[Android智能手机入侵检测系统设计]入侵检测系统设计与实现

　　摘 要:随着智能手机变得越来越复杂,功能越来越强大,给用户提供更多方便的同时也给用户带来了很多安全隐患。本文首先分析了Android智能手机所面临的安全问题,之后提出Android平台手机上的入侵检测系统,能及时有效的检测到入侵攻击,减轻恶意木马对用户造成的危害,大大改善用户体验。
　　关键词:Android 安全问题 入侵检测系统
　　中图分类号:TP39 文献标识码:A 文章编号:1672-3791(2012)06(c)-0030-02
　　随着3G通信网络的普及,智能手机市场份额大幅提升,其中Android智能手机占市场份额最大,获得52.5%的市场占有率[1]。由于Android智能手机用户数庞大、开源性强,用户可自行安装软件、游戏等第三方服务商提供的程序,很多病毒攻击者把矛头指向了它,制造了大量Android木马,这严重影响了Android智能手机用户的日常使用。如何有效的预防智能手机平台上的入侵攻击已经成为亟待解决的问题。Iker Burguera、Urko Zurutuza等人提出了Behavior-Based Malware Detection System for Android[2],Amir Houmansadr、Saman A.Zonouz和Robin Berthier提出了一个基于云端服务器的Android智能手机入侵检测及响应系统[3]。Android智能手机平台的入侵检测系统能及时有效的检测到入侵攻击,为用户提供一个安全的使用环境。
　　1 Android智能手机存在的安全隐患
　　2011年,Android木马呈现爆发式增长,新增Android木马样本4722个,被感染人数超过498万人次[1]。虽然Android平台的开源、开放、免费等特性为google带来了大量的市场占有率,但是这也给消费者带来了不少安全隐患,成为新的移动互联网安全检测主战场[1]。Android智能手机存在如下几点安全问题。
　　(1)恶意扣费。据360安全中心调查,78%的Android平台手机木马旨在悄悄吞噬用户的手机话费。“白卡吸费磨”、“Android吸费王”等都是使Android用户闻之色变的恶意扣费软件。这些恶意扣费软件安装后会私自发送短信定制费用高昂的SP服务,并自动屏蔽以10086开头的全部短信,在用户不知不觉的情况下偷偷消耗用户话费。
　　(2)窃取用户隐私。除恶意扣费外,Android平台木马的另一主要危害是窃取用户隐私。比如震惊全球的“CIQ事件”、DDL“隐私大盗”木马、“索马里海盗”木马及“X卧底”系列木马等。它们瞄准了手机通讯录、照片、短信、设备信息等用户隐私,将用户的个人信息出卖给其他不合法商家,从中牟取暴利。
　　(3)垃圾短信。在用户举报的各类垃圾短信中,主要是打折促销、发票假证、地产中介、移民留学、金融理财等广告服务类短信,另外就是冒充亲友欺诈、中奖钓鱼诈骗、虚假慈善捐款等恶意欺诈类短信。
　　(4)系统破坏。有些病毒,如“Root破坏王”,可以自动获取手机Root权限,然后随意修改添加文件,删除系统应用,私自下载恶意软件,而且这一切都是隐蔽进行的。
　　2 Android智能手机入侵检测系统设计
　　传统计算机上的入侵检测系统定义为:一种通过收集和分析各种系统行为、安全日志、审计数据或网络数据包,检查系统中是否有未经授权的进入和有不良企图的活动等入侵攻击,并及时予以响应,阻止可能的入侵行为,降低甚至避免入侵危害的积极进程或设备。在当下,智能手机与个人计算机越来越靠近,智能手机已经基本具备了个人计算机所具有的功能,因此Android智能手机平台上的入侵检测系统与传统计算机上的入侵检测系统模型相似。如图1所示,Android智能手机入侵检测系统主要包括以下几部分:数据采集模块、数据分析引擎模块、控制台模块、数据管理模块,各部分功能如以下几点。
　　(1)数据采集模块。
　　数据采集模块主要负责采集数据,采集的数据包括任何可能包含入侵行为线索的系统数据。比如说网络数据包、用户行为日志和系统调用记录等。其将这些数据收集起来,然后发送到数据分析模块进行处理[4]。
　　由于Android平台手机上的安全问题大部分是通过网络引发的(比如通过用户点击链接而偷偷定制SP服务、恶意软件私自发送短信定制SP服务、窃取用户隐私上传到特定服务器等),所以在此处我们只采集进出手机的所有网络数据包。此模块主要基于开源的libpcap包。
　　(2)数据分析引擎。
　　收集到的所有数据被送到数据分析引擎,分析引擎一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析[5]。
　　在本系统设计初期,我们根据Android平台手机上恶意软件攻击行为的特征罗列出一定数量的规则组成规则集,然后在此规则集的基础上建立分析引擎的核心——有限自动机。考虑到这样一来入侵检测范围很大程度受到已有知识的局限,无法检测出未知的攻击手段[6],在系统设计后期,我们会通过机器学习的方法来动态建立自动机,这样就能动态的检测到所有的入侵攻击。
　　分析引擎将发送过来的数据与自动机进行匹配,即与规则集中的各种规则进行比较与分析,以判断是否有入侵事件发生。如果数据与自动机匹配成功,就意味着检测到一个入侵攻击,此时分析引擎会给控制台发送一个检测到入侵攻击的消息,同时把此网络数据包发送给数据管理模块。
　　(3)控制台模块。
　　控制台模块按照警告产生预先定义的响应采取相应的措施,可以是重新配置网络防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的警告[5]。当发现入侵攻击时,本系统会向用户产生一个警告,告知用户是哪个应用程序隐含安全隐患,用户可根据这个警告采取相应的措施。
　　(4)数据管理模块。
　　一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件[5]。
　　当检测到入侵攻击时,本系统会把相应的数据存储到指定数据库,以供用户日后查证。数据库采用Android平台内置的sqlite3轻量级数据库实现。由于Android系统存储空间有限,当数据量到达一定大小时,可以转储到pc机上或者定时清理。
　　3 结语
　　计算机上的入侵检测系统研究一直都是网络安全领域的研究热点,并且也有了一定的研究成果。随着智能手机安全问题日趋严重,智能手机上的入侵检测系统也将成为全球性的课题。Android智能手机入侵检测系统能及时有效的检测到入侵攻击,保障用户的安全使用。
　　参考文献
　　[1] 360安全中心2011年中国手机安全状况报告.
　　[2] Iker Burguera,Urko Zurutuza,Simin Nadjm-Tehrani.Crowdroid:Behavior-Based Malware Detection System for Android[J].18th ACM Conference on Computer and Communications Security.
　　[3] Amir Houmansadr,Saman A.Zonouz,Robin Berthier.A Cloud-based Intrusion Detection and Response System for Mobile Phones[J].2011 IEEE/IFIP 41st International Conference on Dependable System and Networks.
　　[4] 唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2004.
　　[5] 王广胜.谈构建计算机入侵检测系统[J].湖北生态工程职业技术学院学报,2006,4(3):48～49.
　　[6] 连一峰,戴英侠,胡艳,等.分布式入侵检测模型研究[J].计算机研究与发展,2003,40(8):1195～1202.