专利名称:一种异常访问行为的识别方法及装置的制作方法
技术领域:
本发明属于移动通信领域,特别涉及一种异常访问行为的识别方法及装置。
背景技术:
随着智能手机的普及,以及手机处理器的芯片功能越来越强大,手机逐渐与PDA 进行融合,手机已成为可以进行移动通讯的小型计算机。但是,手机运算能力和存储容量的提高为病毒的寄存和传播提供了条件。现有技术中,主要是通过对病毒样本进行分析来识别手机病毒。病毒样本的来源包括FANS用户举报、论坛举报、蜜罐收集和病毒联盟样本交换等。具体分析步骤包括步骤一、静态扫描分析文件程序是否有调用联网、发短信等程序,这是对程序代码的初步分析测试。步骤二、黑盒测试通过文件安装后进行手机监测,检查是否有病毒行为,这是对程序文件的黑盒测试。步骤三、DEBUG分析通过手机与电脑配合,对安装的程序进行逐步调试,抓取各个步骤与外界的交互信息,进行动态分析。上述技术方案至少存在如下缺点(1)局限于病毒样本采集,属于被动发现;(2)病毒发现不及时由于目前手机病毒从病毒制作者发布病毒到病毒爆发之间有较长的潜伏期,样本采集基本无法在病毒潜伏期完成。现有技术中的另外一种识别手机病毒的方法为在WAP(无线应用协议)网关或者 GPRS (通用分组无线业务)网络加入数据旁路设备,通过所述数据旁路设备来获取数据流, 然后,基于已知病毒库对数据流进行分析,从而识别手机病毒。这种技术方案的缺点是只能识别已知病毒,无法发现未知病毒。
发明内容
有鉴于此,本发明的目的是提供一种异常访问行为的识别方法及装置,不需要依赖于病毒库,就能实现对异常访问行为的自动和及时的识别,从而为手机病毒的识别提供便利。为实现上述目的,本发明提供一种异常访问行为的识别方法,包括一种异常访问行为的识别方法,包括采集WAP网关的HTTP数据包;根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;根据所述异常访问行为记录表对所述域名黑名单进行更新。上述的识别方法,其中,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。上述的识别方法,其中,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。上述的识别方法,其中对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。上述的识别方法,其中,所述根据所述异常访问行为记录表对所述域名黑名单进行更新,具体包括对所述异常访问行为记录表中的域名进行汇总,得到汇总表;将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。上述的识别方法,其中,所述用户敏感信息包括IMSI和/或IMEI。为实现上述目的,本发明还提供一种异常访问行为的识别装置,包括一种异常访问行为的识别装置,包括数据采集模块,用于采集WAP网关的HTTP数据包;匹配模块,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;黑名单更新模块,用于根据所述异常访问行为记录表对所述域名黑名单进行更新。上述的识别装置,其中,所述匹配模块进一步用于从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。上述的识别装置,其中,所述匹配模块进一步用于判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。上述的识别装置,其中,所述匹配模块对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。上述的识别装置,其中,所述黑名单更新模块进一步用于对所述异常访问行为记录表中的域名进行汇总,得到汇总表;将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
上述的识别装置,其中,所述用户敏感信息包括IMSI和/或IMEI。与现有技术相比,本发明的有益效果是本发明基于采集到的WAP网关的HTTP数据包,根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成异常访问行为记录表,不需要依赖于病毒库,就实现了异常访问行为的自动识别,并且,该方案的识别效率也较高。在识别出用户的异常访问行为后,就可以基于所述异常访问行为进行手机病毒(包括后门和流氓软件)的识别了。另夕卜,本发明还实现了域名黑名单的自动更新。
