机器学习文献综述学年论文

动态图上的异常检测任务包括：发现异常的对象、关系、时点。动态图上的异常检测与静态图上的异常检测不同的地方在于：

本文首先将异常类型分为：anomalous vertices, edges, subgraphs, and events(or change)，将使用的方法分为：community detection, MDL(minimum description length) and compression, decompression, distance, probabilistic， 按每种方法使用的异常类型进行了文献学分类。各方法的主要参考文献见表1：

本文假设不同时点的节点和边都有唯一标签从而不会混淆，定义 为图序列，其中 为总时间步， ， 为节点集， 为边集， 时称 为图流。本文的主要记号见表2：

给定 ，节点集 ,打分函数 ，定义异常节点集为 ，使得对于 ， ，其中 为得分 的摘要式统计。

一个典型的异常节点如图1，其可由基于社区检测的方法识别，即： 其中 为节点所属的社会划分, 为异或操作。

给定 ，边集 ,打分函数 ，定义异常边集为 ，使得对于 ， ，其中 为得分 的摘要式统计。

一个典型的异常边如图2，可令 ，其中 为时间步 时 的权重,可以为边的概率。

给定 ，子图集 ,打分函数 ，定义异常集为 ，使得对于 ， ，其中 为得分 的摘要式统计。

两种典型的异常子图如图3,其中(a)为图的收缩，(b)为图的分裂。图的收缩可根据子图中的的数量衡量，即 ，图的分裂可由不同时间点社区的数量衡量。

与异常节点、边、子图检测不同，异常事件或异常突变检测检验的是时点。

给定 ,打分函数 ，若时点 满足: ， ，则称时点 为一个事件。

给定 ,打分函数 ，若时点 满足: ， ，则称时点 为一个突变。

通常的异常检测都使用两步法：第一步，基于特征的图表示；第二，基于机器学习的异常检测。

基于社区检测的方法关注的是社区和关联节点的演化过程，特征向量的生成亦基于图中的社区结构。不同社区检测方法的区别在于：（1）社区结构的领域，如社区内的连接性.单个节点在每一步所属的社区；(2)社区结构的定义，如基于概率的软社区定义.硬社区定义。基于社区检测的方法可用于异常定点、子图、突变的检测。

基于软社区匹配并单独考察每一个社区，我们可以在连续时间步内计算每个节点归属的平均变化，如果某个节点归属的平均变化显著异于其他节点，则称其为演化社区异常点。

节点社区归属的变化可以构造一个时间模式，称为软时序模式。一些文献使用了最小描述长度(MDL)结合非负矩阵分解的方法来自动检测节点角色及构造转移模型。多数文献通过抽取图中不同节点的共同模式，并比较每个节点与共同模式之间的差异来定义异常节点。部分文献使用了交替迭代优化替代常用的两步法。部分文献使用了corenet的概念，该概念不同于单纯使用density,modularity,hop-distance等概念，而是使用了节点间的加权路径，即一个节点的corenet包含该节点与权重大于给定阈值的两跳邻居。假设两个强连接的节点通常属于同一社区，则如果移除一个节点的两个邻居，一个邻域具有较高的边权重，另一个具有较低的边权重，则移除较高权重邻居的影响应更大，在每一步，每个节点首先被赋予一个异常得分，该得分衡量了其corenet的变化，异常得分较高的 各节点将被视为异常节点。

文献【69】定义了六种基于社区的异常：shrink, grow, merge, split, born, and vanish。其使用图和社区代表(representatives)进行比较以减少计算量，图代表为出现在t时刻，同时还出现在t-1、t+1或t+1与t-1时刻的节点集，社区代表是出现在其他社区最少的定点集合，基于社区代表和图代表，基于规则，判断社区是否落在六种异常中。

文献【73】定义了一种基于社区的异常：comet，周期性出现或消失的社区，演化图可表示为一个张量，然后基于低秩张量分解和MDL原则进行comet检测。

文献【3】基于多种信息源构造时序复网络，识别跨时间和网络的稳定社区结构。行为相似的网络可以用聚类或前验知识分组，如何一个社区结构在组内跨时间步稳定，但在组外没有对应社区，则该社区即为异常，如何两个社区共享一定比例的定点则称为对应。

