Android智能手機入侵檢測系統(tǒng)設(shè)計

摘 要:隨著智能手機變得越來越復(fù)雜，功能越來越強大，給用戶提供更多方便的同時也給用戶帶來了很多安全隱患。本文首先分析了Android智能手機所面臨的安全問題，之后提出Android平臺手機上的入侵檢測系統(tǒng)，能及時有效的檢測到入侵攻擊，減輕惡意木馬對用戶造成的危害，大大改善用戶體驗。

關(guān)鍵詞:Android 安全問題 入侵檢測系統(tǒng)

中圖分類號:TP39文獻標識碼:A文章編號:1672-3791(2012)06(c)-0030-02

隨著3G通信網(wǎng)絡(luò)的普及，智能手機市場份額大幅提升，其中Android智能手機占市場份額最大，獲得52.5%的市場占有率[1]。由于Android智能手機用戶數(shù)龐大、開源性強，用戶可自行安裝軟件、游戲等第三方服務(wù)商提供的程序，很多病毒攻擊者把矛頭指向了它，制造了大量Android木馬，這嚴重影響了Android智能手機用戶的日常使用。如何有效的預(yù)防智能手機平臺上的入侵攻擊已經(jīng)成為亟待解決的問題。Iker Burguera、Urko Zurutuza等人提出了Behavior-Based Malware Detection System for Android[2]，Amir Houmansadr、Saman A.Zonouz和Robin Berthier提出了一個基于云端服務(wù)器的Android智能手機入侵檢測及響應(yīng)系統(tǒng)[3]。Android智能手機平臺的入侵檢測系統(tǒng)能及時有效的檢測到入侵攻擊，為用戶提供一個安全的使用環(huán)境。

1 Android智能手機存在的安全隱患

2011年，Android木馬呈現(xiàn)爆發(fā)式增長，新增Android木馬樣本4722個，被感染人數(shù)超過498萬人次[1]。雖然Android平臺的開源、開放、免費等特性為google帶來了大量的市場占有率，但是這也給消費者帶來了不少安全隱患，成為新的移動互聯(lián)網(wǎng)安全檢測主戰(zhàn)場[1]。Android智能手機存在如下幾點安全問題。

(1)惡意扣費。據(jù)360安全中心調(diào)查，78%的Android平臺手機木馬旨在悄悄吞噬用戶的手機話費。“白卡吸費磨”、“Android吸費王”等都是使Android用戶聞之色變的惡意扣費軟件。這些惡意扣費軟件安裝后會私自發(fā)送短信定制費用高昂的SP服務(wù)，并自動屏蔽以10086開頭的全部短信，在用戶不知不覺的情況下偷偷消耗用戶話費。

(2)竊取用戶隱私。除惡意扣費外，Android平臺木馬的另一主要危害是竊取用戶隱私。比如震驚全球的“CIQ事件”、DDL“隱私大盜”木馬、“索馬里海盜”木馬及“X臥底”系列木馬等。它們瞄準了手機通訊錄、照片、短信、設(shè)備信息等用戶隱私，將用戶的個人信息出賣給其他不合法商家，從中牟取暴利。

(3)垃圾短信。在用戶舉報的各類垃圾短信中，主要是打折促銷、發(fā)票假證、地產(chǎn)中介、移民留學(xué)、金融理財?shù)葟V告服務(wù)類短信，另外就是冒充親友欺詐、中獎釣魚詐騙、虛假慈善捐款等惡意欺詐類短信。

(4)系統(tǒng)破壞。有些病毒，如“Root破壞王”，可以自動獲取手機Root權(quán)限，然后隨意修改添加文件，刪除系統(tǒng)應(yīng)用，私自下載惡意軟件，而且這一切都是隱蔽進行的。

2 Android智能手機入侵檢測系統(tǒng)設(shè)計

傳統(tǒng)計算機上的入侵檢測系統(tǒng)定義為:一種通過收集和分析各種系統(tǒng)行為、安全日志、審計數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)包，檢查系統(tǒng)中是否有未經(jīng)授權(quán)的進入和有不良企圖的活動等入侵攻擊，并及時予以響應(yīng)，阻止可能的入侵行為，降低甚至避免入侵危害的積極進程或設(shè)備。在當(dāng)下，智能手機與個人計算機越來越靠近，智能手機已經(jīng)基本具備了個人計算機所具有的功能，因此Android智能手機平臺上的入侵檢測系統(tǒng)與傳統(tǒng)計算機上的入侵檢測系統(tǒng)模型相似。如圖1所示，Android智能手機入侵檢測系統(tǒng)主要包括以下幾部分:數(shù)據(jù)采集模塊、數(shù)據(jù)分析引擎模塊、控制臺模塊、數(shù)據(jù)管理模塊，各部分功能如以下幾點。

