專利名稱:基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法
技術(shù)領(lǐng)域:
本發(fā)明屬于手機安全領(lǐng)域,具體涉及一種基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法。
背景技術(shù):
手機這種特別的移動設(shè)備的特性給手機安全帶來了很多的障礙,計算能力、存儲能力、電池供應(yīng)能力、網(wǎng)絡(luò)互連能力的限制都給傳統(tǒng)技術(shù),特別是從傳統(tǒng)PC (personalcomputer,個人計算機)上借鑒來的技術(shù)在智能手機上的因地制宜帶來了困難。比如基于特征碼匹配的檢測,由于智能手機的計算能力與存儲能力,只能將任務(wù)進行分布式處理,這樣又將受到網(wǎng)絡(luò)互連能力的制約。在病毒的行為方式越來越隱蔽,越來越不同于現(xiàn)有的經(jīng)驗規(guī)則時,對不斷增加的新的應(yīng)用,傳統(tǒng)的靜態(tài)或者動態(tài)檢測方法都將無法一一驗證其是否含有惡意的行為,這時需要借助人工智能的手段來對病毒或者正常應(yīng)用甚至是用戶的行為進行認知。借助人工智能等方式對安全進行檢測的方法,一般是通過挖掘應(yīng)用和用戶交互的行為模式的基礎(chǔ)上加以建模和利用的。如Bose等人就設(shè)計了一個算法來自動識別智能手機用戶與無線網(wǎng)絡(luò)之間的交互,通過對這種交互行為的識別,能夠發(fā)現(xiàn)識別可疑的手機,并將這樣的手機限制在一套網(wǎng)絡(luò)互連的約束內(nèi)。再比如PBMDS系統(tǒng)則通過攔截和分析用戶鍵盤輸入來挖掘用戶和手機交互的行為方式并通過HMM(Hidden Markov Model,隱馬爾可夫)模型進行描述取得了很好的檢測手機病毒的效果。作為時下發(fā)展最快最火的智能手機平臺,Android平臺上的應(yīng)用行為模式挖掘的研究才剛剛起步,并沒有成熟可用的應(yīng)用行為檢測模型,安全檢測技術(shù)大都針對已知的安全隱患,如基于靜態(tài)特征匹配(結(jié)合云計算的思想)能夠識別已知的正常應(yīng)用是否被感染,再如基于平臺的監(jiān)控技術(shù)可以實現(xiàn)應(yīng)用防火墻來進行手機安全的護航。這些技術(shù)在一定程度上控制了惡意行為的感染和傳播,但是對于將惡意行為巧妙的進行隱藏(如將惡意行為需要的權(quán)限隱藏在同樣需要該權(quán)限的應(yīng)用中)后帶來的未知安全隱患的檢測就無能為力了,這時正需要從另一層面對惡意行為進行識別,通過比對原始的正常行為來發(fā)現(xiàn)未知的安全隱患。
發(fā)明內(nèi)容
本發(fā)明是為了解決現(xiàn)有的技術(shù)對Android平臺上的應(yīng)用行為模式的檢測技術(shù)不能夠識別應(yīng)用是否被感染病毒,不能將惡意隱藏的安全隱患進行有效檢測的問題,提出的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法。本發(fā)明的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其具體過程為步驟I、系統(tǒng)監(jiān)聽模塊按照時間間隔,對系統(tǒng)狀態(tài)進行攔截,對攔截信息進行過濾、轉(zhuǎn)換,并記錄生成的復(fù)合狀態(tài)序列,然后將復(fù)合狀態(tài)序列送入到數(shù)據(jù)中心模塊;、
步驟2、行為學(xué)習(xí)模塊從數(shù)據(jù)中心模塊讀取待學(xué)習(xí)的序列以及初始模型,通過重復(fù)的學(xué)習(xí),并以一定收斂標準結(jié)束,將學(xué)習(xí)的結(jié)果存入到數(shù)據(jù)中心模塊,學(xué)習(xí)的結(jié)果即為該類應(yīng)用的HMM ;步驟3、行為檢測模塊根據(jù)待檢測應(yīng)用類型設(shè)置檢測策略,如果是已知類型的應(yīng)用,選擇相應(yīng)的HMM進行一次完整的序列評估,獲得檢測結(jié)果,如果是未知類型的應(yīng)用,首先檢測待檢測應(yīng)用類型中是否含有不安全的行為,利用所有代表惡意行為的HMM進行多次完整序列評估,并最終輸出檢測結(jié)果。