基于隱馬爾科夫模型的移動應(yīng)用端行為模式識別

1、基于隱馬爾科夫模型的挪動應(yīng)用端行為形式識別摘要：隨著挪動應(yīng)用的普及，作為惡意行為識別的根底，挪動應(yīng)用端的行為形式分析也成為當(dāng)前研究熱點(diǎn)。本文創(chuàng)新地從系統(tǒng)環(huán)境數(shù)據(jù)入手，通過對系統(tǒng)多方面數(shù)據(jù)的監(jiān)控，建立隱馬爾可夫模型，使用該模型對后續(xù)行為產(chǎn)生的系統(tǒng)環(huán)境數(shù)據(jù)進(jìn)展隱馬爾科夫估值計(jì)算，從而實(shí)現(xiàn)對后續(xù)行為形式的識別，同時(shí)在后續(xù)識別過程中不斷優(yōu)化模型。本文通過實(shí)驗(yàn)證明該方式具有一定有效性，為挪動應(yīng)用端行為形式識別提供了更多可能。Abstract： With the popularization of mobile applications， as the basis for recognition mali

2、cious behavior， behavior pattern analysis of mobile application terminal has bee a hotspot of current research. This paper， starting from system environmental data， and by monitoring many aspects of system data to establish Hidden Markov Model， uses this model to take hidden Markov valuation calcula

3、tion for the system environmental data generated by the subsequent behavior， so as to realize the recognition of subsequent behavior patterns. Meanwhile in the subsequent recognition process， the model has to be continuously optimized. Through experiments， it shows that the approach has some validit

4、y， in order to provide more possibilities for behavior pattern recognition of mobile application terminal.關(guān)鍵詞：挪動應(yīng)用端；隱馬爾可夫模型；行為形式Key words： mobile application terminal；Hidden Markov Models；behavior pattern0 引言在挪動設(shè)備迅速普及的今天，開展挪動平安性研究勢在必行。目前針對挪動應(yīng)用端惡意行為檢測的方式主要是對挪動應(yīng)用端的應(yīng)用程序進(jìn)展反編譯，分析其源碼是否存在于惡意行為代碼特征庫，以此作為評判標(biāo)

5、準(zhǔn)。但隨著惡意行為代碼特征庫的不斷增加會導(dǎo)致系統(tǒng)開銷增大，檢測速度變慢。另外，隨著黑客們使用的代碼混淆技術(shù)的開展，也使之可以逃避這種靜態(tài)分析手段1。因?yàn)槌绦虻倪\(yùn)行會造成系統(tǒng)環(huán)境數(shù)據(jù)變化，所以系統(tǒng)環(huán)境數(shù)據(jù)可以反映系統(tǒng)運(yùn)行情況。本文提出一種基于隱馬爾可夫模型的行為形式識別方式，通過對挪動應(yīng)用端系統(tǒng)運(yùn)行環(huán)境的CPU使用率、內(nèi)存使用率、進(jìn)程數(shù)、效勞數(shù)、流量數(shù)監(jiān)測獲得時(shí)間序列數(shù)據(jù)，對特定行為進(jìn)展隱馬爾科夫建模，以待測行為的時(shí)間序列與特定的模型之間相似度為評判標(biāo)準(zhǔn)，并在每次評判之后優(yōu)化模型2。該方法目的在于有效識別行為形式，對挪動端惡意行為分析的后續(xù)研究提供前提，豐富了行為檢測的手段，具有一定的實(shí)用價(jià)值。

6、1 馬爾可夫模型介紹2 隱馬爾可夫模型介紹2.1 隱馬爾可夫模型在馬爾可夫模型中，每一個狀態(tài)代表一個可觀察的事件。而在隱馬爾科夫模型中觀察到的事件是狀態(tài)的隨機(jī)函數(shù)，因此隱馬爾科夫模型是一雙重隨機(jī)過程，其中狀態(tài)轉(zhuǎn)移過程是不可觀察的，而可觀察的事件的隨機(jī)過程是隱蔽的狀態(tài)轉(zhuǎn)換過程的隨機(jī)函數(shù)一般隨機(jī)過程3。對于一個隨機(jī)事件，有一觀察值序列：O=O1，O2，Ot，該事件隱含著一個狀態(tài)序列：Q=q1，q2，qt。2.2 隱馬爾科夫模型使用前提假設(shè)1：馬爾可夫性假設(shè)狀態(tài)構(gòu)成一階馬爾可夫鏈Pqi|qi-1q1=Pqi|qi-1假設(shè)2：不動性假設(shè)狀態(tài)與詳細(xì)時(shí)間無關(guān)Pqi+1|qi=Pqj+1|qj，對任意i，j

