专利名称:一种移动互联网中僵尸木马防护方法及其系统的制作方法
技术领域:
本发明涉及信息安全领域,特别涉及一种移动互联网中僵尸木马防护方法及其系统。
背景技术:
木马是一种远程黑客控制工具,一旦用户感染了木马,用户计算机上的信息将暴露于黑客面前。木马技术主要采用的是一种一对一的控制技术,即黑客控制感染木马的计算机,主要目的是窃取客户计算机上的信息。相比于传统木马技术,僵尸网络是在传统计算机病毒、木马和蠕虫技术基础上发展起来的一个分布式的网络攻击平台。它借助于IRC、HTTP、P2P等技术,将多台僵尸机组成一个受控的大规模僵尸网络。利用这个受控的僵尸网络作为攻击平台,一方面这个攻击平台可以作为窃取用户信息的来源,如用户即时通讯账号和密码,另一方面也是黑客发动网络攻击的理想平台。由于控制了大量僵尸机,黑客可以轻易发动大规模DDOS攻击,也可以发动扫描攻击以招募新成员从而进一步扩大僵尸网络的规模。僵尸网络主要包括三个方面,一是僵尸机,二是控制端,三是用于僵尸机和控制端通信的命令与控制通道。当一台正常的计算机被攻击者控制后即成为僵尸机并加入到僵尸网络中,僵尸机会定期或不定期与控制者通过命令与控制通道联系并获取控制者的攻击指令,实现诸如对一个或多个目标发动异常流量攻击等。目前僵尸网络已经成为互联网上最主要的网络攻击手段。3G网络牌照的发放及部署,为移动互联网的发展奠定了坚实的基础,移动互联网的用户数规模呈现高速发展的态势。随着移动互联网智能终端的普及,手机恶意代码开始出现并快速蔓延。由于手机恶意代码可以带来比计算机恶意代码更大的经济利益,而且手机中往往包含有更多的用户隐私信息,与用户关系更为紧密,因此编写和散播手机恶意代码更为黑客所青睐。加之许多用户在使用手机时的安全意识非常薄弱,移动互联网面临的安全问题将比传统互联网更为严峻。“毒媒”木马全年累计感染约200多万个用户手机,“手机骷髅”病毒累计感染83万余个用户手机。“X卧底”手机木马更具破坏性,一旦被感染,所有短信、通话记录、联系人、联系时间,甚至通话等均被监控。相比于传统基于性能更强的个人计算机的僵尸木马,移动智能僵尸木马的设计新特性将使传统检测方法失效。移动智能僵尸木马的设计新特性主要包括(1)低耗电设计,用户终端的日常耗电量一般具有规律性,如果移动僵尸木马消耗用户终端电池电量过于明显,则非常容易被用户发现,导致用户采用重装系统等办法来移除僵尸木马程序。(2)用户花费,由于目前移动智能终端上网费用仍旧比较高,用户可通过运营商账单获知其详细费用,如果由于僵尸木马活动频繁导致其费用偏高,则用户非常容易发现。因此,移动僵尸木马将采用更加隐蔽的技术来避免被用户发现,其活动将更加难以被发现。这样,传统检测系统就难以搜集到足够的信息,检测难度极大。
发明内容
6
本发明的目的是针对移动互联网中僵尸木马的防护问题,提供一种防护方法及其系统,一方面可以及时发现与防护移动终端上的僵尸木马程序,另一方面可以及时发现与防护僵尸木马程序在移动终端上的恶意活动。通过对移动终端僵尸木马的防护,可以有效保护移动终端上的用户个人信息。本发明的目的是通过以下技术方案实现的
本发明的一种移动互联网中僵尸木马防护方法,包括如下步骤步骤Si,捕获移动互联网用户上网网络数据包;步骤S2,进行移动僵尸木马检测;步骤S3,进行移动僵尸木马活动检测;
步骤S4,对发现的移动僵尸木马和移动僵尸木马活动进行告警和防护处理。其中,对移动僵尸木马的检测可以利用移动僵尸木马特征码和/或移动僵尸木马行为特征模型进行检测;对移动僵尸木马活动的检测可以利用移动僵尸木马活动特征码和/或移动僵尸木马行为活动特征模型进行检测。本发明的一种移动互联网中僵尸木马防护系统,包括如下模块
网络数据包捕获模块,用于捕获移动互联网用户上网的网络数据包,将捕获的网络数据包交由移动僵尸木马检测模块和移动僵尸木马活动检测模块进行检测;
