基于接入路由器进行恶意软件网络行为检测的方法及系统的制作方法
【技术领域】
[0001]本发明涉及基于接入路由器进行恶意软件网络行为检测的方法及系统。
【背景技术】
[0002]随着移动终端的广泛使用,尤其是智能手机的迅速普及,移动智能终端给现代社会巨大的变革,进入21世纪以来,我们已经迅速步入了移动时代。而手机已不再局限于传统意义上的通信业务,已经成为集电子商务、个人支付、社交娱乐等功能于一体的强大终端。据Gartner报告统计,2014年,全球手机市场已经达35亿台(其中Android系统27亿台),已经超过PC数量,预测到2015年将超过50亿台。然而随着移动应用的普及和用户数量爆发式增长,移动智能终端的安全也面临着巨大挑战。据国家互联网应急中心发布的2013年中国互联网网络安全报告的一项统计,恶意扣费类的恶意程序数量居首位,达到了 502481个,显示了黑客制作恶意程序带有明显的趋利性,而针对Android平台的恶意联网程序达到了 699514个,占总数99%以上;据网秦公司发布的2013上半年全球手机安全报告,2013年上半年查杀到手机恶意软件51084款,同比2012年上半年增长189%,2013年上半年感染手机2102万部,同比2012年上半年增长63.8%,在全球范围内,中国大陆地区以31.71%的感染比例位居首位,俄罗斯(17.15% )、印度(13.8% )、美国(6.53% )位居其后,其中中国大陆地区增幅最快,相比2013年第一季度增长5.31%,比2012年上半年增长6.01 % ;Cheetah Mobile发布2014上半年全球移动安全报告指出2014年上半年病毒数量为2013全年的2.5倍。
[0003]目前传统的移动终端恶意软件检测方法根据检测方式的不同大致可以分为两类,即静态检测和动态检测。(I)对于静态检测技术,传统的解决方法是利用反编译工具和逆向工程技术对移动终端的恶意软件进行反编译和反汇编,再从源代码中找出恶意代码。这种静态检测技术最大的优点是实施简单,用户只需在终端上安装检测程序即可,而各大安全公司的移动终端的安全产品也大都采用这种模式。但是随着代码混淆、加壳等技术的出现,反编译和对恶意代码的特征匹配已经变成了一件非常困难的事情,同时,这种静态检测技术非常依赖于已有恶意代码的特征,对未知恶意软件的发现能力极其不足。(2)对于动态检测技术,则是利用“沙盒”机制,通过在沙盒内运行应用软件,监控应用软件对系统敏感资源的调用来达到识别的目的。这种动态的方法对未知的恶意应用具有一定的发现能力,但是对用户终端的资源消耗巨大,并且难以大规模部署实施,所以相关研究仅停留在学术研究阶段。
[0004]面对分析这种现有的移动终端恶意软件的检测现状,在实际生活中,人们迫切地需要一种能够实现大规模部署实施,同时,不需要依赖用户安装、实现主动检测的方案。通过网络流量来发现移动终端的恶意软件网络行为是近年新兴的一种恶意软件检测技术,并取得了一些初步的研究成果。这种技术利用网络流量来检测用户是否在移动终端安装了恶意软件,但是这种技术仅仅停留在技术层面,并没有一个实现该技术的实际载体完成整个的检测过程。
【发明内容】
[0005]为解决现有技术存在的不足,本发明公开了基于接入路由器进行恶意软件网络行为检测的方法及系统,在接入路由器通过对移动终端软件产生的流量进行基于流量行为的分析,从而判断通过该接入路由器连接至互联网的移动终端是否安装并运行了恶意软件。
[0006]为实现上述目的,本发明的具体方案如下:
[0007]基于接入路由器进行恶意软件网络行为检测的方法,包括以下步骤:
[0008]移动终端接入至具有恶意软件网络行为发现能力的无线路由器;
[0009]具有恶意软件网络行为发现能力的无线路由器识别接入的移动终端,同意其联网请求,并开始抓取该移动终端通过上网产生的流量,将采集的网络流量传入流量行为分析模块,进行基于流量的安全检测;
[0010]通过恶意软件流量自动化采集服务,主动获取恶意软件流量数据集,并将采集到的数据流量传输到检测模型服务器;
[0011]路由器进行基于流量的安全检测时,根据流量的特征选择对应的检测模型,检测模型开始对输入的流量数据进行处理并输出检测结果;处理结果通过用户端安装的信息反馈APP告知用户;
[0012]选择的对应的检测模型是检测模型服务器通过流量数据建立并经过不断的训练得到的检测模型,训练时不断调整模型参数,使检测模型的效果最优;