(1)數(shù)據(jù)采集模塊。

數(shù)據(jù)采集模塊主要負責(zé)采集數(shù)據(jù)，采集的數(shù)據(jù)包括任何可能包含入侵行為線索的系統(tǒng)數(shù)據(jù)。比如說網(wǎng)絡(luò)數(shù)據(jù)包、用戶行為日志和系統(tǒng)調(diào)用記錄等。其將這些數(shù)據(jù)收集起來，然后發(fā)送到數(shù)據(jù)分析模塊進行處理[4]。

由于Android平臺手機上的安全問題大部分是通過網(wǎng)絡(luò)引發(fā)的(比如通過用戶點擊鏈接而偷偷定制SP服務(wù)、惡意軟件私自發(fā)送短信定制SP服務(wù)、竊取用戶隱私上傳到特定服務(wù)器等)，所以在此處我們只采集進出手機的所有網(wǎng)絡(luò)數(shù)據(jù)包。此模塊主要基于開源的libpcap包。

(2)數(shù)據(jù)分析引擎。

收集到的所有數(shù)據(jù)被送到數(shù)據(jù)分析引擎，分析引擎一般通過三種技術(shù)手段進行分析:模式匹配、統(tǒng)計分析和完整性分析[5]。

在本系統(tǒng)設(shè)計初期，我們根據(jù)Android平臺手機上惡意軟件攻擊行為的特征羅列出一定數(shù)量的規(guī)則組成規(guī)則集，然后在此規(guī)則集的基礎(chǔ)上建立分析引擎的核心——有限自動機。考慮到這樣一來入侵檢測范圍很大程度受到已有知識的局限，無法檢測出未知的攻擊手段[6]，在系統(tǒng)設(shè)計后期，我們會通過機器學(xué)習(xí)的方法來動態(tài)建立自動機，這樣就能動態(tài)的檢測到所有的入侵攻擊。

分析引擎將發(fā)送過來的數(shù)據(jù)與自動機進行匹配，即與規(guī)則集中的各種規(guī)則進行比較與分析，以判斷是否有入侵事件發(fā)生。如果數(shù)據(jù)與自動機匹配成功，就意味著檢測到一個入侵攻擊，此時分析引擎會給控制臺發(fā)送一個檢測到入侵攻擊的消息，同時把此網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送給數(shù)據(jù)管理模塊。

(3)控制臺模塊。

控制臺模塊按照警告產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)的措施，可以是重新配置網(wǎng)絡(luò)防火墻、終止進程、切斷連接、改變文件屬性，也可以只是簡單的警告[5]。當(dāng)發(fā)現(xiàn)入侵攻擊時，本系統(tǒng)會向用戶產(chǎn)生一個警告，告知用戶是哪個應(yīng)用程序隱含安全隱患，用戶可根據(jù)這個警告采取相應(yīng)的措施。

(4)數(shù)據(jù)管理模塊。

一個好的入侵檢測系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實時、豐富的警報信息，還應(yīng)詳細地記錄現(xiàn)場數(shù)據(jù)，以便于日后需要取證時重建某些網(wǎng)絡(luò)事件[5]。

當(dāng)檢測到入侵攻擊時，本系統(tǒng)會把相應(yīng)的數(shù)據(jù)存儲到指定數(shù)據(jù)庫，以供用戶日后查證。數(shù)據(jù)庫采用Android平臺內(nèi)置的sqlite3輕量級數(shù)據(jù)庫實現(xiàn)。由于Android系統(tǒng)存儲空間有限，當(dāng)數(shù)據(jù)量到達一定大小時，可以轉(zhuǎn)儲到pc機上或者定時清理。

3 結(jié)語

計算機上的入侵檢測系統(tǒng)研究一直都是網(wǎng)絡(luò)安全領(lǐng)域的研究熱點，并且也有了一定的研究成果。隨著智能手機安全問題日趨嚴重，智能手機上的入侵檢測系統(tǒng)也將成為全球性的課題。Android智能手機入侵檢測系統(tǒng)能及時有效的檢測到入侵攻擊，保障用戶的安全使用。

參考文獻

[1]360安全中心2011年中國手機安全狀況報告.

[2]Iker Burguera，Urko Zurutuza，Simin Nadjm-Tehrani.Crowdroid:Behavior-Based Malware Detection System for Android[J].18th ACM Conference on Computer and Communications Security.

[3]Amir Houmansadr，Saman A.Zonouz，Robin Berthier.A Cloud-based Intrusion Detection and Response System for Mobile Phones[J].2011 IEEE/IFIP 41st International Conference on Dependable System and Networks.

[4]唐正軍，李建華.入侵檢測技術(shù)[M].北京:清華大學(xué)出版社，2004.

[5]王廣勝.談構(gòu)建計算機入侵檢測系統(tǒng)[J].湖北生態(tài)工程職業(yè)技術(shù)學(xué)院學(xué)報，2006，4(3):48～49.

[6]連一峰，戴英俠，胡艷，等.分布式入侵檢測模型研究[J].計算機研究與發(fā)展，2003，40(8):1195～1202.