社交网络可以根据特定时间窗口内的发文量定义事件，一个经历共同事件的组即构成一个异常子图。

通过划分图流为一致的分割来检测，分割是依据划分的相似性。

通过将最新图的顶点分区与当前增长分割中的图的分区进行比较，可以在线找到这些分割。【67】基于可返回随机的相关矩阵和modularity最大化来进行定点划分，当新图的划分与当前分割的划分有很大不同时，一个新段开始，并将新图的时间点输出为检测到的突变。两个划分的相似度使用Jaccard系数定义。GraphScope思路类似，但基于MDL来指导划分和分割。

基于MDL原则和基于该原则的压缩技术利用数据中的模式和规律性实现紧凑的图表示，其主要通过将图的邻接矩阵表示为一个二进制串，如果矩阵的行和列可以重新排列使矩阵的二进制字符串表示的熵最小化，那么压缩损失（也称为编码损失）就会最小化。数据指向的特征都来自于图或其特定子结构的编码代价；因此，异常被定义为抑制可压缩性的图或子结构（如边）

对于一条边和对应子图，如果包含该边的编码损失比不包含该边的编码损失高，则称该边为异常边。

【74】使用了一种两步交替迭代法进行节点的自动划分，当节点划分的熵收敛时，根据包含和不包含该边的编码损失，该方法也给出了边的异常度得分。

突变检测的主要思路是:连续时间步间的图是相似的，因而可以分为一组，从而降低压缩比。压缩比的上升表明新一个时间步的图与已有的图差异明显，因此是一个突变。

该方法将图集合表示为一个tensor，在该tensor上进行矩阵分解或降维，基于分解或降维后的图发现其模式和规律性，该方法可以融合更多属性信息，最常用的方法是SVD和PARAFAC（广义SVD）。

矩阵分解可用于计算每个节点的活跃（activity)向量，如果某个节点的活跃向量在连续时间步间变化明显，则称为异常节点。

【87】首先抽取每个节点的边相关矩阵 ，即该节点的每个邻域都有一行一列，对于节点 的矩阵中的一个entry 代表了边 和 间加权频率的相关性，加权频率由衰减函数获得，时间越近权重越高。M的最大特征值和对应特征向量即顶点的活跃向量的summary及边的相关性。通过寻找这些值的变化而形成的时间序列用于计算每个时间步长中每个顶点的分数，得分高于阈值的顶点将被输出为异常。

基于分解的异常事件检测有两种方法：（1）先基于分解方法来近似原始数据，然后以重建损失作为近似优劣的指标。如果某个子张量、切片或元素的重建损失很高，则即可以视其与周围数据不同特征不同，将其标记为异常事件、子图或节点。（2）跟踪奇异值和向量，以及特征值和特征向量，以检测异常顶点的显著变化。

为解决 intermediate blowup 问题（即计算中输入和输出张量超过内存限制），【81】提出了momery-efficient tucker（MET）分解方法，该方法源于Tucker分解，Tucker分解将高阶tensor用一个core tensor和每个mode(维度)矩阵表示。【80】使用了Compact Matrix Decomposition(CMD)，其可以用来计算给定矩阵的稀疏低秩矩阵。使用CMD对图流中的每个邻接矩阵进行分解，可得到重建值的时间序列，基于重建值序列可进程事件检测，典型应用有COLIBRI, PARCUBE，其中后者在斑点(spotting)异常中的表现更高效。

【84】使用了随机图模型进行基于概率模型的检测，其将真实图邻接矩阵和期望图的邻接矩阵间的差异构造为残差矩阵，对残差矩阵执行SVD，再使用线性Ramp滤波器，基于top奇异值即可进行异常时间窗口检测，通过检查正确的奇异向量来确定相应的顶点。

