基于隱馬爾科夫模型的移動(dòng)應(yīng)用端行為模式識(shí)別

1、基于隱馬爾科夫模型的挪動(dòng)應(yīng)用端行為形式識(shí)別摘要：隨著挪動(dòng)應(yīng)用的普及，作為惡意行為識(shí)別的根底，挪動(dòng)應(yīng)用端的行為形式分析也成為當(dāng)前研究熱點(diǎn)。本文創(chuàng)新地從系統(tǒng)環(huán)境數(shù)據(jù)入手，通過(guò)對(duì)系統(tǒng)多方面數(shù)據(jù)的監(jiān)控，建立隱馬爾可夫模型，使用該模型對(duì)后續(xù)行為產(chǎn)生的系統(tǒng)環(huán)境數(shù)據(jù)進(jìn)展隱馬爾科夫估值計(jì)算，從而實(shí)現(xiàn)對(duì)后續(xù)行為形式的識(shí)別，同時(shí)在后續(xù)識(shí)別過(guò)程中不斷優(yōu)化模型。本文通過(guò)實(shí)驗(yàn)證明該方式具有一定有效性，為挪動(dòng)應(yīng)用端行為形式識(shí)別提供了更多可能。Abstract： With the popularization of mobile applications， as the basis for recognition mali

2、cious behavior， behavior pattern analysis of mobile application terminal has bee a hotspot of current research. This paper， starting from system environmental data， and by monitoring many aspects of system data to establish Hidden Markov Model， uses this model to take hidden Markov valuation calcula

3、tion for the system environmental data generated by the subsequent behavior， so as to realize the recognition of subsequent behavior patterns. Meanwhile in the subsequent recognition process， the model has to be continuously optimized. Through experiments， it shows that the approach has some validit

4、y， in order to provide more possibilities for behavior pattern recognition of mobile application terminal.關(guān)鍵詞：挪動(dòng)應(yīng)用端；隱馬爾可夫模型；行為形式Key words： mobile application terminal；Hidden Markov Models；behavior pattern0 引言在挪動(dòng)設(shè)備迅速普及的今天，開(kāi)展挪動(dòng)平安性研究勢(shì)在必行。目前針對(duì)挪動(dòng)應(yīng)用端惡意行為檢測(cè)的方式主要是對(duì)挪動(dòng)應(yīng)用端的應(yīng)用程序進(jìn)展反編譯，分析其源碼是否存在于惡意行為代碼特征庫(kù)，以此作為評(píng)判標(biāo)

5、準(zhǔn)。但隨著惡意行為代碼特征庫(kù)的不斷增加會(huì)導(dǎo)致系統(tǒng)開(kāi)銷(xiāo)增大，檢測(cè)速度變慢。另外，隨著黑客們使用的代碼混淆技術(shù)的開(kāi)展，也使之可以逃避這種靜態(tài)分析手段1。因?yàn)槌绦虻倪\(yùn)行會(huì)造成系統(tǒng)環(huán)境數(shù)據(jù)變化，所以系統(tǒng)環(huán)境數(shù)據(jù)可以反映系統(tǒng)運(yùn)行情況。本文提出一種基于隱馬爾可夫模型的行為形式識(shí)別方式，通過(guò)對(duì)挪動(dòng)應(yīng)用端系統(tǒng)運(yùn)行環(huán)境的CPU使用率、內(nèi)存使用率、進(jìn)程數(shù)、效勞數(shù)、流量數(shù)監(jiān)測(cè)獲得時(shí)間序列數(shù)據(jù)，對(duì)特定行為進(jìn)展隱馬爾科夫建模，以待測(cè)行為的時(shí)間序列與特定的模型之間相似度為評(píng)判標(biāo)準(zhǔn)，并在每次評(píng)判之后優(yōu)化模型2。該方法目的在于有效識(shí)別行為形式，對(duì)挪動(dòng)端惡意行為分析的后續(xù)研究提供前提，豐富了行為檢測(cè)的手段，具有一定的實(shí)用價(jià)值。