移动僵尸木马检测模块,用于对移动僵尸木马的检测,首先将捕获的网络数据包与已知移动僵尸木马特征码进行匹配,如果匹配成功,则结束对移动僵尸木马的检测,如果匹配不成功,则提取其行为特征,将其与移动僵尸木马行为特征模型进行匹配,如果匹配成功,则将其加入到移动僵尸木马库中,如果匹配不成功,则结束对移动僵尸木马的检测;
移动僵尸木马活动检测模块,用于对移动僵尸木马活动的检测,首先将捕获的网络数据包或者来自于移动僵尸木马库中的网络数据包与已知移动僵尸木马活动特征码进行匹配,如果匹配成功,则将检测到的移动僵尸木马活动加入到移动僵尸木马活动库中,如果匹配不成功,则进行异常网络数据流检测,如果检测到异常网络数据流,则将其加入到移动僵尸木马活动库中,如果没有检测到异常网络数据流,则结束对移动僵尸木马活动的检测;
移动僵尸木马告警与防护模块,用于对发现的移动僵尸木马或者移动僵尸木马活动进行告警与防护,告警的方式可以是短信或者邮件的方式,对正在进行的窃取用户个人信息的可疑行为进行上报并及时进行阻断。由于本发明采用了以上的技术方案,因此本发明可以达到以下的有益效果
1、本发明可有效检测已知移动僵尸木马并具备检测未知移动僵尸木马的能力。移动僵尸木马具有比传统计算机僵尸木马更加隐秘的通信方式以降低耗电量和减少通信量,本发明采用基于统计的移动僵尸木马隐藏命令与控制通道检测方法,结合移动僵尸木马行为特征模型进行检测,可有效提高检测率,同时降低误报率。2、本发明可有效检测已知移动僵尸木马活动并具备检测未知移动僵尸木马活动的能力,通过检测窃取用户资料的异常网络数据流,实现了对用户个人信息的保护。
图1为本发明的一种移动互联网中僵尸木马防护方法的工作流程图。图2为本发明的一种移动互联网中僵尸木马防护方法的移动僵尸木马检测步骤的流程图。图3为本发明的一种移动互联网中僵尸木马防护方法的移动僵尸木马隐藏命令与控制通道检测步骤的流程图。图4为本发明的一种移动互联网中僵尸木马防护方法的移动僵尸木马活动检测步骤的流程图。图5为本发明的一种移动互联网中僵尸木马防护系统的一种部署方式示意图。图6为本发明的一种移动互联网中僵尸木马防护系统的另一种部署方式示意图。
具体实施例方式下面结合附图详细说明本发明的一种移动互联网中僵尸木马防护方法及其系统。如图1所示,本发明的一种移动互联网中僵尸木马防护方法包括如下步骤步骤Si,捕获移动互联网用户上网网络数据包;
步骤S2,进行移动僵尸木马检测;步骤S3,进行移动僵尸木马活动检测;
步骤S4,对发现的移动僵尸木马和移动僵尸木马活动进行告警和防护处理。其中,对移动僵尸木马的检测可以利用移动僵尸木马特征码和/或移动僵尸木马行为特征模型进行检测;对移动僵尸木马活动的检测可以利用移动僵尸木马活动特征码和/或移动僵尸木马行为活动特征模型进行检测。具体的,在上述的步骤S2中,如图2所示,进行移动僵尸木马检测的步骤包括步骤S21,接收网络数据包;步骤S22,利用移动僵尸木马特征码库判断网络数据包是否与已知移动僵尸木马特征相匹配,如果网络数据包与已知移动僵尸木马特征相匹配,则结束步骤S2,如果网络数据包与已知移动僵尸木马特征不匹配,则转到步骤S23 ;步骤S23,进行移动僵尸木马行为特征的检测,如果检测到移动僵尸木马行为,则转到步骤S24,如果没有检测到移动僵尸木马行为,则结束步骤S2 ;对移动僵尸木马行为特征的检测包括对移动僵尸木马隐藏命令与控制通道的检测和/或对移动僵尸木马活动特征的检测,对移动僵尸木马隐藏命令与控制通道的检测采用特征码检测和/或行为检测的检测方法,对移动僵尸木马活动特征的检测采用特征码检测和/或异常网络数据流检测的检测方法;步骤S24,将检测到的移动僵尸木马行为添加到移动僵尸木马行为特征库中;步骤S25,判断移动僵尸木马行为特征库中的行为特征是否匹配移动僵尸木马行为模型,如果移动僵尸木马行为特征库中的行为特征匹配移动僵尸木马行为模型,则转到步骤S26,如果移动僵尸木马行为特征库中的行为特征不匹配移动僵尸木马行为模型,则结束步骤S2 ;移动僵尸木马行为模型为
