專利名稱:一種手機(jī)病毒特征的識(shí)別方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于移動(dòng)通信領(lǐng)域,特別涉及一種手機(jī)病毒特征的識(shí)別方法及裝置。
背景技術(shù):
隨著智能手機(jī)的普及,以及手機(jī)處理器的芯片功能越來(lái)越強(qiáng)大,手機(jī)逐漸與PDA 進(jìn)行融合,手機(jī)已成為可以進(jìn)行移動(dòng)通訊的小型計(jì)算機(jī)。但是,手機(jī)運(yùn)算能力和存儲(chǔ)容量的提高為病毒的寄存和傳播提供了條件?,F(xiàn)有技術(shù)中,主要是通過(guò)對(duì)病毒樣本進(jìn)行分析來(lái)識(shí)別手機(jī)病毒。病毒樣本的來(lái)源包括FANS用戶舉報(bào)、論壇舉報(bào)、蜜罐收集和病毒聯(lián)盟樣本交換等。具體分析步驟包括步驟一、靜態(tài)掃描分析文件程序是否有調(diào)用聯(lián)網(wǎng)、發(fā)短信等程序,這是對(duì)程序代碼的初步分析測(cè)試。步驟二、黑盒測(cè)試通過(guò)文件安裝后進(jìn)行手機(jī)監(jiān)測(cè),檢查是否有病毒行為,這是對(duì)程序文件的黑盒測(cè)試。步驟三、DEBUG分析通過(guò)手機(jī)與電腦配合,對(duì)安裝的程序進(jìn)行逐步調(diào)試,抓取各個(gè)步驟與外界的交互信息,進(jìn)行動(dòng)態(tài)分析。上述技術(shù)方案至少存在如下缺點(diǎn)(1)局限于病毒樣本采集,屬于被動(dòng)發(fā)現(xiàn);(2)病毒發(fā)現(xiàn)不及時(shí)由于目前手機(jī)病毒從病毒制作者發(fā)布病毒到病毒爆發(fā)之間有較長(zhǎng)的潛伏期,樣本采集基本無(wú)法在病毒潛伏期完成。現(xiàn)有技術(shù)中的另外一種識(shí)別手機(jī)病毒的方法為在WAP(無(wú)線應(yīng)用協(xié)議)網(wǎng)關(guān)或者 GPRS (通用分組無(wú)線業(yè)務(wù))網(wǎng)絡(luò)加入數(shù)據(jù)旁路設(shè)備,通過(guò)所述數(shù)據(jù)旁路設(shè)備來(lái)獲取數(shù)據(jù)流, 然后,基于已知病毒庫(kù)對(duì)數(shù)據(jù)流進(jìn)行分析,從而識(shí)別手機(jī)病毒。這種技術(shù)方案的缺點(diǎn)是只能識(shí)別已知病毒,無(wú)法發(fā)現(xiàn)未知病毒。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是提供一種手機(jī)病毒特征的識(shí)別方法及裝置,不需要依賴于病毒庫(kù),就能實(shí)現(xiàn)對(duì)手機(jī)病毒特征的自動(dòng)和及時(shí)的識(shí)別。為實(shí)現(xiàn)上述目的,本發(fā)明提供一種手機(jī)病毒特征的識(shí)別方法,包括獲取異常訪問(wèn)行為記錄表,所述異常訪問(wèn)行為記錄表中包括用戶代理UA和域名, 所述UA包括終端型號(hào)和軟件平臺(tái);根據(jù)域名對(duì)所述異常訪問(wèn)行為記錄表的記錄進(jìn)行歸類,生成多個(gè)異常訪問(wèn)行為記錄子表;對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,判斷其中的軟件平臺(tái)是否唯一,得到一判斷結(jié)果;
當(dāng)所述判斷結(jié)果為是時(shí),則確定手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名的訪問(wèn),并將該域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征。上述的識(shí)別方法,其中,還包括對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,分別統(tǒng)計(jì)每種終端型號(hào)對(duì)應(yīng)的記錄條數(shù),并按照記錄條數(shù)從高到低的順序選取預(yù)定數(shù)目個(gè)終端型號(hào);此時(shí),所述判斷其中的軟件平臺(tái)是否唯一為判斷所述預(yù)定數(shù)目個(gè)終端型號(hào)對(duì)應(yīng)的軟件平臺(tái)是否唯一。上述的識(shí)別方法,其中,所述獲取異常訪問(wèn)行為記錄表,具體包括采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包;根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,根據(jù)所述異常訪問(wèn)行為生成所述異常訪問(wèn)行為記錄表,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名;根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新。上述的識(shí)別方法,其中,還包括當(dāng)所述判斷結(jié)果為否時(shí),將相應(yīng)的域名加入到域名白名單中;此時(shí),對(duì)于匹配出的異常訪問(wèn)行為,如果其對(duì)應(yīng)的域名存在于所述域名白名單中, 則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中。