1.一種基于Android平臺的入侵檢測系統(tǒng),?其特征在于，該基于android平臺的入侵檢測系統(tǒng)主要由三部分組成，即數據提取模塊、數據分析引擎和響應處理模塊；其中，所述數據提取模塊主要是對Android系統(tǒng)手機的主體活動信息進行特征提取，主要是對手機上的系統(tǒng)狀態(tài)信息、進程信息和網絡流量數據進行預處理；所述數據分析引擎是利用檢測算法對提取和整理的數據進行分析，判斷是否存在入侵行為或者異常行為；所述響應處理模塊則根據數據分析引擎的分析結果執(zhí)行相應的處理操作；

該基于Android平臺的入侵檢測系統(tǒng)通過對手機的資源使用情況、進程信息和網絡流量實時監(jiān)控，并使用檢測算法判斷系統(tǒng)是否被入侵，完成對手機上的入侵行為的檢測。

2.根據權利要求1所述的基于Android平臺的入侵檢測系統(tǒng)，其特征在于，所述數據提取模塊主要有三個功能組件構成，即系統(tǒng)狀態(tài)監(jiān)控、進程監(jiān)控和網絡流量監(jiān)控，這三個功能組件獨立運行,并對Android系統(tǒng)狀態(tài)、進程和網絡流量進行實時監(jiān)控，將提取和整理的數據實時提供給數據分析引擎；

其中，所述系統(tǒng)狀態(tài)監(jiān)控實時監(jiān)控系統(tǒng)的行為活動，并將提取的系統(tǒng)特征數據提供給數據分析引擎；

所述進程監(jiān)控主要是對在手機上運行的所有進程信息進行特征提取工作，記錄正在運行的進程數，而且實時監(jiān)控所有進程，并提取出每一個進程的詳細信息，包括進程號ID，進程CPU占用情況，進程內存占用情況，進程打開的文件個數，進程打開的套接字個數，進程的狀態(tài)信息；

所述網絡流量監(jiān)控是對流入流出手機的數據流量進行分析和特征提取。

3.根據權利要求2所述的基于Android平臺的入侵檢測系統(tǒng)，其特征在于，所述進程監(jiān)控需要將每個網絡連接與手機上運行的進程信息關聯(lián)起來，并以七元組的形式標識一條網絡連接記錄，七元組的形式為：

<ID,Name,SrcIp,DstIp,ProType,SrcPort,DstPort>；其中

?(1)ID代表進程號；

(2)Name代表進程名；

(3)SrcIp代表源IP地址；

(4)DstIp代表目的IP地址；

(5)ProType代表協(xié)議類型；

(6)SrcPort代表源端口號；

(7)DstPort代表目的端口號。

4.根據權利要求1所述的基于Android平臺的入侵檢測系統(tǒng)，其特征在于，所述數據分析引擎是該入侵檢測系統(tǒng)的核心模塊，數據分析引擎對數據提取模塊整理的數據進行分析，并根據所提取的數據特點，采用貝葉斯分類器算法分析判斷Android系統(tǒng)是否存在異常行為。

5.根據權利要求4所述的基于Android平臺的入侵檢測系統(tǒng)，其特征在于，所述數據分析引擎采用樸素貝葉斯分類器算法分析判斷Android系統(tǒng)是否存在異常行為；樸素貝葉斯概率估計條件概率分布P(C|X)中，C表示類變量，X表示待分類的數據，在該入侵檢測系統(tǒng)中，類變量C有兩種取值，即c1=“正常”和c2=“異常”；

使用所述樸素貝葉斯分類器算法的具體步驟為：

（1）提取特征向量：實時監(jiān)控Android系統(tǒng)的運行狀態(tài)si，自動抽取????????????????????????????????????????????????的特征向量，，特征向量由10個特征的取值構成；

（2）標注候選樣本：對于每個標注其分類結果，則每個樣本由特征值向量和類變量組成，可表示為二元組；

（3）構造訓練樣本集合：隨機抽取攻擊樣本和正常樣本,按照1:H的比例混合，構成訓練樣本集，；?

（4）計算先驗概率：通過計算可以得到在訓練樣本集中每個類別的先驗概率，及每個特征屬性對每個類別的條件概率；

（5）給定測試數據，提取特征值向量；

（6）根據訓練得到的先驗概率計算后驗概率；

（7）比較兩個后驗概率，經過計算后所得的值的最大值為x的所屬類別，即：

，得出判定結果。

6.根據權利要求4所述的基于Android平臺的入侵檢測系統(tǒng)，其特征在于，所述數據分析引擎首先根據訓練樣本集的行為特征，建立Android系統(tǒng)正常的行為輪廓，然后從待測試的數據中提取出行為特征并建立當前的行為輪廓，并將其與正常的行為輪廓進行比較，若超過既定的閥值，則認為系統(tǒng)存在異常行為，產生告警信息并交由響應處理模塊進一步處理；否則，視為系統(tǒng)正常行為。

7.根據權利要求4所述的基于Android平臺的入侵檢測系統(tǒng)，其特征在于，

該入侵檢測系統(tǒng)通過貝葉斯分類器算法能夠發(fā)現由惡意軟件導致的Android系統(tǒng)異常；將Android系統(tǒng)異常與進程監(jiān)控、網絡流量監(jiān)控的數據關聯(lián)起來分析，能夠精確定位到導致系統(tǒng)異常的惡意軟件。