除以上方法，我们还可以基于分解空间的显著变化来识别事件。【77】通过对数据执行PCA，计算的特征向量可以分为正常和异常两个集合，方法是检验数据中的值映射到特征向量。在每个时间步，根据特征值对特征向量进程降序排列，第一个特征向量则包含一个在其余值的3个标准差之外的投影点，此后的每个特征向量，都构成了异常集。第二步即是将数据映射到正常和异常子空间，一旦完成了这些操作，当从上一个时间步长到当前时间步异常成分的修改超过一个阈值时，即将其视为一个事件。【83】扩展了该方法，提出了联合稀疏PCA和图引导的联合稀疏PCA来定位异常和识别对应的顶点。通过为异常集使用稀疏的成分集，可以更容易识别负责的顶点。顶点根据它们在异常子空间中对应行的值得到一个异常分数，由于异常分量是稀疏的，不异常的顶点得分为0。

图的活跃向量 为主成分，左奇异向量对应最大奇异值，奇异值和奇异向量通过对加权邻接矩阵进行SVD得到。当活跃向量大幅异于“正常活跃"向量时，即定义该时点为突变点，”正常活跃“向量由前序向量得到。

正常活跃向量 ，它是对最后W时间步中活动向量形成的矩阵进行SVD得到的左奇异向量。每个时点都定义一个得分 ,其代表了当前活跃向量与正常向量的差异。异常可以使用动态阈值方案在线发现，其中得分高于阈值的时间点被输出为变化。通过计算正常向量和活动向量之间的变化比率来找到负责的顶点，与变化最大的索引所对应的顶点被标记为异常，类似的方法也可以用于节点-节点相关矩阵的活跃向量，或基于邻居相似度的节点-节点相关矩阵。

基于距离的异常检测算法的不同点在于选择用于提取和比较距离度量，以及它们用于确定异常值和相应图的方法。

如果一些边的属性演化异于正常演化，则该边就是一个异常边。

边之间的权重使用衰减函数定义，在每个时间步长中，根据相似度得分的变化之和计算每条边的异常值得分，使用阈值或简单的 作为异常值标准。

将网络视为边的流，意味着网络没有固定的拓扑，一个边的频率和持久性可以用来作为其新颖性的指标，【48】定义了集合系统不一致性指标来度量频率和持久性，当一条边到达时，计算其差异，并与活动边集的平均不一致性值进行比较，如果边的加权不一致性大于平均不一致性的阈值水平，则声明该边为异常边，基于异常边，可以进一步识别其他异常图元素（如顶点，边，子图）。

具有许多“异常”边的子图即是异常的子图。

【52】将边的权重视为异常得分，每个时间步长上的每条边都有它自己的异常分数，给定了该边权值在所有图序列的分布，该分数表示在该特定的边上看到该特定权值的概率函数。或者，为网络中的边分配异常值分数的现有方法的输出可以用作为该方法的输入。后一种方法允许应用于任何能够为边分配异常值分数的网络，一旦完成每条边的异常打分，即可发现显著异常的区域（SARs），即一个窗口内的固定子图，其类似于HDSs。【112】提出了一种迭代算法，该算法首先固定子图发现最优时间窗口，然后固定时间窗口发现最优子图。【97】拓展了该方法，允许子图渐变，即在相邻时间步间增加或移除顶点。

定义函数 为测度图距离的函数，将其应用于连续图序列，即得到距离序列，基于该距离序列应用一些启发式算法（如基于移动平均阈值的 取值）即可得到异常事件。

称每个顶点及其egonet的特征为局部特征，整张图的特征为全局特征。每个顶点的局部特征可聚合为一个向量，基于该向量的各阶矩可构造signature向量，利用signature向量间的Canberra距离（归一化的曼哈顿距离）可构造图之间的距离函数【93】。【92】利用全局特征，定义了一种基于dK-2序列的距离测度，将高于阈值的特征视为异常点。

【96】使用了顶点亲和度（即一个顶点对另一个顶点的影响，可以用于快速信念传播）得分作为signature向量，其基于连续时间步技术顶点亲和度，基于马氏距离度量两个图的相似度，亲和度得分的变化反应并适应变化的影响水平，例如桥边的移除比正常边移除的得分更高。利用单个移动范围的质量控制，可以对相似度得分的时间序列设置一个移动阈值，如指数移动平均加权。

