网络欺诈行为是互联网兴起后的一种新型犯罪方式,其不仅带来了隐私信息泄露、经济财产损失、个人利益损害等威胁,同时加深了社会信任危机感。事实上,针对欺诈行为的研究方兴未艾,从传统的互联网时代到移动互联网时代,欺诈行为一直受到广泛的重视。然而,随着移动应用生态系统的形成与完善,传统的欺诈行为已经迁移到移动互联网并采用新型欺诈手段,层出不穷的新型欺诈行为不仅给生态系统造成巨大的破坏,也给应用市场和监管部门带来了严峻挑战。因此,面向移动应用生态系统的新型欺诈行为分析在国际学术界和产业界均受到广泛重视。欺诈行为存在于移动应用的整个生命周期中,各阶段产生的移动应用数据均可被欺诈者所利用,通过制造或发布虚假信息的方式实施欺诈。在移动应用的开发阶段,开发者通过自主编写代码或集成第三方服务的方式开发移动应用。该阶段生成的数据包括应用代码、应用资源文件和应用内容等应用原始数据,广泛存在的典型欺诈行为包括仿冒欺诈、网络欺诈(例如,虚假兼职、金融理财欺诈等)和广告欺诈等。在移动应用的发布阶段,开发者将所开发的移动应用上传到Google Play或者各种第三方市场中提供给用户下载。该阶段相关的数据包括开发者所提供的应用名、包名、开发者名、应用描述和应用权限等应用元数据,典型的欺诈行为包括应用标识仿冒、虚假功能和权限提升等。在移动应用的推广阶段,开发者通过购买服务商(例如,广告服务商)提供的推广服务,以达到提高应用的曝光率和用户量的目的。该阶段生成的数据包括应用排名、应用下载量和应用评论等应用流行度数据,典型的欺诈行为如排名欺诈。虽然学术界已经提出了不少面向移动应用生态系统的欺诈行为研究,然而,随着近几年移动互联网进入推动传统产业向大规模垂直化新业态发展的阶段,各种新型欺诈行为层出不穷,已有的研究依然存在许多新的挑战:(1)欺诈检测对抗技术不断升级,有经验的恶意开发者通过升级欺诈技术来规避已有的检测方法,已有的技术和手段已经无法有效的检测更有针对性的新型欺诈行为;(2)新的应用领域和应用模式衍生出新型欺诈手法,同时引入了新的安全威胁;(3)地下产业链发展迅速,已经形成通过多种欺诈手段相结合的更加复杂的新型欺诈产业链,单一的检测方法无法全面和有效的检测和预防这种新型欺诈行为。针对上述挑战,本论文对这三类移动应用数据层面出现的新型欺诈行为进行分析,目标是构建移动应用生态系统新型欺诈行为分析平台。具体而言,本论文的主要研究贡献总结如下:第一,针对移动应用原始数据层面出现的新型界面仿冒欺诈行为,提出了基于应用界面结构相似性的仿冒应用检测技术。具体来说,首先详细分析了新型界面仿冒欺诈行为及其与传统仿冒行为的区别,通过对仿冒方式的分析发现应用界面结构特征相对于其他特征(如应用代码、界面内容等)在仿冒攻击后能保持相对稳定。然后,基于自动化测试技术提出移动应用界面结构特征提取方法,从总体结构、控件结构及文本内容结构三个维度构建应用界面结构特征,实现对新型界面仿冒欺诈行为检测。进一步的,通过性能评估实验说明本论文所提出的检测方法能够达到99.5%的召回率,并且比已有的仿冒应用检测工具更加有效。最后,将实现的原型系统应用于大规模的应用数据集中,成功检测出传统仿冒应用及新型界面仿冒应用,其中83%的应用为恶意应用。经过本论文的研究发现,应用仿冒欺诈攻击仍然是移动应用生态系统中主要的威胁,本论文所提出的方法不仅能够对传统的应用仿冒欺诈行为进行检测,同时能够有效的检测更加复杂、更有针对性的新型界面仿冒欺诈行为。移动应用发布平台及监管部门应及时更新检测技术,提升对移动仿冒应用的监管能力。