[0013]检测模型服务器定期的更新接入路由器的流量行为分析模块,增强接入路由器的安全防护。
[0014]进一步的,具有恶意软件网络行为发现能力的无线路由器识别接入的移动终端,将采集的网络流量传入流量行为分析模块,进行基于流量的安全检测,具体步骤为:
[0015]采集移动终端应用软件所产生的网络流量,并传输到流量行为分析模块;
[0016]流量行为分析模块含有特征提取模块,用于从网络流量数据中提取出各类特征,主要包括能够有效表征移动终端恶意软件网络行为的特征;
[0017]在特征提取之后,按照不同的特征类型对提取的特征进行分类;
[0018]对每一种类型的特征,选择与之相匹配的检测模型,不同的特征类型适用于不同类型的模型,每种类型的特征有与之对应的唯一的模型;
[0019]配置模块,用于实现模型选择,更新控制和获取输出功能;
[0020]更新接口与结果输出模块,分别用于对配置模块的更新检测及配置模块的结果输出。
[0021]进一步的,首先,当更新控制模块检测到路由器的外存中有待更新的文件或者检测到更新接口发来的指令后,更新控制模块首先获得流量数据控制权,将流量获取模块中获取的流量数据暂存到缓存中;其次,更新控制模块对流量行为分析模块中的检测模型进行更新;然后,更新成功后更新控制模块释放流量数据控制权,使得流量获取模块中获取的流量数据传输到行为分析模块;最后,更新控制模块将缓存中的流量数据传输到流量行为分析模块。
[0022]进一步的,对特征进行分类时,分为规则类的特征、图类特征、数值型特征和标称型特征。
[0023]进一步的,对分类后的特征,选择与之相适应的检测模型进行检测。分别的,对于规则类的特征,选择基于规则的检测模型进行检测,对于图类的特征,选择基于图相似的匹配模型进行检测,对于数值型特征和标称型特征,选择机器学习模型处理这些类型的数据。
[0024]进一步的,对于规则类的特征进行检测时,采用的步骤为:
[0025]1-1)通过对用户移动终端网络流量的采集,从中提取出所有的请求的域名;
[0026]1-2)将提取的域名与规则匹配模板库中规则进行匹配,若发现有恶意请求的域名存在,规则匹配模型输出发现恶意软件的检测结果。
[0027]进一步的,对于图类特征进行检测时,采用的步骤为:
[0028]2-1)在采集到的用户移动终端应用软件所产生的网络流量中,按照五元组特征提取出该应用的网络行为数据流;其中,五元组特征是指具有相同的源IP,目的IP,源端口,目的端口和协议类型;
[0029]2-2)根据提取出的网络行为数据流,画出用户移动终端应用软件的网络行为重构图,分别计算其与图相似匹配模型中恶意网络行为重构图的相似度和与图相似匹配模型中正常网络行为重构图的相似度,若与前者的相似度大于后者的相似度,则说明该应用软件是恶意软件。
[0030]进一步的,对于数值型和标称型特征进行检测时,采用的步骤为:
[0031]3-1)在采集到的用户移动终端应用软件所产生的网络流量中,提取出数值型和标称型特征;
[0032]3-2)对提取出的数值型特征和标称型特征进行归一化等预处理;
[0033]3-3)将处理好的数值型特征和标称型特征输入到已经预先在流量行为分析模块中配置好的机器学习模型中;
[0034]3-4)根据输入的特征,使用机器学习模型做检测。
[0035]进一步的,通过恶意软件流量自动化采集服务,主动获取恶意软件流量数据集时,对移动终端恶意软件进行反编译,反编译后得到与恶意软件相对应的配置文件;
[0036]从与恶意软件相对应的配置文件中提取移动终端恶意软件自动安装和运行所需要的参数;
[0037]根据提取的移动终端恶意软件自动安装和运行所需要的参数进行移动终端恶意软件的自动安装;
[0038]利用激活优先机制实现对移动终端恶意软件激活与运行,移动终端恶意软件激活与运行后获取移动终端恶意软件网络流量;
[0039]根据获取的移动终端恶意软件网络流量信息建立移动终端恶意目标列表;
[0040]根据建立的移动终端恶意目标列表分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
[0041]进一步的,所述检测服务器在工作时,移动终端网络流量数据集中的数据流量进入检测模型服务器中的流量行为分析模块;<