本發(fā)明提出的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法通過對基于Android智能手機平臺上的應(yīng)用程序在運行時的行為狀態(tài)轉(zhuǎn)換模式以及系統(tǒng)特 征變化的分析,利用HMM來刻畫應(yīng)用行為狀態(tài)轉(zhuǎn)換所表現(xiàn)出來的模式,在此基礎(chǔ)上對基于Android平臺上一些類別的應(yīng)用在運行時表現(xiàn)的行為狀態(tài)轉(zhuǎn)換模式進行學(xué)習(xí),并利用學(xué)習(xí)后的模型對未知應(yīng)用進行行為檢測,通過該方法可以對基于Android智能手機平臺上應(yīng)用行為進行安全監(jiān)測,識別應(yīng)用是否被感染病毒,還可以有效檢測惡意隱藏的安全隱患。
圖I是本發(fā)明的系統(tǒng)架構(gòu)圖;圖2是系統(tǒng)監(jiān)聽模塊對復(fù)合狀態(tài)的捕捉過程流程圖;圖3是本發(fā)明的行為學(xué)習(xí)模塊對應(yīng)用行為模式的學(xué)習(xí)過程流程圖;圖4是本發(fā)明的行為檢測模塊對應(yīng)用行為的檢測過程流程圖。
具體實施例方式具體實施方式
一、結(jié)合圖I說明本實施方式,基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其具體方法為步驟I、按照時間間隔,系統(tǒng)監(jiān)聽模塊對系統(tǒng)狀態(tài)進行攔截,對攔截信息進行過濾、轉(zhuǎn)換,并記錄生成的復(fù)合狀態(tài)序列,然后將復(fù)合狀態(tài)序列送入到數(shù)據(jù)中心模塊;步驟2、行為學(xué)習(xí)模塊從數(shù)據(jù)中心模塊讀取待學(xué)習(xí)的序列以及初始模型,通過重復(fù)的學(xué)習(xí),并以一定收斂標準結(jié)束,將學(xué)習(xí)的結(jié)果存入到數(shù)據(jù)中心模塊,學(xué)習(xí)的結(jié)果即為該類應(yīng)用的HMM ;步驟3、行為檢測模塊根據(jù)待檢測應(yīng)用類型設(shè)置檢測策略,如果是已知類型的應(yīng)用,選擇相應(yīng)的HMM進行一次完整的序列評估,獲得檢測結(jié)果,如果是未知類型的應(yīng)用,首先檢測待檢測應(yīng)用類型中是否含有不安全的行為,利用所有代表惡意行為的HMM進行多次完整序列評估,并最終輸出檢測結(jié)果。
具體實施方式
二、結(jié)合圖I說明本實施方式,本實施方式與具體實施方式
一的區(qū)別在于步驟I所述的系統(tǒng)監(jiān)聽模塊利用交互控制模塊配置監(jiān)聽參數(shù),并對系統(tǒng)各模塊的運行進行控制。本實施方式中,交互控制模塊5用來配置一些監(jiān)聽參數(shù),并對系統(tǒng)各模塊的運行進行控制,如用戶可以打開SMS(Short Messaging Service)應(yīng)用程序進行一些操作,啟動系統(tǒng)監(jiān)聽模塊在后臺攔截SMS的行為狀態(tài)信息,并對信息進行組合形成原始的復(fù)合狀態(tài)U,用戶還可以重復(fù)此過程,來監(jiān)聽多個短信程序運行行為,這些應(yīng)用程序必須都是擁有正常應(yīng)用行為的短信類應(yīng)用程序,即它們擁有相對一致的行為模式,當監(jiān)聽數(shù)據(jù)足以描述所有應(yīng)用的行為模式時,用戶可以進行下一步,如應(yīng)用行為的學(xué)習(xí)或者檢測。
具體實施方式
三、結(jié)合圖2說明本實施方式,本實施方式與具體實施方式
