一種基於Android平臺的入侵檢測系統的製作方法

2023-10-11 02:20:04

一種基於Android平臺的入侵檢測系統的製作方法
【專利摘要】本發明公開了一種基於Android平臺的入侵檢測系統，主要由三部分組成，即數據提取模塊、數據分析引擎和響應處理模塊；其中數據提取模塊主要是對Android系統手機的主體活動信息進行特徵提取；數據分析引擎是利用檢測算法對提取和整理的數據進行分析，判斷是否存在入侵行為或者異常行為；響應處理模塊則根據數據分析引擎的分析結果執行相應的處理操作；該入侵檢測系統通過對手機的資源使用情況、進程信息和網絡流量實時監控，並使用貝葉斯分類器算法判斷系統是否被入侵，通過該入侵檢測系統能夠有效地檢測Android手機的異常。
【專利說明】—種基於Android平臺的入侵檢測系統
【技術領域】
[0001]本發明涉及智能終端的入侵檢測技術，具體涉及到一種基於Android平臺的入侵檢測系統。
【背景技術】
[0002]移動終端作為簡單通信設備伴隨移動通信發展已有幾十年的歷史，隨著智能化技術的發展，衍生而來的移動智能終端，尤其是Android系統及IOS系統，從根本上改變了終端作為行動網路末梢的傳統定位，並且已經成為網際網路業務的關鍵入口和主要創新平臺，新型媒體、電子商務和信息服務平臺，網際網路資源、行動網路資源與環境交互資源的最重要樞紐。
[0003]隨著智能終端技術的飛速發展，智慧型手機已經成為人們生活的重要組成部分。智慧型手機的市場份額劇增，其中Android手機已經佔據市場主導地位。谷歌的Android是針對智能行動裝置提出的一個綜合性的軟體框架，是以Linux為基礎的開源的作業系統。Android作為一個開源的框架，它為大部分的軟體和硬體組件提供API。第三方開發者通過使用Android軟體開發工具包(SDK)提供的API可以開發自己的應用程式。不僅如此，開發者還可以開發和修改內核級的功能，這給智慧型手機平臺帶來了嚴重的安全威脅。雖然Android本身就具有良好的安全機制,如通過繼承Linux的內核安全機制實現系統安全,通過沙盒實現應用程式代碼的隔離，通過權限機制實現對數據的強制訪問控制，但面對越來越高級、隱蔽的安全威脅，Android的原生安全機制是存在安全漏洞的,是遠遠不夠的。
[0004]陪伴著移動網際網路和移動智能終端的快速普及，移動網際網路或者移動智能終端的安全問題日益突出。由於Android的開放性、移動性和可編程性，使得智慧型手機更容易受到各種惡意的攻擊，如手機殭屍病毒、木馬、蠕蟲、移動殭屍網絡等。這些惡意的攻擊活動給智慧型手機用戶造成了嚴重的損害，包括影響系統正常使用、惡意扣費、竊取用戶隱私等，如惡意訂購、自動撥打聲訊臺、自動聯網等，造成用戶的話費損失；利用木馬軟體控制用戶的移動終端，盜取帳戶、監聽通話、發送本地信息等。然而，除了上述傳統安全威脅，近年來Android終端安全正在面臨前所未有的挑戰，這主要來自於有組織、有特定目標、持續時間極長的針對特定目標的高危可持續性攻擊(APT, Advanced Persistent Threat)。這類攻擊利用多種攻擊手段，包括各種最先進的未知惡意程序入侵手段，新型殭屍網絡的發展和社會工程學方法，甚至攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。因此APT攻擊具有很高的隱蔽性，持續性，從而一步一步獲取進入組織內部的權限，不斷收集各種信息，直到盜取核心機密數據，關鍵文檔，商業機密等。移動智能終端越來越多的涉及商業秘密和個人隱私等敏感信息，APT攻擊更加可能利用移動智能終端的開放性攻擊國家基礎設施，給終端用戶、通信網絡，乃至國家安全和社會穩定造成惡劣影響，成為阻礙國家信息網絡健康發展的絆腳石。
[0005]為了應對Android移動智能終端作業系統漏洞頻現，導致病毒、木馬、蠕蟲、殭屍等在終端上大量傳播;API保護機制欠缺，被惡意軟體/病毒利用，造成用戶資費安全，用戶隱私安全等終端設備安全問題，市場上也出現了多款安全防護類軟體，大部分手機上的安全防護產品是借鑑傳統PC的安全防護思路開發出來的。智慧型手機的計算能力和電量資源有限，有一些針對PC的安全解決方案由於需要消耗大量的CPU、內存和電量，因此在智慧型手機上並不適用。針對智慧型手機面臨的安全挑戰，建立面向移動智能終端的入侵檢測系統具有重要意義和實用價值。

