Android异常入侵检测中的主动响应系统
网络攻击的监测与响应技术分析
网络攻击的监测与响应技术分析随着互联网的快速发展,网络攻击事件不断增加,对个人、企业和政府机构的安全造成了严重威胁。
因此,网络攻击的监测与响应技术变得至关重要。
本文将分析网络攻击的监测与响应技术,并探讨其在未来的发展趋势。
一、网络攻击的监测技术网络攻击的监测技术主要包括入侵检测系统(IDS)和入侵防御系统(IPS)两个方面。
1. 入侵检测系统(IDS)入侵检测系统是一种用于监测网络流量,发现潜在攻击并生成相应警报的技术。
IDS可以通过分析网络流量、监测异常行为和识别已知攻击模式等方式来检测网络攻击。
IDS主要分为两种类型:主机型IDS和网络型IDS。
主机型IDS安装在单个主机上,监测该主机上的网络流量。
网络型IDS则监测整个网络的流量,可以检测到网络中的攻击行为。
2. 入侵防御系统(IPS)入侵防御系统是一种主动性更强的网络安全技术。
与IDS不同的是,IPS不仅可以检测网络攻击,还可以采取一些主动响应措施来阻止攻击者的进一步入侵。
例如,IPS可以实时阻断恶意流量、关闭恶意IP地址或端口,从而有效减少网络攻击对系统的影响。
二、网络攻击的响应技术网络攻击的响应技术主要包括溯源与取证、应急响应和恢复三个方面。
1. 溯源与取证溯源与取证是指通过调查、分析攻击者的行为轨迹和留下的日志,确定攻击发生的原因和攻击者的身份。
其中,溯源技术主要包括网络流量分析、系统日志分析、恶意代码分析等;取证技术主要包括硬盘取证、内存取证、网络取证等。
通过溯源与取证技术,可以追踪到攻击者的行为,进而加强网络安全防护,预防类似的攻击事件再次发生。
2. 应急响应网络攻击发生后,快速的应急响应至关重要。
应急响应是指采取及时有效的措施,减少攻击造成的损失,并修复被攻击的系统、网络或数据库。
应急响应常见的措施包括隔离受攻击主机、屏蔽恶意IP地址、更新系统补丁、加固网络设备等。
同时,应急响应将与相关部门合作,进行协调与沟通,共同应对网络攻击事件。
网络与信息安全管理员理论(技师、高级技师)模考试题与参考答案
网络与信息安全管理员理论(技师、高级技师)模考试题与参考答案一、单选题(共60题,每题1分,共60分)1、异常入侵检测系统常用的一种技术,它是识别系统或用户的非正常行为或者对于计算机资源的非正常使用,从而检测出入侵行为。
下面说法错误的是()A、在异常入侵检测中,观察到的不是已知的入侵行为,而是系统运行过程中的异常现象B、异常入侵检测,是将当前获取行为数据和已知入侵攻击行为特征相比较,若匹配则认为有攻击发生C、异常入侵检测可以通过获得的网络运行状态数据,判断其中是否含有攻击的企图,并通过多种手段向管理员报警D、异常入侵检测不但可以发现从外部的攻击,也可以发现内部的恶意行为正确答案:B2、假设有一张订单表orders(订单ID,产品名称,产品单价),若需要查询此订单表中出现的所有产品及对应的单价,如何写查询语句?()A、select 产品名称,产品单价 from ordersB、select distinct 产品名称 , distinct 产品单价from ordersC、select distinct 产品名称 ,产品单价from ordersD、select产品名称, distinct 产品单价from orders正确答案:C3、以下关于JDBC的描述哪个是正确的()。
A、JDBC是JVM虚拟机与应用服务器的连接协议B、JDBC是JVM虚拟机与数据库的连接协议C、JDBC是JVM与WEB服务器的连接协议D、JDBC是JVM与接口服务器的连接协议正确答案:B4、一个密码系统如果用E表示加密运算,D表示解密运算,M表示明文,C表示密文,则下面描述必然成立的是A、E(E(M))=CB、D(E(M))=MC、D(E(M))=CD、D(D(M))=M正确答案:B5、数据库由什么样的逻辑结构组织而成()A、数据库→数据文件→段→区→数据块B、数据库→数据文件→OS块C、数据库→表空间→段→区→数据块D、数据库→表空间→数据文件→OS块正确答案:C6、给一台Linux服务器添加一块新磁盘并配置使用,操作顺序为()。
网络防护中的入侵检测系统配置方法(八)
网络防护中的入侵检测系统配置方法随着网络攻击的不断增多和变种,保护网络的安全性变得愈发重要。
入侵检测系统(Intrusion Detection System,IDS)作为一种重要的网络安全设备,起到了监控和检测网络中潜在威胁的作用。
