專利名稱:移動(dòng)終端上網(wǎng)異常檢測(cè)方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù),尤其涉及一種移動(dòng)終端上網(wǎng)異常檢測(cè)方法和裝置�。
背景技術(shù):
隨著智能手機(jī)的廣泛應(yīng)用,手機(jī)已由單純的通訊工具發(fā)展成為媒體內(nèi)容的主要載體之一�����,手機(jī)用戶也越來越多的通過移動(dòng)終端來訪問各種網(wǎng)絡(luò)業(yè)務(wù)���,特別是隨著移動(dòng)網(wǎng)絡(luò)的發(fā)展�,移動(dòng)終端已成為人們?yōu)g覽互聯(lián)網(wǎng)�����,以及獲取網(wǎng)上資源的主要設(shè)備��。但是����,隨著智能移動(dòng)終端的發(fā)展,針對(duì)移動(dòng)終端的惡意軟件開始出現(xiàn)并快速蔓延�,不法分子利用這些惡意軟件竊取用戶隱私或執(zhí)行惡意操作,危害用戶利益和網(wǎng)絡(luò)安全���。其中���,針對(duì)移動(dòng)終端的惡意程序中,對(duì)運(yùn)營(yíng)商和用戶危害最大的是手機(jī)僵尸網(wǎng)絡(luò)病毒�,手機(jī)僵尸網(wǎng)絡(luò)是指通過各種手段在大量手機(jī)中植入惡意程序,從而在控制者和被惡意程序感染的手機(jī)之間所形成的可一對(duì)多控制的手機(jī)網(wǎng)絡(luò)����。與傳統(tǒng)意義上的移動(dòng)終端惡意軟件相比,手機(jī)僵尸網(wǎng)絡(luò)的危害性更大�����,手機(jī)僵尸網(wǎng)絡(luò)的控制者通過對(duì)所控制手機(jī)發(fā)送命令���,控制手機(jī)進(jìn)行各種有害行為�����。這些行為除了包含傳統(tǒng)手機(jī)惡意軟件存在的行為����,如竊取用戶手機(jī)中的各種信息及隱私數(shù)據(jù)、聯(lián)網(wǎng)下載惡意程序����、發(fā)送垃圾短信、訂購(gòu)高額服務(wù)提供商SP (Service Provider, SP)服務(wù)等��,還包括一些手機(jī)僵尸網(wǎng)絡(luò)特有的行為�����,例如發(fā)動(dòng)針對(duì)用戶手機(jī)的短信分布式拒絕服務(wù)攻擊(Distributed Denial of service�����,DD0S)攻擊���,針對(duì)某個(gè)網(wǎng)站服務(wù)器或郵件服務(wù)器的DDOS攻擊等����。目前,針對(duì)手機(jī)僵尸網(wǎng)絡(luò)病毒的治理技術(shù)非常有效����,通常的做法是事后的終端殺毒�����,以及使用基于互聯(lián)網(wǎng)的病毒檢測(cè)機(jī)制���,例如特征匹配機(jī)制����、流量統(tǒng)計(jì)檢測(cè)機(jī)制��、域名系統(tǒng)(Domain Name System, DNS)檢測(cè)機(jī)制���、蜜罐檢測(cè)機(jī)制�����,對(duì)這些惡意程序進(jìn)行處理����。但是,終端殺毒的辦法不能阻止病毒擴(kuò)散��,減少用戶的損失����;而基于互聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)是基于傳統(tǒng)互聯(lián)網(wǎng)的,即在互聯(lián)網(wǎng)側(cè)進(jìn)行檢測(cè)�,由于移動(dòng)終端是通過移動(dòng)網(wǎng)絡(luò)中的網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(Gateway GPRS Support Node,GGSN)分配IP地址接入互聯(lián)網(wǎng), 在互聯(lián)網(wǎng)側(cè)監(jiān)測(cè)時(shí)僅可以獲得通信雙方的IP地址�,而無法獲得移動(dòng)終端的地址,如移動(dòng)用戶的手機(jī)號(hào)碼�,從而無法確定哪個(gè)移動(dòng)終端的上網(wǎng)行為,也就無法確定是否移動(dòng)終端被植入了惡意軟件�����,無法及時(shí)提醒用戶���,減少用戶的經(jīng)濟(jì)損失����。
發(fā)明內(nèi)容
本發(fā)明提供一種移動(dòng)終端上網(wǎng)異常檢測(cè)方法和裝置���,可有效克服現(xiàn)有技術(shù)存在的問題����。本發(fā)明提供一種移動(dòng)終端上網(wǎng)異常檢測(cè)方法,包括檢測(cè)當(dāng)前網(wǎng)絡(luò)流量�����,從當(dāng)前網(wǎng)絡(luò)流量中獲得主叫號(hào)碼以及所述主叫號(hào)碼所要訪問的目標(biāo)地址���;從網(wǎng)址表中查詢所述目標(biāo)地址的屬性,所述網(wǎng)址表包括預(yù)設(shè)的網(wǎng)頁(yè)地址���,以及預(yù)設(shè)的網(wǎng)頁(yè)地址的屬性����;
根據(jù)所述目標(biāo)地址的屬性�����,確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異
堂