【發明內容】

[0006]針對現有android系統安全機制在技術上存在的不足之處，本發明提出了一個輕量級的基於Android手機平臺的入侵檢測系統，來幫助用戶發現手機上可疑的行為活動。
[0007]本發明公開了一種基於Android平臺的入侵檢測系統，其解決所述技術問題採用的技術方案如下:該基於android平臺的入侵檢測系統主要由三部分組成，即數據提取模塊、數據分析引擎和響應處理模塊；其中，所述數據提取模塊主要是對Android系統手機的主體活動信息進行特徵提取，主要是對手機上的系統狀態信息、進程信息和網絡流量數據進行預處理；所述數據分析引擎是利用檢測算法對提取和整理的數據進行分析，判斷是否存在入侵行為或者異常行為；所述響應處理模塊則根據數據分析引擎的分析結果執行相應的處理操作；
該入侵檢測系統通過對手機的資源使用情況、進程信息和網絡流量實時監控，並使用貝葉斯分類器算法判斷系統是否被入侵，完成對手機上的入侵行為的檢測。
[0008]本發明公開的基於Android平臺的入侵檢測系統的有益效果是:
該基於Android平臺的入侵檢測系統，能夠持續地監控智慧型手機在正常狀態、受攻擊狀態下的信息，並對從Android手機系統搜集的信息進行特徵提取，如網絡流量、電量消耗、CPU使用率、運行的進程數等，並使用貝葉斯分類器算法判斷系統是否存在入侵；為了更進一步分析Android系統異常和定位異常，在監控系統狀態的同時，並對進程信息和網絡流量信息進程監控；通過本發明所述入侵檢測系統能夠有效地檢測Android手機的異
堂
巾O
【專利附圖】

