謝麗霞，王　沖

（中國(guó)民航大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津　300300）

移動(dòng)蜜罐MHP的設(shè)計(jì)和實(shí)現(xiàn)

謝麗霞，王沖

（中國(guó)民航大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津300300）

針對(duì)移動(dòng)終端惡意軟件泛濫的現(xiàn)狀，提出一種誘騙、捕獲、分析惡意軟件的移動(dòng)蜜罐（mobile honey pot，MHP）技術(shù)。MHP包含3個(gè)核心模塊，環(huán)境欺騙模塊構(gòu)造出具有誘騙性的安全資源；惡意行為捕獲模塊通過(guò)監(jiān)聽(tīng)通信端口、掃描系統(tǒng)內(nèi)存、識(shí)別敏感權(quán)限來(lái)捕獲惡意行為；惡意數(shù)據(jù)分析模塊分析捕獲數(shù)據(jù)，識(shí)別和定位安全威脅的類型和根源。結(jié)果表明：MHP可有效地捕獲和識(shí)別惡意行為并適于在移動(dòng)終端部署應(yīng)用。

惡意行為；移動(dòng)蜜罐；欺騙環(huán)境；行為捕獲

隨著無(wú)線網(wǎng)絡(luò)的普及和移動(dòng)智能終端集成功能的增多，移動(dòng)智能終端面臨越來(lái)越多的安全威脅。2004年出現(xiàn)第一個(gè)手機(jī)病毒Cabir，在塞班操作系統(tǒng)上通過(guò)手機(jī)藍(lán)牙傳播[1]。Dunham[2]定義了移動(dòng)設(shè)備可能遇到的安全威脅，如Ad/Spyware、Bluebug、BlueChop、Denial-of-Services（DoS）、Trojan等。傳統(tǒng)的安全防御技術(shù)主要為防火墻、入侵檢測(cè)、蜜罐技術(shù)。相比入侵檢測(cè)和防火墻，蜜罐技術(shù)可以提供更為主動(dòng)的防御手段。Honeynet project創(chuàng)始人Lance Spitzner對(duì)蜜罐的定義是：一種安全資源，其價(jià)值在于被探測(cè)、掃描和攻擊[3]。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)其實(shí)施攻擊，從而達(dá)到對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具和方法，推測(cè)攻擊意圖與動(dòng)機(jī)，能夠讓防御方清晰地了解所面對(duì)的安全威脅，并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

本文針對(duì)移動(dòng)智能終端平臺(tái)安全威脅的蜜罐技術(shù)研究與開(kāi)發(fā)具有滯后性[4]，基于移動(dòng)智能終端平臺(tái)研究，設(shè)計(jì)并實(shí)現(xiàn)移動(dòng)蜜罐，通過(guò)構(gòu)建欺騙環(huán)境誘捕惡意軟件攻擊，再通過(guò)仿真網(wǎng)絡(luò)服務(wù)、分析系統(tǒng)內(nèi)存、獲取應(yīng)用權(quán)限信息,捕獲其惡意行為，最后分析惡意行為應(yīng)用的意圖與特點(diǎn)，提示用戶移動(dòng)終端存在的安全威脅，提高用戶的安全意識(shí)。

