基于通信网的手机病毒和恶意软件的云检测方法

文档序号:7583663阅读:143来源:国知局
专利名称:基于通信网的手机病毒和恶意软件的云检测方法
技术领域
本发明涉及一种网络与信息安全技术,特别是涉及一种基于通信网的手机病毒和 恶意软件的云检测方法,其将流量监测和云端查杀进行结合,通过监测GPRS核心网的接 口的流量,并利用手机病毒防护服务器对GTP-C/GTP-U流量进行分析,从而发现不可识别 的手机病毒或者恶意软件。
背景技术
2010年11月7日,中央电视台《每周质量报告》播出了 “僵尸手机揭秘”节目,报 道了手机病毒背后的利益链和危害问题,随后北京、重庆、江苏等多省地方媒体进行了转载 和跟踪报道,引起了社会的广泛关注。央视报道的是名为“毒媒”的病毒,感染该病毒后,用户手机将成为“僵尸手机”,会 自动将手机号码、IMEI等信息发送到指定的黑客服务器,同时接受其指令,包括发送短信订 购业务、向指定号码发送垃圾短信、拔打騷扰电话、卸载防病毒软件等,给客户造成隐私泄 露、话费损失等严重危害,并可能威胁通信网的运行安全。根据国家互联网应急中心的监测 数据,在9月的第一周,全国就发现近100万部手机感染该病毒;据初步估计,每天将耗费用 户话费约为200万元,给客户造成严重经济损失。据不完全统计,今年上半年手机病毒种类已有1600多种,预计年底将达到MOO 种。截止2009年,手机病毒黑色产业链年获利已经达到10亿元。而且由于目前用户病毒 防护意识薄弱、运营商防护手段不健全、政府监管法规不完善,手机病毒已逐渐呈现泛滥之 势。因此,如何创作一种基于通信网的手机病毒和恶意软件的云检测方法,实属当前 重要的研发课题。

发明内容
本发明涉及一种网络与信息安全技术,特别是涉及一种基于通信网的手机病毒和 恶意软件的云检测方法,其通过监测GPRS核心网的接口的流量,并利用手机病毒防护服 务器对GTP-C/GTP-U流量进行分析,从而发现不可识别的手机病毒或者恶意软件。本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提 出的一种一种基于通信网的手机病毒和恶意软件的云检测方法,其包括以下步骤步骤 (10)获取待检测的移动用户手机的流入流量;步骤00)由主动云检测模块分析所述流 入流量,并判断是否符合可识别流量模式;步骤(30)将不可识别的流量实时传送给云汇 聚端模块,然后传送给云分析引擎模块,所述云分析引擎模块利用手机病毒集中管理系统 的病毒库进行分析;步骤GO)所述云分析引擎模块将分析结果反馈给所述主动云检测模 块,所述主动云检测模块将所述分析结果保存于处理数据库模块;步骤(50)获取待检测 的移动用户流出流量;以及步骤(60)根据实时感染用户监控模块分析所述流出流量,然 后将分析结果保存于处理数据库模块。
本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述步骤(10)是 通过分光器从接口获取的移动用户手机的流入流量,所述分光器串接于被监测的通信 网的光纤链路中。前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述的可识别流量 包括安全流量和不安全流量。前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述的不安全流量 为手机病毒或恶意软件。前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述步骤00)还 包括步骤O01)所述主动云检测模块利用模式匹配来判断是否符合可识别流量模式;步 骤(202)若是,所述主动云检测模块继续判断是否为安全流量?若为安全流量,所述主动 云检测模块不做任何操作,若为不安全流量,则发送告警指令于手机;步骤(203)若否,则 执行步骤(30)。前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述步骤(30)还 包括步骤(301)所述手机病毒集中管理系统将所述不可识别的流量传送给手机病毒研 判系统进行人工判断。前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述主动云检测模 块、所述实时感染监控模块以及所述处理数据库模块设置于手机病毒防护检测代理服务
