[Android智能手机入侵检测系统设计]入侵检测系统设计与实现

摘 要:随着智能手机变得越来越复杂,功能越来越强大,给用户提供更多方便的同时也给用户带来了很多安全隐患。本文首先分析了Android智能手机所面临的安全问题,之后提出Android平台手机上的入侵检测系统,能及时有效的检测到入侵攻击,减轻恶意木马对用户造成的危害,大大改善用户体验。
关键词:Android 安全问题 入侵检测系统
中图分类号:TP39 文献标识码:A 文章编号:1672-3791(2012)06(c)-0030-02
随着3G通信网络的普及,智能手机市场份额大幅提升,其中Android智能手机占市场份额最大,获得525%的市场占有率[1]。由于Android智能手机用户数庞大、开源性强,用户可自行安装软件、游戏等第三方服务商提供的程序,很多病毒攻击者把矛头指向了它,制造了大量Android木马,这严重影响了Android智能手机用户的日常使用。如何有效的预防智能手机平台上的入侵攻击已经成为亟待解决的问题。Iker Burguera、Urko Zurutuza等人提出了Behavior-Based Malware Detection System for Android[2],Amir Houmansadr、Saman AZonouz和Robin Berthier提出了一个基于云端服务器的Android智能手机入侵检测及响应系统[3]。Android智能手机平台的入侵检测系统能及时有效的检测到入侵攻击,为用户提供一个安全的使用环境。
1 Android智能手机存在的安全隐患
2011年,Android木马呈现爆发式增长,新增Android木马样本4722个,被感染人数超过498万人次[1]。虽然Android平台的开源、开放、免费等特性为google带来了大量的市场占有率,但是这也给消费者带来了不少安全隐患,成为新的移动互联网安全检测主战场[1]。Android智能手机存在如下几点安全问题。
(1)恶意扣费。据360安全中心调查,78%的Android平台手机木马旨在悄悄吞噬用户的手机话费。“白卡吸费磨”、“Android吸费王”等都是使Android用户闻之色变的恶意扣费软件。这些恶意扣费软件安装后会私自发送短信定制费用高昂的SP服务,并自动屏蔽以10086开头的全部短信,在用户不知不觉的情况下偷偷消耗用户话费。
(2)窃取用户隐私。除恶意扣费外,Android平台木马的另一主要危害是窃取用户隐私。比如震惊全球的“CIQ事件”、DDL“隐私大盗”木马、“索马里海盗”木马及“X卧底”系列木马等。它们瞄准了手机通讯录、照片、短信、设备信息等用户隐私,将用户的个人信息出卖给其他不合法商家,从中牟取暴利。
(3)垃圾短信。在用户举报的各类垃圾短信中,主要是打折促销、发票假证、地产中介、移民留学、金融理财等广告服务类短信,另外就是冒充亲友欺诈、中奖钓鱼诈骗、虚假慈善捐款等恶意欺诈类短信。
(4)系统破坏。有些病毒,如“Root破坏王”,可以自动获取手机Root权限,然后随意修改添加文件,删除系统应用,私自下载恶意软件,而且这一切都是隐蔽进行的。
2 Android智能手机入侵检测系统设计
传统计算机上的入侵检测系统定义为:一种通过收集和分析各种系统行为、安全日志、审计数据或网络数据包,检查系统中是否有未经授权的进入和有不良企图的活动等入侵攻击,并及时予以响应,阻止可能的入侵行为,降低甚至避免入侵危害的积极进程或设备。在当下,智能手机与个人计算机越来越靠近,智能手机已经基本具备了个人计算机所具有的功能,因此Android智能手机平台上的入侵检测系统与传统计算机上的入侵检测系统模型相似。如图1所示,Android智能手机入侵检测系统主要包括以下几部分:数据采集模块、数据分析引擎模块、控制台模块、数据管理模块,各部分功能如以下几点。
(1)数据采集模块。
数据采集模块主要负责采集数据,采集的数据包括任何可能包含入侵行为线索的系统数据。比如说网络数据包、用户行为日志和系统调用记录等。其将这些数据收集起来,然后发送到数据分析模块进行处理[4]。
由于Android平台手机上的安全问题大部分是通过网络引发的(比如通过用户点击链接而偷偷定制SP服务、恶意软件私自发送短信定制SP服务、窃取用户隐私上传到特定服务器等),所以在此处我们只采集进出手机的所有网络数据包。此模块主要基于开源的libpcap包。
(2)数据分析引擎。
收集到的所有数据被送到数据分析引擎,分析引擎一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析[5]。
在本系统设计初期,我们根据Android平台手机上恶意软件攻击行为的特征罗列出一定数量的规则组成规则集,然后在此规则集的基础上建立分析引擎的核心——有限自动机。考虑到这样一来入侵检测范围很大程度受到已有知识的局限,无法检测出未知的攻击手段[6],在系统设计后期,我们会通过机器学习的方法来动态建立自动机,这样就能动态的检测到所有的入侵攻击。
分析引擎将发送过来的数据与自动机进行匹配,即与规则集中的各种规则进行比较与分析,以判断是否有入侵事件发生。如果数据与自动机匹配成功,就意味着检测到一个入侵攻击,此时分析引擎会给控制台发送一个检测到入侵攻击的消息,同时把此网络数据包发送给数据管理模块。
(3)控制台模块。
控制台模块按照警告产生预先定义的响应采取相应的措施,可以是重新配置网络防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的警告[5]。当发现入侵攻击时,本系统会向用户产生一个警告,告知用户是哪个应用程序隐含安全隐患,用户可根据这个警告采取相应的措施。
(4)数据管理模块。
一个好的入侵检测系统不仅仅应当为管理员提供实时、丰富的警报信息,还应详细地记录现场数据,以便于日后需要取证时重建某些网络事件[5]。
当检测到入侵攻击时,本系统会把相应的数据存储到指定数据库,以供用户日后查证。数据库采用Android平台内置的sqlite3轻量级数据库实现。由于Android系统存储空间有限,当数据量到达一定大小时,可以转储到pc机上或者定时清理。
3 结语
计算机上的入侵检测系统研究一直都是网络安全领域的研究热点,并且也有了一定的研究成果。随着智能手机安全问题日趋严重,智能手机上的入侵检测系统也将成为全球性的课题。Android智能手机入侵检测系统能及时有效的检测到入侵攻击,保障用户的安全使用。
参考文献
[1] 360安全中心2011年中国手机安全状况报告
[2] Iker Burguera,Urko Zurutuza,Simin Nadjm-TehraniCrowdroid:Behavior-Based Malware Detection System for Android[J]18th ACM Conference on Computer and Communications Security
[3] Amir Houmansadr,Saman AZonouz,Robin BerthierA Cloud-based Intrusion Detection and Response System for Mobile Phones[J]2011 IEEE/IFIP 41st International Conference on Dependable System and Networks
[4] 唐正军,李建华入侵检测技术[M]北京:清华大学出版社,2004
[5] 王广胜谈构建计算机入侵检测系统[J]湖北生态工程职业技术学院学报,2006,4(3):48～49
[6] 连一峰,戴英侠,胡艳,等分布式入侵检测模型研究[J]计算机研究与发展,2003,40(8):1195～1202