图1为本发明实施例的手机病毒特征的识别方法流程图;图2为发明实施例中获取异常访问行为记录表的一种实现方式流程图;图3为本发明实施例的手机病毒特征的识别装置结构图;图4为图3中的记录表生成模块的详细结构图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。参照图1,本发明实施例的手机病毒特征的识别方法,包括如下步骤步骤101 获取异常访问行为记录表;所述异常访问行为记录表中记录有用户的异常访问行为,每条异常访问行为记录包括用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述 UA包括终端型号和软件平台。软件平台一般是指手机所使用的操作系统,例如,MTK、塞班、Andriod等,同一软件平台,还可以对应不同的软件版本。手机访问网络时,在访问请求数据包的UA中会携带该软件平台信息。所述异常访问行为记录表可以通过外部输入得到。所述异常访问行为记录表也可以通过采集WAP网关的HTTP数据包,然后根据关键字列表对所述HTTP数据包进行匹配得到,具体方法请参见后文。步骤102 根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;由于异常访问行为记录表中包括域名项目,那么,就可以将异常访问行为记录表中具有相同域名的记录归为一类,对于每个域名,都生成对应该域名的异常访问行为记录子表。即,对于每个异常访问行为记录子表,该子表中的每条记录都包括有相同的域名。在本步骤中,还可以对异常访问行为记录表中的域名进行预处理,并根据预处理后的域名对所述异常访问行为记录表中的记录进行归类,生成相应的异常访问行为记录子表。具体如下(1)对于IP地址形式的域名,将记录表中的域名替换为该域名所属网段的域名。(2)对包含字母的域名,将相似的域名归为一个域名,例如Caijing.3g.Cn与 caipiao. 3g. cn为相似域名,将记录表中的这些域名都替换为3g. cn,又例如lyricS.m-tunes. com. cn>mservice. m-tunes. com. cn、update2. m-tunes. com. c 为相似域名,将记录表中的这些域名都替换为m-tunes. com. cn。在进行上述替换后,就以替换后的域名对异常访问行为记录表中的记录进行归类。步骤103 对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;步骤104 当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征;在将域名及对应的软件平台记录为手机病毒特征后,通过少量的人工判断就可以核实其是否为手机病毒。;步骤105 当所述判断结果为否时,将相应的域名加入到域名白名单中。由于异常访问行为记录子表中包括UA项目,而所述UA中包括终端型号和软件平台,那么,就可以获取到该子表的每条记录对应的软件平台,如果每条记录对应的软件平台都相同,则可以确定多种终端型号采用的都是相同的软件平台,而对于同一种手机病毒来说,其一般不会跨软件平台存在,因此,在确定多种终端型号采用的都是相同的软件平台时,则可以确定是由于手机病毒导致了对相应域名(该异常访问行为记录子表对应的域名)的访问,即,该子表中的异常访问行为为病毒行为。同理,在确定多种终端型号采用的不是同一个软件平台时,则可以认为该子表中的异常访问行为不是病毒行为,此时,相应的域名是可信的域名,可以将其加入到域名白名单中。为提高手机病毒特征的识别准确率,上述步骤103中还可以包括对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号;此时,所述判断其中的软件平台是否唯一为判断所述预定数目个终端型号对应的软件平台是否唯一。举例如下对于某一异常访问行为记录子表,从中选取包含的记录条数最高的20种终端型号,再根据以下的方法确定该子表中的异常访问行为是否为病毒行为(1)如果这20种终端型号为跨软件平台,如MTK、塞班、Andriod等,基于手机操作系统相对封闭这一特殊性,手机病毒极少能够跨软件平台存在,这种情况下,可以认为该子表中的异常访问行为不是病毒行为,于是,将该域名加入到域名白名单中;(2)如果这20种终端型号集中在某一软件平台,如下表举例所示,则可以认为该子表中的异常访问行为是病毒行为,并以该域名来标识手机病毒。
软件平台
liyongquan33. cominternet browser Client 1. 0通过上述方案,将访问同一域名的不同终端型号与软件平台的关系识别出来,若访问同一域名的终端型号都对应同一软件平台,则基本可以确认基于该软件平台存在手机
7病毒,该手机病毒的发作导致了对该域名的访问,从而通过该域名即可标识该病毒。后续可以基于上述数据以及进一步获取的手机病毒详细特征进行手机病毒的发布。以下介绍上述方案中获取异常访问行为记录表的一种实现方式。该实现方式中,设计由WAP网关(或者,WAP业务经由的SGSN(服务GPRS支持节点)、GGSN(网关GPRS支持节点)、&ι 口、Gi 口以及在这些环节通过分光器接入的不良信息监测系统、信令监测系统等)自动记录手机用户上网的异常访问行为信息,即记录每个上网用户最新访问的异常域名信息,每次异常访问生成一条记录,每15分钟(时间可配)生成一个文本文件,提供给手机病毒识别算法进行处理。参照图2,该实现方式具体包括如下步骤步骤201 采集WAP网关的HTTP数据包;在本实施例中,以数据采集的执行主体为部署于Gi 口的不良信息检测系统为例进行说明。不良信息监测系统部署于WAP网关与GGSN之间的Gi 口,采集的数据结构与WAP 网关中的数据结构相同,采集点比WAP网关相对集中,部署成本低。当不良信息监测系统接收到一个用户的HTTP数据包(包括get请求和post请求) 时,就生成一条话单记录,话单信息包括用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。