异常检测技术在移动设备及网络安全防护中的应用

张庆

（陕西省行政学院 学生处，陕西 西安 710068）

当前，手机已经超出了通讯工具这一传统范畴，而成为人们的个人信息中心，随着智能手机的迅速发展和普及，更是将其成为个人信息的最重要载体。而未来，随着智能手机价格的日益低廉、技术的逐步成熟以及人们消费水平的不断上升，智能手机用户也会越来越多，庞大的用户群体必然会催生出种类繁多的应用软件，在为用户带来多样化便捷化服务的同时，也会各种手机病毒的滋生或者传播提供了机会[1-3]。因而研究异常检测技术在移动设备及网络安全防护不仅具有重要的学术价值，也有一定的现实意义。

1 移动设备的异常检测系统整体框架设计

本文使用的是客户端——服务器模式，也是当前应用较为广泛的一种模式。其中客户端程序的基本功能在于对智能手机进行监控，防止受到入侵，还可以收集异常检测需要的一些的特征，然后再借助网络把收集到的特征向量转而传送到远程服务器，现在通行的GPRS网络、3G网络或WIFI等均可适用[4-5]。

从服务器设计上来说，属于分布式架构，其主要构成设备包括通信服务器和一些检测服务器，其中通信服务器除了发挥原有的通信服务功能外，还承担了主服务器的功能，可以综合考虑各自客户端号包括现下服务器当前所处的负载情况等，然后在此基础上把收到的一些待检测特征向量，一一分发给相应的检测服务器，受到这些待检测特征向量后，检测服务器可以借助异常检测算法做出进行一步的检测，检测完毕后即将这些结果传输到主服务器上，而主服务器此时就可以对这些检测结果进行保存和处理，处理中如果发现检测结果出现异常，那么就可以立刻发送警报反馈给对应客户端。在设计中，之所以对服务器使用分布式的架构这一形式，主要是由于客户端数量一旦形成较大规模，那么该服务器势必面临大量移动数据的分析和处理，此时就能够体现出分布式架构的优势。具体的框架设计情况如图1所示[6]。

图1 异常检测系统框架设计Fig.1 Anomaly detection system framework design

2 客户端组成

本文所介绍的客户端采用的是现在应用较广的安卓操作系统，客户端的主要组成部分如下：

1)Feature Extrator，即我们通常所说的特征提取器。一般可以由两种方式进行提取，一是借助安卓系统自身所带有的APIs接口，还有一种是借助Linux内核信息的提取功能进行提取。特征提取器在收集的特征方面主要包括3种，即Linux内核层的特征，主要包括CPU使用率以及内存增减量等；用程序层的特征，这方面主要有安装的应用程序数量以及运行中的任务数；还有一种是用户行为层的特征，也即是可以反映用户行为的一些特征，主要包括用户的按键次数、当前使用屏幕的亮暗状态。通常情况下，特征的收集频率运行时主要是由计时器所控制，计时器的默认值为30 s，但是可以根据实际需要进行调节[7-8]。

2)CommunicationModule，也即是通信模块。该模块的基本功能在于把收集到的特征向量发送给服务器，与此同时，如果出现异常情况时，也可以接收服务器反馈的异常警报。需要注意的是，假如客户端是首次连接服务器，那么通信模块就会发送出一个IMEI到服务器注册这一客户端，如果用户注册成功还会接收到相应的确认信息，同时还可以将IMEI号作为该设备注册号。

3)Graphical User Interface，即图形用户界面。这种界面的主要功能在于提供客户端的参数设置，主要都是一些基本设置，比如特征提取的时间间隔服务器ff地址等。

3 服务器构成

客户端和服务器分工明确，服务器的主要功能在于判定特征向量是否发生了异常，基本构成模块如下：

1)DataBase，也即是数据存储模块。数据存储模式应用MySQL数据库存储具有分类特征的特征向量，不管是正常的还是异常的都包括在内。其中MySQL数据库中，总表主要负责存放全部特征向量，而每一个检测器还会设置一个单独的表，主要是用于和其相关一些向量训练集的存储。其中表的主键应当是特征提取时间和设备注册号二者的相加[9-12]。

2)DetectionModule，也即是检测模块。作为服务器的主模块，其主要功能在于通过各种异常检测算法对相应的特征向量有无异常做出判断。在该模块之中还包含着两部分内容，也就是检测器管理器以及一些检测器。需要注意的是，在检测模块中的每个检测器都会有一个独立的和其相配的异常检测算法，我们举例来说，J48检测器所唯一对应的异常检测算法就是C4.5决策树算法，其他均不可。在该模块中，一旦出现新的待检测特征向量，那么检测器就会最短时间内迅速从它们自己的数据库表中选择出一些相对应的训练数据集，同时开始训练分类器，在此基础上给出相应的检测结果。除此之外，检测器管理器还能够把所有检测器所获得的结果融合到一起，然后给出最终判定结果，也可以对全部检测器的参数配置进行控制，根据需要对检测器增加和删除。

3)Communication Module，也即是通信模块。该模块的主要作用在于和客户端进行通信，对受到的多种请求及消息进行处理。它可以把收到的全部特征向量输送到检测模块，同时通信模块还能够把检测中发现的异常结果即时传送给客户端。

