专利名称:智能移动终端的病毒防御方法及系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种智能移动终端的病毒防御方法及系统。
技术背景
在智能移动终端(例如,智能手机)越来越普及、越来越被人们所接受和使用的大 环境下,有一些不法分子利用智能终端可以随意安装应用软件的特点,大肆制造和散播智 能手机病毒以及恶意软件,有数字显示,从2009年12月至2010年6月,仅半年时间全球新 增手机病毒超过500个,这已经超过之前几年的总和。一旦数亿智能手机用户被病毒大量 感染,或某些手机软件的后门被恶意利用很可能会给用户带来无法估量的损失。
图1是相关技术中病毒入侵智能手机的示意图。如图1所示,病毒入侵智能移动 终端主要分为以下几个过程
过程(1)病毒在手机网络的匿藏及传播过程;
过程O)病毒通过基站到达智能手机通信处理器过程;
过程(3)病毒通过智能手机通信处理器到达应用处理器过程;
过程⑷病毒植根于应用处理器的过程;
过程(5)病毒触发和爆发过程。
目前智能移动终端的病毒防御和查杀系统也正在逐渐完善,但是主要都是集中在 病毒检测和清除方面,检测和清除的工作又都是在智能手机本地应用处理器上完成的。目 前的终端的处理器工作频率都偏低下,在应用程序并行运行的时候对病毒进行检测,会导 致运行效率过低,而且仅仅是对病毒进行查杀的话,不能达到有效截断同类或者相似病毒 或者恶意程序传播路径的效果。发明内容
针对相关技术中智能移动终端的病毒检测和清除工作都是在本地应用处理器上 完成的,导致运行效率过低的问题,本发明提供了一种智能移动终端的病毒防御方法及系 统,以解决上述问题至少之一。
根据本发明的一个方面,提供了一种智能移动终端的病毒防御方法。
根据本发明的智能移动终端的病毒防御方法包括智能移动终端的通信处理器对 接收到的下行数据进行协议分解,解析出下行数据的有效载荷;通信处理器将有效载荷与 疑似病毒特征进行匹配,以获取匹配度值;在匹配度值大于阈值时,通信处理器将有效载荷 发送基站以执行后续的病毒分析。
根据本发明的一个方面,提供了一种智能移动终端的病毒防御系统。
根据本发明的智能移动终端的病毒防御系统包括智能移动终端;该智能移动终 端包括通信处理器;通信处理器进一步包括协议分析模块,用于对接收到的下行数据进 行协议分解,解析出下行数据的有效载荷;第一判定模块,用于将有效载荷与疑似病毒特征 进行匹配,以获取匹配度值,并判断匹配度值是否大于阈值;第一通信模块,用于在第一判定模块输出为是时,向基站发送有效载荷以执行后续的病毒分析。
通过本发明,将智能移动终端的通信处理器以及移动网络基站结合起来,实现对 智能移动终端的病毒防御,智能移动终端的病毒检测和清除工作都是在本地应用处理器上 完成的,解决了相关技术中智能手机的病毒检测和清除工作都是在本地应用处理器上完成 的,导致运行效率过低的问题,有效实现了对智能移动终端的病毒防御,并避免查杀病毒时 降低智能移动终端的运行效率。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中
图1是相关技术中病毒入侵智能移动终端的示意图2是根据本发明实施例的智能移动终端的病毒防御系统的结构框图3是根据本发明优选实施例的智能移动终端的病毒防御系统的结构框图4是根据本发明优选实施例的协议分析模块的工作流程图5是根据本发明优选实施例的第一判定模块和第一通信模块的工作流程图6是根据本发明优选实施例的第二通信模块、第二判定模块、拦截模块和统计 模块的工作流程图7是根据本发明实施例的智能移动终端的病毒防御方法的流程图8是根据本发明优选实施例的智能移动终端的病毒防御方法的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的 情况下,本申请中的实施例及实施例中的特征可以相互组合。
图2是根据本发明实施例的智能移动终端的病毒防御系统的结构框图。如图2所 示,该病毒防御系统包括智能移动终端1 ;
其中,智能移动终端1包括通信处理器10 ;通信处理器10进一步包括
协议分析模块100,用于对接收到的下行数据进行协议分解,解析出下行数据的有 效载荷;
