【Android论文栏目提醒】：网学会员为需要Android论文的朋友们搜集整理了基于Android防火墙日志系统的研究与实现 - 期刊论文相关资料，希望对各位网友有所帮助!

第 27 卷 第 4 期 北 京 信 息 科 技 大 学 学 报 Vol． 27 No． 4 2012 年 8 月 Journal of Beijing Information Science and Technology University Aug． 2012文 章 编 号： 1674 － 6864（ 2012） 04 － 0007 － 05 基于 Android 防火墙日志系统的研究与实现 1 1 2 2 康海燕 ，陈 然 ，苑晓姣 ，李清华 （ 1． 北京信息科技大学 信息管理学院，北京 100192； 2． 北京信息科技大学 计算机学院，北京 100192） 摘 要： 针对 Android 防火墙中的日志系统以及基于日志的入侵检测技术进行了深入研 ， 究 提出了误用检测和异常检测相结合的方法对手机防火墙日志进行入侵检测 ， 同时将数据挖掘 ， 相关领域的理论和技术应用于入侵检测技术中 通过自主学习和分析各种隐私日志， 建立和更新 正常特征库和误用特征库，从而实现用户隐私保护，并能对一些木马进行查杀与修复。

     实验结果 证明，该方法对入侵行为具有较高的检测率和较低的误报率 ，具有较大的实际应用意义。

     关 词： 防火墙； 日志； Android； 隐私保护 键 中图分类号： TP 312 文献标志码： A A study on firewall log for enhancing privacy on Android KANG Hai- 1 ，CHEN Ran1 ，YUAN Xiao- 2 ，LI Qing- 2 yan jiao hua （ 1． School of Information Management，Beijing Information Science and Technology University，Beijing 100192，China； 2． School of Computer，Beijing Information Science and Technology University，Beijing 100192，China） Abstract： This paper is to study firewall log and log-based intrusion detection technology． A method that combines misuse detection and anomaly detection is proposed to analyze firewall log for intrusion detection． The theory of data mining is applied in related areas and technology for intrusion detection． Normal and misuse feature database are created and updated through self-study and analysis of firewall logs in order to achieve user privacy protection． Experiments show that this method has a high intrusion detection rate and low false alarm rate，with a great significance of practical application． Key words： firewall； log； Android； privacy preserving 弱，尤其在主观上忽视了隐私的保护。

     针对手机隐0 引言 私的主动攻击越来越多，而且以攻击手机的日志系 Android 是基于 Linux 平台开发出来的，具有一 统为主，本研究正是在这种状况下产生的 。

    个开放式体系结构，是由 Google 于 2007 年底提出 目前，基于日志的入侵检测常用方法有误用入 〔1〕来的开源手机操作系统 。

     从 2010 年以来， 针对 侵检测和异常入侵检测。

    误用入侵检测是根据已知 〔2〕Android 系统的恶意攻击增长了 4 倍 。

     而此时的 的系统或应用程序漏洞建立异常行为模型 ，然后将安全软件 却还没有提供足够的保护。

     随着手机网 用户行为与之进行匹配，相同则为入侵。

     这种检测络规模的不断扩大，手机防火墙成为人们关注的话 方法误报率低、漏报率高、检测速度快，可以检测在题，目前的技术已不能适应错综复杂的网络环境 。

     特征库内存有其特征的入侵行为，但对新的入侵行基于 Android 的防火墙在保留传统集中式防火墙优 为和已知入侵行为的变种却没有检测能力 。

    异常入势的同时，不断扩展新的功能，减小甚至摆脱对网络 侵检测正好相反，它试图建立正常的行为模型，把当拓扑结构的依赖性，更好地适应网络规模的扩展，更 前主体的活动与正常的行为模型进行对比 ，如果相好地满足企业信息化带来的更高的安全要求 。

