專利名稱:基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法
技術領域:
本發(fā)明屬于手機安全領域����,具體涉及一種基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法�����。
背景技術:
手機這種特別的移動設備的特性給手機安全帶來了很多的障礙,計算能力��、存儲能力�����、電池供應能力�����、網絡互連能力的限制都給傳統(tǒng)技術�����,特別是從傳統(tǒng)PC (personalcomputer,個人計算機)上借鑒來的技術在智能手機上的因地制宜帶來了困難�。比如基于特征碼匹配的檢測,由于智能手機的計算能力與存儲能力��,只能將任務進行分布式處理�����,這樣又將受到網絡互連能力的制約����。在病毒的行為方式越來越隱蔽,越來越不同于現(xiàn)有的經驗規(guī)則時��,對不斷增加的新的應用����,傳統(tǒng)的靜態(tài)或者動態(tài)檢測方法都將無法一一驗證其是否含有惡意的行為,這時需要借助人工智能的手段來對病毒或者正常應用甚至是用戶的行為進行認知���。借助人工智能等方式對安全進行檢測的方法���,一般是通過挖掘應用和用戶交互的行為模式的基礎上加以建模和利用的。如Bose等人就設計了一個算法來自動識別智能手機用戶與無線網絡之間的交互�,通過對這種交互行為的識別,能夠發(fā)現(xiàn)識別可疑的手機�,并將這樣的手機限制在一套網絡互連的約束內。再比如PBMDS系統(tǒng)則通過攔截和分析用戶鍵盤輸入來挖掘用戶和手機交互的行為方式并通過HMM(Hidden Markov Model,隱馬爾可夫)模型進行描述取得了很好的檢測手機病毒的效果。作為時下發(fā)展最快最火的智能手機平臺�,Android平臺上的應用行為模式挖掘的研究才剛剛起步,并沒有成熟可用的應用行為檢測模型�,安全檢測技術大都針對已知的安全隱患,如基于靜態(tài)特征匹配(結合云計算的思想)能夠識別已知的正常應用是否被感染�,再如基于平臺的監(jiān)控技術可以實現(xiàn)應用防火墻來進行手機安全的護航。這些技術在一定程度上控制了惡意行為的感染和傳播�,但是對于將惡意行為巧妙的進行隱藏(如將惡意行為需要的權限隱藏在同樣需要該權限的應用中)后帶來的未知安全隱患的檢測就無能為力了,這時正需要從另一層面對惡意行為進行識別�����,通過比對原始的正常行為來發(fā)現(xiàn)未知的安全隱患����。
發(fā)明內容
本發(fā)明是為了解決現(xiàn)有的技術對Android平臺上的應用行為模式的檢測技術不能夠識別應用是否被感染病毒,不能將惡意隱藏的安全隱患進行有效檢測的問題����,提出的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法。本發(fā)明的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法�,其具體過程為步驟I��、系統(tǒng)監(jiān)聽模塊按照時間間隔�,對系統(tǒng)狀態(tài)進行攔截,對攔截信息進行過濾、轉換��,并記錄生成的復合狀態(tài)序列��,然后將復合狀態(tài)序列送入到數(shù)據中心模塊���;���、
步驟2、行為學習模塊從數(shù)據中心模塊讀取待學習的序列以及初始模型�����,通過重復的學習�����,并以一定收斂標準結束��,將學習的結果存入到數(shù)據中心模塊����,學習的結果即為該類應用的HMM ;步驟3、行為檢測模塊根據待檢測應用類型設置檢測策略�,如果是已知類型的應用�����,選擇相應的HMM進行一次完整的序列評估���,獲得檢測結果,如果是未知類型的應用�����,首先檢測待檢測應用類型中是否含有不安全的行為����,利用所有代表惡意行為的HMM進行多次完整序列評估,并最終輸出檢測結果�。本發(fā)明提出的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法通過對基于Android智能手機平臺上的應用程序在運行時的行為狀態(tài)轉換模式以及系統(tǒng)特 征變化的分析,利用HMM來刻畫應用行為狀態(tài)轉換所表現(xiàn)出來的模式�,在此基礎上對基于Android平臺上一些類別的應用在運行時表現(xiàn)的行為狀態(tài)轉換模式進行學習,并利用學習后的模型對未知應用進行行為檢測���,通過該方法可以對基于Android智能手機平臺上應用行為進行安全監(jiān)測�,識別應用是否被感染病毒�����,還可以有效檢測惡意隱藏的安全隱患����。
