智能手機(jī)惡意軟件檢測(cè)的變化感知方法版

分類(lèi)號(hào)TP311.1 密級(jí) UDC 編號(hào)10486碩 士 學(xué) 位 論 文智能手機(jī)惡意軟件檢測(cè)的變化感知方法eq\o\ad(研究生姓名,)：學(xué)號(hào)：指導(dǎo)教師姓名、職稱(chēng)：教授eq\o\ad(學(xué)科、專(zhuān)業(yè)名稱(chēng),)：計(jì)算機(jī)應(yīng)用技術(shù)eq\o\ad(研究方向,)：計(jì)算機(jī)免疫學(xué)二〇一二年五月鄭重聲明本人的學(xué)位論文是在導(dǎo)師指導(dǎo)下獨(dú)立撰寫(xiě)并完成的，學(xué)位論文沒(méi)有剽竊、抄襲、造假等違反學(xué)術(shù)道德、學(xué)術(shù)規(guī)范和侵權(quán)行為，否則，本人愿意承擔(dān)由此而產(chǎn)生的法律責(zé)任和法律后果，特此鄭重聲明。學(xué)位論文作者（簽名）：年月日摘要智能手機(jī)在近幾年中取得了突飛猛進(jìn)的發(fā)展，手機(jī)的功能越來(lái)越強(qiáng)大、普及率也越來(lái)越高。并且智能手機(jī)中存儲(chǔ)了大量的私人信息，與用戶(hù)的工作、生活、經(jīng)濟(jì)息息相關(guān)。因此，針對(duì)智能手機(jī)的惡意軟件攻擊也越來(lái)越多，惡意軟件的數(shù)量和種類(lèi)都在飛速增長(zhǎng)中。智能手機(jī)的安全面臨著嚴(yán)重威脅?，F(xiàn)有的智能手機(jī)惡意軟件檢測(cè)方法主要包括特征碼掃描法、啟發(fā)式方法和行為監(jiān)測(cè)法。這些傳統(tǒng)的檢測(cè)方法有一個(gè)共同的局限性：不具有自適應(yīng)性。另外，基于人工免疫系統(tǒng)的檢測(cè)方法，如樹(shù)突狀細(xì)胞算法，雖然具有一定的自適應(yīng)性，但是過(guò)于依賴(lài)人工經(jīng)驗(yàn)，自適應(yīng)性明顯不足。因此，為了解決現(xiàn)有檢測(cè)方法缺乏自適應(yīng)性的缺陷，本文引入了基于危險(xiǎn)理論的變化感知方法，通過(guò)尋找智能手機(jī)系統(tǒng)中的“變化”，即危險(xiǎn)信號(hào)，達(dá)到檢測(cè)惡意軟件的目的。本文構(gòu)建的基于變化感知的智能手機(jī)惡意軟件檢測(cè)模型由四個(gè)模塊構(gòu)成，分別是數(shù)據(jù)采集模塊、危險(xiǎn)信號(hào)生成模塊、共刺激信號(hào)生成模塊以及預(yù)警模塊。重點(diǎn)研究智能手機(jī)系統(tǒng)中危險(xiǎn)信號(hào)的生成以及危險(xiǎn)狀態(tài)的感知。在研究危險(xiǎn)信號(hào)的生成時(shí)，本文借鑒數(shù)學(xué)中描述函數(shù)變化規(guī)律的方法，用微分的概念描述智能手機(jī)系統(tǒng)中的“變化”，在此基礎(chǔ)上定義和表達(dá)危險(xiǎn)信號(hào)?？紤]到智能手機(jī)系統(tǒng)中數(shù)據(jù)的離散型，本文以數(shù)值微分為理論基礎(chǔ)，實(shí)現(xiàn)危險(xiǎn)信號(hào)的表達(dá)，并具體提出在智能手機(jī)系統(tǒng)中計(jì)算危險(xiǎn)信號(hào)的方法。在研究危險(xiǎn)狀態(tài)的感知時(shí)，本文借鑒機(jī)體免疫系統(tǒng)中抗原提呈細(xì)胞的功能和原理，構(gòu)建了人工抗原提呈細(xì)胞群體，用于識(shí)別、融合危險(xiǎn)信號(hào)，從零散、微觀(guān)的危險(xiǎn)信號(hào)中，提煉宏觀(guān)的系統(tǒng)狀態(tài)，實(shí)現(xiàn)危險(xiǎn)感知。文中探討了人工抗原提呈細(xì)胞的結(jié)構(gòu)、工作流程和生命周期，以及抗原提呈細(xì)胞上識(shí)別危險(xiǎn)信號(hào)的關(guān)鍵組件——Toll樣受體的作用、結(jié)構(gòu)和相關(guān)算法。最后，本文搭建了一個(gè)基于A(yíng)ndroid操作系統(tǒng)的實(shí)驗(yàn)平臺(tái)，完成了原型系統(tǒng)。以惡意軟件BgServ和SecretSMSReplicator為例，完成了四組實(shí)驗(yàn)。通過(guò)四組實(shí)驗(yàn)結(jié)果的對(duì)比和分析，驗(yàn)證了本文構(gòu)建的模型能夠發(fā)現(xiàn)惡意軟件，具有有效性。另外，不同的惡意軟件運(yùn)行時(shí)，危險(xiǎn)信號(hào)和Toll樣受體的類(lèi)別、數(shù)量有所不同，能夠自適應(yīng)地隨系統(tǒng)狀態(tài)的變化而變化，驗(yàn)證了本文構(gòu)建的模型具有自適應(yīng)性。關(guān)鍵詞：智能手機(jī)；惡意軟件檢測(cè)；危險(xiǎn)理論；變化感知

