一种基于VPN的恶意应用下载拦截方法及系统与流程

文档序号:12467692阅读:570来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
一种基于VPN的恶意应用下载拦截方法及系统与流程

本发明涉及移动信息安全技术领域,特别是涉及一种基于VPN的恶意应用下载拦截方法及系统。



背景技术:

随着移动应用的广泛普及,用户在终端上下载各种类型的应用程序进行使用,如果所下载的应用程序是恶意应用,会给用户带来经济上的损失以及个人隐私信息的泄漏,因此,终端上所下载的应用程序的安全保障,是移动信息安全技术的重要课题。传统的终端应用程序下载安全识别的主要技术包括,识别应用下载商店所颁发的安全证书,在用户安装应用后,扫描证书,如果发现安全证书有问题,提示用户卸载,但此时恶意应用所带来的问题已经无法避免。



技术实现要素:

基于此,有必要针对终端应用下载的安全问题,提供一种基于VPN的恶意应用下载拦截方法及系统,其中,所述方法包括:

利用用户终端上的VPN拦截网络连接请求;

识别所述网络连接请求中的下载应用安装包请求;

监听所述下载应用安装包请求的响应数据流;

还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。

在其中一个实施例中,所述还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流,包括:

还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息;

根据所述第一特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则阻断所述响应数据流,若未在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则

还原所述响应数据流中的应用文件的文件内容,根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,根据所述第二特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则阻断所述响应数据流。

在其中一个实施例中,所述根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,包括:

还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。

在其中一个实施例中,所述根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,还包括:

还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。

在其中一个实施例中,在所述根据所述第二特征信息查找恶意应用库的步骤之后,所述方法还包括:

若未在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则

还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息,并根据所述第三特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,则阻断所述响应数据流。

在其中一个实施例中,所述恶意应用库存储在云端,则所述根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流,包括:

根据所述特征信息向云端发送特征信息匹配请求;

接收所述云端返回的特征信息匹配成功的结果;

根据所述特征信息匹配成功的结果阻断所述响应数据流。

本发明利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,如果所下载应用程序的特征信息与恶意应用库匹配,则阻断所述应用程序的下载,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。

在其中一个实施例中,对应用程序下载过程中的应用文件的文件头、可执行文件的文件头、可执行文件的全文、证书的全文,进行逐层递进的特征信息匹配,如果任何一个环节存在安全问题,都会阻断所述应用程序的下载,全面的保证所下载的应用程序的安全性。

在其中一个实施例中,所述的恶意应用库存储在云端,用户将应用程序的特征发送至云端进行匹配,存储在云端的恶意信息库方便维护及信息的更新,保证用户应用程序下载的安全性。

本发明还提供一种基于VPN的恶意应用下载拦截系统,包括:

网络请求拦截模块,用于利用用户终端上的VPN拦截网络连接请求;

下载应用安装包请求识别模块,用于识别所述网络连接请求中的下载应用安装包请求;

监听响应数据流模块,用于监听所述下载应用安装包请求的响应数据流;

恶意应用安装包拦截模块,用于还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。

在其中一个实施例中,所述恶意应用安装包拦截模块,包括:

应用文件头查找单元,用于还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息;根据所述第一特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则阻断所述响应数据流,若未在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则

应用文件内容查找单元,用于还原所述响应数据流中的应用文件的文件内容,根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,根据所述第二特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则阻断所述响应数据流。

在其中一个实施例中,所述应用文件内容查找单元,包括:

证书文件查找子单元,用于还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。

在其中一个实施例中,所述应用文件内容查找单元,还包括:

可执行文件头查找子单元,用于还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。

在其中一个实施例中,所述应用文件内容查找单元,还包括:

可执行文件全文查找子单元,用于还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息,并根据所述第三特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,则阻断所述响应数据流。

在其中一个实施例中,所述恶意应用库存储在云端,

所述恶意应用安装包拦截模块,还包括:

匹配请求发送单元,用于根据所述特征信息向云端发送特征信息匹配请求;