作为特征相似度的补充，我们也可以比较两个图的结构差异来度量突变的大小，这类方法致力于发现定义距离的函数而非发现特征向量。【88】计算了异常网络的10种距离函数，使用ARMA模型构造特征值的正常模型，然后基于正常模型计算时点的残差，残差超过给定阈值的时间即可标记为异常。10种距离函数中，基于最大共有子图的方法表现最好。【90】使用了五中得分函数（顶点/边重叠，顶点排序，向量相似度，序列相似度，signature相似度）来检测三种异常（子图缺失，顶点缺失，连通性变化），表现最好的方案是抽取每个顶点和边的特征构造signature向量，使用SimHash定义距离。

我们还可以通过计算每个图的稳健性序列来检测事件，稳健性序列是图连通性的测度，具有高稳健性的图即使在去除一些顶点或边的情况下，也能保持相同的一般结构和连通性，事件检测即发现稳健性值异常变化的时点【95】。【89】使用的是图半径的变体作为稳健性指标，图半径的定义是基于所有顶点的平均离心度，而非常用的最大离心度。

基于概率理论、分布、扫描统计学等方法可以构造“正常”样本的模型，偏离该模型的样本即视为异常，这类方法的主要区别在于构造方法、建模对象、离群值定义。

主要有两种方法：一，构造扫描统计时间序列并检测离均值若干标准差的点；二，顶点分类。

扫描统计常称为滑动窗口分析，其在数据的特征区域中发现测度统计量的局部最小或最大值。对某个特定图，扫描统计量可以是图不变特征的最大值，如边的数量。

【8】使用了一个适应测度统计量的变量，即每个节点的0-2度邻居数，然后对每个顶点的局部统计量使用近期值的均值和标准差进行标准化，图的扫描统计量即最大的标准化局部统计量。标准化可以解释每个顶点的历史信息，代表每个顶点的统计量只与自己的历史信息有关而与其他顶点无关。这保证测度的最大变化与变化的绝对量无关而与比例有关。基于扫描统计量标准化时间序列，将序列均值的五个标准差作为异常值。最负责的顶点被确定为为整个图的扫描统计值所选择的顶点。

类似于使用邻居进行扫描统计，我们还可以用Markov随机场（MRF）来发现节点的状态，并通过信念传播算法推断最大似然分配，其中，每个顶点标签取决于其邻居节点。【99】通过发现二部核来检测异常点（即犯），二部核定义为犯与从犯间的交互。利用边的插入或删除只影响局部子图这一事实，它在添加新边时逐步更新模型。在传播矩阵中，一个顶点可以处于三种状态之一：欺诈者、共犯者或诚实者。

边异常检测通常使用计数过程建模，统计上显著异于该模型的边标记为异常边。

【50】用贝叶斯离散时间计数过程来建模顶点间的通信次数（边权重），并根据新图更新模型。基于学习到的计数的分布，对新观测的边进行预测 值计算，基于 值标记异常顶点对。

首先用固定的子图，多重图，累积图来构造预期行为的模型，对模型的偏离可作为子图异常检测的依据。

【104】结合扫描统计量和隐马尔可夫模型（HMM）建模边行为，其使用的局部扫描统计量是基于两种图形状：k-path图和星型图，其将滑动窗口的扫描统计数据与其过去的值进行比较，并使用在线阈值系统识别局部异常，局部异常是所有统计上显著的子图(代表k个路径或恒星)的并集。

另一个建模动态图的方法是基于多重图，其中平行边对应于两个连续时间步顶点间的通信，初始的多重图可分解为多个针对每个时间窗口的叠套子图（TSG），TSG满足两个条件：（1）对于任何两个有共同点的边，首先开始通信的边最后完成通信；（2）存在一个根顶点r，它没有传入的边，并且有一条到TSG中每个顶点的路径。出现概率低的TSG视为异常子图。【102】

累积图即为包含直到当前时点的所有边的图，边权重依据衰减函数定义，通过识别“持久模式”来定义子图的正常行为。该持久模型识别模型如下：首先构造一种图，该图每个边根据时间来加权，然后基于该图迭代抽取最重连接成分来发现。随着累积图的发展，提取的子图将被监控，并将其当前活动与基于最近行为的预期活动进行比较来进行子图异常检测。【101】