本文将介绍入侵检测系统的配置方法,旨在提供一些指导原则,帮助网络管理员有效地配置和部署入侵检测系统。
1. 配置规则集入侵检测系统依赖于规则集来检测不同类型的攻击。
网络管理员应该根据自己的网络环境和需求定制规则集,去除不必要的规则,并添加针对特定攻击的规则。
此外,还可以从社区分享的规则集中选取适合的规则,以增加入侵检测系统的有效性和准确性。
2. 设置监测模式入侵检测系统可以选择不同的监测模式,如主动模式和被动模式。
在主动模式下,入侵检测系统会主动断开与攻击者的连接,并向相应的安全团队发送警报。
而在被动模式下,入侵检测系统只会记录和报告潜在攻击事件,但不对其进行干预。
网络管理员应根据网络的敏感程度和资源限制来选择合适的监测模式。
3. 配置实时告警有效的实时告警可以及时警示网络管理员有关网络安全的问题。
入侵检测系统应配置相应的告警机制,如通过电子邮件、短信或网络管理平台发送告警通知。
此外,还可以设置多个安全团队的联系方式,以便在紧急情况下能够及时响应和采取行动。
4. 确定入侵事件的优先级入侵检测系统通常会生成大量的日志信息,网络管理员需要根据入侵事件的优先级对其进行分类和处理。
优先级的确定可以根据攻击的威胁程度、潜在的损害和重要性来决定。
这样可以保证网络安全团队优先处理最为紧急和重要的入侵事件,从而提高响应效率和网络的整体安全性。
5. 定期更新入侵检测系统软件和规则入侵检测系统的软件和规则库应定期更新以应对新的攻击技术和威胁。
网络管理员应密切关注厂商和社区发布的安全补丁和规则更新,并及时进行系统升级和规则更新。
这样可以保持入侵检测系统的准确性和有效性,防止新型攻击对网络造成损害。
入侵检测系统
入侵检测系统1. 引言1.1 背景近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。
作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。
依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。
据统计,全球80%以上的入侵来自于内部。
由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。
入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。
在入侵攻击过程中,能减少入侵攻击所造成的损失。
在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
1.2 背国内外研究现状入侵检测技术国外的起步较早,有比较完善的技术和相关产品。
如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。
虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。
2. 入侵检测的概念和系统结构2.1 入侵检测的概念入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分析过程。
使监控和分析过程自动化的软件或硬件产品称为入侵检测系统(Intrusion Detection System),简称IDS。
入侵检测系统(IDS)与入侵防御系统(IPS)的选择与部署
入侵检测系统(IDS)与入侵防御系统(IPS)的选择与部署随着互联网的快速发展,网络安全成为各个组织和企业亟需解决的问题。
为了保护网络免受入侵和攻击,入侵检测系统(IDS)和入侵防御系统(IPS)成为了重要的安全工具。
本文将讨论IDS和IPS的特点以及选择和部署的方法。
一、入侵检测系统(IDS)入侵检测系统(IDS)是一种监测网络流量并检测潜在入侵行为的安全工具。
IDS通过收集、分析和解释网络数据来识别异常活动和安全威胁。
IDS可以帮助组织快速发现入侵活动,并及时采取措施进行应对和修复。
在选择IDS时,首先需要考虑的是网络规模和流量。
对于大型组织或高流量网络,需要选择支持高吞吐量的IDS。
其次,IDS的检测能力是评估的关键因素。
IDS应具备多种检测方法,如基于签名、基于行为和基于异常等,以提高检测准确性。
另外,IDS还应支持实时监测和实时报警,以及具备易用的图形化界面和日志记录功能。
在部署IDS时,需要将其放置在网络的关键节点上,如边界网关、入口路由器等。
通过这种方式,IDS可以监测到网络中的所有流量,并更好地发现潜在的入侵活动。
