一种基于Android平台的入侵检测系统的制作方法
一种基于Android平台的入侵检测系统的制作方法
【专利摘要】本发明公开了一种基于Android平台的入侵检测系统,主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中数据提取模块主要是对Android系统手机的主体活动信息进行特征提取;数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作;该入侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用贝叶斯分类器算法判断系统是否被入侵,通过该入侵检测系统能够有效地检测Android手机的异常。
【专利说明】—种基于Android平台的入侵检测系统
【技术领域】
[0001]本发明涉及智能终端的入侵检测技术,具体涉及到一种基于Android平台的入侵检测系统。
【背景技术】
[0002]移动终端作为简单通信设备伴随移动通信发展已有几十年的历史,随着智能化技术的发展,衍生而来的移动智能终端,尤其是Android系统及IOS系统,从根本上改变了终端作为移动网络末梢的传统定位,并且已经成为互联网业务的关键入口和主要创新平台,新型媒体、电子商务和信息服务平台,互联网资源、移动网络资源与环境交互资源的最重要枢纽。
[0003]随着智能终端技术的飞速发展,智能手机已经成为人们生活的重要组成部分。智能手机的市场份额剧增,其中Android手机已经占据市场主导地位。谷歌的Android是针对智能移动设备提出的一个综合性的软件框架,是以Linux为基础的开源的操作系统。Android作为一个开源的框架,它为大部分的软件和硬件组件提供API。第三方开发者通过使用Android软件开发工具包(SDK)提供的API可以开发自己的应用程序。不仅如此,开发者还可以开发和修改内核级的功能,这给智能手机平台带来了严重的安全威胁。虽然Android本身就具有良好的安全机制,如通过继承Linux的内核安全机制实现系统安全,通过沙盒实现应用程序代码的隔离,通过权限机制实现对数据的强制访问控制,但面对越来越高级、隐蔽的安全威胁,Android的原生安全机制是存在安全漏洞的,是远远不够的。
[0004]陪伴着移动互联网和移动智能终端的快速普及,移动互联网或者移动智能终端的安全问题日益突出。由于Android的开放性、移动性和可编程性,使得智能手机更容易受到各种恶意的攻击,如手机僵尸病毒、木马、蠕虫、移动僵尸网络等。这些恶意的攻击活动给智能手机用户造成了严重的损害,包括影响系统正常使用、恶意扣费、窃取用户隐私等,如恶意订购、自动拨打声讯台、自动联网等,造成用户的话费损失;利用木马软件控制用户的移动终端,盗取账户、监听通话、发送本地信息等。然而,除了上述传统安全威胁,近年来Android终端安全正在面临前所未有的挑战,这主要来自于有组织、有特定目标、持续时间极长的针对特定目标的高危可持续性攻击(APT, Advanced Persistent Threat)。这类攻击利用多种攻击手段,包括各种最先进的未知恶意程序入侵手段,新型僵尸网络的发展和社会工程学方法,甚至攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。因此APT攻击具有很高的隐蔽性,持续性,从而一步一步获取进入组织内部的权限,不断收集各种信息,直到盗取核心机密数据,关键文档,商业机密等。移动智能终端越来越多的涉及商业秘密和个人隐私等敏感信息,APT攻击更加可能利用移动智能终端的开放性攻击国家基础设施,给终端用户、通信网络,乃至国家安全和社会稳定造成恶劣影响,成为阻碍国家信息网络健康发展的绊脚石。
[0005]为了应对Android移动智能终端操作系统漏洞频现,导致病毒、木马、蠕虫、僵尸等在终端上大量传播;API保护机制欠缺,被恶意软件/病毒利用,造成用户资费安全,用户隐私安全等终端设备安全问题,市场上也出现了多款安全防护类软件,大部分手机上的安全防护产品是借鉴传统PC的安全防护思路开发出来的。智能手机的计算能力和电量资源有限,有一些针对PC的安全解决方案由于需要消耗大量的CPU、内存和电量,因此在智能手机上并不适用。针对智能手机面临的安全挑战,建立面向移动智能终端的入侵检测系统具有重要意义和实用价值。
【发明内容】
[0006]针对现有android系统安全机制在技术上存在的不足之处,本发明提出了一个轻量级的基于Android手机平台的入侵检测系统,来帮助用户发现手机上可疑的行为活动。