第一判定模块102,用于将有效载荷与疑似病毒特征进行匹配,以获取匹配度值, 并判断匹配度值是否大于阈值;
第一通信模块104,用于在第一判定模块输出为是时,向基站发送有效载荷以执行 后续的病毒分析。
优选地,如图3所示,上述病毒防御系统还可以包括基站2,该基站可以进一步包 括
第二通信模块200,用于接收来自于第一通信模块的有效载荷;
第二判定模块204,用于根据有效载荷对下行数据进行病毒分析。
相关技术中,智能移动终端处理器(例如,智能手机)分为应用处理器和通信处理 器,其中,一般应用处理器操作系统大多为常用平台(如Wind0WS、LinUX等)。针对这些平 台的病毒比较多,而通信处理器的操作系统都是一些RT0S,受到病毒侵害的可能性非常小,因此本实施例中,在通信处理器上对病毒进行处理其本身不易首先被病毒破坏,风险较小。
此外,智能移动终端的应用处理器通常也负责本地外部存储,病毒通常要在被存 储的情况下才能达到匿藏和自我复制以及再传播的目的,在应用处理器上控制病毒是“查 杀于已然”,而在通信处理器上拦截病毒是“防患于未然”,这样做是的病毒或者恶意程序在 没有根植于手机之间就被抛弃掉,更加安全。
优选地,上述协议分析模块100可以进一步包括
判断单元1000(图中未示出),用于判断下行数据是电路域数据还是分组域数据;
第一解析单元1002(图中未示出),用于在下行数据是电路域数据时,按照短消息 格式或电路域数据格式解析出下行数据的有效载荷;
第二解析单元1004(图中未示出),用于在下行数据是分组域数据时,采用传输层 协议、路由层协议以及高层协议解析出下行数据的有效载荷。
以下结合图4描述上述协议分析模块的详细工作流程。如图4所示,主要包括以 下处理
步骤S402 智能移动终端(例如,智能手机)的通信处理器中所有的子模块在通 信处理器启动的时候启动,并在工作时运行于后台;
步骤S404 协议分析模块监听是否有数据到达;
步骤S406 协议分析模块接收到数据包之后,根据当前的业务首先判断该数据是 通过电路域或者是分组域到达移动终端的。
步骤S408 如果是电路域,则按照普通短消息格式或者电路域数据格式进行协议 分析,析取用户数据的有效载荷,并将有效载荷提交给第一判定模块102,结束本次处理过程。
步骤S410 如果是分组域,则采用传输层协议和路由层协议进行协议分析。
步骤S412 判定此下行数据在上层协议栈如何实现协议封装,按常用协议分为 IP/PPP — HTTP/MMS/SMTP等,并解析出用户数据的有效载荷,提交给第一判定模块102,结 束本次处理过程。
优选地,如图3所示,上述智能移动终端1还可以包括应用处理器12,用于在匹 配度值小于或等于阈值时,接收来自于通信处理器的下行数据。即,在匹配度值小于或等于 阈值时,通信处理器10直接将下行数据直接发送至智能移动终端的应用处理器12。
优选地,如图3所示,第二判定模块204包括匹配单元2040(图中未示出),用于 将有效载荷与病毒库中的病毒信息进行匹配,判定下行数据是否为病毒信息。
以下结合图5描述第一判定模块和第一通信模块的详细工作流程。
图5是根据本发明优选实施例的第一判定模块102、第一通信模块104的工作流程 图。如图5所示,主要包括以下处理
步骤S502 第一判定模块102监听是否有数据到达;
步骤S504 第一判定模块102接收到协议分析模块100提交的数据信息,需要进行第一次判定。
具体地,可以按照非常简单的匹配法则(例如,数据来源、数据长短、病毒头基本 特征、文件类型等)进行病毒可疑性判断,即采用宁可误判也不要错漏的基本原则,有效避 免病毒漏网。例如,执行步骤S506、步骤S508以及步骤S510。6
步骤S506 判断下行数据是否为可疑来源数据;如果是,执行步骤S512。否则,执 行步骤S508。
步骤S508 判定数据格式是否可疑。如果是,执行步骤S512,否则执行步骤S510。
步骤S510 采用其他判定准则判断上述下行数据是否可疑。如果是,执行步骤 S512,否则,执行步骤S514。
步骤S512 第一判定模块102判定为疑似病毒,则将下行数据的有效载荷提交给 第一通信模块104,第一通信模块104接收到第一判定模块102的有效载荷之后直接提交给 云端的基站,并附带一个二次判定请求信息。