同时,为了避免过载,可以将IDS与负载均衡器结合使用,将流量分散到多个IDS上进行分析和检测。
二、入侵防御系统(IPS)入侵防御系统(IPS)是在IDS的基础上增加了主动防御功能的安全工具。
IPS不仅可以检测到入侵活动,还可以主动采取措施进行拦截和阻止。
通过实时检测和响应,IPS可以有效地防范各种网络攻击。
在选择IPS时,需要考虑其防御能力和响应速度。
IPS应具备多种防御机制,如访问控制列表(ACL)、黑名单和IPS签名等。
此外,IPS还应支持实时更新和自动化响应,以保持对新型攻击的防御能力。
在部署IPS时,与IDS类似,也需要将其放置在关键节点上。
同时,为了提高防御效果,可以将IPS与防火墙、入侵预防系统(IPS)等其他安全设备结合使用,形成多层次的安全防护体系。
三、IDS与IPS的选择与部署在选择和部署IDS和IPS之前,需要进行全面的网络安全风险评估和业务需求分析。
网络安全中的主动防御技术综述
网络安全中的主动防御技术综述随着互联网和信息技术的飞速发展,网络安全问题日益突出,主动防御技术成为保护网络安全的重要手段。
本文将综述网络安全领域中的主动防御技术,包括入侵检测与预防系统(IDS/IPS)、漏洞管理、威胁情报、网络流量监测和分析等。
一、入侵检测与预防系统(IDS/IPS)入侵检测与预防系统(Intrusion Detection and Prevention System,简称IDS/IPS)是网络安全系统中的关键组件之一。
其旨在检测并防止恶意攻击行为,及时发现和响应安全事件。
IDS负责实时检测网络流量、日志和事件等,通过规则引擎、行为分析等手段对异常行为进行识别;IPS则是对异常行为进行防御和响应,可以主动阻断攻击流量或采取其他策略进行拦截或牵制。
二、漏洞管理漏洞是网络安全的薄弱环节,黑客往往利用系统和应用程序的漏洞进行入侵攻击。
漏洞管理技术通过对系统和应用程序进行全面扫描,发现和修补漏洞,预防黑客的攻击。
漏洞管理技术不仅包括漏洞扫描和修补,还包括漏洞评估和漏洞挖掘等工作。
它可以帮助企业及时了解系统的安全风险,采取相应措施提升网络安全水平。
三、威胁情报威胁情报技术是指通过搜集、分析和处理来自各种渠道的信息,以识别潜在威胁和攻击模式。
威胁情报可以包括黑客攻击的目标、方式、工具、技术和行为特征等,同时还可以包括恶意软件、网络病毒和恶意网址等信息。
通过利用威胁情报,网络安全人员可以提前预警、快速响应并采取相应的防御措施,有效抵御各类网络攻击。
四、网络流量监测和分析网络流量监测和分析是指对网络中的数据包进行实时监测、捕捉和分析,以识别网络攻击和异常行为。
网络流量监测和分析技术可以帮助网络管理员了解网络的实时状况,发现网络中的异常行为或攻击行为,并及时采取相应的防御措施。
通过对网络流量数据包的分析,还可以提取黑客攻击的特征和模式,为进一步的安全防护提供决策依据。
网络安全中的主动防御技术是保障信息安全的重要手段。
网络入侵事件的应急预案从检测到响应
网络入侵事件的应急预案从检测到响应网络入侵事件对于现代社会已经成为一个持续的威胁。
黑客们不断改进其攻击技术,通过入侵他人的系统来窃取敏感信息、破坏网络安全,给个人和组织造成巨大损失。
为了规避这种风险,建立一个完善的网络入侵事件的应急预案变得至关重要。
本文将从检测到响应的过程来论述网络入侵事件的应急预案。
一、入侵事件检测入侵事件检测是应急预案的第一步。
通过有效的入侵检测手段,可以在入侵行为发生后尽快发现并采取相应应对措施。
以下是几种常见的入侵检测方式:1. 网络流量分析网络流量分析是通过监控和分析网络中的数据流量来发现异常行为的一种方法。
通过分析流量模式和使用规律,可以及时发现和识别不正常的网络活动,并进行进一步调查和处理。
2. 入侵检测系统(IDS)入侵检测系统是一种主动式的监控系统,用于识别和报告入侵事件。
它可以分为网络入侵检测系统(NIDS)和主机入侵检测系统(HIDS)。
NIDS监控网络流量,而HIDS监控主机内部的活动。
通过这些系统,可以检测到潜在的入侵行为,以便及时采取措施。
3. 安全日志分析安全日志是记录系统和网络活动的重要组成部分。
对安全日志进行实时监控和分析,可以帮助发现潜在的入侵行为。
通过对日志中的异常事件进行跟踪和调查,可以及时采取预防和应对措施。
二、入侵事件响应入侵事件检测之后,紧接着是应对入侵事件。
早期的检测能够帮助尽早发现入侵行为,但如果没有及时响应,入侵者的破坏行为可能会继续扩大。