圖I是本發(fā)明的系統(tǒng)架構圖;圖2是系統(tǒng)監(jiān)聽模塊對復合狀態(tài)的捕捉過程流程圖���;圖3是本發(fā)明的行為學習模塊對應用行為模式的學習過程流程圖����;圖4是本發(fā)明的行為檢測模塊對應用行為的檢測過程流程圖�����。
具體實施例方式具體實施方式
一����、結合圖I說明本實施方式,基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法���,其具體方法為步驟I�、按照時間間隔��,系統(tǒng)監(jiān)聽模塊對系統(tǒng)狀態(tài)進行攔截����,對攔截信息進行過濾�、轉換�,并記錄生成的復合狀態(tài)序列,然后將復合狀態(tài)序列送入到數(shù)據中心模塊�����;步驟2���、行為學習模塊從數(shù)據中心模塊讀取待學習的序列以及初始模型����,通過重復的學習�����,并以一定收斂標準結束���,將學習的結果存入到數(shù)據中心模塊��,學習的結果即為該類應用的HMM ;步驟3��、行為檢測模塊根據待檢測應用類型設置檢測策略���,如果是已知類型的應用���,選擇相應的HMM進行一次完整的序列評估����,獲得檢測結果,如果是未知類型的應用�����,首先檢測待檢測應用類型中是否含有不安全的行為����,利用所有代表惡意行為的HMM進行多次完整序列評估,并最終輸出檢測結果�����。
具體實施方式
二����、結合圖I說明本實施方式,本實施方式與具體實施方式
一的區(qū)別在于步驟I所述的系統(tǒng)監(jiān)聽模塊利用交互控制模塊配置監(jiān)聽參數(shù)����,并對系統(tǒng)各模塊的運行進行控制���。本實施方式中,交互控制模塊5用來配置一些監(jiān)聽參數(shù)��,并對系統(tǒng)各模塊的運行進行控制�����,如用戶可以打開SMS(Short Messaging Service)應用程序進行一些操作,啟動系統(tǒng)監(jiān)聽模塊在后臺攔截SMS的行為狀態(tài)信息����,并對信息進行組合形成原始的復合狀態(tài)U,用戶還可以重復此過程���,來監(jiān)聽多個短信程序運行行為�,這些應用程序必須都是擁有正常應用行為的短信類應用程序�����,即它們擁有相對一致的行為模式�,當監(jiān)聽數(shù)據足以描述所有應用的行為模式時,用戶可以進行下一步,如應用行為的學習或者檢測�����。
具體實施方式
三��、結合圖2說明本實施方式�����,本實施方式與具體實施方式
一的區(qū)別在于�����,所述步驟I的具體過程為步驟I. I�����、啟動系統(tǒng)監(jiān)聽模塊�����,用戶設置監(jiān)聽參數(shù)啟動監(jiān)聽組件��,監(jiān)聽應用運行時反應到系統(tǒng)的狀態(tài)�;設置監(jiān)聽的參數(shù),包括監(jiān)聽的時間間隔的時間參數(shù)和應用名稱���;步驟I. 2�、判斷是否繼續(xù)監(jiān)聽����,如果是,則執(zhí)行步驟I. 3����,如果否,則生成觀測序列同步到數(shù)據中心模塊����;步驟I. 3、獲取被監(jiān)聽應用對應的系統(tǒng)狀態(tài)信息包括組成復合狀態(tài)的各要素��,棧頂組件類型���、應用當前狀態(tài)����、應用CPU和內存耗費情況���;步驟I. 4���、判斷被監(jiān)聽的信息是否過濾����,如果是��,則執(zhí)行步驟I. 2�����,如果否���,則執(zhí)行 步驟I. 5 ;步驟I. 5�����、將捕捉的信息組合生成一個復合狀態(tài)����,并按時間順序記錄成一串復合狀態(tài)序列,完成后返回步驟I. 2��。
具體實施方式
四、本實施方式與具體實施方式
三的區(qū)別在于步驟I. 4中所述監(jiān)聽信息過濾的規(guī)則為第一����、沒有意義的狀態(tài)如{Al, 15, C5,M3}表不應用未啟動,但是同時應用包含的一個任務的棧頂為Al類型的組件,且當前應用耗費內存增加����,CPU耗費大,顯然這樣的復合狀態(tài)是不可能存在的����。第二、實驗統(tǒng)計中不出現(xiàn)或者出現(xiàn)概率小于0. I的狀態(tài)這些狀態(tài)要酌情篩選���,不出現(xiàn)或者出現(xiàn)很少的狀態(tài)也可能是病毒行為模式描述的關鍵�����。第三���、不能有效刻畫復合行為的狀態(tài)如在大多數(shù)應用中的共性行為,可以進行過濾����,以將模型集中在對描敘應用特有���、用戶特有、惡意組件特有的行為模式上來�����。第四�����、顯狀態(tài)集合V應該是相對于S集合產生V集合的一個相對完備最小的集合�����。