事件检测可以基于偏离图似然模型或特征值分布的偏差来进行。

【103】提出了一种新的蓄水池抽样方法来抽取图流的结构摘要，这种在线抽样方法维持多个网络划分以构造统计上显著的摘要，当一个新图进入图流，每个边都根据不同分区的边生成模型计算出一种似然性，然后以这些似然性的几何均值作为全局图似然性。

【98】使用了类似的边生成模型，每个边 的概率都存储在矩阵 中，概率基于期望最大化估计，基于所有收发对的分布，然后为每个收发对给出潜在得分，基于所有边似然得分的均值即得到每个图的得分。

【100】计算了特征值和压缩特征等式的分布（而非计算收发对的分布），基于每个顶点都存在一个顶点局部特征时间序列的假设，可在每个时间步构造一个顶点-顶点相关矩阵，通过保留最大特征值和一组低维矩阵（每个顶点对应一个矩阵），可对相关矩阵的特征方程进行压缩，通过学习特征值和矩阵的分布，即可发现异常顶点和事件。当特征值偏离期望分布时，即认为发生了事件，当顶点的矩阵偏离矩阵分布时，可认为该顶点为异常顶点。

热心相助 开题报告参考模板XXXXXX学院毕业论文开题报告课题名称 手机无线联网安全技术及应用研究 学 院 电子信息学院 专 业 网络工程 班 级 BX0907 学 号 12 姓 名 XXX 指导教师 XXX 定稿日期： 2013 年 01 月 18 日 手机无线联网安全技术及应用研究摘要：从第一台计算机发明到现在短短的几十年内，计算机和网络使得人们的生活发生着巨大的改变。电脑上网方式发生了很大的改变，人们不在局限于通过网线接入网络，出现了各种无线网络。但随着手机技术的发展，人们开始使用手机来接入网络浏览网页，聊天，下载各种需要的事物等等。但是手机网络就如同计算机网络一样不是一个很成熟的，其中有着各种漏洞，黑客可以通过相关的漏洞来进行对手机用户的攻击。很多人通过手机下载各种java程序，而java程序中可能包含着木马病毒等等不利于手机用户的东西。本文重点进行手机上网安全，手机病毒的危害，黑客攻击手机的方法手段，以及对应的预防措施等等关键词：手机上网，网络安全，手机病毒，防范措施。1 文献综述 随着手机技术的日趋成熟，接入互联网轻松获得大量的信息已成为未来手机发展的必然趋势。而且随着配备Java功能的i模式手机登场，手机接入互联网更为便捷，势必会因此增加手机感染病毒的机会。由于通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行，WAP手机已经成为电脑黑客攻击的重要对象。黑客对手机进行攻击，通常采用以下三种方式：一是攻击WAP服务器，使WAP手机无法接收正常信息;二是攻击和控制“网关”，向手机发送垃圾信息(严格地说，以上两种手机病毒还属于电脑病毒，不会破坏手机本身);三是直接攻击手机本身，使手机无法提供服务。新一代的WAP手机由于其功能的多元化，因此病毒带来的灾害也会更大。侵袭WAP手机的病毒可能会自动启动电话录音功能、自动拨打电话、删除手机上的档案内容，甚至会制造出金额庞大的电话账单。手机上网：WAP无线应用协议是一个开放式的标准协议，可以把网络上的信息传送到移动电话货其他无线通讯终端上。WAP是由多家通信业巨头统一制定的，它使用一种类似于HTML的标记式语言WML，并可通过WAP Gateway直接访问一般的网页。通过WAP,用户可以随时随地利用无线通讯终端来获取互联网上的即时信息或公司网站的资料，真正实现无线上网。CMWAP多用于WAP开头的网站为主。CMNET可以浏览WWW网站。手机上网（WAP）是移动互联网的一种体现形式。是传统电脑上网的延伸和补充。通过WAP，用户可以随时随地利用无线终端来获取互联网上的即时信息货公司网站的资料，真正实现无线上网。手机病毒：手机病毒是一种具有破坏性，传染性的手机程序。可以通过发送彩信、短信，浏览网站，下载铃声，蓝牙等方式传播，会导致用户手机关机、死机、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短信彩信等进行恶意扣费，甚至会损毁芯片、SIM卡等硬件，导致手机用户无法正常使用手机。