基于网络流量的多特征移动终端恶意软件检测方法及系统的制作方法
【技术领域】
[0001]本发明涉及一种利用移动终端网络流量来检测恶意软件网络行为的方法,尤其涉及一种针对移动终端网络流量的多类特征,分别设计相应的不同检测模型的检测方法及系统。
【背景技术】
[0002]随着移动终端的广泛使用,尤其是智能手机的迅速普及,移动智能终端给现代社会巨大的变革,进入21世纪以来,我们已经迅速步入了移动时代。而手机已不再局限于传统意义上的通信业务,已经成为集电子商务、个人支付、社交娱乐等功能于一体的强大终端。据Gartner报告统计,2014年,全球手机市场已经达35亿台(其中Android系统27亿台),已经超过PC数量,预测到2015年将超过50亿台。然而随着移动应用的普及和用户数量爆发式增长,移动智能终端的安全也面临着巨大挑战。据国家互联网应急中心发布的2013年中国互联网网络安全报告的一项统计,恶意扣费类的恶意程序数量居首位,达到了 502481个,显示了黑客制作恶意程序带有明显的趋利性,而针对Android平台的恶意联网程序达到了 699514个,占总数99%以上;据网秦公司发布的2013上半年全球手机安全报告,2013年上半年查杀到手机恶意软件51084款,同比2012年上半年增长189%,2013年上半年感染手机2102万部,同比2012年上半年增长63.8%,在全球范围内,中国大陆地区以31.71%的感染比例位居首位,俄罗斯(17.15% )、印度(13.8% )、美国(6.53% )位居其后,其中中国大陆地区增幅最快,相比2013年第一季度增长5.31%,比2012年上半年增长6.01 % ;Cheetah Mobile发布2014上半年全球移动安全报告指出2014年上半年病毒数量为2013全年的2.5倍。
[0003]传统的移动终端恶意软件检测方法根据检测方式的不同大致可以分为两类,即静态检测和动态检测。(I)对于静态检测技术,是利用反编译工具和逆向工程技术对移动终端的恶意软件进行反编译和反汇编,再从源代码中找出恶意代码。这种静态检测技术最大的优点是实施简单,用户只需在终端上安装检测程序即可,而各大安全公司的移动终端的安全产品也大都采用这种模式。但是随着代码混淆、加壳等技术的出现,反编译和对恶意代码的特征匹配已经变成了一件非常困难的事情,同时,这种静态检测技术非常依赖于已有恶意代码的特征,对未知恶意软件的发现能力极其不足。(2)对于动态检测技术,则是利用“沙盒”机制,通过在沙盒内运行应用软件,监控应用软件对系统敏感资源的调用来达到识别的目的。这种动态的方法对未知的恶意应用具有一定的发现能力,但是对用户终端的资源消耗巨大,并且难以大规模部署实施,所以相关研究仅停留在学术研究阶段。
[0004]通过网络流量来发现移动终端的恶意软件网络行为是近年新兴的一种恶意软件检测技术,并取得了一些初步的研究成果。通过网络流量来检测恶意软件不需要用户在终端设备上安装检测程序,极大地降低了用户终端设备的计算资源,但是,现有的基于移动终端网络流量的检测技术存在以下几个缺点:
[0005](I)现有的基于移动终端的网络流量检测恶意软件的方法也仅仅局限于某一类特征,例如仅仅利用DNS特征作恶意软件的检测,缺乏对移动终端网络流量特征进行系统性的总结和针对不同类型的网络流量特征的检测方法。
[0006](2)现有的基于移动终端的网络流量行为特征,往往只集中在对端口、数据包大小、开始时间、结束时间等特征的统计分析,缺少移动终端恶意软件网络交互行为特征。
[0007](3)由于现有的基于移动终端网络流量检测恶意软件技术相关研究尚处于起步阶段,往往借鉴于传统PC端的检测方法,而传统的PC端的恶意软件检测也面临着发现未知恶意软件能力不足的问题。
【发明内容】
[0008]为解决现有技术存在的不足,本发明公开了基于网络流量的多特征移动终端恶意软件检测方法及系统,以针对移动终端网络流量的不同特征类型,本发明分别设计了适应于不同的特征类型的检测模型,用户可以根据需要自主选择所需要的模型,提高了检测的准确度,满足了用户的个性化需求。