一的區(qū)別在于,所述步驟I的具體過程為步驟I. I、啟動系統(tǒng)監(jiān)聽模塊,用戶設(shè)置監(jiān)聽參數(shù)啟動監(jiān)聽組件,監(jiān)聽應(yīng)用運行時反應(yīng)到系統(tǒng)的狀態(tài);設(shè)置監(jiān)聽的參數(shù),包括監(jiān)聽的時間間隔的時間參數(shù)和應(yīng)用名稱;步驟I. 2、判斷是否繼續(xù)監(jiān)聽,如果是,則執(zhí)行步驟I. 3,如果否,則生成觀測序列同步到數(shù)據(jù)中心模塊;步驟I. 3、獲取被監(jiān)聽應(yīng)用對應(yīng)的系統(tǒng)狀態(tài)信息包括組成復(fù)合狀態(tài)的各要素,棧頂組件類型、應(yīng)用當前狀態(tài)、應(yīng)用CPU和內(nèi)存耗費情況;步驟I. 4、判斷被監(jiān)聽的信息是否過濾,如果是,則執(zhí)行步驟I. 2,如果否,則執(zhí)行 步驟I. 5 ;步驟I. 5、將捕捉的信息組合生成一個復(fù)合狀態(tài),并按時間順序記錄成一串復(fù)合狀態(tài)序列,完成后返回步驟I. 2。
具體實施方式
四、本實施方式與具體實施方式
三的區(qū)別在于步驟I. 4中所述監(jiān)聽信息過濾的規(guī)則為第一、沒有意義的狀態(tài)如{Al, 15, C5,M3}表不應(yīng)用未啟動,但是同時應(yīng)用包含的一個任務(wù)的棧頂為Al類型的組件,且當前應(yīng)用耗費內(nèi)存增加,CPU耗費大,顯然這樣的復(fù)合狀態(tài)是不可能存在的。第二、實驗統(tǒng)計中不出現(xiàn)或者出現(xiàn)概率小于0. I的狀態(tài)這些狀態(tài)要酌情篩選,不出現(xiàn)或者出現(xiàn)很少的狀態(tài)也可能是病毒行為模式描述的關(guān)鍵。第三、不能有效刻畫復(fù)合行為的狀態(tài)如在大多數(shù)應(yīng)用中的共性行為,可以進行過濾,以將模型集中在對描敘應(yīng)用特有、用戶特有、惡意組件特有的行為模式上來。第四、顯狀態(tài)集合V應(yīng)該是相對于S集合產(chǎn)生V集合的一個相對完備最小的集合。
具體實施方式
五、結(jié)合圖3說明本實施方式,本實施方式與具體實施方式
一的區(qū)別在于所述步驟2的具體過程為步驟2. I、啟動行為學(xué)習(xí)模塊,用戶設(shè)置學(xué)習(xí)參數(shù),并從數(shù)據(jù)中心模塊中讀取待學(xué)習(xí)的復(fù)合狀態(tài)序列;步驟2. 2、開始一次完整的學(xué)習(xí),讀取所有的待測序列,統(tǒng)計各狀態(tài)間轉(zhuǎn)換的規(guī)律,根據(jù)統(tǒng)計的結(jié)果修改和學(xué)習(xí)模型參數(shù);步驟2. 3、判斷模型的學(xué)習(xí)結(jié)果是否收斂到一個穩(wěn)定結(jié)果,如果是,將學(xué)習(xí)后的HMM同步到數(shù)據(jù)中心模塊,如果否,則返回步驟2. 2。本實施方式中,步驟2. 2中所述學(xué)習(xí)和修改模型參數(shù)采用的算法是Baum-Welch算法,Baum-Welch算法基于最大似然估計的思想,通過遞歸的方式對HMM = (A,B, n )的參數(shù)進行修改。
具體實施方式
六、本實施方式與具體實施方式
五的區(qū)別在于所述步驟2. 3中判斷模型的學(xué)習(xí)結(jié)果是否收斂到一個穩(wěn)定結(jié)果的判斷標準為用學(xué)習(xí)完的模型對所有符合序列進行評估,將所有評估結(jié)果取平均值,即獲得學(xué)習(xí)完成后的模型對樣本的一個認知度,設(shè)定一個上限,當相鄰兩次模型的認知度之差小于這個上限時,學(xué)習(xí)結(jié)果已經(jīng)收斂到了一個穩(wěn)定的結(jié)果,當相鄰兩次模型的認知度之差大于這個上限時,學(xué)習(xí)結(jié)果沒有收斂到一個穩(wěn)定的結(jié)果。
具體實施方式
七、結(jié)合圖4說明本實施方式,本實施方式與具體實施方式
一的區(qū)別在于所述步驟3的具體過程為步驟3. I、啟動行為檢測模塊,用戶設(shè)置檢測參數(shù),從數(shù)據(jù)中心模塊讀取待測應(yīng)用的復(fù)合狀態(tài)序列,讀取指定的HMM ;步驟3. 2、從步驟3. I讀取的復(fù)合狀態(tài)序列中依次取出一條復(fù)合狀態(tài)序列,步驟3. 3、用步驟3. I讀取的HMM對取出的一條復(fù)合狀態(tài)序列進行評估,判斷評估結(jié)果是否正常,如果是則執(zhí)行步驟3. 4,如果否則執(zhí)行步驟3. 2 ;
步驟3. 4、根據(jù)評估結(jié)果進行綜合評估,輸出檢測結(jié)果。