ABSTRACTRecentyears,smartphoneshaveachievedrapiddevelopment.Thefunctionofthesmartphoneshasbecomemoreandmorepowerful,andthepenetrationratehasalsobeenhigherandhigher.Alargenumberofpersonalinformationisstoredinsmartphones,whicharecloselyrelatedwithusers’work,economyandpersonallife.Therefore,thenumberofattacksaimedatsmartphonesisgrowingrapidly,andtheamountandvarietyofmalicioussoftwarearealsogrowingfast.Thesecurityofsmartphonesisfacingseriousthreat.Existingmalwaredetectionmethodsincludethesignaturescanningmethod,theheuristicmethodandthebehaviormonitoringmethod.Thesetraditionaldetectionmethodshaveacommonlimitation:lackofselfadaptability.Inaddition,methodsbasedonartificialimmunesystem,suchasdendriticcellsalgorithm,althoughhascertainselfadaptability,butisnotenough.Therefore,inordertoresolvethedefectsoflackofselfadaptabilityofcurrentdetectionmethods,thispaperintroducesthechangesensedmethodbasedondangertheorytolookforchangesthatmakethesmartphonesystemabnormal,toachievethepurposeofdetectingsmartphonemalware.Thispaperbuildsamalwaredetectionmodelbasedonthechangesensedmethod,whichfocusonthedeliveryofdangersignalandtheperceptionofthedangerousstate.Thismodelisconsistedbyfourmodules,includingthedatacollectionmodule,thedangersignalgenerationmodule,thesimulatesignalgenerationmoduleandthewarningmodule.Differentialisaconceptioninmathematics,whichisusedtodescribethechangesofafunction.Inthispaper,Differentialwasalsousedtodescribethechangesofthesmartphonesystemsandthechangesofsmartphonesystemswaredefinedasdangersignals.Forthedatainasmartphonesystemarediscrete,NumericalDifferentiationwastakenasthetheoreticbasis.Refertothefunctionandprincipleoftheantigenpresentingcells,artificialpresentingcellswarebuildinthispaper.Thefunctionofartificialpresentingcellsweredetectingandfusingdangersignals,abstractingmacroscopicallysystemstatesfrommacrocosmicdangersignalsandrealizingdangerapperceive.Thestructureandlifecycleofartificialantigenpresentingcells,especiallythefunction,structureandrelativealgorithmsoftheTolllikeReceptorswhicharethekeypartofartificialantigenpresentingcellswerediscussedinthispaper.Finally,thispapersetsupanexperimentalplatformbasedonAndroidsystem,andfulfillsaprototypesystemonthisplatform.Intheexperiment,theTrojanprogramBgServandtheSecretSMSReplicatorareusedassmartphonemalwaresamples.Therearefourgroupsofexperimentsintotal.Throughcontrastandanalysisoftheexperimentalresults,wefoundthatthemalwarecouldbedetectedbythismodel,sothevalidityofthismodelwasproved.WiththeanalysisofcompositionofTolllikeReceptorsofdifferentmalware,wefoundthatthecompositionoftheTolllikeReceptorsandthecategoriesofdangersignalschangewiththestateofthesystem,whichprovedthatthemodeldesignedbythispaperisselfadaptive.Keywords:SmartPhones;MaliciousSoftwareDetection;DangerTheory;ChangeSensedMethod目錄TOC\o"1-3"\u摘要 