毕业论文-基于异常的android手机系统入侵检测研究

毕业论文-基于异常的android手机系统入侵检测研究内容摘要：

之间的通用性和互联性将在最大程度上得到保持。 应用平等 :所有的应用之间是完全平等的。 所有的应用都运行在 一个核心的引擎上面 ,这个核心引擎其实就是一个虚拟机 ,他提供了一系列用于 应用和硬件资源间通讯的。 撇开这个核心引擎的所有其他的东西都是 . “应用。 应用无界限 :打破了应用之间的界限 ,比如开发人员可以把 上的数据与本地的联系人 ,日历 ,位置信息结合起来 ,为用户创造全新的用户体 验。 快捷方便 :平台为开发 人员提供了大量的使用库和工具 ,开发人 员可以很快速的创建自己的应用。 例如在别的手机平台上要进行基于位置的应用 的开发是相当的复杂 ,而将 集成了进来 ,开发人员通过简单 的几行代码就可以实现一个应用。 .入侵检测技术概况 年的月 , .为一个保密客户做了一份题为“计算机安全 威胁监控与监视’’的技术报告【 ,入侵检测由此而生。 在众多学者不懈的研究之下 , . 经历了余年的发展 ,当今的入侵检测理论已经相对成熟。 基于异常的手机系统入侵检测研究 ..入侵检测的概念 美国国家安全通信委员会在年给出的关于“入侵检测的定义为 :入 侵 检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。 简单 的说 ,入 它通过从计算机网络或 主机系统 全策略的行为和遭到入 系统应当具有以下几个 侵的痕迹 特点 : 经济性 :入侵检测系统意在保障系统安全策略的实施 ,然而其引入的前提 是不得妨碍系统的正常运行。 时效性 :入侵检测系统期望在事前发现攻击企图 ,实际中往往是在攻击行 为的发生过程中检测到的。 入侵检测必须具有时效性。 如果在系统被入侵之后才 发现有攻击行为 ,意味着系统已经被控制或者面临着后续攻击的可能性 ,入侵检 测已经没有意义。 安全性 :无 法保障入侵检测系统自身的安全性就意味着检测信息无效 ,而 更严重的威胁是入侵者可能已经控制了入侵检测系统即获得了系统的控制权 ,因 为一般情况下入侵检测系统都是以特权状态运行的。 可扩展性。 可扩展性存在于两个方面 ,一种体现于机制与数据的分离 ,它 要求现有机质不变的前提下能够检测新的攻击。 另一种体现于整个系统的体系结 构 ,它要求在不对系统的结构进行修改的前提下能够对检测手段进行调整 ,以此 来保证能够检测新的攻击。 ..通用入侵检测模型 在众多学者的不断努力下 ,入侵检测技术在短短的年间有着飞速的发展 , 并逐步走向了 智能化与分布式化。 然而 ,无论是哪种入侵检测系统 ,都必须含有 数据提取 ,数据分析 ,结果处理这三个过程。 图 .给出了通用入侵检测系统的框 架图。 第章智能手机及入侵检测技术概况 数 数 结 据 据 果 处 提 分 理 取 析 玲 砂 图 .通用入侵检测系统框架图 .. 数据提取模块将完成为系统提供数据的任务 ,而这些数据数可以是主机上的 日志信息、变动信息 ,也可以是网络上的数据信息 ,甚至是流量变化等。 数据提 取模块在获得数据之后会对数据进行一系列的处理 ,如简单的过滤、数据格式的 标准化等 ,之后会将其处理结果提交给数据分 析模块。 数据分析模块将对数据进行详细地分析 ,发现攻击并根据分析的结果产生事 件 ,并将其分析结果传递给处理模块。 数据分析的方式多种多样 ,可以简单到对 某种行为的计数如一定时间内某个特定用户登录失败的次数 ,或者某种特定类 型报文的出现次数 ,也可以是一个复杂的专家系统。 该模块是一个入侵检测系统 的核心。 结果处理模块的作用在于告警与反应 ,即将告警信息反馈给管理员或者用户 , 并针对入侵与否采取进一步措施。 入侵检测系统模型比较多 ,比较有代表性的是 ..和 提出的实时入侵检测系统通用框架。 该模型由六个部分组成 ,分别是 主体、 则、轮廓特征、审计记录和异常记录。 正是由于该模型框架与 境、系统脆弱性以及入侵类型无关 ,使之成为了较为通用的入 .为该模型的框架图。 基于异常的手机系统入侵检测研究 图 . 框架图 .. 入侵行为具有广泛和复杂的特点 ,依靠某个单一的检测出所有的入侵行 为并不现实 ,所以就需要一个和其他的合作进行检测。 为了尽可能减少系统之间的耦合 ,在入侵检测的标准化工作方面 , 做出了巨大的贡献。 其中最为关键的就是提出了一种通用的入侵检测系 统。 图 .是的框架图。 在第章智能手机及入侵检测技术概况 事件分析器、响应单元、事件数据 库。 模块之间交换的数据被抽象为。 