admin管理员组文章数量:1531430
2024年6月18日发(作者:)
《》熬蓍誊 鼗
《 懿蓍
的普及遇到了困难。许多研究人员提出了基于特征
值比对的改进方法,Bryan Dixon和Shivakant
Mishra利用了用户经常将设备与PC同步的习惯,
利用USB同步的空闲时间在PC上运行特征值比
对程序,查杀设备上的恶意软件,而特征库的更
新也在PC上完成 。这种做法几乎不占用设备资
源,但用户使用USB同步设备具有极大的不确定性,
他们可能很长时间才会与P C进行一次同步,或者
一
次同步时间过短,使得检测周期无法确定,最终
导致检测效果具有很大的不确定性。Guoning Hu
和Deepak Venugopal使用通用特征值标记同一类
恶意代码,压缩特征库以减小系统开销 。但却仍
然无法解决特征库更新滞后的问题。
(2)启发式扫描。本方法检测的是程序的可疑逻
辑,而非特征代码,因此可检测未知恶意软件。但
在具体实现过程中,启发式扫描法不但要扫描文件,
还要运用复杂算法判断恶意软件的可疑程度,对于
计算性能极其有限的智能手机的可行性有待商榷。
吴俊军等人提出了一种基于隐马尔科夫模型的启发
式行为恶意软件监测技术 ,但其在启发式分析方
法等方面仍有提高空间,而系统学习的恶意软件样
本不足时,该方法判别准确性也将下降。
(3)基于行为监测的恶意软件检测。事实上,本
方法是目前主流的研究方向,具体有以下几种方
法:
①系统调用监听。Shuaifu Dai等使用API监
听技术实时监听应用程序API调用情况,并和恶意
行为特征库比对 ,此类特征库描述包括变种在内
的恶意软件群,因此特征库数据更小,效率更高。
②代码分析。Thomas Biasing等提出了一种
沙箱检测方法 ,该方法由两部分组成,静态分析
在应用程序安装到实体设备前就可以进行粗检验,
动态分析在沙箱中执行应用,沙箱和检测算法可以
在云端部署和执行。
2 0 1 2.0 9
12 圆I== 圈
“e nsC‘ 0 f 1
1异常流量及恶意软件判定方法
综合比较和分析现有恶意软件检测技术的优劣,
基于行为监测的恶意软件检测更适用于在智能手机
上使用和推广,恶意软件往往会联网下载大量恶
意代码及其他非法信息,因此,手机被安装恶意软
件后,往往伴随着流量的突发性爆长。现在提出一
种基于异常流量监测的智能手机恶意软件检测方法,
该方法属于基于行为监测的恶意软件检测。
1.1正常流量统计拟合
为了检测出异常流量,需要以正常流量作为参
考,因此先考虑如何描述智能手机中正常流量特
征,现进行如下统计实验,并进行统计拟合。实验
环境:4部载有Android 2.3.3系统手机,网络环
境:CDMA2000,手机中应用软件:腾讯QQ,手
机人人网,UC浏览器,Android Market,微博,
酷狗音乐盒,墨迹天气等常见应用。
在规定时间内,多名用户按照各自使用习惯使
用上述配置手机,系统实时监测并统计出每分钟流
量开销X=(x ,X:,X ”,X ),其中X。,X:,…X
分别为实验开始后系统第1分钟,第2分钟至第n
分钟消耗流量,现列出4用户频数分布直方图,如
图l所示。
l l l童
麓, 一一 = ……~…一 j ~… ~一
通过观察发现:若智能手机中不存在异常流量
行为,其流量消耗可以被拟合为韦布尔分布。其概
率分布函数如(1)式所示。
m 小 一
剖 ㈩
(1)式中,E. .。分别为形状参数、位置参数和
J|薹J甏 蚕'It E R喇 _啊匿
尺度参数。现在使用概率权重矩法对未知参数进行
估计,试验样本概率权重矩的估计值为
(2)
用概率权重锚表示韦布尔分布参数的估计值为
In 2
h
II,l。 ! i
2M: Jj n 』
扎” 、 ,』 』 )
4M 。
一
"
1M
; 。
;
n
1。I;
o-一一一
r
l lIl1 l‘1,l! t
。I
251,, / (3)
利用(2),(3)式计算得以上四组流量的E, ,o
数据如表1所示,拟合曲线如图1所示。
表1图1中四组流量拟合曲线参数
由以上图表可见,韦布尔分布可以比较好地拟合
出智能手机正常流量分布特点,对于不同用户的使用
习惯,只是在拟合参数上有所差别。因此,可以被拟
合为韦布尔分布的流量即被认为是正常流量。下面主
要探讨如何利用该拟合函数进行异常流量检测。
1.2异常流量检测
在具体说明异常流量检测方法之前,需要说明
的是:系统流量拟合韦布尔曲线中的参数∈, ,o
将实时更新,系统每新检测到一个流量数据后,若
被检验为正常流量,则会被添加进直方图中,系统
根据此时的直方图重新拟合,计算韦布尔概率函数
的参数E, ,o。
我们发现韦布尔拟合曲线为一条先增后减的
曲线,通过最高点后,f(x)单调递减并且收敛于0,
利用此特点,可以将实际流量统计直方图与不断更
新拟合的流量曲线相比较。考虑到出现异常流量后
将不符合韦布尔分布及智能手机运算能力的局限性,
采用如下算法:
F(X)为韦布尔拟合曲线所对应的关于流量X的
概率分布函数,f(x)为F(x)所对应的概率密度函数,
x 为x.到x 中的最大值。将0到X 。 平分为171
个宽度为X /n的窗口,S.为第i个窗口下系统实
际检测流量。分别对这i"1个窗口的f(x)积分,并与
直方图相减得到 ×,若流量正常,△x应趋近于0。
第k个窗口的流量差
_l】川圳 一{ex ( 1 -II 一 ( 川
(4)
经数据仿真分析,若实际的流量直方图能够较
好地被分布曲线拟合,则被视为正常流量,反之,
则可被视为异常。利用这一特点便可以进行异常流
量检验。现在具体讨论检测办法:
先给出异常流量判别条件:
△ ≥
△ 2 k
.