具體實施方式
五��、結合圖3說明本實施方式���,本實施方式與具體實施方式
一的區(qū)別在于所述步驟2的具體過程為步驟2. I、啟動行為學習模塊����,用戶設置學習參數(shù),并從數(shù)據中心模塊中讀取待學習的復合狀態(tài)序列��;步驟2. 2、開始一次完整的學習�����,讀取所有的待測序列�����,統(tǒng)計各狀態(tài)間轉換的規(guī)律����,根據統(tǒng)計的結果修改和學習模型參數(shù);步驟2. 3�、判斷模型的學習結果是否收斂到一個穩(wěn)定結果,如果是�,將學習后的HMM同步到數(shù)據中心模塊,如果否���,則返回步驟2. 2��。本實施方式中���,步驟2. 2中所述學習和修改模型參數(shù)采用的算法是Baum-Welch算法,Baum-Welch算法基于最大似然估計的思想,通過遞歸的方式對HMM = (A,B, n )的參數(shù)進行修改。
具體實施方式
六�����、本實施方式與具體實施方式
五的區(qū)別在于所述步驟2. 3中判斷模型的學習結果是否收斂到一個穩(wěn)定結果的判斷標準為用學習完的模型對所有符合序列進行評估,將所有評估結果取平均值����,即獲得學習完成后的模型對樣本的一個認知度,設定一個上限�,當相鄰兩次模型的認知度之差小于這個上限時,學習結果已經收斂到了一個穩(wěn)定的結果���,當相鄰兩次模型的認知度之差大于這個上限時�����,學習結果沒有收斂到一個穩(wěn)定的結果��。
具體實施方式
七���、結合圖4說明本實施方式,本實施方式與具體實施方式
一的區(qū)別在于所述步驟3的具體過程為步驟3. I��、啟動行為檢測模塊����,用戶設置檢測參數(shù),從數(shù)據中心模塊讀取待測應用的復合狀態(tài)序列��,讀取指定的HMM �;步驟3. 2、從步驟3. I讀取的復合狀態(tài)序列中依次取出一條復合狀態(tài)序列���,步驟3. 3����、用步驟3. I讀取的HMM對取出的一條復合狀態(tài)序列進行評估�����,判斷評估結果是否正常�,如果是則執(zhí)行步驟3. 4,如果否則執(zhí)行步驟3. 2 ���;
步驟3. 4��、根據評估結果進行綜合評估���,輸出檢測結果。
具體實施方式
八����、本實施方式與具體實施方式
七的區(qū)別在于步驟3. 3所述的判斷評估結果是否正常的方法為采用Forward Algorithm,前向算法的原理獲取遞歸形式進行求解����,將計算獲得的概率值與預先設定的一個閾值進行比較��,如果在閾值范圍內��,則該序列評估結果正常�����,否則異常��。
具體實施方式
九���、本實施方式與具體實施方式
七的區(qū)別在于步驟3. 4所述綜合評估的標準為任何一組復合狀態(tài)序列中至少有一條異常序列�����,則該組序列代表的應用行為異常�。工作原理基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法的系統(tǒng)包括數(shù)據中心模塊I�、系統(tǒng)監(jiān)聽模塊2、行為學習模塊3、行為檢測模塊4�、交互控制模塊5��,數(shù)據中心模塊I的監(jiān)聽配置信號輸出端與系統(tǒng)監(jiān)聽模塊2的監(jiān)聽配置信號輸入端相連接�,系統(tǒng)監(jiān)聽模塊2的序列輸出端與數(shù)據中心模塊I的序列輸入端相連接,數(shù)據中心模塊I的序列輸出端與行為學習模塊3的序列輸入端相連接。數(shù)據中心模塊I主要用于存放系統(tǒng)中學習樣本序列�、檢測樣本序列以及學習后的HMM模型。樣本序列是指復合狀態(tài)序列�����,復合狀態(tài)是通過對應用程序運行時系統(tǒng)資源變化情況進行組合構建而成���,該復合狀態(tài)的序列可以間接描寫應用行為的狀態(tài)轉換��。如下對復合狀態(tài)進行簡單的定義V = {V1����,V2�,V3,V4……Vm} o其中每一個VX= {AX���,IX���,CX����,MX} �����;AX表示當前處于任務的活動棧棧頂?shù)哪莻€活動組件���,IX表示應用當前所處的狀態(tài)��,CX表示應用對CPU當前的耗費程度��,MX表示應用對內存當前占用的變化情況�。且AX G {A1�����,A2……Ai} �;IX G {II,12���,13�,14,15} ���;CX G {Cl, C2, C3, C4, C5} ���;MX G {Ml, M2, M3}��。