匹配结果接收单元,用于接收所述云端返回的特征信息匹配成功的结果;

恶意应用安装包拦截单元,用于根据所述特征信息匹配成功的结果阻断所述响应数据流。本发明利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,如果所下载应用程序的特征信息与恶意应用库匹配,则阻断所述应用程序的下载,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。

在其中一个实施例中,对应用程序下载过程中的应用文件的文件头、可执行文件的文件头、可执行文件的全文、证书的全文,进行逐层递进的特征信息匹配,如果任何一个环节存在安全问题,都会阻断所述应用程序的下载,全面的保证所下载的应用程序的安全性。

在其中一个实施例中,所述的恶意应用库存储在云端,用户将应用程序的特征发送至云端进行匹配,存储在云端的恶意信息库方便维护及信息的更新,保证用户应用程序下载的安全性。

附图说明

图1为一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图;

图2为另一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图;

图3为又一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图;

图4为再一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图;

图5为一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图;

图6为另一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图

图7为又一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图;

图8为再一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。

图1为一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图,如图1所示的基于VPN的恶意应用下载拦截方法包括:

步骤S100,利用用户终端上的VPN拦截网络连接请求。

具体的,在用户终端上搭建VPN(Virtual Private Network虚拟专用网),利用软件的方式实现VPN的搭建,在VPN搭建完成后,终端用户发出的所有网络连接请求都会的通过VPN进行转发,利用VPN监听终端用户所有的网络连接请求,如HTTP(HyperText Transfer Protocol超文本传输协议)连接请求,包括TCP(Transmission Control Protocol传输控制协议)连接和UDP(User Datagram Protocol用户数据报协议)请求,当收到用户的TCP握手包后,可以得知用户发起一个TCP连接请求,并能根据数据包的源端口得知是哪个应用发起的网络连接请求。当收到用户的UDP包后,根据包的源端口可以得知是哪个应用发起的请求。其中,用户终端可为智能手机、平板电脑、个人数字助理、穿戴式设备等。

步骤S200,识别所述网络连接请求中的下载应用安装包请求。

具体的,所述识别下载应用安装包请求,包括识别下载的网络链接请求中,是否有明确的应用程序的文件类型描述,如以.apk为后缀的文件类型;识别下载的类型是否为:application/vnd.android.package-archive;以及识别所下载的文件的文件头的头两个字母是否为pk。

步骤S300,监听所述下载应用安装包请求的响应数据流。

具体的,根据识别出的下载应用安装包请求,监听其响应的数据流,所述响应数据流为响应所述下载应用安装包请求的数据流。

步骤S400,还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。

具体的,通过服务器返回的响应数据流,将数据包逐一进行还原,提取其中的特征信息后,查找恶意应用库。所述的特征信息包括应用文件的文件头的特征信息、可执行文件的文件头的特征信息、可执行文件的全文提取的特征信息,以及证书文件的特征信息。通过逐层的还原,对下载应用安装包的响应数据流进行各层次的、全面的安全检测,如发现有与恶意应用库中的恶意特征值对应的特征信息,则阻断所述响应数据流。

在本实施例中,利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,如果所下载应用程序的特征信息与恶意应用库匹配,则阻断所述应用程序的下载,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。

图2为另一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图,如图2所示的基于VPN的恶意应用下载拦截方法包括:

步骤S410,还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息。

具体的,在响应数据流中,首先能还原出的是应用文件的文件头信息。在还原出的应用文件的文件头信息中,解析出整个应用文件的哈希值,并将所述整个应用文件的哈希值确定为查找恶意应用库的第一特征信息。

步骤S420,根据所述第一特征信息查找恶意应用库,判断在所述恶意应用库中是否查找到与所述第一特征信息相同的恶意特征信息,若查找到,跳至步骤S480,否则接步骤S430。