η
= ¥/χJdeiea(JT),
其中ι力命令与控制通道的权重;Jttert(Z)为是否检测到移动僵尸木马隐藏命令与控制通道的检测函数,如果成功检测到移动僵尸木马隐藏命令与控制通道其值为1,否则为0 ;4为检测到的恶意事件,如果检测到恶意事件其值为1,否则为0 为权重;步骤S26,将成功检测到的移动僵尸木马添加到移动僵尸木马库中;步骤S27,将成功检测到的移动僵尸木马进行告警。具体的,在上述的步骤S23中,如图3所示,对移动僵尸木马隐藏命令与控制通道的检测步骤包括步骤S231,提取网络数据包源IP地址;步骤S232,判断网络数据包源IP地址是否是已知的源IP地址,如果是已知的源IP地址,则转到步骤S233,如果是新的源IP地址,则转到步骤S234 ;步骤S233,源IP地址计数器加1,然后转到步骤S235 ;步骤S234,增加一个新的源IP地址,源IP地址计数器置1 ;步骤S235,提取网络数据包目标端口号;步骤S236,判断网络数据包目标端口号是否是已知的目标端口号,如果是已知的目标端口号,则转到步骤S237,如果是新的目标端口号,则转到步骤S238 ;步骤S237,目标端口号计数器加1,然后转到步骤S239 ;步骤S238,增加一个新的目标端口号,目标端口号计数器置1 ;步骤S239,提取网络数据包目标IP地址;步骤S2310,判断网络数据包目标IP地址是否是已知的目标IP地址,如果是已知的目标IP地址,则转到步骤S2311,如果是新的目标IP地址,则转到步骤S2312 ;步骤S2311,目标IP地址计数器加1,然后转到步骤S2313 ;步骤S2312,增加一个新的目标IP地址,目标IP地址计数器置1 ;步骤S2313,计算数据包出现概率,计算方法为用数据包目标IP地址计数器内的数值除以源IP地址计数器内的数值;步骤S2314,计算数据包分数,计算方法为用-1乘以数据包出现概率的对数;步骤S2315,判断数据包分数是否大于一个给定的阈值,如果数据包分数大于一个给定的阈值,则转到步骤S2316,如果数据包分数不大于一个给定的阈值,则结束对移动僵尸木马隐藏命令与控制通道进行检测的步骤,其中给定的阈值根据网络环境的不同而有所不同;步骤S2316,检测到移动僵尸木马隐藏命令与控制通道,结束对移动僵尸木马隐藏命令与控制通道进行检测的步骤。由于手机恶意代码可以带来比计算机恶意代码更大的经济利益,而且手机中往往包含有更多的用户隐私信息,与用户关系更为紧密。因此编写和散播手机恶意代码的最主要目的是窃取用户个人信息,如用户通话记录、电话薄、短信内容、用户文件等。因此,本发明重点检测上传用户资料的异常网络数据流。本发明采用先建立正常网络数据流模型,然后将待检测数据流与正常网络数据流模型进行比较,如果待检测数据流偏离正常网络数据流模型超过一个给定的阈值,则说明待检测网络数据流为异常网络数据流,否则为正常网络数据流。在上述的步骤S23中,异常网络数据流检测的步骤包括
1)对捕获的网络数据流按目标IP地址进行分类,计算 时刻流向每一个IP地址数据流中包含的以字节为单位的字节数,其计算公式为
权利要求
1.一种移动互联网中僵尸木马防护方法,其特征在于,包括如下步骤步骤Si,捕获移动互联网用户上网网络数据包;步骤S2,利用移动僵尸木马特征码和/或移动僵尸木马行为特征模型进行移动僵尸木马的检测;步骤S3,利用移动僵尸木马活动特征码和/或移动僵尸木马行为活动特征模型进行移动僵尸木马活动的检测;步骤S4,对发现的移动僵尸木马和移动僵尸木马活动进行告警和防护处理。