1　相關(guān)研究

蜜罐技術(shù)最早用于PC端的安全防御。早期蜜罐工具DTK通過(guò)提供欺騙性服務(wù)監(jiān)聽(tīng)網(wǎng)絡(luò)端口[5]。蜜罐獨(dú)特的優(yōu)勢(shì)如：①數(shù)據(jù)價(jià)值高，訪問(wèn)蜜罐的數(shù)據(jù)是由攻擊者發(fā)出的，可以認(rèn)為蜜罐收到的數(shù)據(jù)都是攻擊數(shù)據(jù)，可見(jiàn)蜜罐的數(shù)據(jù)價(jià)值比其他方法收集到的數(shù)據(jù)要高很多；②使用簡(jiǎn)單，管理員只需將蜜罐部署在網(wǎng)絡(luò)中的某個(gè)區(qū)域，然后定期記錄和分析產(chǎn)生的數(shù)據(jù)即可；③資源占用少，蜜罐自身不提供真實(shí)服務(wù)，因此數(shù)據(jù)流量比防火墻和入侵檢測(cè)系統(tǒng)相比也少得多。同時(shí)蜜罐技術(shù)也有指紋識(shí)別、視野有限和風(fēng)險(xiǎn)較高等缺點(diǎn)。Provos[6]開(kāi)發(fā)了Honeyd軟件，通過(guò)構(gòu)建虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、模擬網(wǎng)絡(luò)協(xié)議與在協(xié)議棧指紋特征上偽裝成特定的操作系統(tǒng)，實(shí)施對(duì)攻擊者的欺騙。隨著移動(dòng)智能終端的快速發(fā)展，對(duì)新平臺(tái)安全威脅進(jìn)行監(jiān)測(cè)與分析的蜜罐技術(shù)得到了一定的關(guān)注。早期移動(dòng)蜜罐的關(guān)注點(diǎn)在藍(lán)牙通信[7-8]，當(dāng)前移動(dòng)蜜罐重點(diǎn)在于檢測(cè)移動(dòng)設(shè)備的惡意軟件[9-10]。Mulliner等[11]首次提出將蜜罐技術(shù)應(yīng)用在移動(dòng)設(shè)備上。Wahlishch等[12-13]從無(wú)線網(wǎng)絡(luò)的快速發(fā)展分析移動(dòng)蜜罐的發(fā)展前景。Oconnor[14]提出能夠仿真手機(jī)藍(lán)牙、GPS和WIFI的虛擬蜜罐軟件HoneyM。HoneyM由Python語(yǔ)言開(kāi)發(fā)，適用于蘋(píng)果IOS操作系統(tǒng)，支持軟件復(fù)用，交互性較低。Collin[15]針對(duì)安卓平臺(tái)，通過(guò)硬件的模擬仿真設(shè)計(jì)Honeydroid。Honeydroid不支持軟件復(fù)用，交互性較高[15]。移動(dòng)蜜罐MHP具有高移動(dòng)設(shè)備適用性、高擴(kuò)展性和高可見(jiàn)性，是未來(lái)蜜罐技術(shù)的發(fā)展方向。

2　MHP設(shè)計(jì)

根據(jù)蜜罐運(yùn)行的核心機(jī)制，本文提出的移動(dòng)蜜罐MHP由3個(gè)核心模塊組成：環(huán)境欺騙模塊、惡意行為捕獲模塊和惡意行為分析模塊。

環(huán)境欺騙模塊通過(guò)強(qiáng)制關(guān)閉查毒軟件，暴露移動(dòng)終端的系統(tǒng)資源吸引惡意程序?qū)ζ溥M(jìn)行攻擊；惡意行為捕獲模塊通過(guò)監(jiān)聽(tīng)通信端口、掃描系統(tǒng)內(nèi)存、識(shí)別敏感權(quán)限來(lái)捕獲應(yīng)用惡意行為；惡意行為分析模塊分析捕獲的可疑數(shù)據(jù)，識(shí)別、定位惡意應(yīng)用程序。本文提出的MHP整體架構(gòu)，如圖1所示。

圖1　MHP架構(gòu)Fig.1　MHP architecture

2.1環(huán)境欺騙模塊

MHP的環(huán)境欺騙模塊用于構(gòu)造出具有誘騙性的安全資源，吸引惡意程序?qū)ζ溥M(jìn)行探測(cè)、攻擊和利用。環(huán)境欺騙模塊的主要實(shí)現(xiàn)方式為：真實(shí)系統(tǒng)搭建和模擬仿真。真實(shí)系統(tǒng)搭建可以較容易地構(gòu)造出具有誘騙性的環(huán)境，交互性較高；模擬仿真通過(guò)第三方應(yīng)用構(gòu)造出誘騙性的系統(tǒng)環(huán)境，交互性較低，因此，根據(jù)交互性蜜罐分為高交互蜜罐和低交互蜜罐。MHP通過(guò)模擬仿真網(wǎng)絡(luò)協(xié)議和系統(tǒng)內(nèi)存的方式構(gòu)造欺騙環(huán)境，達(dá)到跟真實(shí)系統(tǒng)一樣的效果。仿真協(xié)議負(fù)責(zé)偵聽(tīng)各個(gè)端口的惡意連接，根據(jù)各自協(xié)議的要求提供對(duì)應(yīng)接口。MHP支持惡意軟件傳播的多種方式，如FTP、HTTP和TELNET等。環(huán)境欺騙模塊中也可添加更多的協(xié)議，如HTTPS和SSH，其模塊設(shè)計(jì)流程如圖2所示。