7、成立。假設(shè)3：輸出獨(dú)立性假設(shè)輸出僅與當(dāng)前狀態(tài)有關(guān)PO1，OT|q1，qT=POt|qt隱馬爾科夫模型在解決實(shí)際問題的過程中，需要事先知道從前一個狀態(tài)St-1，進(jìn)入當(dāng)前狀態(tài)St的概率PSt|St-1，也稱為轉(zhuǎn)移概率，和每個狀態(tài)St產(chǎn)生相應(yīng)輸出符號Ot的概率POt|St，也稱為發(fā)射概率。描繪它的數(shù)學(xué)表達(dá)式為：=N，M，A，B，下面對各個參數(shù)逐一描繪：N表示隱狀態(tài)S的個數(shù)，其取值為S1，S2，SN，M表示顯狀態(tài)O的個數(shù)，其取值為O1，O2，ON，2.3 隱馬爾科夫可以解決的三個問題評估問題：一個顯狀態(tài)序列O=O1，O2，ON，并且有確定的=N，M，A，B，組成的HMM參數(shù)，求發(fā)生此顯狀態(tài)的概率PO|

8、HMM有效的解決算法是前向算法。解碼問題：在己知一個顯狀態(tài)序列O=O1，O2，ON，并且有確定的=N，M，A，B，組成的HMM參數(shù)，求解最有可能產(chǎn)生此顯狀態(tài)序列的隱狀態(tài)序列S。較為有效的解決方法是Viterbi算法。 優(yōu)化問題：在己知一個顯狀態(tài)序列O=O1，O2，ON，通過對參數(shù)N，M，A，B，的修正，使得發(fā)生此顯狀態(tài)的概率PO|HMM最大，有效解決算法是Baum-Welsh算法4，5。3 基于隱馬爾科夫的挪動應(yīng)用端行為形式識別本文通過對挪動應(yīng)用端的下載，看視頻，打 ，聊微信、QQ，視頻通訊，網(wǎng)絡(luò)語音通訊，衛(wèi)星導(dǎo)航及混合行為下這8個特定行為進(jìn)展監(jiān)控，抽樣出大量時(shí)間數(shù)據(jù)序列，對每一個時(shí)間序列進(jìn)展

9、歸一化處理，綜合多方面歸一化結(jié)果給出對應(yīng)編碼序列，以此建立出不同行為的隱馬爾可夫模型，對于待識別的時(shí)間序列進(jìn)展隱馬爾可夫模型的估值計(jì)算，即相似度計(jì)算。取相似度計(jì)算值最大所對應(yīng)的隱馬爾科夫模型的行為形式作為待識別序列的行為形式判別結(jié)果。同時(shí)使用該待測序列對其所匹配的隱馬爾可夫模型進(jìn)展優(yōu)化，以便進(jìn)步之后識別準(zhǔn)確率。3.1 獲取時(shí)間序列本文以Android平臺為例，獲取運(yùn)行環(huán)境的CPU使用率、內(nèi)存使用率、進(jìn)程數(shù)、效勞數(shù)、流量使用情況等五方面信息的時(shí)間序列。詳細(xì)實(shí)現(xiàn)是在固定時(shí)間間隔，通過平臺API調(diào)用訪問和解析相關(guān)系統(tǒng)文件來獲取Android平臺運(yùn)行環(huán)境的CPU使用率、內(nèi)存使用率、進(jìn)程數(shù)量、效勞數(shù)量、

10、流量數(shù)等信息6，7。3.2 時(shí)間序列歸一化處理及綜合編碼對每一個時(shí)間序列進(jìn)展歸一化處理8，使其平均分配在0，1上5個均分區(qū)間內(nèi)事實(shí)上均分區(qū)間數(shù)目越多越能反映真實(shí)的波動趨勢，但考慮到編碼復(fù)雜度，本文選擇歸一化區(qū)間為5個均等分。并為其分配1，2，3，4，5的標(biāo)識，由此可以得到每個時(shí)間序列的波動趨勢。同時(shí)為了綜合多方面信息考慮，可以對多類時(shí)間序列的歸一化標(biāo)識進(jìn)展編碼，本文研究了CPU、內(nèi)存、進(jìn)程數(shù)、效勞數(shù)、流量數(shù)這5類序列，所以可以產(chǎn)生55=25種編碼，分別用A，B，CV，W，X25個字母表示。以編碼的序列結(jié)果作為隱馬爾可夫模型輸入序列，然后以此建立出不同行為的隱馬爾可夫模型，對于待識別的時(shí)間序列進(jìn)