2.如权利要求1所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的进行移动僵尸木马检测的步骤包括步骤S21,接收网络数据包;步骤S22,利用移动僵尸木马特征码库判断网络数据包是否与已知移动僵尸木马特征相匹配,如果网络数据包与已知移动僵尸木马特征相匹配,则结束步骤S2,如果网络数据包与已知移动僵尸木马特征不匹配,则转到步骤S23 ;步骤S23,进行移动僵尸木马行为特征的检测,如果检测到移动僵尸木马行为,则转到步骤S24,如果没有检测到移动僵尸木马行为,则结束步骤S2 ;步骤S24,将检测到的移动僵尸木马行为添加到移动僵尸木马行为特征库中;步骤S25,判断移动僵尸木马行为特征库中的行为特征是否匹配移动僵尸木马行为模型,如果移动僵尸木马行为特征库中的行为特征匹配移动僵尸木马行为模型,则转到步骤S26,如果移动僵尸木马行为特征库中的行为特征不匹配移动僵尸木马行为模型,则结束步骤S2 ;移动僵尸木马行为模型为其中,巧为命令与控制通道的权重-J-JX)为是否检测到移动僵尸木马隐藏命令与控制通道的检测函数,如果成功检测到移动僵尸木马隐藏命令与控制通道其值为1,否则为0 为检测到的恶意事件,如果检测到恶意事件其值为1,否则为0 为权重;步骤S26,将成功检测到的移动僵尸木马添加到移动僵尸木马库中;步骤S27,将成功检测到的移动僵尸木马进行告警。
3.如权利要求2所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的移动僵尸木马行为特征的检测包括对移动僵尸木马隐藏命令与控制通道的检测和/或对移动僵尸木马活动特征的检测。
4.如权利要求3所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的移动僵尸木马隐藏命令与控制通道的检测采用特征码检测和/或行为检测的检测方法。
5.如权利要求3所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的移动僵尸木马活动特征的检测采用特征码检测和/或异常网络数据流检测的检测方法。
6.如权利要求3所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的移动僵尸木马隐藏命令与控制通道的检测步骤包括步骤S231,提取网络数据包源IP地址;步骤S232,判断网络数据包源IP地址是否是已知的源IP地址,如果是已知的源IP地址,则转到步骤S233,如果是新的源IP地址,则转到步骤S234 ;步骤S233,源IP地址计数器加1,然后转到步骤S235 ;步骤S234,增加一个新的源IP地址,源IP地址计数器置1 ;步骤S235,提取网络数据包目标端口号;步骤S236,判断网络数据包目标端口号是否是已知的目标端口号,如果是已知的目标端口号,则转到步骤S237,如果是新的目标端口号,则转到步骤S238 ;步骤S237,目标端口号计数器加1,然后转到步骤S239 ;步骤S238,增加一个新的目标端口号,目标端口号计数器置1 ;步骤S239,提取网络数据包目标IP地址;步骤S2310,判断网络数据包目标IP地址是否是已知的目标IP地址,如果是已知的目标IP地址,则转到步骤S2311,如果是新的目标IP地址,则转到步骤S2312 ;步骤S2311,目标IP地址计数器加1,然后转到步骤S2313 ;步骤S2312,增加一个新的目标IP地址,目标IP地址计数器置1 ;步骤S2313,计算数据包出现概率,计算方法为用数据包目标IP地址计数器内的数值除以源IP地址计数器内的数值;步骤S2314,计算数据包分数,计算方法为用-1乘以数据包出现概率的对数;步骤S2315,判断数据包分数是否大于一个给定的阈值,如果数据包分数大于一个给定的阈值,则转到步骤S2316,如果数据包分数不大于一个给定的阈值,则结束对移动僵尸木马隐藏命令与控制通道进行检测的步骤;步骤S2316,检测到移动僵尸木马隐藏命令与控制通道,结束对移动僵尸木马隐藏命令与控制通道进行检测的步骤。
