基于隨機(jī)森林的安卓平臺(tái)入侵檢測系統(tǒng)

本文提出了一種針對(duì)安卓設(shè)備的入侵檢測算法，首先通過手機(jī)系統(tǒng)的CPU信息建立特征數(shù)據(jù)集，并在此基礎(chǔ)上通過分析選擇了隨機(jī)森林為作異常檢測時(shí)使用的算法。通過對(duì)常用入侵檢測方法的分析，能夠?qū)ΜF(xiàn)有的狀況起到改善的作用，更好的促進(jìn)手機(jī)系統(tǒng)穩(wěn)定性。在檢測的過程中采用了定量指標(biāo)的檢測方法，并通過實(shí)驗(yàn)證明了評(píng)估的客觀性、準(zhǔn)確性和有效性。

【關(guān)鍵詞】入侵檢測 隨機(jī)森林

1 引言

隨著Android平臺(tái)越來越流行，針對(duì)Android平臺(tái)的攻擊性程度不斷加深。根據(jù)檢測方式的不同能夠?qū)⑨槍?duì)攻擊的檢測系統(tǒng)主要分為分為以下兩個(gè)方面：誤用檢測和異常檢測，誤用檢測在使用當(dāng)中準(zhǔn)確度很高，誤報(bào)率低，但不能檢測未知入侵行為，異常檢測通過建立正常的用戶和系統(tǒng)行為輪廓，能夠檢測未知入侵行為，但誤報(bào)率也會(huì)相比較而言較高。而根據(jù)訓(xùn)練數(shù)據(jù)源去劃分的話能夠?qū)⑨槍?duì)攻擊的檢測系統(tǒng)劃分為以下兩個(gè)方面：有監(jiān)督和無監(jiān)督，有監(jiān)督方法能夠從標(biāo)記數(shù)據(jù)集中發(fā)現(xiàn)與標(biāo)記示例近似的入侵或正常行為，如決策樹、神經(jīng)網(wǎng)絡(luò)、SVM等，無監(jiān)督方法能夠從無標(biāo)記數(shù)據(jù)集中發(fā)現(xiàn)隱藏的結(jié)構(gòu)性知識(shí)，即不同于正常行為的異常行為，如聚類方法。

目前的Android平臺(tái)安全軟件，大多與傳統(tǒng)殺毒軟件類似，都是基于規(guī)則匹配的。這種方法的優(yōu)勢在于：檢測率高、誤報(bào)率低，檢測實(shí)時(shí)性好。但是隨著病毒包總數(shù)的不斷增加以及攻擊手段的層出不窮，規(guī)則庫的規(guī)模和監(jiān)控的范圍將會(huì)越來越大，隨之而來就是檢測性能的下降，而且還將嚴(yán)重占用Android平臺(tái)有限的硬件資源。為此，基于規(guī)?？煽氐闹鳈C(jī)用戶的行為特征，設(shè)計(jì)一種輕量級(jí)Android平臺(tái)主機(jī)入侵檢測系統(tǒng)是勢在必行的。

2 特征數(shù)據(jù)提取

實(shí)驗(yàn)通過采集安卓設(shè)備中的CPU信息，并對(duì)信息進(jìn)行標(biāo)記，將收集到的數(shù)據(jù)作為數(shù)據(jù)集。獲得CPU信息的方法是通過讀取系統(tǒng)文件/proc/stat獲得的，每條記錄包含37個(gè)信息。

實(shí)驗(yàn)選用數(shù)據(jù)提取模塊收集到的數(shù)據(jù)作為此次研究的對(duì)象，其重點(diǎn)劃分為了“Normal”類正常行為記錄和“abnormal”類異常行為記錄，總體的數(shù)據(jù)共計(jì)65021條。在保持原始數(shù)據(jù)類別比例結(jié)構(gòu)不變的情況下，我們將會(huì)任意的從中抽取出來百分之六十的數(shù)據(jù)作為重點(diǎn)分析對(duì)象。共計(jì)有39012條做訓(xùn)練樣本集，然后使用剩余的數(shù)據(jù)去制作修正的樣本集。

3 基于隨機(jī)森林的異常檢測方法

實(shí)驗(yàn)使用Waikato大學(xué)開發(fā)的數(shù)據(jù)挖掘方式去進(jìn)行數(shù)據(jù)的收集。為了更好的去進(jìn)行分析和探討，還選取了其他幾種在網(wǎng)絡(luò)流量異常檢測當(dāng)中經(jīng)常使用的方式；樸素貝葉斯（Naive Bayes）、貝葉斯網(wǎng)絡(luò)（Bayes Network）、C4.5和AdaBoost共同進(jìn)行實(shí)驗(yàn)。