以下是入侵事件响应的几个阶段:1. 确认入侵在收到入侵警报后,首先要确认是否真的发生了入侵。
通过对异常行为的进一步调查和分析,确保警报是有效的,而不是误报。
2. 隔离受感染系统一旦确认发生入侵,重要的是立即隔离受感染的系统,以防止病毒、恶意软件或黑客进一步扩散或破坏。
隔离可以包括断开受感染系统的网络连接或者关闭一些关键服务。
3. 收集证据在入侵事件发生后,收集和保存相关的证据非常重要。
这些证据可以作为后续调查和追责的重要依据。
主动防御体系架构
主动防御体系架构主动防御体系架构是指通过主动手段,预测、识别、阻止和响应网络安全威胁的一套系统化的架构和方法。
主动防御体系旨在提高网络安全性,及时发现并应对潜在的威胁,而不仅仅是依赖传统的防御手段。
以下是主动防御体系架构的一般性组成和原则:1.威胁情报收集和分析:实时收集、分析和利用威胁情报是主动防御的基础。
这包括从多个来源获取关于最新威胁、漏洞和攻击技术的信息,以更好地了解潜在的风险。
2.威胁建模和漏洞分析:基于威胁情报,进行威胁建模和漏洞分析,以识别可能的攻击路径和系统弱点。
这有助于制定有针对性的防御策略和加强关键系统的安全性。
3.行为分析和异常检测:利用机器学习和行为分析技术,监测网络和系统的正常行为,及时发现异常活动。
这包括对用户、设备和应用程序的行为进行实时分析,以检测潜在的安全威胁。
4.网络隔离和容错设计:设计网络架构时,采用网络隔离和容错设计,以最小化受到威胁的影响。
这可以通过使用安全区域、网络分割和容错技术来实现。
5.威胁响应和追踪:部署快速、协调的响应机制,以降低受到攻击的影响。
同时,记录和追踪安全事件,进行事后分析,以改进防御策略和加强系统安全性。
6.安全培训和意识提升:通过定期的安全培训和意识提升活动,加强员工对安全风险的认识,提高其对网络安全的警觉性,减少由于人为因素导致的威胁。
7.安全技术部署:部署先进的安全技术,包括入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙、终端安全工具等,以多层次、多维度地保护网络。
8.定期演练和渗透测试:定期进行安全演练和渗透测试,评估安全策略的有效性,及时发现和修复潜在漏洞,提高系统的安全性。
主动防御体系架构的目标是建立一个强大的、灵活的网络安全体系,能够快速适应不断演变的威胁环境。
这需要综合利用技术、流程和人员培训等多方面的手段,形成全面、深度的安全防御体系。
网络入侵检测与响应
网络入侵检测与响应随着数字化和信息化的不断发展,网络安全日益受到人们的关注。
网络入侵已经成为一个全球性的威胁,给网络安全带来了很大的风险和挑战。
面对网络安全威胁,网络入侵检测与响应是解决方案之一。
本文将介绍网络入侵检测与响应的概念、方法和工具。
一、概念网络入侵检测和响应是指为了捕获和阻止入侵者的攻击,寻找和分析网络中的异动,并根据指定规则对这些异常情况进行报警、监控或控制的一种安全机制。
网络入侵检测和响应通常与安全操作中心紧密联系在一起,对于网络安全事件做出及时的反应和解决。
可以说,入侵检测和响应是保护网络安全的必要手段。
二、方法网络入侵检测和响应的方法和技术非常多,主要有以下几种:1.基于签名的检测方法基于签名的检测方法是指通过事先获得的攻击数据结合已知漏洞特征,建立攻击特征库,当网络被攻击时,用特征库进行比对,识别和判定攻击行为,并及时地进行报警或拦截,从而保证网络安全。
2.基于异常的检测方法基于异常的检测方法是指通过对网络流量、访问模式等进行分析,建立网络流量的正常模型,当攻击者企图进入网络时,根据正常模型的不同阈值进行比对,识别出异常行为,及时报警或拦截,解决网络安全问题。
3.混合型检测方法混合型检测方法是将基于签名和基于异常的检测方法结合起来进行的一种方法,通过将两种方法的优势相互结合,实现入侵检测的高效性和准确性,以及降低误报率和漏报率,从而更好地保护网络安全。
三、工具网络入侵检测和响应的工具种类多样,常用的工具有以下几种:1. SnortSnort是一个广泛使用的开源入侵检测系统,能够有效地识别和防御各种网络攻击。
它是一种基于规则的检测工具,可以支持对TCP、UDP、ICMP等协议进行检测和筛选,具有高可定制性、高效性、可扩展性和灵活性等优点。
2. BroBro是一个网络监测系统,除了用来检测已知攻击外,还可以发现新的攻击行为,并提供网络事件分析、报告、告警等功能。
Bro的特点是支持高级协议分析,可以适用于复杂的网络环境,并可以快速响应和修改规则库。