步骤202 根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成异常访问行为记录表;其中,所述关键字列表中包括用户敏感信息和域名黑名单中的域名,所述用户敏感信息包括IMSI (国际移动用户识别码)和/或IMEI (国际移动设备标识)。初始化时,所述域名黑名单为空,或者,直接接收外部输入的域名黑名单。然后,域名黑名单可以进行动态更新(参见步骤203)。以下提供两种具体的匹配方法。方法一从所述HTTP数据包中获取URL(统一资源定位符)数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为, 于是,在异常访问行为记录表中添加一条记录。异常访问行为记录包括用户的手机号码、 上网时实用的UA、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。对于病毒行为,一般会在URL中携带用户的敏感信息。因此,在方法一中,仅对 HTTP数据包中的URL进行匹配,按照这种匹配方式进行匹配的速度较块。但是,在HTTP数据包中的其他字段中也可能携带用户敏感信息,因此,这种匹配方式匹配的不是很完整。方法二判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为于是,在异常访问行为记录表中添加一条记录。异常访问行为记录包括用户的手机号码、上网时实用的UA、访问时间和访问的域名,其中,所述 UA包括终端型号和软件平台。方法二实现了对HTTP数据包的完整匹配,但是,相对于方法一,其匹配的速度较慢。在具体实现时,可以将上述的方法一和方法二进行结合。例如,对每15分钟的数据进行一次如方式一所述的不完整匹配,每隔60分钟,采集部分数据进行如方式二所述的完整匹配。此外,考虑到随着异常访问行为数据的不断扩展,异常访问行为记录表中的记录将越来越多,为降低后续手机病毒识别的工作量,在本步骤中,对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。步骤203 根据所述异常访问行为记录表对所述域名黑名单进行更新。具体包括对所述异常访问行为记录表中的域名进行汇总,得到汇总表;将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。如此,实现了域名黑名单的自动更新。相应地,本发明实施例还提供一种手机病毒特征的识别装置。参照图3,本发明实施例的手机病毒的识别装置,包括记录表生成模块10、记录子表生成模块20、判断模块30和病毒特征识别模块40,其中记录表生成模块10,用于获取异常访问行为记录表。所述异常访问行为记录表中记录有用户的异常访问行为,每条异常访问行为记录包括用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述 UA包括终端型号和软件平台。所述异常访问行为记录表可以通过外部输入得到。所述异常访问行为记录表也可以通过采集WAP网关的HTTP数据包,然后根据关键字列表对所述HTTP数据包进行匹配得到,具体请参见后文。记录子表生成模块20,用于根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表。由于异常访问行为记录表中包括域名项目,那么,就可以将异常访问行为记录表中具有相同域名的记录归为一类,对于每个域名,都生成对应该域名的异常访问行为记录子表。即,对于每个异常访问行为记录子表,该子表中的每条记录都包括有相同的域名。判断模块30,用于对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果。优选地,所述识别装置中还可以包括统计模块(图未示),用于对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号。此时,所述判断模块30判断其中的软件平台是否唯一为判断所述预定数目个终端型号对应的软件平台是否唯一。病毒特征识别模块40,用于当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,当所述判断结果为否时,将相应的域名加入到域名白名单中。由于异常访问行为记录子表中包括UA项目,而所述UA中包括终端型号和软件平台,那么,就可以获取到该子表的每条记录对应的软件平台,如果每条记录对应的软件平台都相同,则可以确定多种终端型号采用的都是相同的软件平台,而对于同一种手机病毒来说,其一般不会跨软件平台存在,因此,在确定多种终端型号采用的都是相同的软件平台时,则可以确定是由于手机病毒导致了对相应域名(该异常访问行为记录子表对应的域名)的访问,即,该子表中的异常访问行为为病毒行为。同理,在确定多种终端型号采用的不是同一个软件平台时,则可以认为该子表中的异常访问行为不是病毒行为,此时,相应的域名是可信的域名,可以将其加入到域名白名单中。以下介绍的记录表生成模块10 —种具体实现方式。参照图4,所述记录表生成模块10具体包括数据采集模块11、匹配模块12和黑名单更新模块13。其中数据采集模块11,用于采集WAP网关的HTTP数据包。具体的采集位置请参见方法实施例。匹配模块12,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成所述异常访问行为记录表。