專利名稱:在移動通信系統(tǒng)中探測病毒的方法和裝置的制作方法
技術領域:
本發(fā)明涉及數(shù)據(jù)安全技術領域�,特別涉及在移動通信系統(tǒng)中探測病毒的方法和裝置。
背景技術:
隨著移動通信技術的發(fā)展���,移動通信終端�����,例如智能手機�����、PDA���、筆記本電腦等能夠通過移動通信系統(tǒng)的用戶識別模塊(如SIM卡�、UIM卡等)獲取移動通信服務的各種終端設備�����,具有越來越強大的計算能力和各種網(wǎng)絡連接途徑�����,可以發(fā)送短信��、彩信���,還可以通過藍牙和紅外線進行通信�����,并且方便地訪問互聯(lián)網(wǎng)����。隨之在移動通信系統(tǒng)中出現(xiàn)了許多針對移動通信終端的病毒,可以通過多種渠道在移動通信終端之間傳播。例如�,Mabir�����,一個Cabir 病毒的變種��,不僅可以通過藍牙���,而且還可以通過彩信發(fā)送自身的副本��。CommWarrior病毒是一種蠕蟲病毒�����,可以通過彩信在諾基亞S60智能手機之間傳播����。隨著手機病毒檢測技術的發(fā)展���,如果病毒通過彩信發(fā)送自身的副本�,可以很容易地根據(jù)已知的特征被檢測出來���。 同時�����,病毒無法通過彩信發(fā)送太多的內(nèi)容�����。例如����,2G/2.5G移動通信網(wǎng)絡的彩信大小不超過100KB,而3G移動通信網(wǎng)絡對彩信大小的限制是300KB��。特別是當手機病毒的大小超過 100KB時����,就更難通過彩信傳播了。還有一種類型的病毒被嵌入或隱藏在一些網(wǎng)站中����,通過向移動通信系統(tǒng)的用戶發(fā)送一些欺騙性信息,誘使用戶從病毒網(wǎng)站服務器下載病毒����。例如,“手機骷髏(mobile phone Skulls) ”木馬病毒通過彩信傳播欺騙性內(nèi)容和病毒網(wǎng)站服務器的地址�。這些內(nèi)容很難被病毒安全系統(tǒng)及時檢測出來。如果病毒發(fā)行者經(jīng)常改變其網(wǎng)站服務器地址����,這種病毒就更難被發(fā)現(xiàn)并阻止了���。目前,針對后一種類型的病毒��,有以下兩種檢測和過濾方法���。一是惡意病毒網(wǎng)址過濾,即一些病毒安全系統(tǒng)或惡意信息過濾器檢測已知的惡意病毒網(wǎng)址并阻止用戶訪問這些網(wǎng)站�。這種方法只能檢測出已知的病毒服務器,而不能發(fā)現(xiàn)新的病毒服務器����。病毒可以通過改變服務器的地址來躲避這種病毒檢測方法。二是基于關鍵字的病毒檢測�����。這種方法可以找到總是傳播相同欺騙信息的病毒�����。 如果病毒經(jīng)常改變消息的內(nèi)容��,由于散播的信息不同,這種病毒也很難被檢測出來��。因此�����,目前對于通過在移動通信系統(tǒng)中發(fā)送欺騙性消息誘騙用戶訪問病毒服務器地址進行傳播的病毒還沒有非常及時有效的檢測方法�。
發(fā)明內(nèi)容
有鑒于此,為了檢測這種通過在移動通信系統(tǒng)中發(fā)送欺騙性消息誘騙用戶訪問病毒服務器地址進行傳播的病毒類型��,本發(fā)明實施例提供了一種在移動通信系統(tǒng)中探測病毒的方法�����,用于發(fā)現(xiàn)可能的病毒�����。本發(fā)明實施例還提供了一種在移動通信系統(tǒng)中探測病毒的病毒探測裝置�����,用于發(fā)現(xiàn)可能的病毒�。
5