入侵检测系统通常分为哪两种类型
入侵检测系统通常分为哪两种类型
入侵检测系统(IDS)是一种用于检测网络中可疑的攻击行为的系统。
它可以帮助网络管理员及时发现和响应网络安全事件,从而有效地防止网络攻击。
入侵检测系统通常分为两种类型:主动式入侵检测系统(A-IDS)和被动式入侵检测系统(P-IDS)。
A-IDS是一种主动式的入侵检测系统,它可以实时监测网络中的活动,并及时发现可疑的攻击行为。
它可以通过检测网络中的数据流量,检测网络中的异常行为,以及检测网络中的恶意代码等方式来发现可疑的攻击行为。
P-IDS是一种被动式的入侵检测系统,它可以检测网络中的攻击行为,但不能及时发现可疑的攻击行为。
它可以通过检测网络中的日志文件,检测网络中的异常行为,以及检测网络中的恶意代码等方式来发现可疑的攻击行为。
A-IDS和P-IDS都是重要的入侵检测系统,它们可以帮助网络管理员及时发现和响应网络安全事件,从而有效地防止网络攻击。
然而,A-IDS和P-IDS也有一些不同之处,A-IDS 可以实时监测网络中的活动,而P-IDS则只能检测网络中的攻击行为,但不能及时发现可疑的攻击行为。
因此,网络管理员应该根据自己的实际情况,选择合适的入侵检测系统,以有效地防止网络攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2012年第01期,第45卷 通 信 技 术 Vol.45,No.01,2012 总第241期 Communications Technology No.241,TotallyAndroid异常入侵检测中的主动响应系统余艳玮①②, 陈 莹①②, 韩一君①②,陈兆丰①②(①中国科学技术大学 软件学院,安徽 合肥 230051;②中国科学技术大学 苏州研究院 嵌入式系统实验室,江苏 苏州 215123)【摘 要】手机恶意程序有对智能手机用户造成经济损失、数据丢失及隐私泄露等危害。
在现有的Android入侵检测系统框架基础上,提出异常入侵检测中的主动响应系统,及时减轻手机恶意软件对用户造成的危害。
该主动响应系统采用C/S架构,其中客户端收集手机中应用的程序信息,负责最后的响应措施;服务器端及时静态分析由客户端发来的可执行文件,锁定导致手机出现异常状态的恶意程序。
测试结果表明,该系统可以主动对手机上已发现的异常行为做出及时有效响应。
【关键词】Android;恶意程序;主动响应【中图分类号】TP311.1 【文献标识码】A 【文章编号】1002-0802(2012)01-0102-03 Active Response System in Anomalous Intrusion Detection on AndroidYU Yan-wei①②, CHEN Ying①②, HAN Yi-jun①②, CHEN Zhao-feng①②(①School of Software Engineering, University of Science and Technology of China, Hefei Anhui 230051, China;②Laboratory of Embedded Systems, University of Science and Technology of China, Suzhou Jiangsu 215123, China)【Abstract】The mobile malicious programs would cause such face hazards economic loss, data loss and privacy leakages, et al. The paper, based on the existing Android intrusion detection systems, proposes the active response system in anomalous intrusion detection, thus to reduce the harm caused by malicious software. The system uses C/S structure, and the client collects the applications information in the smart-phone and is in charge of the response measures. The server analyzes promptly the executable file of applications from the client, finds the malicious programs which cause abnormal conditions to the phone. The experimental results show that this system could make timely and effective response to the abnormal behaviors found in the phone.