這里 AX 所屬的集合可以進行擴展定義�����,表示不同類型的界面��,如控制流轉界面類型(對應SMS中的會話列表界面)���、交互界面類型(對應SMS中的會話界面)等等�。系統(tǒng)監(jiān)聽模塊2按照一定的時間間隔��,對特定應用程序運行時的各系統(tǒng)狀態(tài)進行攔截���,并對攔截信息進行過濾���、轉換����、記錄���,然后將最終生成復合狀態(tài)序列送入到數(shù)據中心模塊I ;行為學習模塊3從數(shù)據中心模塊I讀取待學習的序列以及初始模型��,通過重復的學習��,并以一定收斂標準結束���,將學習的結果(即該類應用的HMM)存入到數(shù)據中心模塊1,該學習的結果蘊含著該類應用程序的行為模式�����;行為檢測模塊4需要根據待檢測應用類型設置一定的檢測策略����,如果是已知類型的應用只需要選擇相應的HMM進行一次完整的序列評估即可獲得檢測結果。如果是未知類型的應用����,需要檢測其中是否含有不安全的行為,因此要利用所有代表惡意行為的HMM進行多次完整序列評估�����,并最終輸出檢測結果;交互控制模塊5用來配置一些監(jiān)聽參數(shù)�����,并對系統(tǒng)各模塊的運行進行控制��,如用戶可以打開SMS應用程序進行一些操作�,啟動系統(tǒng)監(jiān)聽模塊在后臺攔截SMS的行為狀態(tài)信息���,并對信息進行組合形成原始的復合狀態(tài)U����,用戶還可以重復此過程�����,來監(jiān)聽多個短信程序運行行為(這些應用程序必須都是擁有正常應用行為的短信類應用程序�,既它們擁有相對一致的行為模式),當監(jiān)聽數(shù)據足以描述所有應用的行為模式時���,用戶可以進行下一步��,如應用行為的學習或者檢測�。權利要求
1.基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法,其特征在于該方法的具體過程為 步驟I�����、按照時間間隔���,系統(tǒng)監(jiān)聽模塊對系統(tǒng)狀態(tài)進行攔截��,對攔截信息進行過濾�����、轉換���,并記錄生成的復合狀態(tài)序列,然后將復合狀態(tài)序列送入到數(shù)據中心模塊�����; 步驟2�、行為學習模塊從數(shù)據中心模塊讀取待學習的序列以及初始模型,通過重復的學習�����,并以一定收斂標準介紹,將學習的結果存入到數(shù)據中心模塊�,學習的結果即為該類應用的 HMM ; 步驟3���、行為檢測模塊根據待檢測應用類型設置檢測策略����,如果是已知類型的應用����,選擇相應的HMM進行一次完整的序列評估�,獲得檢測結果;如果是未知類型的應用��,首先檢測待檢測應用類型中是否含有不安全的行為����,利用所有代表惡意行為的HMM進行多次完整序列評估����,并最終輸出檢測結果��。
2.根據權利要求I所述的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方 法��,其特征在于步驟I所述的系統(tǒng)監(jiān)聽模塊利用交互控制模塊配置監(jiān)聽參數(shù)�����,并對系統(tǒng)各模塊的運行進行控制���。
3.根據權利要求I所述的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法�����,其特征在于所述步驟I的具體過程為 步驟I. I���、啟動系統(tǒng)監(jiān)聽模塊,用戶設置監(jiān)聽參數(shù)啟動監(jiān)聽組件�,監(jiān)聽應用運行時反應到系統(tǒng)的狀態(tài);設置監(jiān)聽的參數(shù)��,包括監(jiān)聽的時間間隔的時間參數(shù)和應用名稱�����; 步驟I. 2、判斷是否繼續(xù)監(jiān)聽���,如果是����,則執(zhí)行步驟I. 3����,如果否,則生成觀測序列同步到數(shù)據中心模塊��; 步驟I. 3����、獲取被監(jiān)聽應用對應的系統(tǒng)狀態(tài)信息包括組成復合狀態(tài)的各要素,棧頂組件類型�、應用當前狀態(tài)、應用CPU和內存耗費情況����; 步驟I. 4���、判斷被監(jiān)聽的信息是否過濾�����,如果是�����,則執(zhí)行步驟I. 2����,如果否,則執(zhí)行步驟I.5 ����; 步驟I. 5、將捕捉的信息組合生成一個復合狀態(tài)����,并按時間順序記錄成一串復合狀態(tài)序列,完成后返回步驟I. 2�。
