专利名称:移动终端上网异常检测方法和装置的制作方法
技术领域:
本发明涉及移动通信技术,尤其涉及一种移动终端上网异常检测方法和装置。
背景技术:
随着智能手机的广泛应用,手机已由单纯的通讯工具发展成为媒体内容的主要载体之一,手机用户也越来越多的通过移动终端来访问各种网络业务,特别是随着移动网络的发展,移动终端已成为人们浏览互联网,以及获取网上资源的主要设备。但是,随着智能移动终端的发展,针对移动终端的恶意软件开始出现并快速蔓延,不法分子利用这些恶意软件窃取用户隐私或执行恶意操作,危害用户利益和网络安全。其中,针对移动终端的恶意程序中,对运营商和用户危害最大的是手机僵尸网络病毒,手机僵尸网络是指通过各种手段在大量手机中植入恶意程序,从而在控制者和被恶意程序感染的手机之间所形成的可一对多控制的手机网络。与传统意义上的移动终端恶意软件相比,手机僵尸网络的危害性更大,手机僵尸网络的控制者通过对所控制手机发送命令,控制手机进行各种有害行为。这些行为除了包含传统手机恶意软件存在的行为,如窃取用户手机中的各种信息及隐私数据、联网下载恶意程序、发送垃圾短信、订购高额服务提供商SP (Service Provider, SP)服务等,还包括一些手机僵尸网络特有的行为,例如发动针对用户手机的短信分布式拒绝服务攻击(Distributed Denial of service,DD0S)攻击,针对某个网站服务器或邮件服务器的DDOS攻击等。目前,针对手机僵尸网络病毒的治理技术非常有效,通常的做法是事后的终端杀毒,以及使用基于互联网的病毒检测机制,例如特征匹配机制、流量统计检测机制、域名系统(Domain Name System, DNS)检测机制、蜜罐检测机制,对这些恶意程序进行处理。但是,终端杀毒的办法不能阻止病毒扩散,减少用户的损失;而基于互联网的僵尸网络检测技术是基于传统互联网的,即在互联网侧进行检测,由于移动终端是通过移动网络中的网关GPRS支持节点(Gateway GPRS Support Node,GGSN)分配IP地址接入互联网, 在互联网侧监测时仅可以获得通信双方的IP地址,而无法获得移动终端的地址,如移动用户的手机号码,从而无法确定哪个移动终端的上网行为,也就无法确定是否移动终端被植入了恶意软件,无法及时提醒用户,减少用户的经济损失。
发明内容
本发明提供一种移动终端上网异常检测方法和装置,可有效克服现有技术存在的问题。本发明提供一种移动终端上网异常检测方法,包括检测当前网络流量,从当前网络流量中获得主叫号码以及所述主叫号码所要访问的目标地址;从网址表中查询所述目标地址的属性,所述网址表包括预设的网页地址,以及预设的网页地址的属性;
根据所述目标地址的属性,确定所述主叫号码对应的移动终端是否出现上网异
堂
巾ο本发明提供一种移动终端上网异常检测装置,包括地址获取模块,用于检测当前网络流量,从当前网络流量中获得主叫号码以及所述主叫号码所要访问的目标地址;属性查询模块,用于从预设的网址表中查询所述目标地址的属性,所述网址表包括预设的目标地址,以及预设的目标地址的属性;异常检测模块,用于根据所述目标地址的属性,确定所述主叫号码对应的移动终端是否出现上网异常。本发明提供的移动终端上网异常检测方法和装置,通过获取移动终端用户的主叫号码以及所要访问的目标地址的属性,可基于该目标地址的属性来确定主叫号码对应的移动终端的上网行为是否异常,从而可对主叫号码对应的移动终端是否出现上网异常做出判断,由于上网异常检测是基于主叫号码进行,可便于对移动用户上网异常进行检测,可适用于移动用户的网上异常检测,可保证能够及早发现手机僵尸网络等移动恶意软件,并对用户进行提醒,从而避免或减少用户的经济损失,提高移动终端上网的安全性和可靠性。
