Detection of Traffic Initiated by Mobile Malware Targeting Android Devices in 3GPP Networks = Erkennung von durch mobile Schadsoftware erzeugtem Datenverkehr von Android Geräten in 3GPP Netzwerken
2017
Dissertation, RWTH Aachen University, 2017
Veröffentlicht auf dem Publikationsserver der RWTH Aachen University
Genehmigende Fakultät
Fak01
Hauptberichter/Gutachter
;
Tag der mündlichen Prüfung/Habilitation
2017-05-24
Online
DOI: 10.18154/RWTH-2017-07101
URL: http://publications.rwth-aachen.de/record/697470/files/697470.pdf
URL: http://publications.rwth-aachen.de/record/697470/files/697470.pdf?subformat=pdfa
Einrichtungen
Inhaltliche Beschreibung (Schlagwörter)
Android malware (frei) ; mobile malware (frei) ; short messages (frei) ; dynamic analysis static analysis (frei) ; social analysis (frei) ; blacklisting (frei) ; 3GPP networks (frei) ; supervised machine learning (frei) ; classification (frei)
Thematische Einordnung (Klassifikation)
DDC: 004
Kurzfassung
Android-Geräte gehören zu den beliebtesten mobilen Geräten sowohl im geschäftlichen als auch im privaten Leben. Die meisten davon sind durchgehend eingeschaltet und bieten Funktionalitäten über die eines klassischen Rechners hinaus. Diese Eigenschaften, sowie die vielen auf dem Handy gespeicherten sensiblen Informationen, machen das Handy zu einem attraktiven Ziel für Autoren von mobiler Schadsoftware. Darüber hinaus sind die derzeitigen netzwerkbasierten Angriffserkennungssysteme zwar sehr effektiv bei der Erkennung vom schädlichem IP-basierten Datenverkehr, können aber noch nicht Schadsoftware über Mobilfunk-spezifische Daten erkennen, obwohl diese häufig von mobiler Schadsoftware missbraucht werden.Trotz der zunehmenden Schwierigkeit der Analyse von mobiler Schadsoftware war es unser Ziel, die Beziehungen zwischen mobilen Schadsoftware-Samples und Trends in diesem Bereich besser zu verstehen. Für diesen Zweck haben wir verschiedene Analysen von großen Mengen von Android Schadsoftware-Samples durchgeführt. Neben anderen Ergebnissen zeigen wir eine chronologische quantitative Analyse von Android Schadsoftware-Samples, die verschiedene Verschleierungsmethoden anwenden, und wir untersuchen Beziehungen zwischen Samples, die typischerweise SMS-Nachrichten versenden. Diese Untersuchung hilft uns zu verstehen, wie die klassischen, durch mobile Schadsoftware erzeugten SMS-Nachrichten aussehen, und sogar die Anzahl von Autoren der obengenannten mobilen Schadsoftware abzuschätzen.Diese Arbeit stellt drei Innovationen im Bereich der Erkennung von mobiler Schadsoftware vor. Eine neue Architektur namens 3GPP Mobile Malware Protection (3GPPMOP) befindet sich im Kernnetz eines derzeit betriebenen 3GPP-Netzwerks, wie z. B. 2G, 3G oder 4G, und erkennt mobile Schadsoftware für beliebige mobile Geräte in Echtzeit. Die zweite Innovation, eine sehr platzsparende Blacklist (HSEB), optimiert anstatt der Bearbeitungszeit den Speicherplatz der für die Speicherung von Einträgen in der Blacklist benötigt wird. Die HSEB zeigt sich für die Verwaltung des in mobilen Netzwerken verarbeiteten Volumens an Datenverkehr von entscheidender Bedeutung. Schließlich zeigen wir, wie die durch mobile Schadsoftware erzeugten noch unbekannten SMS-Nachrichten mit überwachtem maschinellen Lernen erfolgreich entdeckt werden können.Android devices have become the most popular of mobile devices; omnipresent in both business and private use. They are virtually always on and offer functionalities exceeding those of desktop computers. These properties, as well as sensitive information stored on Android devices, render them an attractive target for mobile malware authors. As the volume of mobile malware increases, analysis is becoming challenging and, sometimes, infeasible. Additionally, current network-based intrusion detection systems are very efficient at detecting malicious IP-based traffic, but often lack functionalities for detecting circuit-switched traffic often (mis)used by mobile malware.Recognizing the increasing difficulty of analyzing mobile malware, we sought to understand trends and relationships between mobile malware samples. We conducted various analyses of large volumes of Android malware samples. Among other outcomes, we provide a chronological quantitative analysis of Android malware samples depicting the usage of obfuscation techniques and map relationships among samples known to initiate short messages. The latter analysis helped us to understand the typical traffic pattern in short messages and even the number of authors responsible for mobile malware initiating short messages.This thesis introduces three innovations in the detection of mobile malware. A new architecture, called 3GPP Mobile malware Protection (3GPPMOP), is designed to reside in the core network of any currently operated 3GPP network such as 2G, 3G and 4G network and to detect mobile malware targeting any mobile device in near real-time. The second innovation, the highly space efficient blacklist (HSEB), optimizes the space needed to store entries in the blacklist, rather than optimizing processing time, which is of critical value for managing the volume of filtered traffic processed in mobile networks. Finally, we employ supervised machine learning to successfully detect yet unknown short messages initiated by Android malware.
OpenAccess: PDF
PDF (PDFA)
(additional files)
Dokumenttyp
Dissertation / PhD Thesis
Format
online
Sprache
English
Externe Identnummern
HBZ: HT019417910
Interne Identnummern
RWTH-2017-07101
Datensatz-ID: 697470
Beteiligte Länder
Germany