7.如权利要求1所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的进行移动僵尸木马活动检测的步骤包括步骤S31,接收网络数据包;步骤S32,提取网络数据包IP地址;步骤S33,判断该网络数据包IP地址是否在发现的移动僵尸木马库中,是则转到步骤S34,否则结束步骤S3 ;步骤S34,将该网络数据包与已知移动僵尸木马活动库的特征码进行匹配,如果匹配成功,则转到步骤S36,否则转到步骤S35 ;步骤S35,进行异常网络数据流检测,如果检测到异常网络数据流,则转到步骤S36,否则结束步骤S3 ;步骤S36,将检测到的移动僵尸木马活动添加到移动僵尸木马活动库中;步骤S37,将成功检测到的移动僵尸木马活动进行告警。
8.如权利要求5或者7所述的一种移动互联网中僵尸木马防护方法,其特征在于,所述的异常网络数据流检测的步骤包括对捕获的网络数据流按目标IP地址进行分类,计算 时刻流向每一个IP地址数据流中包含的以字节为单位的字节数,其计算公式其中,3 为 时刻流向每一个IP地址数据流中包含的以字节为单位的字节数,~为第J个数据流流向目标地址釣的数据流中包含的以字节为单位的字节数力目标地址为釣的数据流总数;计算 时刻流向每一个IP地址应用层数据数据流净载荷中包含的以字节为单位的字节数,其计算公式为
9. 一种移动互联网中僵尸木马防护系统,其特征在于,包括如下模块网络数据包捕获模块,用于捕获移动互联网用户上网的网络数据包,将捕获的网络数据包交由移动僵尸木马检测模块和移动僵尸木马活动检测模块进行检测;移动僵尸木马检测模块,用于对移动僵尸木马的检测,首先将捕获的网络数据包与已知移动僵尸木马特征码进行匹配,如果匹配成功,则结束对移动僵尸木马的检测,如果匹配不成功,则提取其行为特征,将其与移动僵尸木马行为特征模型进行匹配,如果匹配成功,则将其加入到移动僵尸木马库中,如果匹配不成功,则结束对移动僵尸木马的检测;移动僵尸木马活动检测模块,用于对移动僵尸木马活动的检测,首先将捕获的网络数据包或者来自于移动僵尸木马库中的网络数据包与已知移动僵尸木马活动特征码进行匹配,如果匹配成功,则将检测到的移动僵尸木马活动加入到移动僵尸木马活动库中,如果匹配不成功,则进行异常网络数据流检测,如果检测到异常网络数据流,则将其加入到移动僵尸木马活动库中,如果没有检测到异常网络数据流,则结束对移动僵尸木马活动的检测;移动僵尸木马告警与防护模块,用于对发现的移动僵尸木马或者移动僵尸木马活动进行告警与防护,告警的方式可以是短信或者邮件的方式,对正在进行的窃取用户个人信息的可疑行为进行上报并及时进行阻断。
10.如权利要求9所述的一种移动互联网中僵尸木马防护系统,其特征在于,所述的移动互联网中僵尸木马防护系统部署于企事业单位接入互联网的位置。
全文摘要
一种移动互联网中僵尸木马防护方法及其系统,涉及信息安全领域。防护方法包括如下步骤步骤S1,捕获移动互联网用户上网网络数据包;步骤S2,进行移动僵尸木马检测;步骤S3,进行移动僵尸木马活动检测;步骤S4,对发现的移动僵尸木马和移动僵尸木马活动进行告警和防护处理。防护系统包括网络数据包捕获模块、移动僵尸木马检测模块、移动僵尸木马活动检测模块和移动僵尸木马告警与防护模块。本发明的一种移动互联网中僵尸木马防护方法及其系统,可有效检测已知移动僵尸木马并具备检测未知移动僵尸木马的能力,可有效检测已知移动僵尸木马活动并具备检测未知移动僵尸木马活动的能力。
文档编号H04L29/06GK102571796SQ20121000944
公开日2012年7月11日 申请日期2012年1月13日 优先权日2012年1月13日
发明者曾金全 申请人:电子科技大学