具體實施方式
八、本實施方式與具體實施方式
七的區(qū)別在于步驟3. 3所述的判斷評估結(jié)果是否正常的方法為采用Forward Algorithm,前向算法的原理獲取遞歸形式進行求解,將計算獲得的概率值與預(yù)先設(shè)定的一個閾值進行比較,如果在閾值范圍內(nèi),則該序列評估結(jié)果正常,否則異常。
具體實施方式
九、本實施方式與具體實施方式
七的區(qū)別在于步驟3. 4所述綜合評估的標準為任何一組復(fù)合狀態(tài)序列中至少有一條異常序列,則該組序列代表的應(yīng)用行為異常。工作原理基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法的系統(tǒng)包括數(shù)據(jù)中心模塊I、系統(tǒng)監(jiān)聽模塊2、行為學(xué)習(xí)模塊3、行為檢測模塊4、交互控制模塊5,數(shù)據(jù)中心模塊I的監(jiān)聽配置信號輸出端與系統(tǒng)監(jiān)聽模塊2的監(jiān)聽配置信號輸入端相連接,系統(tǒng)監(jiān)聽模塊2的序列輸出端與數(shù)據(jù)中心模塊I的序列輸入端相連接,數(shù)據(jù)中心模塊I的序列輸出端與行為學(xué)習(xí)模塊3的序列輸入端相連接。數(shù)據(jù)中心模塊I主要用于存放系統(tǒng)中學(xué)習(xí)樣本序列、檢測樣本序列以及學(xué)習(xí)后的HMM模型。樣本序列是指復(fù)合狀態(tài)序列,復(fù)合狀態(tài)是通過對應(yīng)用程序運行時系統(tǒng)資源變化情況進行組合構(gòu)建而成,該復(fù)合狀態(tài)的序列可以間接描寫應(yīng)用行為的狀態(tài)轉(zhuǎn)換。如下對復(fù)合狀態(tài)進行簡單的定義V = {V1,V2,V3,V4……Vm} o其中每一個VX= {AX,IX,CX,MX} ;AX表示當前處于任務(wù)的活動棧棧頂?shù)哪莻€活動組件,IX表示應(yīng)用當前所處的狀態(tài),CX表示應(yīng)用對CPU當前的耗費程度,MX表示應(yīng)用對內(nèi)存當前占用的變化情況。且AX G {A1,A2……Ai} ;IX G {II,12,13,14,15} ;CX G {Cl, C2, C3, C4, C5} ;MX G {Ml, M2, M3}。這里 AX 所屬的集合可以進行擴展定義,表示不同類型的界面,如控制流轉(zhuǎn)界面類型(對應(yīng)SMS中的會話列表界面)、交互界面類型(對應(yīng)SMS中的會話界面)等等。系統(tǒng)監(jiān)聽模塊2按照一定的時間間隔,對特定應(yīng)用程序運行時的各系統(tǒng)狀態(tài)進行攔截,并對攔截信息進行過濾、轉(zhuǎn)換、記錄,然后將最終生成復(fù)合狀態(tài)序列送入到數(shù)據(jù)中心模塊I ;行為學(xué)習(xí)模塊3從數(shù)據(jù)中心模塊I讀取待學(xué)習(xí)的序列以及初始模型,通過重復(fù)的學(xué)習(xí),并以一定收斂標準結(jié)束,將學(xué)習(xí)的結(jié)果(即該類應(yīng)用的HMM)存入到數(shù)據(jù)中心模塊1,該學(xué)習(xí)的結(jié)果蘊含著該類應(yīng)用程序的行為模式;行為檢測模塊4需要根據(jù)待檢測應(yīng)用類型設(shè)置一定的檢測策略,如果是已知類型的應(yīng)用只需要選擇相應(yīng)的HMM進行一次完整的序列評估即可獲得檢測結(jié)果。如果是未知類型的應(yīng)用,需要檢測其中是否含有不安全的行為,因此要利用所有代表惡意行為的HMM進行多次完整序列評估,并最終輸出檢測結(jié)果;交互控制模塊5用來配置一些監(jiān)聽參數(shù),并對系統(tǒng)各模塊的運行進行控制,如用戶可以打開SMS應(yīng)用程序進行一些操作,啟動系統(tǒng)監(jiān)聽模塊在后臺攔截SMS的行為狀態(tài)信息,并對信息進行組合形成原始的復(fù)合狀態(tài)U,用戶還可以重復(fù)此過程,來監(jiān)聽多個短信程序運行行為(這些應(yīng)用程序必須都是擁有正常應(yīng)用行為的短信類應(yīng)用程序,既它們擁有相對一致的行為模式),當監(jiān)聽數(shù)據(jù)足以描述所有應(yīng)用的行為模式時,用戶可以進行下一步,如應(yīng)用行為的學(xué)習(xí)或者檢測。權(quán)利要求