[0007]本发明公开了一种基于Android平台的入侵检测系统,其解决所述技术问题采用的技术方案如下:该基于android平台的入侵检测系统主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中,所述数据提取模块主要是对Android系统手机的主体活动信息进行特征提取,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;所述数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;所述响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作;
该入侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用贝叶斯分类器算法判断系统是否被入侵,完成对手机上的入侵行为的检测。
[0008]本发明公开的基于Android平台的入侵检测系统的有益效果是:
该基于Android平台的入侵检测系统,能够持续地监控智能手机在正常状态、受攻击状态下的信息,并对从Android手机系统搜集的信息进行特征提取,如网络流量、电量消耗、CPU使用率、运行的进程数等,并使用贝叶斯分类器算法判断系统是否存在入侵;为了更进一步分析Android系统异常和定位异常,在监控系统状态的同时,并对进程信息和网络流量信息进程监控;通过本发明所述入侵检测系统能够有效地检测Android手机的异
堂
巾O
【专利附图】
【附图说明】
[0009]附图1为本发明所述基于android平台的入侵检测系统的系统框架;
附图2为Android系统状态特征描述。
【具体实施方式】
[0010]下面通过附图和实施例,对本发明所述基于android平台的入侵检测系统做进一步详细说明,并不造成对本发明的限制。
[0011]附图1为本发明所述基于android平台的入侵检测系统的系统框架,如图1所示,本发明所述基于android平台的入侵检测系统,主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块。其中,数据提取模块主要对Android系统手机的主体活动信息进行特征提取,在此,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;数据分析引擎利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作。[0012]下面分别对本发明所述基于android平台的入侵检测系统的数据提取模块、数据分析引擎和响应处理模块进行详细说明。
[0013]1.数据提取
数据提取模块主要是对手机上的主体活动记录和信息进行有效的信息提取工作。手机在正常使用情况下,系统保持一个相对稳定的状态。一旦手机病毒入侵或者恶意代码攻击,系统状态会表现出不同程度的异常。比如“跟踪隐形人”手机病毒会在后台发送短信和联网,大量消耗用户的资费和流量,还有一些手机僵尸病毒会发起拒绝服务攻击,导致通信网络信息堵塞,影响用户对手机的正常使用。因此,为了及时的发现手机受攻击后表现的异常,更准确形象的描述系统正常行为的轮廓,有效的特征选择和提取至关重要。
[0014]从图1中可以看出,数据提取模块主要有三个功能组件构成,即系统状态监控、进程监控和网络流量监控。其中,系统状态监控实时监控系统的行为活动,并将提取的系统特征数据提供给数据分析引擎,数据分析引擎利用检测算法分析判断Android系统是否存在异常,但是仅仅发现Android系统存在异常是不够的。为了进一步分析Android系统异常并定位恶意软件,还需要进程监控和网络流量监控组件为数据分析引擎提供更详细的数据源;
1.1系统状态监控主要实时提取统计Android系统运行时的相关状态信息,如CPU使用率、电池耗电量、内存使用率、进程数量、流入网络流量、流出网络流量、发送的短信数量、发送的彩信数量等。在正常情况下,这些资源的使用情况都会维持在一个相对稳定的状态,一旦有恶意行为发生时,系统资源的使用情况会发生剧烈变化,进而导致系统状态产生波动。因而,系统的异常可以通过资源使用情况表现出来;
根据智能手机的特点及恶意软件对Android系统的影响情况,本文构造了一组
特征向量I =来反映Android系统的状态特征,向量中的每一个元素
一=1O代表Android系统的Iv状态特征。Android系统状态特征描述如附图2所
示:
图中的每一个特征=都有对应的取值,以CPU使用率为例,则有:
【权利要求】