智能移动终端的通信处理器一般主频较低,并且在通信过程中对实时性要求很 高,因此不适合在通信处理器上运行对时间复杂度要求较高的病毒详细匹配算法程序,所 以智能移动终端的通信处理器只负责病毒一次判定,找到可疑的数据并且提交给基站进行处理。
步骤S514 第一判定模块102判定为非疑似病毒,直接提交给智能移动终端1的 应用处理器12。
优选地,如图3所示,上述第一通信模块104,还用于接收来自于基站反馈的判定 响应以及分析报告,其中,判定响应携带有下行数据为病毒信息的指示信息;则通信处理器 10还可以包括拦截模块106,用于拦截下行数据以及本次传输中除上述下行数据之外的 其他数据;统计模块108,记录下行数据对应的信息,其中,该信息可以包括但不限于以下 至少之一数据包的来源信息、传播路径。
设置统计模块108,可以便于收集与病毒相关的信息,作为下一次判定的依据,可 以有效防范类似病毒今后的侵害。
需要注意的是,也可以在基站以及其它无线接入点系统中部署同样功能的统计模 块,还可以建立专门的移动病毒统计库,以搜集那些不法分子的活动资料,找到病毒源以及 采集病毒样本。
以下结合图6述第二通信模块、第二判定模块、拦截模块和统计模块的详细工作 流程。
图6是根据本发明优选实施例的第二通信模块、第二判定模块、拦截模块和统计 模块的工作流程图。如图6所示,主要包括以下处理
步骤S602 第二通信模块200等待接收智能移动终端的通信处理器发出的扫描请 求和被扫描数据(即上述有效载荷)。
步骤S604 在第二通信模块200接收到待扫描数据和扫描请求后,位于云端基站 的第二判定模块200对数据进行二次扫描判定。
需要注意的是,由于基站的通信量大而且比较繁忙,部署于基站上的第二判定模 块200并不是一直运行的。基站接收到智能手机发送过来的可疑数据以及二次判定请求之 后,才立即启动病毒二次判定程序,对可疑数据进行详细扫描,其匹配标准为按照标准的病 毒库进行匹配,如果确认此程序包含手机病毒,则立即向智能手机发出反馈以及病毒信息。
当智能移动终端需要对病毒进行更加详细的检测的时候再向基站发起请求,这样 大大减轻了基站的负担。这样客户端的通信处理器和云端基站协同工作,使得病毒的处理 能力大大提高。
步骤S606 第二判定模块200将有效载荷与病毒库中的病毒信息进行匹配,判定 下行数据是否为病毒信息。如果是,执行步骤S608,否则,执行步骤S610。
步骤S608 第二通信模块200向智能移动终端发送扫描报告,表明该数据是病毒。 之后返回执行步骤S602。
步骤S610 第二通信模块200向智能移动终端发送扫描报告,表明该数据不是病 毒。之后返回执行步骤S602。
步骤S612 第一通信模块104等待接收病毒二次扫描报告。
步骤S614 确定判定结果是否为病毒。如果是,执行步骤S616,否则,执行步骤 S618。
步骤S616 在病毒二次判定中被判定为移动终端病毒的数据代码,将被智能移动 终端的统计模块所接收,拦截模块立即停止对本次传输中除下行数据之外的其他数据的处 理,丢弃这些数据,以免其侵害到应用处理器,并且统计模块将当前判定为病毒数据的包来 源(短消息发送方号码、IP源地址、IP传输路由等)加以记录,作为下次一次判定的依据, 如果再接收到这些来源发送的数据,就要优先考虑其作为病毒数据的可能性。之后,返回执 行步骤S612。
步骤S618 智能移动终端的通信处理器直接向智能移动终端的应用处理器发送 上述下行数据。之后,返回执行步骤S612。
图7是根据本发明实施例的智能移动终端的病毒防御方法的流程图。如图7所示, 该病毒防御方法主要包括以下处理
步骤S702 智能移动终端的通信处理器对接收到的下行数据进行协议分解,解析 出下行数据的有效载荷;
步骤S704 通信处理器将有效载荷与疑似病毒特征进行匹配,以获取匹配度值;
步骤S706 在匹配度值大于阈值时,通信处理器将有效载荷发送基站以执行后续 的病毒分析。
相关技术中,智能移动终端的病毒检测和清除工作都是在本地应用处理器上完成 的,在应用程序并行运行的时候对病毒进行检测,会导致运行效率过低。从图1中的过程 (3)着手,在智能移动终端的通信处理器以及移动网络基站上部署上述各模块,将通信处理 器以及基站结合起来,有效实现了对智能移动终端的病毒防御,并避免查杀病毒时降低智 能移动终端的运行效率。