【Key words】Android; malicious program; active response0 引言智能手机应用的普及和深入,在给用户带来便捷体验的同时也通过先进的技术使手机遭受到各种手机恶意程序的侵害[1]。
入侵检测系统是一种动态安全防御技术,通过对网络或系统中若干关键数据的收集,并进行分类和分析,发现入侵的恶意行为[2]。
Android作为新兴的智能手机平台,目前国内外对其安全性方面的研究并不多,且大多侧重于系统级安全或检测恶意程序,没有对恶意行为采取有效措施。
沈俊等[3]针对智能手机恶意代码的传播途径与攻击目标介绍了各种现有防范技术;Aubrey-Derrick Schmidt等[4]在Android环境中使用readelf命令来对可执行文件进行静态分析识别恶意程序;Michael Becher等[5]介绍“沙盒”技术动态分析模型检测恶意程序;C.H.T.Wang等[6]提出用静态分析方法在2个可执行文件之间建立一种相似性度量来辨别恶意程序变种;Botha R A等[7]提出数据挖掘方法来辨别正常可执行文件和病毒,其中动态链接库和应用编程接口是通过静态分析提取出来的。
目前手机入侵检测系统的最后一个部件——响应系统的理论研究和技术相对滞后,不足之处主要体现在:①反应迟钝;②不能准确定位恶意程序[8]。
这里设计实现的android异常入侵检测的主动响应系统可以在检测到入侵行为的收稿日期:2011-09-27。
基金项目:江苏省产学研前瞻性联合研究资助项目(No.BY128)。
作者简介:余艳玮(1981-),女,博士后,主要研究方向为信息安全、智能手机安全;陈 莹(1987-),女,硕士,主要研究方向为智能手机安全;韩一君(1984-),女,硕士,主要研究方向为智能手机安全;陈兆丰(1984-),男,硕士,主要研究方向为智能手机安全。
102103同时主动采取有效的响应措施,不仅可以缩短入侵响应时间,及时采取响应措施以减少损失,而且可以降低用户的操作难度,保证系统安全。
1 主动响应系统的分析设计与实现1.1 系统的分析设计该系统采用客户端-服务器端模式,客户端在智能手机设备终端运行,主要负责获取手机中用户安装的应用程序信息,并根据异常检测的结果对应用程序做出初步判断,将不确定的可疑程序信息发往服务器端,并且根据最终结果选择采取合适的主动响应措施。
服务器端是一个运行在计算机终端的java工程,主要负责接收客户端的请求信息,并对信息中的可执行文件进行静态分析,将分析结果反馈给客户端。
系统的总体结构框架如图1所示,主要模块有:客户端的初始化、操作权限判定、行为匹配、通信、主动响应、用户界面等模块,服务器端的通信、反编译dex文件以及静态分析文件等模块。
图1 系统总体结构框架1.2 系统开发实现环境系统的客户端实验是基于Android2.2系统的Samsung系列智能手机,使用IBM公司开发的eclipse 集成开发环境。
1.3 数据库的实现对一些典型病毒的行为规律进行分析、归纳和总结,把Android手机上的恶意程序行为分为3个主要方面:开机自启动功能、后台运行、具有自发通信行为。
分析这3方面,构建恶意程序行为库,定义为一个表,包含3项:序号、恶意行为和操作权限。
1.4 客户端的实现为每个模块定义相应实现类,在初始化中创建数据库及相应的数据表,获取用户安装的应用程序信息(程序名、安装目录、包名等),将信息依次存入到已经创建的表中,这些应用程序被初步判定为可疑程序。
在主动响应中根据前面模块最终判定结果中的恶意程序信息及异常行为恶意等级采取对应的响应措施,包括发出警告、终止程序进程、卸载应用程序、删除程序安装文件等。
1.5 服务器端的实现在文件的静态分析中,通过将dex文件中的调用函数与已经实现的正常程序调用函数库及异常行为调用函数库进行对比,给出最终的分析结果。