【附圖說明】
[0009]附圖1為本發明所述基於android平臺的入侵檢測系統的系統框架；
附圖2為Android系統狀態特徵描述。
【具體實施方式】
[0010]下面通過附圖和實施例，對本發明所述基於android平臺的入侵檢測系統做進一步詳細說明，並不造成對本發明的限制。
[0011]附圖1為本發明所述基於android平臺的入侵檢測系統的系統框架，如圖1所示，本發明所述基於android平臺的入侵檢測系統，主要由三部分組成，即數據提取模塊、數據分析引擎和響應處理模塊。其中，數據提取模塊主要對Android系統手機的主體活動信息進行特徵提取，在此，主要是對手機上的系統狀態信息、進程信息和網絡流量數據進行預處理；數據分析引擎利用檢測算法對提取和整理的數據進行分析，判斷是否存在入侵行為或者異常行為；響應處理模塊則根據數據分析引擎的分析結果執行相應的處理操作。[0012]下面分別對本發明所述基於android平臺的入侵檢測系統的數據提取模塊、數據分析引擎和響應處理模塊進行詳細說明。
[0013]1.數據提取
數據提取模塊主要是對手機上的主體活動記錄和信息進行有效的信息提取工作。手機在正常使用情況下，系統保持一個相對穩定的狀態。一旦手機病毒入侵或者惡意代碼攻擊，系統狀態會表現出不同程度的異常。比如「跟蹤隱形人」手機病毒會在後臺發送簡訊和聯網，大量消耗用戶的資費和流量，還有一些手機殭屍病毒會發起拒絕服務攻擊，導致通信網絡信息堵塞，影響用戶對手機的正常使用。因此，為了及時的發現手機受攻擊後表現的異常，更準確形象的描述系統正常行為的輪廓，有效的特徵選擇和提取至關重要。
[0014]從圖1中可以看出，數據提取模塊主要有三個功能組件構成，即系統狀態監控、進程監控和網絡流量監控。其中，系統狀態監控實時監控系統的行為活動，並將提取的系統特徵數據提供給數據分析引擎，數據分析引擎利用檢測算法分析判斷Android系統是否存在異常，但是僅僅發現Android系統存在異常是不夠的。為了進一步分析Android系統異常並定位惡意軟體，還需要進程監控和網絡流量監控組件為數據分析引擎提供更詳細的數據源；
1.1系統狀態監控主要實時提取統計Android系統運行時的相關狀態信息，如CPU使用率、電池耗電量、內存使用率、進程數量、流入網絡流量、流出網絡流量、發送的簡訊數量、發送的彩信數量等。在正常情況下，這些資源的使用情況都會維持在一個相對穩定的狀態，一旦有惡意行為發生時，系統資源的使用情況會發生劇烈變化，進而導致系統狀態產生波動。因而，系統的異常可以通過資源使用情況表現出來；
根據智慧型手機的特點及惡意軟體對Android系統的影響情況，本文構造了一組
特徵向量I =來反映Android系統的狀態特徵，向量中的每一個元素
一=1O代表Android系統的Iv狀態特徵。Android系統狀態特徵描述如附圖2所
示:
圖中的每一個特徵=都有對應的取值，以CPU使用率為例，則有:
【權利要求】
1.一種基於Android平臺的入侵檢測系統，其特徵在於,該基於android平臺的入侵檢測系統主要由三部分組成，即數據提取模塊、數據分析引擎和響應處理模塊；其中，所述數據提取模塊主要是對Android系統手機的主體活動信息進行特徵提取，主要是對手機上的系統狀態信息、進程信息和網絡流量數據進行預處理；所述數據分析引擎是利用檢測算法對提取和整理的數據進行分析，判斷是否存在入侵行為或者異常行為；所述響應處理模塊則根據數據分析引擎的分析結果執行相應的處理操作； 該基於Android平臺的入 侵檢測系統通過對手機的資源使用情況、進程信息和網絡流量實時監控，並使用檢測算法判斷系統是否被入侵，完成對手機上的入侵行為的檢測。
2.根據權利要求1所述的基於Android平臺的入侵檢測系統，其特徵在於，所述數據提取模塊主要有三個功能組件構成，即系統狀態監控、進程監控和網絡流量監控，這三個功能組件獨立運行，並對Android系統狀態、進程和網絡流量進行實時監控，將提取和整理的數據實時提供給數據分析引擎； 其中，所述系統狀態監控實時監控系統的行為活動，並將提取的系統特徵數據提供給數據分析引擎； 所述進程監控主要是對在手機上運行的所有進程信息進行特徵提取工作，記錄正在運行的進程數，而且實時監控所有進程，並提取出每一個進程的詳細信息，包括進程號ID，進程CPU佔用情況，進程內存佔用情況，進程打開的文件個數，進程打開的套接字個數，進程的狀態信息； 所述網絡流量監控是對流入流出手機的數據流量進行分析和特徵提取。
3.根據權利要求2所述的基於Android平臺的入侵檢測系統，其特徵在於，所述進程監控需要將每個網絡連接與手機上運行的進程信息關聯起來，並以七元組的形式標識一條網絡連接記錄，七元組的形式為:
〈ID, Name, Srclp, Dstlp, ProType, SrcPort, DstPort> ;其中 (1)ID代表進程號； (2)Name代表進程名； (3)SrcIp代表源IP位址； (4)DstIp代表目的IP位址； (5)ProType代表協議類型； (6)SrcPort代表源埠號； (7)DstPort代表目的埠號。
4.根據權利要求1所述的基於Android平臺的入侵檢測系統，其特徵在於，所述數據分析引擎是該入侵檢測系統的核心模塊，數據分析引擎對數據提取模塊整理的數據進行分析，並根據所提取的數據特點，採用貝葉斯分類器算法分析判斷Android系統是否存在異常行為。
5.根據權利要求4所述的基於Android平臺的入侵檢測系統，其特徵在於，所述數據分析引擎採用樸素貝葉斯分類器算法分析判斷Android系統是否存在異常行為；樸素貝葉斯概率估計條件概率分布P (CIX)中，C表示類變量，X表示待分類的數據，在該入侵檢測系統中，類變量C有兩種取值，即Cl= 「正常」和c2= 「異常」； 使用所述樸素貝葉斯分類器算法的具體步驟為:(1)提取特徵向量:實時監控Android系統的運行狀態si，自動抽取Εβ<?<1)的特徵向量石=，iejr，特徵向量昱由10個特徵的取值構成； (2)標註候選樣本:對於每標註其分類結果￡^0<*￥2)，則每個樣本由特徵值向量和類變量組成，可表示為二元組； (3)構造訓練樣本集合:隨機抽取攻擊樣本和正常樣本，按照1:Η的比例混合，構成訓練樣本集J5 =cj} , Q<m<l)； (4)計算先驗概率:通過計算可以得到在訓練樣本集中每個類別的先驗概率，及每個特徵屬性對每個類別的條件概率IQ); (5)給定測試數據,提取特徵值向量； (6)根據訓練得到的先驗概率計算後驗概率== ? ； (7)比較兩個後驗概率，經過計算後所得的值的最大值為X的所屬類別，即: JWizciAC= ClIX^xXPiC= C2IX = X))，得出判定結果。
6.根據權利要求4所述的基於Android平臺的入侵檢測系統，其特徵在於，所述數據分析引擎首先根據訓練樣本集的行為特徵，建立Android系統正常的行為輪廓，然後從待測試的數據中提取出行為特徵並建立當前的行為輪廓，並將其與正常的行為輪廓進行比較，若超過既定的閥值，則認為系統存在異常行為，產生告警信息並交由響應處理模塊進一步處理；否則，視為系統正常 行為。
7.根據權利要求4所述的基於Android平臺的入侵檢測系統，其特徵在於， 該入侵檢測系統通過貝葉斯分類器算法能夠發現由惡意軟體導致的Android系統異常；將Android系統異常與進程監控、網絡流量監控的數據關聯起來分析，能夠精確定位到導致系統異常的惡意軟體。
【文檔編號】G06F21/55GK104008332SQ201410180420
【公開日】2014年8月27日 申請日期:2014年4月30日 優先權日:2014年4月30日
【發明者】叢戎, 何志平, 劉璧怡 申請人:浪潮電子信息產業股份有限公司