Android智能手机入侵检测系统设计.docVIP

Android智能手机入侵检测系统设计摘 要:随着智能手机变得越来越复杂,功能越来越强大,给用户提供更多方便的同时也给用户带来了很多安全隐患。本文首先分析了Android智能手机所面临的安全问题,之后提出Android平台手机上的入侵检测系统,能及时有效的检测到入侵攻击,减轻恶意木马对用户造成的危害,大大改善用户体验。 关键词:Android 安全问题 入侵检测系统 中图分类号:TP39 文献标识码:A 文章编号:1672-3791(2012)06(c)-0030-02 随着3G通信网络的普及,智能手机市场份额大幅提升,其中Android智能手机占市场份额最大,获得52.5%的市场占有率[1]。由于Android智能手机用户数庞大、开源性强,用户可自行安装软件、游戏等第三方服务商提供的程序,很多病毒攻击者把矛头指向了它,制造了大量Android木马,这严重影响了Android智能手机用户的日常使用。如何有效的预防智能手机平台上的入侵攻击已经成为亟待解决的问题。Iker Burguera、Urko Zurutuza等人提出了Behavior-Based Malware Detection System for Android[2],Amir Houmansadr、Saman A.Zonouz和Robin Berthier提出了一个基于云端服务器的Android智能手机入侵检测及响应系统[3]。Android智能手机平台的入侵检测系统能及时有效的检测到入侵攻击,为用户提供一个安全的使用环境。 1 Android智能手机存在的安全隐患 2011年,Android木马呈现爆发式增长,新增Android木马样本4722个,被感染人数超过498万人次[1]。虽然Android平台的开源、开放、免费等特性为google带来了大量的市场占有率,但是这也给消费者带来了不少安全隐患,成为新的移动互联网安全检测主战场[1]。Android智能手机存在如下几点安全问题。 (1)恶意扣费。据360安全中心调查,78%的Android平台手机木马旨在悄悄吞噬用户的手机话费。“白卡吸费磨”、“Android吸费王”等都是使Android用户闻之色变的恶意扣费软件。这些恶意扣费软件安装后会私自发送短信定制费用高昂的SP服务,并自动屏蔽以10086开头的全部短信,在用户不知不觉的情况下偷偷消耗用户话费。 (2)窃取用户隐私。除恶意扣费外,Android平台木马的另一主要危害是窃取用户隐私。比如震惊全球的“CIQ事件”、DDL“隐私大盗”木马、“索马里海盗”木马及“X卧底”系列木马等。它们瞄准了手机通讯录、照片、短信、设备信息等用户隐私,将用户的个人信息出卖给其他不合法商家,从中牟取暴利。 (3)垃圾短信。在用户举报的各类垃圾短信中,主要是打折促销、发票假证、地产中介、移民留学、金融理财等广告服务类短信,另外就是冒充亲友欺诈、中奖钓鱼诈骗、虚假慈善捐款等恶意欺诈类短信。 (4)系统破坏。有些病毒,如“Root破坏王”,可以自动获取手机Root权限,然后随意修改添加文件,删除系统应用,私自下载恶意软件,而且这一切都是隐蔽进行的。 2 Android智能手机入侵检测系统设计 传统计算机上的入侵检测系统定义为:一种通过收集和分析各种系统行为、安全日志、审计数据或网络数据包,检查系统中是否有未经授权的进入和有不良企图的活动等入侵攻击,并及时予以响应,阻止可能的入侵行为,降低甚至避免入侵危害的积极进程或设备。在当下,智能手机与个人计算机越来越靠近,智能手机已经基本具备了个人计算机所具有的功能,因此Android智能手机平台上的入侵检测系统与传统计算机上的入侵检测系统模型相似。如图1所示,Android智能手机入侵检测系统主要包括以下几部分:数据采集模块、数据分析引擎模块、控制台模块、数据管理模块,各部分功能如以下几点。 (1)数据采集模块。 数据采集模块主要负责采集数据,采集的数据包括任何可能包含入侵行为线索的系统数据。比如说网络数据包、用户行为日志和系统调用记录等。其将这些数据收集起来,然后发送到数据分析模块进行处理[4]。 由于Android平台手机上的安全问题大部分是通过网络引发的(比如通过用户点击链接而偷偷定制SP服务、恶意软件私自发送短信定制SP服务、窃取用户隐私上传到特定服务器等),所以在此处我们只采集进出手机的所有网络数据包。此模块主要基于开源的libpcap包。 (2)数据分析引擎。 收集到的所有数据被送到数据分析引擎,分析引擎一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析[5]。 在本系统设计初期,我们根据Android平台手机上恶意软件攻击行为的特征罗列出一定数量的规则组