首先利用Android应用程序的开发环境SDK中提供的解析dex格式文件的工具dexdump将应用程序dex格式的可执行文件反编译为可读的txt 格式,再根据Android可执行文件读取出所调用的系统函数,最后采用判定算法得出结果。
2 系统的关键技术(1)恶意行为分类结合Android系统中permission所对应的功能以及一些典型恶意程序的行为特征将应用程序发生的行为分为若干典型的类别,构建恶意程序行为库。
(2)可执行文件静态分析采用Android应用程序的开发环境SDK中提供的反编译工具dexdump获取dex文件的信息,即对dex 文件进行静态分析,保证分析可行的前提下得到正确的分析结果。
(3)服务器端的判定算法针对该系统数据的特殊性提出了一个新的判定算法,命名为C-BM算法(C 表示classify,B表示benign,M表示malicious),算法步骤描述:①查询异常行为调用函数库中对应的函数,程序中是否含有该函数,是则进入步骤②,否则判定该程序为正常程序;②behavior对应的函数数目是否只有一个,是则进入步骤③,否则判定该程序异常;③根据程序中的调用函数从正常程序调用函数库得到函数的percent值,计数percent值大于10的函数数目,该数目是否大于25,是则判定该程序为正常,否则判定其为异常程序。
3 系统测试为了验证该系统的性能,针对运行环境设计了2个测试实验。
(1)实验一客户端设备上运行恶意程序sendSms。
sendSms 是一个android平台上具有开机自启动权限、后台自动发短信行为的模拟恶意程序。
在Samsung S5830手机上安装完Android入侵响应系统后运行sendSms 程序,测试结果如图2所示,系统能够成功对恶意程序做出响应,通过打印日志可以得出从检测出异常到做出响应的时间为0.463 s。
(2)实验二客户端设备上无恶意程序运行,而假设IDSA检测的结果是发现异常行为。
在Samsung S5830手机上安装完Android入侵响应系统后对Android入侵检测系统的检测结果给出一个假定值,测试结果如图3所示,系统能够判断出手机上没有恶意程序运行,而得出的从检测出异常到做出响应的时间为0.115s。
图2 入侵响应系统对 图3 入侵响应系统判断 恶意程序的响应 手机上无恶意程序4 结语在移动终端技术迅速发展的背景之下, Android基于异常入侵检测的主动响应系统弥补了现有入侵检测系统的不足,能够主动对发现的异常行为采取响应措施,有效保障手机的安全使用。
最后的测试结果表明该系统可以主动地对手机上已发现的异常行为做出及时有效响应。
参考文献[1] 李恺, 刘义铭.智能手机的病毒风险浅析[J]. 信息安全与通信保密,2009(08):162-164.[2] 吴新民.基于3G网络安全系统的入侵检测研究[J].通信技术,2010,43(06):98-100.[3] 沈俊,周雍恺,桂佳平,等.智能手机恶意代码防范技术综述[J].信息技术,2009(10):162-167.[4] SCHMIDT AUBREY-DERRICK, RAINER BYE, SCHMIDT HANS-GUNTHER, et al. Static Analysis of Executables for Collaborative Malware Detection on Android[J].Deutsche Telekom Laboratories, 2009(14-18):53-57.[5] MICHAEL B, FREILING F C. Towards Dynamic MalwareAnalysis to Increase Mobile Device Security [EB/OL]. (2008-10-12) [2011-03-23]. http://www1.informatik.uni-erlangen.de/filepool/publications/towards-dynamic-malware-analysis-to-increase-mobile-device-security.pdf.[6] WANG C H T, WU C. A Virus Prevention Model basedon Static Analysis and Data Mining Methods[M].[s.l.]:Computer and Information Technology Workshops, 2008:288-293.