[发明专利]基于Android智能手机的应用程序行为状态转换模式识别方法

说明书

技术领域

本发明属于手机安全领域，具体涉及一种基于Android智能手机的应用程序行为状态转换模式识别方法。

背景技术

手机这种特别的移动设备的特性给手机安全带来了很多的障碍，计算能力、存储能力、电池供应能力、网络互连能力的限制都给传统技术，特别是从传统PC(personal computer，个人计算机)上借鉴来的技术在智能手机上的因地制宜带来了困难。比如基于特征码匹配的检测，由于智能手机的计算能力与存储能力，只能将任务进行分布式处理，这样又将受到网络互连能力的制约。在病毒的行为方式越来越隐蔽，越来越不同于现有的经验规则时，对不断增加的新的应用，传统的静态或者动态检测方法都将无法一一验证其是否含有恶意的行为，这时需要借助人工智能的手段来对病毒或者正常应用甚至是用户的行为进行认知。

借助人工智能等方式对安全进行检测的方法，一般是通过挖掘应用和用户交互的行为模式的基础上加以建模和利用的。如Bose等人就设计了一个算法来自动识别智能手机用户与无线网络之间的交互，通过对这种交互行为的识别，能够发现识别可疑的手机，并将这样的手机限制在一套网络互连的约束内。再比如PBMDS系统则通过拦截和分析用户键盘输入来挖掘用户和手机交互的行为方式并通过HMM(Hidden Markov Model，隐马尔可夫)模型进行描述取得了很好的检测手机病毒的效果。作为时下发展最快最火的智能手机平台，Android平台上的应用行为模式挖掘的研究才刚刚起步，并没有成熟可用的应用行为检测模型，安全检测技术大都针对已知的安全隐患，如基于静态特征匹配(结合云计算的思想)能够识别已知的正常应用是否被感染，再如基于平台的监控技术可以实现应用防火墙来进行手机安全的护航。这些技术在一定程度上控制了恶意行为的感染和传播，但是对于将恶意行为巧妙的进行隐藏(如将恶意行为需要的权限隐藏在同样需要该权限的应用中)后带来的未知安全隐患的检测就无能为力了，这时正需要从另一层面对恶意行为进行识别，通过比对原始的正常行为来发现未知的安全隐患。

发明内容

本发明是为了解决现有的技术对Android平台上的应用行为模式的检测技术不能够识别应用是否被感染病毒，不能将恶意隐藏的安全隐患进行有效检测的问题，提出的基于Android智能手机的应用程序行为状态转换模式识别方法。

本发明的基于Android智能手机的应用程序行为状态转换模式识别方法，其具体过程为：

步骤1、系统监听模块按照时间间隔，对系统状态进行拦截，对拦截信息进行过滤、转换，并记录生成的复合状态序列，然后将复合状态序列送入到数据中心模块；

步骤2、行为学习模块从数据中心模块读取待学习的序列以及初始模型，通过重复的学习，并以一定收敛标准结束，将学习的结果存入到数据中心模块，学习的结果即为该类应用的HMM；

步骤3、行为检测模块根据待检测应用类型设置检测策略，如果是已知类型的应用，选择相应的HMM进行一次完整的序列评估，获得检测结果，如果是未知类型的应用，首先检测待检测应用类型中是否含有不安全的行为，利用所有代表恶意行为的HMM进行多次完整序列评估，并最终输出检测结果。

本发明提出的基于Android智能手机的应用程序行为状态转换模式识别方法通过对基于Android智能手机平台上的应用程序在运行时的行为状态转换模式以及系统特征变化的分析，利用HMM来刻画应用行为状态转换所表现出来的模式，在此基础上对基于Android平台上一些类别的应用在运行时表现的行为状态转换模式进行学习，并利用学习后的模型对未知应用进行行为检测，通过该方法可以对基于Android智能手机平台上应用行为进行安全监测，识别应用是否被感染病毒，还可以有效检测恶意隐藏的安全隐患。

附图说明

图1是本发明的系统架构图；图2是系统监听模块对复合状态的捕捉过程流程图；图3是本发明的行为学习模块对应用行为模式的学习过程流程图；图4是本发明的行为检测模块对应用行为的检测过程流程图。

具体实施方式

具体实施方式一、结合图1说明本实施方式，基于Android智能手机的应用程序行为状态转换模式识别方法，其具体方法为：

步骤1、按照时间间隔，系统监听模块对系统状态进行拦截，对拦截信息进行过滤、转换，并记录生成的复合状态序列，然后将复合状态序列送入到数据中心模块；