    调查 异度超过了预设的阀值，就说明是入侵行为； 否则不数据表明，现在人们在使用手机时，安全意识很薄 是入侵行为。

    这种模型的优点是可以检测到一些未收稿日期： 2012- 29 03-基金项目： 北京市教委科技计划面上项目（ KM201211232014） ； 教育部人文社会科学项目（ 11YJC870011） ； 北京市高校学术创新团队建设计划 项目（ PHR201106133）作者简介： 康海燕（ 1971—） ， 河北灵寿人， 男， 博士，副教授，主要从事信息安全和网络隐私保护方面的研究。

     8 北京信息科技大学学报 第 27 卷知的攻击，但是这种模型往往不能完全反映计算机 应用软件组成，其系统体系结构主要分为 4 层， 由上系统复杂的动态本质，因而很难建模，且误报率高。

     而下依次为应用程序 （ Application） 、应用程序框架本研究将结合误用检测和异常检测方法实现综合入 （ Application Framework ） 、 心 类 库 （ Libraries and 核侵检测与防范，达到隐私保护的目的。

     Android Runtime） 、Linux 内核（ Linux Kernel） 〔1〕。

     基 于 Android 的防火墙功能是由基本设置、 情景设置、1 相关研究 来电分析、短信过滤、病毒查杀、日志分析构成的，如 目前， 国外很多公司和研究人员对基于日志的 图 1 所示。

    其中，日志分析是主要研究的部分。

     日 〔3 － 8〕安全审计技术做了大量的研究工作 。

    Security 志特指描述 Android 系统行为的记录，就是指系统Focus 有专门的邮件列表供研究人员讨论日志与安 所指定对象的这些操作和其操作结果按时间有序的全审计技术， 安全专家 Bruce Schneie 也在其公司网 集合。

    每个日志文件由一系列的日志记录组成，每站上列出了日志分析资源， 美国安全杂志评测出一 条日志记录了一次单独的系统事件。

     通常情况下，批比 较 优 秀 的 日 志 与 安 全 审 计 工 具。

     例 如 Web 系统日志是用户可以直接阅读的文本文件 ，其中包Trends Firewall Suite，它可以对防火墙日志进行统计 含了一个时间戳和一个消息或者子系统所特有的信分析，并能给出详细的统计报表和图表； GFI 软件公 息。

    日志文件为服务器、工作站、路由器、防火墙和司开发的 LAN guard Security Event Log Monitor 可完 应用软件等计算机信息系统相关活动记录必要的 、成基于所有 Windows 操作系统的日志事务的入侵检 有价值的信息，这对系统系统维护和安全审计十分测； NFR 安全公司的 SLR（ Secure Log Repository） 和ISS 公司的 SLM（ Secure Log Manager） 可对 Windows、 重要。

    Unix、Linux 等多种操作系统的日志文件进行统一存 日志分析的具体思路是： 首先，用聚类分析的方储和管理。

     法将预处理后的大量原始日志数据划分出正常行为 与国外相比，国内对 Android 平台下的日志和 库和异常行为库 2 部分； 其次，对异常行为库进行特安全审计的研究，主要体现在安全设备日志的集中 征提取，形成误用特征库，对正常行为库进行关联规管理和网络入侵检测， 而且对手机上的安全研究不 则挖掘和序列模式挖掘，形成正常特征库； 然后，利够深入，如从 Android 的防火墙中的日志系统入手， 用正常特征库和误用特征库，结合误用检测和异常解决客户手机隐私的问题的研究 。

     检测方法，对数据包进行入侵检测分析，从而实现用 户隐私保护与安全。

     另外，针对日志攻击木马和安2 防火墙日志系统的设计和关键技术 全漏洞进行查杀与修复。

     目前，应用于入侵检测系 统中的数据挖掘算法主要有关联分析、序列模式分 Android 平台由操作系统、中间件、用户界面和 析、聚类分析。

     图1 基于 Android 防火墙的体系结构第4 期 康海燕等： 基于 Android 防火墙日志系统的研究与实现 92. 1 原始日志库 2. 3 结合误用检测和异常检测方法实现入侵检测 原始日志数据库是由防火墙各组成部分的日志 根据所检测数据的不同特征，使用下面的步骤信息，包括联网的日志、防火墙的日志和其他系统软 进行检测。

