移動設(shè)備及網(wǎng)絡(luò)的異常檢測方法研究.pdf

1、無線通信、移動寬帶以及嵌入式等技術(shù)的不斷進步，使得智能手機等移動設(shè)備的計算及網(wǎng)絡(luò)功能不斷增強。智能手機成為結(jié)合了電信網(wǎng)以及因特網(wǎng)的統(tǒng)一通信設(shè)備，并逐漸成為個人的信息中心，隨著用戶數(shù)量飛速增長，其上的惡意軟件也越來越多，不僅危害到移動設(shè)備安全、用戶隱私財產(chǎn)安全也危害到了互聯(lián)網(wǎng)和電信網(wǎng)的安全，如何保護移動設(shè)備及網(wǎng)絡(luò)的安全是學術(shù)界和產(chǎn)業(yè)界所關(guān)心的重點問題。
　　 智能手機安全防護技術(shù)中，操作系統(tǒng)安全加固和數(shù)字簽名等技術(shù)還不足以遏制惡意

2、軟件，主流的智能手機安全軟件大多基于特征匹配，雖然能夠檢測到已公開的惡意軟件，卻對未知的惡意軟件無能為力，并且由于移動網(wǎng)絡(luò)的特殊性，軟件的特征庫很難保證及時更新。移動網(wǎng)絡(luò)安全防護中，傳統(tǒng)的入侵檢測系統(tǒng)難以應(yīng)對新型的移動網(wǎng)絡(luò)DoS攻擊。異常檢測假設(shè)入侵者活動異常于正常主體的活動，通過對系統(tǒng)用戶的正常行為輪廓進行模式化的定義，將偏離正常行為輪廓的行為認定為異常，因此異常檢測技術(shù)能夠檢測到未知惡意程序以及新型的DoS攻擊，是當前移動互聯(lián)網(wǎng)安全

3、防護領(lǐng)域的研究重點之一。
　　 本文圍繞著如何檢測移動設(shè)備上的新型惡意軟件以及如何防御和檢測移動網(wǎng)絡(luò)DoS攻擊，展開如下研究:
　　 首先，我們提出了一個基于結(jié)果融合的分布式移動設(shè)備異常檢測系統(tǒng)，其中智能手機客戶端負責收集特征并發(fā)送到遠程服務(wù)器，服務(wù)器運行多種檢測算法對特征向量進行異常檢測分析，并使用DS證據(jù)理論融合多個檢測算法的結(jié)果，實驗證明結(jié)果融合可以有效增加檢測準確率。我們采用客觀權(quán)值與主觀權(quán)值相結(jié)合的賦權(quán)法進行特

4、征的選擇，通過實驗確定了最佳特征集大小。我們還通過設(shè)計實驗方案分析了客戶端負載、檢測率、誤判率等性能指標，證明了該異常檢測系統(tǒng)框架的有效性。
　　 其次，根據(jù)人類日?；顒拥囊?guī)律性以及用戶使用智能手機的周期性，我們提出通過比較待檢測特征向量和以往周期相近時間段的特征向量集的距離即可判定該特征向量是否異常，采用不受特征間關(guān)聯(lián)以及特征取值范圍影響的馬氏距離作為距離衡量的標準，并通過實驗證明該基于周期的異常檢測方法提高了對正常程序運行時

5、的后臺惡意程度的檢測率。并且我們引入了滑動窗口機制，在保證檢測率的前提下，有效減少了由于用戶反常操作引起的誤判。
　　 最后，基于對移動網(wǎng)絡(luò)新型信號DoS攻擊原理的分析，我們發(fā)現(xiàn)攻擊者利用移動網(wǎng)絡(luò)中的重要參數(shù)以最小的開銷獲取最大的攻擊效果，為此我們提出了隨機化參數(shù)設(shè)置的方法，可以有效增加攻擊難度、大量減少攻擊產(chǎn)生的信號消息，并通過仿真實驗驗證。但是參數(shù)設(shè)置的方法并不能避免DoS攻擊，為了能夠及時檢測到DoS攻擊，我們又提出了一種