第二,针对移动应用原始数据层面出现的新型交友欺诈行为(欺诈交友应用),本论文提出了一种基于启发式规则的欺诈交友应用识别方法,并对其背后的产业链进行了深入的研究。具体来说,首先详细分析了欺诈交友应用,通过总结该类应用的特征提出了一种半自动化的欺诈交友应用识别方法。然后,分别基于应用内用户信息、开发者签名、应用评论等数据对识别的欺诈交友应用之间的关联性进行了深入分析,相关关联性分析结果说明欺诈交友应用中的大部分用户均是虚假用户,由聊天机器人进行管理。进一步,基于上述分析结果提出了欺诈交友应用产业链的商业模型,成员组成包括开发应用的生产者、发布应用的发布者、推广应用的分发网络和受害者。最后,对欺诈交友应用的影响进行分析,并结合国内外研究报告对产业链的经济规模进行了评估,发现这些欺诈交友应用可能带来的非法收入为每年2亿美元到20亿美元。我们的研究结果表明,此类新型欺诈行为已经形成了一条完整的产业链,给用户带来的财产损失是巨大的,应该受到更多的关注。本论文总结的欺诈交友应用的各层面特征及相关研究结果可以帮助移动应用发布平台及监管部门实现相应的检测方法。第三,针对应用元数据层面出现的新型应用标识仿冒欺诈行为,本论文总结了应用标识仿冒模型并提出了一种基于白名单过滤的标识仿冒应用识别方法,对标识仿冒应用特征及影响进行了深入的分析。具体来说,首先详细分析了新型应用标识仿冒欺诈行为,通过调查实验研究相关检测工具在标识仿冒应用检测时的缺点和不足。然后,总结了 1 1种应用标识仿冒模型并实现了对应的自动化变形工具,通过对比实验证明了总结的标识仿冒模型的有效性(成功检测出的标识仿冒应用数量是相关检测工具URLCrazy的10倍以上)。进一步的,提出了基于白名单过滤的标识仿冒应用识别方法,并将其应用于大规模的目标应用中,成功检测出10553个标识仿冒应用(平均每个目标应用有20个标识仿冒应用)。通过对识别的标识仿冒应用进行特征分析,结果说明超过51%的标识仿冒应用为恶意应用。最后,对此类新型仿冒欺诈行为造成的影响进行了评估,发现标识仿冒应用不仅会导致目标应用失去潜在用户(部分标识仿冒应用下载量甚至超过1000万),同时对其品牌形象产生巨大的负面影响。我们的研究结果表明,应用标识仿冒欺诈行为已经广泛存在于移动应用生态系统中,相对于传统仿冒应用,此类新型仿冒应用中恶意行为比率更高,对生态系统造成的破坏相对更大。也就是说,移动应用发布平台及监管部门需要尽快加强对应用标识仿冒欺诈行为的检测能力。第四,针对应用流行度数据层面出现的新型排名欺诈行为(手赚应用),本论文提出了一种基于启发式规则手赚应用识别方法,并对其特征及引入的其他安全威胁进行了深入分析。具体来说,首先详细分析了手赚应用,通过总结该类应用的特征提出了一种基于启发式规则的半自动化的手赚应用识别方法,并基于盈利模式提出了手赚应用分类机制,包括内容分享、应用试用、购物返现、挖矿和众包5种类别。然后,通过分别对用户好评和差评进行分析,发现手赚应用不仅帮助其他应用进行排名欺诈,其本身也采用刷评论的方式进行非正常推广,并且用户能够感知到手赚应用引入的其他安全问题和欺诈行为。进一步,从隐私和安全角度对手赚应用进行深入分析,发现手赚应用自身引入了很多隐私和安全问题(26%的手赚应用为恶意应用)。最后,对手赚应用内传播的内容进行分析,发现大量恶意应用通过手赚应用进行推广和传播,同时其他类型的内容也引入了其他安全威胁。经过本论文的研究发现,手赚应用的出现,给移动用户通过网络赚钱提供便利的同时,不仅加重了移动应用非正常推广行业乱象,也给用户带来了新的安全威胁。移动应用商店和相关监管部门应该给予手赚应用更多的关注,制定相关规范来帮助界定和约束手赚应用。