1.一种基于Android平台的入侵检测系统,其特征在于,该基于android平台的入侵检测系统主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中,所述数据提取模块主要是对Android系统手机的主体活动信息进行特征提取,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;所述数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;所述响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作; 该基于Android平台的入 侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用检测算法判断系统是否被入侵,完成对手机上的入侵行为的检测。
2.根据权利要求1所述的基于Android平台的入侵检测系统,其特征在于,所述数据提取模块主要有三个功能组件构成,即系统状态监控、进程监控和网络流量监控,这三个功能组件独立运行,并对Android系统状态、进程和网络流量进行实时监控,将提取和整理的数据实时提供给数据分析引擎; 其中,所述系统状态监控实时监控系统的行为活动,并将提取的系统特征数据提供给数据分析引擎; 所述进程监控主要是对在手机上运行的所有进程信息进行特征提取工作,记录正在运行的进程数,而且实时监控所有进程,并提取出每一个进程的详细信息,包括进程号ID,进程CPU占用情况,进程内存占用情况,进程打开的文件个数,进程打开的套接字个数,进程的状态信息; 所述网络流量监控是对流入流出手机的数据流量进行分析和特征提取。
3.根据权利要求2所述的基于Android平台的入侵检测系统,其特征在于,所述进程监控需要将每个网络连接与手机上运行的进程信息关联起来,并以七元组的形式标识一条网络连接记录,七元组的形式为:
〈ID, Name, Srclp, Dstlp, ProType, SrcPort, DstPort> ;其中 (1)ID代表进程号; (2)Name代表进程名; (3)SrcIp代表源IP地址; (4)DstIp代表目的IP地址; (5)ProType代表协议类型; (6)SrcPort代表源端口号; (7)DstPort代表目的端口号。
4.根据权利要求1所述的基于Android平台的入侵检测系统,其特征在于,所述数据分析引擎是该入侵检测系统的核心模块,数据分析引擎对数据提取模块整理的数据进行分析,并根据所提取的数据特点,采用贝叶斯分类器算法分析判断Android系统是否存在异常行为。
5.根据权利要求4所述的基于Android平台的入侵检测系统,其特征在于,所述数据分析引擎采用朴素贝叶斯分类器算法分析判断Android系统是否存在异常行为;朴素贝叶斯概率估计条件概率分布P (CIX)中,C表示类变量,X表示待分类的数据,在该入侵检测系统中,类变量C有两种取值,即Cl= “正常”和c2= “异常”; 使用所述朴素贝叶斯分类器算法的具体步骤为:(1)提取特征向量:实时监控Android系统的运行状态si,自动抽取Εβ<?<1)的特征向量石=,iejr,特征向量昱由10个特征的取值构成; (2)标注候选样本:对于每标注其分类结果£^0<*¥2),则每个样本由特征值向量和类变量组成,可表示为二元组; (3)构造训练样本集合:随机抽取攻击样本和正常样本,按照1:Η的比例混合,构成训练样本集J5 =cj} , Q<m<l); (4)计算先验概率:通过计算可以得到在训练样本集中每个类别的先验概率,及每个特征属性对每个类别的条件概率IQ); (5)给定测试数据,提取特征值向量; (6)根据训练得到的先验概率计算后验概率== ? ; (7)比较两个后验概率,经过计算后所得的值的最大值为X的所属类别,即: JWizciAC= ClIX^xXPiC= C2IX = X)),得出判定结果。
6.根据权利要求4所述的基于Android平台的入侵检测系统,其特征在于,所述数据分析引擎首先根据训练样本集的行为特征,建立Android系统正常的行为轮廓,然后从待测试的数据中提取出行为特征并建立当前的行为轮廓,并将其与正常的行为轮廓进行比较,若超过既定的阀值,则认为系统存在异常行为,产生告警信息并交由响应处理模块进一步处理;否则,视为系统正常 行为。
7.根据权利要求4所述的基于Android平台的入侵检测系统,其特征在于, 该入侵检测系统通过贝叶斯分类器算法能够发现由恶意软件导致的Android系统异常;将Android系统异常与进程监控、网络流量监控的数据关联起来分析,能够精确定位到导致系统异常的恶意软件。
【文档编号】G06F21/55GK104008332SQ201410180420
【公开日】2014年8月27日 申请日期:2014年4月30日 优先权日:2014年4月30日