上述的識(shí)別方法,其中,所述根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,具體包括從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù),判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。上述的識(shí)別方法,其中,所述根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,具體包括判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。上述的識(shí)別方法,其中,所述根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新,具體包括對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總,得到匯總表;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì),將存在于所述匯總表中、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中。上述的識(shí)別方法,其中,所述用戶敏感信息包括IMSI和/或IMEI。為實(shí)現(xiàn)上述目的,本發(fā)明還提供一種手機(jī)病毒的識(shí)別裝置,包括記錄表生成模塊,用于獲取異常訪問(wèn)行為記錄表,所述異常訪問(wèn)行為記錄表中包括用戶代理UA和域名,所述UA包括終端型號(hào)和軟件平臺(tái);記錄子表生成模塊,用于根據(jù)域名對(duì)所述異常訪問(wèn)行為記錄表的記錄進(jìn)行歸類, 生成多個(gè)異常訪問(wèn)行為記錄子表;判斷模塊,用于對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,判斷其中的軟件平臺(tái)是否唯一, 得到一判斷結(jié)果;病毒特征識(shí)別模塊,用于當(dāng)所述判斷結(jié)果為是時(shí),則確定手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名的訪問(wèn),并將該域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征。
5
上述的識(shí)別裝置,其中,還包括統(tǒng)計(jì)模塊,用于對(duì)于每個(gè)異常訪問(wèn)行為記錄子表, 分別統(tǒng)計(jì)每種終端型號(hào)對(duì)應(yīng)的記錄條數(shù),并按照記錄條數(shù)從高到低的順序選取預(yù)定數(shù)目個(gè)終端型號(hào);此時(shí),所述判斷模塊判斷其中的軟件平臺(tái)是否唯一為判斷所述預(yù)定數(shù)目個(gè)終端型號(hào)對(duì)應(yīng)的軟件平臺(tái)是否唯一。上述的識(shí)別裝置,其中,所述記錄表生成模塊具體包括數(shù)據(jù)采集模塊,用于采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包;匹配模塊,用于根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,根據(jù)所述異常訪問(wèn)行為生成所述異常訪問(wèn)行為記錄表,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名;黑名單更新模塊,用于根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新。上述的識(shí)別裝置,其中,所述病毒特征識(shí)別模塊還用于當(dāng)所述判斷結(jié)果為否時(shí), 將相應(yīng)的域名加入到域名白名單中;此時(shí),所述匹配模塊對(duì)于匹配出的異常訪問(wèn)行為,如果其對(duì)應(yīng)的域名存在于所述域名白名單中,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中。上述的識(shí)別裝置,其中,所述匹配模塊進(jìn)一步用于從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù),判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。上述的識(shí)別裝置,其中,所述匹配模塊進(jìn)一步用于判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。上述的識(shí)別裝置,其中,所述黑名單更新模塊進(jìn)一步用于對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總,得到匯總表;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì),將存在于所述匯總表中、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中。上述的識(shí)別裝置,其中,所述用戶敏感信息包括IMSI和IMEI。與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是本發(fā)明基于用戶的異常訪問(wèn)行為,識(shí)別出訪問(wèn)同一域名的多種終端型號(hào)對(duì)應(yīng)的軟件平臺(tái),若采用相同的軟件平臺(tái),則確定手機(jī)病毒(包括后門(mén)和流氓軟件)導(dǎo)致了對(duì)該域名的訪問(wèn),并將該域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征,如此,實(shí)現(xiàn)了手機(jī)病毒特征的自動(dòng)識(shí)別,并且,該方案不需要依賴于病毒庫(kù),對(duì)手機(jī)病毒特征的識(shí)別效率也較高。
