本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及在一種移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)方法和裝置。

背景技術(shù)：

隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，android平臺(tái)的開(kāi)放性，app爆炸性發(fā)布，應(yīng)用商店下載app的方便性，移動(dòng)終端很快成為人們運(yùn)用網(wǎng)絡(luò)服務(wù)的便利平臺(tái)，進(jìn)行線上信息獲取、購(gòu)物、社交與手游，同時(shí)，由于移動(dòng)終端中存儲(chǔ)著用戶隱私信息，比如通訊錄、位置信息、銀行帳戶信息等，使得利益型黑客越來(lái)越多地向移動(dòng)終端用戶下手，從而損害了用戶的利益。

在本發(fā)明的移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)方法和裝置中主要涉及以下技術(shù)：文件完整性檢測(cè)技術(shù)、系統(tǒng)與函數(shù)調(diào)用檢測(cè)技術(shù)、通信行為檢測(cè)技術(shù)、貝葉斯過(guò)濾器檢測(cè)技術(shù)、主動(dòng)掃描檢測(cè)技術(shù)、基于漏洞所在端口、流量的離散度與行為特征檢測(cè)技術(shù)。

移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)技術(shù)的發(fā)展有兩個(gè)方向，一是關(guān)鍵詞檢測(cè)技術(shù)；二是流量檢測(cè)技術(shù)。對(duì)于這兩個(gè)方向的技術(shù)，它們的優(yōu)點(diǎn)是技術(shù)比較成熟，缺陷是檢測(cè)技術(shù)沒(méi)有準(zhǔn)確針對(duì)特定攻擊類別，存在較大的誤報(bào)率，沒(méi)有檢測(cè)客戶端與云服務(wù)器端的協(xié)作，性能比較低，需要進(jìn)行網(wǎng)絡(luò)信息采樣，存在較大的漏報(bào)率。本發(fā)明采用文件完整性檢測(cè)技術(shù)、系統(tǒng)與函數(shù)調(diào)用檢測(cè)技術(shù)、通信行為檢測(cè)技術(shù)、貝葉斯過(guò)濾器檢測(cè)技術(shù)、主動(dòng)掃描檢測(cè)技術(shù)、基于漏洞所在端口、流量的離散度與行為特征檢測(cè)技術(shù)，克服了以上兩個(gè)方向的方法中存在的缺點(diǎn)，能夠快速、精確檢測(cè)僵尸木馬蠕蟲(chóng)。

技術(shù)實(shí)現(xiàn)要素：

明的目的是克服現(xiàn)有技術(shù)的缺點(diǎn)，提供一種移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)方法和裝置，使得能夠快速、精確地檢測(cè)木馬、僵尸網(wǎng)絡(luò)與蠕蟲(chóng)攻擊，有效地保障移動(dòng)終端中信息的機(jī)密性與完整性、移動(dòng)互聯(lián)網(wǎng)的可用性，為移動(dòng)終端用戶提供一個(gè)安全、可用的移動(dòng)互聯(lián)網(wǎng)環(huán)境。

本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的：

一種移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)方法，包括以下步驟：

a、通過(guò)檢測(cè)文件完整性、系統(tǒng)與函數(shù)調(diào)用、網(wǎng)絡(luò)通信行為，檢測(cè)移動(dòng)終端中的木馬；

b、客戶端與云服務(wù)器端協(xié)作，基于流量的匯聚度、貝葉斯過(guò)濾器與主動(dòng)掃描郵件中的url，檢測(cè)僵尸網(wǎng)絡(luò)攻擊的ddos攻擊與垃圾郵件中的廣告郵件與釣魚郵件；

c、客戶端與云服務(wù)器端協(xié)作，基于漏洞所在端口、流量的離散度與行為特征，檢測(cè)蠕蟲(chóng)攻擊的漏洞利用蠕蟲(chóng)與社工蠕蟲(chóng)中的郵件蠕蟲(chóng)與網(wǎng)頁(yè)蠕蟲(chóng)。