本發(fā)明實施例提供的一種在移動通信系統(tǒng)中探測病毒的方法包括病毒探測裝置獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù);病毒探測裝置從所述業(yè)務數(shù)據(jù)中提取指向網(wǎng)絡中資源的資源標識�;病毒探測裝置根據(jù)所述資源標識下載所述資源�;以及病毒探測裝置判斷所述資源是否為病毒�,若所述資源為病毒,則通知所述移動通信系統(tǒng)��。本發(fā)明實施例提供的一種用于在移動通信系統(tǒng)中探測病毒的病毒探測裝置�,包括業(yè)務數(shù)據(jù)獲取模塊,用于獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù)�;信息提取模塊,用于從所述業(yè)務數(shù)據(jù)獲取模塊獲取的業(yè)務數(shù)據(jù)中提取指向網(wǎng)絡中資源的資源標識��;病毒探測模塊�����,用于根據(jù)所述信息提取模塊提取的資源標識下載所述資源��,并判斷所述資源是否為病毒�,若所述資源為病毒��,則通知所述移動通信系統(tǒng)�����。由上述的技術方案可見����,本發(fā)明實施例提供的在移動通信系統(tǒng)中探測病毒的方法���,能夠發(fā)現(xiàn)可能的病毒并報告給移動通信系統(tǒng),從而提高移動通信系統(tǒng)的安全性能��。本發(fā)明實施例提供的用于在移動通信系統(tǒng)中探測病毒的病毒探測裝置��,能夠發(fā)現(xiàn)可能的手機病毒并報告給移動通信系統(tǒng)���,從而提高移動通信系統(tǒng)的安全性能��。
圖1為本發(fā)明實施例提供的一種在移動通信系統(tǒng)中探測病毒的方法流程圖���。圖2為本發(fā)明另一實施例提供的一種在移動通信系統(tǒng)中探測病毒的方法流程圖。圖3為本發(fā)明實施例的一種病毒探測裝置的結(jié)構(gòu)示意圖����。
具體實施例方式為使本發(fā)明的實施例的目的、技術方案及優(yōu)點更加清楚明白�����,以下參照附圖并舉實施例���,對本發(fā)明實施例進一步詳細說明���。本發(fā)明實施例主要采用了主動探測病毒的方法��,監(jiān)測移動通信系統(tǒng)中的業(yè)務數(shù)據(jù)���,下載可疑資源,然后對可疑資源進行分析以確定該資源是否為病毒�。圖1為本發(fā)明實施例提供的一種在移動通信系統(tǒng)中探測病毒的方法流程圖。如圖 1所示���,該方法可以包括步驟101�����,病毒探測裝置獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù);步驟102�,病毒探測裝置從所述業(yè)務數(shù)據(jù)中提取指向網(wǎng)絡(Web)中資源的資源標識;步驟103���,病毒探測裝置根據(jù)所述資源標識下載所述資源���;步驟104���,病毒探測裝置判斷所述資源是否為病毒,若所述資源為病毒����,則執(zhí)行步驟105 ;若所述資源不是病毒��,則結(jié)束流程�。步驟105,通知所述移動通信系統(tǒng)�����。病毒探測裝置可以通過對該網(wǎng)絡設備的流入和/或流出端口進行監(jiān)聽來獲取所述業(yè)務數(shù)據(jù)����。例如,可以在與所述網(wǎng)絡設備相連的一個或多個交換機上設置鏡像端口���,所述一個或多個交換機將與所述網(wǎng)絡設備相連的端口中的業(yè)務數(shù)據(jù)鏡像到所述鏡像端口����,病毒探測裝置從所述鏡像端口獲取所述業(yè)務數(shù)據(jù)����?����;蛘?���,在與所述網(wǎng)絡設備相連的一個或多個光鏈路上設置光分路裝置���,所述病毒探測裝置通過連接到所述光分路裝置的一路輸出來獲取所述業(yè)務數(shù)據(jù)���。通過對流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù)進行監(jiān)聽/獲取,病毒探測裝置相當于監(jiān)聽/獲取了該網(wǎng)絡設備服務的所有用戶的業(yè)務數(shù)據(jù)���。病毒探測裝置可以獲取移動通信系統(tǒng)中流經(jīng)短信中心���,如短消息服務中心 (SMSC)���,的短信�����;或者獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)關(無線應用協(xié)議網(wǎng)關(WAP Gateway)和 /或WEB網(wǎng)關)或通用分組無線業(yè)務網(wǎng)關支持節(jié)點(GGSN)的彩信和/或郵件��。