圖510所示，在SecretSMSReplicator組中，剛開(kāi)始計(jì)算時(shí)，TLR均勻分布。計(jì)算完畢后，TLR的分布發(fā)生了較大變化。其中，數(shù)量最多的前3個(gè)TLR受體分別是：mem（RAM內(nèi)存使用率）、cpu（CPU使用率）、sms（短信發(fā)送頻率）。這是由于SecretSMSReplicator每發(fā)現(xiàn)手機(jī)接收到一條短信，都會(huì)調(diào)用短信發(fā)送API，將該短信秘密轉(zhuǎn)發(fā)給監(jiān)控手機(jī)，在這個(gè)過(guò)程中，對(duì)內(nèi)存以及CPU的消耗較大。因此，對(duì)于安裝了SecretSMSReplicator的手機(jī)，在接收到短信的瞬間，內(nèi)存占用率以及CPU占用率的變化非常明顯。同時(shí)，SMS的發(fā)送頻率也有小幅變動(dòng)。因此，在計(jì)算過(guò)程中，識(shí)別mem、cpu、sms的TLR受體被保留，數(shù)量增多，其它受體被淘汰，數(shù)量減少。綜上，APC群體會(huì)隨著當(dāng)前的系統(tǒng)的不同狀態(tài)進(jìn)行自適應(yīng)調(diào)整，能識(shí)別當(dāng)前系統(tǒng)狀態(tài)中危險(xiǎn)信號(hào)的TLR受體的比例增多，識(shí)別不到危險(xiǎn)信號(hào)的TLR受體比例降低。因此，對(duì)于不同的惡意軟件，以及同一軟件運(yùn)行的不同階段，TLR受體的分布也不相同。由此可以證明本文設(shè)計(jì)的模型在檢測(cè)惡意軟件方面具有自適應(yīng)性。誤差分析按照實(shí)驗(yàn)預(yù)期，正常數(shù)據(jù)理論上不會(huì)引起報(bào)警，但本實(shí)驗(yàn)觀(guān)察到若干次報(bào)警。對(duì)誤差的分析如下：Normal組在產(chǎn)生報(bào)警時(shí)，報(bào)警的原因各不相同，無(wú)規(guī)律可循，這說(shuō)明Normal組報(bào)警不是由某一特定事件引起的。SMS&Call組在產(chǎn)生報(bào)警時(shí)，報(bào)警數(shù)量最多的3個(gè)TLR分別是call（電話(huà)撥出頻率）、cpu（CPU使用率）、sms（短信發(fā)送頻率），這是由于在該組實(shí)驗(yàn)中，運(yùn)行了短信發(fā)送程序以及電話(huà)撥打程序，導(dǎo)致指標(biāo)sms的TLR以及指標(biāo)call的TLR有少量報(bào)警。另外，由于運(yùn)行程序時(shí)CPU使用率增加，因此指標(biāo)cpu的TLR也有少量報(bào)警。初步分析，造成誤報(bào)警的主要原因有以下幾個(gè)：本文選用了9個(gè)指標(biāo)，另外，由于A(yíng)ndroid模擬器功能的限制，導(dǎo)致某些指標(biāo)的值是恒定的，不會(huì)發(fā)生變化（如電池電量），指標(biāo)量偏少應(yīng)該是造成誤差的主要原因。啟動(dòng)采集器的瞬間，對(duì)CPU的占用較為明顯，采集器運(yùn)行時(shí)也會(huì)占用一定的CPU資源；另外，采集器一邊運(yùn)行，一邊將采集到的數(shù)據(jù)保存到txt文件中，因此對(duì)手機(jī)的內(nèi)部存儲(chǔ)空間使用率也有一定影響。在運(yùn)行過(guò)程中，9個(gè)指標(biāo)的變化量都比較小，因此在變化基數(shù)較小的情況下，少量的隨機(jī)變化會(huì)被放大并凸顯出來(lái)。上述原因應(yīng)該是造成誤報(bào)的根源。但是，盡管存在誤報(bào)，參照組中的報(bào)警與真正有惡意軟件運(yùn)行時(shí)的報(bào)警還是有較大差異：首先，參照組報(bào)警率都較低，都在25%以?xún)?nèi)，而惡意軟件組報(bào)警率較高，都在45%以上。其次，參照組的報(bào)警TLR零散、不集中、無(wú)規(guī)律可循，而惡意軟件組的報(bào)警TLR比較集中，報(bào)警原因有規(guī)律可循。本章小結(jié)本章以?xún)煞NAndroid惡意軟件——感染了BgServ的“經(jīng)濟(jì)酒店預(yù)訂”以及SecretSMSReplicator為例，以運(yùn)行正常程序（發(fā)短信、打電話(huà)）和不運(yùn)行任何額外程序的智能手機(jī)系統(tǒng)為參照，驗(yàn)證了本文設(shè)計(jì)的基于變化感知的惡意軟件檢測(cè)模型的有效性以及自適應(yīng)性。