基于網(wǎng)絡(luò)接入點(diǎn)的移動(dòng)終端惡意軟件檢測方法及其系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種惡意軟件檢測方法及其系統(tǒng),尤其涉及一種基于網(wǎng)絡(luò)接入點(diǎn)的移動(dòng)終端惡意軟件檢測方法及其系統(tǒng)。
【背景技術(shù)】
[0002]隨著移動(dòng)終端的廣泛使用,尤其是智能手機(jī)的迅速普及,移動(dòng)智能終端給現(xiàn)代社會(huì)巨大的變革,進(jìn)入21世紀(jì)以來,我們已經(jīng)迅速步入了移動(dòng)時(shí)代。而手機(jī)已不再局限于傳統(tǒng)意義上的通信業(yè)務(wù),已經(jīng)成為集電子商務(wù)、個(gè)人支付、社交娛樂等功能于一體的強(qiáng)大終端。然而隨著移動(dòng)應(yīng)用的普及和用戶數(shù)量爆發(fā)式增長,移動(dòng)智能終端的安全也面臨著巨大挑戰(zhàn)。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的2013年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告的一項(xiàng)統(tǒng)計(jì),惡意扣費(fèi)類的惡意程序數(shù)量居首位,達(dá)到了 502481個(gè),顯示了黑客制作惡意程序帶有明顯的趨利性,而針對(duì)Android平臺(tái)的惡意聯(lián)網(wǎng)程序達(dá)到了 699514個(gè),占總數(shù)99%以上。
[0003]傳統(tǒng)的移動(dòng)終端惡意軟件檢測方法根據(jù)檢測方式的不同大致可以分為兩類,即靜態(tài)檢測和動(dòng)態(tài)檢測。(I)對(duì)于靜態(tài)檢測技術(shù),是利用反編譯工具和逆向工程技術(shù)對(duì)移動(dòng)終端的惡意軟件進(jìn)行反編譯和反匯編,再從源代碼中找出惡意代碼。這種靜態(tài)檢測技術(shù)最大的優(yōu)點(diǎn)是實(shí)施簡單,用戶只需在終端上安裝檢測程序即可,而各大安全公司的移動(dòng)終端的安全產(chǎn)品也大都采用這種模式。但是隨著代碼混淆、加殼等技術(shù)的出現(xiàn),反編譯和對(duì)惡意代碼的特征匹配已經(jīng)變成了一件非常困難的事情,同時(shí),這種靜態(tài)檢測技術(shù)非常依賴于已有惡意代碼的特征,對(duì)未知惡意軟件的發(fā)現(xiàn)能力極其不足。(2)對(duì)于動(dòng)態(tài)檢測技術(shù),則是利用“沙盒”機(jī)制,通過在沙盒內(nèi)運(yùn)行應(yīng)用軟件,監(jiān)控應(yīng)用軟件對(duì)系統(tǒng)敏感資源的調(diào)用來達(dá)到識(shí)別的目的。這種動(dòng)態(tài)的方法對(duì)未知的惡意應(yīng)用具有一定的發(fā)現(xiàn)能力,但是對(duì)用戶終端的資源消耗巨大,并且難以大規(guī)模部署實(shí)施,所以相關(guān)研究僅停留在學(xué)術(shù)研究階段。
[0004]通過分析網(wǎng)絡(luò)流量發(fā)現(xiàn)移動(dòng)終端惡意軟件是近年新興的一種惡意軟件檢測技術(shù),并取得了一些初步的研究成果。雖然已有部分研究在移動(dòng)終端上進(jìn)行網(wǎng)絡(luò)流量分析,但是,現(xiàn)有的移動(dòng)終端惡意軟件網(wǎng)絡(luò)行為特征的相關(guān)研究只局限于一些簡單的網(wǎng)絡(luò)行為特征的統(tǒng)計(jì)分析,例如對(duì)端口、數(shù)據(jù)包大小、開始時(shí)間、結(jié)束時(shí)間等幾種簡單的網(wǎng)絡(luò)行為特征分析;同時(shí),這種檢測方式受到移動(dòng)終端的限制,計(jì)算資源和空間資源有限,難以大規(guī)模的部署和使用。
