異常檢測技術在移動設備及網絡安全防護中的應用

張慶

（陜西省行政學院 學生處，陜西 西安 710068）

當前，手機已經超出了通訊工具這一傳統范疇，而成為人們的個人信息中心，隨著智能手機的迅速發展和普及，更是將其成為個人信息的最重要載體。而未來，隨著智能手機價格的日益低廉、技術的逐步成熟以及人們消費水平的不斷上升，智能手機用戶也會越來越多，龐大的用戶群體必然會催生出種類繁多的應用軟件，在為用戶帶來多樣化便捷化服務的同時，也會各種手機病毒的滋生或者傳播提供了機會[1-3]。因而研究異常檢測技術在移動設備及網絡安全防護不僅具有重要的學術價值，也有一定的現實意義。

1 移動設備的異常檢測系統整體框架設計

本文使用的是客戶端——服務器模式，也是當前應用較為廣泛的一種模式。其中客戶端程序的基本功能在于對智能手機進行監控，防止受到入侵，還可以收集異常檢測需要的一些的特征，然后再借助網絡把收集到的特征向量轉而傳送到遠程服務器，現在通行的GPRS網絡、3G網絡或WIFI等均可適用[4-5]。

從服務器設計上來說，屬于分布式架構，其主要構成設備包括通信服務器和一些檢測服務器，其中通信服務器除了發揮原有的通信服務功能外，還承擔了主服務器的功能，可以綜合考慮各自客戶端號包括現下服務器當前所處的負載情況等，然后在此基礎上把收到的一些待檢測特征向量，一一分發給相應的檢測服務器，受到這些待檢測特征向量后，檢測服務器可以借助異常檢測算法做出進行一步的檢測，檢測完畢后即將這些結果傳輸到主服務器上，而主服務器此時就可以對這些檢測結果進行保存和處理，處理中如果發現檢測結果出現異常，那么就可以立刻發送警報反饋給對應客戶端。在設計中，之所以對服務器使用分布式的架構這一形式，主要是由于客戶端數量一旦形成較大規模，那么該服務器勢必面臨大量移動數據的分析和處理，此時就能夠體現出分布式架構的優勢。具體的框架設計情況如圖1所示[6]。

圖1 異常檢測系統框架設計Fig.1 Anomaly detection system framework design

2 客戶端組成

本文所介紹的客戶端采用的是現在應用較廣的安卓操作系統，客戶端的主要組成部分如下：

1)Feature Extrator，即我們通常所說的特征提取器。一般可以由兩種方式進行提取，一是借助安卓系統自身所帶有的APIs接口，還有一種是借助Linux內核信息的提取功能進行提取。特征提取器在收集的特征方面主要包括3種，即Linux內核層的特征，主要包括CPU使用率以及內存增減量等；用程序層的特征，這方面主要有安裝的應用程序數量以及運行中的任務數；還有一種是用戶行為層的特征，也即是可以反映用戶行為的一些特征，主要包括用戶的按鍵次數、當前使用屏幕的亮暗狀態。通常情況下，特征的收集頻率運行時主要是由計時器所控制，計時器的默認值為30 s，但是可以根據實際需要進行調節[7-8]。

2)CommunicationModule，也即是通信模塊。該模塊的基本功能在于把收集到的特征向量發送給服務器，與此同時，如果出現異常情況時，也可以接收服務器反饋的異常警報。需要注意的是，假如客戶端是首次連接服務器，那么通信模塊就會發送出一個IMEI到服務器注冊這一客戶端，如果用戶注冊成功還會接收到相應的確認信息，同時還可以將IMEI號作為該設備注冊號。

3)Graphical User Interface，即圖形用戶界面。這種界面的主要功能在于提供客戶端的參數設置，主要都是一些基本設置，比如特征提取的時間間隔服務器ff地址等。

3 服務器構成

客戶端和服務器分工明確，服務器的主要功能在于判定特征向量是否發生了異常，基本構成模塊如下：

1)DataBase，也即是數據存儲模塊。數據存儲模式應用MySQL數據庫存儲具有分類特征的特征向量，不管是正常的還是異常的都包括在內。其中MySQL數據庫中，總表主要負責存放全部特征向量，而每一個檢測器還會設置一個單獨的表，主要是用于和其相關一些向量訓練集的存儲。其中表的主鍵應當是特征提取時間和設備注冊號二者的相加[9-12]。

2)DetectionModule，也即是檢測模塊。作為服務器的主模塊，其主要功能在于通過各種異常檢測算法對相應的特征向量有無異常做出判斷。在該模塊之中還包含著兩部分內容，也就是檢測器管理器以及一些檢測器。需要注意的是，在檢測模塊中的每個檢測器都會有一個獨立的和其相配的異常檢測算法，我們舉例來說，J48檢測器所唯一對應的異常檢測算法就是C4.5決策樹算法，其他均不可。在該模塊中，一旦出現新的待檢測特征向量，那么檢測器就會最短時間內迅速從它們自己的數據庫表中選擇出一些相對應的訓練數據集，同時開始訓練分類器，在此基礎上給出相應的檢測結果。除此之外，檢測器管理器還能夠把所有檢測器所獲得的結果融合到一起，然后給出最終判定結果，也可以對全部檢測器的參數配置進行控制，根據需要對檢測器增加和刪除。

3)Communication Module，也即是通信模塊。該模塊的主要作用在于和客戶端進行通信，對受到的多種請求及消息進行處理。它可以把收到的全部特征向量輸送到檢測模塊，同時通信模塊還能夠把檢測中發現的異常結果即時傳送給客戶端。

