專利名稱:基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)與信息安全技術(shù)��,特別是涉及一種基于通信網(wǎng)的手機(jī)病毒和 惡意軟件的云檢測(cè)方法�����,其將流量監(jiān)測(cè)和云端查殺進(jìn)行結(jié)合����,通過(guò)監(jiān)測(cè)GPRS核心網(wǎng)的接 口的流量,并利用手機(jī)病毒防護(hù)服務(wù)器對(duì)GTP-C/GTP-U流量進(jìn)行分析�,從而發(fā)現(xiàn)不可識(shí)別 的手機(jī)病毒或者惡意軟件。
背景技術(shù):
2010年11月7日����,中央電視臺(tái)《每周質(zhì)量報(bào)告》播出了 “僵尸手機(jī)揭秘”節(jié)目,報(bào) 道了手機(jī)病毒背后的利益鏈和危害問(wèn)題��,隨后北京����、重慶�����、江蘇等多省地方媒體進(jìn)行了轉(zhuǎn)載 和跟蹤報(bào)道��,引起了社會(huì)的廣泛關(guān)注��。央視報(bào)道的是名為“毒媒”的病毒��,感染該病毒后,用戶手機(jī)將成為“僵尸手機(jī)”���,會(huì) 自動(dòng)將手機(jī)號(hào)碼����、IMEI等信息發(fā)送到指定的黑客服務(wù)器���,同時(shí)接受其指令�,包括發(fā)送短信訂 購(gòu)業(yè)務(wù)��、向指定號(hào)碼發(fā)送垃圾短信��、拔打騷擾電話、卸載防病毒軟件等��,給客戶造成隱私泄 露����、話費(fèi)損失等嚴(yán)重危害,并可能威脅通信網(wǎng)的運(yùn)行安全���。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)測(cè) 數(shù)據(jù)����,在9月的第一周�����,全國(guó)就發(fā)現(xiàn)近100萬(wàn)部手機(jī)感染該病毒�����;據(jù)初步估計(jì)�,每天將耗費(fèi)用 戶話費(fèi)約為200萬(wàn)元,給客戶造成嚴(yán)重經(jīng)濟(jì)損失�。據(jù)不完全統(tǒng)計(jì),今年上半年手機(jī)病毒種類已有1600多種���,預(yù)計(jì)年底將達(dá)到MOO 種�。截止2009年,手機(jī)病毒黑色產(chǎn)業(yè)鏈年獲利已經(jīng)達(dá)到10億元�����。而且由于目前用戶病毒 防護(hù)意識(shí)薄弱��、運(yùn)營(yíng)商防護(hù)手段不健全���、政府監(jiān)管法規(guī)不完善�,手機(jī)病毒已逐漸呈現(xiàn)泛濫之 勢(shì)���。因此,如何創(chuàng)作一種基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法���,實(shí)屬當(dāng)前 重要的研發(fā)課題��。
發(fā)明內(nèi)容
本發(fā)明涉及一種網(wǎng)絡(luò)與信息安全技術(shù)���,特別是涉及一種基于通信網(wǎng)的手機(jī)病毒和 惡意軟件的云檢測(cè)方法,其通過(guò)監(jiān)測(cè)GPRS核心網(wǎng)的接口的流量�����,并利用手機(jī)病毒防護(hù)服 務(wù)器對(duì)GTP-C/GTP-U流量進(jìn)行分析,從而發(fā)現(xiàn)不可識(shí)別的手機(jī)病毒或者惡意軟件�����。本發(fā)明的目的及解決其技術(shù)問(wèn)題是采用以下技術(shù)方案來(lái)實(shí)現(xiàn)的����。依據(jù)本發(fā)明提 出的一種一種基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法,其包括以下步驟步驟 (10)獲取待檢測(cè)的移動(dòng)用戶手機(jī)的流入流量�����;步驟00)由主動(dòng)云檢測(cè)模塊分析所述流 入流量����,并判斷是否符合可識(shí)別流量模式;步驟(30)將不可識(shí)別的流量實(shí)時(shí)傳送給云匯 聚端模塊��,然后傳送給云分析引擎模塊�����,所述云分析引擎模塊利用手機(jī)病毒集中管理系統(tǒng) 的病毒庫(kù)進(jìn)行分析�;步驟GO)所述云分析引擎模塊將分析結(jié)果反饋給所述主動(dòng)云檢測(cè)模 塊�����,所述主動(dòng)云檢測(cè)模塊將所述分析結(jié)果保存于處理數(shù)據(jù)庫(kù)模塊�����;步驟(50)獲取待檢測(cè) 的移動(dòng)用戶流出流量����;以及步驟(60)根據(jù)實(shí)時(shí)感染用戶監(jiān)控模塊分析所述流出流量�����,然 后將分析結(jié)果保存于處理數(shù)據(jù)庫(kù)模塊�����。