巾ο本發(fā)明提供一種移動(dòng)終端上網(wǎng)異常檢測(cè)裝置���,包括地址獲取模塊���,用于檢測(cè)當(dāng)前網(wǎng)絡(luò)流量����,從當(dāng)前網(wǎng)絡(luò)流量中獲得主叫號(hào)碼以及所述主叫號(hào)碼所要訪問的目標(biāo)地址��;屬性查詢模塊�,用于從預(yù)設(shè)的網(wǎng)址表中查詢所述目標(biāo)地址的屬性,所述網(wǎng)址表包括預(yù)設(shè)的目標(biāo)地址����,以及預(yù)設(shè)的目標(biāo)地址的屬性;異常檢測(cè)模塊���,用于根據(jù)所述目標(biāo)地址的屬性����,確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常�����。本發(fā)明提供的移動(dòng)終端上網(wǎng)異常檢測(cè)方法和裝置�����,通過獲取移動(dòng)終端用戶的主叫號(hào)碼以及所要訪問的目標(biāo)地址的屬性,可基于該目標(biāo)地址的屬性來確定主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端的上網(wǎng)行為是否異常����,從而可對(duì)主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常做出判斷,由于上網(wǎng)異常檢測(cè)是基于主叫號(hào)碼進(jìn)行�,可便于對(duì)移動(dòng)用戶上網(wǎng)異常進(jìn)行檢測(cè),可適用于移動(dòng)用戶的網(wǎng)上異常檢測(cè)���,可保證能夠及早發(fā)現(xiàn)手機(jī)僵尸網(wǎng)絡(luò)等移動(dòng)惡意軟件��,并對(duì)用戶進(jìn)行提醒�,從而避免或減少用戶的經(jīng)濟(jì)損失��,提高移動(dòng)終端上網(wǎng)的安全性和可靠性�。
圖1為本發(fā)明實(shí)施例一提供的移動(dòng)終端上網(wǎng)異常檢測(cè)方法的流程示意圖���;圖2為本發(fā)明實(shí)施例二提供的移動(dòng)終端上網(wǎng)異常檢測(cè)方法的流程示意圖�;圖3為本發(fā)明實(shí)施例三提供的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置的結(jié)構(gòu)示意圖����;圖4為本發(fā)明實(shí)施例四提供的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置的結(jié)構(gòu)示意圖;圖5為本發(fā)明實(shí)施五提供的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置的結(jié)構(gòu)示意圖�;圖6為本發(fā)明實(shí)施例六提供的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置的結(jié)構(gòu)示意圖。
具體實(shí)施例方式圖1為本發(fā)明實(shí)施例一提供的移動(dòng)終端上網(wǎng)異常檢測(cè)方法的流程示意圖。本實(shí)施例檢測(cè)方法為部署于移動(dòng)網(wǎng)的核心網(wǎng)上�,可對(duì)移動(dòng)終端用戶通過核心網(wǎng)訪問互聯(lián)網(wǎng)進(jìn)行檢測(cè),以檢測(cè)移動(dòng)終端上網(wǎng)行為�,確定移動(dòng)終端上網(wǎng)是否異常,具體地����,如圖1所示,本實(shí)施例移動(dòng)終端上網(wǎng)異常檢測(cè)方法可包括以下步驟步驟101����、移動(dòng)終端上網(wǎng)異常檢測(cè)裝置檢測(cè)當(dāng)前網(wǎng)絡(luò)流量,獲得主叫號(hào)碼以及主叫號(hào)碼所要訪問的目標(biāo)地址����;步驟102、移動(dòng)終端上網(wǎng)異常檢測(cè)裝置從預(yù)設(shè)的網(wǎng)址表中查詢?cè)撃繕?biāo)地址的屬性���, 該網(wǎng)址表包括預(yù)設(shè)的目標(biāo)地址����,以及預(yù)設(shè)的目標(biāo)地址的屬性��;步驟103�、移動(dòng)終端上網(wǎng)異常檢測(cè)裝置根據(jù)目標(biāo)地址的屬性��,確定主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常���。本實(shí)施例可應(yīng)用于移動(dòng)終端上網(wǎng)異常的檢測(cè)中,具體地���,移動(dòng)終端上網(wǎng)異常檢測(cè)裝置可通過檢測(cè)網(wǎng)絡(luò)流量�,獲取移動(dòng)終端用戶的主叫號(hào)碼�����,并通過預(yù)設(shè)的網(wǎng)址表來查詢得到主叫號(hào)碼所要訪問的目標(biāo)地址的屬性����,以確定該目標(biāo)地址是否異常,從而可確定主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常���,其中,網(wǎng)址表中預(yù)設(shè)的目標(biāo)地址具體可以是限制訪問的網(wǎng)頁(yè)以及允許訪問的網(wǎng)頁(yè)���,相應(yīng)的目標(biāo)地址的屬性可以是異?;蛘?���。本領(lǐng)域技術(shù)人員可以理解��,上述的主叫號(hào)碼是移動(dòng)網(wǎng)絡(luò)中��,分配給用戶的唯一標(biāo)識(shí)�,用戶通過移動(dòng)終端訪問互聯(lián)網(wǎng)時(shí)����,也是通過該主叫號(hào)碼發(fā)起通信連接,具體地��,該主叫號(hào)碼可以是手機(jī)號(hào)等移動(dòng)網(wǎng)絡(luò)中用于表示用戶身份的標(biāo)識(shí)��。主叫號(hào)碼所要訪問的目標(biāo)地址也就是主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端用戶發(fā)起的上網(wǎng)行為所要訪問的目標(biāo)地址�。本領(lǐng)域技術(shù)人員可以理解,當(dāng)檢測(cè)到主叫號(hào)碼針對(duì)一目標(biāo)地址發(fā)起的上網(wǎng)行為異常時(shí)��,可主動(dòng)將主叫號(hào)碼訪問該目標(biāo)地址的上網(wǎng)請(qǐng)求中斷�,避免對(duì)用戶產(chǎn)生影響。