一种移动终端的云病毒检测方法
【技术领域】
[0001] 本发明涉及移动云计算,具体是涉及帮助移动终端优化自身的卸载策略以提高其 病毒检测的速度和精度,减少其能量消耗的一种移动终端的云病毒检测方法。
【背景技术】
[0002] 随着智能手机和平板电脑等移动终端功能的日益丰富,移动终端面临着巨大的安 全威胁,基于移动终端的病毒检测成为一个重要的问题。中国专利CN104392177公开一种 基于安卓平台的病毒取证系统及其方法,实现安卓平台上病毒的检测和取证功能;中国专 利CN103902900公开一种外部提取式移动终端恶意代码检测装置及方法。
[0003] 移动终端的计算资源、存储资源十分有限,而检测病毒需要快速处理大量数据,存 储大量病毒库和病毒检测日志,这给移动终端的病毒检测带来了巨大的挑战。移动云计算 的发展给移动终端的病毒检测带来了新的机遇。云端服务器一般拥有强大的计算能力和丰 富的存储资源,把移动终端上的计算量卸载到云端服务器,能减少移动终端的计算量,减轻 移动设备的负担。
[0004] 云病毒检测技术结合了病毒检测和移动云计算技术,将移动终端的病毒检测任 务通过无线传输卸载到云端,由云端服务器代为检测移动终端是否包含病毒。云病毒检 测技术能有效地减少移动终端的计算损耗,因此成为近几年无线安全领域的热门研究 话题。如Crowdroid系统,是一种针对安卓系统的异常行为检测方法,将移动应用的跟 踪文件卸载到云端检测(Burguera, Iker, et al.〃Crowdroid:behavio;r-based malware detection system for android. ''Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices. ACM, 2011.);--种基于云的智會κ 手机入侵检测和响应引擎,能在智能手机上不断地进行深度取证分析,从而检测到手机 的异常行为(Houmansadr, Amir, Saman Zonouz, and Robin Berthier. 〃A cloud-based intrusion detection and response system for mobile phones. ^Dependable Systems and Networks Workshops(DSN-ff), 2011IEEE/IFIP41st International Conference on. IEEE, 2011.) 〇
[0005] 在大数据发展的今天,移动终端卸载到云端服务器的任务量越来越多。虽然移动 终端在卸载计算任务时获得了云端服务器的资源,减少了移动终端的计算量,提高了移动 终端病毒检测的速度和精度,但在无线传输数据时,移动终端的能量消耗也不容忽视。移动 云计算并非在任何情况下都能让移动终端节省能量消耗,当传输数据时的无线信道带宽太 小或者是发送功率太大时,移动云计算反而会降低移动终端的性能。因此,在传输带宽变化 的环境下,设计移动终端的卸载比率以最大程度地获得云端的资源和减少传输损耗显得尤 为重要。
【发明内容】
[0006] 本发明的目的是提供利用云端安全服务器的计算资源来检测移动终端的病毒,以 减少移动终端的能量消耗,加快检测速度,并提高检测精度的一种移动终端的云病毒检测 方法。
[0007] 本发明包括以下步骤:
[0008] 步骤1 :云端安全服务器为M个移动终端提供病毒检测的服务,其总检测速度为R ; 移动终端i (I < i < M)本地产生数据量为C1 (C1^ 0)的待检测跟踪日志文件,并将所产生 的跟踪日志文件分为若干模块;
[0009] 步骤2 :移动终端i根据当前无线传输的带宽匕和云端服务器的检测速 度选择卸载的跟踪日志文件模块,卸载比率X1量化为L个等级,X i G [a J i i y 0彡B1S 1,Vl 5Ξ/5ΞI ,其中B1是移动终端i可选择的卸载比率;传输跟踪日志文件时的无 线传输带宽h量化成K个等级,即b [b k]Kk<K,bk彡0,Κ? A'其中bk是无线传输 带宽的量化值;
[0010] 步骤3 :移动终端i初始化Q1值矩阵:对于移动终端i的每一个可能状态s i,对 其所有可选择的卸载比率分配一个对应的Q1值,Q i值初始赋值为〇,其中移动终端i的状 态S1为上一时刻其他移动终端卸载跟踪日志文件时的卸载比率和当前时刻的无线传输 带宽,即S 1= (X ^b1), X i为除移动终端i外其他M-I个移动终端的卸载比率,X 1 = 4为移动终端i当前时刻的无线传输带宽;设置学习因子a (〇, 1]和折 扣因子δ # [0, 1];
[0011] 步骤4 :移动终端i观察当前状态S1,以1- ε (0 < ε < 1)的概率,选择具有最大 Q1值的卸载比率,以
的概率随机选择其他的卸载比率,并上传 X1C1数据量的跟踪日志 文件到云端安全服务器;
[0012] 步骤5 :云端安全服务器分配检测速度
给移动终端i进行病毒检测,并 发送检测结果报告给移动终端;
[0013] 步骤6 :移动终端i计算即时效益U1:
[0015] 其中P1为移动终端i传输单位数据量的跟踪日志文件所消耗的功率;
[0016] 步骤7 :移动终端i根据公式:
[0018] 更新Q1值;Q Js1^1)是移动终端i在状态S1下选择X1时的Q 1值;S1'为移动终端 i的下一时刻的状态,假设移动终端i的下一时刻状态与当前时刻状态相同;X1'是移动终 端i在下一时刻状态下选择的具有最大Q1值的卸载比率;是移动终端i在下 一时刻状态下所有的卸载比率对应的仏值中的最大值;
[0019] 步骤8:重复步骤3 ~7,直到满足 IQ1(SoX1)-Q1(SAx^)I <0.01,VKhM, 艮P Qi (Si, Xi)收敛。
[0020] 本发明使用Q学习算法来决定移动终端的跟踪日志文件卸载比率,适用于动态无 线传输环境下的云病毒检测。
[0021] 步骤1中云端服务器分配给移动终端进行病毒检测的计算资源是有限的,移动终 端根据从服务器获得的检测速度不断调整自己的策略。
[0022] 步骤5中病毒检测同时在云端服务器和本地的移动终端进行,可以有效减少病毒 检测的时间。
[0023] 步骤6中移动终端的