4)Graphical User Interface，和客戶端的圖形用戶界面具有一致性，能夠實施數據庫的初始化、管理，同時也可以進行可視化查看，以實時監控和檢測檢測器和連接狀態的客戶端。

4 實驗

為了進一步驗證上述異常檢測系統的功能，觀察其能否檢測到一些未知的惡意程序，文中采用了3種訓練集和測試集：第1種，訓練集特征向量選取了某一設備的全部正常程序，同時還選擇了三種惡意程序的而共同組成，在選擇測試集時則采用了第四種惡意程序特征向量。第2種，選擇了某一設備的全部正常程序以及全部惡意程序的特征向量充當訓練集，在選擇測試集時則另外采用了兩臺設備，選擇了這兩臺設備中全部的惡意程序特征向量。第3種，訓練集選擇的是某一設備的全部正常程序以及該設備的三種惡意程序特征向量，選擇測試集時采用的則是另外兩臺設備，選擇了這兩臺設備的第4種惡意程序特征向量，檢測結果如表1所示。

表1 相同或不同設備的惡意程序檢測準確率實驗結果Tab.1 The same or different equipment malware detection accuracy of experimental results

從表1中可看出同一設備上進行檢測時，未知惡意程序和已知惡意程序二者相比，前者較低，而對于不同設備上進行檢測時，惡意程序和相同設備相比，則準確率明顯較低，另外，我們也看到不同設備對其未知惡意程序情況進行觀察，可以發現該種條件下其檢測準確率達到77.23%，這一結果也表明文中的異常檢測系統是較為可行的，已經具備了較高的檢測未知惡意程序的能力。

5 結束語

綜上所述，本文提出了用于分布式移動設備異常檢測技術，其中客戶端擔負著收集特征功能，服務器則擔負著對特征向量實施異常檢測分析，并通過真實的實驗方案設計，進一步證實了該異常檢測系統的有效性。

[1]石莎.移動互聯網絡安全認證及安全應用中若干關鍵技術研究[D].北京:北京郵電大學,2012.

[2]Agovic A,Banerjee A,Ganguly AR,et al.2007.Anomaly detection in transportation corridors using manifold embedding[C].First International Workshop on Knowledge Discovery from Sensor Data.ACM Press,2009.

[3]鄭毅平,董霄峰,馬玉祥.適應高速網絡的入侵檢測技術探討——誤用檢測與異常檢測的結合[J].電子科技,2004(1):16-18.ZHENG Yi-ping,DONG Xiao-feng,MA Yu-xiang.Discussion--misuse detection and anomaly detection with high-speed network intrusion detection technology adaptation[J].Electronic Science and Technology,2004(1):16-18.

[4]殷鋒社.基于網絡引擎入侵檢測系統的研究與實現[J].電子設計工程,2011,19(7):92-95,99.YIN Feng-she.Research and implementation of intrusion detection system based on network engine[J].Electronic design engineering,2011,19(7):92-95,99.

[5]張雅明,林立忠,劉智國.結合遺傳算法與LSSVC的網絡異常檢測[J].計算機仿真,2010,27(12):148-151.ZHANG Ya-ming,LIN Li-zhong,LIU Zhi-guo.Anomaly detection in combined with genetic algorithm and LSSVC network[J].Computer Simulation,2010,27(12):148-151.

[6]崔捷,許蕾,王曉東,等.無線傳感器網絡入侵檢測系統[J].電子科技,2011,24(10):144-146.CUI Jie,XU Lei,WANG Xiao-dong,et al.Intrusion detection system of wireless sensor networks[J].Electronic Science and Technology,2011,24(10):144-146.

[7]周賢偉,王培,覃伯平,等.一種無線傳感器網絡異常檢測技術研究[J].傳感技術學報,2007,20(8):1870-1874.ZHOU Xian-wei,WANG Pei,QIN Bo-ping.A wireless sehsor network anomaly detection technique[J].Chinese Journal of Sensors and Actuators 2007,20(8):1870-1874.

[8]閻巧,謝維信.異常檢測技術的研究與發展[J].西安電子科技大學學報:自然科學版,2002,29(1):128-132.YAN Qiao,XIE Wei-xin.Anomaly detection technology of Sensing technology for wireless sensor network[J].Joural of Xidian University,2002,29(1):128-132.

[9]楊風召,白慧.異常檢測技術及其在電子商務中的應用[J].情報雜志,2005(12):51-53.YANG Feng-zhao,BAI Hui.Anomaly detection technology and its application in e-commerce[J].Journal of Information,2005(12):51-53.

[10]周彬彬,崔寶江,楊義先.基于系統行為分析的異常檢測技術研究[J].電信科學,2009(2):59-65.ZHOU Bin-bin,CUI Bao-jiang,YANG Yi-xian.Analysis of system behavioranomaly detection technology research based on[J].Telecom Science,2009(2):59-65.

[11]苗強,周興社,倪紅波,等.基于行為規律的異常檢測技術研究[J].計算機工程與應用,2010,46(15):211-214.MIAO Qiang,ZHOU Xing,NI Hong-bo,et al.Research on anomaly detection technology based on behavior rule[J].Computer Engineering and Applications,2010,46(15):211-214.

[12]譚云松.異常檢測技術的分析與比較[J].軟件導刊,2006(21):61-63.TAN Yun-song.Analysis and comparison of anomaly detection technology[J].Software Guide,2006(21):61-63.