本實(shí)施例中����,當(dāng)檢測(cè)到移動(dòng)終端的上網(wǎng)異常時(shí),還可向主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端發(fā)送預(yù)警信息�����,以通知移動(dòng)終端用戶上網(wǎng)異常,便于移動(dòng)終端用戶對(duì)其上網(wǎng)行為進(jìn)行處理�����, 例如����,可將該網(wǎng)頁(yè)加入黑名單,限制訪問等�。具體地,向移動(dòng)終端發(fā)送預(yù)警信息�,可以是向移動(dòng)終端發(fā)送短信息的方式,該短信息可包含提醒信息���,例如惡意的目標(biāo)地址���,以及處理方式等;或者也可以是向移動(dòng)終端發(fā)起通話連接��,以電話通知的方式�����,來向移動(dòng)終端用戶發(fā)送預(yù)警信息����,通知移動(dòng)終端用戶對(duì)異常上網(wǎng)行為進(jìn)行及時(shí)處理。綜上�����,本發(fā)明實(shí)施例提供的移動(dòng)終端上網(wǎng)異常檢測(cè)方法���,通過獲取移動(dòng)終端用戶的主叫號(hào)碼以及所要訪問的目標(biāo)地址的屬性����,可基于該目標(biāo)地址的屬性來確定主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端的上網(wǎng)行為是否異常���,從而可對(duì)主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常做出判斷��,由于上網(wǎng)異常檢測(cè)是基于主叫號(hào)碼進(jìn)行��,可便于對(duì)移動(dòng)用戶上網(wǎng)異常進(jìn)行檢測(cè)��, 可適用于移動(dòng)用戶的網(wǎng)上異常檢測(cè)�����,可保證能夠及早發(fā)現(xiàn)手機(jī)僵尸網(wǎng)絡(luò)等移動(dòng)惡意軟件����, 并對(duì)用戶進(jìn)行提醒,從而避免或減少用戶的經(jīng)濟(jì)損失��,提高移動(dòng)終端上網(wǎng)的安全性和可靠性�����。圖2為本發(fā)明實(shí)施例二提供的移動(dòng)終端上網(wǎng)異常檢測(cè)方法的流程示意圖����。如圖2 所示,本實(shí)施例移動(dòng)終端上網(wǎng)異常檢測(cè)方法可包括以下步驟步驟201�����、檢測(cè)當(dāng)前用戶網(wǎng)絡(luò)流量��,獲得主叫號(hào)碼以及主叫號(hào)碼所要訪問的目標(biāo)地址����;步驟202、判斷主叫號(hào)碼所要訪問的目標(biāo)地址是否與預(yù)設(shè)的網(wǎng)址表中預(yù)設(shè)的目標(biāo)地址相同,是則執(zhí)行步驟203�����,否則�,執(zhí)行步驟204 �����;步驟203����、從網(wǎng)址表中獲取該目標(biāo)地址的屬性,判斷該目標(biāo)地址的屬性是否異常����, 是則執(zhí)行步驟209,否則�����,該目標(biāo)地址的屬性為正常����,表示主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端用戶的上網(wǎng)行為正常,結(jié)束;步驟204�、統(tǒng)計(jì)針對(duì)該目標(biāo)地址的訪問次數(shù);步驟205�����、判斷針對(duì)該目標(biāo)地址的訪問次數(shù)是否大于預(yù)設(shè)閾值��,是則執(zhí)行步驟 206�,否則結(jié)束;步驟206���、檢查主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端上傳的數(shù)據(jù)中是否包含隱私信息�,是則執(zhí)行步驟207�����,否則����,執(zhí)行步驟208 ;步驟207��、將該目標(biāo)地址的屬性設(shè)置為異常�����,并加入到網(wǎng)址表中,結(jié)束�;步驟208、通知用戶確定該目標(biāo)地址是否異常�,是則將該目標(biāo)地址的屬性設(shè)置為異常并加入到網(wǎng)址表中�,結(jié)束,否則����,將該目標(biāo)地址的屬性設(shè)置為正常并加入到網(wǎng)址表中,結(jié)
束ο步驟209�、確定該主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端出現(xiàn)上網(wǎng)異常,發(fā)送預(yù)警信息給主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端����。本實(shí)施例中,在對(duì)移動(dòng)終端用戶的上網(wǎng)行為進(jìn)行檢測(cè)前��,可預(yù)先設(shè)置網(wǎng)址表����,該網(wǎng)址表中包括屬性為正常和異常的兩類目標(biāo)地址,其中��,網(wǎng)址表中的各目標(biāo)地址可根據(jù)經(jīng)驗(yàn)獲得的,以表明目標(biāo)地址是惡意的或正常的�,惡意的目標(biāo)地址可將其屬性設(shè)置為異常,否則設(shè)置為正常���。實(shí)際應(yīng)用中���,在對(duì)移動(dòng)終端用戶的上網(wǎng)行為進(jìn)行檢測(cè)前,可根據(jù)人工驗(yàn)證�,將驗(yàn)證的目標(biāo)地址加入網(wǎng)址表中,并分別將目標(biāo)地址的屬性設(shè)置為正?;虍惓#1硎鞠鄳?yīng)的網(wǎng)頁(yè)資源無惡意��,用戶可正常訪問�����,異常表示相應(yīng)的網(wǎng)頁(yè)資源為惡意網(wǎng)頁(yè)資源��,用戶訪問可能會(huì)泄露信息以及感染病毒�����。