實(shí)驗(yàn)結(jié)果證明，本文設(shè)計(jì)的模型可以發(fā)現(xiàn)智能手機(jī)中的惡意軟件，且在發(fā)現(xiàn)不同類(lèi)別的惡意軟件時(shí)，TLR受體的分布有明顯差異。根據(jù)TLR受體的類(lèi)型和比例分布，可以粗略判斷出惡意軟件的行為類(lèi)型和危害強(qiáng)度。在實(shí)驗(yàn)過(guò)程中，能識(shí)別某類(lèi)危險(xiǎn)信號(hào)的TLR受體比例提高，反之則下降。這說(shuō)明危險(xiǎn)信號(hào)的種類(lèi)和強(qiáng)度隨著系統(tǒng)狀態(tài)的不同而自適應(yīng)調(diào)整，進(jìn)而人工APC群體也隨之自適應(yīng)調(diào)整，驗(yàn)證了本文提出的模型具有較好的自適應(yīng)性。

總結(jié)及展望論文工作總結(jié)論文主要工作現(xiàn)有的智能手機(jī)惡意軟件檢測(cè)方法主要有特征碼掃描法、啟發(fā)式方法以及行為監(jiān)測(cè)法。對(duì)于這三類(lèi)方法，尤其是特征碼掃描法，有一個(gè)明顯的缺陷：不具有自適應(yīng)性，即系統(tǒng)無(wú)法通過(guò)自主的學(xué)習(xí)識(shí)別未知的惡意軟件，并且根據(jù)待檢測(cè)的軟件的不同，自動(dòng)調(diào)整內(nèi)部參數(shù)，以達(dá)到最佳的檢測(cè)效果。自適應(yīng)性對(duì)于應(yīng)付千變?nèi)f化、迅速增長(zhǎng)的惡意軟件攻擊來(lái)說(shuō)尤為重要。人工免疫系統(tǒng)是對(duì)生物免疫系統(tǒng)的借鑒，具有良好的自適應(yīng)性。其中，危險(xiǎn)理論是人工免疫系統(tǒng)中的一個(gè)研究分支，目前在危險(xiǎn)理論中研究得較多的是樹(shù)突狀細(xì)胞算法。但是樹(shù)突狀細(xì)胞算法在信號(hào)的選取、取值等方面帶有較重的人為操縱痕跡，雖然具有一定的自適應(yīng)性，但是自適應(yīng)性不足。本文主要針對(duì)現(xiàn)有的智能手機(jī)惡意軟件檢測(cè)方法缺乏自適應(yīng)性的問(wèn)題，做了以下工作：在分析現(xiàn)有的智能手機(jī)惡意軟件及其檢測(cè)方法的基礎(chǔ)之上，提出將基于危險(xiǎn)理論的變化感知方法引入智能手機(jī)的惡意軟件檢測(cè)，以解決現(xiàn)有方法缺乏自適應(yīng)性的問(wèn)題。構(gòu)建了一個(gè)基于變化感知的智能手機(jī)惡意軟件檢測(cè)模型。借鑒數(shù)學(xué)中用微分表示變化量、用導(dǎo)數(shù)表示變化率的思想，提出用微分的概念描述智能手機(jī)系統(tǒng)中的變化，給出危險(xiǎn)信號(hào)的定義?？紤]到智能手機(jī)系統(tǒng)中數(shù)據(jù)的離散型，本文借鑒數(shù)值微分的方法，實(shí)現(xiàn)危險(xiǎn)信號(hào)的表達(dá)，并具體提出在智能手機(jī)系統(tǒng)中計(jì)算危險(xiǎn)信號(hào)的方法。借鑒抗原提呈細(xì)胞融合危險(xiǎn)信號(hào)、感知危險(xiǎn)狀態(tài)的機(jī)理，設(shè)計(jì)了人工抗原提呈細(xì)胞。探討了人工抗原提呈細(xì)胞的體系結(jié)構(gòu)、工作流程，以及抗原提呈細(xì)胞的主要部件TLR受體的結(jié)構(gòu)及相關(guān)算法。通過(guò)人工抗原提呈細(xì)胞的激活、種群演化、群體判斷，實(shí)現(xiàn)危險(xiǎn)信號(hào)的識(shí)別、融合。自適應(yīng)地實(shí)現(xiàn)依據(jù)微觀(guān)的危險(xiǎn)信號(hào)，判定宏觀(guān)的系統(tǒng)危險(xiǎn)狀態(tài)，完成危險(xiǎn)感知。以Android操作系統(tǒng)為實(shí)驗(yàn)平臺(tái)，完成了基于變化感知的智能手機(jī)惡意軟件檢測(cè)原型系統(tǒng)。以惡意軟件BgServ和SecretSMSReplicator為例，通過(guò)四組實(shí)驗(yàn)數(shù)據(jù)對(duì)比，驗(yàn)證了文本設(shè)計(jì)的模型在檢測(cè)智能手機(jī)惡意軟件時(shí)的有效性以及自適應(yīng)性。論文創(chuàng)新點(diǎn)提出將變化感知方法引入智能手機(jī)的惡意軟件檢測(cè)。構(gòu)建了一個(gè)基于變化感知的智能手機(jī)惡意軟件檢測(cè)模型，以解決現(xiàn)有檢測(cè)方法缺乏自適應(yīng)性的問(wèn)題。借鑒微分和導(dǎo)數(shù)的原理，給出危險(xiǎn)信號(hào)的定義和計(jì)算方法。借鑒數(shù)值微分的方法法，提出通過(guò)求“微分”的方式，自適應(yīng)地提呈危險(xiǎn)信號(hào)。探討了智能手機(jī)系統(tǒng)中計(jì)算危險(xiǎn)信號(hào)的具體方法。借鑒機(jī)體抗原提呈細(xì)胞的結(jié)構(gòu)和工作原理，構(gòu)造人工抗原提呈細(xì)胞，實(shí)現(xiàn)危險(xiǎn)感知。