史上最早的手机病毒于2000年被发现，在当时手机公司Movistar大量收到名为“Timofonica”的骚扰短信，该病毒由西班牙电信公司 “Telefonica”的移动系统向系统内的手机用户发送垃圾短信。此病毒仅仅被称作为短信炸弹。真正意义上的手机病毒直到2004年6月才出现，为一种名为“Cabir”蠕虫病毒，通过诺基亚s60系列手机进行复制，然后不断寻找安装了蓝牙的手机。在此之后手机病毒正式开始泛滥。据统计2012年二季度手机病毒数量达到23413个，接近2011年度全年数量。 2 选题背景及其意义随着手机技术的日趋成熟，以及手机的便于携带功能使得手机接入网络的频率越来越高了，然而手机网络和计算机网络有很多的相似点，对于网络方面的法律不是很完善所以如何处理手机联网安全变成了一个广大手机用户的一个重要的问题。智能手机（smartphone）与一般手机相比，它具有一般手机的通讯功能，还带有相应的操作系统（OS），可以通过下载安装应用软件来拓展手机的其他功能，如安装浏览器来浏览网页，收发邮件，查看股票、交通情况、天气情况，看电影，通过相应的软件来听音乐，玩游戏等，这类具有独立操作系统的手机被称之为智能手机。智能手机具有以下几个特点：1、具有接入无线互联网的能力, 2、具有PDA(Personal Digital Assistant),包括PIM(个人信息管理) 日程记事，任务安排，多媒体应用，浏览网页；3、具有开放性的操作系统，可以根据需求来安装需要的应用程序，使手机的功能等到极、大地拓展；4、具有强大的功能，极强的拓展能力，大量的第三方软件支持。据统计至2012/06，中国手机上网用户人数突破3亿，手机上网用户比例占全部使用互联网人数的10%。手机用户多用于QQ聊天，微博，微信，查收电子邮件，手机游戏等等，通过以上所诉的方式可以使各种病毒在手机之间传播，而现在随着电脑和手机的高速发展，手机病毒发展的速度也日益加快。由于3G的高速数据传播使得3G渐渐地取代了以前的2G以及。据调查WCDMA是世界上运用最广泛的，终端种类最多样的一种3G标准，已有538个WCMDA运营商于世界上246个国家和地区开通了WCDMA网络，3G商用市场份额超过80%，而WCDMA向下兼容的GSM网络已覆盖184个国家，遍布全球，WCDMA用户已超过6亿。因此研究手机联网安全随着Symbian系统渐渐地退出智能手机的舞台，现在智能手机使用的主要操作系统分为Android系统以及IOS系统。Android是一种基于Linux的自由及开放源代码的操作系统，主要适用于便携设备。据2012年11月数据显示Android系统在全球智能手机操作系统市场所占的份额为76%，在中国市场占有率为90%。IOS系统是由苹果公司开发的操作系统，同样适用于便携设备。IOS是一种闭源系统，但IOS系统又不是传统意义上的闭源系统，随着Android系统地不断进化，IOS系统想要保持客户的情况，必须有所发展以适应相应的变化，因此IOS系统出现了一种新的闭源方式，系统代码封闭，其他的可以与第三方软件商分享利益；苹果手上的代码不会开放，但它们也会随着时间地变化而出现变化。于2011年11月数据显示，IOS占据全球智能手机系统市场份额的30%，在美国的市场占有率为43%。随着通信技术地进步，智能手机与第三方软件的开发和普及等在一定的程度上促使了手机病毒的制造和传播，据统计在Andriod平台上的病毒已经占到所有手机病毒的84%，研究手机安全的主要在于Andriod平台。但是2012年12月13日全球知名信息安全专家、亚洲网络信息安全组织SyScan创始人Thomas Lim在360SyScan国际安全会议上透露：“随着全球智能手机普及化的迅猛发展，苹果的IOS系统已成为黑客们攻击的新热点。”目前黑客正在试图通过程式组来攻击IOS，以一连串的方式对系统中的多个漏洞进行攻击。通过攻击，黑客完全控制掌握用户的IOS系统，录像、录音，通话等信息将会被攻击者窃取。