本發(fā)明的目的及解決其技術(shù)問(wèn)題還可采用以下技術(shù)措施進(jìn)一步實(shí)現(xiàn)���。前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法,其中所述步驟(10)是 通過(guò)分光器從接口獲取的移動(dòng)用戶手機(jī)的流入流量���,所述分光器串接于被監(jiān)測(cè)的通信 網(wǎng)的光纖鏈路中���。前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法�����,其中所述的可識(shí)別流量 包括安全流量和不安全流量�。前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法����,其中所述的不安全流量 為手機(jī)病毒或惡意軟件。前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法��,其中所述步驟00)還 包括步驟O01)所述主動(dòng)云檢測(cè)模塊利用模式匹配來(lái)判斷是否符合可識(shí)別流量模式��;步 驟(202)若是�����,所述主動(dòng)云檢測(cè)模塊繼續(xù)判斷是否為安全流量���?若為安全流量�����,所述主動(dòng) 云檢測(cè)模塊不做任何操作�����,若為不安全流量���,則發(fā)送告警指令于手機(jī)��;步驟(203)若否�,則 執(zhí)行步驟(30)����。前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法,其中所述步驟(30)還 包括步驟(301)所述手機(jī)病毒集中管理系統(tǒng)將所述不可識(shí)別的流量傳送給手機(jī)病毒研 判系統(tǒng)進(jìn)行人工判斷�����。前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法����,其中所述主動(dòng)云檢測(cè)模 塊、所述實(shí)時(shí)感染監(jiān)控模塊以及所述處理數(shù)據(jù)庫(kù)模塊設(shè)置于手機(jī)病毒防護(hù)檢測(cè)代理服務(wù)
ο前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法����,其中所述云匯聚端模塊 和所述云分析引擎模塊設(shè)置于手機(jī)病毒防護(hù)服務(wù)器。本發(fā)明與現(xiàn)有技術(shù)相比具有明顯的優(yōu)點(diǎn)和有益效果��。借由上述技術(shù)方案�,本發(fā)明 基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法至少具有下列優(yōu)點(diǎn)及有益效果本發(fā)明通 過(guò)監(jiān)測(cè)GPRS核心網(wǎng)的接口的流量,并利用手機(jī)病毒防護(hù)服務(wù)器對(duì)GTP-C/GTP-U流量進(jìn) 行分析��,從而發(fā)現(xiàn)不可識(shí)別的手機(jī)病毒或者惡意軟件���。上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述��,為了能夠更清楚了解本發(fā)明的技術(shù)手段��, 而可依照說(shuō)明書的內(nèi)容予以實(shí)施����,并且為了讓本發(fā)明的上述和其他目的���、特征和優(yōu)點(diǎn)能夠 更明顯易懂�����,以下特舉較佳實(shí)施例����,并配合附圖,詳細(xì)說(shuō)明如下���。
圖1是本發(fā)明基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法的流程圖��。
具體實(shí)施例方式為更進(jìn)一步闡述本發(fā)明為達(dá)成預(yù)定發(fā)明目的所采取的技術(shù)手段及功效���,以下結(jié)合 附圖及較佳實(shí)施例,對(duì)依據(jù)本發(fā)明提出的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法 及工具其具體實(shí)施方式
�、方法、步驟����、結(jié)構(gòu)、特征及其功效��,詳細(xì)說(shuō)明如后���。請(qǐng)參閱圖1所示���,是本發(fā)明基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法的流 程圖,包括以下步驟步驟10 獲取待檢測(cè)的移動(dòng)用戶手機(jī)的流入流量