[0009]为实现上述目的,本发明的具体方案如下:
[0010]基于网络流量的多特征移动终端恶意软件检测方法,包括以下步骤:
[0011]从网络流量数据中提取出能够有效表征移动终端恶意软件网络行为的特征;
[0012]按照不同的特征类型对提取的能够有效表征移动终端恶意软件网络行为的特征进行分类;
[0013]对分类后的特征建立与之相适应的检测模型,每种类型的特征有与之对应的唯一的检测模型;
[0014]每种类型的特征选择对应的检测模型并输出相应的检测结果。
[0015]进一步的,对特征进行分类时,分为规则类的特征、图类特征、数值型特征和标称型特征。
[0016]进一步的,对分类后的特征建立与之相适应的检测模型,对于规则类的特征,建立适应于基于规则的检测模型,对于图类的特征,建立适应于基于图相似的匹配模型,对于数值型特征和标称型特征,利用机器学习模型处理这些类型的数据。
[0017]更进一步的,对于规则类的特征建立规则匹配模型并进行检测时,采用的步骤为:
[0018]1-1)基于采集的网络流量数据集,从中提取出所有的请求的域名;
[0019]1-2)将提取到的请求的域名在第三方域名检测服务上做域名检测,建立恶意URL列表;
[0020]1-3)把恶意URL列表上的恶意URL作为规则加入到规则匹配模型;
[0021]1-4)用户终端接入网络后,通过对用户移动终端网络流量的采集,从采集到的网络流量中提取请求的域名,与规则匹配模板库中规则进行匹配,若发现有恶意请求的域名存在,规则匹配模型输出发现恶意软件的检测结果。
[0022]更进一步的,对于图类特征建立图相似匹配模型并进行检测时,采用的步骤为:
[0023]2-1)在采集到的网络流量数据集中,按照五元组特征提取出恶意的网络行为数据流;其中,五元组特征是指具有相同的源IP,目的IP,源端口,目的端口和协议类型;
[0024]2-2)基于恶意的网络行为数据流,做出恶意网络行为重构图;
[0025]2-3)基于正常的网络行为数据流,做出正常网络行为重构图;
[0026]2-4)获取用户移动终端应用软件所产生的网络流量,做出用户移动终端应用软件的网络行为重构图,分别计算其与恶意网络行为重构图的相似性和与正常网络行为重构图的相似度,若与前者的相似度大于后者的相似度,则说明该应用软件是恶意软件。
[0027]更进一步的,对于数值型和标称型特征,基于机器学习的无监督和有监督学习来建立检测模型,其中,无监督学习主要以聚类算法为主,有监督学习主要以分类算法为主,具体包括:
[0028]3-1)在采集到的网络流量数据集中,提取出数值型特征和标称型特征,建立原始特征集;
[0029]3-2)在原始特征集上移除类别标签(该类别标签用于区分该应用软件是否恶意,例如,对于恶意软件,该标签可以设置为“ I ”,对于正常软件,该标签可以设置为“O”),使用聚类算法,将具有相似特征的软件样本聚为一类,便于发现未知的恶意软件;
[0030]3-3)对先发现的未知恶意软件,重新提取特征,加入到原始特征集中形成新的特征集;
[0031]3-4)在加上类别标签的新特征集上使用分类算法,建立分类检测模型,便于提高准确度。
[0032]实施例,以机器学习无监督学习算法的K均值方法对原始特征集进行聚类,具体方法为:
[0033]4-1)输入要聚类的簇的个数为K ;
[0034]4-2)在原始特征集上随机初始化K个聚类中心;
[0035]4-3)计算每个样本与K个聚类中心之间的距离,并将其分配到最近距离的类中;
[0036]4-4)分配完毕后,计算新的类的中心;
[0037]4-5)新的类的中心是否收敛,收敛条件设置为迭代次数;
[0038]4-6)若迭代次数达到了设定的次数,则输出聚类结果;
[0039]4-7)若迭代次数没有达到设定的次数则返回步骤4-3),直到达到设定的迭代次数。
[0040]实施例,建立机器学习的SVM模型,具体步骤为:
[0041]5-1)在发