服务器上。
[0206]移动终端恶意目标列表建立时,在数据存储服务器上,保存了移动终端恶意软件产生的所有网络交互流量,通过解析流量数据的DNS信息,可以得到关于恶意软件所有的DNS请求的目标域名,再将这些目标域名依次作恶意域名检测,若是恶意目标,则将该域名加入黑名单列表即移动终端恶意目标列表。
[0207]移动终端恶意软件恶意行为流量分离时,基于建立好的黑名单列表,根据流的五元组构建网络数据流,然后在数据流中的HTTP数据包中提取相应的HOST字段(HOST字段是一段域名字符串),若该字段存在于建立的黑名单列表中,则认为该数据流为恶意软件网络行为流量,提取并保存,反之则忽略掉该数据流,依次完成所采集到的所有数据流,最终分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量,其中,五元组即具有相同的源IP地址、目的IP地址、源端口号、目的端口号、协议号。
[0208]上述虽然结合附图对本发明的【具体实施方式】进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
【主权项】
1.基于接入路由器进行恶意软件网络行为检测的方法,其特征是,包括以下步骤: 移动终端接入至具有恶意软件网络行为发现能力的无线路由器; 具有恶意软件网络行为发现能力的无线路由器识别接入的移动终端,同意其联网请求,并开始抓取该移动终端通过上网产生的流量,将采集的网络流量传入流量行为分析模块,进行基于流量的安全检测; 通过恶意软件流量自动化采集服务,主动获取恶意软件流量数据集,并将采集到的数据流量传输到检测模型服务器; 选择的对应的检测模型是检测模型服务器通过流量数据建立并经过不断的训练得到的检测模型; 检测模型服务器定期的更新接入路由器的流量行为分析模块,增强接入路由器的安全防护。2.如权利要求1所述的基于接入路由器进行恶意软件网络行为检测的方法,其特征是,具有恶意软件网络行为发现能力的无线路由器识别接入的移动终端,将采集的网络流量传入流量行为分析模块,进行基于流量的安全检测,具体步骤为: 从采集应用软件所产生的网络流量中采集流量,并传输到流量行为分析模块; 流量行为分析模块包括特征提取模块,用于从网络流量数据中提取出各类特征,主要包括能够有效表征移动终端恶意软件网络行为的特征; 在特征提取之后,按照不同的特征类型对提取的特征进行分类; 对每一种类型的特征,都有与之相适应的检测模型,不同的特征类型适用于不同的模型,每种类型的特征有与之对应的唯一的模型; 模型选择,更新控制和获取输出功能; 对配置模块的更新检测及配置模块的结果输出。3.如权利要求1所述的基于接入路由器进行恶意软件网络行为检测的方法,其特征是,当更新控制模块检测到路由器的外存中有待更新的模型或者检测到更新接口模块发来的指令后,更新控制模块首先获得流量数据控制权,将流量获取模块中获取的流量数据暂存到缓存中;其次更新控制模块对流量行为分析模块中的检测模型进行更新;然后更新升级成功后更新控制模块释放流量数据控制权,使得流量获取模块中获取的流量数据传输到行为分析模块;最后更新控制模块将缓存中的流量数据传输到流量行为分析模块。4.如权利要求1所述的基于接入路由器进行恶意软件网络行为检测的方法,其特征是,对特征进行分类时,分为规则类的特征、图类特征、数值型特征和标称型特征; 对分类后的特征有与之相适应的检测模型,对于规则类的特征,放入到基于规则的检测模型,对于图类的特征,放入到基于图相似的匹配模型,对于数值型特征和标称型特征,利用SVM模型处理这些类型的数据。5.如权利要求1所述的基于接入路由器进行恶意软件网络行为检测的方法,其特征是,对于规则类的特征进行检测时,采用的步骤为: 1-1)通过对用户移动终端网络流量的采集,从中提取出所有的请求的域名; 1-2)将提取的域名与规则匹配模板库中规则进行匹配,若发现有恶意请求的域名存在,规则匹配模型输出发现恶意软件的检测结果。6.如权利要求1所述的基于接入路由器进行恶意软件网络行为检测的方法,其特征是,对于图类特征进行检测时,采用的步骤为: 2-1)在采集到的用户移动终端应用软件所产生的网络流量中,按照五元组特征提取出该应用的网络行为数据流;其中,五元组特征是指具有相同的源IP,目的IP,源端口,目的端口和协议类型; 2-2)根据提取出的网络行为数据流,画出用户移动终端应用软件的网络行为重构图,分别计算其与图相似匹配模型中恶意网络行为重构图的相似度和与图相似匹配模型中正常网络行为重构图的相似度,若与前者的相似度大于后者的相似度,则说明该应用软件是恶意软件。