面向網(wǎng)絡(luò)服務(wù)提供商的惡意軟件網(wǎng)絡(luò)行為檢測(cè)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種移動(dòng)終端惡意軟件檢測(cè)方法���,尤其涉及一種面向網(wǎng)絡(luò)服務(wù)提供商的惡意軟件網(wǎng)絡(luò)行為檢測(cè)方法及系統(tǒng)。
【背景技術(shù)】
[0002]隨著移動(dòng)終端的廣泛使用���,尤其是智能手機(jī)的迅速普及,移動(dòng)智能終端給現(xiàn)代社會(huì)巨大的變革���,進(jìn)入21世紀(jì)以來���,我們已經(jīng)迅速步入了移動(dòng)時(shí)代。而手機(jī)已不再局限于傳統(tǒng)意義上的通信業(yè)務(wù)���,已經(jīng)成為集電子商務(wù)��、個(gè)人支付���、社交娛樂等功能于一體的強(qiáng)大終端���。然而隨著移動(dòng)應(yīng)用的普及和用戶數(shù)量爆發(fā)式增長(zhǎng),移動(dòng)智能終端的安全也面臨著巨大挑戰(zhàn)��。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的2013年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告的一項(xiàng)統(tǒng)計(jì)���,惡意扣費(fèi)類的惡意程序數(shù)量居首位��,達(dá)到了 502481個(gè)���,顯示了黑客制作惡意程序帶有明顯的趨利性,而針對(duì)Android平臺(tái)的惡意聯(lián)網(wǎng)程序達(dá)到了 699514個(gè)���,占總數(shù)99%以上��。
[0003]傳統(tǒng)的移動(dòng)終端惡意軟件檢測(cè)方法根據(jù)檢測(cè)方式的不同大致可以分為兩類���,即靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)。(I)對(duì)于靜態(tài)檢測(cè)技術(shù)���,是利用反編譯工具和逆向工程技術(shù)對(duì)移動(dòng)終端的惡意軟件進(jìn)行反編譯和反匯編��,再從源代碼中找出惡意代碼���。這種靜態(tài)檢測(cè)技術(shù)最大的優(yōu)點(diǎn)是實(shí)施簡(jiǎn)單���,用戶只需在終端上安裝檢測(cè)程序即可,而各大安全公司的移動(dòng)終端的安全產(chǎn)品也大都采用這種模式��。但是隨著代碼混淆���、加殼等技術(shù)的出現(xiàn)���,反編譯和對(duì)惡意代碼的特征匹配已經(jīng)變成了一件非常困難的事情,同時(shí)���,這種靜態(tài)檢測(cè)技術(shù)非常依賴于已有惡意代碼的特征,對(duì)未知惡意軟件的發(fā)現(xiàn)能力極其不足��。(2)對(duì)于動(dòng)態(tài)檢測(cè)技術(shù)��,則是利用“沙盒”機(jī)制��,通過在沙盒內(nèi)運(yùn)行應(yīng)用軟件��,監(jiān)控應(yīng)用軟件對(duì)系統(tǒng)敏感資源的調(diào)用來達(dá)到識(shí)別的目的。這種動(dòng)態(tài)的方法對(duì)未知的惡意應(yīng)用具有一定的發(fā)現(xiàn)能力��,但是對(duì)用戶終端的資源消耗巨大���,并且難以大規(guī)模部署實(shí)施���,所以相關(guān)研究?jī)H停留在學(xué)術(shù)研究階段。
[0004]通過網(wǎng)絡(luò)流量來發(fā)現(xiàn)移動(dòng)終端的惡意軟件網(wǎng)絡(luò)行為是近年新興的一種惡意軟件檢測(cè)技術(shù)��,并取得了一些初步的研究成果��。通過網(wǎng)絡(luò)流量來檢測(cè)惡意軟件不需要用戶在終端設(shè)備上安裝檢測(cè)程序��,極大地降低了用戶終端設(shè)備的計(jì)算資源���。這種基于網(wǎng)絡(luò)流量檢測(cè)方法的數(shù)據(jù)來自于用戶的移動(dòng)終端���,而網(wǎng)絡(luò)服務(wù)提供商網(wǎng)絡(luò)作為所有用戶移動(dòng)終端接入?yún)R聚的關(guān)口,是所有數(shù)據(jù)流必須經(jīng)過的承載網(wǎng)絡(luò)��,所以���,網(wǎng)絡(luò)服務(wù)提供商是移動(dòng)終端惡意軟件網(wǎng)絡(luò)行為檢測(cè)中至關(guān)重要的監(jiān)測(cè)點(diǎn)和控制點(diǎn)��。但是���,目前網(wǎng)絡(luò)服務(wù)提供商很少針對(duì)移動(dòng)終端惡意軟件的網(wǎng)絡(luò)行為進(jìn)行主動(dòng)的檢測(cè)和預(yù)警��,對(duì)移動(dòng)終端惡意軟件的防治都是被動(dòng)的從投訴事件入手��,這種方式顯然是滯后的���,往往已經(jīng)對(duì)用戶造成了不可挽回的損失。