其中,所述关键字列表中包括用户敏感信息和域名黑名单中的域名,所述用户敏感信息包括IMSI (国际移动用户识别码)和/或IMEI (国际移动设备标识)。初始化时,所述域名黑名单为空,或者,直接接收外部输入的域名黑名单。然后,域名黑名单可以进行动态更新。以下提供匹配模块12的两种匹配方式。方式一从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。方式二判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。优选地,所述匹配模块12对于匹配出的异常访问行为,如果其对应的域名存在于所述域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。黑名单更新模块13,用于根据所述异常访问行为记录表对所述域名黑名单进行更新,具体为对所述异常访问行为记录表中的域名进行汇总,得到汇总表;将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。综上所述,本发明基于采集到的WAP网关的HTTP数据包,根据关键字列表从所述 HTTP数据包中匹配出用户的异常访问行为,生成异常访问行为记录表,不需要依赖于病毒库,就实现了异常访问行为的自动识别,并且,该方案的识别效率也较高。在识别出用户的异常访问行为后,就可以基于所述异常访问行为进行手机病毒(包括后门和流氓软件)的识别了。另外,本发明还实现了域名黑名单的自动更新。最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神范围,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种异常访问行为的识别方法,其特征在于,包括采集WAP网关的HTTP数据包;根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;根据所述异常访问行为记录表对所述域名黑名单进行更新。
2.如权利要求1所述的识别方法,其特征在于,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
3.如权利要求1所述的识别方法,其特征在于,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
4.如权利要求2或3所述的识别方法,其特征在于对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
5.如权利要求1所述的识别方法,其特征在于,所述根据所述异常访问行为记录表对所述域名黑名单进行更新,具体包括对所述异常访问行为记录表中的域名进行汇总,得到汇总表;将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
6.如权利要求1所述的识别方法,其特征在于,所述用户敏感信息包括IMSI和/或 IMEI。
7.一种异常访问行为的识别装置,其特征在于,包括数据采集模块,用于采集WAP网关的HTTP数据包;匹配模块,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;黑名单更新模块,用于根据所述异常访问行为记录表对所述域名黑名单进行更新。
8.如权利要求7所述的识别装置,其特征在于,所述匹配模块进一步用于从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
9.如权利要求7所述的识别装置,其特征在于,所述匹配模块进一步用于判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
10.如权利要求8或9所述的识别装置,其特征在于,所述匹配模块对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
11.如权利要求7所述的识别装置,其特征在于,所述黑名单更新模块进一步用于 对所述异常访问行为记录表中的域名进行汇总,得到汇总表;将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
12.如权利要求7所述的识别装置,其特征在于,所述用户敏感信息包括IMSI和/或 IMEI。
全文摘要
本发明提供一种异常访问行为的识别方法及装置,所述识别方法包括采集WAP网关的HTTP数据包;根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,生成包括用户所访问的域名的异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;根据所述异常访问行为记录表对所述域名黑名单进行更新。本发明不需要依赖于病毒库,就能实现对异常访问行为的自动和及时的识别,从而为手机病毒的识别提供便利。
文档编号H04L29/06GK102469117SQ201010534500
公开日2012年5月23日 申请日期2010年11月8日 优先权日2010年11月8日
发明者吕汉鑫, 孔轶, 庄仁峰, 谭俊, 郑浩彬, 黄伟湘 申请人:中国移动通信集团广东有限公司