ο前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述云汇聚端模块 和所述云分析引擎模块设置于手机病毒防护服务器。本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明 基于通信网的手机病毒和恶意软件的云检测方法至少具有下列优点及有益效果本发明通 过监测GPRS核心网的接口的流量,并利用手机病毒防护服务器对GTP-C/GTP-U流量进 行分析,从而发现不可识别的手机病毒或者恶意软件。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段, 而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够 更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。


图1是本发明基于通信网的手机病毒和恶意软件的云检测方法的流程图。
具体实施例方式为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合 附图及较佳实施例,对依据本发明提出的基于通信网的手机病毒和恶意软件的云检测方法 及工具其具体实施方式
、方法、步骤、结构、特征及其功效,详细说明如后。请参阅图1所示,是本发明基于通信网的手机病毒和恶意软件的云检测方法的流 程图,包括以下步骤步骤10 获取待检测的移动用户手机的流入流量
上述步骤的移动用户手机的流入流量是以分光接入方式从接口采集的,通过 串接于被监测的通信网的光纤链路中的分光器来实现,此种设置方式保证不增加被监测的 通信网的交换机负荷,保证对被监测的通信网不造成任何不良影响。分光接入方式适用于 lO/lOO/lOOOMbps及更大流量的以太网光纤链路。本发明中的通信网是指GPRS核心网,流量可为GTP-C/GTP-U。步骤20 由主动云检测模块分析所述流入流量,并判断是否符合可识别流量模式经步骤10获取的移动用户手机的流入流量传送到手机病毒防护检测代理服务 器,由设置于手机病毒防护检测代理服务器中的主动云检测模块分析接收过来的流入流 量,并判断是否符合可识别流量模式,此处的可识别流量包括安全流量和不安全流量,在本 发明中,不安全流量即为手机病毒或恶意软件,在此简称病毒事件。在步骤20中,首先主动云检测模块利用模式匹配来判断是否符合可识别流量模 式(步骤201),经模式匹配后,若符合可识别流量模式,主动云检测模块继续判断是否为安 全流量?若经判断后,为安全流量,主动云检测模块不做任何操作,若为不安全流量,则发 送告警指令于手机(步骤20 ;若不符合可识别流量模式即为不可识别流量,执行下述步 骤30 (步骤203)在本发明中,不可识别流量为未知可疑软件信息,未知可疑软件信息可为 未知样本信息和未知行为信息。在上述提到的不安全流量,即病毒事件,主动云检测模块除发送告警指令于手机 外,同时还将病毒事件实时上报给手机病毒防护服务器,手机病毒防护服务器同时做出回 应,发送给手机病毒防护检测代理服务器,在本发明中,手机病毒防护服务器通过接口连接 于手机病毒防护检测代理服务器,具体上报病毒事件的信息内容如下
字段字段说明Sid事件IDDescription病毒描述Signature病毒特征Msisdn手机号GgsnsgsndataidGgsn idSource—ip手机IPDestip目标IPTimestamp时间Datapayload事件数据报文SensorID检测代理ID