本領(lǐng)域技術(shù)人員可以理解��,網(wǎng)址表中除了記錄目標(biāo)地址及其屬性外,還可記錄有目標(biāo)地址的描述信息���,以便為用戶或管理人員提供參考����;且目標(biāo)地址的屬性可用數(shù)字或符合代替����,例如��,目標(biāo)地址的屬性為0可表示正常����,為1時(shí)表示異常。具體地�,對(duì)于移動(dòng)用戶訪問量排名較高的網(wǎng)站,例如谷歌���、網(wǎng)易等����,可將其統(tǒng)一資源定位符(Uniform Resource Locator, URL)及IP地址作為目標(biāo)地址加入網(wǎng)址表中�����,并將這些目標(biāo)地址的屬性設(shè)置為正常,以便移動(dòng)終端用戶訪問該些網(wǎng)址時(shí)�����,可直接放行��;對(duì)于已經(jīng)被用戶投訴為惡意網(wǎng)站��,可將這些網(wǎng)站的URL及IP地址作為目標(biāo)地址加入網(wǎng)址表中����,并將這些目標(biāo)地址的屬性設(shè)置為異常,以便移動(dòng)終端用戶訪問該些網(wǎng)址時(shí)�,可直接限制其訪問,以保護(hù)移動(dòng)終端免遭網(wǎng)絡(luò)攻擊或感染惡意程序�。本實(shí)施例中,上述的目標(biāo)地址可以是URL或IP地址���,該目標(biāo)地址是因特網(wǎng)上標(biāo)準(zhǔn)的資源的地址�����。實(shí)際應(yīng)用中���,可以通過散列計(jì)算得到目標(biāo)地址對(duì)應(yīng)的散列值����,并可將該散列值及目標(biāo)地址存儲(chǔ)在網(wǎng)址表中��,由于散列值易于運(yùn)算和存儲(chǔ)�,因此,通過散列計(jì)算���,可以有效提高目標(biāo)地址查詢的速度和效果����。本實(shí)施例中�����,散列計(jì)算通常有兩種第一種是對(duì)整個(gè)目標(biāo)地址做散列��,一個(gè)網(wǎng)址對(duì)應(yīng)著一個(gè)散列值�,該方法對(duì)長(zhǎng)度較短的散列對(duì)象有效�;第二種是對(duì)目標(biāo)地址的若干個(gè)字節(jié)子序列做散列,一個(gè)目標(biāo)地址對(duì)應(yīng)著一個(gè)散列值的集合����,該方法對(duì)長(zhǎng)度較大的散列對(duì)象比較有效�?����?紤]到目標(biāo)地址長(zhǎng)度較小(一般不超過40字節(jié))�,本實(shí)施例中采用第一種散列計(jì)算方法。上述步驟201中����,獲得主叫號(hào)碼所要訪問的目標(biāo)地址,具體可以計(jì)算得到該目標(biāo)地址的散列值��,然后根據(jù)該散列值查詢是否存在于網(wǎng)址表中�。上述步驟202中,判斷主叫號(hào)碼所要訪問的目標(biāo)地址是否存在于網(wǎng)址表中���,具體可以通過散列值來查詢網(wǎng)址表�,確定該目標(biāo)地址的散列值是否存在于網(wǎng)址表中����,若該目標(biāo)地址的散列值存儲(chǔ)于網(wǎng)址表中,則說明該目標(biāo)地址為網(wǎng)址表中預(yù)設(shè)的目標(biāo)地址����。上述步驟203中����,判斷目標(biāo)地址為網(wǎng)址表中的地址時(shí)����,即可從網(wǎng)址表中獲得該目標(biāo)地址的屬性,若目標(biāo)地址的屬性為正常���,說明主叫號(hào)碼所要訪問的目標(biāo)地址是安全的�,就可以放行該次流量�,允許移動(dòng)終端用戶對(duì)該目標(biāo)地址的訪問,結(jié)束����,否則����,說明該目標(biāo)地址是惡意的、不安全的目標(biāo)地址�����,可確定該主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端用戶的上網(wǎng)行為異常,并可通知移動(dòng)終端用戶進(jìn)行處理����。上述步驟204中,當(dāng)目標(biāo)地址不存在于網(wǎng)址表��,即網(wǎng)址表不存在該目標(biāo)地址時(shí)��,則可對(duì)該目標(biāo)地址出現(xiàn)的次數(shù)進(jìn)行統(tǒng)計(jì)����。若第一次出現(xiàn),則可將次數(shù)設(shè)置為1 ���;若非第一次出現(xiàn)���,依次累加出現(xiàn)次數(shù),至到該目標(biāo)地址出現(xiàn)次數(shù)超過預(yù)設(shè)閾值時(shí)��,確定該目標(biāo)地址是否惡意或正常��。該目標(biāo)地址出現(xiàn)的次數(shù)�,可不限于一個(gè)主叫號(hào)碼發(fā)所要訪問的次數(shù),可以是移動(dòng)網(wǎng)絡(luò)中所有用戶的主叫號(hào)碼針對(duì)該目標(biāo)地址的訪問次數(shù)。實(shí)際應(yīng)用中����,統(tǒng)計(jì)該目標(biāo)地址的次數(shù)過程中,若該目標(biāo)地址第一次出現(xiàn)��,可將該目標(biāo)地址的屬性設(shè)置為可疑��,并將次數(shù)設(shè)置為1�����,并可保存在網(wǎng)址表中�,在后續(xù)繼續(xù)監(jiān)控到有用戶訪問該目標(biāo)地址時(shí),可從網(wǎng)址表中確認(rèn)該目標(biāo)地址的屬性為可疑時(shí)�����,就可以在原有統(tǒng)計(jì)次數(shù)的基礎(chǔ)上進(jìn)行累加��,至到出現(xiàn)次數(shù)達(dá)到預(yù)設(shè)閾值����。