毕设准备.docVIP

毕设准备 一：我研究的课题为“基于智能手机的伪装者检测” 二：基本思路：每个用户在使用手机键盘时，都有他个人的规律。我们可以根据这个规律性来判断手机是否为机主本人在使用。 三：实验操作数据：训练阶段：搜集用户本人几天来敲击键盘产生的序列，建模。 检测阶段：收集这个用户的敲击键盘序列，然后就将这个序列输入到上面训练的模型C中，C将会输出一个值V。设定一个阈值T，如果V=T，则是原用户本人，如果VT，则为其他人。 四：android开发环境。 简介：android是Google于2007年11月5日宣布的基于Linux平台的开源手机操作系统，该平台由操作系统、中间件、用户界面和应用软件组成，号称是首个为移动终端打造的真正开放和完整的移动软件。 开发环境：安装JDK 1.6+，ECLIPSE，SDK 1.6+，ADT插件 五：几种最近研究的实现算法： 针对PC机的入侵检测的研究已经很成熟了，而且已经得到了普遍的应用。所以我们可以借鉴这些成型的算法，从而把他们应用于手机操作系统。 1.基于序列模式挖掘 训练: 设正常行为训练数据为R＝（S１，S２，…,Sr）； 设定义的短序列长度的集合为C＝｛l（１），l（２），…，l（W）｝; 用S１，S２，…,Sw表示由R生成的短序列长度分别为l（１），l（２），…，l（W）的W个短序列流。对于每个短序列流含有若干个相同长度的短序列。 计算对于每个序列流中短序列的支持度。支持度=某短序列出现次数/序列流中所有短序列的个数。 设置最小支持度，要求min支持度（S1） min支持度（S2）……. min支持度（Sw）; 读取正常行为训练数据，根据支持度构造序列库：L＝｛L（１），L（２），…，L（W）｝ 检测： 注意可以根据正常行为序列判定虚警概率，设定适当的窗口长度，判决门限的设置。 每个短序列都与序列库中的序列模式匹配，看是否存在相同序列。用0/1表示。求m每个短序列流结果之和，设为Sj. 为提高判定的准确性，采用滑动窗口机制，求所有短序列流的判决值，从而选出最终判决值，判决值=1/e* Sj.（e为滑动窗口大小）。最终判决值与判决门限进行比较（或设置多个判决门限，每个序列流对应的判决值与其判决门限进行比较，只要有一个小于判决门限的就是异常），从而判断是否异常。 这是一个需要不断改进的过程。 分析数据：实验结果包括：虚警率，检测概率和试验时间，根据这三项参数来判断方法的可行性。（注意可以根据正常行为序列判定虚警概率，）难点：判决值，判决门限，滑动窗口大小等参数的选取，这些直接影响检测效率。（交叉验证或过等量迭代逼近的方法确定判决门限） 2.STIDE算法 STIDE算法针对异常行为的突发性特点，定义了在局部范围内反映异常行为的方法。算法首先以固定长度值的滑动窗口对正常行为序列进行扫描，将生成的一系列短序列存储到正常行为库中。对于未知行为的待测序列，采用同样的方法对其进行短序列划分，如果待测序列长度较短，可以直接将其生成的短序列与正常行为库中的短序列作比较，记录不匹配次数，比上序列长度求得异常率。如果待测序列长度不定或较长，算法记录待测序列与模式库内序列的海明距离（两个码字的对应比特取值不同的比特数称为这两个码字的海明距离）的最小值，当max（dmin）超过阈值时，判定异常发生。STIDE算法有相对较高的检测率和较低的误报率，并且计算成本低于HMM等方法。STIDE算法虽然计算成本比其他算法偏低，但实际应用中的成本仍然偏高。基于该算法并有一定简化的Process Homeostasis系统，应用程序的内核陷入时间增长了40%，成本相当高。 STIDE方法具有低虚警率和高检测率的特点，但问题是用于训练的窗口长度必须已知。而且STIDE方法有盲区，以致不能有效地检测出某些攻击 。 3. ripper算法 建立规则库阶段： 用一个固定长度的滑动窗口扫描正常(normal)的跟踪，产生唯一的系统调用序列表，每一个调用序列后增加一个类标签，其值为normal，这个表称为正常表．再扫描带有非正常(abnormal)的跟踪，也产生一个唯一的系统调用序列表，此表中的系统调用序列如果不能与正常表中的系统调用序列匹配，则增加类标签值为“abnormal”，反之为“normal”, RIPPER算法经过上述形式的输入，可以产生规则，从而组成规则库． 异常入侵检测阶段：用跟踪得到的系统调用序列与规则库中的规则进行匹配，如果满足为正常序列，否则为异常序列．当异常序列的数目达到所设阈值时，则判定为非法使用者。 数据挖掘（训练阶段）：从预处理过的数据中提取用户行为特征或规则等，再对所得的规则进行归并更新，建立起规则库． 入侵检测（检测阶段）：依据规则库的规则对当前用户的行为进行检测，根据得到的结果采取不同的应付手段．异常入侵