本發(fā)明涉及信息安全領(lǐng)域，特別是一種異常流量檢驗(yàn)方法和裝置。

背景技術(shù)：

目前，隨著移動(dòng)寬帶技術(shù)快速發(fā)展，移動(dòng)智能終端用戶快速增長(zhǎng)，惡意程序發(fā)送的異常流量成為網(wǎng)絡(luò)運(yùn)營(yíng)面臨的重大安全風(fēng)險(xiǎn)。但是，現(xiàn)有技術(shù)主要通過在終端設(shè)置發(fā)送流量的閾值進(jìn)行檢測(cè)，只有在發(fā)送的流量達(dá)到一定程度時(shí)才能夠提供流量告警，難以快速的發(fā)現(xiàn)惡意程序發(fā)送異常流量的行為，為用戶造成一定的流量損失，同時(shí)也容易發(fā)生數(shù)據(jù)失竊。另外，由于只對(duì)流量使用情況進(jìn)行監(jiān)測(cè)，容易發(fā)生誤報(bào)的情況，準(zhǔn)確性有限。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的一個(gè)目的在于提高終端異常流量檢測(cè)的精度和準(zhǔn)確度。

根據(jù)本發(fā)明的一個(gè)方面，提出一種異常流量檢驗(yàn)方法，包括：監(jiān)控移動(dòng)終端的網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為；根據(jù)網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為確定對(duì)系統(tǒng)日志進(jìn)行異常操作的異常網(wǎng)絡(luò)程序；確定異常網(wǎng)絡(luò)程序發(fā)送異常流量。

可選地，異常操作包括：反復(fù)操作系統(tǒng)日志、清除行為記錄、將日志文件指向空位置后又恢復(fù)到正常位置。

可選地，還包括：監(jiān)控移動(dòng)終端的進(jìn)程，根據(jù)應(yīng)用程序的網(wǎng)絡(luò)連接權(quán)限獲取網(wǎng)絡(luò)程序列表；監(jiān)控移動(dòng)終端的網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為包括：監(jiān)控網(wǎng)絡(luò)程序列表中應(yīng)用程序?qū)ο到y(tǒng)日志的操作行為。

可選地，還包括：如果檢測(cè)到網(wǎng)絡(luò)程序發(fā)送異常流量則進(jìn)行告警， 并向用戶提供發(fā)送異常流量的網(wǎng)絡(luò)程序的名稱。

可選地，還包括：如果檢測(cè)到網(wǎng)絡(luò)程序發(fā)送異常流量，則取消發(fā)送異常流量的網(wǎng)絡(luò)程序的網(wǎng)絡(luò)連接權(quán)限。

通過這樣的方法能夠監(jiān)控網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為，通過分析異常的操作行為，發(fā)現(xiàn)程序通過修改系統(tǒng)日志文件避免留下或清除發(fā)送惡意流量時(shí)的系統(tǒng)記錄，從而確定該網(wǎng)絡(luò)程序發(fā)送異常流量，提高了檢驗(yàn)網(wǎng)絡(luò)程序發(fā)送異常流量的速度和準(zhǔn)確度。

根據(jù)本發(fā)明的另一個(gè)方面，提出一種異常流量檢驗(yàn)裝置，包括：日志操作監(jiān)控模塊，用于監(jiān)控移動(dòng)終端的網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為；異常程序識(shí)別模塊，用于根據(jù)網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為確定對(duì)系統(tǒng)日志進(jìn)行異常操作的異常網(wǎng)絡(luò)程序；異常確定模塊，用于確定異常網(wǎng)絡(luò)程序發(fā)送異常流量。

可選地，異常操作包括：反復(fù)操作系統(tǒng)日志、清除行為記錄、將日志文件指向空位置后又恢復(fù)到正常位置。

可選地，還包括：篩選模塊，用于監(jiān)控移動(dòng)終端的進(jìn)程，根據(jù)應(yīng)用程序的網(wǎng)絡(luò)連接權(quán)限獲取網(wǎng)絡(luò)程序列表；日志操作監(jiān)控模塊，還用于監(jiān)控網(wǎng)絡(luò)程序列表中應(yīng)用程序?qū)ο到y(tǒng)日志的操作行為。