上述步驟206中���,當(dāng)判斷目標(biāo)地址出現(xiàn)次數(shù)超過預(yù)設(shè)閾值時(shí)�,則可檢查該主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端的用戶的上行數(shù)據(jù)中是否包含有隱私信息,以確定該目標(biāo)地址是否惡意�,其中,隱私信息具體可包括國(guó)際移動(dòng)用戶識(shí)別碼(International Mobile Subscriber Identification Number, IMSI)���、用戶的電話號(hào)碼薄��、用戶的電子郵件���、用戶的短信息中的一個(gè)或多個(gè)。由于僅從目標(biāo)地址出現(xiàn)的頻率上并不能區(qū)分目標(biāo)地址是惡意的網(wǎng)頁(yè)資源還是正常的網(wǎng)頁(yè)資源���,因此���,可對(duì)用戶上傳的數(shù)據(jù)中的信息進(jìn)行分析,以確定目標(biāo)地址是否異常�。 具體地,假設(shè)用戶上傳的信息中滿足如下任意條件�;(1) 15位數(shù)字,例如前幾位數(shù)字包括4600 �;(2)含有大量11位手機(jī)號(hào)碼,如130開頭的11位數(shù)字�����,或者189開頭的11位數(shù)字等;(3)在非簡(jiǎn)單郵件傳輸協(xié)議(Simple Mail Transfer Protocol, SMTP)���、郵局協(xié)議 (Post Office Protocol, POP)�、交互式郵件存取協(xié)議(Internet Mail Access Protocol, IMAP)協(xié)議中含有郵件地址的信息�����,其中�,SMTP、POP��、IMAP協(xié)議信息可以通過解析流量中的
目標(biāo)端口號(hào)獲得���。當(dāng)主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端的用戶上傳的數(shù)據(jù)信息中包括上述任一條件時(shí)�,就說明用戶的上行數(shù)據(jù)中包括隱私信息��,就可以將該目標(biāo)地址確認(rèn)為惡意網(wǎng)頁(yè)��,否則�����,確認(rèn)為正常網(wǎng)頁(yè)。上述步驟207中�����,當(dāng)確定主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端的用戶針對(duì)該目標(biāo)地址上傳的數(shù)據(jù)包包含隱私信息時(shí)��,即可確定該目標(biāo)地址為惡意的�,可在網(wǎng)址表中將其屬性設(shè)置為異常���,以待下次有主叫號(hào)碼訪問的該目標(biāo)地址時(shí)可基于該新更新的網(wǎng)址表進(jìn)行判斷���。上述步驟208中,當(dāng)確定主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端的用戶對(duì)該目標(biāo)地址上傳的數(shù)據(jù)包不包含隱私信息時(shí)����,可將該目標(biāo)地址發(fā)送給用戶或管理者,由用戶或管理者進(jìn)行人工判定�����,以確定該目標(biāo)地址是否惡意�����,是則在網(wǎng)址表中將該目標(biāo)地址的屬性設(shè)置為異常,否則�,將該目標(biāo)地址的屬性設(shè)置為正常。本領(lǐng)域技術(shù)人員可以理解���,本實(shí)施例提供的上網(wǎng)異常檢測(cè)方法可在移動(dòng)網(wǎng)側(cè)的核心網(wǎng)上�����,對(duì)移動(dòng)終端的上網(wǎng)行為進(jìn)行檢測(cè)�����,以確定移動(dòng)終端的上網(wǎng)行為是否異常�����,并檢測(cè)到移動(dòng)終端上網(wǎng)異常時(shí)通知移動(dòng)終端用戶及時(shí)處理���,例如移動(dòng)終端用戶可根據(jù)通知,確認(rèn)上網(wǎng)異常時(shí)可停止上網(wǎng)��,或者查看移動(dòng)終端內(nèi)是否有惡意程序���。此外���,當(dāng)檢測(cè)到移動(dòng)終端出現(xiàn)上網(wǎng)異常時(shí)�����,也可通過切斷移動(dòng)終端的上網(wǎng)行為,以避免移動(dòng)終端用戶損失��。圖3為本發(fā)明實(shí)施例三提供的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置的結(jié)構(gòu)示意圖��。本實(shí)施例移動(dòng)終端上網(wǎng)異常檢測(cè)裝置可執(zhí)行上述本發(fā)明實(shí)施例移動(dòng)終端上網(wǎng)異常檢測(cè)方法中����,對(duì)移動(dòng)終端的上網(wǎng)進(jìn)行檢測(cè),確定移動(dòng)終端的上網(wǎng)行為是否異常����,具體地,如圖3所示��,本實(shí)施例異常檢測(cè)裝置包括地址獲取模塊1����、屬性查詢模塊2和異常檢測(cè)模塊3,其中地址獲取模塊1����,用于檢測(cè)當(dāng)前網(wǎng)絡(luò)流量�,獲得主叫號(hào)碼以及主叫號(hào)碼所要訪問的目標(biāo)地址����;屬性查詢模塊2,與地址獲取模塊1連接�����,用于從預(yù)設(shè)的網(wǎng)址表中查詢?cè)撃繕?biāo)地址的屬性�,網(wǎng)址表包括預(yù)設(shè)的目標(biāo)地址,以及預(yù)設(shè)的目標(biāo)地址的屬性����;異常檢測(cè)模塊3,與屬性查詢模塊2連接��,用于根據(jù)目標(biāo)地址的屬性�����,確定主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常�����。