【发明者】丛戎, 何志平, 刘璧怡 申请人:浪潮电子信息产业股份有限公司
【专利摘要】本发明公开了一种基于Android平台的入侵检测系统,主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中数据提取模块主要是对Android系统手机的主体活动信息进行特征提取;数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作;该入侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用贝叶斯分类器算法判断系统是否被入侵,通过该入侵检测系统能够有效地检测Android手机的异常。
【专利说明】—种基于Android平台的入侵检测系统
【技术领域】
[0001]本发明涉及智能终端的入侵检测技术,具体涉及到一种基于Android平台的入侵检测系统。
【背景技术】
[0002]移动终端作为简单通信设备伴随移动通信发展已有几十年的历史,随着智能化技术的发展,衍生而来的移动智能终端,尤其是Android系统及IOS系统,从根本上改变了终端作为移动网络末梢的传统定位,并且已经成为互联网业务的关键入口和主要创新平台,新型媒体、电子商务和信息服务平台,互联网资源、移动网络资源与环境交互资源的最重要枢纽。
[0003]随着智能终端技术的飞速发展,智能手机已经成为人们生活的重要组成部分。智能手机的市场份额剧增,其中Android手机已经占据市场主导地位。谷歌的Android是针对智能移动设备提出的一个综合性的软件框架,是以Linux为基础的开源的操作系统。Android作为一个开源的框架,它为大部分的软件和硬件组件提供API。第三方开发者通过使用Android软件开发工具包(SDK)提供的API可以开发自己的应用程序。不仅如此,开发者还可以开发和修改内核级的功能,这给智能手机平台带来了严重的安全威胁。虽然Android本身就具有良好的安全机制,如通过继承Linux的内核安全机制实现系统安全,通过沙盒实现应用程序代码的隔离,通过权限机制实现对数据的强制访问控制,但面对越来越高级、隐蔽的安全威胁,Android的原生安全机制是存在安全漏洞的,是远远不够的。
[0004]陪伴着移动互联网和移动智能终端的快速普及,移动互联网或者移动智能终端的安全问题日益突出。由于Android的开放性、移动性和可编程性,使得智能手机更容易受到各种恶意的攻击,如手机僵尸病毒、木马、蠕虫、移动僵尸网络等。这些恶意的攻击活动给智能手机用户造成了严重的损害,包括影响系统正常使用、恶意扣费、窃取用户隐私等,如恶意订购、自动拨打声讯台、自动联网等,造成用户的话费损失;利用木马软件控制用户的移动终端,盗取账户、监听通话、发送本地信息等。然而,除了上述传统安全威胁,近年来Android终端安全正在面临前所未有的挑战,这主要来自于有组织、有特定目标、持续时间极长的针对特定目标的高危可持续性攻击(APT, Advanced Persistent Threat)。这类攻击利用多种攻击手段,包括各种最先进的未知恶意程序入侵手段,新型僵尸网络的发展和社会工程学方法,甚至攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。因此APT攻击具有很高的隐蔽性,持续性,从而一步一步获取进入组织内部的权限,不断收集各种信息,直到盗取核心机密数据,关键文档,商业机密等。移动智能终端越来越多的涉及商业秘密和个人隐私等敏感信息,APT攻击更加可能利用移动智能终端的开放性攻击国家基础设施,给终端用户、通信网络,乃至国家安全和社会稳定造成恶劣影响,成为阻碍国家信息网络健康发展的绊脚石。
[0005]为了应对Android移动智能终端操作系统漏洞频现,导致病毒、木马、蠕虫、僵尸等在终端上大量传播;API保护机制欠缺,被恶意软件/病毒利用,造成用户资费安全,用户隐私安全等终端设备安全问题,市场上也出现了多款安全防护类软件,大部分手机上的安全防护产品是借鉴传统PC的安全防护思路开发出来的。智能手机的计算能力和电量资源有限,有一些针对PC的安全解决方案由于需要消耗大量的CPU、内存和电量,因此在智能手机上并不适用。针对智能手机面临的安全挑战,建立面向移动智能终端的入侵检测系统具有重要意义和实用价值。
【发明内容】
[0006]针对现有android系统安全机制在技术上存在的不足之处,本发明提出了一个轻量级的基于Android手机平台的入侵检测系统,来帮助用户发现手机上可疑的行为活动。
