1、在過(guò)去的幾年,移動(dòng)設(shè)備的數(shù)量在飛速的增長(zhǎng),如智能手機(jī)、平板電腦等。在智能手機(jī)市場(chǎng),安卓系統(tǒng)的市場(chǎng)份額是最高的。與此同時(shí),針對(duì)移動(dòng)設(shè)備的安全威脅也越來(lái)越多,由于安卓系統(tǒng)的開源性以及它的受歡迎程度,已成為黑客們最理想的攻擊目標(biāo),所以針對(duì)安卓設(shè)備的惡意軟件數(shù)量也在迅速增長(zhǎng),安卓用戶正在尋找好的安全解決方案,以防止惡意軟件破壞他們的智能手機(jī)。
　　實(shí)際上,惡意用戶和黑客是利用移動(dòng)設(shè)備有限的功能和缺乏標(biāo)準(zhǔn)的安全機(jī)制來(lái)設(shè)計(jì)特定的惡意軟件,這些

2、惡意軟件主要是訪問用戶的敏感數(shù)據(jù),竊取用戶隱私或拒絕訪問設(shè)備功能等。為了減少這些安全威脅,最近提出了各種入侵檢測(cè)系統(tǒng),這些系統(tǒng)大多是基于行為的檢測(cè)。在本文中,描述了一個(gè)在內(nèi)核層和用戶層同時(shí)監(jiān)測(cè)惡意軟件感染的兩層異常檢測(cè)器(TLAD),它利用機(jī)器學(xué)習(xí)來(lái)區(qū)分正常行為和惡意行為。通過(guò)仿真實(shí)驗(yàn)結(jié)果,我們發(fā)現(xiàn)這種方法能真正地檢測(cè)到惡意軟件,且誤報(bào)率很低。
　　本文的主要研究?jī)?nèi)容如下:
　　1.描述了TLAD的設(shè)計(jì)與實(shí)現(xiàn),它是一個(gè)基于主

3、機(jī)的實(shí)時(shí)異常檢測(cè)器,利用多級(jí)視圖監(jiān)控智能手機(jī),它考慮了系統(tǒng)調(diào)用和手機(jī)參數(shù)兩種操作系統(tǒng)事件來(lái)檢測(cè)入侵企圖,如用戶空閑或活動(dòng)。此外,TLAD采用機(jī)器學(xué)習(xí)系統(tǒng),能夠自適應(yīng)新的行為,包括運(yùn)行時(shí)訓(xùn)練集學(xué)習(xí)的新元素。
　　2.構(gòu)造了框架并在真正的設(shè)備上進(jìn)行了測(cè)試,測(cè)試了超過(guò)50個(gè)流行的應(yīng)用程序來(lái)衡量誤報(bào),結(jié)果表明,每天平均的誤報(bào)數(shù)少于5。此外,還測(cè)試了一些零攻擊的惡意軟件,這些軟件是目前現(xiàn)成的安全檢測(cè)方案無(wú)法檢測(cè)到的,實(shí)驗(yàn)表明TLAD的檢測(cè)率