    件的日志记录。

     1） 误用检测〔10〕。

     首先，将采集到的当前数据2. 2 聚类分析 与误用特征库的入侵标志进行比较，检测技术采用 本研究使用改进 k － 均值算法实现聚类分析。

     模式匹配的方法，即如果数据经过分析，与误用检测2. 2. 1 k － 均值算法〔9〕 特征库中的标志完全相符， 则认为发生了此种特征 k － 均值 （ k-means） 算法是属于划分的聚类方 的入侵，并进行报警，接着进入第 2） 步。

    法，具体算法如下： 2） 异常检测〔10〕。

    将采集到的当前数据与正常 输入： 聚类个数 k，包含 n 个对象的样本集； 输 特征库进行比较， 如果有差异，说明此活动有异常，出 ： 满足平方误差最小标准的 k 个聚类。

     则进行报警。

    如果经过误用检测和异常检测都没有 1） 任意选择 k 个对象作为初始的聚类中心； 发现入侵 行 为， 继 续 采 集 下 一 条 日 志 记 录 进 行 则 2） 循环 3） ～ 4） 两步，直到每个聚类不再发生 分析。

    变化； 误用检测和异常检测 2 种检测方法各有优、缺 3） 根据数据与聚类中心的距离最近的原则 ，将 点，本研究将结合这 2 种方法的优点对防火墙日志对象划分到一个聚类； 进行入侵检测分析，并把数据挖掘算法应用其中得 4） 更新聚类中心，即重新计算每个聚类中所有 到较好的检测效果，减少漏警和误警。

    数据的平均值。

     2. 4 特征提取 平方误差定义如下： E 是所有对象的平方误差 特征提取采用 FP- growth 算法来实现关联规则总和， 是给定的数据对象， 是某个聚类 C 的平 p m 算法， Prefixspan 算法来实现序列模式挖掘， 用 这样均值。

     可以在海量数据中更加高效、低误警率的情况下处 在入侵检测中，应用 k － 均值算法发现取不同 理数据。

    的初始聚类中心会对最终的检测结果有不同的影 2. 4. 1 FP-Growth 算法响。

    而在原始的 k － 均值算法中，初始聚类中心的 FP-Growth 算法由 Jianwei Han 等人提出的一种选择却又是任意的， 所以采用改进 k － 均值算法。

     深度优先搜索算法，它是利用 FP 树来进行频繁项2. 2. 2 改进 k － 均值算法 集挖掘的。

    FP 树包含了所有频繁项集相关的信息， 假设样本集 U 有 n 个样本，将其聚为 k 类， 的 m 构造 FP 树的过程只需要扫描 2 趟数据库，但是这些初值为 1。

     算法仅仅是利用最小支持度和最小信任度来帮助输 1） 计算 2 个样本间的距离 d（ X， ， Y） 找到样本 出统计上有意义的模式，而没有考虑入侵领域的知集 U 中距离最近的 2 点， l， ） 然 形成集合 A（ m〔 k〕 ， 识，这样，就会产生一些对入侵行为的判别毫无意义后从样本集 U 中删除这 2 点； 的规则。

    这些无用的规则不仅会严重影响系统的执 2） 在 U 中找到距离 A 最近的样本点，将其加入 行效率，有的还可能产生误导。

     之所以会挖掘出大A，然后从 U 中删除； 量没有意义的规则就在于基本的关联规则挖掘算法 3） 重复第 2） 步，直到集合 A 中的样本点占全 没有考虑到专业知识。