图1为本发明实施例一提供的移动终端上网异常检测方法的流程示意图;图2为本发明实施例二提供的移动终端上网异常检测方法的流程示意图;图3为本发明实施例三提供的移动终端上网异常检测装置的结构示意图;图4为本发明实施例四提供的移动终端上网异常检测装置的结构示意图;图5为本发明实施五提供的移动终端上网异常检测装置的结构示意图;图6为本发明实施例六提供的移动终端上网异常检测装置的结构示意图。
具体实施例方式图1为本发明实施例一提供的移动终端上网异常检测方法的流程示意图。本实施例检测方法为部署于移动网的核心网上,可对移动终端用户通过核心网访问互联网进行检测,以检测移动终端上网行为,确定移动终端上网是否异常,具体地,如图1所示,本实施例移动终端上网异常检测方法可包括以下步骤步骤101、移动终端上网异常检测装置检测当前网络流量,获得主叫号码以及主叫号码所要访问的目标地址;步骤102、移动终端上网异常检测装置从预设的网址表中查询该目标地址的属性, 该网址表包括预设的目标地址,以及预设的目标地址的属性;步骤103、移动终端上网异常检测装置根据目标地址的属性,确定主叫号码对应的移动终端是否出现上网异常。本实施例可应用于移动终端上网异常的检测中,具体地,移动终端上网异常检测装置可通过检测网络流量,获取移动终端用户的主叫号码,并通过预设的网址表来查询得到主叫号码所要访问的目标地址的属性,以确定该目标地址是否异常,从而可确定主叫号码对应的移动终端是否出现上网异常,其中,网址表中预设的目标地址具体可以是限制访问的网页以及允许访问的网页,相应的目标地址的属性可以是异常或正常。本领域技术人员可以理解,上述的主叫号码是移动网络中,分配给用户的唯一标识,用户通过移动终端访问互联网时,也是通过该主叫号码发起通信连接,具体地,该主叫号码可以是手机号等移动网络中用于表示用户身份的标识。主叫号码所要访问的目标地址也就是主叫号码对应的移动终端用户发起的上网行为所要访问的目标地址。本领域技术人员可以理解,当检测到主叫号码针对一目标地址发起的上网行为异常时,可主动将主叫号码访问该目标地址的上网请求中断,避免对用户产生影响。本实施例中,当检测到移动终端的上网异常时,还可向主叫号码对应的移动终端发送预警信息,以通知移动终端用户上网异常,便于移动终端用户对其上网行为进行处理, 例如,可将该网页加入黑名单,限制访问等。具体地,向移动终端发送预警信息,可以是向移动终端发送短信息的方式,该短信息可包含提醒信息,例如恶意的目标地址,以及处理方式等;或者也可以是向移动终端发起通话连接,以电话通知的方式,来向移动终端用户发送预警信息,通知移动终端用户对异常上网行为进行及时处理。综上,本发明实施例提供的移动终端上网异常检测方法,通过获取移动终端用户的主叫号码以及所要访问的目标地址的属性,可基于该目标地址的属性来确定主叫号码对应的移动终端的上网行为是否异常,从而可对主叫号码对应的移动终端是否出现上网异常做出判断,由于上网异常检测是基于主叫号码进行,可便于对移动用户上网异常进行检测, 可适用于移动用户的网上异常检测,可保证能够及早发现手机僵尸网络等移动恶意软件, 并对用户进行提醒,从而避免或减少用户的经济损失,提高移动终端上网的安全性和可靠性。图2为本发明实施例二提供的移动终端上网异常检测方法的流程示意图。如图2 所示,本实施例移动终端上网异常检测方法可包括以下步骤步骤201、检测当前用户网络流量,获得主叫号码以及主叫号码所要访问的目标地址;步骤202、判断主叫号码所要访问的目标地址是否与预设的网址表中预设的目标地址相同,是则执行步骤203,否则,执行步骤204 ;步骤203、从网址表中获取该目标地址的属性,判断该目标地址的属性是否异常, 是则执行步骤209,否则,该目标地址的属性为正常,表示主叫号码对应的移动终端用户的上网行为正常,结束;步骤204、统计针对该目标地址的访问次数;步骤205、判断针对该目标地址的访问次数是否大于预设阈值,是则执行步骤 206,否则结束;步骤206、检查主叫号码对应的移动终端上传的数据中是否包含隐私信息,是则执行步骤207,否则,执行步骤208 ;步骤207、将该目标地址的属性设置为异常,并加入到网址表中,结束;步骤208、通知用户确定该目标地址是否异常,是则将该目标地址的属性设置为异常并加入到网址表中,结束,否则,将该目标地址的属性设置为正常并加入到网址表中,结
