本发明专利技术公开了一种基于Android平台的入侵检测系统,主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中数据提取模块主要是对Android系统手机的主体活动信息进行特征提取;数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作;该入侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用贝叶斯分类器算法判断系统是否被入侵,通过该入侵检测系统能够有效地检测Android手机的异常。
【技术实现步骤摘要】
—种基于Android平台的入侵检测系统
本专利技术涉及智能终端的入侵检测技术,具体涉及到一种基于Android平台的入侵检测系统。
技术介绍
移动终端作为简单通信设备伴随移动通信发展已有几十年的历史,随着智能化技术的发展,衍生而来的移动智能终端,尤其是Android系统及IOS系统,从根本上改变了终端作为移动网络末梢的传统定位,并且已经成为互联网业务的关键入口和主要创新平台,新型媒体、电子商务和信息服务平台,互联网资源、移动网络资源与环境交互资源的最重要枢纽。随着智能终端技术的飞速发展,智能手机已经成为人们生活的重要组成部分。智能手机的市场份额剧增,其中Android手机已经占据市场主导地位。谷歌的Android是针对智能移动设备提出的一个综合性的软件框架,是以Linux为基础的开源的操作系统。Android作为一个开源的框架,它为大部分的软件和硬件组件提供API。第三方开发者通过使用Android软件开发工具包(SDK)提供的API可以开发自己的应用程序。不仅如此,开发者还可以开发和修改内核级的功能,这给智能手机平台带来了严重的安全威胁。虽然Android本身就具有良好的安全机制,如通过继承Linux的内核安全机制实现系统安全,通过沙盒实现应用程序代码的隔离,通过权限机制实现对数据的强制访问控制,但面对越来越高级、隐蔽的安全威胁,Android的原生安全机制是存在安全漏洞的,是远远不够的。陪伴着移动互联网和移动智能终端的快速普及,移动互联网或者移动智能终端的安全问题日益突出。由于Android的开放性、移动性和可编程性,使得智能手机更容易受到各种恶意的攻击,如手机僵尸病毒、木马、蠕虫、移动僵尸网络等。这些恶意的攻击活动给智能手机用户造成了严重的损害,包括影响系统正常使用、恶意扣费、窃取用户隐私等,如恶意订购、自动拨打声讯台、自动联网等,造成用户的话费损失;利用木马软件控制用户的移动终端,盗取账户、监听通话、发送本地信息等。然而,除了上述传统安全威胁,近年来Android终端安全正在面临前所未有的挑战,这主要来自于有组织、有特定目标、持续时间极长的针对特定目标的高危可持续性攻击(APT, Advanced Persistent Threat)。这类攻击利用多种攻击手段,包括各种最先进的未知恶意程序入侵手段,新型僵尸网络的发展和社会工程学方法,甚至攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。因此APT攻击具有很高的隐蔽性,持续性,从而一步一步获取进入组织内部的权限,不断收集各种信息,直到盗取核心机密数据,关键文档,商业机密等。移动智能终端越来越多的涉及商业秘密和个人隐私等敏感信息,APT攻击更加可能利用移动智能终端的开放性攻击国家基础设施,给终端用户、通信网络,乃至国家安全和社会稳定造成恶劣影响,成为阻碍国家信息网络健康发展的绊脚石。为了应对Android移动智能终端操作系统漏洞频现,导致病毒、木马、蠕虫、僵尸等在终端上大量传播;API保护机制欠缺,被恶意软件/病毒利用,造成用户资费安全,用户隐私安全等终端设备安全问题,市场上也出现了多款安全防护类软件,大部分手机上的安全防护产品是借鉴传统PC的安全防护思路开发出来的。智能手机的计算能力和电量资源有限,有一些针对PC的安全解决方案由于需要消耗大量的CPU、内存和电量,因此在智能手机上并不适用。针对智能手机面临的安全挑战,建立面向移动智能终端的入侵检测系统具有重要意义和实用价值。
技术实现思路
针对现有android系统安全机制在技术上存在的不足之处,本专利技术提出了一个轻量级的基于Android手机平台的入侵检测系统,来帮助用户发现手机上可疑的行为活动。本专利技术公开了一种基于Android平台的入侵检测系统,其解决所述技术问题采用的技术方案如下:该基于android平台的入侵检测系统主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中,所述数据提取模块主要是对Android系统手机的主体活动信息进行特征提取,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;所述数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;所述响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作; 该入侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用贝叶斯分类器算法判断系统是否被入侵,完成对手机上的入侵行为的检测。本专利技术公开的基于Android平台的入侵检测系统的有益效果是: 该基于Android平台的入侵检测系统,能够持续地监控智能手机在正常状态、受攻击状态下的信息,并对从Android手机系统搜集的信息进行特征提取,如网络流量、电量消耗、CPU使用率、运行的进程数等,并使用贝叶斯分类器算法判断系统是否存在入侵;为了更进一步分析Android系统异常和定位异常,在监控系统状态的同时,并对进程信息和网络流量信息进程监控;通过本专利技术所述入侵检测系统能够有效地检测Android手机的异堂巾O【附图说明】附图1为本专利技术所述基于android平台的入侵检测系统的系统框架; 附图2为Android系统状态特征描述。