由于这种形式的攻击复杂程度高，涉及底层系统的各个层面技术较为繁琐，现在还没有安全的预防方式。但是这是因为技术的复杂程度，所以目前对于IOS系统的攻击还是相对较少。故而目前研究手机病毒的焦点在于开放的Andriod平台。现在无线互联网领域的焦点是智能手机的信息安全，在移动安全领域出现的新威胁展现出了“作恶手法创新、危害加剧”的态势。根据目前智能手机市场上的占有量，Andriod系统的手机是信息安全、手机木马的重灾区，苹果IOS系统和塞班系统紧随其后。现在安全趋势主要体现在三个方面：首先，黑客借助鱼恶意软件来进行垃圾、欺诈短信的传播；其次，流氓推广木马趋泛滥，危害方式愈发隐蔽；第三，感染的途径方式在日益增多，二维码、微博正成为智能手机用户“中招”的新途径。 权限管理；一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源，不多不少。在安装应用程序的时候，手机用户需要注意应用程序索要的权限，有些病毒是在安装的时候通过获得更高地权限来进行各种不法的行为。手机“肉鸡”如同电脑“肉鸡”一样也给手机用户带来极大的危害，许多手机在出厂前便被植入各种木马病毒，然后在用户使用手机的时候来进行各种操作，手机“肉鸡”的危害远大于电脑“肉鸡”，手机病毒可以给植入者带去相当可观的收入来源，曾报道过服务供应商可以在一个月内收入数亿的重款，因此导致相关的手机病毒木马更加频繁地出现在各种手机平台。除此外在手机中的各种乱收费业务中，不少的是在于手机购买时的问题，由很多山寨的手机在出厂的时候内置各种系统，很多用户在不知不觉中被强制性地扣掉了不少的费用。有的却是在送去维修的时候被不甚感染了病毒木马等。 3 研究内容手机联网所受到的威胁1）应用程序的漏洞 2）病毒 3）恶意或间谍软件 4）网络监听5）手机出厂时内置的系统无线网络的完全无线网络是利用无线电技术取代传统网线进行连入互联网。通过现在流行的手机无线联网方式（WIFI，3G等）来进行无线网络安全分析和研究。无线网络安全标准(Wired Equivalent Privacy)B. WPA(WI-FI Protected Access)C. WAPI(WLAN Authentication and Privacy Infrastructure) 网络安全的攻防方式通过现有的各种手机上网的威胁进行研究，了解现阶段的攻防方式网络边界安全网络边界是内部网络和公共网络的分界线，网络边界路由器是所有流量出入内部网络的关键设备。网络边界安全是指在网络边界上采用的安全措施和手段，他通常包括防火墙，VPN设备等部件。网络终端安全终端的安全是网络安全的重要组成部分，只有首先保证终端上没有病毒或木马的存在，才能最大可能地保证网络中数据的安全。 4 工作特色及其难点，拟采取的解决措施了解手机用户使用手机时遇到的各种病毒有些困难。拟通过网络投票方式来查看一下有多少用户遇到过类似恶意扣费，自动拨打电话等问题，以及问题的种类。通过网络投票来了解用户使用的手机类型以及手机系统。手机安全方面目前还没有一个完整的体系，使得应对手机安全有着不小的难度。由于安卓的开放源代码使得手机病毒可以迅速发展，当出现新的病毒时，不能够及时的了解和预防。通过查找文献资料来研究手机病毒和黑客攻击手机的各种方式，对此进行如何使用手机来进行防御。 5 论文工作量及预期进度2012/11/15-2013/01/ ： 确定选题、资料准备、翻译有关外文资料及阅读技术文献、撰写开题报告。2013/01/ -2013/02/30： 调研分析、具体研究及新技术应用2013/03/01-2013/05/01： 撰写毕业设计报告2013/05/26-2013/06/05： 毕业设计答辩6 预期成果及其可能的创新点预计成果：通过研究黑客入侵手机的方式以及手机病毒的种类来了解和处理手机联网安全问题。通过手机病毒与计算机病毒的对比，来了解和应用手机联网安全技术，掌握有关手机联网安全的一些实际应用。