可選地，還包括：告警模塊，用于當(dāng)檢測(cè)到網(wǎng)絡(luò)程序發(fā)送異常流量時(shí)進(jìn)行告警，并向用戶提供發(fā)送異常流量的網(wǎng)絡(luò)程序的名稱。

可選地，還包括：權(quán)限操作模塊，用于當(dāng)檢測(cè)到網(wǎng)絡(luò)程序發(fā)送異常流量時(shí)，取消發(fā)送異常流量的網(wǎng)絡(luò)程序的網(wǎng)絡(luò)連接權(quán)限。

這樣的裝置能夠監(jiān)控網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為，通過分析異常的操作行為，判斷程序通過修改系統(tǒng)日志文件避免留下或清除發(fā)送惡意流量時(shí)的系統(tǒng)記錄，從而確定該網(wǎng)絡(luò)程序發(fā)送異常流量，提高了檢驗(yàn)網(wǎng)絡(luò)程序發(fā)送異常流量的速度和準(zhǔn)確度。

附圖說明

此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu) 成對(duì)本發(fā)明的不當(dāng)限定。在附圖中：

圖1為本發(fā)明的異常流量檢驗(yàn)方法的一個(gè)實(shí)施例的流程圖。

圖2為本發(fā)明的異常流量檢驗(yàn)方法的另一個(gè)實(shí)施例的流程圖。

圖3為本發(fā)明的異常流量檢驗(yàn)方法的又一個(gè)實(shí)施例的流程圖。

圖4為本發(fā)明的異常流量檢驗(yàn)系統(tǒng)的一個(gè)實(shí)施例的示意圖。

圖5為本發(fā)明的異常流量檢驗(yàn)系統(tǒng)的另一個(gè)實(shí)施例的示意圖。

圖6為本發(fā)明的異常流量檢驗(yàn)系統(tǒng)的又一個(gè)實(shí)施例的示意圖。

具體實(shí)施方式

下面通過附圖和實(shí)施例，對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。

在現(xiàn)有的移動(dòng)終端的安全設(shè)置中，一般不向用戶開放最高的系統(tǒng)權(quán)限，移動(dòng)終端的程序不具備日志文件的操作權(quán)限，即不可以篡改日志文件的默認(rèn)設(shè)置。而在一個(gè)被破解的移動(dòng)終端系統(tǒng)中，例如被“越獄”或“Root”后，用戶取得了對(duì)系統(tǒng)的最高控制權(quán)限，移動(dòng)終端的程序也具備了對(duì)日志文件的操作權(quán)限。這也是移動(dòng)終端系統(tǒng)在被破解后，往往更容易感染惡意程序的根本原因。因此，根據(jù)移動(dòng)終端中的網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為，可以判斷其異常情況，從而確定網(wǎng)絡(luò)程序發(fā)送異常流量。

本發(fā)明的異常流量檢驗(yàn)方法的一個(gè)實(shí)施例的流程圖如圖1所示。

在步驟101中，監(jiān)控移動(dòng)終端的網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為。在智能終端操作系統(tǒng)中，每個(gè)程序的行為都會(huì)被寫入系統(tǒng)日志文件。

在步驟102中，根據(jù)網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為確定異常網(wǎng)絡(luò)程序。由于正常的網(wǎng)絡(luò)程序通常不會(huì)更改日志文件；而惡意程序?yàn)榱硕惚芎罄m(xù)取證、檢測(cè)，延長(zhǎng)其生存周期，往往會(huì)操作日志文件。因此，根據(jù)程序?qū)τ谙到y(tǒng)日志的操作行為能夠判斷程序異常。

在步驟103中，根據(jù)異常網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的具體的操作，確定該異常網(wǎng)絡(luò)程序發(fā)送異常流量。惡意程序?yàn)榱硕惚芎罄m(xù)取證、檢測(cè)，延長(zhǎng)其生存周期，往往會(huì)對(duì)日志文件進(jìn)行操作。在一個(gè)實(shí)施例中，異常 網(wǎng)絡(luò)程序在發(fā)送異常流量時(shí)會(huì)對(duì)系統(tǒng)日志反復(fù)操作，清除其發(fā)送惡意流量時(shí)的行為記錄；在完成惡意行為后，又將日志文件恢復(fù)到正常狀態(tài)，從而躲避安全軟件的查殺。在一個(gè)實(shí)施例中，惡意程序在發(fā)送異常流量時(shí)，對(duì)日志文件的操作往往呈現(xiàn)出“將日志文件地址指向Null位置→將日志文件恢復(fù)正常位置”的操作特征。