【發(fā)明內(nèi)容】
[0005]為了解決現(xiàn)有技術(shù)的缺點(diǎn)���,本發(fā)明提供一種面向網(wǎng)絡(luò)服務(wù)提供商的惡意軟件網(wǎng)絡(luò)行為檢測(cè)方法及系統(tǒng)���。這種方法將檢測(cè)服務(wù)系統(tǒng)部署在網(wǎng)絡(luò)服務(wù)提供商的骨干網(wǎng)絡(luò)中,利用移動(dòng)終端產(chǎn)生的網(wǎng)絡(luò)流量來檢測(cè)移動(dòng)終端是否安裝了惡意軟件��,若檢測(cè)到惡意軟件���,則以短信或信息反饋App推送消息的形式通知用戶。通過在網(wǎng)絡(luò)服務(wù)提供商的骨干網(wǎng)中部署檢測(cè)服務(wù)系統(tǒng)��,網(wǎng)絡(luò)服務(wù)提供商實(shí)現(xiàn)了對(duì)移動(dòng)終端惡意軟件的主動(dòng)檢測(cè),同時(shí)���,作為一項(xiàng)增值業(yè)務(wù)��,用戶可以自主選擇和定制網(wǎng)絡(luò)服務(wù)提供商的這項(xiàng)業(yè)務(wù)���。
[0006]為實(shí)現(xiàn)上述目的,本發(fā)明采用以下技術(shù)方案:
[0007]一種面向網(wǎng)絡(luò)服務(wù)提供商的惡意軟件網(wǎng)絡(luò)行為檢測(cè)方法���,包括:
[0008]用戶移動(dòng)終端通過網(wǎng)絡(luò)服務(wù)提供商的基站與網(wǎng)絡(luò)服務(wù)提供商的骨干網(wǎng)連接��,網(wǎng)絡(luò)服務(wù)提供商的骨干網(wǎng)與互聯(lián)網(wǎng)相連���;
[0009]當(dāng)用戶移動(dòng)終端接入互聯(lián)網(wǎng)時(shí),用戶移動(dòng)終端向檢測(cè)服務(wù)器申請(qǐng)認(rèn)證��;
[0010]認(rèn)證處理后���,通過動(dòng)態(tài)分配流量鏡像端口進(jìn)行采集且緩存用戶移動(dòng)終端網(wǎng)絡(luò)流量至流量數(shù)據(jù)處理服務(wù)器���,然后對(duì)獲取的用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行識(shí)別和隱私處理,然后提取并聚合網(wǎng)絡(luò)流量數(shù)據(jù)特征���,形成特征集���,并傳送至檢測(cè)服務(wù)器��;
[0011]讀取特征集���,檢測(cè)服務(wù)器中的檢測(cè)模型對(duì)特征集中特征進(jìn)行檢測(cè),檢測(cè)結(jié)果經(jīng)流量數(shù)據(jù)處理服務(wù)器返回到網(wǎng)絡(luò)服務(wù)提供商的骨干網(wǎng)���,并最終返回給用戶移動(dòng)終端��。
[0012]所述面向網(wǎng)絡(luò)服務(wù)提供商的惡意軟件網(wǎng)絡(luò)行為檢測(cè)方法還包括:
[0013]檢測(cè)模型服務(wù)器通過獲取的用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行訓(xùn)練檢測(cè)服務(wù)器中的檢測(cè)模型��,得到檢測(cè)模型的最優(yōu)參數(shù)��,進(jìn)行更新檢測(cè)服務(wù)器的檢測(cè)模型��。
[0014]當(dāng)用戶移動(dòng)終端接入互聯(lián)網(wǎng)時(shí)��,用戶移動(dòng)終端向檢測(cè)服務(wù)器申請(qǐng)認(rèn)證的過程���,包括:
[0015]當(dāng)用戶移動(dòng)終端接入互聯(lián)網(wǎng)時(shí),向檢測(cè)服務(wù)器發(fā)出認(rèn)證請(qǐng)求���;