[0007]本发明公开了一种基于Android平台的入侵检测系统,其解决所述技术问题采用的技术方案如下:该基于android平台的入侵检测系统主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中,所述数据提取模块主要是对Android系统手机的主体活动信息进行特征提取,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;所述数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;所述响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作;
该入侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用贝叶斯分类器算法判断系统是否被入侵,完成对手机上的入侵行为的检测。
[0008]本发明公开的基于Android平台的入侵检测系统的有益效果是:
该基于Android平台的入侵检测系统,能够持续地监控智能手机在正常状态、受攻击状态下的信息,并对从Android手机系统搜集的信息进行特征提取,如网络流量、电量消耗、CPU使用率、运行的进程数等,并使用贝叶斯分类器算法判断系统是否存在入侵;为了更进一步分析Android系统异常和定位异常,在监控系统状态的同时,并对进程信息和网络流量信息进程监控;通过本发明所述入侵检测系统能够有效地检测Android手机的异
堂
巾O
【专利附图】
【附图说明】
[0009]附图1为本发明所述基于android平台的入侵检测系统的系统框架;
附图2为Android系统状态特征描述。
【具体实施方式】
[0010]下面通过附图和实施例,对本发明所述基于android平台的入侵检测系统做进一步详细说明,并不造成对本发明的限制。
[0011]附图1为本发明所述基于android平台的入侵检测系统的系统框架,如图1所示,本发明所述基于android平台的入侵检测系统,主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块。其中,数据提取模块主要对Android系统手机的主体活动信息进行特征提取,在此,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;数据分析引擎利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作。[0012]下面分别对本发明所述基于android平台的入侵检测系统的数据提取模块、数据分析引擎和响应处理模块进行详细说明。
[0013]1.数据提取
数据提取模块主要是对手机上的主体活动记录和信息进行有效的信息提取工作。手机在正常使用情况下,系统保持一个相对稳定的状态。一旦手机病毒入侵或者恶意代码攻击,系统状态会表现出不同程度的异常。比如“跟踪隐形人”手机病毒会在后台发送短信和联网,大量消耗用户的资费和流量,还有一些手机僵尸病毒会发起拒绝服务攻击,导致通信网络信息堵塞,影响用户对手机的正常使用。因此,为了及时的发现手机受攻击后表现的异常,更准确形象的描述系统正常行为的轮廓,有效的特征选择和提取至关重要。
[0014]从图1中可以看出,数据提取模块主要有三个功能组件构成,即系统状态监控、进程监控和网络流量监控。其中,系统状态监控实时监控系统的行为活动,并将提取的系统特征数据提供给数据分析引擎,数据分析引擎利用检测算法分析判断Android系统是否存在异常,但是仅仅发现Android系统存在异常是不够的。为了进一步分析Android系统异常并定位恶意软件,还需要进程监控和网络流量监控组件为数据分析引擎提供更详细的数据源;
1.1系统状态监控主要实时提取统计Android系统运行时的相关状态信息,如CPU使用率、电池耗电量、内存使用率、进程数量、流入网络流量、流出网络流量、发送的短信数量、发送的彩信数量等。在正常情况下,这些资源的使用情况都会维持在一个相对稳定的状态,一旦有恶意行为发生时,系统资源的使用情况会发生剧烈变化,进而导致系统状态产生波动。因而,系统的异常可以通过资源使用情况表现出来;
根据智能手机的特点及恶意软件对Android系统的影响情况,本文构造了一组
特征向量I =来反映Android系统的状态特征,向量中的每一个元素
一=1O代表Android系统的Iv状态特征。Android系统状态特征描述如附图2所
示:
图中的每一个特征=都有对应的取值,以CPU使用率为例,则有:
【权利要求】