其中����,判斷資源是否為病毒的方法可以是對資源進行病毒掃描,或者分析資源的代碼����,根據(jù)其特征,如簽名等進行判斷��。由于病毒一般為可執(zhí)行文件的形式�����,因此還可以判斷所述資源是否為可執(zhí)行文件���,例如Symbian操作系統(tǒng)的SIS文件����。如果是可執(zhí)行文件�,可以在一個模擬器中運行所述可執(zhí)行文件并監(jiān)控所述可執(zhí)行文件的行為。根據(jù)監(jiān)控到的可執(zhí)行文件的行為可以判斷所述資源是否為病毒�����。例如,如果所述可執(zhí)行文件通過短信���、彩信或者藍牙自動發(fā)送可疑消息�,那么它很有可能是病毒�;如果模擬器重啟時,所述可執(zhí)行文件修改了某些關鍵文件����,該可執(zhí)行文件也有可能是病毒。一些手機病毒不僅在消息或業(yè)務數(shù)據(jù)中帶有病毒服務器的地址���,還可能加入一些欺騙性內(nèi)容����,如某些引誘性的文字�����、圖片等�����,來引誘移動通信用戶訪問其病毒服務器的地址����。因此,本發(fā)明的另一實施例中��,還可以先判斷所述業(yè)務數(shù)據(jù)中是否包括可疑內(nèi)容�,如果所述業(yè)務數(shù)據(jù)中包括可疑內(nèi)容,再根據(jù)所述業(yè)務數(shù)據(jù)中的資源標識從互聯(lián)網(wǎng)下載所述資源���。其中��,可疑內(nèi)容可以為預設的關鍵字�����,和/或預設的圖片特征信息�。當判斷所述資源為病毒時�����,可以執(zhí)行兩方面的操作一是通知移動通信系統(tǒng)����,例如將該業(yè)務數(shù)據(jù)的信息發(fā)送給移動通信系統(tǒng)�,使移動通信系統(tǒng)中的流量過濾設備能夠根據(jù)這些信息對類似的業(yè)務數(shù)據(jù)進行攔截和過濾��;同時�����,還可以將所述資源的信息��,如提取出的病毒特征信息���,存儲在病毒庫中���,供下次資源掃描時使用,檢測出的病毒文件還可以留給專家進行研究��。上面所述的資源標識可以是統(tǒng)一資源標識符(URI)或統(tǒng)一資源定位符(URL)���。當判斷所述資源是病毒時�,還可以記錄該資源標識����。之后從其它業(yè)務數(shù)據(jù)中提取到資源標識時�,可以先判斷是不是已經(jīng)記錄的資源標識�,如果是,則直接判定該資源為病毒�。下面通過一個較詳細的例子來對本發(fā)明的方法進行進一步的說明����。圖2為本發(fā)明另一實施例提供的一種手機病毒探測方法的流程圖。如圖2所示�, 該方法可以包括以下步驟。步驟201�,從移動通信系統(tǒng)獲取業(yè)務數(shù)據(jù)。步驟202�,判斷所述業(yè)務數(shù)據(jù)是否包括資源標識,如果有�,則執(zhí)行步驟203 ;若沒
有����,結(jié)束流程。步驟203��,判斷所述業(yè)務數(shù)據(jù)是否包括可疑內(nèi)容�,如果有,則執(zhí)行步驟204;若沒
有�,結(jié)束流程��。步驟204����,提取所述業(yè)務數(shù)據(jù)中的資源標識�����。步驟205����,判斷所述資源標識是否是已記錄的資源標識,若是�����,則執(zhí)行步驟210 ���;若CN 102547710 A