通過這樣的方法能夠監(jiān)控網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為，通過分析異常的操作行為，判斷程序通過修改系統(tǒng)日志文件避免留下或清除發(fā)送惡意流量時(shí)的系統(tǒng)記錄，從而確定該網(wǎng)絡(luò)程序發(fā)送異常流量，提高了檢驗(yàn)網(wǎng)絡(luò)程序發(fā)送異常流量的速度和準(zhǔn)確度。

本發(fā)明的異常流量檢驗(yàn)方法的另一個(gè)實(shí)施例的流程圖如圖2所示。

在步驟201中，監(jiān)控移動(dòng)終端的進(jìn)程，獲取網(wǎng)絡(luò)程序列表。移動(dòng)終端的程序通常具有權(quán)限聲明，可以從系統(tǒng)的權(quán)限控制列表中篩選出具有網(wǎng)絡(luò)連接權(quán)限的程序，將具有網(wǎng)絡(luò)連接權(quán)限的程序添加進(jìn)網(wǎng)絡(luò)程序列表。

在步驟202中，監(jiān)控網(wǎng)絡(luò)程序列表中的網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為。

在步驟203中，根據(jù)網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為確定異常網(wǎng)絡(luò)程序。

在步驟204中，根據(jù)異常網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的具體的操作，確定該異常網(wǎng)絡(luò)程序發(fā)送異常流量。判斷異常網(wǎng)絡(luò)程序發(fā)送異常流量的根據(jù)可以包括網(wǎng)絡(luò)程序反復(fù)操作系統(tǒng)日志、清除行為記錄或?qū)⑷罩疚募赶蚩瘴恢煤笥只謴?fù)到正常位置。

通過這樣的方法，能夠只監(jiān)控具有網(wǎng)絡(luò)連接權(quán)限的程序，從而減少不必要的程序遍歷，節(jié)省終端的系統(tǒng)資源，且提高檢驗(yàn)效率。

本發(fā)明的異常流量檢驗(yàn)方法的再一個(gè)實(shí)施例的流程圖如圖3所示。

在步驟301中，監(jiān)控移動(dòng)終端的進(jìn)程，獲取網(wǎng)絡(luò)程序列表。移動(dòng)終端的程序通常具有權(quán)限聲明，可以從系統(tǒng)的權(quán)限控制列表中篩選出具有網(wǎng)絡(luò)連接權(quán)限的程序。

在步驟302中，監(jiān)控網(wǎng)絡(luò)程序列表中的網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為。

在步驟303中，根據(jù)網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為確定異常網(wǎng)絡(luò)程序。

在步驟304中，根據(jù)異常網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的具體的操作，確定該異常網(wǎng)絡(luò)程序發(fā)送異常流量。

在步驟305中，當(dāng)判斷網(wǎng)絡(luò)程序?yàn)榘l(fā)送異常流量的惡意程序時(shí)，執(zhí)行安全防護(hù)操作。在一個(gè)實(shí)施例中，終端向用戶發(fā)送告警信息，將發(fā)送異常流量的網(wǎng)絡(luò)程序的名稱告知用戶，便于用戶辨別惡意程序。在另一個(gè)實(shí)施例中，終端能夠取消發(fā)送異常流量的網(wǎng)絡(luò)程序的網(wǎng)絡(luò)連接權(quán)限，從而使該程序不能與網(wǎng)絡(luò)連接，保證了用戶的數(shù)據(jù)、流量安全。

通過這樣的方法，當(dāng)判斷網(wǎng)絡(luò)程序發(fā)送異常流量時(shí)，能夠執(zhí)行安全防護(hù)操作，用戶能夠及時(shí)辨識(shí)惡意程序，或終端自動(dòng)的及時(shí)阻止該程序發(fā)送惡意流量，從而保證了用戶的數(shù)據(jù)、流量安全。