圖2　環(huán)境欺騙模塊設(shè)計(jì)流程Fig.2　Design process of fraudulent environment module

2.2惡意行為捕獲模塊

惡意行為捕獲模塊是MHP的重要模塊。該模塊由3個(gè)線程組成：線程1通過(guò)服務(wù)協(xié)議的仿真來(lái)捕獲有安全威脅的應(yīng)用，仿真的服務(wù)協(xié)議包括FTP、HTTP和TELNET，Android底層使用Linux內(nèi)核，通過(guò)指令獲取系統(tǒng)運(yùn)行中應(yīng)用的端口號(hào)、服務(wù)名稱等信息，將獲取的信息存入模擬服務(wù)數(shù)據(jù)表中；線程2主要捕獲DOS攻擊，惡意行為捕獲模塊通過(guò)周期訪問(wèn)系統(tǒng)內(nèi)存，獲取內(nèi)存占用情況，將內(nèi)存占用信息存入內(nèi)存使用數(shù)據(jù)表中；線程3捕獲惡意軟件的權(quán)限信息。通過(guò)周期掃描手機(jī)已安裝應(yīng)用程序的權(quán)限信息，查看是否有敏感權(quán)限，將獲取的敏感權(quán)限信息存入敏感權(quán)限數(shù)據(jù)表，最后將模擬服務(wù)數(shù)據(jù)表、內(nèi)存使用數(shù)據(jù)表、敏感權(quán)限數(shù)據(jù)表中的數(shù)據(jù)同步到安全威脅數(shù)據(jù)庫(kù)。惡意行為捕獲模塊的設(shè)計(jì)流程，如圖3所示。

2.3惡意行為分析模塊

惡意行為分析模塊識(shí)別、分析可疑數(shù)據(jù)并定位安全威脅。惡意行為分析模塊的數(shù)據(jù)來(lái)源為安全威脅數(shù)據(jù)庫(kù)中的模擬服務(wù)數(shù)據(jù)表、內(nèi)存使用數(shù)據(jù)表和敏感權(quán)限數(shù)據(jù)表。惡意行為分析模塊的設(shè)計(jì)流程，如圖4所示。目前，惡意軟件一般通過(guò)網(wǎng)絡(luò)協(xié)議傳播，所以在該模塊中通過(guò)查詢模擬服務(wù)數(shù)據(jù)表確定應(yīng)用對(duì)應(yīng)的網(wǎng)絡(luò)端口，結(jié)合用戶當(dāng)前的操作判定存在惡意服務(wù)的應(yīng)用。在內(nèi)存使用數(shù)據(jù)表中通過(guò)查看限定時(shí)間內(nèi)應(yīng)用程序內(nèi)存占用情況，判定是否發(fā)生DOS攻擊。在敏感權(quán)限數(shù)據(jù)表中通過(guò)獲取應(yīng)用的權(quán)限信息，并使用Wxshall算法檢測(cè)用戶敏感數(shù)據(jù)，判定應(yīng)用是否有惡意權(quán)限行為。最終將分析結(jié)果反饋給用戶，提高用戶的安全意識(shí)。Wxshall算法步驟，如表1所示。

圖3　惡意行為捕獲模塊設(shè)計(jì)流程Fig.3　Design process of malicious behavior capture module

圖4　惡意行為分析模塊設(shè)計(jì)流程Fig.4　Design process of malicious behavior analyzing module

表1　Wxshall算法Tab.1　Wxshall algorithm

3　MHP的實(shí)現(xiàn)

在Eclipse環(huán)境下使用Java編程實(shí)現(xiàn)MHP原型系統(tǒng)。Android的4層體系結(jié)構(gòu)中，上一層的實(shí)現(xiàn)依賴下一次的支持，下一層也為上一層的實(shí)現(xiàn)奠定基礎(chǔ)，如圖5所示。

圖5　Android架構(gòu)Fig.5　Android architecture

本文設(shè)計(jì)實(shí)現(xiàn)MHP的3個(gè)核心模塊為環(huán)境欺騙模塊、惡意行為捕獲模塊和惡意行為分析模塊，其對(duì)應(yīng)核心功能為MHP.serviceBasis、MHP.core和MHP. judge，模塊結(jié)構(gòu)如圖6所示。