優(yōu)選地，所述步驟a包括：

a1、檢索移動(dòng)終端的可執(zhí)行與庫(kù)文件，計(jì)算文件散列值,與信息庫(kù)中的文件散列值比較，若不同，則告警，否則；

a2、檢測(cè)移動(dòng)終端的系統(tǒng)調(diào)用與回調(diào)函數(shù)的地址，與信息庫(kù)中的相應(yīng)地址比較，若不同，則告警，否則；

a3、捕獲瀏覽器url與通信行為的目的ip地址，若目的ip地址不是appweb服務(wù)、os升級(jí)或?yàn)g覽器url的ip地址，則告警。

信息庫(kù)信息包括不同os版本的可執(zhí)行與庫(kù)文件的名稱與文件散列值、系統(tǒng)調(diào)用與回調(diào)函數(shù)地址、app名稱與相應(yīng)web服務(wù)ip地址、os名稱與相應(yīng)升級(jí)ip。

優(yōu)選地，所述步驟b包括：

b1、檢測(cè)客戶端將本機(jī)ip地址、流量的源與目的ip地址、端口號(hào)、標(biāo)識(shí)位、包長(zhǎng)度、郵件出現(xiàn)的關(guān)鍵詞與url發(fā)送給檢測(cè)云服務(wù)器端；

b2、對(duì)于相同源與目的ip地址、端口號(hào)，檢測(cè)tcp三次握手是否完整，udp與icmp請(qǐng)求響應(yīng)是否對(duì)應(yīng)，若不完整或不對(duì)應(yīng)，則；

b3、檢測(cè)本機(jī)ip地址與源ip地址是否相同，若不相同，則；

b4、檢測(cè)1秒的時(shí)間段內(nèi)相同目的地址與端口的源地址個(gè)數(shù)是否大于500，若大于，則告警ddos攻擊；

b5、統(tǒng)計(jì)檢測(cè)客戶端發(fā)送的關(guān)鍵詞分別在正常與垃圾郵件中出現(xiàn)的頻率，并使用貝葉斯過(guò)濾器：p=p1p2…pn/(p1p2…pn+(1-p1)(1-p2)…(1-pn))，pn=p(s|wn)，p是一封郵件是垃圾郵件的聯(lián)合概率值，pn是wn詞出現(xiàn)時(shí)是垃圾郵件的條件概率值，計(jì)算是垃圾郵件的概率；

b6、判斷垃圾郵件的概率是否大于99%，若大于，則告警廣告郵件；

b7、主動(dòng)獲取解析分析郵件中的url頁(yè)面，判斷是否有表單密碼域，若有，則告警釣魚郵件。

優(yōu)選地，所述步驟c包括：

c1、檢測(cè)客戶端將文件共享、web、數(shù)據(jù)庫(kù)、郵件包含javascript的eval流量的源與目的ip地址、源與目的端口發(fā)送給檢測(cè)云服務(wù)器端；

c2、對(duì)于文件共享服務(wù)的相同目的端口與源的地址，若每分鐘的目的地址數(shù)大于30個(gè)，告警文件共享漏洞利用蠕蟲(chóng)；

c3、對(duì)于web服務(wù)的相同目的端口與源地址，若每分鐘的目的地址個(gè)數(shù)大于30個(gè)，則告警web漏洞利用蠕蟲(chóng)；

c4、對(duì)于數(shù)據(jù)庫(kù)服務(wù)的相同目的端口與源地址，若每分鐘的目的地址個(gè)數(shù)大于30個(gè)，則告警數(shù)據(jù)庫(kù)漏洞利用蠕蟲(chóng)；

c5、對(duì)于郵件服務(wù)的相同目的端口與源地址，若每分鐘的目的地址個(gè)數(shù)大于30個(gè)，則告警郵件蠕蟲(chóng)；

c6、若郵件中網(wǎng)頁(yè)包含javascript的eval，則告警網(wǎng)頁(yè)蠕蟲(chóng)。

一種移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)裝置，包括：

檢測(cè)客戶端，主要進(jìn)行移動(dòng)終端的木馬檢測(cè)與通信行為的采集與提交，包括基于文件完整性檢測(cè)、基于系統(tǒng)與函數(shù)調(diào)用檢測(cè)、基于網(wǎng)絡(luò)通信行為檢測(cè)；

