基于相似度聚類的Android異常檢測(cè).pdf

1、隨著移動(dòng)互聯(lián)網(wǎng)的興起與發(fā)展，各種各樣的智能移動(dòng)終端和應(yīng)用逐步深入到人們的日常生活中來。但是移動(dòng)終端設(shè)備與傳統(tǒng)的PC平臺(tái)互聯(lián)網(wǎng)類似也充滿了像病毒，黑客這樣的安全威脅。這些安全威脅在Android系統(tǒng)上特別突出，因?yàn)槠渚哂虚_放性的特點(diǎn)，使得很多惡意軟件將其作為最主要的攻擊對(duì)象。因此，谷歌為了解決Android系統(tǒng)所面臨的安全威脅，加入了多種安全機(jī)制，主要包括linux內(nèi)核安全機(jī)制、Dalvik虛擬機(jī)安全機(jī)制和專屬于Android系統(tǒng)的安全機(jī)

2、制，來保障Android系統(tǒng)的安全。然而，因?yàn)楫?dāng)前的安全機(jī)制和殺毒軟件在防范惡意軟件方面還存在很多不足，再加上惡意軟件具有多樣性和隱蔽性等特點(diǎn)，Android系統(tǒng)仍然缺乏主動(dòng)防范安全威脅的能力。
　　本論文以保護(hù)Android平臺(tái)安全為根本出發(fā)點(diǎn)，對(duì)Android終端應(yīng)用程序的網(wǎng)絡(luò)異常行為進(jìn)行分析，深入研究了異常檢測(cè)算法，在此基礎(chǔ)上，設(shè)計(jì)一種基于網(wǎng)絡(luò)行為異常評(píng)分的Android終端異常檢測(cè)模型。本文設(shè)計(jì)的異常檢測(cè)模型，首先通過收集

3、Android系統(tǒng)的應(yīng)用程序在正常情況下的網(wǎng)絡(luò)行為數(shù)據(jù)（包括包的字節(jié)數(shù)，流的字節(jié)數(shù)，流開始的時(shí)間，持續(xù)的時(shí)間等一系列網(wǎng)絡(luò)行為特征值），每個(gè)應(yīng)用程序發(fā)送和接收的網(wǎng)絡(luò)數(shù)據(jù)包，然后整合成網(wǎng)絡(luò)流;其次，在對(duì)這些數(shù)據(jù)進(jìn)行預(yù)處理的基礎(chǔ)上通過聚類算法來建立正常的行為輪廓;通過采用相似度聚類的異常監(jiān)測(cè)算法對(duì)應(yīng)用程序?qū)崟r(shí)的數(shù)據(jù)實(shí)例進(jìn)行監(jiān)測(cè)和用異常評(píng)分函數(shù)對(duì)應(yīng)用的程序的異常得分進(jìn)行計(jì)算來判斷當(dāng)前應(yīng)用的程序的網(wǎng)絡(luò)行為是否異常。
　　通過實(shí)驗(yàn)對(duì)本文提出的