【Android论文栏目提醒】:网学会员为广大网友收集整理了,Android异常入侵检测中的主动响应系统 - 期刊论文,希望对大家有所帮助!
第2012 年第 01 期, 45 卷 通 信 技 术 Vol.45,No.012012总第 241 期 Communications Technology No.241Totally
Android 异常入侵检测中的主动响应系统 余艳玮①②, 陈 莹①②, 韩一君①②,陈兆丰①② (①中国科学技术大学 软件学院,安徽 合肥 230051; ②中国科学技术大学 苏州研究院 嵌入式系统实验室,江苏 苏州 215123) 【摘 要】手机恶意程序有对智能手机用户造成经济损失、数据丢失及隐私泄露等危害。
在现有的
Android 入侵检测系统框架基础上,提出异常入侵检测中的主动响应系统,及时减轻手机恶意软件对用户造成的危害。
该主动响应系统采用 C/S 架构,其中客户端收集手机中应用的程序信息,负责最后的响应措施;服务器端及时静态分析由客户端发来的可执行文件,锁定导致手机出现异常状态的恶意程序。
测试结果表明,该系统可以主动对手机上已发现的异常行为做出及时有效响应。
【关键词】
Android;恶意程序;主动响应 【中图分类号】TP311.1 【文献标识码】A 【文章编号】1002-0802201201-0102-03Active Response System in Anomalous Intrusion Detection on
Android YU Yan-wei①②, CHEN Ying①②, HAN Yi-jun①②, CHEN Zhao-feng①②①School of Software Engineering University of Science and Technology of China Hefei Anhui 230051 China;②Laboratory of Embedded Systems University of Science and Technology of China Suzhou Jiangsu 215123 China 【Abstract】The mobile malicious programs would cause such face hazards economic loss dataloss and privacy leakages et al. The paper based on the existing
Android intrusion detectionsystems proposes the active response system in anomalous intrusion detection thus to reducethe harm caused by malicious software. The system uses C/S structure and the client collectsthe applications information in the smart-phone and is in charge of the response measures. Theserver analyzes promptly the executable file of applications from the client finds the maliciousprograms which cause abnormal conditions to the phone. The experimental results show that thissystem could make timely and effective response to the abnormal behaviors found in the phone. 【Key words】
Android malicious program active response0 引言 安全或检测恶意程序,没有对恶意行为采取有效措 3 智能手机应用的普及和深入,在给用户带来便捷 施。
沈俊等 针对智能手机恶意代码的传播途径与攻体验的同时也通过先进的技术使手机遭受到各种手 击目标介绍了各种现有防范技术;Aubrey-Derrick 4 1机恶意程序的侵害 。
入侵检测系统是一种动态安全 Schmidt等 在
Android环境中使用readelf命令来对防御技术,通过对网络或系统中若干关键数据的收 可执行文件进行静态分析识别恶意程序;Michael 5 2集,并进行分类和分析,发现入侵的恶意行为 。
Becher等 介绍“沙盒”技术动态分析模型检测恶意 6
Android作为新兴的智能手机平台,目前国内外 程序;C.H.T.Wang等 提出用静态分析方法在2个可对其安全性方面的研究并不多,且大多侧重于系统级 执行文件之间建立一种相似性度量来辨别恶意程序 7收稿日期:2011-09-27。
变种;Botha R A等 提出数据挖掘方法来辨别正常基金项目:江苏省产学研前瞻性联合研究资助项目 可执行文件和病毒, 其中动态链接库和应用编程接口 No.BY128。
是通过静态分析提取出来的。
目前手机入侵检测系统 ,女,博士后,主要研究方向为作者简介:余艳玮(1981-) 的最后一个部件——响应系统的理论研究和技术相 信息安全、智能手机安全;陈 莹 , (1987-) 女, 硕士,主要研究方向为智能手机安全;韩一君 对滞后,不足之处主要体现在:①反应迟钝;②不能 8 (1984-) ,女,硕士,主要研究方向为智能手机 准确定位恶意程序 。
