【導(dǎo)讀】然而,在智能手機(jī)與機(jī)之間的差別逐漸縮小的同時(shí),存在于機(jī)上。的安全問(wèn)題也在手機(jī)上凸顯出來(lái)。手機(jī)病毒已經(jīng)成為了很多別有用心之人謀。當(dāng)今較為流行的手機(jī)病毒防護(hù)軟件大多運(yùn)用了“云’’技術(shù),由于智能手機(jī)平臺(tái)的起步較晚,基于入侵檢測(cè)原理的手機(jī)安全。仍處于起步階段。本文選用入侵檢測(cè)作為研究方向,以當(dāng)下最為流行的。而達(dá)到手機(jī)入侵檢測(cè)的效果。輸入事件之間的時(shí)延來(lái)判斷是否存在異常行為。這個(gè)軟硬件性能均受限的平臺(tái)上更容易實(shí)現(xiàn)。的入侵檢測(cè)系統(tǒng)的總體設(shè)計(jì)框架。重點(diǎn)對(duì)數(shù)據(jù)提取模塊、數(shù)據(jù)分析模塊、處。并在此基礎(chǔ)上給出了系統(tǒng)實(shí)。程中的編碼方案。最后將編碼實(shí)現(xiàn)的入侵檢測(cè)系統(tǒng)安裝在真機(jī)上進(jìn)行測(cè)試。適當(dāng)選取系統(tǒng)參數(shù),能夠有效提高系統(tǒng)的可靠性。證明了該系統(tǒng)切實(shí)有效的。了手機(jī)的自主防御能力,具有一定的實(shí)用價(jià)值。變本加厲地滋生出來(lái),構(gòu)成了手機(jī)病毒傳播的途徑。前不久,一種名為“兇宅美人頭”的。此外,個(gè)人信息泄露依舊

　　

【正文】 主機(jī)的入侵檢測(cè) ,采用異常 檢測(cè)的方式可以自主的提高手機(jī)的對(duì)病毒的防 范能力?？紤]到手機(jī)系統(tǒng)的性第章智能手機(jī)及入侵檢測(cè)技術(shù)概況 能和容量有限這一點(diǎn) ,采用基于異常的入侵檢測(cè)更是比基于誤用的入侵檢測(cè)更為 恰當(dāng)。 .本章小結(jié) 本章首先介紹與智能手機(jī)相關(guān)的基礎(chǔ)知識(shí)。之后對(duì)入侵檢測(cè)的概況進(jìn)行了闡 述 ,并從基于異常和基于誤用的角度對(duì)入侵檢測(cè)思想及實(shí)現(xiàn)原理進(jìn)行了討論。最 后 將 兩 種 入 侵 檢 測(cè) 思 想 進(jìn) 行 了 深 入 對(duì) 比 ?！疽????????????????’?！！??????。 ????????????！??’。 ???????????????????????????????????????????????????????????????????????????????????????????一 ???? 。 基于異常的手機(jī)系統(tǒng)入侵檢測(cè)研究 第三章系統(tǒng)基于異常的入侵檢測(cè)方法 本章主要從入侵檢測(cè)的各個(gè)模塊入手 ,對(duì)每一個(gè)模塊的結(jié)構(gòu)和功能做詳細(xì)的 介紹。同時(shí)針對(duì)入侵分析模塊所用到的一種基于異常的入侵檢測(cè)算法進(jìn)行詳細(xì)的 討論。 .系統(tǒng)結(jié)構(gòu) 在第二章中已經(jīng)對(duì)入侵檢測(cè)的通用模型進(jìn)行了介紹 ,并針對(duì)于異常的入侵檢 測(cè)系統(tǒng)進(jìn)行了詳細(xì)的討論。智能手機(jī)上的入侵檢測(cè)系統(tǒng)的整體框架也不例外 ,也 必須包含數(shù)據(jù)的提取 ,數(shù)據(jù)分析 ,和事件 響應(yīng)三個(gè)模塊。圖 .給出了本次試驗(yàn)的 入侵檢測(cè)框架。 囤 圖 .入侵檢測(cè)系統(tǒng)框架 .. .數(shù)據(jù)提取 從圖 .可以看出 ,數(shù)據(jù)提取模塊主要完成對(duì)手機(jī)主體活動(dòng)的記錄與有效信息 的提取工作。鑒于入侵檢測(cè)系統(tǒng)的時(shí)效特性 ,時(shí)間標(biāo)記也成為了提取信息不可或 缺的元素。