研究生创新创业项目

中 项目编号： 2022-YC-T020
项目名称： 涉诈 APP 分析研判
期 项目依托学院： 网络空间安全学院
项目负责人： 王程
联系电话： 17778221637
Email：
指导教师： 温巧燕

（阶段）检查表
 北京邮电大学研究生院

年 月 日

北京邮电大学研究生创新创业项目中期（阶段）检查表
项目名称 涉诈 APP 分析研判
17778221 网 络 空 间 安 全
项目负责人 王程 联系电话 专业年级
637 $nj$
网络空间
项目依托学院 指导教师 温巧燕
安全学院
项目类别 产业
项目执行情况（500~1000 字，简明、扼要，能有效概括计划执行情况；有明确的思路和目标；能
突出自身特有的优势）：
静态解包分析:使用 Androidguard 提取图标、包名、签名信息、开发者信息等。进行文本相似度比
较和图片相似度比较。使用 NLP 进行文本相似度比较。使 用基于内容的图片相似度检测算法
(CBIR)以及基于 SIFT 特征进行图片相似度比 较等算法进行图片相似度比较。
高危 API 调用行为分析:使用 Frida hook 住相关调用行为，在这之前插入我 们写好的监测函数，来
返回调用的 API 信息，根据收集好的的高危 API 黑名单进行分析。
敏感权限调用行为分析模块中，在 manifest.xml 中找到 permission list， 与黑名单 list 进行匹配。
后台地址:本模块的主要功能是对可疑 APP 的通信后台地址进行获取分析。 首先我们会根据经验
创建并保持更新一个白名单库。之后会对 APP 反编译得到的 XML 文件中的通过正则表达式、关
键字匹配找到可疑的 URL、域名和 IP 地址，与白 名单库进行比较提取正常地址后将可疑地址进
一步保存分析。
后台网页地址运行快照:此模块的主要功能是获取 APP 后台网页地址的运行 快照，其中使用的技
术涉及到 ADB、monkey、dpkt 等关键技术。首先使用 ADB 对 APK 安装到手机当中，之后使用
monkey 攻击进行随机测试手机 APP 的流量之后通过对 APP 流量进行分析使用正则或者关键字匹
配来获取网页 URL，之后爬取对应 URL 的 网页源码进一步分析。
自动化登录注册模块:本模块将实现 APP 的自动登录、注册以及保存 APP 的运 行截图、内容抓取
等功能。使用 ADB 中的相关指令对手机进行控制，利用 uiautomated viewer 定位工具对手机内的
图片进行定后模拟点击操纵手机界 面。与此同时使用一些抓包工具对 APP 通信过程内容进行抓
取后进一步统计分析
项目已取得的进展概述（编制商业计划书、开展可行性研究、模拟企业运行、参加企业实践、团
队角色扮演等情况）:
l 能够通过静态解包的方式获取目标 APP 的基础信息特征，包括:图标、包名、 签名信息、开发
者信息等，
l 采用文本相似度、图片相似度等方法，将目标 APP 的 基础信息与 APP 白名单库的内容进行匹配
分析，判断其是否属于涉诈 APP。对分析的每一个 APP，解析出包名、标签、签名，图标等静态信
息并保存到 json 文件中
l 建立 APP 自动化拨测分析体系，将目标 APP 自动安装到已配置动态监控环境的 取证真机或虚拟
机上进行自动运行拨测，提取 APP 在运行过程中的动态行为进行 检测，包括 APP 的高危 API 调用
行为、敏感权限调用行为、后台地址、运行截图、 APP 后台网页网址运行快照等。
l 提取待分析 APP 中所有的 API 调用，并在黑名单中进行匹配，提取所有的敏感权限调用，在敏
感权限黑名单中匹配。并将识别结果保存到 txt 文件中在手机端自动化安装打开 APP，使用 Money
实现自动流量采集并将采集的 pcap 包拉到本地进行自动解析，最后将解析出的通信地址保存到
csv 文件中
商业计划书（作为附件单独附在检查表后面）

下一阶段工作计划：
本小组成员采用每周一汇报，每月一对接，每阶段一总结的方式依照制定的 计划来完成任务
之后具体的工作如下
l 整体方法的优化和系统设计方案的重构
l 优化 CBIR 图像核心检测算法， 提高图像识别准确度与检测速 度
l 定义静态内容“涉诈”权重， 设计并完成实验证明权重设置 的合理性
l 尝试使用多线程以及 Redis 等 技术完成高并发，实现对 apk 文件的批量处理
l 定义各类权限内容“涉诈”权 重，设计并完成实验证明权重 设置的合理性
l 定义匹配模板库，实现对不同 apk 文件的差异化分析，同时提高检测速度
l 优化网址运行快照分析模块，采用多线程，消息队列来提高检测速度
l 定义后台地址与网址快照内容“涉诈”权重，设计并完成实验证明权重设置的合理性
指导教师综合评价：

项目申请时的项目成员
 学业
姓名 学号 学院/研究院 专业 身份 联系电话
导师
2010
靳洮 2021111090 网络空间安全学院 网络空间安全 硕士 8132 18722296587
53
2010
电子信息（网
翟溪林 2021140928 网络空间安全学院 硕士 8125 17861503069
络安全方向）
70
2010
电子信息（网
王宇飞 2021140995 网络空间安全学院 硕士 8136 18168036489
络安全方向）
08

新增成员信息

学业
姓名 学号 学院/研究院 专业 身份 联系电话
导师

成员更换原因说明

项目组成员签字

指导教师签字： 年 月 日

学院检查小组意见：

负责人签字（章）： 年 月 日

是否同意继续执行 是 否

学校意见：
签章： 年 月 日