本實(shí)施例可用于移動(dòng)終端用戶上網(wǎng)行為的檢測(cè)中,以確定移動(dòng)終端用戶上網(wǎng)行為是否異常����,其具體實(shí)現(xiàn)過程可參見上述本發(fā)明方法實(shí)施例的說明,在此不再贅述��。本實(shí)施例移動(dòng)終端上網(wǎng)異常檢測(cè)裝置可部署于移動(dòng)網(wǎng)絡(luò)的核心網(wǎng)上�,具體地,可部署于GPRS服務(wù)支持節(jié)點(diǎn)(Serving GPRS SUPPORT N0DE,SGSN)和GGSN之間通信鏈路上�����, 作為該通信鏈路的旁路����,對(duì)移動(dòng)終端用戶的上網(wǎng)行為進(jìn)行檢測(cè)�����,這樣�,就不會(huì)影響移動(dòng)網(wǎng)絡(luò)的核心網(wǎng)的正常工作。圖4為本發(fā)明實(shí)施例四提供的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置的結(jié)構(gòu)示意圖�。與上述圖3所示實(shí)施例技術(shù)方案不同的是,如圖4所示���,本實(shí)施例裝置還可包括預(yù)警模塊4����,與異常檢測(cè)模塊3連接,用于在確定移動(dòng)終端上網(wǎng)異常時(shí)�����,向主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端發(fā)送預(yù)警 fn息ο本實(shí)施例中����,通過設(shè)置預(yù)警模塊4可及時(shí)向移動(dòng)終端用戶發(fā)送預(yù)警信息,便于用戶及時(shí)獲得其上網(wǎng)異常信息�����,使得用戶可及時(shí)對(duì)其異常上網(wǎng)行為進(jìn)行處理����,避免感染惡意程序,其具體實(shí)現(xiàn)可參見上述本發(fā)明方法實(shí)施例的說明���,在此不再贅述�����。圖5為本發(fā)明實(shí)施五提供的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置的結(jié)構(gòu)示意圖�。如圖5所示,上述圖4所示的異常檢測(cè)模塊3具體可包括第一判斷單元31和異常檢測(cè)單元32�,其中第一判斷單元31,用于判斷目標(biāo)地址的屬性是否異常����;異常檢測(cè)單元32,用于判斷目標(biāo)地址的屬性異常時(shí)�,確定主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端上網(wǎng)異常,否則����,主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端上網(wǎng)正常�。本實(shí)施例中,預(yù)設(shè)的網(wǎng)址表中預(yù)設(shè)的目標(biāo)地址的屬性可包括正常和異常����,當(dāng)預(yù)設(shè)的目標(biāo)地址為異常時(shí),則說明該目標(biāo)地址是惡意的網(wǎng)頁(yè)�,限制用戶訪問,否則說明預(yù)設(shè)的目標(biāo)地址正常�����,用戶可正常訪問。因此����,通過從網(wǎng)址表中獲取該目標(biāo)地址的屬性,就可以確定用戶的上網(wǎng)行為是否異常�。其具體實(shí)現(xiàn)過程可參見上述本發(fā)明方法實(shí)施例的說明,在此不再贅述�����。圖6為本發(fā)明實(shí)施例六提供的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置的結(jié)構(gòu)示意圖����。本實(shí)施例中,所述的屬性查詢模塊2具體可用于判斷目標(biāo)地址是否與預(yù)設(shè)的網(wǎng)址表中預(yù)設(shè)的目標(biāo)地址相同�����,是則從目標(biāo)地址中獲得所述目標(biāo)地址的屬性��;進(jìn)一步地�����,該檢測(cè)裝置還可包括訪問次數(shù)統(tǒng)計(jì)模塊5和異常判斷模塊6,其中訪問次數(shù)統(tǒng)計(jì)模塊5�,用于屬性查詢模塊2查詢?cè)撃繕?biāo)地址與網(wǎng)址表中的任一預(yù)設(shè)的目標(biāo)地址均不相同時(shí),統(tǒng)計(jì)目標(biāo)地址的訪問次數(shù)�����;異常判斷模塊6�����,用于判斷目標(biāo)地址的訪問次數(shù)超過預(yù)設(shè)閾值時(shí)�����,檢查主叫號(hào)碼上傳的數(shù)據(jù)中是否包含隱私信息��,是則將該目標(biāo)地址的屬性設(shè)置為異常�����,并加入到網(wǎng)址表中�����, 其中��,所述的隱私信息具體可包括IMSI�、用戶的電話號(hào)碼薄、用戶的電子郵件�、用戶的短信息中的一個(gè)或多個(gè)。進(jìn)一步地�,本實(shí)施例中,異常判斷模塊6還可用于判斷目標(biāo)地址的訪問次數(shù)超過預(yù)設(shè)閾值��,且主叫號(hào)碼上傳的數(shù)據(jù)中不包含隱私信息時(shí)����,通知用戶進(jìn)行檢測(cè)是否異常,是則將目標(biāo)地址的屬性設(shè)置為異常����,否則,將目標(biāo)地址的屬性設(shè)置為正常����。本實(shí)施例可對(duì)未在網(wǎng)址表中設(shè)置的目標(biāo)地址進(jìn)行處理,以便確定該目標(biāo)地址是否異常���,并可加入到網(wǎng)址表中�����,以便對(duì)用戶的后續(xù)訪問進(jìn)行處理���,其具體實(shí)現(xiàn)過程可參見上述本發(fā)明方法實(shí)施例的說明���,在此不再贅述。