事件产生器首先会从环境中抽取感兴趣的信息 ,然后把这些信息按照一定格 式进行转化 ,目的是为了方便系统的其它部件使用。 事件分析器依据时间标签对 信息进行处理 ,它将完成真正意义上的入侵检测 ,之后会将结果以的形式进 行封装 ,这里我们可以将它看做是输入时间的总结或综合。 事件数据库一方面保 存时间记录 ,一方面被用来持久保存所有需要保存的对象。 响应单元功能要 简单些 ,它只包括按照输入的进行响应的反击行为。 ..入侵检测的分类学方法 为了进一步对入侵检测的方法进行研究 ,我们将从不同的着眼点对入侵检测 的方法进行分类。 图 .给出了常见的入侵检测系统的分类。 图 .入侵检测分类图 .. 按照数据来源的不同 ,可以将入侵检测系统分为类 : 基于主机 :系统获取数据的依据是系统运行所在的主机 ,保护的目标也是 系统运行所在的主机。 基于网络 :系统获取的数据来源是网络传输的数据包 ,保护的目标是网络 的运行。 混合型 :混合型就是既基于主机又基于网络 ,因此混合型一般也是分布式 的。 根据数据分析方法的不同 ,可以将入侵检测系统分为两类 : 该模型首先总结正常操作应 该具有的特征 ,例如特定用户基于异常的手机系统入侵检测研究 的操作习惯于某些操作的频率等。 在得出正常操作的模型之后 ,对后续的操作进 行监视 ,一旦发现偏离正常统计学意义上的操作模式 ,即进行报警。 这种模型建 立的系统需要具有一定的人工智能。 由于人工智能领域本身的发展缓慢 ,基于异 常检测模型建立入侵检测系统的工作进展也不是很好。 误用检测模型 :“误用”一词在这里可理解为不正确的使用。 这种模型的 特点是收集非正常操作也就是入侵行为的特征 ,建立相关的特征库。 在后续的检 测过程中 ,将收集到的数据与特征库中的特征代码进行比 较 ,得出是否存在入侵 的结论。 可以看出 ,这种模型与非主流的病毒检测方式基本一致。 当前流行的系 统基本采用了这个模型。 按照数据分析发生的时间不同 ,可以分为 : 脱机分析 :就是在行为发生后 ,对产生的数据进行分析 ,而不是在行为发 生的同时进行分析。 如对日志的审核 ,对系统文件的完整性检查等都属于这种。 一般而言 ,多级分析也不会间隔很长时间 ,所谓的脱机是与联机相对而言的。 联机分析 :就是在数据产生或者发生改变的同事对其进行检查 ,以发现攻 击行为。 这种方式一般用对网络数据的实时分析 ,对系统资源要求比较高。 按照系统各个 模块运行的分布方式不同 ,可以分为 : 集中式 :系统的各个模块包括数据的收集与分析以及响应模块都集中在一 台主机上运行 ,这种方式适用于网络环境比较简单的情况。 分布式 :系统的各个模块分布在网络中不同的计算机、设备上 ,一般来说 分布性主要体现在数据收集模块上 ,例如游戏系统引入的传感器 ,如果网络环境 比较复杂、数据量比较大 ,那份数据分析模块也会分布 ,一般是按照层次性的原 则进行组织 ,例如的结构。 ..基于异常的入侵检测系统 基于异常的入侵检测系统的方法源于这样的思想 :正常行为都体现出一定的 规律性 ,通过分析这些行为 的日志信息就可以总结出这些规律 ,而入侵和滥用行 为则通常和正常的行为存在严重的差异 ,通过检查出这些差异就可以检测出入侵。 这样 ,就能够有效的对非法的入侵行为进行检测。 此外不属于入侵的异常用户行 为也能被检测到。 第章智能手机及入侵检测技术概况 为了完成上述的检测 ,系统通常考虑下述几个问题 : 用户的行为有一定的规律性 ,如何选择数据来表现用户的这些有规律的行 为。 这些数据必须能够反映用户的行为 ,而且能够容易地获取和处理。 通过上面的数据 ,如何有效的表示用户的正常行为 ,使用何种方法和数 据反映出用户正常行为的概貌 ,使用何种方法学习用户的新行为对于整个系统 来说都很关键。 而且 ,这种入侵检测系统通常运行在用户的机器上对用户行为进 行实时监控 ,因此所有使用的方法必须具有一定的时效性。 一般来说 ,基于异常 的入侵检测系统的主要区别就在于学习和检测方法的不同。 另外也要考虑到学习过程的时间长短、用户行为的时效性等问题。 正如前面所介绍的 ,一个通用的入侵检测系统是由数据提取模块 ,数据分析 模块和结果处理模块组成 ,下面就针对这三个部分进行进一步的讨论。 通常基于异常的入侵检测系统的检测是针对某个特性的对象 ,这个对象可以 是某个程序。 监视对象的行为 ,学习这个对象的行为特征 ,以便产生这个对象的 行为概貌 ,并通过监视对比学习到的行为概貌检测出这个对象的异常行为 ,产生 警告并作出相应的反应。 其中的监视行为是数据提取模块需要做的工作。 此外 , 根据其后的检测过程 ,本模块还把原始数据格式化成为特定格式的数据 ,以便分。