11、展隱馬爾可夫相似度計(jì)算。3.3 隱馬爾可夫模型初始化及訓(xùn)練本文HMM模型初始參數(shù)設(shè)置為：=N，M，A，B，其中，N=8八個隱狀態(tài)，即本文考慮的7個行為外加一個混合行為，M=25可能出現(xiàn)的25種顯狀態(tài)，即輸入的編碼序列所能看到的25個碼元狀態(tài)，根據(jù)對實(shí)驗(yàn)數(shù)據(jù)各狀態(tài)轉(zhuǎn)換頻率占比的統(tǒng)計(jì)，可以設(shè)置A為：而B由于是在25個顯狀態(tài)時(shí)背后所處的8個隱狀態(tài)概率，所以可以暫且設(shè)置元素為1/25=0.04的25階矩陣：分別使用3.2節(jié)獲得的7種行為和1種在混合行為下所監(jiān)控得到的歸一化序列作為上述初始化模型的輸入值，分別訓(xùn)練可以得到8個隱馬爾科夫模型，分別用、來表示。3.4 行為形式識別對于待識別的行為形式，仍然是

12、按照3.2節(jié)的方式產(chǎn)生隱馬爾科夫模型的輸入序列。計(jì)算該待測序列與3.3節(jié)訓(xùn)練出的8個隱馬爾科夫模型之間的相似度，即2.3.1所述參數(shù)評估問題。取8個相似度中最大值所對應(yīng)的隱馬爾科夫模型的行為形式作為該待測序列的識別結(jié)果。為了每一次識別的準(zhǔn)確性，本文還采取了隱馬爾可夫模型的優(yōu)化處理。詳細(xì)方式：在每一次識別后，使用待測序列去更新其對應(yīng)的隱馬爾科夫模型參數(shù)，即2.3.3節(jié)所述模型優(yōu)化問題。圖1是隱馬爾科夫訓(xùn)練模型的流程。4 實(shí)驗(yàn)以及結(jié)果為了對本文方法的有效性驗(yàn)證，依次在下載，看視頻，打 ，聊微信、QQ，視頻通訊，網(wǎng)絡(luò)語音通訊，衛(wèi)星導(dǎo)航及混合行為下這8個特定行為下分別抽樣2萬條長度為10個抽樣點(diǎn)的時(shí)間

13、序列，共計(jì)16萬數(shù)據(jù)樣本。實(shí)驗(yàn)將每個行為獲取的2萬條時(shí)間序列中前一萬條用于模型訓(xùn)練，第一次實(shí)驗(yàn)用前一萬條進(jìn)展行為識別，第二次用后一萬條進(jìn)展行為識別，取兩次實(shí)驗(yàn)準(zhǔn)確率的平均值作為最終準(zhǔn)確率。同時(shí)使用一樣的實(shí)驗(yàn)樣本，依托支持向量機(jī)SVM模型對同樣的8個特定行為進(jìn)展識別，將本文方法準(zhǔn)確率與其結(jié)果作為比對，由表1可以看到本文方法除聊微信、QQ和混合行為形式判別的準(zhǔn)確率低于SVM方法之外，其他行為形式識別都較SVM方法的準(zhǔn)確率有明顯進(jìn)步，所以本文提出的行為形式識別方式具有一定有效性。5 小結(jié)本文給出了一種基于隱馬爾科夫模型的行為形式識別方式，進(jìn)展實(shí)驗(yàn)，通過該方法和SVM方法結(jié)果比對可以看出該方法具有一定

14、的有效性，但在聊微信、QQ和混合行為形式判別準(zhǔn)確率上要低于SVM方法，這一點(diǎn)也是后續(xù)研究要解決的問題。由于本文旨在提出一種可行性方法，所以實(shí)驗(yàn)中對特性行為的選取還有待進(jìn)一步斟酌與研究。本文以Android平臺的監(jiān)控?cái)?shù)據(jù)為例，但該方法同樣適用于其他操作系統(tǒng)的挪動應(yīng)用端行為形式識別中。參考文獻(xiàn)：1周正，劉毅，李建，等.計(jì)算機(jī)抗惡意代碼免疫模型J.計(jì)算機(jī)工程，2022，3417：7-9.2曹凱，于善義，于少偉.基于多隱馬爾可夫模型的車輛機(jī)動行為識別與預(yù)測J.信息與控制，2022，434：506-512.3王相海，叢志環(huán)，方玲玲，等.混合種群多樣性自適應(yīng)遺傳操作的HMM訓(xùn)練模型J.計(jì)算機(jī)研究與開展，2022，518：1833-1844.4張?jiān)鲢y，元昌安，胡建軍，等.基于GEP和Baum-Welch算法訓(xùn)練HMM模型的研究J.計(jì)算機(jī)工程與設(shè)計(jì)，2022，319：2027-2029.5劉云冰.基于HMM的說話人識別中下溢問題的修正J.微計(jì)算機(jī)信息，2022.6Bose，A， Hu，X.， Shin， K.G.， Park，T. Behavioral detection of malware on mobile handsets. 2022.ACM.7Enck W，Ongtang M， McDaniel P. On