这里设计实现的
android异常 ,男,硕士,主要研究方 安全;陈兆丰(1984-) 入侵检测的主动响应系统可以在检测到入侵行为的 向为智能手机安全。
102同时主动采取有效的响应措施,不仅可以缩短入侵响 1.5 服务器端的实现应时间,及时采取响应措施以减少损失,而且可以降 在文件的静态分析中, 通过将dex文件中的调用低用户的操作难度,保证系统安全。
函数与已经实现的正常程序调用函数库及异常行为 调用函数库进行对比,给出最终的分析结果。
首先1 主动响应系统的分析设计与实现 利用
Android应用程序的开发环境SDK中提供的解析1.1 系统的分析设计 dex格式文件的工具dexdump将应用程序dex格式的 该系统采用客户端-服务器端模式,客户端在智能 可 执 行 文 件 反 编 译 为 可 读 的 txt 格 式 , 再 根 据手机设备终端运行,主要负责获取手机中用户安装的
Android可执行文件读取出所调用的系统函数, 最后应用程序信息,并根据异常检测的结果对应用程序做 采用判定算法得出结果。
出初步判断,将不确定的可疑程序信息发往服务器端,并且根据最终结果选择采取合适的主动响应措施。
服 2 系统的关键技术务器端是一个运行在计算机终端的java工程,主要负 (1)恶意行为分类责接收客户端的请求信息,并对信息中的可执行文件 结合
Android系统中permission所对应的功能进行静态分析,将分析结果反馈给客户端。
以及一些典型恶意程序的行为特征将应用程序发生 系统的总体结构框架如图1所示,主要模块有: 的行为分为若干典型的类别,构建恶意程序行为库。
客户端的初始化、操作权限判定、行为匹配、通信、 (2)可执行文件静态分析主动响应、用户界面等模块,服务器端的通信、反 采用
Android应用程序的开发环境SDK中提供的编译dex文件以及静态分析文件等模块。
反编译工具dexdump获取dex文件的信息,即对dex 文件进行静态分析,保证分析可行的前提下得到正 确的分析结果。
(3)服务器端的判定算法 针对该系统数据的特殊性提出了一个新的判定 算法,命名为C-BM算法(C 表示classify,B表示 benign,M表示malicious),算法步骤描述:①查询 异常行为调用函数库中对应的函数,程序中是否含 有该函数,是则进入步骤②,否则判定该程序为正 常程序;②behavior对应的函数数目是否只有一个, 是则进入步骤③,否则判定该程序异常;③根据程 序中的调用函数从正常程序调用函数库得到函数的 percent值,计数percent值大于10的函数数目,该 图1 系统总体结构框架 数目是否大于25,是则判定该程序为正常,否则判1.2 系统开发实现环境 定其为异常程序。
系统的客户端实验是基于
Android2.2系统的Samsung系列智能手机,使用IBM公司开发的eclipse集成开发环境。
3 系统测试1.3 数据库的实现 为了验证该系统的性能, 针对运行环境设计了2 对一些典型病毒的行为规律进行分析、归纳和 个测试实验。
总结,把
Android手机上的恶意程序行为分为3个主 (1)实验一要方面:开机自启动功能、后台运行、具有自发通 客户端设备上运行恶意程序sendSms。
sendSms信行为。
分析这3方面,构建恶意程序行为库,定义 是一个
android平台上具有开机自启动权限、 后台自为一个表,包含3项:序号、恶意行为和操作权限。
动发短信行为的模拟恶意程序。
在Samsung S58301.4 客户端的实现 手机上安装完
Android入侵响应系统后运行sendSms 为每个模块定义相应实现类,在初始化中创建 程序,测试结果如图2所示,系统能够成功对恶意程数据库及相应的数据表,获取用户安装的应用程序 序做出响应,通过打印日志可以得出从检测出异常信息(程序名、安装目录、包名等),将信息依次存 到做出响应的时间为0.463 s。
入到已经创建的表中,这些应用程序被初步判定为 (2)实验二可疑程序。
在主动响应中根据前面模块最终判定结 客户端设备上无恶意程序运行, 而假设IDSA检测果中的恶意程序信息及异常行为恶意等级采取对应 的结果是发现异常行为。
在Samsung S5830手机上安的响应措施,包括发出警告、终止程序进程、卸载 装完
Android入侵响应系统后对
Android入侵检测系应用程序、删除程序安装文件等。
统的检测结果给出一个假定值, 测试结果如图3所示, 103系统能够判断出手机上没有恶意程序运行,而得出的 全与通信保密,200908:162-164.从检测出异常到做出响应的时间为0.115 s。
2 吴新民.基于3G网络安全系统的入侵检测研究J.通信 技术,20104306:98-100. 3 沈俊周雍恺桂佳平等.智能手机恶意代码防范技术 综述J.信息技术,200910:162-167. 4 SCHMIDT AUBREY-DERRICK RAINER BYE SCHMIDT HANS- GUNTHER et al. Static Analysis of Executables for Collaborative Malware Detection on AndroidJ. Deutsche Telekom Laboratories 200914-18:53-57. 