檢測(cè)云服務(wù)器端，主要檢測(cè)僵尸網(wǎng)絡(luò)與蠕蟲(chóng)攻擊，包括檢測(cè)僵尸網(wǎng)絡(luò)攻擊的ddos攻擊與垃圾郵件中的廣告郵件與釣魚郵件，檢測(cè)蠕蟲(chóng)攻擊的漏洞利用蠕蟲(chóng)與社工蠕蟲(chóng)中的郵件蠕蟲(chóng)與網(wǎng)頁(yè)蠕蟲(chóng)；

信息庫(kù)信息包括不同os版本的可執(zhí)行與庫(kù)文件的名稱與文件散列值、系統(tǒng)調(diào)用與回調(diào)函數(shù)地址、app名稱與相應(yīng)web服務(wù)ip地址、os名稱與相應(yīng)升級(jí)ip。

檢測(cè)客戶端，進(jìn)行移動(dòng)終端的木馬檢測(cè)，并采集與提交網(wǎng)絡(luò)通信行為，檢測(cè)云服務(wù)器端利用檢測(cè)客戶端提交的信息與信息庫(kù)中的信息，檢測(cè)僵尸網(wǎng)絡(luò)與蠕蟲(chóng)攻擊。

由以上本發(fā)明提供的技術(shù)方案可以看出，本發(fā)明克服了現(xiàn)有技術(shù)的缺點(diǎn)，提供一種移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)方法和裝置，使得能夠快速、精確地檢測(cè)木馬、僵尸網(wǎng)絡(luò)與蠕蟲(chóng)攻擊，有效地保障移動(dòng)終端中信息的機(jī)密性與完整性、移動(dòng)互聯(lián)網(wǎng)的可用性，為移動(dòng)終端用戶提供一個(gè)安全、可用的移動(dòng)互聯(lián)網(wǎng)環(huán)境。

附圖說(shuō)明

圖1是移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)裝置的組網(wǎng)示意圖；

圖2是本發(fā)明方法的系統(tǒng)結(jié)構(gòu)示意圖；

圖3是本發(fā)明方法的主流程圖；

圖4是本發(fā)明方法木馬檢測(cè)的流程圖；

圖5是本發(fā)明方法僵尸網(wǎng)絡(luò)檢測(cè)的流程圖；

圖6是本發(fā)明方法蠕蟲(chóng)攻擊檢測(cè)的流程圖。

技術(shù)特征：

技術(shù)總結(jié)
發(fā)明公開(kāi)了一種移動(dòng)互聯(lián)網(wǎng)分布式僵尸木馬蠕蟲(chóng)檢測(cè)方法和裝置，所述方法包括：通過(guò)檢測(cè)客戶端與云服務(wù)端協(xié)作，對(duì)木馬、僵尸與蠕蟲(chóng)攻擊進(jìn)行精確檢測(cè)；在檢測(cè)客戶端，通過(guò)檢測(cè)文件完整性、系統(tǒng)與函數(shù)調(diào)用、網(wǎng)絡(luò)通信行為，縱深查找木馬；在檢測(cè)云服務(wù)端，利用客戶端提交的網(wǎng)絡(luò)消息，利用云服務(wù)端高性能的計(jì)算能力，進(jìn)行大數(shù)據(jù)處理，精確檢測(cè)僵尸網(wǎng)絡(luò)攻擊的DDoS攻擊與垃圾郵件中的廣告郵件與釣魚郵件，精確檢測(cè)蠕蟲(chóng)攻擊的漏洞利用蠕蟲(chóng)與社工蠕蟲(chóng)中的郵件蠕蟲(chóng)與網(wǎng)頁(yè)蠕蟲(chóng)。利用本發(fā)明，可以快速、準(zhǔn)確地檢測(cè)移動(dòng)互聯(lián)網(wǎng)中的木馬、僵尸網(wǎng)絡(luò)攻擊與蠕蟲(chóng)攻擊，本發(fā)明具有快速與準(zhǔn)確的特點(diǎn)。

技術(shù)研發(fā)人員：何中旭;何中天;何華;張潔
受保護(hù)的技術(shù)使用者：北京東方棱鏡科技有限公司
技術(shù)研發(fā)日：2017.06.21
技術(shù)公布日：2017.11.07