[7] Botha R A, Furnell S M, Clarke N L. From Desktopto Mobile: Examining the Security Experience[J].Computers & Security, 2009,28(3-4):130-137.[8] 丁勇,虞平,龚俭.自动入侵响应系统的研究[J].计算机科学,2003(10):160-162.(上接第101页)参考文献[1] Microsoft. Microsoft Passport AuthenticationProvider[EB/OL].(2003-04-01)[2009-04-12].http:// /en-us/library/f8e50t0f(VS.71).aspx.[2] ANDREAS P, MITCHELL C J. A Taxonomy of SingleSign-on Systems[M]. Berlin:Springer-Verlag, 2003: 249-264.[3] IVAN N. Web Single Sign on Systems[EB/OL].(2006-01-09)[2011-01-11].http://p1pe.doe.virgin/ssws/login.page.do.[4] SMITH T. Single Sign-on[EB/OL]. (2009-10-19)[2010-08-19]./security/sso/[5] WALES J.Single Sign-on[EB/OL]. (2010-3-28)[2011-05-16]./wiki/Single_sign-on.[6] SMITH T. Introduction to Single Sign-on[EB/OL].(2009-10-19)[2010-08-19].http://www.opengroup.org/security/sso/sso_intro.htm.[7] WALES J. Keystroke Logging[EB/OL]. (2010-03-28)[2011-05-16]./wiki/Keystroke_logging.[8] MACKENZIE I S. KSPC (Keystrokes per Character) asa Characteristic of Text Entry Techniques[J].Communications of the ACM, 2002,16(03):101-115. [9] FABIAN M, REITER M K, SUSANNE W. Password HardeningBased on Keystroke Dynamics[J]. Communications of the ACM, 1999,10(01):73-82.[10] 林满山, 郭荷清. 单点登录技术的现状及发展[J]. 计算机应用, 2004, 24(06): 248-250.[11] 沈桂兰, 李辉, 李玉霞. 基于改进Kerberos的Web单点登录方案[J]. 微计算机信息, 2008, 24(1-3): 128-130.[12] 王金伟, 孙德兵. 基于PKI/PMI的Web应用单点登录的研究与实现[J]. 信息系统工程, 2010, 12(09): 73-75.[13] 施荣华,徐亮亮.一种基于PKI的Web单点登录方案[J].微型计算机信息, 2010, 26(7-3): 39-41.[14] 周楝淞, 杨洁, 谭平嶂, 等. 身份认证技术及其发展趋势[J]. 通信技术,2009, 42(10): 183-185.[15] 韩春林, 叶里莎. 基于可信计算平台的认证机制的设计[J]. 通信技术,2010, 43(10): 92-94.[16] 周楝淞, 杨洁, 谭平嶂, 等. 基于身份的密码系统及其实现[J]. 通信技术, 2010, 43(06): 68-70.[17] 朱明, 周津, 王继康. 基于击键特征的用户身份认证新方法[J]. 计算机工程, 2002, 28(10): 138-140. [18] 欧阳彦琨. 基于击键动力学身份识别的高校网络招生管理系统[D]. 成都: 西南交通大学, 2005.[19] 杨卫锋, 曾芳玲. 基于区间全局优化的非线性最小二乘估计[J]. 通信技术, 2010, 43(06): 232-234. [20]丁正生, 杨力. 概率论与数理统计简明教程[M]. 北京:高等教育出版社,2005.104。