上述步驟的移動(dòng)用戶手機(jī)的流入流量是以分光接入方式從接口采集的�,通過(guò) 串接于被監(jiān)測(cè)的通信網(wǎng)的光纖鏈路中的分光器來(lái)實(shí)現(xiàn),此種設(shè)置方式保證不增加被監(jiān)測(cè)的 通信網(wǎng)的交換機(jī)負(fù)荷����,保證對(duì)被監(jiān)測(cè)的通信網(wǎng)不造成任何不良影響��。分光接入方式適用于 lO/lOO/lOOOMbps及更大流量的以太網(wǎng)光纖鏈路。本發(fā)明中的通信網(wǎng)是指GPRS核心網(wǎng)�����,流量可為GTP-C/GTP-U����。步驟20 由主動(dòng)云檢測(cè)模塊分析所述流入流量,并判斷是否符合可識(shí)別流量模式經(jīng)步驟10獲取的移動(dòng)用戶手機(jī)的流入流量傳送到手機(jī)病毒防護(hù)檢測(cè)代理服務(wù) 器��,由設(shè)置于手機(jī)病毒防護(hù)檢測(cè)代理服務(wù)器中的主動(dòng)云檢測(cè)模塊分析接收過(guò)來(lái)的流入流 量�,并判斷是否符合可識(shí)別流量模式,此處的可識(shí)別流量包括安全流量和不安全流量�,在本 發(fā)明中,不安全流量即為手機(jī)病毒或惡意軟件���,在此簡(jiǎn)稱病毒事件����。在步驟20中�,首先主動(dòng)云檢測(cè)模塊利用模式匹配來(lái)判斷是否符合可識(shí)別流量模 式(步驟201)�,經(jīng)模式匹配后���,若符合可識(shí)別流量模式�����,主動(dòng)云檢測(cè)模塊繼續(xù)判斷是否為安 全流量�?若經(jīng)判斷后����,為安全流量,主動(dòng)云檢測(cè)模塊不做任何操作��,若為不安全流量����,則發(fā) 送告警指令于手機(jī)(步驟20 ;若不符合可識(shí)別流量模式即為不可識(shí)別流量�,執(zhí)行下述步 驟30 (步驟203)在本發(fā)明中,不可識(shí)別流量為未知可疑軟件信息����,未知可疑軟件信息可為 未知樣本信息和未知行為信息。在上述提到的不安全流量�����,即病毒事件,主動(dòng)云檢測(cè)模塊除發(fā)送告警指令于手機(jī) 外��,同時(shí)還將病毒事件實(shí)時(shí)上報(bào)給手機(jī)病毒防護(hù)服務(wù)器�����,手機(jī)病毒防護(hù)服務(wù)器同時(shí)做出回 應(yīng)�,發(fā)送給手機(jī)病毒防護(hù)檢測(cè)代理服務(wù)器��,在本發(fā)明中����,手機(jī)病毒防護(hù)服務(wù)器通過(guò)接口連接 于手機(jī)病毒防護(hù)檢測(cè)代理服務(wù)器,具體上報(bào)病毒事件的信息內(nèi)容如下
字段字段說(shuō)明Sid事件IDDescription病毒描述Signature病毒特征Msisdn手機(jī)號(hào)GgsnsgsndataidGgsn idSource—ip手機(jī)IPDestip目標(biāo)IPTimestamp時(shí)間Datapayload事件數(shù)據(jù)報(bào)文SensorID檢測(cè)代理ID
步驟30 將不可識(shí)別的流量實(shí)時(shí)傳送給云匯聚端模塊��,然后傳送給云分析引擎模 塊����,云分析引擎模塊利用手機(jī)病毒集中管理系統(tǒng)的病毒庫(kù)進(jìn)行分析當(dāng)流入流量被判斷為不可識(shí)別流量,則由主動(dòng)云檢測(cè)模塊通過(guò)接口將不可識(shí)別流 量實(shí)時(shí)傳送到手機(jī)病毒防護(hù)服務(wù)器��,由設(shè)置于手機(jī)病毒防護(hù)服務(wù)器的云匯聚端模塊接收����, 并傳送給設(shè)置于手機(jī)病毒防護(hù)服務(wù)器的云分析引擎模塊進(jìn)行分析����,具體分析接收的未知可 疑軟件信息���,在詳細(xì)分析時(shí)����,向通過(guò)接口連接于手機(jī)病毒防護(hù)服務(wù)器的手機(jī)病毒集中管理 系統(tǒng)的病毒庫(kù)進(jìn)行查詢���,若經(jīng)分析后�����,不可識(shí)別流量(即未知樣本信息和未知行為信息)存 在于病毒庫(kù)中�,則變換為已知樣本信息和已知行為信息����,存儲(chǔ)于手機(jī)病毒防護(hù)服務(wù)器的病 毒數(shù)據(jù)庫(kù)中。若經(jīng)分析后不可識(shí)別流量未存在于病毒庫(kù)�,手機(jī)病毒集中管理系統(tǒng)將此不可 識(shí)別流量通過(guò)接口傳送給手機(jī)病毒研判系統(tǒng)進(jìn)行人工判斷(步驟301),并將判斷結(jié)果反饋 給手機(jī)病毒集中管理系統(tǒng),手機(jī)病毒集中管理系統(tǒng)存儲(chǔ)新的未知可疑軟件信息�,并同時(shí)反 饋給云分析引擎模塊,存儲(chǔ)于病毒數(shù)據(jù)庫(kù)中����,供后續(xù)匹配調(diào)用。上述的手機(jī)病毒防護(hù)服務(wù)器向手機(jī)病毒防護(hù)檢測(cè)代理服務(wù)器發(fā)送實(shí)時(shí)上報(bào)未知 可疑軟件信息和病毒更新請(qǐng)求指令�����,具體的未知可疑軟件信息內(nèi)容如下
權(quán)利要求
