专利名称:一种移动互联网恶意软件检测的方法及系统的制作方法
技术领域:
本发明涉及一种移动互联网恶意软件检测的方法及系统,具体涉及的技术领域是对移动数据业务中使用及传播的恶意软件进行检测和扫描。
背景技术:
近年来,随着手机的普及和移动数据业务的不断发展,WAP、彩信、移动宽带上网已经越来越流行,随着手机功能逐渐智能化,在传统互联网大肆传播的恶意软件,已经扩散到移动互联网中,由于移动互联网用户群体很大,且手机与个人身份信息绑定更紧密,所以对移动互联网恶意软件做检测,显得尤为必要。目前传统互联网,对恶意软件的检测,主要在用户终端实现;由于手机终端的性能不如传统PC终端,所以直接将传统互联网恶意软件检测的方法移植到移动互联网中,并不是很好的解决方案。
发明内容
本发明的主要目的是提供一种移动互联网恶意软件检测的方法,可以实现在移动互联网的核心网侧,对恶意软件进行检测,追踪移动互联网恶意软件的传播情况,并为运营商从网络侧切断恶意软件传播提供数据支撑。本发明的另一个目的是提供一种移动互联网恶意软件检测的系统,可以实现在移动互联网的核心网侧,对恶意软件进行检测,追踪移动互联网恶意软件的传播情况,并为运营商从网络侧切断恶意软件传播提供数据支撑。为了实现上述目的,本发明提供一种移动互联网恶意软件检测的方法,其特征在于,该方法包括手机文件病毒扫描的方法,手机恶意URL扫描的方法,手机恶意软件异常行为扫描的方法。为了实现上述目的,本发明还提供一种移动互联网恶意软件检测的系统,其特征在于,该系统包括手机文件病毒扫描的程序,手机恶意URL扫描的程序,手机恶意软件异常行为扫描的程序。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中图1移动互联网恶意软件监测系统实现原理2手机文件病毒扫描的方法图3手机恶意URL扫描的方法图4手机恶意软件异常行为扫描的方法
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明的具体实施例进行详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。应当理解的是,上述针对具体实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本发明的专利保护范围应以所附权利要求为准。移动互联网恶意软件检测系统由图1所示,本系统从移动网络Gn 口(SGSN与GGSN 之间的通信接口)采集数据,并根据协议区分为HTTP/WAP数据、MMS/Email/FTP数据、TCP/ UDP数据、PDP数据。手机文件病毒扫描模块,实现对HTTP/WAP协议下载文件,以及匪S/Email/FTP传输文件做文件病毒病毒扫描。手机恶意URL扫描模块,实现对HTTP/WAP协议中的URL做扫描。手机恶意软件异常行为扫描模块,实现对HTTP/WAP数据、匪S/Email/FTP数据、 TCP/UDP数据、PDP数据中的异常行为模式做扫描。最后将分析出的结果输出到数据库中,并以UI展示给客户。手机文件病毒扫描程序如图2所示,程序首先对WAP、HTTP、FTP、Email协议中的文件附件做提取,其中MMS做为WAP协议的一种。然后程序根据病毒特征库,对文件附件做扫描,如果发现特征符合,则将该病毒及相关的特征输出。手机恶意URL扫描程序如图3所示,程序首先对WAP、HTTP协议中的URL做提取。 然后程序根据恶意URL规则库,对URL做扫描,如果发现特征符合,则将该URL及相关的特征输出。手机恶意软件异常行为扫描程序如图4所示,程序首先对HTTP/WAP数据、匪S/ Email/FTP数据、TCP/UDP数据、PDP数据做分析,包括用户访问IP地址、端口号、URL、PDP 激活时间、彩信发送人、Email发送人,Email发送附件等信息,根据手机恶意软件异常行为阈值(例如相同内容的彩信发送不超过100次),判别手机是否存在恶意软件,如果存在,则将恶意行为及特性输出。应当理解的是,上述针对具体实施例的描述较为详细,并不能因此而认为是对本发明专利保护范围的限制,本发明的专利保护范围应以所附权利要求为准。
权利要求
1.一种移动互联网恶意软件检测的方法,其特征在于,该方法包括手机文件病毒扫描的方法,手机恶意URL扫描的方法,手机恶意软件异常行为扫描的方法。
2.根据权利要求1所述的方法,其特征在于,所述手机文件病毒扫描的方法,是通过采集移动运营商口数据,获取手机用户上网的数据流,并从数据流中提取出用户上传、下载的文件,并对文件进行扫描,如果发现是病毒文件,则将病毒特征、文件名称、用户的手机号码记录到数据库中。
3.根据权利要求1所述的方法,其特征在于,所述手机恶意URL扫描的方法,是通过采集移动运营商口数据,获取手机用户上网的数据流,并从数据流中提取GET或者POST消息,这两个消息都包含URL字段,如果该URL符合恶意URL特征,则将恶意URL,特征、用户的手机号码记录到数据库中。
4.根据权利要求1所述的方法,其特征在于,所述手机恶意软件异常行为的扫描方法, 是通过采集移动运营商口数据,获取手机用户上网的数据流,并从数据流中提取恶意软件异常行为特征,如果匹配恶意软件异常行为规则,则将用户的异常行为特征描述,可能使用的恶意软件,用户手机号码记录到数据库中。
5.一种移动互联网恶意软件检测的系统,其特征在于,该系统包括手机文件病毒扫描的程序,手机恶意URL扫描的程序,手机恶意软件异常行为扫描的程序。
6.根据权利要求5所述的方法,其特征在于,所述手机文件病毒扫描的程序,是通过采集移动运营商口数据,获取手机用户上网的数据流,并从数据流中提取出用户上传、下载的文件,并对文件进行扫描,如果发现是病毒文件,则将病毒特征、文件名称、用户的手机号码记录到数据库中。
7.根据权利要求5所述的方法,其特征在于,所述手机恶意URL扫描的程序,是通过采集移动运营商口数据,获取手机用户上网的数据流,并从数据流中提取GET或者POST消息,这两个消息都包含URL字段,如果该URL符合恶意URL特征,则将恶意URL,特征、用户的手机号码记录到数据库中。
8.根据权利要求5所述的方法,其特征在于,所述手机恶意软件异常行为的扫描程序, 是通过采集移动运营商口数据,获取手机用户上网的数据流,并从数据流中提取恶意软件异常行为特征,如果匹配恶意软件异常行为规则,则将用户的异常行为特征描述,可能使用的恶意软件,用户手机号码记录到数据库中。
全文摘要
本发明公开一种移动互联网恶意软件检测的方法,可以实现在移动互联网的核心网侧,对手机文件病毒、恶意URL、恶意软件异常行为进行检测,并依据上述方法发明了一种移动互联网恶意软件检测系统,可追踪移动互联网恶意软件的传播情况,并为运营商从网络侧切断恶意软件传播提供数据支撑。
文档编号H04W12/12GK102510563SQ20111032242
公开日2012年6月20日 申请日期2011年10月21日 优先权日2011年10月21日
发明者周宏军, 徐大为, 祝守宇 申请人:北京西塔网络科技股份有限公司, 周宏军, 徐大为