本發(fā)明的異常流量檢驗(yàn)裝置的一個(gè)實(shí)施例的示意圖如圖4所示。其中，401為日志操作監(jiān)控模塊，用于監(jiān)控移動(dòng)終端的網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為。402為異常程序識(shí)別模塊，能夠根據(jù)網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作行為確定對(duì)系統(tǒng)日志進(jìn)行異常操作的異常網(wǎng)絡(luò)程序。403為異常確定模塊，能夠根據(jù)異常網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的具體的操作確定異常網(wǎng)絡(luò)程序發(fā)送異常流量。

這樣的裝置能夠監(jiān)控網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為，通過分析異常的操作行為，判斷程序通過修改系統(tǒng)日志文件避免留下或清除發(fā)送惡意流量時(shí)的系統(tǒng)記錄，從而確定該網(wǎng)絡(luò)程序發(fā)送異常流量，提高了檢驗(yàn)網(wǎng)絡(luò)程序發(fā)送異常流量的速度和準(zhǔn)確度。

在一個(gè)實(shí)施例中，當(dāng)異常確定模塊403確定網(wǎng)絡(luò)程序有包括反復(fù)操作系統(tǒng)日志、清除行為記錄、將日志文件指向空位置后又恢復(fù)到正常位置的行為時(shí)，確定該網(wǎng)絡(luò)程序發(fā)送異常流量。這樣的裝置能夠根據(jù)網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的具體的異常操作行為確定網(wǎng)絡(luò)程序發(fā)送異 常流量，減少了誤判。

本發(fā)明的異常流量檢驗(yàn)裝置的另一個(gè)實(shí)施例的示意圖如圖5所示。其中，504為篩選模塊，能夠監(jiān)控移動(dòng)終端的進(jìn)程，根據(jù)應(yīng)用程序的網(wǎng)絡(luò)連接權(quán)限獲取網(wǎng)絡(luò)程序列表。日志操作監(jiān)控模塊501只監(jiān)控網(wǎng)絡(luò)程序列表中的網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的操作行為。異常程序識(shí)別模塊502根據(jù)網(wǎng)絡(luò)程序列表中的網(wǎng)絡(luò)程序?qū)ο到y(tǒng)日志的操作確定異常程序。異常確定模塊503根據(jù)異常網(wǎng)絡(luò)程序?qū)τ谙到y(tǒng)日志的具體的操作確定異常網(wǎng)絡(luò)程序發(fā)送異常流量。這樣的裝置能夠只監(jiān)控具有網(wǎng)絡(luò)接入權(quán)限的程序，從而減少不必要的程序遍歷，節(jié)省終端的系統(tǒng)資源。

本發(fā)明的異常流量檢驗(yàn)裝置的再一個(gè)實(shí)施例的示意圖如圖6所示。其中，601為日志操作監(jiān)控模塊，602為異常程序識(shí)別模塊，603為異常確定模塊，604為篩選模塊，其結(jié)構(gòu)和功能與圖5的實(shí)施例中相似。605可以為告警模塊，當(dāng)異常確定模塊603確定網(wǎng)絡(luò)程序發(fā)送異常流量時(shí)，告警模塊605向用戶發(fā)送告警信息，并將該網(wǎng)絡(luò)程序的名稱提供給用戶。這樣的裝置能夠及時(shí)的將發(fā)送異常流量的網(wǎng)絡(luò)程序的名稱告知用戶，用戶可以根據(jù)該告警信息執(zhí)行刪除該網(wǎng)絡(luò)程序，或取消其網(wǎng)絡(luò)連接權(quán)限的操作。從而保證了用戶的數(shù)據(jù)、流量安全。

在一個(gè)實(shí)施例中，605還可以為權(quán)限操作模塊，能夠取消發(fā)送流量的網(wǎng)絡(luò)程序的網(wǎng)絡(luò)連接權(quán)限，從而在異常確定模塊603發(fā)現(xiàn)網(wǎng)絡(luò)程序發(fā)送異常流量時(shí)便及時(shí)阻止該網(wǎng)絡(luò)程序的異常流量發(fā)送，進(jìn)一步保障了用戶的數(shù)據(jù)、流量安全。

最后應(yīng)當(dāng)說明的是：以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其限制；盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：依然可以對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行修改或者對(duì)部分技術(shù)特征進(jìn)行等同替換；而不脫離本發(fā)明技術(shù)方案的精神，其均應(yīng)涵蓋在本發(fā)明請(qǐng)求保護(hù)的技術(shù)方案范圍當(dāng)中。