圖1為本發(fā)明實(shí)施例的手機(jī)病毒特征的識(shí)別方法流程圖;圖2為發(fā)明實(shí)施例中獲取異常訪問(wèn)行為記錄表的一種實(shí)現(xiàn)方式流程圖;圖3為本發(fā)明實(shí)施例的手機(jī)病毒特征的識(shí)別裝置結(jié)構(gòu)圖;圖4為圖3中的記錄表生成模塊的詳細(xì)結(jié)構(gòu)圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。參照?qǐng)D1,本發(fā)明實(shí)施例的手機(jī)病毒特征的識(shí)別方法,包括如下步驟步驟101 獲取異常訪問(wèn)行為記錄表;所述異常訪問(wèn)行為記錄表中記錄有用戶的異常訪問(wèn)行為,每條異常訪問(wèn)行為記錄包括用戶的手機(jī)號(hào)碼、上網(wǎng)時(shí)實(shí)用的UA(用戶代理)、訪問(wèn)時(shí)間和訪問(wèn)的域名,其中,所述 UA包括終端型號(hào)和軟件平臺(tái)。軟件平臺(tái)一般是指手機(jī)所使用的操作系統(tǒng),例如,MTK、塞班、Andriod等,同一軟件平臺(tái),還可以對(duì)應(yīng)不同的軟件版本。手機(jī)訪問(wèn)網(wǎng)絡(luò)時(shí),在訪問(wèn)請(qǐng)求數(shù)據(jù)包的UA中會(huì)攜帶該軟件平臺(tái)信息。所述異常訪問(wèn)行為記錄表可以通過(guò)外部輸入得到。所述異常訪問(wèn)行為記錄表也可以通過(guò)采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包,然后根據(jù)關(guān)鍵字列表對(duì)所述HTTP數(shù)據(jù)包進(jìn)行匹配得到,具體方法請(qǐng)參見(jiàn)后文。步驟102 根據(jù)域名對(duì)所述異常訪問(wèn)行為記錄表的記錄進(jìn)行歸類,生成多個(gè)異常訪問(wèn)行為記錄子表;由于異常訪問(wèn)行為記錄表中包括域名項(xiàng)目,那么,就可以將異常訪問(wèn)行為記錄表中具有相同域名的記錄歸為一類,對(duì)于每個(gè)域名,都生成對(duì)應(yīng)該域名的異常訪問(wèn)行為記錄子表。即,對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,該子表中的每條記錄都包括有相同的域名。在本步驟中,還可以對(duì)異常訪問(wèn)行為記錄表中的域名進(jìn)行預(yù)處理,并根據(jù)預(yù)處理后的域名對(duì)所述異常訪問(wèn)行為記錄表中的記錄進(jìn)行歸類,生成相應(yīng)的異常訪問(wèn)行為記錄子表。具體如下(1)對(duì)于IP地址形式的域名,將記錄表中的域名替換為該域名所屬網(wǎng)段的域名。(2)對(duì)包含字母的域名,將相似的域名歸為一個(gè)域名,例如Caijing.3g.Cn與 caipiao. 3g. cn為相似域名,將記錄表中的這些域名都替換為3g. cn,又例如lyricS. m-tunes. com. cn>mservice. m-tunes. com. cn、update2. m-tunes. com. c 為相似域名,將記錄表中的這些域名都替換為m-tunes. com. cn。在進(jìn)行上述替換后,就以替換后的域名對(duì)異常訪問(wèn)行為記錄表中的記錄進(jìn)行歸類。步驟103 對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,判斷其中的軟件平臺(tái)是否唯一,得到一判斷結(jié)果;步驟104 當(dāng)所述判斷結(jié)果為是時(shí),則確定手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名的訪問(wèn),并將該域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征;在將域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征后,通過(guò)少量的人工判斷就可以核實(shí)其是否為手機(jī)病毒。步驟105 當(dāng)所述判斷結(jié)果為否時(shí),將相應(yīng)的域名加入到域名白名單中。由于異常訪問(wèn)行為記錄子表中包括UA項(xiàng)目,而所述UA中包括終端型號(hào)和軟件平臺(tái),那么,就可以獲取到該子表的每條記錄對(duì)應(yīng)的軟件平臺(tái),如果每條記錄對(duì)應(yīng)的軟件平臺(tái)都相同,則可以確定多種終端型號(hào)采用的都是相同的軟件平臺(tái),而對(duì)于同一種手機(jī)病毒來(lái)說(shuō),其一般不會(huì)跨軟件平臺(tái)存在,因此,在確定多種終端型號(hào)采用的都是相同的軟件平臺(tái)時(shí),則可以確定是由于手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名(該異常訪問(wèn)行為記錄子表對(duì)應(yīng)的域名)的訪問(wèn),即,該子表中的異常訪問(wèn)行為為病毒行為。同理,在確定多種終端型號(hào)采用的不是同一個(gè)軟件平臺(tái)時(shí),則可以認(rèn)為該子表中的異常訪問(wèn)行為不是病毒行為,此時(shí),相應(yīng)的域名是可信的域名,可以將其加入到域名白名單中。