不是���,則執(zhí)行步驟206.步驟206,根據(jù)所述資源標識從互聯(lián)網(wǎng)下載相應的資源����。步驟207�,判斷該資源是否是可執(zhí)行文件�����,如果是���,則執(zhí)行步驟208,若不是�,結(jié)束流程。步驟208�����,根據(jù)病毒庫對所述資源進行病毒掃描��。步驟209��,根據(jù)掃描結(jié)果判斷該資源是否是病毒���,如果是�,則執(zhí)行步驟214 ��;若不是���,則執(zhí)行步驟210���。步驟210���,對所述資源進行代碼分析。步驟211����,根據(jù)分析結(jié)果判斷該資源是否是病毒,如果是�,則執(zhí)行步驟214;若不是,則執(zhí)行步驟212����。步驟212,在模擬器中執(zhí)行該可執(zhí)行文件��,并監(jiān)控該可執(zhí)行文件的行為�����。步驟213����,根據(jù)監(jiān)控的行為判斷該可執(zhí)行文件是否是病毒���,如果是,則執(zhí)行步驟 214�,若不是,則結(jié)束流程��。步驟214��,通知移動通信系統(tǒng)通過該業(yè)務數(shù)據(jù)找到病毒�,記錄所述資源標識,并將該病毒的信息存儲到病毒庫中�。以上僅為本發(fā)明的其中一個實施例���,并不用于限制本發(fā)明的保護范圍�����。實際應用時���,可以根據(jù)需要將其中的一些步驟省略,還可以調(diào)整各步驟的執(zhí)行順序���,或者加入其它的步驟�����。例如�����,在執(zhí)行步驟207之前����,可以先執(zhí)行步驟208,掃描資源�����;當經(jīng)過掃描判斷該資源不是病毒時��,再執(zhí)行步驟207��,判斷該資源是否是可執(zhí)行文件或壓縮文件���,等��?��;蛘?���,還可以增加針對壓縮格式的文件的處理步驟�����。例如�����,在步驟207之前��,先判斷是否為壓縮文件���, 如果是壓縮文件,對所述壓縮文件進行解壓縮��,然后對解壓縮后的文件進行掃描���、模擬運行寸����。相應地�����,本發(fā)明實施例還提供了一種病毒探測裝置。圖3為本發(fā)明實施例的一種用于在移動通信系統(tǒng)中探測病毒的病毒探測裝置的結(jié)構(gòu)示意圖����。如圖3所示,該裝置主要包括業(yè)務數(shù)據(jù)獲取模塊301�����,用于獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù)�����;信息提取模塊303�,用于從所述業(yè)務數(shù)據(jù)獲取模塊301獲取的業(yè)務數(shù)據(jù)中提取指向網(wǎng)絡中資源的資源標識;病毒探測模塊302��,用于根據(jù)所述信息提取模塊303提取的業(yè)務數(shù)據(jù)中的資源標識從互聯(lián)網(wǎng)下載資源�����;判斷所述資源是否為病毒�,若所述資源為病毒,則通知所述移動通信系統(tǒng)。業(yè)務數(shù)據(jù)獲取模塊301可以通過對所述網(wǎng)絡設備的流入和/或流出端口進行監(jiān)聽來獲取所述業(yè)務數(shù)據(jù)����。業(yè)務數(shù)據(jù)獲取模塊301可以連接到與所述網(wǎng)絡設備相連的一個或多個交換機上設置的鏡像端口,接收所述一個或多個交換機向所述鏡像端口發(fā)送的與所述網(wǎng)絡設備相連的端口中的業(yè)務數(shù)據(jù)的副本�����;或者連接到與所述網(wǎng)絡設備相連的一個或多個光鏈路上設置的光分路裝置����,用于從所述光分路裝置的一路輸出信號中獲取所述業(yè)務數(shù)據(jù)。業(yè)務數(shù)據(jù)獲取模塊301可以獲取移動通信系統(tǒng)中流經(jīng)短信中心的短信���;也可以獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)關或通用分組無線業(yè)務網(wǎng)關支持節(jié)點GGSN的彩信和/或郵件����。
