面向网络服务提供商的恶意软件网络行为检测方法及系统的制作方法
【技术领域】
[0001]本发明涉及一种移动终端恶意软件检测方法,尤其涉及一种面向网络服务提供商的恶意软件网络行为检测方法及系统。
【背景技术】
[0002]随着移动终端的广泛使用,尤其是智能手机的迅速普及,移动智能终端给现代社会巨大的变革,进入21世纪以来,我们已经迅速步入了移动时代。而手机已不再局限于传统意义上的通信业务,已经成为集电子商务、个人支付、社交娱乐等功能于一体的强大终端。然而随着移动应用的普及和用户数量爆发式增长,移动智能终端的安全也面临着巨大挑战。据国家互联网应急中心发布的2013年中国互联网网络安全报告的一项统计,恶意扣费类的恶意程序数量居首位,达到了 502481个,显示了黑客制作恶意程序带有明显的趋利性,而针对Android平台的恶意联网程序达到了 699514个,占总数99%以上。
[0003]传统的移动终端恶意软件检测方法根据检测方式的不同大致可以分为两类,即静态检测和动态检测。(I)对于静态检测技术,是利用反编译工具和逆向工程技术对移动终端的恶意软件进行反编译和反汇编,再从源代码中找出恶意代码。这种静态检测技术最大的优点是实施简单,用户只需在终端上安装检测程序即可,而各大安全公司的移动终端的安全产品也大都采用这种模式。但是随着代码混淆、加壳等技术的出现,反编译和对恶意代码的特征匹配已经变成了一件非常困难的事情,同时,这种静态检测技术非常依赖于已有恶意代码的特征,对未知恶意软件的发现能力极其不足。(2)对于动态检测技术,则是利用“沙盒”机制,通过在沙盒内运行应用软件,监控应用软件对系统敏感资源的调用来达到识别的目的。这种动态的方法对未知的恶意应用具有一定的发现能力,但是对用户终端的资源消耗巨大,并且难以大规模部署实施,所以相关研究仅停留在学术研究阶段。
[0004]通过网络流量来发现移动终端的恶意软件网络行为是近年新兴的一种恶意软件检测技术,并取得了一些初步的研究成果。通过网络流量来检测恶意软件不需要用户在终端设备上安装检测程序,极大地降低了用户终端设备的计算资源。这种基于网络流量检测方法的数据来自于用户的移动终端,而网络服务提供商网络作为所有用户移动终端接入汇聚的关口,是所有数据流必须经过的承载网络,所以,网络服务提供商是移动终端恶意软件网络行为检测中至关重要的监测点和控制点。但是,目前网络服务提供商很少针对移动终端恶意软件的网络行为进行主动的检测和预警,对移动终端恶意软件的防治都是被动的从投诉事件入手,这种方式显然是滞后的,往往已经对用户造成了不可挽回的损失。
【发明内容】
[0005]为了解决现有技术的缺点,本发明提供一种面向网络服务提供商的恶意软件网络行为检测方法及系统。这种方法将检测服务系统部署在网络服务提供商的骨干网络中,利用移动终端产生的网络流量来检测移动终端是否安装了恶意软件,若检测到恶意软件,则以短信或信息反馈App推送消息的形式通知用户。通过在网络服务提供商的骨干网中部署检测服务系统,网络服务提供商实现了对移动终端恶意软件的主动检测,同时,作为一项增值业务,用户可以自主选择和定制网络服务提供商的这项业务。
[0006]为实现上述目的,本发明采用以下技术方案:
[0007]一种面向网络服务提供商的恶意软件网络行为检测方法,包括:
[0008]用户移动终端通过网络服务提供商的基站与网络服务提供商的骨干网连接,网络服务提供商的骨干网与互联网相连;
[0009]当用户移动终端接入互联网时,用户移动终端向检测服务器申请认证;
[0010]认证处理后,通过动态分配流量镜像端口进行采集且缓存用户移动终端网络流量至流量数据处理服务器,然后对获取的用户移动终端网络流量进行识别和隐私处理,然后提取并聚合网络流量数据特征,形成特征集,并传送至检测服务器;
[0011]读取特征集,检测服务器中的检测模型对特征集中特征进行检测,检测结果经流量数据处理服务器返回到网络服务提供商的骨干网,并最终返回给用户移动终端。
[0012]所述面向网络服务提供商的恶意软件网络行为检测方法还包括:
[0013]检测模型服务器通过获取的用户移动终端网络流量进行训练检测服务器中的检测模型,得到检测模型的最优参数,进行更新检测服务器的检测模型。
[0014]当用户移动终端接入互联网时,用户移动终端向检测服务器申请认证的过程,包括:
[0015]当用户移动终端接入互联网时,向检测服务器发出认证请求;
[0016]响应用户的认证请求,开始认证用户身份信息及用户移动终端设备信息;
[0017]用户移动终端设备通过认证后,触发流量镜像端口采集用户移动终端网络流量。
