《智能手机异常检测技术研究与实现》由会员分享,可在线阅读,更多相关《智能手机异常检测技术研究与实现(60页珍藏版)》请在金锄头文库上搜索。
1、中国科学技术大学 硕士学位论文 智能手机异常检测技术研究与实现 姓名:乜聚虎 申请学位级别:硕士 专业:计算机系统结构 指导教师:周学海 2011-04-20 摘 要 I 摘摘 要要 智能手机在最近十年间得到了迅速的发展,由于其出色的性能和丰富的功 能,人们开始使用智能手机代替个人电脑处理一些日常事务,如收发邮件、在线 购物等。由于更多的接触使用者的个人信息,智能手机也开始吸引更多恶意软件 的攻击,在这种情况下,保护智能手机安全变得极为重要。 本文在深入理解智能手机特点及其所面临的安全威胁的基础上,提出了一个 基于智能手机行为分析的异常检测方法并在 Android 系统上实现。该方法首先对 异
2、常检测过程进行抽象,针对该过程提出一个支持多种算法、动态可扩展的异常 检测框架,其次在该框架上设计并实现了一个基于系统行为分析的异常检测算 法,该算法首先对系统行为进行了抽象和定义,其次通过一个代理不断的观察获 取系统行为,并使用了一个基于自组织映射的分类算法对系统行为进行分析,最 后根据算法的分析结果,找到系统异常并执行相应的处理。 本文的主要工作和贡献包含以下三点: (1) 提出一个支持多种算法、动态可扩展的异常检测框架 通过对传统计算机和智能手机现有异常检测技术的分析和总结,将异常检测 方法抽象为数据获取和数据分析两个过程,并设计了一个客户端-服务器结构的 异常检测框架,分别对两个过程进
3、行管理。该框架可以同时管理多个异常算法的 执行过程,并能够动态的添加和删除算法。因而可以使用不同算法对同一个系统 进行综合分析,并比较不同算法的优缺点,便于算法的设计和改进。 (2) 提出一个基于系统行为分析的异常检测方法 首先分析了单个应用程序和整个系统在行为获取和分析方面的差异,定义整 个系统作为异常检测的客体,即被检测对象;其次跟踪并收集 Android 系统上已 有的恶意软件信息,并对恶意软件行为进行模拟和观察,选择若干受其影响最大 的系统信息,定义为系统行为,并作为异常检测的依据,最后根据系统行为数据 的特点,设计了一个基于 SOMs 的改进的分类算法对收集到的系统行为进行分 析,找
4、出由于恶意软件而引起的系统异常。 (3) 总结了 Android 系统的系统行为获取方法 总结了系统行为数据在 Android 系统上的获取方法,对于无法通过系统所提 供的 API 获取的数据, 给出了该项数据的近似值获取方法。 这为其他智能手机系 统上的实现提供了参考。 关键词关键词:智能手机 异常检测 Android 系统行为分析 ABSTRACT III ABSTRACT Smartphones have developed rapidly in the last decade. Due to their remarkable performance and rich applicati
5、ons, more and more daily routine can be done by them instead of personal computers, such as sending email, online payment, etc. So smartphones have more opportunities to see users private information, which makes them more likely to be the targets of malwares. In this paper, we study smartphones cha
6、racteristics and threats they face. Then an anormaly detection method is proposed. It is based on system behavior analysis and implemented on Android.0 The method works as follows: First, the system behavior is abstracted and defined. Then, smartphones system behaviors are monitored and extracted pe
7、riodically by an agent. They are analyzed by a classification algorithm based on Self-organization Maps. Finally, the anomaly is found out (if it exists) and handled according to the result of the analysis. Our main work and contributions in this paper are as follows: (1) A multi-algorithm supported
8、, dynamic scalable anomaly detection frame work is proposed. By concluding and studying the existing anomaly detection technologies for computers and smartphones, anomaly detection is abstracted as two steps: behavior extraction and behavior analysis. Then a framework which has a client-server archi
9、tecture is proposed to manage the two steps. The framework can manage several anomaly detection processes simultaneously and can add or remove anomaly detection algorithms dynamically. So we can do comprehensive analysis using multiple algorithms and compare the result between different algorithms,
10、which is useful for algorithm design. (2) An anomaly detection algorithm based on system behavior analysis is proposed. First, we study the difference of extracting and analyzing between an application and the entire system and define the system as the object of the algorithm. Then, we simulate and
11、monitor the behavior of existing malwares on Android and several items of system information are chosen to be defined as system behavior. Finally, according to the characteristics of those chosen information, an algorithm based on SOMs is proposed. (3) Concluding the extracting method of Android sys
12、tem behavior. The extracting method of Android system behavior is concluded. For the items of ABSTRACT IV information that we cannot get through APIs provided by Android system, we give the methods to extract their approximations. Key Words: smartphone, anomaly detection, Android, system behavior an
13、alysis 插图目录 VII 插图目录 插图目录 图 2.1 入侵检测模型 .8 图 2.2 Android 体系结构.11 图 2.3 Android 安全模型.12 图 3.1 框架模型 .14 图 3.2 框架结构 .15 图 3.3 客户端结构 .16 图 3.4 监控器工作流程 .16 图 3.5 主服务体工作流程 .19 图 3.6 服务器结构 .19 图 3.7 检测器工作原理 .20 图 3.8 服务器消息模型 .21 图 4.1 上传流量异常 .30 图 4.2 短信发送与用户操作的关联异常 .30 图 4.3 系统行为的周期性 .31 图 4.4 SOMs 算法示意图.33 图 5.1 提取器 .40 图 5.2 监控器 .41 图 5.3 客户管理器 .41 图 5.4 检测器 .42 图 5.5 检测器管理器 .43 图 5.6 性能比较 .47 表格目录 VIII 表格目录 表