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述各方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成�。前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。該程序在執(zhí)行時(shí)��,執(zhí)行包括上述各方法實(shí)施例的步驟��;而前述的存儲(chǔ)介質(zhì)包括R0M��、RAM���、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)���。最后應(yīng)說明的是以上各實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對(duì)其限制�����; 盡管參照前述各實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改�����,或者對(duì)其中部分或者全部技術(shù)特征進(jìn)行等同替換�;而這些修改或者替換���,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍����。
權(quán)利要求
1.一種移動(dòng)終端上網(wǎng)異常檢測(cè)方法����,其特征在于,包括檢測(cè)當(dāng)前網(wǎng)絡(luò)流量�,從當(dāng)前網(wǎng)絡(luò)流量中獲得主叫號(hào)碼以及所述主叫號(hào)碼所要訪問的目標(biāo)地址;從預(yù)設(shè)的網(wǎng)址表中查詢所述目標(biāo)地址的屬性�,所述網(wǎng)址表包括預(yù)設(shè)的目標(biāo)地址,以及預(yù)設(shè)的目標(biāo)地址的屬性���;根據(jù)所述目標(biāo)地址的屬性���,確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常�。
2.根據(jù)權(quán)利要求1所述的移動(dòng)終端上網(wǎng)異常檢測(cè)方法����,其特征在于,確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端出現(xiàn)上網(wǎng)異常時(shí)���,還包括向所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端發(fā)送預(yù)警信息�����。
3.根據(jù)權(quán)利要求2所述的移動(dòng)終端上網(wǎng)異常檢測(cè)方法�,其特征在于����,所述向所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端發(fā)送預(yù)警信息具體包括向所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端發(fā)送作為預(yù)警信息的短信息;或者�,向所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端發(fā)起通話連接,以作為預(yù)警信息通知用戶����。
4.根據(jù)權(quán)利要求1所述的移動(dòng)終端上網(wǎng)異常檢測(cè)方法,其特征在于�����,所述目標(biāo)地址的屬性包括正常和異常;所述根據(jù)所述目標(biāo)地址的屬性���,確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常包括判斷所述目標(biāo)地址的屬性是否異常,是則確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端上網(wǎng)異常��,否則����,所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端上網(wǎng)正常。
5.根據(jù)權(quán)利要求1或4所述的移動(dòng)終端上網(wǎng)異常檢測(cè)方法��,其特征在于����,所述從預(yù)設(shè)的網(wǎng)址表中查詢所述目標(biāo)地址的屬性包括判斷所述目標(biāo)地址是否與預(yù)設(shè)的網(wǎng)址表中預(yù)設(shè)的目標(biāo)地址相同,是則從所述目標(biāo)地址中獲得所述目標(biāo)地址的屬性����。
6.根據(jù)權(quán)利要求5所述的移動(dòng)終端上網(wǎng)異常檢測(cè)方法,其特征在于�����,還包括所述目標(biāo)地址與所述網(wǎng)址表中的任一預(yù)設(shè)的目標(biāo)地址均不相同時(shí)�����,統(tǒng)計(jì)所述目標(biāo)地址的訪問次數(shù);判斷所述目標(biāo)地址的訪問次數(shù)超過預(yù)設(shè)閾值時(shí)�,檢查所述主叫號(hào)碼上傳的數(shù)據(jù)中是否包含隱私信息,是則將所述目標(biāo)地址的屬性設(shè)置為異常���,并加入到所述網(wǎng)址表中��;所述隱私信息包括IMSI��、IMEI���、用戶的電話號(hào)碼薄、用戶的電子郵件���、用戶的短信息中的一個(gè)或多個(gè)��。
7.根據(jù)權(quán)利要求6所述的移動(dòng)終端上網(wǎng)異常檢測(cè)方法����,其特征在于���,還包括判斷所述目標(biāo)地址的訪問次數(shù)超過預(yù)設(shè)閾值��,且所述主叫號(hào)碼上傳的數(shù)據(jù)中不包含隱私信息時(shí)�����,通知用戶檢測(cè)所述目標(biāo)地址是否異常��,是則將所述目標(biāo)地址的屬性設(shè)置為異常并加入所述網(wǎng)址表中����,否則��,將所述目標(biāo)地址的屬性設(shè)置為正常并加入到所述網(wǎng)址表中���。