束ο步骤209、确定该主叫号码对应的移动终端出现上网异常,发送预警信息给主叫号码对应的移动终端。本实施例中,在对移动终端用户的上网行为进行检测前,可预先设置网址表,该网址表中包括属性为正常和异常的两类目标地址,其中,网址表中的各目标地址可根据经验获得的,以表明目标地址是恶意的或正常的,恶意的目标地址可将其属性设置为异常,否则设置为正常。实际应用中,在对移动终端用户的上网行为进行检测前,可根据人工验证,将验证的目标地址加入网址表中,并分别将目标地址的属性设置为正常或异常,正常表示相应的网页资源无恶意,用户可正常访问,异常表示相应的网页资源为恶意网页资源,用户访问可能会泄露信息以及感染病毒。本领域技术人员可以理解,网址表中除了记录目标地址及其属性外,还可记录有目标地址的描述信息,以便为用户或管理人员提供参考;且目标地址的属性可用数字或符合代替,例如,目标地址的属性为0可表示正常,为1时表示异常。具体地,对于移动用户访问量排名较高的网站,例如谷歌、网易等,可将其统一资源定位符(Uniform Resource Locator, URL)及IP地址作为目标地址加入网址表中,并将这些目标地址的属性设置为正常,以便移动终端用户访问该些网址时,可直接放行;对于已经被用户投诉为恶意网站,可将这些网站的URL及IP地址作为目标地址加入网址表中,并将这些目标地址的属性设置为异常,以便移动终端用户访问该些网址时,可直接限制其访问,以保护移动终端免遭网络攻击或感染恶意程序。本实施例中,上述的目标地址可以是URL或IP地址,该目标地址是因特网上标准的资源的地址。实际应用中,可以通过散列计算得到目标地址对应的散列值,并可将该散列值及目标地址存储在网址表中,由于散列值易于运算和存储,因此,通过散列计算,可以有效提高目标地址查询的速度和效果。本实施例中,散列计算通常有两种第一种是对整个目标地址做散列,一个网址对应着一个散列值,该方法对长度较短的散列对象有效;第二种是对目标地址的若干个字节子序列做散列,一个目标地址对应着一个散列值的集合,该方法对长度较大的散列对象比较有效。考虑到目标地址长度较小(一般不超过40字节),本实施例中采用第一种散列计算方法。上述步骤201中,获得主叫号码所要访问的目标地址,具体可以计算得到该目标地址的散列值,然后根据该散列值查询是否存在于网址表中。上述步骤202中,判断主叫号码所要访问的目标地址是否存在于网址表中,具体可以通过散列值来查询网址表,确定该目标地址的散列值是否存在于网址表中,若该目标地址的散列值存储于网址表中,则说明该目标地址为网址表中预设的目标地址。上述步骤203中,判断目标地址为网址表中的地址时,即可从网址表中获得该目标地址的属性,若目标地址的属性为正常,说明主叫号码所要访问的目标地址是安全的,就可以放行该次流量,允许移动终端用户对该目标地址的访问,结束,否则,说明该目标地址是恶意的、不安全的目标地址,可确定该主叫号码对应的移动终端用户的上网行为异常,并可通知移动终端用户进行处理。上述步骤204中,当目标地址不存在于网址表,即网址表不存在该目标地址时,则可对该目标地址出现的次数进行统计。若第一次出现,则可将次数设置为1 ;若非第一次出现,依次累加出现次数,至到该目标地址出现次数超过预设阈值时,确定该目标地址是否恶意或正常。该目标地址出现的次数,可不限于一个主叫号码发所要访问的次数,可以是移动网络中所有用户的主叫号码针对该目标地址的访问次数。实际应用中,统计该目标地址的次数过程中,若该目标地址第一次出现,可将该目标地址的属性设置为可疑,并将次数设置为1,并可保存在网址表中,在后续继续监控到有用户访问该目标地址时,可从网址表中确认该目标地址的属性为可疑时,就可以在原有统计次数的基础上进行累加,至到出现次数达到预设阈值。