為提高手機(jī)病毒特征的識(shí)別準(zhǔn)確率,上述步驟103中還可以包括對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,分別統(tǒng)計(jì)每種終端型號(hào)對(duì)應(yīng)的記錄條數(shù),并按照記錄條數(shù)從高到低的順序選取預(yù)定數(shù)目個(gè)終端型號(hào);此時(shí),所述判斷其中的軟件平臺(tái)是否唯一為判斷所述預(yù)定數(shù)目個(gè)終端型號(hào)對(duì)應(yīng)的軟件平臺(tái)是否唯一。舉例如下對(duì)于某一異常訪問(wèn)行為記錄子表,從中選取包含的記錄條數(shù)最高的20種終端型號(hào),再根據(jù)以下的方法確定該子表中的異常訪問(wèn)行為是否為病毒行為(1)如果這20種終端型號(hào)為跨軟件平臺(tái),如MTK、塞班、Andriod等,基于手機(jī)操作系統(tǒng)相對(duì)封閉這一特殊性,手機(jī)病毒極少能夠跨軟件平臺(tái)存在,這種情況下,可以認(rèn)為該子表中的異常訪問(wèn)行為不是病毒行為,于是,將該域名加入到域名白名單中;(2)如果這20種終端型號(hào)集中在某一軟件平臺(tái),如下表舉例所示,則可以認(rèn)為該子表中的異常訪問(wèn)行為是病毒行為,并以該域名來(lái)標(biāo)識(shí)手機(jī)病毒。
權(quán)利要求
1.一種手機(jī)病毒特征的識(shí)別方法,其特征在于,包括獲取異常訪問(wèn)行為記錄表,所述異常訪問(wèn)行為記錄表中包括用戶代理UA和域名,所述 UA包括終端型號(hào)和軟件平臺(tái);根據(jù)域名對(duì)所述異常訪問(wèn)行為記錄表的記錄進(jìn)行歸類,生成多個(gè)異常訪問(wèn)行為記錄子表;對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,判斷其中的軟件平臺(tái)是否唯一,得到一判斷結(jié)果; 當(dāng)所述判斷結(jié)果為是時(shí),則確定手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名的訪問(wèn),并將該域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征。
2.如權(quán)利要求1所述的識(shí)別方法,其特征在于,還包括對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,分別統(tǒng)計(jì)每種終端型號(hào)對(duì)應(yīng)的記錄條數(shù),并按照記錄條數(shù)從高到低的順序選取預(yù)定數(shù)目個(gè)終端型號(hào);此時(shí),所述判斷其中的軟件平臺(tái)是否唯一為判斷所述預(yù)定數(shù)目個(gè)終端型號(hào)對(duì)應(yīng)的軟件平臺(tái)是否唯一。
3.如權(quán)利要求1所述的識(shí)別方法,其特征在于,所述獲取異常訪問(wèn)行為記錄表,具體包括采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包;根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,根據(jù)所述異常訪問(wèn)行為生成所述異常訪問(wèn)行為記錄表,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名;根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新。
4.如權(quán)利要求3所述的識(shí)別方法,其特征在于,還包括當(dāng)所述判斷結(jié)果為否時(shí),將相應(yīng)的域名加入到域名白名單中;此時(shí),對(duì)于匹配出的異常訪問(wèn)行為,如果其對(duì)應(yīng)的域名存在于所述域名白名單中,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中。
5.如權(quán)利要求3所述的識(shí)別方法,其特征在于,所述根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,具體包括從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù),判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。
6.如權(quán)利要求3所述的識(shí)別方法,其特征在于,所述根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,具體包括判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。
7.如權(quán)利要求3所述的識(shí)別方法,其特征在于,所述根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新,具體包括對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總,得到匯總表; 將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì),將存在于所述匯總表中、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中。
8.如權(quán)利要求3所述的識(shí)別方法,其特征在于,所述用戶敏感信息包括IMSI和/或 IMEI。