6、1 馬爾可夫模型介紹2 隱馬爾可夫模型介紹2.1 隱馬爾可夫模型在馬爾可夫模型中，每一個(gè)狀態(tài)代表一個(gè)可觀察的事件。而在隱馬爾科夫模型中觀察到的事件是狀態(tài)的隨機(jī)函數(shù)，因此隱馬爾科夫模型是一雙重隨機(jī)過(guò)程，其中狀態(tài)轉(zhuǎn)移過(guò)程是不可觀察的，而可觀察的事件的隨機(jī)過(guò)程是隱蔽的狀態(tài)轉(zhuǎn)換過(guò)程的隨機(jī)函數(shù)一般隨機(jī)過(guò)程3。對(duì)于一個(gè)隨機(jī)事件，有一觀察值序列：O=O1，O2，Ot，該事件隱含著一個(gè)狀態(tài)序列：Q=q1，q2，qt。2.2 隱馬爾科夫模型使用前提假設(shè)1：馬爾可夫性假設(shè)狀態(tài)構(gòu)成一階馬爾可夫鏈Pqi|qi-1q1=Pqi|qi-1假設(shè)2：不動(dòng)性假設(shè)狀態(tài)與詳細(xì)時(shí)間無(wú)關(guān)Pqi+1|qi=Pqj+1|qj，對(duì)任意i，j

7、成立。假設(shè)3：輸出獨(dú)立性假設(shè)輸出僅與當(dāng)前狀態(tài)有關(guān)PO1，OT|q1，qT=POt|qt隱馬爾科夫模型在解決實(shí)際問(wèn)題的過(guò)程中，需要事先知道從前一個(gè)狀態(tài)St-1，進(jìn)入當(dāng)前狀態(tài)St的概率PSt|St-1，也稱為轉(zhuǎn)移概率，和每個(gè)狀態(tài)St產(chǎn)生相應(yīng)輸出符號(hào)Ot的概率POt|St，也稱為發(fā)射概率。描繪它的數(shù)學(xué)表達(dá)式為：=N，M，A，B，下面對(duì)各個(gè)參數(shù)逐一描繪：N表示隱狀態(tài)S的個(gè)數(shù)，其取值為S1，S2，SN，M表示顯狀態(tài)O的個(gè)數(shù)，其取值為O1，O2，ON，2.3 隱馬爾科夫可以解決的三個(gè)問(wèn)題評(píng)估問(wèn)題：一個(gè)顯狀態(tài)序列O=O1，O2，ON，并且有確定的=N，M，A，B，組成的HMM參數(shù)，求發(fā)生此顯狀態(tài)的概率PO|

8、HMM有效的解決算法是前向算法。解碼問(wèn)題：在己知一個(gè)顯狀態(tài)序列O=O1，O2，ON，并且有確定的=N，M，A，B，組成的HMM參數(shù)，求解最有可能產(chǎn)生此顯狀態(tài)序列的隱狀態(tài)序列S。較為有效的解決方法是Viterbi算法。 優(yōu)化問(wèn)題：在己知一個(gè)顯狀態(tài)序列O=O1，O2，ON，通過(guò)對(duì)參數(shù)N，M，A，B，的修正，使得發(fā)生此顯狀態(tài)的概率PO|HMM最大，有效解決算法是Baum-Welsh算法4，5。3 基于隱馬爾科夫的挪動(dòng)應(yīng)用端行為形式識(shí)別本文通過(guò)對(duì)挪動(dòng)應(yīng)用端的下載，看視頻，打 ，聊微信、QQ，視頻通訊，網(wǎng)絡(luò)語(yǔ)音通訊，衛(wèi)星導(dǎo)航及混合行為下這8個(gè)特定行為進(jìn)展監(jiān)控，抽樣出大量時(shí)間數(shù)據(jù)序列，對(duì)每一個(gè)時(shí)間序列進(jìn)展