上述步骤206中,当判断目标地址出现次数超过预设阈值时,则可检查该主叫号码对应的移动终端的用户的上行数据中是否包含有隐私信息,以确定该目标地址是否恶意,其中,隐私信息具体可包括国际移动用户识别码(International Mobile Subscriber Identification Number, IMSI)、用户的电话号码薄、用户的电子邮件、用户的短信息中的一个或多个。由于仅从目标地址出现的频率上并不能区分目标地址是恶意的网页资源还是正常的网页资源,因此,可对用户上传的数据中的信息进行分析,以确定目标地址是否异常。 具体地,假设用户上传的信息中满足如下任意条件;(1) 15位数字,例如前几位数字包括4600 ;(2)含有大量11位手机号码,如130开头的11位数字,或者189开头的11位数字等;(3)在非简单邮件传输协议(Simple Mail Transfer Protocol, SMTP)、邮局协议 (Post Office Protocol, POP)、交互式邮件存取协议(Internet Mail Access Protocol, IMAP)协议中含有邮件地址的信息,其中,SMTP、POP、IMAP协议信息可以通过解析流量中的
目标端口号获得。当主叫号码对应的移动终端的用户上传的数据信息中包括上述任一条件时,就说明用户的上行数据中包括隐私信息,就可以将该目标地址确认为恶意网页,否则,确认为正常网页。上述步骤207中,当确定主叫号码对应的移动终端的用户针对该目标地址上传的数据包包含隐私信息时,即可确定该目标地址为恶意的,可在网址表中将其属性设置为异常,以待下次有主叫号码访问的该目标地址时可基于该新更新的网址表进行判断。上述步骤208中,当确定主叫号码对应的移动终端的用户对该目标地址上传的数据包不包含隐私信息时,可将该目标地址发送给用户或管理者,由用户或管理者进行人工判定,以确定该目标地址是否恶意,是则在网址表中将该目标地址的属性设置为异常,否则,将该目标地址的属性设置为正常。本领域技术人员可以理解,本实施例提供的上网异常检测方法可在移动网侧的核心网上,对移动终端的上网行为进行检测,以确定移动终端的上网行为是否异常,并检测到移动终端上网异常时通知移动终端用户及时处理,例如移动终端用户可根据通知,确认上网异常时可停止上网,或者查看移动终端内是否有恶意程序。此外,当检测到移动终端出现上网异常时,也可通过切断移动终端的上网行为,以避免移动终端用户损失。图3为本发明实施例三提供的移动终端上网异常检测装置的结构示意图。本实施例移动终端上网异常检测装置可执行上述本发明实施例移动终端上网异常检测方法中,对移动终端的上网进行检测,确定移动终端的上网行为是否异常,具体地,如图3所示,本实施例异常检测装置包括地址获取模块1、属性查询模块2和异常检测模块3,其中地址获取模块1,用于检测当前网络流量,获得主叫号码以及主叫号码所要访问的目标地址;属性查询模块2,与地址获取模块1连接,用于从预设的网址表中查询该目标地址的属性,网址表包括预设的目标地址,以及预设的目标地址的属性;异常检测模块3,与属性查询模块2连接,用于根据目标地址的属性,确定主叫号码对应的移动终端是否出现上网异常。本实施例可用于移动终端用户上网行为的检测中,以确定移动终端用户上网行为是否异常,其具体实现过程可参见上述本发明方法实施例的说明,在此不再赘述。本实施例移动终端上网异常检测装置可部署于移动网络的核心网上,具体地,可部署于GPRS服务支持节点(Serving GPRS SUPPORT N0DE,SGSN)和GGSN之间通信链路上, 作为该通信链路的旁路,对移动终端用户的上网行为进行检测,这样,就不会影响移动网络的核心网的正常工作。图4为本发明实施例四提供的移动终端上网异常检测装置的结构示意图。