5 MICHAEL B FREILING F C. Towards Dynamic Malware Analysis to Increase Mobile Device Security 图2 入侵响应系统对 图3 入侵响应系统判断 恶意程序的响应 手机上无恶意程序 EB/OL. 2008-10-12 2011-03-23. http://www1. informatik.uni-erlangen.de/filepool/publications/ towards-dynamic-malware-analysis-to-increase-mo4 结语 bile-device-security.pdf. 在移动终端技术迅速发展的背景之下, 6 WANG C H T WU C. A Virus Prevention Model basedAndroid基于异常入侵检测的主动响应系统弥补了 on Static Analysis and Data Mining MethodsM.现有入侵检测系统的不足,能够主动对发现的异常 s.l.:Computer and Information Technology Workshops行为采取响应措施,有效保障手机的安全使用。
最 2008:288-293.后的测试结果表明该系统可以主动地对手机上已发 7 Botha R A Furnell S M Clarke N L. From Desktop现的异常行为做出及时有效响应。
to Mobile: Examining the Security ExperienceJ. Computers Security 2009283-4:130-137. 参考文献 8 丁勇,虞平,龚俭.自动入侵响应系统的研究J.计算1 李恺 刘义铭.智能手机的病毒风险浅析J. 信息安 机科学,200310:160-162.(上接第 101 页) 9 FABIAN M REITER M K SUSANNE W. Password Hardening 参考文献 Based on Keystroke DynamicsJ. Communications of1 Microsoft. Microsoft Passport Authentication the ACM 19991001:73-82. ProviderEB/OL.2003-04-012009-04-12.http:// 10 林满山 郭荷清. 单点登录技术的现状及发展J. 计 msdn.microsoft.com/en-us/library/f8e50t0fVS.71. 算机应用 2004 2406: 248-250. aspx. 11 沈桂兰 李辉 李玉霞. 基于改进 Kerberos 的 Web 单2 ANDREAS P MITCHELL C J. A Taxonomy of Single 点 登 录 方 案 J. 微 计 算 机 信 息 2008 241-3: Sign-on SystemsM. Berlin:Springer-Verlag 2003: 128-130. 249-264. 12 王金伟 孙德兵. 基于 PKI/PMI 的 Web 应用单点登录的3 IVAN N. Web Single Sign on SystemsEB/OL. 研究与实现J. 信息系统工程 2010 1209: 73-75. 2006-01-092011-01-11.http://p1pe.doe.virgin 13 施荣华徐亮亮.一种基于 PKI 的 Web 单点登录方案J. ia.gov/ssws/login.page.do. 微型计算机信息 2010 267-3: 39-41.4 SMITH T. Single Sign-onEB/OL. 2009-10-19 14 周楝淞 杨洁 谭平嶂 等. 身份认证技术及其发展 2010-08-19.http://www.opengroup.org/security/ 趋势J. 通信技术2009 4210: 183-185. sso/ 15 韩春林 叶里莎. 基于可信计算平台的认证机制的设5 WALES J.Single Sign-onEB/OL. 2010-3-28 计J. 通信技术2010 4310: 92-94. 2011-05-16.http://en.wikipedia.org/wiki/Singl e_sign-on. 16 周楝淞 杨洁 谭平嶂 等. 基于身份的密码系统及6 SMITH T. Introduction to Single Sign-onEB/OL. 其实现J. 通信技术 2010 4306: 68-70. 2009-10-192010-08-19.http://www.opengroup. 17 朱明 周津 王继康. 基于击键特征的用户身份认证 org/security/sso/sso_intro.htm. 新方法J. 计算机工程 2002 2810: 138-140.7 WALES J. Keystroke LoggingEB/OL. 2010-03-28 18 欧阳彦琨. 基于击键动力学身份识别的高校网络招生 2011-05-16.http://en.wikipedia.org/wiki/Keyst 管理系统D. 成都: 西南交通大学 2005. roke_logging. 19 杨卫锋 曾芳玲. 基于区间全局优化的非线性最小二8 MACKENZIE I S. KSPC Keystrokes per Character as 乘估计J. 通信技术 2010 4306: 232-234. a Characteristic of Text Entry TechniquesJ. 20丁正生 杨力. 概率论与数理统计简明教程M. 北京: Communications of the ACM 20021603:101-115. 高等教育出版社2005.104