     要解决这个问题，必须加入体样本点的一定比例； 入侵检测领域的先验知识。

     因此，引入关键属性和 4） 若 m ＜ k， m ， 则 再根据 1， 3 步， 2， 对原 参考属性的约束来限制频繁模式的挖掘 。

    关键属性样本集 U 余下的样本集进行操作， 得到新的 A； 就是产生的模式中必须包含的属性，参考属性就是 5） 经过多次迭代，得到 k 个集合，对每个集合 携带了关于主体信息的特征属性，因为在某些情况中的样本求平均，将平均值作为该集合的初始聚类 下，只有通过对同一主体不同行为的分析 ，得到的结中心； 果才是有意义的 。

    具体算法如下。

     6） 应用原始 k － 均值算法进行聚类。

     基于属性约束的 FP-Growth。

     使用 FP- Tree，通 根据上述算法采用改进 k － 均值算法 ，对日志 过模式段增长，挖掘频繁模式。

     输入： 事务数据库进行 分 类 ， 分 别 放 入 正 常 行 为 库 和 异 常 行 为 并 D，最小支持度阀值 min_ sup。

     输出： 频繁模式的完库中 。

     全集。

    算法过程如下： 10 北京信息科技大学学报 第 27 卷 1） 构造 FP-Tree 列片，并将这个数据库在这个 prefix 上投影， 挖掘其 扫描数据库 D 一次，求出频繁项的集合 F 和它 中的频繁项，然后扩充到 prefix 中； 继续发掘，直到们的支持度，并将它们按支持度计数的降序排成一 挖掘出所有的频繁序列。

     时空效率要比类 Apriori个频繁列表 L（ 即头指针表 ） ，同时还要生成项序转 算法有较大的提高。

    Prefixspan 算法步骤如下：换表。

     1） 读入序列数据库 S 及最小支持度阈值 min 创建 FP-Tree 的根节点， “null” 以 标记它。

     对于 _sup；D 中每个事务 Trans，执行： 选择 Trans 中的频繁项， 2） 预设第 1 次序列长度 K 1，从映射数据库并按 L 中的次序排列。

     设排列后的频繁项表为〔 p 中发现长度为 K 的频繁序列集 S， 频繁序列是数据 ，│P〕 其中 p 是第 1 个元素， P 是剩余元素的表。

     而 库中发生次数不小于阈值的序列 ；调用 insert-tree（ ） 。

    该过程执行情况如下： 如果 T 有 3） 以 S 划分搜索空间，分别挖掘含有这些频繁子节点 N 使得 Nitem name p． item name， N 的计 则 序列为 Prefix 的长度为 K 1 的频繁序列，如果挖掘数增加 1； 否则创建一个新节点 N，将其计数设置为 ， 结果为空 则停止 ；I，链接到它的父节点 T，并且通过节点链接到具有 将 4） 将序列长度 K 增加 1， 3） 所找到的 L 赋予相同 item name 的节点。

     如果 P 非空，递归的调用 S，再转到 3） ；insertes tree（ PN） 。

    其中， 5） 记录并输出所有挖掘到的频繁序列 。

     insert- ， tree（ 〔 │P〕 T） ｛ p 2. 5 报警处理 if （ T 有一个子节点 N，其中 N． item name p． 当本日志系统分析出入侵行为或可疑现象后，item name） then N． count ； 系统需要采取相应手段，将入侵造成的损失降到最 else 创 建 一 个 新 节 点 M，M． count 1，M． 低。

    一般可以通过生成事件告警、 mail 或短信息 E- 并parent T， 且 使 它 的 node- 与 那 些 具 有 相 同 lin 通知用户和系统管理员。

    item name 域的节点链接； 数据挖掘算法的作用有 2 种： 1） 从训练数据中 if （ P 非空） then Call inserts-tree （ PN） ｝ 形成异常检测所用的用户正常行为特征库和误用检 2） FP_ Tree 的挖掘通过调用 FP _ Growth （ FP 测所用的用户异常行为库。

    现有的入侵检测产品只tree，null） 实现 是结合误用特征库来判断入侵行为， 从而出现漏检 procedure FP_ Growth（ Tree，α.