具体的,如根据所述应用文件的哈希值确定所述的应用文件是恶意文件,则需要阻断响应数据流,否则继续接收。

步骤S430,还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。

具体的,继续还原可执行文件的文件头,解析所述可执行文件的文件中的整个可执行文件的哈希值,将所述的可执行文件的哈希值确定为查找恶意应用库的第二特征信息。

步骤S440,根据所述第二特征信息查找恶意应用库,判断在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,若查找到,跳至步骤S480,否则接步骤S450。

具体的,如根据所述可执行文件的文件头信息可以确定所述的可执行文件是恶意文件,则需要阻断响应数据流,否则继续接收。

步骤S450,还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息。

具体的,进一步还原可执行文件的全部文件后,将所述可执行文件的全部文件作为设定为查找恶意应用库的特征信息。

步骤S460,根据所述第三特征信息查找恶意应用库,判断在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,若查找到,跳至步骤S480,否则接步骤S470。

具体的,如根据所述可执行文件的全部文件信息可以确定所述的可执行文件是恶意文件,则需要阻断响应数据流,否则继续接收。

步骤S470,安装所述应用程序。

步骤S480,阻断所述响应数据流。

在本实施例中,对应用程序下载过程中的应用文件的文件头、可执行文件的文件头、可执行文件的全文、证书的全文,进行逐层递进的特征信息匹配,如果任何一个环节存在安全问题,都会阻断所述应用程序的下载,全面的保证所下载的应用程序的安全性。

在本实施例中,通过解析应用文件的文件头,可执行文件的文件头,获取所述应用文件的哈希值和可执行文件的哈希值,并与恶意应用库中的恶意特征信息进行匹配,所述的恶意应用库中的恶意特征信息也是对应的哈希值,通过哈希值的对比,查找恶意文件,提高恶意文件的查找成功率,并能提高恶意文件查找的速率。

图3为又一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图,如图3所示的基于VPN的恶意应用下载拦截方法包括:

步骤S410a,还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息。

具体的,同步骤S410。

步骤S420a,根据所述第一特征信息查找恶意应用库,判断在所述恶意应用库中是否查找到与所述第一特征信息相同的恶意特征信息,若查找到,跳至步骤S460a,否则接步骤S430a。

具体的,同步骤S420。

步骤S430,还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。

具体的,将还原出来的响应数据流中的证书文件的全文,作为应用安装包的第二特征信息。

步骤S440a,根据所述第二特征信息查找恶意应用库,判断在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,若查找到,跳至步骤S460a,否则接步骤S450a。

具体的,如根据所述证书文件可以确定所述的可执行文件是恶意文件,则需要阻断响应数据流,否则继续接收。

步骤S450a,安装所述应用程序。

步骤S460a,阻断所述响应数据流。

在本实施例中,通过解析应用文件内容中的证书文件,利用证书文件作为特征信息与恶意应用库中的恶意文件信息进行对比,进一步的提高恶意文件的查找成功率。

在其中一个实施例中,在应用文件内容的认证过程中,可以先进行可执行文件文件头中的哈希值的认证,通过后,进行可执行文件全文的认证,再次通过后,继续解析证书文件进行认证,全部通过后才能进行应用程序的安装,将本实施例中,将证书文件作为第四特征信息去恶意应用库中查找与第四特征信息相同的恶意特征信息即可。本实施例采用应用文件、可执行文件和证书文件层层递进的认证方式,全方位的对恶意应用程序进行查找,提高恶意应用程序查找的成功率。

图4为又一个实施例中的基于VPN的恶意应用下载拦截方法的流程示意图,如图4所示的基于VPN的恶意应用下载拦截方法包括:

为提高恶意应用库的实时性,保证恶意特征信息的及时更新,将所述恶意应用库存储在云端。

步骤S100,利用用户终端上的VPN拦截网络连接请求。

步骤S200,识别所述网络连接请求中的下载应用安装包请求。

步骤S300,监听所述下载应用安装包请求的响应数据流。

步骤S400,还原所述响应数据流中的应用安装包的特征信息,根据所述特征信息根据所述特征信息向云端发送特征信息匹配请求,接收所述云端返回的特征信息匹配结果,所述特征信息匹配结果包括匹配成功和匹配失败,若所述匹配结果为匹配成功,则阻断所述响应数据流。