1.基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其特征在于該方法的具體過程為 步驟I、按照時間間隔,系統(tǒng)監(jiān)聽模塊對系統(tǒng)狀態(tài)進行攔截,對攔截信息進行過濾、轉(zhuǎn)換,并記錄生成的復(fù)合狀態(tài)序列,然后將復(fù)合狀態(tài)序列送入到數(shù)據(jù)中心模塊; 步驟2、行為學(xué)習(xí)模塊從數(shù)據(jù)中心模塊讀取待學(xué)習(xí)的序列以及初始模型,通過重復(fù)的學(xué)習(xí),并以一定收斂標準介紹,將學(xué)習(xí)的結(jié)果存入到數(shù)據(jù)中心模塊,學(xué)習(xí)的結(jié)果即為該類應(yīng)用的 HMM ; 步驟3、行為檢測模塊根據(jù)待檢測應(yīng)用類型設(shè)置檢測策略,如果是已知類型的應(yīng)用,選擇相應(yīng)的HMM進行一次完整的序列評估,獲得檢測結(jié)果;如果是未知類型的應(yīng)用,首先檢測待檢測應(yīng)用類型中是否含有不安全的行為,利用所有代表惡意行為的HMM進行多次完整序列評估,并最終輸出檢測結(jié)果。
2.根據(jù)權(quán)利要求I所述的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方 法,其特征在于步驟I所述的系統(tǒng)監(jiān)聽模塊利用交互控制模塊配置監(jiān)聽參數(shù),并對系統(tǒng)各模塊的運行進行控制。
3.根據(jù)權(quán)利要求I所述的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其特征在于所述步驟I的具體過程為 步驟I. I、啟動系統(tǒng)監(jiān)聽模塊,用戶設(shè)置監(jiān)聽參數(shù)啟動監(jiān)聽組件,監(jiān)聽應(yīng)用運行時反應(yīng)到系統(tǒng)的狀態(tài);設(shè)置監(jiān)聽的參數(shù),包括監(jiān)聽的時間間隔的時間參數(shù)和應(yīng)用名稱; 步驟I. 2、判斷是否繼續(xù)監(jiān)聽,如果是,則執(zhí)行步驟I. 3,如果否,則生成觀測序列同步到數(shù)據(jù)中心模塊; 步驟I. 3、獲取被監(jiān)聽應(yīng)用對應(yīng)的系統(tǒng)狀態(tài)信息包括組成復(fù)合狀態(tài)的各要素,棧頂組件類型、應(yīng)用當前狀態(tài)、應(yīng)用CPU和內(nèi)存耗費情況; 步驟I. 4、判斷被監(jiān)聽的信息是否過濾,如果是,則執(zhí)行步驟I. 2,如果否,則執(zhí)行步驟I.5 ; 步驟I. 5、將捕捉的信息組合生成一個復(fù)合狀態(tài),并按時間順序記錄成一串復(fù)合狀態(tài)序列,完成后返回步驟I. 2。
4.根據(jù)權(quán)利要求3所述的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其特征在于步驟I. 4中所述監(jiān)聽信息過濾的規(guī)則為 第一、沒有意義的狀態(tài); 第二、實驗統(tǒng)計中不出現(xiàn)或者出現(xiàn)概率小于0. I的狀態(tài); 第三、不能有效刻畫復(fù)合行為的狀態(tài); 第四、顯狀態(tài)集合V應(yīng)該是相對于S集合產(chǎn)生V集合的一個相對完備最小的集合。
5.根據(jù)權(quán)利要求I所述的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其特征在于所述步驟2的具體過程為 步驟2. I、啟動行為學(xué)習(xí)模塊,用戶設(shè)置學(xué)習(xí)參數(shù),并從數(shù)據(jù)中心模塊中讀取待學(xué)習(xí)的復(fù)合狀態(tài)序列; 步驟2. 2、開始一次完整的學(xué)習(xí),讀取所有的待測序列,統(tǒng)計各狀態(tài)間轉(zhuǎn)換的規(guī)律,根據(jù)統(tǒng)計的結(jié)果修改和學(xué)習(xí)模型參數(shù); 步驟2. 3、判斷模型的學(xué)習(xí)結(jié)果是否收斂到一個穩(wěn)定結(jié)果,如果是,將學(xué)習(xí)后的HMM同步到數(shù)據(jù)中心模塊,如果否,則返回步驟2. 2。