在本發(fā)明提供的實施例中���,病毒探測模塊302可以包括資源下載單元3021,用于根據(jù)所述資源標識下載所述資源����;資源掃描單元3022,用于判斷所述資源是否為可執(zhí)行文件;若所述資源為可執(zhí)行文件����,將所述資源提供給模擬器單元;模擬器單元3023��,用于運行所述可執(zhí)行文件并監(jiān)控所述可執(zhí)行文件的行為���;病毒檢測單元30M����,用于根據(jù)所述模擬器單元3023監(jiān)控到的所述可執(zhí)行文件的行為判斷所述資源是否為病毒��,若為病毒��,則通知所述移動通信系統(tǒng)���。在本發(fā)明提供的實施例中�����,病毒探測模塊302或者可以包括資源下載單元3021����,用于根據(jù)所述資源標識下載資源;資源掃描單元3022��,用于根據(jù)病毒庫掃描所述資源���,根據(jù)所述掃描結(jié)果判斷所述資源是否為病毒���;以及病毒檢測單元30M,用于當所述資源掃描單元3022判斷所述資源為病毒時�,將所述資源的信息存儲在所述病毒庫中。在本發(fā)明提供的實施例中�,病毒探測模塊302或者可以包括資源下載單元3021,用于根據(jù)所述資源標識下載資源���;資源掃描單元3022����,用于根據(jù)病毒庫掃描所述資源�,并根據(jù)所述掃描結(jié)果判斷所述資源是否為病毒,若所述資源為病毒則通知病毒檢測單元30M將所述資源的信息存儲在所述病毒庫中����,若所述資源不是病毒,則判斷所述資源是否為可執(zhí)行文件��,若所述資源為可執(zhí)行文件���,將所述資源提供給模擬器單元3023 �����;所述模擬器單元3023����,用于運行所述可執(zhí)行文件并監(jiān)控所述可執(zhí)行文件的行為����; 以及,所述病毒檢測單元30M�,用于根據(jù)所述模擬器單元3023監(jiān)控到的所述可執(zhí)行文件的行為判斷所述資源是否為病毒,若為病毒��,則通知所述移動通信系統(tǒng)和/或?qū)⑺鲑Y源的信息存儲在所述病毒庫中�����。模擬器單元3023用于監(jiān)控并記錄所述可執(zhí)行文件的以下中的一種或多種行為 所述可執(zhí)行文件通過短信或者彩信或者藍牙自動發(fā)送可疑消息����;所述模擬器重啟時����,所述可執(zhí)行文件修改關鍵文件�����。所述信息提取模塊303還可以用于判斷所述業(yè)務數(shù)據(jù)中是否包括可疑內(nèi)容�����;若所述業(yè)務數(shù)據(jù)中包括可疑內(nèi)容�,則將所述資源標識提供給所述病毒探測模塊302。信息提取模塊303可以包括關鍵字掃描單元3031�,用于掃描所述業(yè)務數(shù)據(jù)中是否包括預設的關鍵字;圖片掃描單元3032�,用于掃描所述業(yè)務數(shù)據(jù)中是否包括預設的圖片特征信息;資源標識提取單元3033��,用于從所述業(yè)務數(shù)據(jù)中提取所述資源標識�;資源標識分析單元3034,用于當所述關鍵字掃描單元3031判斷所述業(yè)務數(shù)據(jù)中包括預設的關鍵字時�����,或者當所述圖片掃描單元3032判斷所述業(yè)務數(shù)據(jù)中包括預設的圖片特征信息時�����,將所述資源標識提取單元3033提取出的所述資源標識提供給所述病毒探測模塊302。需要說明的是��,以上裝置可以是獨立的設備���,也可以是移動通信網(wǎng)絡中現(xiàn)有設備中的模塊?���?梢杂梢粋€設備單獨實現(xiàn),也可以由多個設備共同實現(xiàn)��。由于移動通信系統(tǒng)中可能有多個短信中心��、多個網(wǎng)關����、以及多個GGSN設備,那么就可以針對這些設備設置多個病毒探測裝置�����,這樣可以分擔病毒探測的工作量��。本發(fā)明的病毒探測裝置中的各個模塊、 單元僅僅是根據(jù)功能進行劃分的邏輯部件�����,實際實現(xiàn)時�,可以采用相同的物理結(jié)構(gòu),也可以采用的結(jié)構(gòu)�����,例如將若干模塊或者單元合并由一個物理實體實現(xiàn)�,或者將某個模塊或單元的功能分別由多個物理實體實現(xiàn)。