實(shí)驗(yàn)的結(jié)果主要通過以下兩個(gè)指標(biāo)表示出來：精確率（記作Pre.，也稱為查準(zhǔn)率）和召回率（記作Rec.，也稱為查全率）來反映。定義如下：

Pre=TP/（TP+FP） （4）

Rec=TP/（TP+FN） （5）

其中TP（true positive）所展示的是正面的反映，其表示的結(jié)果也是正值。FP（false positive）所展示的是負(fù)面的反映，其表示的結(jié)果也是負(fù)值；FN（false negative）表示實(shí)際類別為正，預(yù)測結(jié)果為負(fù)。精確率所指的是預(yù)測的結(jié)果和實(shí)際結(jié)果之間的差值，在這個(gè)實(shí)驗(yàn)當(dāng)中，正值越高其代表著實(shí)驗(yàn)的準(zhǔn)確率越高。召回率則指的是在實(shí)驗(yàn)當(dāng)中，正的記錄值所占據(jù)的比例。召回率和誤分率之間形成的是反比關(guān)系。但是假使在模型當(dāng)中存在著所有的被測實(shí)例都斷言為正，那么召回率就能夠表示為百分之百，但是召回率 的確定也會(huì)和實(shí)驗(yàn)的精準(zhǔn)度之間有關(guān)聯(lián)。因此只有這個(gè)兩個(gè)指標(biāo)綜合起來才能夠更好的反饋實(shí)驗(yàn)結(jié)果，從而說明該模型的水平高低。

在香農(nóng)熵特征集上的檢測因此其特性要求只能夠使用一維的熵值來反映，這樣的話就會(huì)對(duì)實(shí)驗(yàn)的結(jié)果產(chǎn)生不利影響，使得檢測的效果往往不盡人意。

在非廣延熵特征集上的檢測結(jié)果能夠進(jìn)行更加全面的檢測，使得檢測的結(jié)果更具有代表性?；谪惾~斯技術(shù)的算法，對(duì)異常的召回率會(huì)不斷增加，這就從側(cè)面反映出了非廣延熵的提取帶有著少量異常的特征；較低的精準(zhǔn)率也會(huì)對(duì)召回率產(chǎn)生影響，使得召回率不斷的下降，同時(shí)也說明了他們之間的具有著很強(qiáng)烈的關(guān)聯(lián)。

通過在特征數(shù)據(jù)集分別使用香農(nóng)熵和非廣延熵，并綜合二者的結(jié)果作為最終檢測結(jié)果，在組合熵特征集上的結(jié)果，所有算法都會(huì)對(duì)攻擊檢測的精確率和召回率產(chǎn)生影響，特別是本文使用的隨機(jī)森林檢測算法。但是如果站在了貝葉斯技術(shù)的算法角度去看的話，由此看來，算法的不同將會(huì)影響到檢測結(jié)果。

4 結(jié)語

面向安卓設(shè)備的實(shí)時(shí)異常檢測會(huì)面對(duì)數(shù)據(jù)信息復(fù)雜、異常數(shù)據(jù)相對(duì)較少等問題，本文針對(duì)這些問題提出了解決方案，能夠通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)流特征的建立更好的了解到這種變化。在這個(gè)建立的過程中能夠采用非廣延熵的方式。同時(shí)通過對(duì)隨林森林檢測算法的使用，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流中的異常進(jìn)行定期檢測。最后運(yùn)用實(shí)驗(yàn)的方式檢測這些設(shè)置的合理性和有效性。

雖然隨機(jī)森林檢測法的適應(yīng)需要的更高的維數(shù)與之匹配，但是為了提升檢測結(jié)果的準(zhǔn)確性和檢測方式的效率，能夠?qū)Ψ菑V延熵建立起來的特征集進(jìn)行特征選擇的研究。對(duì)于該方面的相關(guān)內(nèi)容，還有待于進(jìn)一步探討和研究。

參考文獻(xiàn)

[1]楊宏宇，朱丹，謝豐等.入侵異常檢測研究綜述[J].電子科技大學(xué)學(xué)報(bào)，2009，38（05）：587-592.

[2]Quinlan J R.Bagging， boosting， and C4.5[C].Proceedings of the National Conference on Artificial Intelligence.1996：725-730.

作者簡介

曲峰（1991-），男，山東省青島市人。大學(xué)本科學(xué)歷?，F(xiàn)中車青島四方機(jī)車車輛股份有限公司信息技術(shù)部基礎(chǔ)架構(gòu)組組長、工程師。研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)及信息安全。

作者單位

中車青島四方機(jī)車車輛股份有限公司 山東省青島市 266000endprint