优选地,上述步骤S702可以进一步包括以下处理
(1)通信处理器判断下行数据是电路域数据还是分组域数据;
(2)当下行数据是电路域数据时,则按照短消息格式解析出下行数据的有效载 荷;
(3)当下行数据是分组域数据时,则按照传输层协议和路由层协议解析出下行数 据的有效载荷。
优选地,在上述匹配度值小于或等于阈值时,通信处理器将下行数据直接发送至 智能移动终端的应用处理器。
优选地,基站执行后续的病毒分析可以进一步包括以下处理基站将有效载荷与 病毒库中的病毒信息进行匹配,判定下行数据是否为病毒信息。
优选地,当判定下行数据是病毒信息时,还可以包括以下处理
(1)通信处理器接收来自于基站反馈的判定响应以及分析报告,其中,判定响应携 带有下行数据为病毒信息的指示信息;
(2)通信处理器拦截下行数据以及本次传输中除下行数据之外的其他数据,并且 记录下行数据对应的信息。
其中,上述下行数据对应的信息包括但不限于以下至少之一数据包的来源信息、 传播路径。
以下以智能移动终端为智能手机为例,详细描述上述优选实施方式。
图8是根据本发明优选实施例的智能移动终端的病毒防御方法的流程图。如图8 所示,该病毒防御方法主要包括以下处理
步骤S802 智能手机的通信处理器接收下行数据。
步骤S804 通信处理器对所有流经它的下行数据(包括CS域和PS域的数据)按 照不同的通信协议进行协议分解,此过程涉及到上述协议分析模块。
步骤S806 被分解过的有效载荷被智能手机通信处理器的第一判定模块进行判定。
在具体实施过程中,可以设定简单的判定标准,由于算法时间复杂度低,几乎不影 响智能手机通信处理器的正常工作。
步骤S808 第一判定模块判定是否为疑似病毒。如果是,执行步骤S810,否则,执 行步骤S822。
步骤S810 如果判定结果成立,即认为该有效载荷和疑似病毒特征匹配度较高, 超过一定阈值,则通信处理器暂停向应用处理器发送上述下行数据,转由第一通信模块将 此有效载荷提交给云端基站,并且向云端基站发起病毒二次判定请求。
步骤S812 云端基站接收到病毒二次判定请求,以及疑似病毒的有效载荷数据, 输入依赖于高速处理设备的病毒二次判定程序(即上述第二判定模块)。
步骤S814 由第二判定模块进行详细的病毒分析,分析出是否是病毒,以及是何 种病毒。如果是病毒,则跳转到步骤S816,如果不是病毒,则跳转到步骤S818。
步骤S816 云端基站将详细的分析结果整理成报告下发给智能手机的通信处理 器,并且附带病毒二次判定响应,注明该有效载荷为病毒或者恶意程序。
步骤S818 智能手机通信处理器接收到二次判定响应以及分析报告,拦截此段数 据,不让此数据发送到智能手机应用处理器,并且在通信处理器的外部存储器上记录病毒 或者恶意程序信息,包括数据来源及传播路径,今后再有此来源或者传播路径的数据到达 时,会自动汇报给云端基站请求二次判定。
步骤S820 云端基站将详细的分析结果整理成报告下发给智能手机的通信处理 器,并且附带病毒二次判定响应,注明该有效载荷为安全数据。
步骤S822 如果此数据不是病毒或者恶意程序,智能手机通信处理器直接传送有 效数据给应用处理器进行处理。
需要注意的是,在通信处理器方面,由于目前智能手机不仅可以支持传统的基站 通信,还可以支持Wi-Fi、蓝牙等通信模式,因此在数据传输路径上还可做到多元化,可以部 署类似的方案在Wi-Fi、蓝牙处理芯片或者驱动程序以及Wi-Fi、蓝牙接入点上。
综上所述,借助本发明提供的上述实施例,将智能移动终端(例如,智能手机)的 通信处理器和移动网络基站结合起来,实现对智能手机病毒进行有效的检测、拦截以及对 病毒传播路径、病毒类型进行监控,从而有效避免了今后的隐患。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示 出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或 步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种智能移动终端的病毒防御方法,其特征在于,包括智能移动终端的通信处理器对接收到的下行数据进行协议分解,解析出所述下行数据 的有效载荷;所述通信处理器将所述有效载荷与疑似病毒特征进行匹配,以获取匹配度值; 在所述匹配度值大于阈值时,所述通信处理器将所述有效载荷发送基站以执行后续的 病毒分析。