不知从何时开始，Minecraft中刮起一股歪风，砍手岩、哭泣的黑曜石、20铁等等，这些原本属于老玩家们的回忆，却被一些云玩家甚至是卧底玩家拿去显摆，他们天真的以为能随口说出几种老物件便能充当老MC，殊不知他们所掌握的只是皮毛而已。

01你经历过食物不可堆叠的版本吗？
请问图中的食物是熟牛排吗？如果你给出“是”的答案，那么可以判断出你并没有经历过这个版本。

该版本尚未加入饥饿值设定，而熟牛排是在beta18（测试版本）加入，在此之前，牛排的材质一直被用作熟猪排的外观。

玩家使用食物即可直接回复生命值，外出探险时准备足够的食物是必不可少的，但食物却不可叠加，导致玩家们的背包总是被塞得满当当！

（你知道吗？在v120中僵尸猪人在死亡时也会掉落熟猪排）

02你知道打羊可以直接掉落羊毛吗？
《我的世界》中玩家从羊身上获取羊毛只有两个途径，一是使用剪刀，二是将其消灭。但是在远古版本中，玩家不用合成剪刀、也不用真的将羊杀死，只需轻轻攻击一次即可实现“剪羊毛”的效果。

03你经过“变性”声音的版本吗？
在最初版本中，玩家受伤时会发出“Oh”的声音，声线非常粗犷，一听就是个大老爷们，虽然和史蒂夫搭配并无违和感，但是当玩家使用艾利克斯时，一个女性角色发出这样糟糕的声音就未免有些出戏，于是官方索性将声音改为中性化，这也是很多人玩了许久也不知道艾利克斯是女孩的原因。