通過(guò)人工抗原提呈細(xì)胞的演化、激活、群體效應(yīng)，實(shí)現(xiàn)危險(xiǎn)信號(hào)的識(shí)別、融合，以及共刺激信號(hào)的產(chǎn)生和淋巴細(xì)胞的激活。自適應(yīng)地依據(jù)微觀(guān)的危險(xiǎn)信號(hào)，判定宏觀(guān)的系統(tǒng)危險(xiǎn)狀態(tài)，實(shí)現(xiàn)危險(xiǎn)感知。下一步工作就本文的實(shí)驗(yàn)結(jié)果來(lái)看，還有許多問(wèn)題有待進(jìn)一步研究。實(shí)現(xiàn)參數(shù)的自適應(yīng)調(diào)整，提高系統(tǒng)自適應(yīng)性。從理論上看，人工抗原提呈細(xì)胞中的所有參數(shù)都可以自適應(yīng)調(diào)整。本文考慮到實(shí)驗(yàn)的實(shí)施難度問(wèn)題，暫時(shí)將部分參數(shù)改為人工隨機(jī)設(shè)置，這在一定程度上對(duì)模型的自適應(yīng)性有所影響。在后續(xù)的工作中，將繼續(xù)探討通過(guò)演化的方法自適應(yīng)調(diào)整相關(guān)參數(shù)。研究危險(xiǎn)信號(hào)的提取過(guò)程中噪聲的處理。智能手機(jī)系統(tǒng)的參數(shù)受外界干擾比較大，所能獲取的數(shù)據(jù)含較多噪聲，一定程度上影響到驗(yàn)證效果。為降低噪聲的干擾，本文的實(shí)例選取比較單一、實(shí)驗(yàn)過(guò)程過(guò)了適當(dāng)簡(jiǎn)化。后續(xù)研究中，如何處理危險(xiǎn)信號(hào)中的噪聲也是非常重要的一個(gè)問(wèn)題。豐富采集指標(biāo)，在智能手機(jī)真機(jī)上進(jìn)行實(shí)驗(yàn)。由于A(yíng)ndroid模擬器功能上的局限性，能夠采集到的指標(biāo)數(shù)量有限。并且很多惡意軟件在模擬器中運(yùn)行時(shí)，無(wú)法發(fā)揮出所有的惡意行為，一定程度上影響了實(shí)驗(yàn)的效果。后續(xù)研究中，可以考慮采集更多的指標(biāo)，并在智能手機(jī)真機(jī)上進(jìn)行實(shí)驗(yàn)，以獲取更準(zhǔn)確的實(shí)驗(yàn)結(jié)果。

參考文獻(xiàn)百度百科，智能手機(jī)的定義[EB/OL].:/view/535.htm,2012-3-1.TomiAhonen：2011年全球智能手機(jī)普及率已接近10%[EB/OL].:/archives/20268.html,2011-12-15.Canalys：2011年全球智能手機(jī)發(fā)貨量4.877億部，首次超過(guò)PC[EB/OL].:/archives/23447.html,2012-2-4.Gartner預(yù)計(jì)2012年智能手機(jī)出貨量將增長(zhǎng)39%[EB/OL].:/info/article-2900364.html,2012-2-16.2011年中國(guó)便攜消費(fèi)電子產(chǎn)品調(diào)查報(bào)告[EB/OL].:/221/2213539.html,2011-3-21.百度百科，惡意軟件的定義[EB/OL].:/view/362867.htm,2011-3-29:A.-D.Schmidt,DetectionofSmartphoneMalware[D].Berlin:TechnicalUniversity,2011.A.-D.Schmidt,H.-G.Schmidt,L.Batyuk,J.H.Clausen,S.A.Camtepe,andS.Albayrak,C.Yildizli.SmartphoneMalwareEvolutionRevisited:AndroidNextTarget?[A].In:MaliciousandUnwantedSoftware(MALWARE)[C].2009:1-7.C.R.Mulliner.SecurityofSmartPhones[D].SantaBarbara:UniversityofCalifornia,2006:手機(jī)上的威脅——手機(jī)惡意軟件在2011年激增六倍[EB/OL].:/KL-AboutUs/news2012/03n/120301a.htm,2012-3-1.MobileMalwareEvolution,Part5[EB/OL].:/en/analysis/204792222/Mobile_Malware_Evolution_Part_5,2012:N.Idika,A.P.Mathur.ASurveyofMalwareDetectionTechniques[R].WestLafayette:PurdueUniversity,2007.張瑞武，夏靖波，簡(jiǎn)曉紅等.一種基于免疫原理的動(dòng)態(tài)入侵檢測(cè)模型[J].