基于Android平台软件行为检测的主动防御系统技术方案

本发明专利技术涉及一种基于Android平台软件行为检测的主动防御系统，主动防御手机的安仝威胁。该系统包括：利用top命令或PS命令及Android中的API所提供的ActivityManager.MemoryInfo()和ActivityManager.AppProcessInfo（）收集进程数据；利用主成分分析法对收集到的数据进行分析，提取最能反映样本的特征，将样本送入神经网络模型；随机选取一部分样本进行学习，得到模型参数，作为评估部分模型参数，从而对待测样本进行评估，判断是否正常，进而判断某一进程是否异常。本发明专利技术将PCA降维与BP神经网络相结合的方式引入于机，从而降低了传统BP神经网络的计算量和存储量，使其在手机这种计算能力和存储能力都有限的移动设备上得到很好的实现，保证了手机安全。

【技术实现步骤摘要】

本专利技术涉及基于Android平台软件行为检测的主动防御系统。
技术介绍
如今智能手机的广泛应用，特别是Android开放平台的提供,使得Android智能手机市场显现出巨大的增长优势，但也由于平台的开放性，使其更容易受到恶意软件的攻击。目前已有的手机安全软件主要是将PC机中比对特征码的形式的安全软件直接移植到手机中。特征码比对的形式对查杀已知的恶意程序很有效，但对未知恶意程序却束手无策，而如今恶意程序数量呈几何级增长，相对于恶意程序来说，特征库的生成与更新往往是滞后的，很多时候杀毒软件无法查杀未知的恶意程序。同时，特征库需要大量的存储空间，这对手机这种存储空间和计算能力都有限的移动设备来说存在着很大的局限性。基于正常行为的异常检测技术是指用已创建的正常行为轮廓检测偏离的异常行为，该机制能够有效检测出未知异常，所以可以克服特征码比对无法检测未知恶意程序的缺点，但该机制对正常行为的检测存在较高的误检率。
技术实现思路
本专利技术针对Android平台的安全隐患，探索出新的基于行为检测的安全检测体系来实现检测软件异常行为的功能，在尽可能少的存储量和计算量的情况下达到主动防御的效果。本专利技术整体构架分为三个模块:数据收集、PCA (principal component analysis,主成分分析)降维、BP (Back Propagation,反向传播)神经网络分类。数据收集的研究主要针对如何调用本身自带系统的API (ApplicationProgramming Interface,应用程序编程接口)进行相关信息的收集,对进程、服务、任务等深度剖析；根据初始收集的数据运用PCA降维技术以提炼主信息；根据PCA降维传送到BP神经网络接口，学习后的BP神经网络对数据进行评估；为了解决技术问题，本专利技术对每个细节进行创新和改造，包括:(I)对计算结果做初步判定，响应手机，提出警告和建议操作；(2)对于上述方法中，所述过程可以在本机运行，无需联网或云操作；(3)对于上述数据收集模块，所述的收集过程采用三维数组存储来简化操作难度；(4)对于上述PCA主成份分析模块中，所述的方法采用QR矩阵分析求解特征向量;(5)对于上述的PCA主成份分析模块中，所述过程对特征值的筛选，采用多重比对贡献率方法，选取最优质的贡献参数来构建参数模型；(6)对于上述BP神经网络模块中，所述的学习子模块，采用适合模型学习的学习因子，主要通过多重变换比对得出最佳参数。本系统将主动防御的技术应用于手机，与手机上传统的特征码比对相比，能够提前检测、有效地提醒用户所面临的威胁，解决了手机中传统软件持续更新数据、计算量庞大的难题。附图说明下面结合附图和实施例对本专利技术作进一步说明。图1是本专利技术的整体架构图。图2是本专利技术的数据收集流程图。图3是本专利技术的PCA降维流程图。图4是本专利技术的神经网络分类模块学习部分流程图。图5是本专利技术的神经网络分类模块评估部分流程图。具体实施方案如图1中所示为本专利技术的整体架构图，包括数据收集、PCA降维和神经网络分类三个模块。数据收集利用Linux系统管理命令收集入侵相关的进程信息作为手机入侵特征，再采用PCA对入侵特征进行降维处理，选择最能反映样本的特征，最后将降维后的特征引入BP神经网络分类器进行训练，得到最 佳的模型参数，利用这些参数对待测样本进行分类识别。如图2所示实施例为本专利技术的数据收集流程图。数据收集模块主要用于收集相关软件或程序的入侵数据信息。由于Android内核是Linux,故利用Linux的系统管理命令来收集进程的信息,利用top命令或者PS命令收集进程的CPU占用、进程的线程数、优先级、物理内存、虚拟内存、UID和进程名。除此之外，Android中的API所提供的ActivityManager.MemoryInfo O和ActivityManager.RunningAppProcessInfo O类获取进程占用的系统内存和UID号,然后根据进程名的WD号获取进程的流量使用情况等。由于基于文件来存取收集到的数据将耗费大量的程序运行时间，因此采用三维数组来存取，第一维表示时间，第二维表示不同的进程，第三维是进程的信息。考虑到样本存储对收集本身的影响，所以使用定时器，采取一定时间间隔的数据，构建一个高维矩阵，当样本检测结束时将有java本身的回收机制处理已使用过的样本。如图3所示实施例为本专利技术的PCA降维流程图。PCA降维模块主要是提取最能反映样本的特征，实现计算的简约化并达到较好的检测效果。主成分分析(PCA)其实是一种预处理的方法，它可以降低原本数据的维度，并且降低后的数据之间方差最大(也可以说投影误差最小)。假设是要将一个D维的数据空间投影到M维的数据空间中(M < D)，将D数据特征值从大到小排列，计算贡献率，求出相应的特征向量，并取相应的前M个特征向量，构成投影矩阵，则此矩阵方差最大。理论过程是假设将一个空间中的点投影到一个向量中去。首先，计算原空间的中心点:本文档来自技高网...