【發(fā)明內(nèi)容】
[0005]為了解決現(xiàn)有技術(shù)的缺點(diǎn),本發(fā)明提供一種基于網(wǎng)絡(luò)接入點(diǎn)的移動(dòng)終端惡意軟件檢測方法及其系統(tǒng)。該方法在移動(dòng)終端網(wǎng)絡(luò)接入節(jié)點(diǎn)利用移動(dòng)終端產(chǎn)生的網(wǎng)絡(luò)流量來檢測終端設(shè)備是否安裝有惡意軟件,并通過分析網(wǎng)絡(luò)流量特征,達(dá)到在移動(dòng)終端產(chǎn)生惡意流量時(shí)立即檢測出移動(dòng)終端上運(yùn)行的惡意軟件的目的。
[0006]為實(shí)現(xiàn)上述目的,本發(fā)明采用以下技術(shù)方案:
[0007]一種基于網(wǎng)絡(luò)接入點(diǎn)的移動(dòng)終端惡意軟件檢測方法,包括:
[0008]用戶移動(dòng)終端通過網(wǎng)絡(luò)接入點(diǎn)訪問網(wǎng)絡(luò),向檢測服務(wù)器申請(qǐng)認(rèn)證;
[0009]認(rèn)證處理后,通過動(dòng)態(tài)分配流量鏡像端口進(jìn)行采集且緩存用戶移動(dòng)終端網(wǎng)絡(luò)流量至流量數(shù)據(jù)處理服務(wù)器,然后對(duì)獲取的用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行識(shí)別和隱私處理,然后提取并聚合網(wǎng)絡(luò)流量數(shù)據(jù)特征,形成特征集,并傳送至檢測服務(wù)器;
[0010]讀取特征集,檢測服務(wù)器中的檢測模型對(duì)特征集中特征進(jìn)行檢測,檢測結(jié)果通過網(wǎng)絡(luò)接入點(diǎn)返回給用戶。
[0011]所述用戶移動(dòng)終端通過網(wǎng)絡(luò)接入點(diǎn)訪問網(wǎng)絡(luò),向檢測服務(wù)系統(tǒng)申請(qǐng)認(rèn)證的過程,包括:
[0012]當(dāng)用戶移動(dòng)終端接入點(diǎn)訪問網(wǎng)絡(luò)時(shí),向檢測服務(wù)系統(tǒng)發(fā)出認(rèn)證請(qǐng)求;
[0013]響應(yīng)用戶的認(rèn)證請(qǐng)求,開始認(rèn)證用戶身份及用戶移動(dòng)終端設(shè)備信息;
[0014]用戶移動(dòng)終端設(shè)備通過認(rèn)證后,觸發(fā)流量鏡像端口采集用戶移動(dòng)終端網(wǎng)絡(luò)流量。
[0015]所述用戶身份信息包括用戶UID(User Identificat1n用戶身份證明),用戶移動(dòng)終端設(shè)備信息包括終端設(shè)備的MAC地址以及設(shè)備識(shí)別碼頂EI (Internat1nal MobileEquipment Identity,移動(dòng)設(shè)備國際識(shí)別碼,又稱為國際移動(dòng)設(shè)備標(biāo)識(shí))。
[0016]對(duì)用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行識(shí)別的過程,包括:
[0017]解析流量鏡像端口所采集的用戶移動(dòng)終端網(wǎng)絡(luò)流量,得到移動(dòng)終端惡意目標(biāo)列表;根據(jù)移動(dòng)終端惡意目標(biāo)列表,分離移動(dòng)終端惡意軟件產(chǎn)生的惡意行為流量,最終識(shí)別出惡意行為流量。