圖6　MHP模塊結(jié)構(gòu)Fig.6　MHP module structure

環(huán)境欺騙模塊的核心類包括ConnectivityManager、HoneypotProtocol等；惡意行為捕獲模塊的核心類包括PackageManger、ActivityManager等；惡意行為分析模塊的核心類包括ShellcodeHandler、TansferLog等。

3.1環(huán)境欺騙模塊的實(shí)現(xiàn)

環(huán)境欺騙模塊用HoneypotProtocol類管理仿真協(xié)議和ProtocolProcessing類管理仿真協(xié)議。環(huán)境欺騙的具體實(shí)現(xiàn)步驟為：

1）通過(guò)Android系統(tǒng)提供的ConnectivityManager類獲取移動(dòng)設(shè)備目前的網(wǎng)絡(luò)狀態(tài)，若移動(dòng)設(shè)備未連接網(wǎng)絡(luò)則開(kāi)啟網(wǎng)絡(luò)連接。

2）通過(guò)Android系統(tǒng)提供的PackageManager類獲取已安裝的應(yīng)用程序的名稱、PID等，識(shí)別系統(tǒng)是否存在目前主流的殺毒軟件，若存在則通過(guò)Kill-9 PID指令強(qiáng)制關(guān)閉該應(yīng)用，構(gòu)造出欺騙性環(huán)境，其實(shí)現(xiàn)流程如圖7所示。

3.2惡意行為捕獲模塊的實(shí)現(xiàn)

惡意行為捕獲模塊后臺(tái)運(yùn)行3條線程。線程1啟動(dòng)時(shí)通過(guò)調(diào)用Android系統(tǒng)提供的PackageManager類獲取已安裝應(yīng)用的信息，周期執(zhí)行cat/pro/net/tcp指令，獲取21、23、80端口和對(duì)應(yīng)的UID信息，查詢應(yīng)用程序表確定應(yīng)用程序?qū)?yīng)的包名，將信息傳到應(yīng)用程序表中。線程2通過(guò)Android系統(tǒng)提供的ActivityManager. getRunningAPPProcessInfo（）獲取正在運(yùn)行的進(jìn)程ID，再通過(guò)ActivityManager.getProcessMemoryInfo（）獲取相應(yīng)進(jìn)程號(hào)的內(nèi)存占用情況，周期性獲取進(jìn)程的內(nèi)存信息，存入內(nèi)存使用數(shù)據(jù)表。線程3通過(guò)調(diào)用Android系統(tǒng)提供的PackageManger類中的getPackageInfo（）函數(shù)返回對(duì)象的requested Permission并查看應(yīng)用程序的權(quán)限信息，同時(shí)將權(quán)限信息存入權(quán)限信息表中。

圖7　欺騙環(huán)境模塊實(shí)現(xiàn)流程Fig.7　Realization process of fraudulent environment module

其核心代碼如下：

3.3惡意行為分析模塊的實(shí)現(xiàn)

惡意行為分析模塊通過(guò)ShellcodeManager類管理、提取惡意代碼的重要參數(shù)實(shí)現(xiàn)惡意行為的分析判定。TansferLog類負(fù)責(zé)將獲取到的安全威脅報(bào)告給用戶。線程1通過(guò)獲取用戶的任務(wù)棧，判斷應(yīng)用是否處于棧頂，若應(yīng)用處于棧頂，則為正常應(yīng)用程序；若不處于棧頂，則應(yīng)用為惡意程序。通過(guò)Android系統(tǒng)提供的ActivityManager的getMemoryInfo查看相鄰時(shí)間段應(yīng)用占用系統(tǒng)內(nèi)存的變化分析判定是否發(fā)生DOS攻擊。若短時(shí)間內(nèi)內(nèi)存占用增長(zhǎng)過(guò)快則可認(rèn)定發(fā)生了DOS攻擊。通過(guò)userPermissionName獲取應(yīng)用權(quán)限的詳細(xì)信息，并與權(quán)限信息表中的信息比對(duì)分析判定惡意權(quán)限。如果出現(xiàn)android.permission.READ_LOGS，android. permission.Brick，android.permission.DELETE_PACKAGS等權(quán)限，則判定應(yīng)用為惡意應(yīng)用。android.permission. READ_LOGS權(quán)限讀系統(tǒng)底層日志，良性軟件運(yùn)行均不需讀系統(tǒng)底層日志而且此權(quán)限可以獲取移動(dòng)設(shè)備的敏感信息。android.permission.Brick權(quán)限能夠禁用移動(dòng)設(shè)備，使移動(dòng)設(shè)備變成磚頭。android.permission. DELETE_PACKAGS權(quán)限允許程序刪除應(yīng)用。惡意行為分析模塊的實(shí)現(xiàn)流程，如圖8所示。

