[发明专利]基于Android平台软件行为检测的主动防御系统

说明书

技术领域

本发明涉及基于Android平台软件行为检测的主动防御系统。

背景技术

如今智能手机的广泛应用，特别是Android开放平台的提供，使得Android智能手机市场显现出巨大的增长优势，但也由于平台的开放性，使其更容易受到恶意软件的攻击。

目前已有的手机安全软件主要是将PC机中比对特征码的形式的安全软件直接移植到手机中。特征码比对的形式对查杀已知的恶意程序很有效，但对未知恶意程序却束手无策，而如今恶意程序数量呈几何级增长，相对于恶意程序来说，特征库的生成与更新往往是滞后的，很多时候杀毒软件无法查杀未知的恶意程序。同时，特征库需要大量的存储空间，这对手机这种存储空间和计算能力都有限的移动设备来说存在着很大的局限性。

基于正常行为的异常检测技术是指用已创建的正常行为轮廓检测偏离的异常行为，该机制能够有效检测出未知异常，所以可以克服特征码比对无法检测未知恶意程序的缺点，但该机制对正常行为的检测存在较高的误检率。

发明内容

本发明针对Android平台的安全隐患，探索出新的基于行为检测的安全检测体系来实现检测软件异常行为的功能，在尽可能少的存储量和计算量的情况下达到主动防御的效果。

本发明整体构架分为三个模块：数据收集、PCA(principal component analysis，主成分分析)降维、BP(Back Propagation，反向传播)神经网络分类。

数据收集的研究主要针对如何调用本身自带系统的API(Application Programming Interface，应用程序编程接口)进行相关信息的收集，对进程、服务、任务等深度剖析；

根据初始收集的数据运用PCA降维技术以提炼主信息；

根据PCA降维传送到BP神经网络接口，学习后的BP神经网络对数据进行评估；

为了解决技术问题，本发明对每个细节进行创新和改造，包括：

(1)对计算结果做初步判定，响应手机，提出警告和建议操作；

(2)对于上述方法中，所述过程可以在本机运行，无需联网或云操作；

(3)对于上述数据收集模块，所述的收集过程采用三维数组存储来简化操作难度；

(4)对于上述PCA主成份分析模块中，所述的方法采用QR矩阵分析求解特征向量；

(5)对于上述的PCA主成份分析模块中，所述过程对特征值的筛选，采用多重比对贡献率方法，选取最优质的贡献参数来构建参数模型；

(6)对于上述BP神经网络模块中，所述的学习子模块，采用适合模型学习的学习因子，主要通过多重变换比对得出最佳参数。

本系统将主动防御的技术应用于手机，与手机上传统的特征码比对相比，能够提前检测、有效地提醒用户所面临的威胁，解决了手机中传统软件持续更新数据、计算量庞大的难题。

附图说明

下面结合附图和实施例对本发明作进一步说明。

图1是本发明的整体架构图。

图2是本发明的数据收集流程图。

图3是本发明的PCA降维流程图。

图4是本发明的神经网络分类模块学习部分流程图。

图5是本发明的神经网络分类模块评估部分流程图。

具体实施方案

如图1中所示为本发明的整体架构图，包括数据收集、PCA降维和神经网络分类三个模块。数据收集利用Linux系统管理命令收集入侵相关的进程信息作为手机入侵特征，再采用PCA对入侵特征进行降维处理，选择最能反映样本的特征，最后将降维后的特征引入BP神经网络分类器进行训练，得到最佳的模型参数，利用这些参数对待测样本进行分类识别。

如图2所示实施例为本发明的数据收集流程图。数据收集模块主要用于收集相关软件或程序的入侵数据信息。

由于Android内核是Linux，故利用Linux的系统管理命令来收集进程的信息，利用top命令或者PS命令收集进程的CPU占用、进程的线程数、优先级、物理内存、虚拟内存、UID和进程名。除此之外，Android中的API所提供的ActivityManager.MemoryInfo()和ActivityManager.RunningAppProcessInfo()类获取进程占用的系统内存和UID号，然后根据进程名的UID号获取进程的流量使用情况等。