實現(xiàn)該裝置的多個設備或?qū)嶓w之間可以通過物理連接相連��,也可以通過無線通信協(xié)議進行信息交互�����;可以直接相連���,也可以通過網(wǎng)絡或其它途徑進行信息交互����。另外,該裝置中還可能包括協(xié)議解析器�����,用于分析業(yè)務數(shù)據(jù)使用的協(xié)議�。例如,從 MMl協(xié)議中提取彩信內(nèi)容���,并將內(nèi)容輸入到信息提取模塊303,信息提取模塊303分析彩信內(nèi)容后從彩信內(nèi)容中提取URI�。病毒探測模塊302還可能需要通過協(xié)議分析器分析URI的協(xié)議,在互聯(lián)網(wǎng)上主動搜索該URI�,然后使用協(xié)議爬蟲中的相應協(xié)議下載器從服務器下載該 URI標識的文件。如果下載的資源是一些可執(zhí)行文件����,例如Symbian操作系統(tǒng)的SIS文件, 病毒探測模塊302可以根據(jù)保存有已知病毒信息的病毒庫掃描并發(fā)現(xiàn)已知的病毒文件�,還可以根據(jù)文件代碼的特征(如簽名等)判斷該可執(zhí)行文件是否為病毒。如果該可執(zhí)行文件不是已知的病毒�����,病毒探測模塊302將執(zhí)行并安裝該可執(zhí)行文件���,并監(jiān)控其行為來驗證該文件是否是病毒����。如監(jiān)測到可疑行為,例如通過短信���、彩信或藍牙自動發(fā)送可疑消息�,或模擬器單元3023重新啟動時���,修改關鍵文件或自行啟動�����,這些行為將被記錄�,病毒探測模塊 302可以據(jù)此判斷出該文件是否為病毒�����,將發(fā)現(xiàn)的病毒存儲在病毒庫中�����,并通知移動通信系統(tǒng)��,讓其中的病毒過濾系統(tǒng)或流量控制系統(tǒng)過濾這些業(yè)務數(shù)據(jù)。一些消息中包含欺騙性文字和圖片����,引誘用戶根據(jù)其中的URI從服務器下載病毒。這些病毒經(jīng)常改變欺騙性內(nèi)容和服務器地址��,而現(xiàn)有的病毒檢測過濾技術很難檢測出以這種形式傳播的病毒��。通過以上實施例可以看出���,本發(fā)明實施例提供的在移動通信系統(tǒng)中探測病毒的方法和裝置可以監(jiān)測WAP網(wǎng)關和短信中心的業(yè)務數(shù)據(jù)��,針對其中可疑的消息主動探測病毒���,能夠發(fā)現(xiàn)通過在移動通信系統(tǒng)中散播病毒服務器地址進行傳播的病毒�。該方法和裝置具有較好的靈活性,可以通過增加新的關鍵字或圖片特征用于尋找新的病毒變種���。綜上所述�����,以上僅為本發(fā)明的部分實施例而已�����,并非用于限定本發(fā)明的保護范圍�����。 凡在本發(fā)明的范圍之內(nèi)所作的任何修改���、等同替換��、改進等�,均應包含在本發(fā)明的保護范圍之內(nèi)���。
權利要求
1.一種在移動通信系統(tǒng)中探測病毒的方法�,所述方法包括 病毒探測裝置獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù)����;所述病毒探測裝置從所述業(yè)務數(shù)據(jù)中提取指向網(wǎng)絡中資源的資源標識; 所述病毒探測裝置根據(jù)所述資源標識下載所述資源�;以及所述病毒探測裝置判斷所述資源是否為病毒,若所述資源為病毒���,則通知所述移動通信系統(tǒng)����。
2.根據(jù)權利要求1所述的方法,其特征在于�����,所述病毒探測裝置獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù)����,包括所述病毒探測裝置通過對所述網(wǎng)絡設備的流入和/或流出端口進行監(jiān)聽來獲取所述業(yè)務數(shù)據(jù)。