圖8　惡意行為分析模塊實(shí)現(xiàn)流程Fig.8　Implementation process of malicious behavior analysis module

4　測(cè)試與分析

為驗(yàn)證本文提出的MHP的有效性，構(gòu)建的測(cè)試環(huán)境如圖9所示。基于本文提出的MHP模型，采用J2SE技術(shù)設(shè)計(jì)并實(shí)現(xiàn)。以Android 4.0平臺(tái)為測(cè)試環(huán)境進(jìn)行軟件行為檢測(cè)，在該環(huán)境下部署了移動(dòng)手機(jī)、筆記本計(jì)算機(jī)、平板電腦等多種無(wú)線終端和移動(dòng)辦公設(shè)備，在其中的一臺(tái)Galaxy Nexus手機(jī)上部署MHP，在一臺(tái)筆記本的WindowsXP SP3系統(tǒng)中運(yùn)行多種惡意軟件。Galaxy Nexus手機(jī)的配置如下：

CPU：1.2GHz dual-core ARM Cortex-A9

OS：Android 4.2.2

Linux內(nèi)核：3.0.31

在測(cè)試試驗(yàn)中，通過(guò)運(yùn)行筆記本的惡意軟件對(duì)部署MHP的手機(jī)進(jìn)行滲透和攻擊。在試驗(yàn)過(guò)程中，Galaxy Nexus手機(jī)上的MHP發(fā)現(xiàn)并捕獲了絕大部分的惡意軟件攻擊行為。

圖9　MHP驗(yàn)證實(shí)驗(yàn)部署Fig.9　MHP deployment

MHP為用戶提供了多種服務(wù)選擇，如HTTP、Telnet、FTP、敏感授權(quán)、Dos攻擊發(fā)現(xiàn)等，如圖10所示。

圖10　MHP用戶選擇服務(wù)界面Fig.10　UI of MHP

MHP對(duì)惡意軟件的捕獲結(jié)果如圖11所示，其成功地檢測(cè)到3個(gè)HTTP惡意軟件、1個(gè)Telnet惡意軟件，發(fā)現(xiàn)1個(gè)敏感權(quán)限的應(yīng)用。

圖11　MHP運(yùn)行結(jié)果Fig.11　MHP running result

此外，在研究檢測(cè)攻擊有效性的同時(shí)也需要考慮MHP在移動(dòng)終端上的電量消耗情況，以便能有效利用手機(jī)的有限資源，滿足移動(dòng)終端應(yīng)用的低耗電量要求。使用PowerTuror[16]工具，對(duì)MHP、微信、QQ空間、360安全衛(wèi)士進(jìn)行了電池電量消耗檢測(cè)。在1 h內(nèi)，對(duì)上述4個(gè)應(yīng)用在同一個(gè)Galaxy Nexus手機(jī)上的電池電量消耗情況進(jìn)行了檢測(cè)和記錄，得到了幾款應(yīng)用的電池耗電量對(duì)比分析結(jié)果：MHP與其他幾款應(yīng)用相比具有較低的耗電量，表明MHP適用于在移動(dòng)終端部署并應(yīng)用，如圖12所示。

圖12　耗電量對(duì)比分析Fig.12　Power consumption analysis

5　結(jié)語(yǔ)

本文提出了一種MHP系統(tǒng)架構(gòu)，設(shè)計(jì)并實(shí)現(xiàn)了MHP的核心功能模塊及核心類和函數(shù)，并在實(shí)際環(huán)境中驗(yàn)證了MHP的適用性。通過(guò)與其他幾個(gè)主流蜜罐的對(duì)比可見(jiàn)，MHP具有高復(fù)用性、高移動(dòng)終端適用性和低交互性的特點(diǎn)，如表2所示。

表2　MHP與主流蜜罐的對(duì)比Tab.2　Comparison between MHP and other honeypots

為使MHP具有更好的適用性，未來(lái)針對(duì)MHP的改進(jìn)工作主要包括：多平臺(tái)支持、多用戶模式支持、界面優(yōu)化和電量消耗優(yōu)化。

[1]SYMBIAN.Sistema Operacional Symbian[EB/OL].[2012-03-01].http：//licensing.symbian.org.