具体的,终端将还原出的特征信息实时发送至远端的恶意应用库进行查找,并接收来自云端的恶意应用库的匹配结果。若匹配成功,则说明响应数据流中的特征信息符合恶意应用特征信息,需要阻断所述响应信息流。

图5为一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图,如图5所示的基于VPN的恶意应用下载拦截系统包括:

网络请求拦截模块100,用于利用用户终端上的VPN拦截网络连接请求;

下载应用安装包请求识别模块200,用于识别所述网络连接请求中的下载应用安装包请求;

监听响应数据流模块300,用于监听所述下载应用安装包请求的响应数据流;

恶意应用安装包拦截模块400,用于还原所述响应数据流中的应用安装包的特征信息,并根据所述特征信息查找恶意应用库,所述恶意应用库包括恶意应用安装包的恶意特征信息,若在所述恶意应用库中查找到与所述应用安装包的特征信息相同的恶意特征信息,则阻断所述响应数据流。

在本实施例中,利用用户终端上搭建的VPN拦截用户的网络连接请求,识别出应用程序下载请求后,监听响应的流量包,通过还原应用安装包中的特征信息,查找恶意应用库,如果所下载应用程序的特征信息与恶意应用库匹配,则阻断所述应用程序的下载,在应用程序的下载阶段对应用程序的安全进行鉴别,避免用户安装恶意的应用程序带来的损失。

图6为另一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图,如图6所示的基于VPN的恶意应用下载拦截系统包括:

应用文件头查找单元410,用于还原所述响应数据流中的应用文件的文件头,解析所述应用文件的文件头中的应用文件的哈希值,并将所述应用文件的哈希值确定为应用安装包的第一特征信息;根据所述第一特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则阻断所述响应数据流,若未在所述恶意应用库中查找到与所述第一特征信息相同的恶意特征信息,则

应用文件内容查找单元420,用于还原所述响应数据流中的应用文件的文件内容,根据所述应用文件的文件内容确定所述应用安装包的第二特征信息,根据所述第二特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第二特征信息相同的恶意特征信息,则阻断所述响应数据流。

在本实施例中,对应用程序下载过程中的应用文件的文件头、应用文件的文件内容进行逐层递进的特征信息匹配,如果任何一个环节存在安全问题,都会阻断所述应用程序的下载,全面的保证所下载的应用程序的安全性。

图7为又一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图,如图7所示的基于VPN的恶意应用下载拦截系统包括:

证书文件查找子单元423,用于还原所述响应数据流中的证书文件,并将所述证书文件确定为应用安装包的第二特征信息。

可执行文件头查找子单元421,用于还原所述响应数据流中的可执行文件的文件头,解析所述可执行文件头中的可执行文件的哈希值,并将所述可执行文件的哈希值确定为应用安装包的第二特征信息。

可执行文件全文查找子单元422,用于还原所述响应数据流中的可执行文件的全部文件,并将所述可执行文件的全部文件确定为应用安装包的第三特征信息,并根据所述第三特征信息查找恶意应用库,若在所述恶意应用库中查找到与所述第三特征信息相同的恶意特征信息,则阻断所述响应数据流。

图8为再一个实施例中的基于VPN的恶意应用下载拦截系统的结构示意图,如图8所示的基于VPN的恶意应用下载拦截系统包括:

匹配请求发送单元430,用于根据所述特征信息向云端发送特征信息匹配请求。

匹配结果接收单元440,用于接收所述云端返回的特征信息匹配成功的结果。

恶意应用安装包拦截单元450,用于根据所述特征信息匹配成功的结果阻断所述响应数据流。在本实施例中,所述的恶意应用库存储在云端,用户将应用程序的特征发送至云端进行匹配,存储在云端的恶意信息库方便维护及信息的更新,保证用户应用程序下载的安全性。

以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:杜元
  • 技术所有人:北京瑞星信息技术股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2