針對(duì)于下文將要采用的入侵檢測(cè)算法 ,數(shù)據(jù)提取的工作由三個(gè)組件并第章系統(tǒng)基于異常的入侵檢測(cè)方法 行完成 ,分別為輸入監(jiān)視器、進(jìn)程監(jiān)視器和網(wǎng)絡(luò)監(jiān)視器。圖 .為數(shù)據(jù)提取模塊的 架構(gòu)圖。 分析引擎 一 ?, 、 、 、 輸入監(jiān)視器 進(jìn)程監(jiān)視器 網(wǎng)絡(luò)監(jiān)視器 ? 操作系統(tǒng) 圖 .數(shù)據(jù)提取模塊架構(gòu) .. ..輸入監(jiān)視器 輸入監(jiān)視器主要監(jiān)視針對(duì)于手機(jī)的多種用戶操作 ,并將這些操作所對(duì)應(yīng)的數(shù) 據(jù)進(jìn)行處理 ,加入時(shí)間標(biāo)記 ,提供給分析引擎。在本系統(tǒng)中 ,輸入監(jiān)視器主要監(jiān) 視用戶的物理操作 ,即對(duì)手機(jī)的按鍵操作。一個(gè)用戶的輸入事件被抽象的表示為 ,這樣的二元組 ,其中為觸發(fā)按鍵的時(shí)間 ,為用戶按鍵操作所產(chǎn) 生的進(jìn)程。與下文中進(jìn)程監(jiān)視器中的對(duì)應(yīng)。 下文中將要討論的分析算法的核心思想是流量的產(chǎn)生事件依賴于用戶的輸入 事件。理論上檢測(cè)環(huán)節(jié)只關(guān)心最近一次用戶的輸入操作。因此 ,輸入監(jiān)視器中僅 僅存儲(chǔ)最近一次用戶輸 入的二元組即可。然而實(shí)際檢測(cè)中 ,用戶的誤操作可能會(huì) 干擾分析模塊的正常運(yùn)行 ,即真正的觸發(fā)流量產(chǎn)生的操作被誤操作所取代 ,導(dǎo)致 分析結(jié)果異常 ,產(chǎn)生誤報(bào)。所以輸入監(jiān)控器中僅僅存儲(chǔ)最后一個(gè)時(shí)刻用戶操作信 息并不能保證入侵檢測(cè)系統(tǒng)的可靠性。然而 ,如果過(guò)多的存儲(chǔ)用戶最近幾次的輸 入記錄 ,一方面會(huì)導(dǎo)致分析引擎頻繁的進(jìn)行分析匹配 ,降低手機(jī)性能 ,另一方面 由于輸入監(jiān)視器記錄著用戶的最近幾次的按鍵操作 ,還存在著泄露個(gè)人信息的隱 患。所以 ,輸入監(jiān)控器中記錄的操作數(shù)量影響著整個(gè)系統(tǒng)的可靠性。基于異常的手機(jī)系統(tǒng)入侵檢測(cè)研究 在這里需 要說(shuō)明的是 ,對(duì)于輸入監(jiān)視器中用戶輸入事件所需記錄的進(jìn)程數(shù)據(jù) 完全是調(diào)用系統(tǒng)所提供的接口獲得的 ,其獨(dú)立于下面所述的進(jìn)程監(jiān)視器。 ..進(jìn)程監(jiān)視器 為了進(jìn)一步為分析引擎提供數(shù)據(jù)源 ,進(jìn)程監(jiān)視器將對(duì)手機(jī)上所有進(jìn)程進(jìn)行監(jiān) 控。該系統(tǒng)中進(jìn)程監(jiān)視器并非所謂的進(jìn)程監(jiān)控列表 ,它只關(guān)心進(jìn)程的創(chuàng)建及結(jié)束 兩種狀態(tài) ,而不需要關(guān)心進(jìn)程的上下文及其他幾種狀態(tài)。所以 ,進(jìn)程監(jiān)視器中的 數(shù)據(jù)可以形式化的表示為 ,和 ,兩種元組。其中 ,四元組對(duì) 應(yīng)著進(jìn)程的創(chuàng)建活動(dòng) ,分別記錄著進(jìn)程的創(chuàng)建時(shí)間 ,進(jìn)程號(hào) ,進(jìn)程所對(duì)應(yīng)的程序 名以及父進(jìn)程號(hào) 。二元組對(duì)應(yīng)著 進(jìn)程的結(jié)束事件 ,記錄著結(jié)束時(shí)間和進(jìn)程號(hào)。 ..網(wǎng)絡(luò)監(jiān)視器 網(wǎng)絡(luò)監(jiān)視器將完成統(tǒng)計(jì)網(wǎng)絡(luò)流量和監(jiān)視網(wǎng)絡(luò)活動(dòng)的工作。這里的網(wǎng)絡(luò)活動(dòng)被 分為以下三類 : 連接請(qǐng)求 網(wǎng)絡(luò)監(jiān)視器將監(jiān)視一切連 .接請(qǐng)求 ,并期望獲取請(qǐng)求的時(shí)間 ,進(jìn)程號(hào) ,源端口 號(hào) ,請(qǐng)求地址 ,以及目的端口號(hào)信息。所以一個(gè)連接請(qǐng)求事件可以抽象為一個(gè) 五元組 :,。 數(shù)據(jù)上傳與下載 產(chǎn)生手機(jī)流量變化的根本原 ..因是數(shù)據(jù)的上傳與下載 ,所以針對(duì)數(shù)據(jù)的上傳與 下載的記錄尤為必要。同連接請(qǐng)求相似 ,該活動(dòng)也需記錄事件產(chǎn)生的時(shí)間 ,進(jìn)程 號(hào) ,源端口號(hào) ,地址及目的端口號(hào)。 域名解 析 該入侵檢測(cè)系統(tǒng)的一個(gè)目標(biāo)就是期望檢測(cè)出那些沒(méi)有用戶輸入而自發(fā)進(jìn)行聯(lián) 網(wǎng)操作的后臺(tái)程序。假設(shè)用戶在時(shí)間通過(guò)手機(jī)鍵盤輸入了 ,在進(jìn)行聯(lián)網(wǎng)請(qǐng) 求之前要通過(guò)解析轉(zhuǎn)變成地址。而這之間的解析所消耗的時(shí)間依手機(jī) 網(wǎng)絡(luò)狀態(tài)的情況而定。如果解析時(shí)間過(guò)長(zhǎng)超過(guò)了之前所設(shè)定的閾值 ,就會(huì)被認(rèn)為 是一個(gè)沒(méi)有用戶操作而進(jìn)行聯(lián)網(wǎng)的“后臺(tái)程序 ,從而產(chǎn)生誤報(bào)。所以 ,域名解析 活動(dòng)是不容忽視的。一個(gè)域名解析活動(dòng)在該系統(tǒng)中被形式化的定義為一個(gè)三元組 : ,。其中為事件發(fā)生時(shí)間 ,?為解析域名 ,第章系統(tǒng)基于異常的入侵檢測(cè)方法 為解析的映射列表。 分 析引擎以三個(gè)監(jiān)視器提供的信息作為數(shù)據(jù)源進(jìn)行分析 ,對(duì)手機(jī)中的每一條 行為信息進(jìn)行篩選與整理。它將一條手機(jī)行為記錄定義為下面的六元祖 : , ,。 下作如下解釋 : :進(jìn)程號(hào) 。 :進(jìn)程對(duì)應(yīng)的程序名 。 :父進(jìn)程號(hào) 。 :上一次數(shù)據(jù)下載結(jié)束時(shí)間 。 :之前的正常連接。 每當(dāng)有一個(gè)進(jìn)程創(chuàng)建時(shí) ,進(jìn)程監(jiān)視器都會(huì)第一時(shí)間監(jiān)視到該行為并將信息提 供給分析引擎 ,在分析引擎中會(huì)創(chuàng)建一條與之對(duì)應(yīng)的行為記錄。每當(dāng)用戶對(duì)手機(jī) 進(jìn)行物理操作的時(shí)候 ,輸入監(jiān)視器將會(huì)第一時(shí)間監(jiān)視到該行為 ,并將其報(bào)告給分 被立即更新。同樣 ,當(dāng)有數(shù)據(jù)的上傳或下載行 為時(shí) , 析引擎 ,也相應(yīng)的被更新。每當(dāng)手機(jī)關(guān)機(jī)或重啟的時(shí)候 ,分析引擎中的行 為記錄將會(huì)被清空。 三個(gè)監(jiān)視器獨(dú)立運(yùn)行 ,并行監(jiān)控 ,實(shí)時(shí)的向分析引擎提供數(shù)據(jù)源。分析引擎 將提供的數(shù)據(jù)進(jìn)行組合篩選 ,提煉出行為記錄 ,再通過(guò)分析算法進(jìn)行分析。 .