1.一種基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法����,其特征在于其包括以下步驟步驟(10)獲取待檢測(cè)的移動(dòng)用戶手機(jī)的流入流量����;步驟00)由主動(dòng)云檢測(cè)模塊分析所述流入流量,并判斷是否符合可識(shí)別流量模式��;步驟(30)將不可識(shí)別的流量實(shí)時(shí)傳送給云匯聚端模塊��,然后傳送給云分析引擎模 塊�����,所述云分析引擎模塊利用手機(jī)病毒集中管理系統(tǒng)的病毒庫(kù)進(jìn)行分析;步驟GO)所述云分析引擎模塊將分析結(jié)果反饋給所述主動(dòng)云檢測(cè)模塊���,所述主動(dòng)云 檢測(cè)模塊將所述分析結(jié)果保存于處理數(shù)據(jù)庫(kù)模塊�;步驟(50)獲取待檢測(cè)的移動(dòng)用戶流出流量�;以及步驟(60)根據(jù)實(shí)時(shí)感染用戶監(jiān)控模塊分析所述流出流量,然后將分析結(jié)果保存于處 理數(shù)據(jù)庫(kù)模塊����。
2.根據(jù)權(quán)利要求1所述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法,其特征在 于其中所述步驟(10)是通過(guò)分光器從接口獲取的移動(dòng)用戶手機(jī)的流入流量��,所述分光 器串接于被監(jiān)測(cè)的通信網(wǎng)的光纖鏈路中�����。
3.根據(jù)權(quán)利要求1所述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法����,其特征在 于其中所述可識(shí)別流量包括安全流量和不安全流量。
4.根據(jù)權(quán)利要求3所述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法����,其特征在 于其中所述的不安全流量為手機(jī)病毒或惡意軟件。
5.根據(jù)權(quán)利要求1至4中任一權(quán)利要求所述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云 檢測(cè)方法���,其特征在于其中所述步驟O0)還包括步驟O01)所述主動(dòng)云檢測(cè)模塊利用模式匹配來(lái)判斷是否符合可識(shí)別流量模式���;步驟O02)若是��,所述主動(dòng)云檢測(cè)模塊繼續(xù)判斷是否為安全流量����?若為安全流量����,所 述主動(dòng)云檢測(cè)模塊不做任何操作,若為不安全流量���,則發(fā)送告警指令于手機(jī)�����;步驟(203)若否,則執(zhí)行步驟(30)�����。
6.根據(jù)權(quán)利要求1所述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法���,其特征在 于其中所述步驟(30)還包括步驟(301)所述手機(jī)病毒集中管理系統(tǒng)將所述不可識(shí)別的流量傳送給手機(jī)病毒研判 系統(tǒng)進(jìn)行人工判斷�。
7.根據(jù)權(quán)利要求1所述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法,其特征在 于其中所述主動(dòng)云檢測(cè)模塊���、所述實(shí)時(shí)感染監(jiān)控模塊以及所述處理數(shù)據(jù)庫(kù)模塊設(shè)置于手機(jī) 病毒防護(hù)檢測(cè)代理服務(wù)器�。
8.根據(jù)權(quán)利要求1所述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法�,其特征在 于其中所述云匯聚端模塊和所述云分析引擎模塊設(shè)置于手機(jī)病毒防護(hù)服務(wù)器。
全文摘要
本發(fā)明是有關(guān)于一種基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法�����。其包括步驟(10)獲取待檢測(cè)的移動(dòng)用戶手機(jī)的流入流量��;步驟(20)由主動(dòng)云檢測(cè)模塊分析所述流入流量���,并判斷是否符合可識(shí)別流量模式����;步驟(30)將不可識(shí)別的流量實(shí)時(shí)傳送給云匯聚端模塊�,然后傳送給云分析引擎模塊,云分析引擎模塊利用手機(jī)病毒集中管理系統(tǒng)的病毒庫(kù)進(jìn)行分析���;步驟(40)云分析引擎模塊將分析結(jié)果反饋給述主動(dòng)云檢測(cè)模塊��,主動(dòng)云檢測(cè)模塊將分析結(jié)果保存于處理數(shù)據(jù)庫(kù)模塊�����;步驟(50)獲取待檢測(cè)的移動(dòng)用戶流出流量�����;以及步驟(60)根據(jù)實(shí)時(shí)感染用戶監(jiān)控模塊分析所述流出流量��,然后將分析結(jié)果保存于處理數(shù)據(jù)庫(kù)模塊����。
文檔編號(hào)H04W12/12GK102123396SQ20111003754
公開(kāi)日2011年7月13日 申請(qǐng)日期2011年2月14日 優(yōu)先權(quán)日2011年2月14日
發(fā)明者劉長(zhǎng)永, 楊滿智, 王瓊, 金紅, 黃琛 申請(qǐng)人:恒安嘉新(北京)科技有限公司