[0016]響應(yīng)用戶的認(rèn)證請(qǐng)求���,開始認(rèn)證用戶身份信息及用戶移動(dòng)終端設(shè)備信息;
[0017]用戶移動(dòng)終端設(shè)備通過認(rèn)證后���,觸發(fā)流量鏡像端口采集用戶移動(dòng)終端網(wǎng)絡(luò)流量��。
[0018]所述用戶身份信息包括用戶UID(User Identificat1n用戶身份證明)���,用戶移動(dòng)終端設(shè)備信息包括終端設(shè)備的MAC地址以及設(shè)備識(shí)別碼頂EI (Internat1nal MobileEquipment Identity,移動(dòng)設(shè)備國際識(shí)別碼���,又稱為國際移動(dòng)設(shè)備標(biāo)識(shí))��。
[0019]所述流量數(shù)據(jù)處理服務(wù)器對(duì)用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行識(shí)別的過程��,包括:
[0020]解析流量鏡像端口所采集的用戶移動(dòng)終端網(wǎng)絡(luò)流量���,得到移動(dòng)終端惡意目標(biāo)列表;根據(jù)移動(dòng)終端惡意目標(biāo)列表���,分離移動(dòng)終端惡意軟件產(chǎn)生的惡意行為流量���,最終識(shí)別出惡意行為流量��。
[0021]對(duì)識(shí)別出的用戶移動(dòng)終端網(wǎng)絡(luò)流量中的惡意行為流量數(shù)據(jù)包進(jìn)行設(shè)置應(yīng)用名稱標(biāo)簽��。
[0022]一種基于面向網(wǎng)絡(luò)服務(wù)提供商的惡意軟件網(wǎng)絡(luò)行為檢測(cè)方法的檢測(cè)系統(tǒng)���,包括:
[0023]流量數(shù)據(jù)處理服務(wù)器,所述流量數(shù)據(jù)處理服務(wù)器���,包括用戶交互單元���,其用于當(dāng)用戶移動(dòng)終端接入互聯(lián)網(wǎng)時(shí),用戶移動(dòng)終端向檢測(cè)服務(wù)器申請(qǐng)認(rèn)證���;
[0024]量鏡像單元��,其用于當(dāng)認(rèn)證處理后���,通過動(dòng)態(tài)分配的流量鏡像端口進(jìn)行采集用戶移動(dòng)終端網(wǎng)絡(luò)流量;
[0025]流量緩存單元��,其用于緩存用戶移動(dòng)終端網(wǎng)絡(luò)流量��;
[0026]流量識(shí)別單元,其用于識(shí)別用戶移動(dòng)終端網(wǎng)絡(luò)流量��;
[0027]隱私處理單元��,其用于對(duì)用戶移動(dòng)終端網(wǎng)絡(luò)流量進(jìn)行隱私處理��;
[0028]流量存儲(chǔ)單元���,其用于存儲(chǔ)處理后的用戶移動(dòng)終端網(wǎng)絡(luò)流量;
[0029]特征提取單元���,其用于提取用戶移動(dòng)終端網(wǎng)絡(luò)流量中的數(shù)據(jù)特征��;
[0030]聚合單元��,其用于對(duì)提取的用戶移動(dòng)終端網(wǎng)絡(luò)流量中的數(shù)據(jù)特征進(jìn)行聚合��,形成表征用戶移動(dòng)終端網(wǎng)絡(luò)流量的新數(shù)據(jù)特征���,形成特征集;
[0031]檢測(cè)服務(wù)器���,所述檢測(cè)服務(wù)器包括檢測(cè)模型單元���,其用于讀取特征集��,并對(duì)特征集中特征進(jìn)行檢測(cè)��,檢測(cè)結(jié)果經(jīng)流量數(shù)據(jù)處理服務(wù)器返回到網(wǎng)絡(luò)服務(wù)提供商的骨干網(wǎng)���,并最終返回給用戶移動(dòng)終端。
[0032]所述檢測(cè)服務(wù)器與檢測(cè)模型服務(wù)器相連��,所述檢測(cè)模型服務(wù)器用于訓(xùn)練檢測(cè)服務(wù)器中的檢測(cè)模型���,得到檢測(cè)模型的最優(yōu)參數(shù)��,并更新檢測(cè)服務(wù)器中的檢測(cè)模型���。
[0033]所述用戶交互單元,包括:
[0034]認(rèn)證請(qǐng)求發(fā)送模塊���,其用于當(dāng)用戶移動(dòng)終端通過網(wǎng)絡(luò)服務(wù)提供商的基站與網(wǎng)絡(luò)服務(wù)提供商的骨干網(wǎng)連接之后接入與互聯(lián)網(wǎng)時(shí)��,向檢測(cè)服務(wù)器發(fā)出認(rèn)證請(qǐng)求��;