3.根據(jù)權利要求2所述的方法�����,其特征在于����,所述病毒探測裝置對所述網(wǎng)絡設備的流入和/或流出端口進行監(jiān)聽����,包括病毒探測裝置從至少一個交換機上的鏡像端口獲取所述業(yè)務數(shù)據(jù),其中���,所述至少一個交換機與所述網(wǎng)絡設備相連且能夠?qū)⑴c所述網(wǎng)絡設備相連的端口中的業(yè)務數(shù)據(jù)鏡像到所述鏡像端口 �;或者所述病毒探測裝置通過連接到光分路裝置的一路輸出來獲取所述業(yè)務數(shù)據(jù),其中所述光分路裝置設置在與所述網(wǎng)絡設備相連的一個或多個光鏈路上�����。
4.根據(jù)權利要求1所述的方法����,其特征在于,所述病毒探測裝置獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù)�����,包括所述病毒探測裝置獲取所述移動通信系統(tǒng)中流經(jīng)短信中心的短信�;和/或所述病毒探測裝置獲取所述移動通信系統(tǒng)中流經(jīng)網(wǎng)關或通用分組無線業(yè)務網(wǎng)關支持節(jié)點GGSN的彩信和/或郵件。
5.根據(jù)權利要求1至4中任一項所述的方法��,其特征在于��,所述病毒探測裝置判斷資源是否為病毒��,包括所述病毒探測裝置判斷所述資源是否為可執(zhí)行文件�;若所述資源為可執(zhí)行文件,所述病毒探測裝置在模擬器中運行所述可執(zhí)行文件并監(jiān)控所述可執(zhí)行文件的行為��;以及所述病毒探測裝置根據(jù)監(jiān)控到的所述可執(zhí)行文件的行為判斷所述資源是否為病毒���;或者包括所述病毒探測裝置對所述資源進行代碼分析�����,根據(jù)代碼分析結(jié)果判斷所述資源是否為病毒��。
6.根據(jù)權利要求5所述的方法��,其特征在于�����,所述病毒探測裝置根據(jù)監(jiān)控到的所述可執(zhí)行文件的行為判斷所述資源是否為病毒��,包括當所述行為包括至少一種以下行為時����,所述病毒探測裝置判斷所述資源是病毒 所述可執(zhí)行文件通過短信或者彩信或者藍牙自動發(fā)送可疑消息; 所述模擬器重啟時����,所述可執(zhí)行文件修改關鍵文件�。
7.根據(jù)權利要求1至4中任一項所述的方法,其特征在于����,所述方法進一步包括 所述病毒探測裝置判斷所述業(yè)務數(shù)據(jù)中是否包括可疑內(nèi)容����;若所述業(yè)務數(shù)據(jù)中包括可疑內(nèi)容��,則病毒探測裝置執(zhí)行所述根據(jù)所述資源標識下載所述資源的步驟���。
8.根據(jù)權利要求7所述的方法����,其特征在于��,所述可疑內(nèi)容包括預設的關鍵字���,和/或預設的圖片特征信息�。
9.根據(jù)權利要求1至4中任一項所述的方法���,其特征在于�,所述方法進一步包括若所述資源為病毒�����,則所述病毒探測裝置將所述資源的信息存儲在病毒庫中;所述病毒探測裝置判斷資源是否為病毒�����,包括所述病毒探測裝置根據(jù)所述病毒庫判斷所述資源是否為病毒�。
10.一種用于在移動通信系統(tǒng)中探測病毒的病毒探測裝置,所述裝置包括業(yè)務數(shù)據(jù)獲取模塊����,用于獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù);信息提取模塊�����,用于從所述業(yè)務數(shù)據(jù)獲取模塊獲取的業(yè)務數(shù)據(jù)中提取指向網(wǎng)絡中資源的資源標識���;病毒探測模塊����,用于根據(jù)所述信息提取模塊提取的資源標識下載所述資源�����,并判斷所述資源是否為病毒,若所述資源為病毒���,則通知所述移動通信系統(tǒng)。
11.根據(jù)權利要求10所述的裝置���,其特征在于���,所述業(yè)務數(shù)據(jù)獲取模塊用于通過對所述網(wǎng)絡設備的流入和/或流出端口進行監(jiān)聽來獲取所述業(yè)務數(shù)據(jù)。