9.一種手機(jī)病毒的識(shí)別裝置,其特征在于,包括記錄表生成模塊,用于獲取異常訪問(wèn)行為記錄表,所述異常訪問(wèn)行為記錄表中包括用戶代理UA和域名,所述UA包括終端型號(hào)和軟件平臺(tái);記錄子表生成模塊,用于根據(jù)域名對(duì)所述異常訪問(wèn)行為記錄表的記錄進(jìn)行歸類,生成多個(gè)異常訪問(wèn)行為記錄子表;判斷模塊,用于對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,判斷其中的軟件平臺(tái)是否唯一,得到一判斷結(jié)果;病毒特征識(shí)別模塊,用于當(dāng)所述判斷結(jié)果為是時(shí),則確定手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名的訪問(wèn),并將該域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征。
10.如權(quán)利要求9所述的識(shí)別裝置,其特征在于,還包括統(tǒng)計(jì)模塊,用于對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,分別統(tǒng)計(jì)每種終端型號(hào)對(duì)應(yīng)的記錄條數(shù),并按照記錄條數(shù)從高到低的順序選取預(yù)定數(shù)目個(gè)終端型號(hào);此時(shí),所述判斷模塊判斷其中的軟件平臺(tái)是否唯一為判斷所述預(yù)定數(shù)目個(gè)終端型號(hào)對(duì)應(yīng)的軟件平臺(tái)是否唯一。
11.如權(quán)利要求9所述的識(shí)別裝置,其特征在于,所述記錄表生成模塊具體包括數(shù)據(jù)采集模塊,用于采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包;匹配模塊,用于根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,根據(jù)所述異常訪問(wèn)行為生成所述異常訪問(wèn)行為記錄表,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名;黑名單更新模塊,用于根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新。
12.如權(quán)利要求11所述的識(shí)別裝置,其特征在于,所述病毒特征識(shí)別模塊還用于當(dāng)所述判斷結(jié)果為否時(shí),將相應(yīng)的域名加入到域名白名單中;此時(shí),所述匹配模塊對(duì)于匹配出的異常訪問(wèn)行為,如果其對(duì)應(yīng)的域名存在于所述域名白名單中,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中。
13.如權(quán)利要求11所述的識(shí)別裝置,其特征在于,所述匹配模塊進(jìn)一步用于從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù),判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。
14.如權(quán)利要求11所述的識(shí)別裝置,其特征在于,所述匹配模塊進(jìn)一步用于判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。
15.如權(quán)利要求11所述的識(shí)別裝置,其特征在于,所述黑名單更新模塊進(jìn)一步用于對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總,得到匯總表;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì),將存在于所述匯總表中、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中。
16.如權(quán)利要求11所述的識(shí)別裝置,其特征在于,所述用戶敏感信息包括IMSI和/或 IMEI。
全文摘要
本發(fā)明提供一種手機(jī)病毒特征的識(shí)別方法及裝置,所述識(shí)別方法包括獲取異常訪問(wèn)行為記錄表,所述異常訪問(wèn)行為記錄表中包括UA和域名,所述UA包括終端型號(hào)和軟件平臺(tái);根據(jù)域名對(duì)所述異常訪問(wèn)行為記錄表的記錄進(jìn)行歸類,生成多個(gè)異常訪問(wèn)行為記錄子表;對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,判斷其中的軟件平臺(tái)是否唯一,得到一判斷結(jié)果;當(dāng)所述判斷結(jié)果為是時(shí),則確定手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名的訪問(wèn),并將該域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征。本發(fā)明不需要依賴于病毒庫(kù),就能實(shí)現(xiàn)對(duì)手機(jī)病毒的自動(dòng)和及時(shí)的識(shí)別。
文檔編號(hào)H04W88/02GK102469450SQ201010534498
公開(kāi)日2012年5月23日 申請(qǐng)日期2010年11月8日 優(yōu)先權(quán)日2010年11月8日
發(fā)明者呂漢鑫, 孔軼, 莊仁峰, 譚俊, 鄭浩彬, 黃偉湘 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)廣東有限公司