与上述图3所示实施例技术方案不同的是,如图4所示,本实施例装置还可包括预警模块4,与异常检测模块3连接,用于在确定移动终端上网异常时,向主叫号码对应的移动终端发送预警 fn息ο本实施例中,通过设置预警模块4可及时向移动终端用户发送预警信息,便于用户及时获得其上网异常信息,使得用户可及时对其异常上网行为进行处理,避免感染恶意程序,其具体实现可参见上述本发明方法实施例的说明,在此不再赘述。图5为本发明实施五提供的移动终端上网异常检测装置的结构示意图。如图5所示,上述图4所示的异常检测模块3具体可包括第一判断单元31和异常检测单元32,其中第一判断单元31,用于判断目标地址的属性是否异常;异常检测单元32,用于判断目标地址的属性异常时,确定主叫号码对应的移动终端上网异常,否则,主叫号码对应的移动终端上网正常。本实施例中,预设的网址表中预设的目标地址的属性可包括正常和异常,当预设的目标地址为异常时,则说明该目标地址是恶意的网页,限制用户访问,否则说明预设的目标地址正常,用户可正常访问。因此,通过从网址表中获取该目标地址的属性,就可以确定用户的上网行为是否异常。其具体实现过程可参见上述本发明方法实施例的说明,在此不再赘述。图6为本发明实施例六提供的移动终端上网异常检测装置的结构示意图。本实施例中,所述的属性查询模块2具体可用于判断目标地址是否与预设的网址表中预设的目标地址相同,是则从目标地址中获得所述目标地址的属性;进一步地,该检测装置还可包括访问次数统计模块5和异常判断模块6,其中访问次数统计模块5,用于属性查询模块2查询该目标地址与网址表中的任一预设的目标地址均不相同时,统计目标地址的访问次数;异常判断模块6,用于判断目标地址的访问次数超过预设阈值时,检查主叫号码上传的数据中是否包含隐私信息,是则将该目标地址的属性设置为异常,并加入到网址表中, 其中,所述的隐私信息具体可包括IMSI、用户的电话号码薄、用户的电子邮件、用户的短信息中的一个或多个。进一步地,本实施例中,异常判断模块6还可用于判断目标地址的访问次数超过预设阈值,且主叫号码上传的数据中不包含隐私信息时,通知用户进行检测是否异常,是则将目标地址的属性设置为异常,否则,将目标地址的属性设置为正常。本实施例可对未在网址表中设置的目标地址进行处理,以便确定该目标地址是否异常,并可加入到网址表中,以便对用户的后续访问进行处理,其具体实现过程可参见上述本发明方法实施例的说明,在此不再赘述。本领域普通技术人员可以理解实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上各实施例仅用以说明本发明的技术方案,而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种移动终端上网异常检测方法,其特征在于,包括检测当前网络流量,从当前网络流量中获得主叫号码以及所述主叫号码所要访问的目标地址;从预设的网址表中查询所述目标地址的属性,所述网址表包括预设的目标地址,以及预设的目标地址的属性;根据所述目标地址的属性,确定所述主叫号码对应的移动终端是否出现上网异常。
2.根据权利要求1所述的移动终端上网异常检测方法,其特征在于,确定所述主叫号码对应的移动终端出现上网异常时,还包括向所述主叫号码对应的移动终端发送预警信息。
3.根据权利要求2所述的移动终端上网异常检测方法,其特征在于,所述向所述主叫号码对应的移动终端发送预警信息具体包括向所述主叫号码对应的移动终端发送作为预警信息的短信息;或者,向所述主叫号码对应的移动终端发起通话连接,以作为预警信息通知用户。
4.根据权利要求1所述的移动终端上网异常检测方法,其特征在于,所述目标地址的属性包括正常和异常;所述根据所述目标地址的属性,确定所述主叫号码对应的移动终端是否出现上网异常包括判断所述目标地址的属性是否异常,是则确定所述主叫号码对应的移动终端上网异常,否则,所述主叫号码对应的移动终端上网正常。