9、歸一化處理，綜合多方面歸一化結(jié)果給出對(duì)應(yīng)編碼序列，以此建立出不同行為的隱馬爾可夫模型，對(duì)于待識(shí)別的時(shí)間序列進(jìn)展隱馬爾可夫模型的估值計(jì)算，即相似度計(jì)算。取相似度計(jì)算值最大所對(duì)應(yīng)的隱馬爾科夫模型的行為形式作為待識(shí)別序列的行為形式判別結(jié)果。同時(shí)使用該待測(cè)序列對(duì)其所匹配的隱馬爾可夫模型進(jìn)展優(yōu)化，以便進(jìn)步之后識(shí)別準(zhǔn)確率。3.1 獲取時(shí)間序列本文以Android平臺(tái)為例，獲取運(yùn)行環(huán)境的CPU使用率、內(nèi)存使用率、進(jìn)程數(shù)、效勞數(shù)、流量使用情況等五方面信息的時(shí)間序列。詳細(xì)實(shí)現(xiàn)是在固定時(shí)間間隔，通過(guò)平臺(tái)API調(diào)用訪問(wèn)和解析相關(guān)系統(tǒng)文件來(lái)獲取Android平臺(tái)運(yùn)行環(huán)境的CPU使用率、內(nèi)存使用率、進(jìn)程數(shù)量、效勞數(shù)量、

10、流量數(shù)等信息6，7。3.2 時(shí)間序列歸一化處理及綜合編碼對(duì)每一個(gè)時(shí)間序列進(jìn)展歸一化處理8，使其平均分配在0，1上5個(gè)均分區(qū)間內(nèi)事實(shí)上均分區(qū)間數(shù)目越多越能反映真實(shí)的波動(dòng)趨勢(shì)，但考慮到編碼復(fù)雜度，本文選擇歸一化區(qū)間為5個(gè)均等分。并為其分配1，2，3，4，5的標(biāo)識(shí)，由此可以得到每個(gè)時(shí)間序列的波動(dòng)趨勢(shì)。同時(shí)為了綜合多方面信息考慮，可以對(duì)多類(lèi)時(shí)間序列的歸一化標(biāo)識(shí)進(jìn)展編碼，本文研究了CPU、內(nèi)存、進(jìn)程數(shù)、效勞數(shù)、流量數(shù)這5類(lèi)序列，所以可以產(chǎn)生55=25種編碼，分別用A，B，CV，W，X25個(gè)字母表示。以編碼的序列結(jié)果作為隱馬爾可夫模型輸入序列，然后以此建立出不同行為的隱馬爾可夫模型，對(duì)于待識(shí)別的時(shí)間序列進(jìn)

11、展隱馬爾可夫相似度計(jì)算。3.3 隱馬爾可夫模型初始化及訓(xùn)練本文HMM模型初始參數(shù)設(shè)置為：=N，M，A，B，其中，N=8八個(gè)隱狀態(tài)，即本文考慮的7個(gè)行為外加一個(gè)混合行為，M=25可能出現(xiàn)的25種顯狀態(tài)，即輸入的編碼序列所能看到的25個(gè)碼元狀態(tài)，根據(jù)對(duì)實(shí)驗(yàn)數(shù)據(jù)各狀態(tài)轉(zhuǎn)換頻率占比的統(tǒng)計(jì)，可以設(shè)置A為：而B(niǎo)由于是在25個(gè)顯狀態(tài)時(shí)背后所處的8個(gè)隱狀態(tài)概率，所以可以暫且設(shè)置元素為1/25=0.04的25階矩陣：分別使用3.2節(jié)獲得的7種行為和1種在混合行為下所監(jiān)控得到的歸一化序列作為上述初始化模型的輸入值，分別訓(xùn)練可以得到8個(gè)隱馬爾科夫模型，分別用、來(lái)表示。3.4 行為形式識(shí)別對(duì)于待識(shí)別的行為形式，仍然是