【技术保护点】
基于Android平台软件行为检测的主动防御系统，由数据收集模块、PCA降维模块和神经网络分类模块绢成，其特征在于：?(1)数据收集模块：利用Linux的系统管理命令及Android中的API所提供的类来收集进程的信息，并采用三维数组和计时机制来存取和管理；?(2)PCA降维模块：与所述数据收集模块相连，采用主成分分析法对上述收集到的数据进行降维处理，提取最能反映样本的特征；?(3)神经网络分类模块：与所述PCA降维模块相连，通过对上述降维后的数据进行多次学习确定模型参数，再根据学习后的模型参数执行该事件的处理动作，并根据输出结果判定是否为异常行为并做出相应响应。

【技术特征摘要】
1.基于Android平台软件行为检测的主动防御系统，由数据收集模块、PCA降维模块和神经网络分类模块絹成，其特征在于: (1)数据收集模块:利用Linux的系统管理命令及Android中的API所提供的类来收集进程的信息，并采用三维数组和计时机制来存取和管理； (2)PCA降维模块:与所述数据收集模块相连，采用主成分分析法对上述收集到的数据进行降维处理，提取最能反映样本的特征； (3)神经网络分类模块:与所述PCA降维模块相连，通过对上述降维后的数据进行多次学习确定模型参数，再根据学习后的模型参数执行该事件的处理动作，并根据输出结果判定是否为异常行为并做出相应响应。2.如权利要求1所述基于Android平台软件行为检测的主动防御系统，其特征在于:模块(I)中利用Linux的系统管理命令来收集进程的信息，利用top命令或PS命令收集进程的的CPU占用、进程的线程数、优先级、物理内存、虚拟内存、UID和进程名，利用 Android 中的 API 所提供的 ActivityManager.MemoryInfo ()和 ActivityManager.AppP...

【专利技术属性】
技术研发人员：余丹，孙子文，李金阳，郭晶，叶永昆，
申请(专利权)人：江南大学，
类型：发明
国别省市：