6.根據(jù)權(quán)利要求5所述的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其特征在于所述步驟2. 3中判斷模型的學(xué)習(xí)結(jié)果是否收斂到一個穩(wěn)定結(jié)果的判斷標準為用學(xué)習(xí)完的模型對所有符合序列進行評估,將所有評估結(jié)果取平均值,即獲得學(xué)習(xí)完成后的模型對樣本的一個認知度,設(shè)定一個上限,當相鄰兩次模型的認知度之差小于這個上限時,學(xué)習(xí)結(jié)果已經(jīng)收斂到了一個穩(wěn)定的結(jié)果,當相鄰兩次模型的認知度之差大于這個上限時,學(xué)習(xí)結(jié)果沒有收斂到一個穩(wěn)定的結(jié)果。
7.根據(jù)權(quán)利要求I所述的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其特征在于所述步驟3的具體過程為 步驟3. I、啟動行為檢測模塊,用戶設(shè)置檢測參數(shù),從數(shù)據(jù)中心模塊讀取待測應(yīng)用的復(fù)合狀態(tài)序列,讀取指定的HMM ; 步驟3. 2、從步驟3. I讀取的復(fù)合狀態(tài)序列中依次取出一條復(fù)合狀態(tài)序列, 步驟3. 3、用步驟3. I讀取的HMM對取出的一條復(fù)合狀態(tài)序列進行評估,判斷評估結(jié)果是否正常,如果是則執(zhí)行步驟3. 4,如果否則執(zhí)行步驟3. 2 ; 步驟3. 4、根據(jù)評估結(jié)果進行綜合評估,輸出檢測結(jié)果。
8.根據(jù)權(quán)利要求7所述的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其特征在于步驟3. 3所述的判斷評估結(jié)果是否正常的方法為采用ForwardAlgorithm,前向算法的原理獲取遞歸形式進行求解,將計算獲得的概率值與預(yù)先設(shè)定的一個閾值進行比較,如果在閾值范圍內(nèi),則該序列評估結(jié)果正常,否則異常。
9.根據(jù)權(quán)利要求7所述的基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,其特征在于步驟3. 4所述綜合評估的標準為任何一組復(fù)合狀態(tài)序列中至少有一條異常序列,則該組序列代表的應(yīng)用行為異常。
全文摘要
基于Android智能手機的應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法,屬于手機安全領(lǐng)域,具體涉及一種應(yīng)用程序行為狀態(tài)轉(zhuǎn)換模式識別方法。為了解決現(xiàn)有技術(shù)的檢測不能識別應(yīng)用是否被感染病毒,不能將隱藏的安全隱患進行有效檢測的問題。過程為系統(tǒng)監(jiān)聽模塊對狀態(tài)進行攔截,并進行過濾、轉(zhuǎn)換,記錄生成的復(fù)合狀態(tài)序列送入數(shù)據(jù)中心模塊;行為學(xué)習(xí)模塊讀取待學(xué)習(xí)序列和初始模型,重復(fù)學(xué)習(xí)以收斂標準結(jié)束,將結(jié)果存入數(shù)據(jù)中心模塊;行為檢測模塊設(shè)置檢測策略,如果是已知類型應(yīng)用,選擇HMM進行一次完整評估,如果是未知類型應(yīng)用,檢測是否含有不安全行為,利用所有代表惡意行為的HMM進行多次完整評估,輸出結(jié)果。用于智能手機安全檢測。
文檔編號H04M1/725GK102647409SQ20121006562
公開日2012年8月22日 申請日期2012年1月13日 優(yōu)先權(quán)日2012年1月13日
發(fā)明者李瓊, 牛夏牧, 王莘, 石振鋒, 韓琦 申請人:哈爾濱工業(yè)大學(xué)