[0035]認(rèn)證模塊��,其用于響應(yīng)用戶的認(rèn)證請(qǐng)求���,開始認(rèn)證用戶身份信息及用戶移動(dòng)終端設(shè)備信息���;
[0036]觸發(fā)模塊,其用于當(dāng)用戶移動(dòng)終端設(shè)備通過認(rèn)證后���,觸發(fā)流量鏡像端口采集用戶移動(dòng)終端網(wǎng)絡(luò)流量。
[0037]所述流量識(shí)別單元���,包括:
[0038]流量解析模塊��,其用于解析流量鏡像端口所采集的用戶移動(dòng)終端網(wǎng)絡(luò)流量��,得到移動(dòng)終端惡意目標(biāo)列表���;
[0039]流量分離模塊,其用于根據(jù)移動(dòng)終端惡意目標(biāo)列表���,分離移動(dòng)終端惡意軟件產(chǎn)生的惡意行為流量���,最終識(shí)別出惡意行為流量��。
[0040]本發(fā)明的有益效果為:
[0041](I)這種檢測(cè)方法利用移動(dòng)終端產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行惡意軟件的檢測(cè)���,完全由網(wǎng)絡(luò)服務(wù)提供商在網(wǎng)絡(luò)節(jié)點(diǎn)處部署檢測(cè)服務(wù)系統(tǒng),由檢測(cè)服務(wù)系統(tǒng)自動(dòng)完成���,不需要依賴用戶���,對(duì)用戶的移動(dòng)終端的資源消耗小���;
[0042](2)若檢測(cè)到惡意軟件��,網(wǎng)絡(luò)服務(wù)提供商可以及時(shí)地通知用戶���,避免了檢測(cè)的滯后性,給用戶的損失最?�?��;
[0043](3)從網(wǎng)絡(luò)服務(wù)提供商的角度來看��,網(wǎng)絡(luò)服務(wù)提供商實(shí)現(xiàn)了主動(dòng)檢測(cè)的同時(shí)��,可以將這種檢測(cè)服務(wù)作為一項(xiàng)可定制的增值服務(wù)��,用以保證用戶移動(dòng)終端的安全��。
【附圖說明】
[0044]圖1為在網(wǎng)絡(luò)服務(wù)提供商的骨干網(wǎng)絡(luò)中部署惡意軟件網(wǎng)絡(luò)行為檢測(cè)系統(tǒng)體系結(jié)構(gòu)圖���;
[0045]圖2為面向網(wǎng)絡(luò)服務(wù)提供商的惡意軟件網(wǎng)絡(luò)行為檢測(cè)系統(tǒng)結(jié)構(gòu)圖��;
[0046]圖3為檢測(cè)服務(wù)器中的檢測(cè)模型單元建立的流程圖��;
[0047]圖4為實(shí)施例建立規(guī)則匹配模型流程圖;
[0048]圖5為實(shí)施例用戶使用規(guī)則匹配模型檢測(cè)流程圖��;
[0049]圖6為實(shí)施例建立圖相似匹配模型流程圖���;
[0050]圖7為實(shí)施例用戶使用圖相似匹配模型檢測(cè)流程圖��;
[0051]圖8為利用機(jī)器學(xué)習(xí)的無監(jiān)督學(xué)習(xí)算法和有監(jiān)督學(xué)習(xí)算法建立具有發(fā)現(xiàn)未知惡意軟件檢測(cè)模型的過程圖���;
[0052]圖9為利用機(jī)器學(xué)習(xí)的無監(jiān)督學(xué)習(xí)算法和有監(jiān)督學(xué)習(xí)算法建立具有發(fā)現(xiàn)未知惡意軟件檢測(cè)模型的流程圖;
[0053]圖10為實(shí)施例以機(jī)器學(xué)習(xí)無監(jiān)督學(xué)習(xí)算法的K均值方法對(duì)原始特征集進(jìn)行聚類的流程圖���;
[0054]圖11為實(shí)施例建立機(jī)器學(xué)習(xí)的SVM模型流程圖��;
[0055]圖12為實(shí)施例用戶使用SVM模型檢測(cè)流程圖��;
[0056]圖13為用戶管理模塊處理流程圖���;
[0057]圖14為流量管理模塊處理流程圖���;
[0058]圖15為特征管理模塊處理流程圖。
【具體實(shí)施方式】
[0059]下面結(jié)合附圖與實(shí)施例對(duì)本發(fā)明做進(jìn)一步說明:
[0060]本發(fā)明的面向網(wǎng)絡(luò)服務(wù)提供商的惡意軟