4)Graphical User Interface，和客户端的图形用户界面具有一致性，能够实施数据库的初始化、管理，同时也可以进行可视化查看，以实时监控和检测检测器和连接状态的客户端。

4 实验

为了进一步验证上述异常检测系统的功能，观察其能否检测到一些未知的恶意程序，文中采用了3种训练集和测试集：第1种，训练集特征向量选取了某一设备的全部正常程序，同时还选择了三种恶意程序的而共同组成，在选择测试集时则采用了第四种恶意程序特征向量。第2种，选择了某一设备的全部正常程序以及全部恶意程序的特征向量充当训练集，在选择测试集时则另外采用了两台设备，选择了这两台设备中全部的恶意程序特征向量。第3种，训练集选择的是某一设备的全部正常程序以及该设备的三种恶意程序特征向量，选择测试集时采用的则是另外两台设备，选择了这两台设备的第4种恶意程序特征向量，检测结果如表1所示。

表1 相同或不同设备的恶意程序检测准确率实验结果Tab.1 The same or different equipment malware detection accuracy of experimental results

从表1中可看出同一设备上进行检测时，未知恶意程序和已知恶意程序二者相比，前者较低，而对于不同设备上进行检测时，恶意程序和相同设备相比，则准确率明显较低，另外，我们也看到不同设备对其未知恶意程序情况进行观察，可以发现该种条件下其检测准确率达到77.23%，这一结果也表明文中的异常检测系统是较为可行的，已经具备了较高的检测未知恶意程序的能力。

5 结束语

综上所述，本文提出了用于分布式移动设备异常检测技术，其中客户端担负着收集特征功能，服务器则担负着对特征向量实施异常检测分析，并通过真实的实验方案设计，进一步证实了该异常检测系统的有效性。

[1]石莎.移动互联网络安全认证及安全应用中若干关键技术研究[D].北京:北京邮电大学,2012.

[2]Agovic A,Banerjee A,Ganguly AR,et al.2007.Anomaly detection in transportation corridors using manifold embedding[C].First International Workshop on Knowledge Discovery from Sensor Data.ACM Press,2009.

[3]郑毅平,董霄峰,马玉祥.适应高速网络的入侵检测技术探讨——误用检测与异常检测的结合[J].电子科技,2004(1):16-18.ZHENG Yi-ping,DONG Xiao-feng,MA Yu-xiang.Discussion--misuse detection and anomaly detection with high-speed network intrusion detection technology adaptation[J].Electronic Science and Technology,2004(1):16-18.

[4]殷锋社.基于网络引擎入侵检测系统的研究与实现[J].电子设计工程,2011,19(7):92-95,99.YIN Feng-she.Research and implementation of intrusion detection system based on network engine[J].Electronic design engineering,2011,19(7):92-95,99.

[5]张雅明,林立忠,刘智国.结合遗传算法与LSSVC的网络异常检测[J].计算机仿真,2010,27(12):148-151.ZHANG Ya-ming,LIN Li-zhong,LIU Zhi-guo.Anomaly detection in combined with genetic algorithm and LSSVC network[J].Computer Simulation,2010,27(12):148-151.

[6]崔捷,许蕾,王晓东,等.无线传感器网络入侵检测系统[J].电子科技,2011,24(10):144-146.CUI Jie,XU Lei,WANG Xiao-dong,et al.Intrusion detection system of wireless sensor networks[J].Electronic Science and Technology,2011,24(10):144-146.

[7]周贤伟,王培,覃伯平,等.一种无线传感器网络异常检测技术研究[J].传感技术学报,2007,20(8):1870-1874.ZHOU Xian-wei,WANG Pei,QIN Bo-ping.A wireless sehsor network anomaly detection technique[J].Chinese Journal of Sensors and Actuators 2007,20(8):1870-1874.

[8]阎巧,谢维信.异常检测技术的研究与发展[J].西安电子科技大学学报:自然科学版,2002,29(1):128-132.YAN Qiao,XIE Wei-xin.Anomaly detection technology of Sensing technology for wireless sensor network[J].Joural of Xidian University,2002,29(1):128-132.

[9]杨风召,白慧.异常检测技术及其在电子商务中的应用[J].情报杂志,2005(12):51-53.YANG Feng-zhao,BAI Hui.Anomaly detection technology and its application in e-commerce[J].Journal of Information,2005(12):51-53.

[10]周彬彬,崔宝江,杨义先.基于系统行为分析的异常检测技术研究[J].电信科学,2009(2):59-65.ZHOU Bin-bin,CUI Bao-jiang,YANG Yi-xian.Analysis of system behavioranomaly detection technology research based on[J].Telecom Science,2009(2):59-65.

[11]苗强,周兴社,倪红波,等.基于行为规律的异常检测技术研究[J].计算机工程与应用,2010,46(15):211-214.MIAO Qiang,ZHOU Xing,NI Hong-bo,et al.Research on anomaly detection technology based on behavior rule[J].Computer Engineering and Applications,2010,46(15):211-214.

[12]谭云松.异常检测技术的分析与比较[J].软件导刊,2006(21):61-63.TAN Yun-song.Analysis and comparison of anomaly detection technology[J].Software Guide,2006(21):61-63.