1.一种基于Android平台的入侵检测系统,其特征在于,该基于android平台的入侵检测系统主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中,所述数据提取模块主要是对Android系统手机的主体活动信息进行特征提取,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;所述数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;所述响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作; 该基于Android平台的入 侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用检测算法判断系统是否被入侵,完成对手机上的入侵行为的检测。
2.根据权利要求1所述的基于Android平台的入侵检测系统,其特征在于,所述数据提取模块主要有三个功能组件构成,即系统状态监控、进程监控和网络流量监控,这三个功能组件独立运行,并对Android系统状态、进程和网络流量进行实时监控,将提取和整理的数据实时提供给数据分析引擎; 其中,所述系统状态监控实时监控系统的行为活动,并将提取的系统特征数据提供给数据分析引擎; 所述进程监控主要是对在手机上运行的所有进程信息进行特征提取工作,记录正在运行的进程数,而且实时监控所有进程,并提取出每一个进程的详细信息,包括进程号ID,进程CPU占用情况,进程内存占用情况,进程打开的文件个数,进程打开的套接字个数,进程的状态信息; 所述网络流量监控是对流入流出手机的数据流量进行分析和特征提取。
3.根据权利要求2所述的基于Android平台的入侵检测系统,其特征在于,所述进程监控需要将每个网络连接与手机上运行的进程信息关联起来,并以七元组的形式标识一条网络连接记录,七元组的形式为:
〈ID, Name, Srclp, Dstlp, ProType, SrcPort, DstPort> ;其中 (1)ID代表进程号; (2)Name代表进程名; (3)SrcIp代表源IP地址; (4)DstIp代表目的IP地址; (5)ProType代表协议类型; (6)SrcPort代表源端口号; (7)DstPort代表目的端口号。
4.根据权利要求1所述的基于Android平台的入侵检测系统,其特征在于,所述数据分析引擎是该入侵检测系统的核心模块,数据分析引擎对数据提取模块整理的数据进行分析,并根据所提取的数据特点,采用贝叶斯分类器算法分析判断Android系统是否存在异常行为。
5.根据权利要求4所述的基于Android平台的入侵检测系统,其特征在于,所述数据分析引擎采用朴素贝叶斯分类器算法分析判断Android系统是否存在异常行为;朴素贝叶斯概率估计条件概率分布P (CIX)中,C表示类变量,X表示待分类的数据,在该入侵检测系统中,类变量C有两种取值,即Cl= “正常”和c2= “异常”; 使用所述朴素贝叶斯分类器算法的具体步骤为:(1)提取特征向量:实时监控Android系统的运行状态si,自动抽取Εβ<?<1)的特征向量石=,iejr,特征向量昱由10个特征的取值构成; (2)标注候选样本:对于每标注其分类结果£^0<*¥2),则每个样本由特征值向量和类变量组成,可表示为二元组; (3)构造训练样本集合:随机抽取攻击样本和正常样本,按照1:Η的比例混合,构成训练样本集J5 =cj} , Q<m<l); (4)计算先验概率:通过计算可以得到在训练样本集中每个类别的先验概率,及每个特征属性对每个类别的条件概率IQ); (5)给定测试数据,提取特征值向量; (6)根据训练得到的先验概率计算后验概率== ? ; (7)比较两个后验概率,经过计算后所得的值的最大值为X的所属类别,即: JWizciAC= ClIX^xXPiC= C2IX = X)),得出判定结果。
6.根据权利要求4所述的基于Android平台的入侵检测系统,其特征在于,所述数据分析引擎首先根据训练样本集的行为特征,建立Android系统正常的行为轮廓,然后从待测试的数据中提取出行为特征并建立当前的行为轮廓,并将其与正常的行为轮廓进行比较,若超过既定的阀值,则认为系统存在异常行为,产生告警信息并交由响应处理模块进一步处理;否则,视为系统正常 行为。
7.根据权利要求4所述的基于Android平台的入侵检测系统,其特征在于, 该入侵检测系统通过贝叶斯分类器算法能够发现由恶意软件导致的Android系统异常;将Android系统异常与进程监控、网络流量监控的数据关联起来分析,能够精确定位到导致系统异常的恶意软件。
【文档编号】G06F21/55GK104008332SQ201410180420
【公开日】2014年8月27日 申请日期:2014年4月30日 优先权日:2014年4月30日
【发明者】丛戎, 何志平, 刘璧怡 申请人:浪潮电子信息产业股份有限公司
最新回复(0)