步骤30 将不可识别的流量实时传送给云汇聚端模块,然后传送给云分析引擎模 块,云分析引擎模块利用手机病毒集中管理系统的病毒库进行分析当流入流量被判断为不可识别流量,则由主动云检测模块通过接口将不可识别流 量实时传送到手机病毒防护服务器,由设置于手机病毒防护服务器的云汇聚端模块接收, 并传送给设置于手机病毒防护服务器的云分析引擎模块进行分析,具体分析接收的未知可 疑软件信息,在详细分析时,向通过接口连接于手机病毒防护服务器的手机病毒集中管理 系统的病毒库进行查询,若经分析后,不可识别流量(即未知样本信息和未知行为信息)存 在于病毒库中,则变换为已知样本信息和已知行为信息,存储于手机病毒防护服务器的病 毒数据库中。若经分析后不可识别流量未存在于病毒库,手机病毒集中管理系统将此不可 识别流量通过接口传送给手机病毒研判系统进行人工判断(步骤301),并将判断结果反馈 给手机病毒集中管理系统,手机病毒集中管理系统存储新的未知可疑软件信息,并同时反 馈给云分析引擎模块,存储于病毒数据库中,供后续匹配调用。上述的手机病毒防护服务器向手机病毒防护检测代理服务器发送实时上报未知 可疑软件信息和病毒更新请求指令,具体的未知可疑软件信息内容如下
权利要求
1.一种基于通信网的手机病毒和恶意软件的云检测方法,其特征在于其包括以下步骤步骤(10)获取待检测的移动用户手机的流入流量;步骤00)由主动云检测模块分析所述流入流量,并判断是否符合可识别流量模式;步骤(30)将不可识别的流量实时传送给云汇聚端模块,然后传送给云分析引擎模 块,所述云分析引擎模块利用手机病毒集中管理系统的病毒库进行分析;步骤GO)所述云分析引擎模块将分析结果反馈给所述主动云检测模块,所述主动云 检测模块将所述分析结果保存于处理数据库模块;步骤(50)获取待检测的移动用户流出流量;以及步骤(60)根据实时感染用户监控模块分析所述流出流量,然后将分析结果保存于处 理数据库模块。
2.根据权利要求1所述的基于通信网的手机病毒和恶意软件的云检测方法,其特征在 于其中所述步骤(10)是通过分光器从接口获取的移动用户手机的流入流量,所述分光 器串接于被监测的通信网的光纤链路中。
3.根据权利要求1所述的基于通信网的手机病毒和恶意软件的云检测方法,其特征在 于其中所述可识别流量包括安全流量和不安全流量。
4.根据权利要求3所述的基于通信网的手机病毒和恶意软件的云检测方法,其特征在 于其中所述的不安全流量为手机病毒或恶意软件。
5.根据权利要求1至4中任一权利要求所述的基于通信网的手机病毒和恶意软件的云 检测方法,其特征在于其中所述步骤O0)还包括步骤O01)所述主动云检测模块利用模式匹配来判断是否符合可识别流量模式;步骤O02)若是,所述主动云检测模块继续判断是否为安全流量?若为安全流量,所 述主动云检测模块不做任何操作,若为不安全流量,则发送告警指令于手机;步骤(203)若否,则执行步骤(30)。
6.根据权利要求1所述的基于通信网的手机病毒和恶意软件的云检测方法,其特征在 于其中所述步骤(30)还包括步骤(301)所述手机病毒集中管理系统将所述不可识别的流量传送给手机病毒研判 系统进行人工判断。
7.根据权利要求1所述的基于通信网的手机病毒和恶意软件的云检测方法,其特征在 于其中所述主动云检测模块、所述实时感染监控模块以及所述处理数据库模块设置于手机 病毒防护检测代理服务器。
8.根据权利要求1所述的基于通信网的手机病毒和恶意软件的云检测方法,其特征在 于其中所述云汇聚端模块和所述云分析引擎模块设置于手机病毒防护服务器。
全文摘要
本发明是有关于一种基于通信网的手机病毒和恶意软件的云检测方法。其包括步骤(10)获取待检测的移动用户手机的流入流量;步骤(20)由主动云检测模块分析所述流入流量,并判断是否符合可识别流量模式;步骤(30)将不可识别的流量实时传送给云汇聚端模块,然后传送给云分析引擎模块,云分析引擎模块利用手机病毒集中管理系统的病毒库进行分析;步骤(40)云分析引擎模块将分析结果反馈给述主动云检测模块,主动云检测模块将分析结果保存于处理数据库模块;步骤(50)获取待检测的移动用户流出流量;以及步骤(60)根据实时感染用户监控模块分析所述流出流量,然后将分析结果保存于处理数据库模块。
文档编号H04W12/12GK102123396SQ20111003754
公开日2011年7月13日 申请日期2011年2月14日 优先权日2011年2月14日
发明者刘长永, 杨满智, 王琼, 金红, 黄琛 申请人:恒安嘉新(北京)科技有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1