計(jì)算機(jī)工程,2007,33(1):28-30.EmailEvolution:Web-basedEmailShowsSignsofDeclineintheU.S.WhileMobileEmailUsageontheRise[EB/OL].:/Press_Events/Press_Releases/2011/1/Web-based_Email_Shows_Signs_of_Decline_in_the_U.S._While_Mobile_Email_Usage_on_the_Rise,2011.J.Gritzbach,P.Odenhal,P.Zahrednicek.HowtoDetectUnknownComputerVirusesUsingHeuristicAnalysis[EB/OL].:/unique/wpheur.doc,1998.D.Copley.Anti-VirusHeuristics[R].Beijing:Xcon2005,2005.P.Szor.TheArtofComputerVirusResearchandDefense[M].Boston:Addison-WesleyProfessional,2005:Chapter11.S.Sathyanarayan,P.Kohli,B.Bruhadeshwar.Signaturegenerationanddetectionofmalwarefamilies[A].In:ACISP2008[C].2008:336-349.S.B.Mehdi,A.K.Tanwani,M.Farooq.IMAD:In-ExecutionMalwareAnalysisandDetection[A].In:Proceedingsofthe11thAnnualConferenceonGeneticandEvolutionaryComputation[C].NewYork:ACM,2009:1553-1560.M.M.Sebring,E.Shellhouse,M.E.Hanna,R.A.Whitehurst.Expertsysteminintrusiondetection:Acasestudy[A].In:Proceedingsofthe11thNationalComputerSecurityConference[C].Baltimore:Maryland.1988:74-81.I.M.Roitt,P.J.Delves著,丁桂鳳主譯.Roitt免疫學(xué)基礎(chǔ)[M].北京:高等教育出版社,2004.D.Dasgupta,S.Forrest.ArtificialImmuneSystemsinIndustrialApplications[A].In:ProceedingsoftheIPMM’99[C].Honolulu:USA,1999:257-267.P.Matzinger.Tolerance,Danger,andtheExtendedFamily[A].In:AnnualReviewofImmunology[C].1994:991-1045.U.Aickelin,S.Cayzer.TheDangerTheoryandItsApplicationtoArtificialImmuneSystems[A].In:Proceedingsofthe1stInternationalConferenceonArtificialImmuneSystems[C].Canterbufy:UniversityofKent,2002:141-148.J.Greensmith,U.Aickelin,S.Cayzer.IntroducingDendriticCellsasaNovelImmune-InspiredAlgorithmforAnomalyDetection[A].In:C.Jacob,M.Pilat,P.Bently,J.Timmis,Proceedingsofthe4thInternationalConferenceonArtificialImmuneSystems[C].2005:153-167.D.Dagon,T.Martin,T.Starner.Mobilephonesascomputingdevices:thevirusesarecoming![A].In:PervasiveComputing,IEEE[C].IEEEComputerSociety,2004:11-15.J.Jamaluddin,N.Zotou,P.Coulton.Mobilephonevulnerabilities:anewgenerationofmalware[A].In:Proceedingsof2004IEEEInternationalSymposiumonConsumerElectronics[C].Piscataway:IEEE,2004:199-202.N.Leavitt.Mobilephones:thenextfrontierforhackers?[J].Computer,2005,vol.38,no.4:20-23.M.Hypponen.Malwaregoesmobile[J].ScientificAmerican,2006,295:70-77.M.Piercy.Embeddeddevicesnextonthevirustargetlist[J].ElectronicsSystemsandSoftware,2004,vol.2:42-43.J.Niemela.WhatMakesSymbianMalwareTick[A].In:Proceedingsofthe15thVirusBulletinConference[C].England:VirusBulletinLtd.2005:314-322.C.R.Mulliner.ExploitingPocketPC[R].Netherlands:WhatTheHack2005,2005.C.R.Mulliner.AdvancedAttacksAgainstPocketPCPhones[R].LasVegas:Defcon14,2006.C.R.Mulliner,G.Vigna.VulnerabilityAnalysisofMMSUserAgents[A].In:Proceedingsofthe22ndAnnualComputerSecurityApplicationsConferenceonAnnualComputerSecurityApplicationsConference[C].WashingtonDC:IEEEComputerSociety,2006:77-88.C.R,Mulliner.ExploitingSymbian:SymbianExploitationandShellcodeDevelopment[R].Japan:TalkonBlackHatJapan,2008.C.R.Mulliner,C.Miller.InjectingSMSMessagesintoSmartPhonesforSecurityAnalysis[A].In:Proceedingsofthe3rdUSENIXWorkshoponOffensiveTechnologies(WOOT)[C].Montreal,Canada,2009.C.R.Mulliner.MobileAttacksandDefense[J].Security&Privacy,2011,volume9,issue4:68-70.C.R.Mulliner,N.Golde,J.-P.Seifert.SMSofdeath:fromanalyzingtoattackingmobilephonesonalargescale[A].In:Proceedingsofthe20thUSENIXSecuritySymposiumSanFrancisco,CA,USA,2011.A.-D.Schmidt,S.Albayrak.MaliciousSoftwareforSmartphones[R].Berlin:TUBerlin,2008.A.-D.Schmidt,F.Peters,F.Lamour,C.Scheel,S.A.Camtepe,S.Albayrak.MonitoringSmartphonesforAnomalyDetection[J].MobileNetworksandApplications,2009,14(1):92-106.T.Blasing,A.-D.Schmidt,L.Batyuk,S.A.Campete,S.Albayrak.AnAndroidApplicationSandboxSystemforSuspiciousSoftwareDetection[A].In:Proceedingsofthe5thInternationalConferenceonMaliciousandUnwantedSoftware[C].Nancy,France,2010.A.-D.Schmidt,R.Bye,H.-G.Schmidt,J.Clausen,O.Kiraz,K.A.Yuksel,S.A.Camtepe,S.Albayrak.StaticAnalysisofExecutablesforCollaborativeMalwareDetectiononAndroid[A].In:proceedingsofIEEEInternationalConferenceonCommunications[C].2009.R.Racic,D.Ma,H.Chen.ExploitingMMSVulnerabilitiestoStealthilyExhaustMobilePhone’sBattery[A].In:proceedingsofCreateInternationalConferenceonSecurityandPrivacyinCommunicationNetworks[C].Baltimore:The2ndIEEECommunicationSociety,2006.M.Miettinen,P.Halonen,K.Hatonen.Host-BasedIntrusionDetectionforAdvancedMobileDevices[A].In:Proceedingsof20thInternationalConferenceonAdvancedInformationNetworkingandApplications[C].Vienna,2006:72-76.M.Becher,F.Freiling,B.Leider.Ontheefforttocreatesmartphonewormsinwindowsmobile[A].In:proceedingsofInformationAssuranceandSecurityWorkshop[C].IEEESMC,2007:199-206.A.Bose,X.Hu,K.G.Shin,T.Park.BehavioralDetectionofMalwareonMobileHandsets[A].In:proceedingsoftheInternationalConferenceonMobileSystems,Applications,andServices[C].2008:225-238.A.Shabtai,Y.Fledel,U.Kanonov,Y.Elovici,S.Delev.GoogleAndroid:AState-of-the-ArtReviewofSecurityMechanisms.CoRR,abs/0912.5101,2009.A.Shabtai.MalwareDetectiononMobileDevice[A].In:proceedingsof2010EleventhInternationalConferenceonMobileDataManagement[C].KansasCity,MO,USA,2010:289-290.A.Shabtai.SecuringAndroid-PoweredMobileDevicesUsingSELinux[J].Security&Privacy,2010,volume8,issue3:36-44.