[0018]對(duì)識(shí)別出的用戶移動(dòng)終端網(wǎng)絡(luò)流量中的惡意行為流量數(shù)據(jù)包進(jìn)行設(shè)置應(yīng)用名稱標(biāo)簽。
[0019]對(duì)獲取的用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行隱私處理,包括采用加密算法對(duì)用戶移動(dòng)終端網(wǎng)絡(luò)流量中的隱私流量數(shù)據(jù)進(jìn)行加密處理。
[0020]一種基于網(wǎng)絡(luò)接入點(diǎn)的移動(dòng)終端惡意軟件檢測方法的檢測系統(tǒng),包括:
[0021]流量數(shù)據(jù)處理服務(wù)器,所述流量數(shù)據(jù)處理服務(wù)器,包括用戶交互單元,其用于當(dāng)用戶移動(dòng)終端通過網(wǎng)絡(luò)接入點(diǎn)訪問網(wǎng)絡(luò)時(shí),響應(yīng)用戶移動(dòng)終端的認(rèn)證請(qǐng)求;
[0022]流量鏡像單元,其用于當(dāng)認(rèn)證處理后,通過動(dòng)態(tài)分配的流量鏡像端口進(jìn)行采集用戶移動(dòng)終端網(wǎng)絡(luò)流量;
[0023]流量緩存單元,其用于緩存用戶移動(dòng)終端網(wǎng)絡(luò)流量;
[0024]流量識(shí)別單元,其用于識(shí)別用戶移動(dòng)終端網(wǎng)絡(luò)流量;
[0025]隱私處理單元,其用于對(duì)用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行隱私處理;
[0026]流量存儲(chǔ)單元,其用于存儲(chǔ)處理后的用戶移動(dòng)終端網(wǎng)絡(luò)流量;
[0027]特征提取單元,其用于提取用戶移動(dòng)終端網(wǎng)絡(luò)流量中的數(shù)據(jù)特征;
[0028]聚合單元,其用于對(duì)提取的用戶移動(dòng)終端網(wǎng)絡(luò)流量中的數(shù)據(jù)特征進(jìn)行聚合,形成表征用戶移動(dòng)終端網(wǎng)絡(luò)流量的新數(shù)據(jù)特征,形成特征集;
[0029]檢測服務(wù)器,所述檢測服務(wù)器包括檢測模型單元,其用于讀取特征集,并對(duì)特征集中特征進(jìn)行檢測,檢測結(jié)果通過網(wǎng)絡(luò)接入點(diǎn)返回給用戶。
[0030]所述檢測服務(wù)器與檢測模型服務(wù)器相連,所述檢測模型服務(wù)器用于訓(xùn)練檢測服務(wù)器中的檢測模型,得到檢測模型的最優(yōu)參數(shù),并更新檢測服務(wù)器中的檢測模型。
[0031]所述用戶交互單元,包括:
[0032]認(rèn)證請(qǐng)求發(fā)送模塊,其用于當(dāng)用戶移動(dòng)終端接入點(diǎn)訪問網(wǎng)絡(luò)時(shí),向檢測服務(wù)器發(fā)出認(rèn)證請(qǐng)求;
[0033]認(rèn)證模塊,其用于響應(yīng)用戶的認(rèn)證請(qǐng)求,開始認(rèn)證用戶身份信息及用戶移動(dòng)終端設(shè)備信息;
[0034]觸發(fā)模塊,其用于當(dāng)用戶移動(dòng)終端設(shè)備通過認(rèn)證后,觸發(fā)流量鏡像端口采集用戶移動(dòng)終端網(wǎng)絡(luò)流量。
[0035]所述流量識(shí)別單元,包括:
[0036]流量解析模塊,其用于解析流量鏡像端口所采集的用戶移動(dòng)終端網(wǎng)絡(luò)流量,得到移動(dòng)終端惡意目標(biāo)列表;
[0037]流量分離模塊,其用于根據(jù)移動(dòng)終端惡意目標(biāo)列表,分離移動(dòng)終端惡意軟件產(chǎn)生的惡意行為流量,最終識(shí)別出惡意行為流量。
[0038]本發(fā)明的有益效果為:
[0039](I)本發(fā)明避免了直接在移動(dòng)終端上檢測惡意軟件所帶來的一系列問題,比如對(duì)移動(dòng)終端的資源消耗大,對(duì)用戶的依賴程度高,難以大規(guī)模部署;
[0040](2)針對(duì)傳統(tǒng)的靜態(tài)檢測方法存在的對(duì)用戶依賴程度高,需要在用戶移動(dòng)終端安裝檢測程序造成的對(duì)移動(dòng)終端的資源消耗大等問題,本發(fā)明在網(wǎng)絡(luò)接入點(diǎn)利用移動(dòng)終端的網(wǎng)絡(luò)流量進(jìn)行惡意軟件的識(shí)別,對(duì)用戶依賴程度較低,由檢測服務(wù)系統(tǒng)在接入點(diǎn)自動(dòng)完成,不需要消耗用戶移動(dòng)終端的資源;
[0041](3)本發(fā)明中的檢測服務(wù)系統(tǒng)具有分析多類網(wǎng)絡(luò)行為特征的能力,解決了傳統(tǒng)的網(wǎng)絡(luò)行為分析只針對(duì)一些基本網(wǎng)絡(luò)行為特征,缺乏對(duì)完整的網(wǎng)絡(luò)交互行為特征進(jìn)行分析的問題。
【附圖說明】
[0042]圖1為在網(wǎng)絡(luò)接入點(diǎn)檢測移動(dòng)終端惡意軟件的網(wǎng)絡(luò)體系結(jié)構(gòu)圖;
[0043]圖2為基于網(wǎng)絡(luò)接入點(diǎn)的移動(dòng)終端惡意軟件檢測系統(tǒng)結(jié)構(gòu)圖;
[0044]圖3為檢測服務(wù)器中的檢測模型單元建立的流程圖;
[0045]圖4為實(shí)施例建立規(guī)則匹配模型流程圖;
[0046]圖5為實(shí)施例用戶使用規(guī)則匹配模型檢測流程圖;
[0047]圖6為實(shí)施例建立圖相似匹配模型流程圖;
[0048]圖7為實(shí)施例用戶使用圖相似匹配模型檢測流程圖;
[0049]圖8為利用機(jī)器學(xué)習(xí)的無監(jiān)督學(xué)習(xí)算法和有監(jiān)督學(xué)習(xí)算法建立具有發(fā)現(xiàn)未知惡意軟件檢測模型的過程圖;
[0050]圖9為利用機(jī)器學(xué)習(xí)的無監(jiān)督學(xué)習(xí)算法和有監(jiān)督學(xué)習(xí)算法建立具有發(fā)現(xiàn)未知惡意軟件檢測模型的流程圖;
[0051]圖10為實(shí)施例以機(jī)器學(xué)習(xí)無監(jiān)督學(xué)習(xí)算法的K均值方法對(duì)原始特征集進(jìn)行聚類的流程圖;
[0052]圖11為實(shí)施例建立機(jī)器學(xué)習(xí)的SVM模型流程圖;
[0053]圖12為實(shí)施例用戶使用SVM模型檢測流程圖;
[0054]圖13為用戶管理模塊處理流程圖;
[0055]圖14為流量管理模塊處理流程圖;
[0056]圖15為特征管理模塊處理流程圖。
【具體實(shí)施方式】
[0057]下面結(jié)合附圖與實(shí)施例對(duì)本發(fā)明做進(jìn)一步說明:
[0058]本發(fā)明的基于網(wǎng)絡(luò)接入點(diǎn)的移動(dòng)終端惡意軟件檢測方法,包括:
[0059]用戶移動(dòng)終端通過網(wǎng)絡(luò)接入點(diǎn)訪問網(wǎng)絡(luò),向檢測服務(wù)器申請(qǐng)認(rèn)證;
[0060]認(rèn)證處理后,通過動(dòng)態(tài)分配流量鏡像端口進(jìn)行采集且緩存用戶移動(dòng)終端網(wǎng)絡(luò)流量至流量數(shù)據(jù)處理服務(wù)器,然后對(duì)獲取的用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行識(shí)別和隱私處理,然后提取并聚合網(wǎng)絡(luò)流量數(shù)據(jù)特征,形成特