12.根據(jù)權利要求10所述的裝置��,其特征在于����,所述業(yè)務數(shù)據(jù)獲取模塊用于執(zhí)行以下操作中的至少一個獲取移動通信系統(tǒng)中流經(jīng)短信中心的短信;獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)關或通用分組無線業(yè)務網(wǎng)關支持節(jié)點GGSN的彩信和/或郵件����。
13.根據(jù)權利要求10所述的裝置,其特征在于��,所述病毒探測模塊����,包括資源下載單元,用于根據(jù)所述資源標識下載資源;資源掃描單元���,用于判斷所述資源是否為可執(zhí)行文件���;若所述資源為可執(zhí)行文件,將所述資源提供給模擬器單元�����;所述模擬器單元�����,用于運行所述可執(zhí)行文件并監(jiān)控所述可執(zhí)行文件的行為�;以及,病毒檢測單元根據(jù)所述模擬器單元監(jiān)控到的所述可執(zhí)行文件的行為判斷所述資源是否為病毒�,若為病毒,則通知所述移動通信系統(tǒng)��;或者包括資源下載單元��,用于根據(jù)所述資源標識下載資源�;資源掃描單元,用于根據(jù)病毒庫掃描所述資源����,根據(jù)所述掃描結(jié)果判斷所述資源是否為病毒�����;以及病毒檢測單元�����,用于當所述資源掃描單元判斷所述資源為病毒時,將所述資源的信息存儲在所述病毒庫中��;或者包括資源下載單元�����,用于根據(jù)所述資源標識下載資源��;資源掃描單元����,用于根據(jù)病毒庫掃描所述資源,并根據(jù)所述掃描結(jié)果判斷所述資源是否為病毒���,若所述資源為病毒則通知病毒檢測單元將所述資源的信息存儲在所述病毒庫中����,若所述資源不是病毒,則判斷所述資源是否為可執(zhí)行文件���,若所述資源為可執(zhí)行文件���,將所述資源提供給模擬器單元; 所述模擬器單元���,用于運行所述可執(zhí)行文件并監(jiān)控所述可執(zhí)行文件的行為�����;以及�,所述病毒檢測單元����,用于根據(jù)所述模擬器單元監(jiān)控到的所述可執(zhí)行文件的行為判斷所述資源是否為病毒,若為病毒�,則通知所述移動通信系統(tǒng)和/或?qū)⑺鲑Y源的信息存儲在所述病毒庫中。
14.根據(jù)權利要求13所述的裝置��,其特征在于�,所述模擬器單元用于監(jiān)控并記錄所述可執(zhí)行文件的以下中的一種或多種行為所述可執(zhí)行文件通過短信或者彩信或者藍牙自動發(fā)送可疑消息�����;所述模擬器重啟時���,所述可執(zhí)行文件修改關鍵文件。
15.根據(jù)權利要求10所述的裝置�,其特征在于,所述信息提取模塊進一步用于判斷所述業(yè)務數(shù)據(jù)中是否包括可疑內(nèi)容��;若所述業(yè)務數(shù)據(jù)中包括可疑內(nèi)容���,則將所述資源標識提供給所述病毒探測模塊。
全文摘要
本發(fā)明實施例提供了在移動通信系統(tǒng)中探測病毒的方法和裝置��。該方法包括病毒探測裝置獲取移動通信系統(tǒng)中流經(jīng)網(wǎng)絡設備的業(yè)務數(shù)據(jù)�;從所述業(yè)務數(shù)據(jù)中提取指向網(wǎng)絡中資源的資源標識;根據(jù)所述資源標識下載所述資源��;判斷所述資源是否為病毒����,若所述資源為病毒,則通知所述移動通信系統(tǒng)�。本發(fā)明實施例提供的在移動通信系統(tǒng)中探測病毒方法和裝置可以監(jiān)測移動通信系統(tǒng)的業(yè)務數(shù)據(jù)�����,針對其中可疑的消息主動探測病毒��,能夠發(fā)現(xiàn)通過向移動通信系統(tǒng)的用戶散播病毒服務器地址進行傳播的病毒�。
文檔編號H04W12/12GK102547710SQ20101060605
公開日2012年7月4日 申請日期2010年12月22日 優(yōu)先權日2010年12月22日
發(fā)明者郭代飛, 隋愛芬 申請人:西門子公司