7.如权利要求1所述的基于接入路由器进行恶意软件网络行为检测的方法,其特征是,对于数值型和标称型特征,进行检测时采用的步骤为: 3-1)在采集到的用户移动终端应用软件所产生的网络流量中,提取出数值型和标称型特征; 3-2)对提取出的数值型特征和标称型特征进行归一化等预处理; 3-3)将处理好的数值型特征和标称型特征输入到已经预先在流量行为分析模块中配置好的机器学习模型中; 3-4)根据输入的特征,使用机器学习模型做检测。8.如权利要求1所述的基于接入路由器进行恶意软件网络行为检测的方法,其特征是,通过恶意软件流量自动化采集服务,主动获取恶意软件流量数据集时,对移动终端恶意软件进行反编译,反编译后得到与恶意软件相对应的配置文件; 从与恶意软件相对应的配置文件中提取移动终端恶意软件自动安装和运行所需要的参数; 根据提取的移动终端恶意软件自动安装和运行所需要的参数进行移动终端恶意软件的自动安装; 利用激活优先机制实现对移动终端恶意软件激活与运行,移动终端恶意软件激活与运行后获取移动终端恶意软件网络流量; 根据获取的移动终端恶意软件网络流量信息建立移动终端恶意目标列表; 根据建立的移动终端恶意目标列表分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。9.如权利要求1所述的基于接入路由器进行恶意软件网络行为检测的方法,其特征是,所述检测服务器在工作时,移动终端网络流量数据集中的数据流量进入检测模型服务器中的流量行为分析模块; 流量行为分析模块中,从网络流量数据中提取出能够有效表征恶意软件网络行为的特征; 对于规则类的特征划分为一类,对于图类的特征划分为另一类,对于数值型和标称型特征划分为第三类;对于规则类的特征建立规则匹配模型,对于图类特征建立图相似匹配模型,对于数值类特征和标称型特征,训练得到机器学习模型; 更新控制功能负责完成检测模型服务器对接入路由器中各个检测模型更新的过程;模型选择功能负责完成用户对模型的选择,同时,对具有多种特征类型的模型,还可以继续完成对指定特征类型的选择; 获取输出功能完成从模型获取输出的检测结果,检测模型将检测结果通过用户接口向用户反馈,更新接口定时将更新的检测模型推送到接入路由器的检测模型中。10.基于接入路由器进行恶意软件网络行为的检测系统,其特征是,包括: 具有恶意软件网络行为发现能力的无线路由器,用于识别接入的移动终端,同意其联网请求,并开始抓取该移动终端通过软件上网产生的流量,将采集的网络流量像传入流量行为分析模块,进行基于流量的安全检测; 所述流量行为分析模块包括特征提取模块,用于从网络流量数据中提取出各类特征,主要依赖于能够获取到的有效表征移动终端恶意软件网络行为的特征; 特征分类模块,在特征提取之后,按照不同的特征类型对提取的特征进行分类; 模型模块,对每一种类型的特征,均有与之相适应的检测模型,不同的特征类型适用于不同的模型,每种类型的特征有与之对应的唯一的模型; 配置模块,用于实现模型选择,更新控制和获取输出功能, 更新接口与结果输出模块,用于对配置模块的更新检测及配置模块的结果输出。 模型更新模块,通过恶意软件流量自动化采集服务,主动获取大量恶意软件流量数据集,并将采集到的数据流量传输到检测模型服务器,检测模型服务器用于对接入路由器的检测模型进行更新。
【专利摘要】本发明公开了基于接入路由器进行恶意软件网络行为检测的方法及系统,无线路由器识别接入的移动终端,同意其联网请求,并开始抓取该移动终端通过上网产生的流量,将采集的网络流量传入流量行为分析模块,进行基于流量的安全检测;检测模型服务器通过流量数据建立检测模型,并将检测模型存储在检测模型服务器中;检测模型服务器定期的更新接入路由器的流量行为分析模块,增强接入路由器的安全防护;通过无线路由器自主选择所需要的检测模型,检测模型开始对输入的流量数据进行处理并输出检测结果。本发明避免了在用户移动终端安装检测程序所带来的对移动终端资源消耗大的问题,同时解决了在实际使用中大规模部署的问题。
【IPC分类】H04L29/06
【公开号】CN105187395
【申请号】CN201510487185
【发明人】韩泓波, 陈贞翔, 杨波, 彭立志, 张蕾, 王闪闪
【申请人】济南大学
【公开日】2015年12月23日
【申请日】2015年8月10日