12、按照3.2節(jié)的方式產(chǎn)生隱馬爾科夫模型的輸入序列。計(jì)算該待測(cè)序列與3.3節(jié)訓(xùn)練出的8個(gè)隱馬爾科夫模型之間的相似度，即2.3.1所述參數(shù)評(píng)估問(wèn)題。取8個(gè)相似度中最大值所對(duì)應(yīng)的隱馬爾科夫模型的行為形式作為該待測(cè)序列的識(shí)別結(jié)果。為了每一次識(shí)別的準(zhǔn)確性，本文還采取了隱馬爾可夫模型的優(yōu)化處理。詳細(xì)方式：在每一次識(shí)別后，使用待測(cè)序列去更新其對(duì)應(yīng)的隱馬爾科夫模型參數(shù)，即2.3.3節(jié)所述模型優(yōu)化問(wèn)題。圖1是隱馬爾科夫訓(xùn)練模型的流程。4 實(shí)驗(yàn)以及結(jié)果為了對(duì)本文方法的有效性驗(yàn)證，依次在下載，看視頻，打 ，聊微信、QQ，視頻通訊，網(wǎng)絡(luò)語(yǔ)音通訊，衛(wèi)星導(dǎo)航及混合行為下這8個(gè)特定行為下分別抽樣2萬(wàn)條長(zhǎng)度為10個(gè)抽樣點(diǎn)的時(shí)間

13、序列，共計(jì)16萬(wàn)數(shù)據(jù)樣本。實(shí)驗(yàn)將每個(gè)行為獲取的2萬(wàn)條時(shí)間序列中前一萬(wàn)條用于模型訓(xùn)練，第一次實(shí)驗(yàn)用前一萬(wàn)條進(jìn)展行為識(shí)別，第二次用后一萬(wàn)條進(jìn)展行為識(shí)別，取兩次實(shí)驗(yàn)準(zhǔn)確率的平均值作為最終準(zhǔn)確率。同時(shí)使用一樣的實(shí)驗(yàn)樣本，依托支持向量機(jī)SVM模型對(duì)同樣的8個(gè)特定行為進(jìn)展識(shí)別，將本文方法準(zhǔn)確率與其結(jié)果作為比對(duì)，由表1可以看到本文方法除聊微信、QQ和混合行為形式判別的準(zhǔn)確率低于SVM方法之外，其他行為形式識(shí)別都較SVM方法的準(zhǔn)確率有明顯進(jìn)步，所以本文提出的行為形式識(shí)別方式具有一定有效性。5 小結(jié)本文給出了一種基于隱馬爾科夫模型的行為形式識(shí)別方式，進(jìn)展實(shí)驗(yàn)，通過(guò)該方法和SVM方法結(jié)果比對(duì)可以看出該方法具有一定

14、的有效性，但在聊微信、QQ和混合行為形式判別準(zhǔn)確率上要低于SVM方法，這一點(diǎn)也是后續(xù)研究要解決的問(wèn)題。由于本文旨在提出一種可行性方法，所以實(shí)驗(yàn)中對(duì)特性行為的選取還有待進(jìn)一步斟酌與研究。本文以Android平臺(tái)的監(jiān)控?cái)?shù)據(jù)為例，但該方法同樣適用于其他操作系統(tǒng)的挪動(dòng)應(yīng)用端行為形式識(shí)別中。參考文獻(xiàn)：1周正，劉毅，李建，等.計(jì)算機(jī)抗惡意代碼免疫模型J.計(jì)算機(jī)工程，2022，3417：7-9.2曹凱，于善義，于少偉.基于多隱馬爾可夫模型的車(chē)輛機(jī)動(dòng)行為識(shí)別與預(yù)測(cè)J.信息與控制，2022，434：506-512.3王相海，叢志環(huán)，方玲玲，等.混合種群多樣性自適應(yīng)遺傳操作的HMM訓(xùn)練模型J.計(jì)算機(jī)研究與開(kāi)展，2022，518：1833-1844.4張?jiān)鲢y，元昌安，胡建軍，等.基于GEP和Baum-Welch算法訓(xùn)練HMM模型的研究J.計(jì)算機(jī)工程與設(shè)計(jì)，2022，319：2027-2029.5劉云冰.基于HMM的說(shuō)話人識(shí)別中下溢問(wèn)題的修正J.微計(jì)算機(jī)信息，2022.6Bose，A， Hu，X.， Shin， K.G.， Park，T. Behavioral detection of malware on mobile handsets. 2022.ACM.7Enck W，Ongtang M， McDaniel P. On