2.根据权利要求1所述的方法,其特征在于,所述通信处理器对接收到的下行数据进 行协议分解包括所述通信处理器判断所述下行数据是电路域数据还是分组域数据; 当所述下行数据是电路域数据时,则按照短消息格式或电路域数据格式解析出所述下 行数据的有效载荷;当所述下行数据是分组域数据时,则采用传输层协议、路由层协议以及高层协议解析 出所述下行数据的有效载荷。
3.根据权利要求1所述的方法,其特征在于,在获取匹配度值时,还包括在所述匹配度值小于或等于所述阈值时,所述通信处理器将所述下行数据直接发送至 所述智能移动终端的应用处理器。
4.根据权利要求1所述的方法,其特征在于,所述基站执行后续的病毒分析包括所 述基站将所述有效载荷与病毒库中的病毒信息进行匹配,判定所述下行数据是否为病毒信 肩、ο
5.根据权利要求4所述的方法,其特征在于,当判定所述下行数据是病毒信息时,还包括所述通信处理器接收来自于所述基站反馈的判定响应以及分析报告,其中,所述判定 响应携带有所述下行数据为病毒信息的指示信息;所述通信处理器拦截所述下行数据以及本次传输中除所述下行数据之外的其他数据, 并且记录所述下行数据对应的信息。
6.根据权利要求5所述的方法,其特征在于,所述下行数据对应的信息包括以下至少 之一所述数据包的来源信息、传播路径。
7.一种智能移动终端的病毒防御系统,其特征在于,包括智能移动终端; 所述智能移动终端包括通信处理器;所述通信处理器进一步包括协议分析模块,用于对接收到的下行数据进行协议分解,解析出所述下行数据的有效 载荷;第一判定模块,用于将所述有效载荷与疑似病毒特征进行匹配,以获取匹配度值,并判 断所述匹配度值是否大于阈值;第一通信模块,用于在所述第一判定模块输出为是时,向所述基站发送所述有效载荷 以执行后续的病毒分析。
8.根据权利要求7所述的系统,其特征在于,所述基站包括 第二通信模块,用于接收来自于所述第一通信模块的所述有效载荷; 第二判定模块,用于根据所述有效载荷对所述下行数据进行病毒分析。
9.根据权利要求7所述的系统,其特征在于,所述协议分析模块包括判断单元,用于判断所述下行数据是电路域数据还是分组域数据;第一解析单元,用于在所述下行数据是电路域数据时,按照短消息格式或电路域数据 格式解析出所述下行数据的有效载荷;第二解析单元,用于在所述下行数据是分组域数据时,采用传输层协议、路由层协议以 及高层协议解析出所述下行数据的有效载荷。
10.根据权利要求7所述的系统,其特征在于,所述智能移动终端还包括应用处理器,用于在所述匹配度值小于或等于所述阈值时,接收来自于所述通信处理 器的所述下行数据。
11.根据权利要求7所述的系统,其特征在于,所述第二判定模块包括匹配单元,用于将所述有效载荷与病毒库中的病毒信息进行匹配,判定所述下行数据 是否为病毒信息。
12.根据权利要求11所述的系统,其特征在于,所述第一通信模块,还用于接收来自于所述基站反馈的判定响应以及分析报告,其中, 所述判定响应携带有所述下行数据为病毒信息的指示信息;所述通信处理器还包括拦截模块,用于拦截所述下行数据以及本次传输中除所述下行数据之外的其他数据; 统计模块,记录所述下行数据对应的信息。
全文摘要
本发明公开了一种智能移动终端的病毒防御方法及系统。在上述方法中,智能移动终端的通信处理器对接收到的下行数据进行协议分解,解析出所述下行数据的有效载荷;所述通信处理器将所述有效载荷与疑似病毒特征进行匹配,以获取匹配度值;在所述匹配度值大于阈值时,所述通信处理器将所述有效载荷发送基站以执行后续的病毒分析。根据本发明提供的技术方案,有效实现了对智能移动终端的病毒防御,并避免查杀病毒时降低智能移动终端的运行效率。
文档编号H04W12/00GK102045368SQ20111002325
公开日2011年5月4日 申请日期2011年1月20日 优先权日2011年1月20日
发明者周昊, 杨小明, 甘惠亮, 苏玉婷 申请人:中兴通讯股份有限公司