分析算法 本節(jié)中將詳細(xì)討論該系統(tǒng)中采用的分析算法?；诋惓５娜肭謾z測(cè)算法核心 思想在于尋找正常的行為規(guī)律并將其與日志記錄的行為進(jìn)行對(duì)比 ,從而發(fā)現(xiàn)那些 與該規(guī)律存在嚴(yán)重差異的異常行為。下面先對(duì)正常行為規(guī)律進(jìn)行分析。 ..正常行為舉例 假設(shè)此刻用戶點(diǎn)開(kāi)了瀏覽器 ,并且通過(guò)瀏覽器在瀏覽網(wǎng) 頁(yè)。這期間一系列的 手機(jī)活動(dòng)將被觸發(fā) ,如圖 .所示 : :最近一次用戶按鍵操作時(shí)間 。.基于異常的手機(jī)系統(tǒng)入侵檢測(cè)研究 ::一圬 講庀 【一一 ::一【 ?‘一 “ .工蘭 .氌暖凈。 .使拗。 ::一 【 ? ∞玎’口 ..缸。 .扣’ ...?！斜{ ::【 .’ ...。 ::一【 工皇 ,” ...。 。:一 ?? .掃’ .王 ..。血強(qiáng) ? ::一 】工 ::一 【 ’ .,曩。 ,’ ...。‘抽 啦腳 ::? 【 ?一 旨 .’ ...。七 ::一】?！?..“ .。 ::一 【 】工’ .】 .∞。 .。 ...’丑 ::一 ? ,譬’ ...。 ::一 【 】 ?.’ ...。鉑 :: 【 】∞ ..鋤。 ,。 ...。艘 ::一 【 ,’ ...。職 ::一 【 ? 工 .’ ...。一 ? ::一 】卸粥了’ ..∞。 .。 ...’ 哦 【一一 ::一 】。工’ ..。 ::一 【一一 ..且’ ...。 圖 .事件舉例 .. 活動(dòng)一 :當(dāng)用戶單擊手機(jī)界面的瀏覽器圖標(biāo) ,系統(tǒng)進(jìn)程 ..將監(jiān)測(cè)到用戶對(duì)手機(jī)的輸入操作 。之后會(huì)開(kāi)啟系統(tǒng)默認(rèn)的瀏 覽器 .。當(dāng)瀏覽器打開(kāi)后 ,將會(huì)自動(dòng)解析主頁(yè)域名 ..。在域 名解析完成后 ,瀏覽器將會(huì)連接該網(wǎng)站進(jìn)行數(shù) 據(jù)下載。值得注意的是 ,這次聯(lián)網(wǎng) 操作是由于進(jìn)程的父進(jìn)程監(jiān)控到的用戶輸入活動(dòng)而觸發(fā)的。 活動(dòng)二 :用戶單擊瀏覽器頁(yè)面中的“優(yōu)酷圖標(biāo) 。..被域名解 析為 ...。瀏覽器進(jìn)行聯(lián)網(wǎng)并且下載文件。這次聯(lián)網(wǎng)操作是 由進(jìn)程監(jiān)控到的用戶輸入事件而觸發(fā)的。 活動(dòng)三 :當(dāng)文件接收完成后 ,瀏覽器將根據(jù)鏈接從其他網(wǎng)站上下載 圖片。該過(guò)程中 ,首先會(huì)解析需要圖片來(lái)源網(wǎng)站的域名 。然后進(jìn)行聯(lián)網(wǎng) 。再進(jìn)行 數(shù)據(jù)下載。這次的聯(lián)網(wǎng)操作是由文件接收成功所觸發(fā)的 ,即上一次的數(shù)據(jù) 下載事件觸發(fā)的。 活動(dòng)四 :不同瀏覽器的的設(shè)置不盡相同。然而大部分瀏覽器都具有自 動(dòng)刷新 功能。這里假設(shè)每隔十分鐘 ,網(wǎng)頁(yè)將會(huì)刷新一次。 ..行為分析 從上面的四個(gè)聯(lián)網(wǎng)活動(dòng)中可以看出 ,針對(duì)同一個(gè)程序的用戶按鍵操作和數(shù)據(jù) 下載會(huì)觸發(fā)聯(lián)網(wǎng)操作活動(dòng)二和活動(dòng)三。然而 ,活動(dòng)一暗示著進(jìn)程之間是有相互 聯(lián)系的。父進(jìn)程作為系統(tǒng)進(jìn)程 ,隨著系統(tǒng)的初始化開(kāi)機(jī)而產(chǎn)生。 .第章系統(tǒng)基于異常的入侵檢測(cè)方法 不僅僅它的子進(jìn)程可以產(chǎn)生聯(lián)