守者,敵不知其所攻 盛邦安全首推移動應用防火墻“幻影”[J];信息安全與通信保密;2016年07期

7 鄒煜;;企業(yè)級移動應用平臺建設與安全保障體系探析[J];網(wǎng)絡空間安全;2016年06期

8 胡兵;;企業(yè)移動應用的設計及實踐[J];信息技術與標準化;2014年12期

9 李璐;;移動應用安全:需要警察,也需要保鏢[J];通信世界;2015年02期

10 葉純青;;移動應用的發(fā)展之路[J];金融科技時代;2015年03期

相關會議論文 前10條

1 ;中國移動應用安全服務行業(yè)白皮書 2017年[A];艾瑞咨詢系列研究報告（2017年第11期）[C];2017年

2 ;中國母嬰移動應用行業(yè)研究報告 2015年[A];艾瑞咨詢系列研究報告（2016年第2期）[C];2016年

3 李建強;劉水生;;江蘇煙草商業(yè)企業(yè)級移動應用平臺研究與設計[A];中國煙草學會2014年學術年會入選論文摘要匯編[C];2014年

4 劉寧星;;關于博物館開發(fā)少兒移動應用的調研和思考[A];融合·創(chuàng)新·發(fā)展——數(shù)字博物館推動文化強國建設——2013年北京數(shù)字博物館研討會論文集[C];2013年

5 ;中國移動應用廣告平臺市場研究報告簡版[A];艾瑞咨詢系列研究報告（2015年第3期）[C];2015年

6 李昆侖;;利用智能管道技術構建全新移動應用超市平臺[A];2013年中國通信學會信息通信網(wǎng)絡技術委員會年會論文集[C];2013年

7 榮蓉;吳文p

本文編號：2795232