【具体实施方式】下面通过附图和实施例,对本专利技术所述基于android平台的入侵检测系统做进一步详细说明,并不造成对本专利技术的限制。附图1为本专利技术所述基于android平台的入侵检测系统的系统框架,如图1所示,本专利技术所述基于android平台的入侵检测系统,主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块。其中,数据提取模块主要对Android系统手机的主体活动信息进行特征提取,在此,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;数据分析引擎利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作。下面分别对本专利技术所述基于android平台的入侵检测系统的数据提取模块、数据分析引擎和响应处理模块进行详细说明。1.数据提取 数据提取模块主要是对手机上的主体活动记录和信息进行有效的信息提取工作。手机在正常使用情况下,系统保持一个相对稳定的状态。一旦手机病毒入侵或者恶意代码攻击,系统状态会表现出不同程度的异常。比如“跟踪隐形人”手机病毒会在后台发送短信和联网,大量消耗用户的资费和流量,还有一些手机僵尸病毒会发起拒绝服务攻击,导致通信网络信息堵塞,影响用户对手机的正常使用。因此,为了及时的发现手机受攻击后表现的异常,更准确形象的描述系统正常行为的轮廓,有效的特征选择和提取至关重要。从图1中可以看出,数据提取模块主要有三个功能组件构成,即系统状态监控、进程监控和网络流量监控。其中,系统状态监控实时监控系统的行为活动,并将提取的系统特征数据提供给数据分析引擎,数据分析引擎利用检测算法分析判断Android系统是否存在异常,但是仅仅发现Android系统存在异常是不够的。为了进一步分析Android系统异常并定位恶意软件,还需要进程监控和网络流量监控组件为数据分析引擎提供更详细的数据源; 1.1系统状态监控主要实时提取统计Android系统运行时的相关状态本文档来自技高网...
【技术保护点】
一种基于Android平台的入侵检测系统, 其特征在于,该基于android平台的入侵检测系统主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中,所述数据提取模块主要是对Android系统手机的主体活动信息进行特征提取,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;所述数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;所述响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作;该基于Android平台的入侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用检测算法判断系统是否被入侵,完成对手机上的入侵行为的检测。
【技术特征摘要】
1.一种基于Android平台的入侵检测系统,其特征在于,该基于android平台的入侵检测系统主要由三部分组成,即数据提取模块、数据分析引擎和响应处理模块;其中,所述数据提取模块主要是对Android系统手机的主体活动信息进行特征提取,主要是对手机上的系统状态信息、进程信息和网络流量数据进行预处理;所述数据分析引擎是利用检测算法对提取和整理的数据进行分析,判断是否存在入侵行为或者异常行为;所述响应处理模块则根据数据分析引擎的分析结果执行相应的处理操作; 该基于Android平台的入 侵检测系统通过对手机的资源使用情况、进程信息和网络流量实时监控,并使用检测算法判断系统是否被入侵,完成对手机上的入侵行为的检测。2.根据权利要求1所述的基于Android平台的入侵检测系统,其特征在于,所述数据提取模块主要有三个功能组件构成,即系统状态监控、进程监控和网络流量监控,这三个功能组件独立运行,并对Android系统状态、进程和网络流量进行实时监控,将提取和整理的数据实时提供给数据分析引擎; 其中,所述系统状态监控实时监控系统的行为活动,并将提取的系统特征数据提供给数据分析引擎; 所述进程监控主要是对在手机上运行的所有进程信息进行特征提取工作,记录正在运行的进程数,而且实时监控所有进程,并提取出每一个进程的详细信息,包括进程号ID,进程CPU占用情况,进程内存占用情况,进程打开的文件个数,进程打开的套接字个数,进程的状态信息; 所述网络流量监控是对流入流出手机的数据流量进行分析和特征提取。3.根据权利要求2所述的基于Android平台的入侵检测系统,其特征在于,所述进程监控需要将每个网络连接与手机上运行的进程信息关联起来,并以七元组的形式标识一条网络连接记录,七元组的形式为:〈ID, Name, Srclp, Dstlp, ProType, SrcPort, DstPort> ;其中 (1)ID代表进程号; (2)Name代表进程名; (3)SrcIp代表源IP地址; (4)DstIp代表目的IP地址; (5)ProType代表协议类型; (6)SrcPort代表源端口号; (7)DstPort代表目的端口号。4.根据权利要求1所述的基于Android平台的入侵检测系统,其特征在于,...
【专利技术属性】
技术研发人员:丛戎,何志平,刘璧怡,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。