8.一種移動(dòng)終端上網(wǎng)異常檢測(cè)裝置�,其特征在于���,包括地址獲取模塊�,用于檢測(cè)當(dāng)前網(wǎng)絡(luò)流量�,從當(dāng)前網(wǎng)絡(luò)流量中獲得主叫號(hào)碼以及所述主叫號(hào)碼所要訪問的目標(biāo)地址;屬性查詢模塊�,用于從預(yù)設(shè)的網(wǎng)址表中查詢所述目標(biāo)地址的屬性,所述網(wǎng)址表包括預(yù)設(shè)的目標(biāo)地址,以及預(yù)設(shè)的目標(biāo)地址的屬性����;異常檢測(cè)模塊,用于根據(jù)所述目標(biāo)地址的屬性�,確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常。
9.根據(jù)權(quán)利要求8所述的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置�����,其特征在于��,還包括預(yù)警模塊�,用于確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端出現(xiàn)上網(wǎng)異常時(shí),向所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端發(fā)送預(yù)警信息�。
10.根據(jù)權(quán)利要求8所述的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置,其特征在于�����,所述異常檢測(cè)模塊包括第一判斷單元�,用于判斷所述目標(biāo)地址的屬性是否異常;異常檢測(cè)單元��,用于判斷所述目標(biāo)地址的屬性異常時(shí)���,確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端上網(wǎng)異常�,否則,所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端上網(wǎng)正常�;其中,所述網(wǎng)址表中預(yù)設(shè)的目標(biāo)地址的屬性包括正常和異常��。
11.根據(jù)權(quán)利要求8或9所述的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置����,其特征在于,所述屬性查詢模塊具體用于判斷所述目標(biāo)地址是否與預(yù)設(shè)的網(wǎng)址表中預(yù)設(shè)的目標(biāo)地址相同��,是則從所述目標(biāo)地址中獲得所述目標(biāo)地址的屬性��。
12.根據(jù)權(quán)利要求11所述的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置�����,其特征在于�����,還包括訪問次數(shù)統(tǒng)計(jì)模塊�,用于所述目標(biāo)地址與所述網(wǎng)址表中的任一預(yù)設(shè)的目標(biāo)地址均不相同時(shí)�����,統(tǒng)計(jì)所述目標(biāo)地址的訪問次數(shù);異常判斷模塊���,用于判斷所述目標(biāo)地址的訪問次數(shù)超過預(yù)設(shè)閾值時(shí)����,檢查所述主叫號(hào)碼上傳的數(shù)據(jù)中是否包含隱私信息��,是則將所述目標(biāo)地址的屬性設(shè)置為異常�����,并加入到所述網(wǎng)址表中�����;所述隱私信息包括IMSI�����、IMEI�、用戶的電話號(hào)碼薄、用戶的電子郵件�、用戶的短信息中的一個(gè)或多個(gè)��。
13.根據(jù)權(quán)利要求12所述的移動(dòng)終端上網(wǎng)異常檢測(cè)裝置��,其特征在于�,所述異常判斷模塊�,還用于判斷所述目標(biāo)地址的訪問次數(shù)超過預(yù)設(shè)閾值,且所述主叫號(hào)碼上傳的數(shù)據(jù)中不包含隱私信息時(shí)�����,通知用戶進(jìn)行檢測(cè)是否異常����,是則將所述目標(biāo)地址的屬性設(shè)置為異常并加入所述網(wǎng)址表中,否則�,將所述目標(biāo)地址的屬性設(shè)置為正常并加入到所述網(wǎng)址表中。
全文摘要
本發(fā)明提供一種移動(dòng)終端上網(wǎng)異常檢測(cè)方法和裝置�。該方法包括檢測(cè)當(dāng)前網(wǎng)絡(luò)流量���,獲得主叫號(hào)碼以及所述主叫號(hào)碼所要訪問的目標(biāo)地址����;從預(yù)設(shè)的網(wǎng)址表中查詢所述目標(biāo)地址的屬性����,所述網(wǎng)址表包括預(yù)設(shè)的目標(biāo)地址�����,以及預(yù)設(shè)的目標(biāo)地址的屬性����;根據(jù)所述目標(biāo)地址的屬性�,確定所述主叫號(hào)碼對(duì)應(yīng)的移動(dòng)終端是否出現(xiàn)上網(wǎng)異常。本發(fā)明技術(shù)方案可有效對(duì)移動(dòng)終端用戶的上網(wǎng)異常行為進(jìn)行檢測(cè)�,確定移動(dòng)終端是否出現(xiàn)上網(wǎng)異常。
文檔編號(hào)H04W24/00GK102404741SQ20111039199
公開日2012年4月4日 申請(qǐng)日期2011年11月30日 優(yōu)先權(quán)日2011年11月30日
發(fā)明者張尼, 王志軍, 黃文良 申請(qǐng)人:中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司