基干隐马尔科夫模型移动应用端行为模式识别.docVIP

基于隐马尔科夫模型的移动应用端行为模式识别 　　摘要：随着移动应用的普及，作为恶意行为识别的基础，移动应用端的行为模式分析也成为当前研究热点。本文创新地从系统环境数据入手，通过对系统多方面数据的监控，建立隐马尔可夫模型，使用该模型对后续行为产生的系统环境数据进行隐马尔科夫估值计算，从而实现对后续行为模式的识别，同时在后续识别过程中不断优化模型。本文通过实验证明该方式具有一定有效性，为移动应用端行为模式识别提供了更多可能 Abstract： With the popularization of mobile applications， as the basis for recognition malicious behavior， behavior pattern analysis of mobile application terminal has become a hotspot of current research. This paper， starting from system environmental data， and by monitoring many aspects of system data to establish Hidden Markov Model， uses this model to take hidden Markov valuation calculation for the system environmental data generated by the subsequent behavior， so as to realize the recognition of subsequent behavior patterns. Meanwhile in the subsequent recognition process， the model has to be continuously optimized. Through experiments， it shows that the approach has some validity， in order to provide more possibilities for behavior pattern recognition of mobile application terminal. 关键词：移动应用端；隐马尔可夫模型；行为模式 Key words： mobile application terminal；Hidden Markov Models；behavior pattern 中图分类号：TP311.5 文献标识码：A 文章编号：1006-4311（2016）19-0173-03 0 引言 在移动设备迅速普及的今天，开展移动安全性研究势在必行。目前针对移动应用端恶意行为检测的方式主要是对移动应用端的应用程序进行反编译，分析其源码是否存在于恶意行为代码特征库，以此作为评判标准。但随着恶意行为代码特征库的不断增加会导致系统开销增大，检测速度变慢。另外，随着黑客们使用的代码混淆技术的发展，也使之能够逃避这种静态分析手段[1] 因为程序的运行会造成系统环境数据变化，所以系统环境数据可以反映系统运行情况。本文提出一种基于隐马尔可夫模型的行为模式识别方式，通过对移动应用端系统运行环境的CPU使用率、内存使用率、进程数、服务数、流量数监测获得时间序列数据，对特定行为进行隐马尔科夫建模，以待测行为的时间序列与特定的模型之间相似度为评判标准，并在每次评判之后优化模型[2]。该方法目的在于有效识别行为模式，对移动端恶意行为分析的后续研究提供前提，丰富了行为检测的手段，具有一定的实用价值 1 马尔可夫模型介绍 2 隐马尔可夫模型介绍 2.1 隐马尔可夫模型 在马尔可夫模型中，每一个状态代表一个可观察的事件。而在隐马尔科夫模型中观察到的事件是状态的随机函数，因此隐马尔科夫模型是一双重随机过程，其中状态转移过程是不可观察的，而可观察的事件的随机过程是隐蔽的状态转换过程的随机函数（一般随机过程）[3]。对于一个随机事件，有一观察值序列：O=O1，O2，…Ot，该事件隐含着一个状态序列：Q=q1，q2，…qt 2.2 隐马尔科夫模型使用前提 假设1：马尔可夫性假设（状态构成一阶马尔可夫链）P（qi|qi-1…q1）=P（qi|qi-1） 假设2：不动性假设（状态与具体时间无关）P（qi+1|qi）=P（qj+1|qj），对任意i，j成立 假设3：输出独立性假设（输出仅与当前状态有关）P（O1，…OT|q1，…，qT）=∏P（Ot|qt） 隐马尔科夫模型在解决实际