04你体验过被仙人掌支配的恐惧吗？
被仙人掌扎死可以说是《我的世界》中最憋屈的死法，因为仙人掌每次仅能造成1点是伤害，玩家需要掉落在仙人掌上整整二十次！

但是在v106版本中，如果你敢采集仙人掌，那么它一定会给你个痛快！高达7点的伤害，玩家仅需采集三个仙人掌便会一命呼呼。

如果你穿越到这个版本，你会发现那里的玩家在采集仙人掌后都会拼命地吃食物，然后再采集下一个！

05你知道栅栏会炸服吗？
栅栏在刚加入 游戏 时，它们不会与其他实体方块相连接，而且关于它的合成配方与如今的版本略有不同。

重要的是玩家不能站在栅栏上，当然如果你不介意自己被卡住无法动d的话，可以尝试一下。不仅如此，如果有玩家在服务器中尝试站在栅栏上，那么立即会引起SMP崩溃，为了从根源上杜绝这种情况的发生，“禁止合成栅栏”是当时MC玩家中不成文的规定。

06你知道羽毛匕首是什么梗吗？
羽毛匕首这个梗出自于僵尸刚加入 游戏 的classic版本，那时僵尸跑得跟玩家一样快，即使是在夜晚，它们也会因为火把带来的高等级亮度而燃烧。此时的僵尸只能掉落羽毛，notch曾坦言自己确实是偷懒了，因为实在想不出僵尸该掉些什么。

而此时的Minecraft根本没有汉化版，一位国内玩家打败僵尸后看着掉落的羽毛，看其形状与匕首相似，以为是了不得的武器，于是每天拿着它乐此不疲地打怪。

​

07你知道剑可以用来格挡吗？
在盾牌尚未加入 游戏 之前，玩家可以在装备剑的时候右键使用来达到格挡的效果，直到19版本才被移除。

有人可能质疑：19版本之前的玩家也能算作老玩家？

19版本是一次战斗机制更新的版本，该次更新直接将玩家分为两类，有一部分玩家因为不适应新版本的机制而选择永远地停留在了18版本，而18版本是在2014年推出，如今115已经发布，116也趋于完善，仔细一算已是六年之久！一个人呱呱坠地到成年，也不过3个六年。

所以能说出哭泣黑曜石、下界反应核的玩家并不一定是真正的老玩家，这些名词哪怕是云玩家在耳濡目染之下也能说出一二，但上面这些存于细节之处的特性才属于亲自经历过的玩家的专属回忆。

我认为工藤新一之所以变成现在的柯南，就是服用了黑暗组织的药丸才导致的，当时看到这一点的时候我就觉得非常的奇怪，杀个人怎么就这么麻烦，一q就能解决掉的事情，还要给人喂药，太多余了吧，后面细细品味才发现这里面的深意。

如果一次这样可能是哪个不找脑子的家伙这样做的，后面灰原哀也这样，这就让人怀疑了，结果只有一个了，那就是阿笠博士其实就是黑暗组织的卧底，他们并不像杀死柯南，而是想利用柯南，具体什么原因还未可知。

为什么说阿笠博士嫌疑最大，让我怀疑的是他本身就是一个科学怪人，帮助柯南发明不少好东西，不排除那种让人变小的药丸就是阿笠博士自己发明的，最后成功的用在了柯南身上。

微正常的人都知道，杀一个昏迷的人，不想开q一锤子下去或者套个麻袋扔河里，哪个不比喂药省时省力，如果要试验新药物，是不是把人带到一个实验室或者偏僻的地方，看看试验效果，而不是把药一塞就走人了，哪个家伙做实验这么搞得。

微正常的人都知道，杀一个昏迷的人，不想开q一锤子下去或者套个麻袋扔河里，哪个不比喂药省时省力，如果要试验新药物，是不是把人带到一个实验室或者偏僻的地方，看看试验效果，而不是把药一塞就走人了，哪个家伙做实验这么搞得。

最后就是为什么灰原哀也会变成小孩，如果柯南变小是因为他对药物起了变化才导致这样的，属于小概率事件，那么灰原哀服用了药物为什么还会变成这样，你真以为黑暗组织穷的只能用假药杀人啊，说不定是故意放走灰原哀也说不定。最后都被阿笠博士带回来家里面安置，秘密的在阿笠博士的监控之下。

---