≥O.027 S
(5)
实际计算中,(5)式按如下(6)式计算:
一
凡
-
必须同时满足(5)式中各式,才会被判定为异
参
常流量。其中(1),(2)式要求当前窗口流量大于等
于其左右相邻窗口流量,即该流量出现频度较相邻
州
∽
流量较高,不符合韦布尔拟合函数通过最高点后单
调递减的分布特点;(3)式要求流量必须有量的累
积才可被判定为异常,认为该异常流量累计占总流
量0.027以上才可以被判定为异常。(
㈤
3)式中的系
数0.027是一个经验值,说明如下:
随机产生800组流量数据,其中400组为异常
数据,不断修改(3)式中的系数,发现为0.027时,
检测率较高,且虚警率较低,统计此时算法检测率
为0.935,虚警率为0.03l,现通过3组具有代表
性的仿真数据样本,进一步说明上述算法可有效控
制虚警等现象发生,对异常流量检测具有较高的准
确性。
2 0 1 2,0 9
弱E==瓯豳13
WW' ̄A/.1 Sc OIg Cn
《 《》熊 鼍J 薹鼍
S E《 垦鼍
表2三组仿真数据中某窗口关于式(5)、(6)相关计算值
表2列出了三组仿真数据中某窗口在式(
一
图2 三组仿真数据统计直方图及其拟舍曲线
一
5)、
(6)中的相关计算值,图2为三组仿真数据拟合曲线,
现具体说明如下:
(1)本组检测样本的特点为有噪声。如图2左
中虚线框内所示流量即为典型的噪声流量。用户在
正常使用过程中,偶尔也会出现短时间的流量大量
消耗,但这些流量却不是异常的,而应被视为噪声,
若将噪声判定为异常流量,即造成了虚警。表2中
第l组计算数据表明:虽然 Xk大于 Xk+l和  ̄kl但由
于sk小于总流量2%,因此被判定为噪声,而非异
常流量。
(2)本组检测样本特点是大流量出现频率高,但
在较大范围内始终保持高流量消耗,造成这类现象
的原因与用户的使用习惯有关,如:长时间观看流
媒体节目、下载或频繁地系统更新等,此类流量也
不可判定为异常。表2中第2组所计算结果表明:
小于 和 ,因此只能说明用户具备大量消
耗流量的习惯,而非由于某异常应用的规律性操作
而产生的有规律大流量,不满足式(5)、(6)的判定
条件,亦视为正常流量.
(3)本组样本中含有典型的异常流量分布。由
图2右图可见虚线框内为典型的异常流量分布。表
内计算数据说明 大于 + 和 ,且s 大于0.027,
该流量被判定为异常。
检测出异常流量后,立刻记录下此时系统内正
在运行的应用程序至13志文件,后根据先验知识可
逐步筛选并判断出异常应用。
1.3仿真实验验证
2 f)1 2 O 9
14 圃【==lji围
为了验证上述异常流量检测方法及相关参数具
有一定的可靠性,现随机产生3组仿真数据,每组
含有800条流量数据,而三组数据在随机时各有侧
重:第一组数据侧重检验噪声流量对检测算法虚警
率的影响;第二组数据侧重于检验算法对大流量高
频率出现时的抗干扰能力,第三组数据侧重于对算
法检测准确性的检验。
代入以上算法进行检测,检测结果如表3所示。
表5仿真实验验证结果统计
l 378 383 0 976
2 4l2 427 0 98l
3 399 408 0 975
仿真结果表明,本算法在检测异常流量时具有
较高的检测率,同时控制了虚警率,具有一定的使
用价值.