劉一靜,孫瑩,藺洋.基于手機(jī)病毒攻擊方式的研究[J].信息安全與通信保密,2007(12):96-98.S.Toyssy,M.Helenius.AboutMaliciousSoftwareinSmartphones[J].ComputerVirology,2006,2(2):109-119.A.Bose,K.G.Shin.OnMobileVirusesExploitingMessagingandBluetoothServices[C].In:proceedingsofSecureComm’06,2006:322-331.李群祖,于劉海.智能手機(jī)惡意代碼分析與對(duì)策[J].計(jì)算機(jī)安全,2011,6:63-64.吳俊軍,方明偉,張新訪(fǎng).基于啟發(fā)式行為監(jiān)測(cè)的手機(jī)病毒防治研究[J].計(jì)算機(jī)工程與科學(xué),2010,32(1):35-38.維基百科,Immunity的定義:/wiki/ImmunityL.Sompayrac.Howtheimmunesystemworks[M].Wiley-Blackwell.2003:22-23.J.Timmis.Artificialimmunesystems:todayandtomorrow[J].NaturalComputing,2007,6(1):1-18.S.Forrest,A.S.Perelson,L.Allen.Self-nonselfdiscriminationinacomputer[A].In:proceedingsofResearchinSecurityandPrivacy[C].IEEEComputerSociety,1994.F.Burnet.Theclonalselectiontheoryofacquiredimmunity[M].VanderbiltUniversityPress,1959.L.DeCastro,F.VonZuben.Anevolutionaryimmunenetworkfordataclustering[J].sbrn,2000:84.J.Timmis.Artificialimmunesystems:Anoveldataanalysistechniqueinspiredbytheimmunenetworktheory[J].2000.P.Matzinger.Tolerance,dangerandtheextendedfamily[J].AnnualReviewsinImmunology,1994,12:991-1045.P.Matzinger.Thedangermodelinitshistoricalcontext[J].ScandoImmuno,2001,54:4-9.J.Greensmith,U.Aickelin,J.Twycross.Detectingdanger:applyinganovelimmunologicalconcepttointrusiondetectionsystems[M].6thInternationalConferenceinAdaptiveComputinginDesignandManufacture.Bristol,Citeseer.2004.J.Greensmith,U.Aickelin,S.Cayzer.Introducingdendriticcellsasanovelimmune-inspiredalgorithmforanomalydetection[A].In:proceedingsof4thInternationalConferenceonArtificialImmuneSystems[C].Alta.,Canada,SpringerVerlag,2005.J.Greensmith,U.Aickelin,J.Twycross.Articulationandclarificationofthedendriticcellalgorithm[A].In:proceedingsofthe5thInternationalConferenceonArtificialImmuneSystems[C].Portugal:ICARIS2006.2006.J.Greensmith,J.Twycross,U.Aickelin.Dendriticcellsforanomalydetection[A].In:proceedingsof2006IEEECongressonEvolutionaryComputation[C].Vancouver:ComputerSociety,2006.J.Greensmith,U.Aickelin.DendriticcellsforSYNscandetection[M].Proceedingsofthe9thannualconferenceonGeneticandevoluti