5.根据权利要求1或4所述的移动终端上网异常检测方法,其特征在于,所述从预设的网址表中查询所述目标地址的属性包括判断所述目标地址是否与预设的网址表中预设的目标地址相同,是则从所述目标地址中获得所述目标地址的属性。
6.根据权利要求5所述的移动终端上网异常检测方法,其特征在于,还包括所述目标地址与所述网址表中的任一预设的目标地址均不相同时,统计所述目标地址的访问次数;判断所述目标地址的访问次数超过预设阈值时,检查所述主叫号码上传的数据中是否包含隐私信息,是则将所述目标地址的属性设置为异常,并加入到所述网址表中;所述隐私信息包括IMSI、IMEI、用户的电话号码薄、用户的电子邮件、用户的短信息中的一个或多个。
7.根据权利要求6所述的移动终端上网异常检测方法,其特征在于,还包括判断所述目标地址的访问次数超过预设阈值,且所述主叫号码上传的数据中不包含隐私信息时,通知用户检测所述目标地址是否异常,是则将所述目标地址的属性设置为异常并加入所述网址表中,否则,将所述目标地址的属性设置为正常并加入到所述网址表中。
8.一种移动终端上网异常检测装置,其特征在于,包括地址获取模块,用于检测当前网络流量,从当前网络流量中获得主叫号码以及所述主叫号码所要访问的目标地址;属性查询模块,用于从预设的网址表中查询所述目标地址的属性,所述网址表包括预设的目标地址,以及预设的目标地址的属性;异常检测模块,用于根据所述目标地址的属性,确定所述主叫号码对应的移动终端是否出现上网异常。
9.根据权利要求8所述的移动终端上网异常检测装置,其特征在于,还包括预警模块,用于确定所述主叫号码对应的移动终端出现上网异常时,向所述主叫号码对应的移动终端发送预警信息。
10.根据权利要求8所述的移动终端上网异常检测装置,其特征在于,所述异常检测模块包括第一判断单元,用于判断所述目标地址的属性是否异常;异常检测单元,用于判断所述目标地址的属性异常时,确定所述主叫号码对应的移动终端上网异常,否则,所述主叫号码对应的移动终端上网正常;其中,所述网址表中预设的目标地址的属性包括正常和异常。
11.根据权利要求8或9所述的移动终端上网异常检测装置,其特征在于,所述属性查询模块具体用于判断所述目标地址是否与预设的网址表中预设的目标地址相同,是则从所述目标地址中获得所述目标地址的属性。
12.根据权利要求11所述的移动终端上网异常检测装置,其特征在于,还包括访问次数统计模块,用于所述目标地址与所述网址表中的任一预设的目标地址均不相同时,统计所述目标地址的访问次数;异常判断模块,用于判断所述目标地址的访问次数超过预设阈值时,检查所述主叫号码上传的数据中是否包含隐私信息,是则将所述目标地址的属性设置为异常,并加入到所述网址表中;所述隐私信息包括IMSI、IMEI、用户的电话号码薄、用户的电子邮件、用户的短信息中的一个或多个。
13.根据权利要求12所述的移动终端上网异常检测装置,其特征在于,所述异常判断模块,还用于判断所述目标地址的访问次数超过预设阈值,且所述主叫号码上传的数据中不包含隐私信息时,通知用户进行检测是否异常,是则将所述目标地址的属性设置为异常并加入所述网址表中,否则,将所述目标地址的属性设置为正常并加入到所述网址表中。
全文摘要
本发明提供一种移动终端上网异常检测方法和装置。该方法包括检测当前网络流量,获得主叫号码以及所述主叫号码所要访问的目标地址;从预设的网址表中查询所述目标地址的属性,所述网址表包括预设的目标地址,以及预设的目标地址的属性;根据所述目标地址的属性,确定所述主叫号码对应的移动终端是否出现上网异常。本发明技术方案可有效对移动终端用户的上网异常行为进行检测,确定移动终端是否出现上网异常。
文档编号H04W24/00GK102404741SQ20111039199
公开日2012年4月4日 申请日期2011年11月30日 优先权日2011年11月30日
发明者张尼, 王志军, 黄文良 申请人:中国联合网络通信集团有限公司