4.根據權利要求3所述的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法,其特征在于步驟I. 4中所述監(jiān)聽信息過濾的規(guī)則為 第一���、沒有意義的狀態(tài)�; 第二��、實驗統(tǒng)計中不出現(xiàn)或者出現(xiàn)概率小于0. I的狀態(tài); 第三�����、不能有效刻畫復合行為的狀態(tài)��; 第四�、顯狀態(tài)集合V應該是相對于S集合產生V集合的一個相對完備最小的集合。
5.根據權利要求I所述的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法�,其特征在于所述步驟2的具體過程為 步驟2. I、啟動行為學習模塊�����,用戶設置學習參數(shù)�����,并從數(shù)據中心模塊中讀取待學習的復合狀態(tài)序列����; 步驟2. 2、開始一次完整的學習��,讀取所有的待測序列�,統(tǒng)計各狀態(tài)間轉換的規(guī)律,根據統(tǒng)計的結果修改和學習模型參數(shù)��; 步驟2. 3�、判斷模型的學習結果是否收斂到一個穩(wěn)定結果,如果是�,將學習后的HMM同步到數(shù)據中心模塊,如果否�,則返回步驟2. 2。
6.根據權利要求5所述的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法��,其特征在于所述步驟2. 3中判斷模型的學習結果是否收斂到一個穩(wěn)定結果的判斷標準為用學習完的模型對所有符合序列進行評估�,將所有評估結果取平均值,即獲得學習完成后的模型對樣本的一個認知度��,設定一個上限��,當相鄰兩次模型的認知度之差小于這個上限時�,學習結果已經收斂到了一個穩(wěn)定的結果,當相鄰兩次模型的認知度之差大于這個上限時���,學習結果沒有收斂到一個穩(wěn)定的結果����。
7.根據權利要求I所述的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法����,其特征在于所述步驟3的具體過程為 步驟3. I���、啟動行為檢測模塊,用戶設置檢測參數(shù)���,從數(shù)據中心模塊讀取待測應用的復合狀態(tài)序列�,讀取指定的HMM �; 步驟3. 2、從步驟3. I讀取的復合狀態(tài)序列中依次取出一條復合狀態(tài)序列��, 步驟3. 3��、用步驟3. I讀取的HMM對取出的一條復合狀態(tài)序列進行評估�,判斷評估結果是否正常,如果是則執(zhí)行步驟3. 4�����,如果否則執(zhí)行步驟3. 2 �; 步驟3. 4、根據評估結果進行綜合評估���,輸出檢測結果�。
8.根據權利要求7所述的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法,其特征在于步驟3. 3所述的判斷評估結果是否正常的方法為采用ForwardAlgorithm����,前向算法的原理獲取遞歸形式進行求解���,將計算獲得的概率值與預先設定的一個閾值進行比較�����,如果在閾值范圍內�,則該序列評估結果正常�����,否則異常����。
9.根據權利要求7所述的基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法,其特征在于步驟3. 4所述綜合評估的標準為任何一組復合狀態(tài)序列中至少有一條異常序列�,則該組序列代表的應用行為異常。
全文摘要
基于Android智能手機的應用程序行為狀態(tài)轉換模式識別方法���,屬于手機安全領域����,具體涉及一種應用程序行為狀態(tài)轉換模式識別方法。為了解決現(xiàn)有技術的檢測不能識別應用是否被感染病毒����,不能將隱藏的安全隱患進行有效檢測的問題。過程為系統(tǒng)監(jiān)聽模塊對狀態(tài)進行攔截��,并進行過濾�、轉換,記錄生成的復合狀態(tài)序列送入數(shù)據中心模塊����;行為學習模塊讀取待學習序列和初始模型,重復學習以收斂標準結束�,將結果存入數(shù)據中心模塊;行為檢測模塊設置檢測策略��,如果是已知類型應用���,選擇HMM進行一次完整評估�����,如果是未知類型應用����,檢測是否含有不安全行為,利用所有代表惡意行為的HMM進行多次完整評估����,輸出結果��。用于智能手機安全檢測��。
文檔編號H04M1/725GK102647409SQ20121006562
公開日2012年8月22日 申請日期2012年1月13日 優(yōu)先權日2012年1月13日
發(fā)明者李瓊, 牛夏牧, 王莘, 石振鋒, 韓琦 申請人:哈爾濱工業(yè)大學