2结语
本文在分析智能手机恶意软件特点及当今检测
方法的基础上,提出了基于统计拟合的异常流量及
恶意软件检测方法,此方法仅需要建立一个极小的
记录流量的数据库,利用统计学方法判断流量异常,
进而判定设备中恶意软件的存在。由于计算分布函
数参数的过程中未使用迭代等方法,算法对系统资
源需求低,符合设备的硬软件特点。今后的研究目
标是:设计出更合理、灵活的统计模型以更加准确
地检测出异常流量,并设计出更有效的恶意软件判
别方法。
一
C《, lj 雕鼗
S l!l |j
可移植性:因为Servlet是由Java开发的符合
规范定义和广泛接收的API,它可以在不同的操作
系统平台和不同的应用服务器平台下移植。
功能强大:Servlet可以使用Java API核心的
围,通过这种Java应用程序开发平台,可以开发
许多新的功能强大的信息产品,同时加上各种移动
网的通信功能,还可开发功能强大的网络程序,让
用户使用移动设备象使用桌面电脑一样方便地进
行Internet的各种应用,但是作为这些小型设备的
所有功能,这些功能包括Web和URL访问、图像
处理、数据压缩、多线程、JDBC,RMI、序列化
对象等。
应用开发平台,应用的安全问题将越来越受到重视。
J2ME通过3层体系面向市场,同时它又在配置层
采用了必要的安全策略,用以保障J2ME应用的安
全1生。
模块扩展性和灵活性:Servlet本身的接口设计
得非常精简,使得它具有很强的扩展性和灵活性。
移动互联网信息安全监管试验系统中服务器
端采用Servlet负责响应移动客户端MIDlet程
序的请求。Servlet一般直接继承H ttpServlet,
HttpServlet封装了编写Http协议的Servlet的大
参考文献
[1]Coss M,Sharp R.The network processor decision[d].Bell LabS
Technical Journa1.2004,9(1):1 77--1 89.
【2】D.Johnson,C.Perkins and J.Arkko,”Mobility Support in
IPv6”
,
部分功能。Servlet中有两个方法,一个是doGet(),
它负责响应Http Get请求;另一个是doPost(),
gFC5775,June 2004.
[s]J.Arkko,V.Devarapalli and F.Dupont,”Using IPSec to
Protect Mobile IPv6 Signaling Between Mobile Nodes and Home
Agents”
,
它负责响应Http Post请求。doGet()或doPost
()方法被service()方法的默认实现所调用,并把
request对象和response对象作为参数传递给该函数。
R,FC 5776,dune 2004.
[4]Glenn M Keeni,Kazuhide Koide,Kenichi Nagami and Sri
Gundavelli.”Mobile IPv6 Management Information Base<draft—
ietf-mipv6一mib-07.txt>” March 7 2005.
在整个系统中,Servlet作为无线终端和
JavaBean的中间层,负责客户端和应用服务器之
问的信息传递,JavaBean用来进行逻辑运算,驱
动JDBC和数据库进行连接,完成数据的存储。
[51M.Benantar.The Internet public key infrastructure.IBM Systems
lo1]rnaI 200 1.648—666
968一),女,高级讲师,本科学历。
作者简介:
肖莉贞(1
研究方向:
网络技术高为民(1 975一),男,副教授,硕士,
4结语
J2ME技术的引人扩大了Java技术的使用范
研究方向:
网络信息安全。
2-08-08
收稿日期:
201
(上接第1 4页)
on Dependable Systems and Networks Workshops,2 0 1 Die].
Chicago.IL.USA:1 62-I 65.Mobile Phone Virus Defense based
[6]An Android Application Sandbox System for Suspicious Software
Detection:Malicious and Unwanted Software(MALWABE),2 0 1 0
Of Heuristic Behavior—checklng【J】.Computer Engineerting&
Science,201 0,52:55.
5th International Conference on,20 1 o[c】.55-62.
[吴俊军,方明伟,张新访.基于启发式行为检测的手机
病毒防治研究[J].计算机工程与科学。201 0,52:55]
作者简介:洪云峰(1 990一),男,本科,研究方向为移动
互联网设备安全;徐超(1 990一),男,本科,研究方向
为网络安全;苏顿昕(1 992一)女,本科,研究方向为信
息安全与通信协议。
[5]Shuaifu Dai,Yaxin Liu,Tielei Wang et a1.Behavior—
Based Malware Detection on Mobile Phone:Wireless Communications
Networking and Mobile Computing(WiCOM),20 1 0 6th International
收稿日期:201 2一O6—25
Conference on,201 o[c].1—4.
2 0 1 2.0 9
18;圃l==IEj圈
WWWthSC org cn
版权声明:本文标题:基于异常流量监测的智能手机恶意软件检测研究 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/shuma/1718717941a716097.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论