[0018]所述用户身份信息包括用户UID(User Identificat1n用户身份证明),用户移动终端设备信息包括终端设备的MAC地址以及设备识别码頂EI (Internat1nal MobileEquipment Identity,移动设备国际识别码,又称为国际移动设备标识)。
[0019]所述流量数据处理服务器对用户移动终端网络流量进行识别的过程,包括:
[0020]解析流量镜像端口所采集的用户移动终端网络流量,得到移动终端恶意目标列表;根据移动终端恶意目标列表,分离移动终端恶意软件产生的恶意行为流量,最终识别出恶意行为流量。
[0021]对识别出的用户移动终端网络流量中的恶意行为流量数据包进行设置应用名称标签。
[0022]一种基于面向网络服务提供商的恶意软件网络行为检测方法的检测系统,包括:
[0023]流量数据处理服务器,所述流量数据处理服务器,包括用户交互单元,其用于当用户移动终端接入互联网时,用户移动终端向检测服务器申请认证;
[0024]量镜像单元,其用于当认证处理后,通过动态分配的流量镜像端口进行采集用户移动终端网络流量;
[0025]流量缓存单元,其用于缓存用户移动终端网络流量;
[0026]流量识别单元,其用于识别用户移动终端网络流量;
[0027]隐私处理单元,其用于对用户移动终端网络流量进行隐私处理;
[0028]流量存储单元,其用于存储处理后的用户移动终端网络流量;
[0029]特征提取单元,其用于提取用户移动终端网络流量中的数据特征;
[0030]聚合单元,其用于对提取的用户移动终端网络流量中的数据特征进行聚合,形成表征用户移动终端网络流量的新数据特征,形成特征集;
[0031]检测服务器,所述检测服务器包括检测模型单元,其用于读取特征集,并对特征集中特征进行检测,检测结果经流量数据处理服务器返回到网络服务提供商的骨干网,并最终返回给用户移动终端。
[0032]所述检测服务器与检测模型服务器相连,所述检测模型服务器用于训练检测服务器中的检测模型,得到检测模型的最优参数,并更新检测服务器中的检测模型。
[0033]所述用户交互单元,包括:
[0034]认证请求发送模块,其用于当用户移动终端通过网络服务提供商的基站与网络服务提供商的骨干网连接之后接入与互联网时,向检测服务器发出认证请求;
[0035]认证模块,其用于响应用户的认证请求,开始认证用户身份信息及用户移动终端设备信息;
[0036]触发模块,其用于当用户移动终端设备通过认证后,触发流量镜像端口采集用户移动终端网络流量。
[0037]所述流量识别单元,包括:
[0038]流量解析模块,其用于解析流量镜像端口所采集的用户移动终端网络流量,得到移动终端恶意目标列表;
[0039]流量分离模块,其用于根据移动终端恶意目标列表,分离移动终端恶意软件产生的恶意行为流量,最终识别出恶意行为流量。
[0040]本发明的有益效果为:
[0041](I)这种检测方法利用移动终端产生的网络流量进行恶意软件的检测,完全由网络服务提供商在网络节点处部署检测服务系统,由检测服务系统自动完成,不需要依赖用户,对用户的移动终端的资源消耗小;
[0042](2)若检测到恶意软件,网络服务提供商可以及时地通知用户,避免了检测的滞后性,给用户的损失最小;
[0043](3)从网络服务提供商的角度来看,网络服务提供商实现了主动检测的同时,可以将这种检测服务作为一项可定制的增值服务,用以保证用户移动终端的安全。
【附图说明】
[0044]图1为在网络服务提供商的骨干网络中部署恶意软件网络行为检测系统体系结构图;
[0045]图2为面向网络服务提供商的恶意软件网络行为检测系统结构图;
[0046]图3为检测服务器中的检测模型单元建立的流程图;
[0047]图4为实施例建立规则匹配模型流程图;
[0048]图5为实施例用户使用规则匹配模型检测流程图;
[0049]图6为实施例建立图相似匹配模型流程图;
[0050]图7为实施例用户使用图相似匹配模型检测流程图;
[0051]图8为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的过程图;
[0052]图9为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的流程图;
[0053]图10为实施例以机器学习无监督学习算法的K均值方法对原始特征集进行聚类的流程图;
[0054]图11为实施例建立机器学习的SVM模型流程图;
[0055]图12为实施例用户使用SVM模型检测流程图;
[0056]图13为用户管理模块处理流程图;
[0057]图14为流量管理模块处理流程图;
[0058]图15为特征管理模块处理流程图。
【具体实施方式】
[0059]下面结合附图与实施例对本发明做进一步说明:
[0060]本发明的面向网络服务提供商的恶意软