通过文献资料来研究骇客攻击手机的方式，手机病毒的传播方式，手机权限相对应的功能，以及手机病毒的预防措施等。可能的创新点；通过现在主流的各种上网方式（wifi,3G等），不同手机操作系统来研究手机的安全问题。 参考文献[1] 贾铁军主编. 网络安全实用技术清华大学出版社.2011[2] 贾铁军主编. 网络安全管理及实用技术. 机械工业出版社.2010[3] 杨哲、 Zerone无线安全团队．无线网络黑客攻防．中国铁道出版社．2011[4] 中国密码学会．无线网络安全．电子工业出版社，2011[5] 贾铁军．网络安全技术及应用（第2版）．机械工业出版社，2014．[6] 王继刚．手机病毒大曝光．西安交通大学出版社，2009．[7] 诸葛建伟.网络攻防技术与实践. 清华大学出版社，2011[8] 米歇尔(Mitchell .). 大数据技术丛书：机器学习. 机械工业出版社，2008[9] 王建锋.计算机病毒分析与防治大全(第3版).电子工业出版社，2011[10]金光，江先亮. 无线网络技术教程:原理、应用与仿真实验.清华大学出版社，2011[11]斯托林斯，无线通信与网络.清华大学出版社，2005[12]雅各布森(Douglas Jacobson),网络安全基础:网络攻防、协议与安全.电子工业出版社，2011[13]海吉(Yusuf Bhaiji).网络安全技术与解决方案(修订版).人民邮电出版社，2010[14]麦克卢尔(Stuart McClure) , 斯卡姆布智(Joel Scambray), 库尔茨(George Kurtz).黑客大曝光:网络安全机密与解决方案(第6版).清华大学出版社,2010[15]石志国 , 薛为民, 尹浩. 计算机网络安全教程(第2版).清华大学出版社，2011[16]杨哲.无线网络安全攻防实战进阶.电子工业出版社，2011指导教师意见 随着手机技术的日趋成熟，接入互联网轻松获得大量的信息已成为未来手机发展的必然趋势。而且随着配备Java功能的i模式手机登场，手机接入互联网更为便捷，势必会因此增加手机感染病毒的机会。由于通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行，WAP手机已经成为电脑黑客攻击的重要对象。 黑客对手机进行攻击，通常采用以下三种方式：一是攻击WAP服务器，使WAP手机无法接收正常信息;二是攻击和控制“网关”，向手机发送垃圾信息(严格地说，以上两种手机病毒还属于电脑病毒，不会破坏手机本身);三是直接攻击手机本身，使手机无法提供服务。新一代的WAP手机由于其功能的多元化，因此病毒带来的灾害也会更大。侵袭WAP手机的病毒可能会自动启动电话录音功能、自动拨打电话、删除手机上的档案内容，甚至会制造出金额庞大的电话账单。 该生能够按要求针对论文所涉及课题目的和意义进行分析，文献综述叙述较完整，研究内容阐述较合理，对实现设计的技术路线有初步的了解，对后期论文工作的进度安排较适当。 在以后的工作中，要按开题的要求进行论文工作，每周应按时与指导老师针对论文撰写及程序编写、调试过程中遇到的问题进行交流和沟通。因此，同意开题。指导教师签名： 2013年2月28日评议小组意见 1、论文选题：□有理论意义；□有工程背景；□有实用价值；□意义不大。 2、论文的难度：□偏高；□适当；□偏低。 3、论文的工作量：□偏大；□适当；□偏小。 4、设计或研究方案的可行性：□好；□较好；□一般；□不可行。 5、学生对文献资料及课题的了解程度：□好；□较好；□一般；□较差。 6、学生在论文选题报告中反映出的综合能力和表达能力： □好；□较好；□一般；□较差。 7、学生在论文选题报告中反映出的创新能力： □好；□较好；□一般；□较差。 8、对论文选题报告的总体评价：□好；□较好；□一般；□较差（在相应的方块内作记号“√”）二级学院所确定评议小组名单（3-5人） 组长： 、 组员： 、 、 、 单位盖章 主管领导签名： 年 月 日 评议结论 评议小组组长签名： 评议小组组员签名：年 月 日