[2]DUNHAM K.Mobile malware attacks and defence[J].Elsevier,2009,7 (3):137-146.

[3]SPITZNER L.Honeypot:Tracking Hackers[M].北京:清華大學(xué)出版社,2004:30-35.

[4]諸葛建偉,唐勇,韓心慧.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報(bào), 2013,24(4):825-842.

[5]MICHAEL V,JUSTIN M,JAY C,et al.Scalabilit Delity and Containment in the Potemkin Virtual Honeyfarm[C]//Proceedings of the ACMSymposium on Operating System Principles,USA,2005:71-84.

[6]PROVOS N.Honeyd:A Virtual Honeypot Daemon[R].Addison-Wesley,2003:189-194.

[7]Nepenhes Readme[EB/OL].[2009-03-20].http：//nepenthes.carnivore. it/documentation:readme.

[8]ZOLFAGHAR K,MOHAMMADI S.Securing Bluetooth-Based Payment System Using Honeypot[C]//International Conference on Innovations in Information Technology,San Francisco,2009:21-25.

[9]GOBEL J.Automatic Capturing of Malicious Software[R].Mannheim: University of Mannheim,2010.

[10]SPITZNER L.Honeypots:Catching the InsiderThreat[C]//2003 IEEE Computer Security Applications Conference,California,USA,2003: 170-179.

[11]MULLINER C,LIEBERGELD S,LANGE M.HoneyDroid-Creating a Smartphone Honeypot[C]//IEEE Symposium on Security and Privacy, USA,2011:151-160.

[12]WAHLISCH M,TRAPP S,KEIL C,et al.First Insights from a Mobile Honeypot[C]//ACM SIGCOMM Conference on Applications,Technologies,Architectures,and Protocols for Computer Communication.Helsinki,Finland ACM.2012:305-306.

[13]WAHLISCH M,SCHMIDT T,VORBACH A,et al.Design，Implementation and Operation of a Mobile Honeypot[R].2013.

[14]OCONNOR T.Honeym:A Framework for Implementing Virtual Honey－Clients for Mobile Devices[C]//Proceedings of the Third ACM Conference on Wireless Network Security.New York,USA:ACM,2010:129-138.

[15]MULLINER C,LANG S,POSTER M.Honeydroid-Creating A Smartphone Honeypot[C]//IEEE Symposium on Privacy and Security,Poster. Oakland,USA,2011:155-158.

[16]YANG Z.PowerTutor-A Power Monitor for Android-Based Mobile Platforms[R].Michigan:University of Michigan,2012.

（責(zé)任編輯：楊媛媛）

Mobile honey pot design and implementation

XIE Lixia,WANG Chong
（College of Computer Science and Technology,CAUC,Tianjin 300300,China）

Aiming at the increasing attacks to intelligent mobile terminals，MHP（mobile honeypot）is proposed to decoy, capture and analyze malwares.MHP contains three kernel modules:the decoy module creates fraudulent environment,the malicious behavior capture module catches malicious behaviors through monitoring communication port,scanning system memory and identifying sensitive permissions and the malicious data analyzing module indentifies the types of security threats.Results show that MHP can capture malicious behavior effectively and is suitable for deploying on mobile terminals.

malicious behavior;mobile honeypot;fraudulent environment;behaviors intercept

TP393.08

A

1674-5590（2016）05-0045-06

2015-06-01；

2015-07-07

國(guó)家科技重大專項(xiàng)（2012ZX03002002）；國(guó)家自然科學(xué)基金項(xiàng)目（60776807，61179045）；天津市科技計(jì)劃重點(diǎn)項(xiàng)目（09JCZDJC16800）

謝麗霞（1974—），女，重慶人，副教授，碩士，研究方向?yàn)榫W(wǎng)絡(luò)與信息安全.