一种移动终端健康度判定方法及装置制造方法
【专利摘要】本发明提供一种移动终端健康度判定方法及装置,该方法包括:选定至少一种类型的移动终端网络侧异常通信行为;将一连续时间跨度分为若干时间段;确定每种类型的异常通信行为的发生次数在每一时间段内的分布情况;根据每种类型的异常通信行为的分布情况,计算对应于每种类型的异常通信行为的移动终端健康度;根据每种类型的异常通信行为的对应的移动终端健康度,计算最终的移动终端健康度;其中,每一时间段内的异常通信行为的发生次数越多,移动终端健康度越大;发生异常通信行为的时间段越靠近设定截止时间点,移动终端健康度越大;发生异常通信行为的时间段的数量越多,移动终端健康度越大。上述方案可对移动终端健康度进行及时、准确地判定。
【专利说明】一种移动终端健康度判定方法及装置
【技术领域】
[0001]本发明涉及移动通信、数据和终端安全以及移动数据业务【技术领域】,尤其涉及一种移动终端健康度判定方法及装置。
【背景技术】
[0002]近年来,涉及手机后门、手机病毒的安全事件频频出现,给用户带来了信息泄露、话费丢失,网络质量感知差等危害;同时给移动运营商带来无线资源和网络资源被大量占用,异常网络投诉增多的危害。研究和清除上述危害势在必行,首先任务是找到疑似受影响用户——即疑似中毒的移动终端,这要求有可靠的判定移动终端健康度的模型和方法。移动终端健康度的定义为:介于0-100%的概率值,表明移动终端受病毒、后门危害的程度,值越大表明移动终端受危害的可能性越大。
[0003]目前,对于移动终端健康度已有多种判定方法,比较通用的方法是针对病毒特征码的扫描,即通过对已确认的移动终端恶意软件提取特征码,然后以此特征码为依据去扫描检测其他终端来判定终端是否健康。也有基于对移动终端应用程序进行API检测的方法:解析应用程序调用的API,如有敏感的如发送短信、联网的API调研出现,则说明移动终端有中毒嫌疑。此类为静态的扫描法。
[0004]此外,还有基于行为的动态判定方法:如美国专利“US20100011209”介绍了一种检测终端侧应用程序动态行为的方法,通过对各种应用程序建立预期行为数据库,然后动态监测获取应用程序的动态行为并与预期行为进行对比,最终发现差异来判断的方法。此外,还有一种动态截获网络侧数据流,然后通过对数据流扫描病毒特征码判定移动终端是否感染恶意软件的方法。
[0005]现有的判定方法存在如下缺陷:
[0006]一、依赖已知病毒的特征码进行判定,对于未知病毒和新增病毒难以快速判定,效率较低;
[0007]二、依赖已知病毒的特征码进行判定,对于未知病毒和新增病毒无法判定,判定覆盖率低;
[0008]三、基于API的静态判定和扫描和基于数据流的分析无法区分善意和恶意行为,判定准确度低;
[0009]四、在移动终端侧进行判定,易受待判定移动终端上的恶意软件干扰;
[0010]五、在终端侧进行判定,收集数据和升级困难,扩展能力差。
【发明内容】
[0011]本发明的目的就是提供一种移动终端健康度判定方法及装置,基于网络侧行为数据对移动终端健康度进行及时、准确的判定。
[0012]为了解决上述问题,本发明所提供的技术方案如下:
[0013]一种移动终端健康度判定方法,包括:[0014]选定至少一种类型的移动终端网络侧异常通信行为;
[0015]将一设定起始时间点和一设定截止时间点之间的一连续时间跨度分为若干时间段;
[0016]确定每种类型的网络侧异常通信行为的发生次数在每一所述时间段内的分布情况;
[0017]根据每种类型的网络侧异常通信行为的发生次数在每一所述时间段内的分布情况,计算对应于每种类型的网络侧异常通信行为的移动终端健康度;
[0018]根据每种类型的网络侧异常通信行为的对应的移动终端健康度,计算最终的移动终端健康度;
[0019]其中,每一所述时间段内的网络侧异常通信行为的发生次数越多,移动终端健康度越大;
[0020]发生网络侧异常通信行为的所述时间段越靠近所述设定截止时间点,移动终端健康度越大;
[0021]发生网络侧异常通信行为的所述时间段的数量越多,移动终端健康度越大。
[0022]优选的,所述方法中,根据每种类型的网络侧异常通信行为的发生次数在每一所述时间段内的分布情况,计算对应于每种类型的网络侧异常通信行为的移动终端健康度,具体采用如下关系式进行计算:
[0023]
【权利要求】
1.一种移动终端健康度判定方法,其特征在于,包括: 选定至少一种类型的移动终端网络侧异常通信行为; 将一设定起始时间点和一设定截止时间点之间的一连续时间跨度分为若干时间段;确定每种类型的网络侧异常通信行为的发生次数在每一所述时间段内的分布情况;根据每种类型的网络侧异常通信行为的发生次数在每一所述时间段内的分布情况,计算对应于每种类型的网络侧异常通信行为的移动终端健康度; 根据每种类型的网络侧异常通信行为的对应的移动终端健康度,计算最终的移动终端健康度; 其中,每一所述时间段内的网络侧异常通信行为的发生次数越多,移动终端健康度越大; 发生网络侧异常通信行为的所述时间段越靠近所述设定截止时间点,移动终端健康度越大; 发生网络侧异常通信行为的所述时间段的数量越多,移动终端健康度越大。
2.根据权利要求1所述的移动终端健康度判定方法,其特征在于, 所述方法中,根据每种类型的网络侧异常通信行为的发生次数在每一所述时间段内的分布情况,计算对应于每种类型的网络侧异常通信行为的移动终端健康度,具体采用如下关系式进行计算:
3.根据权利要求2所述的移动终端健康度判定方法,其特征在于, 所述方法中,当选定的所述网络侧异常通信行为为多种类型的网络侧异常通信行为时,根据每种类型的网络侧异常通信行为的对应的移动终端健康度,计算最终的移动终端健康度;其中,单种类型的网络侧异常通信行为在该多种类型的网络侧异常通信行为中所占权重越大,则针对该类型的网络侧异常通信行为判定得到的移动终端健康度对最终的移动终端健康度的影响越大。
4.根据权利要求3所述的移动终端健康度判定方法,其特征在于, 所述方法中,根据每种类型的网络侧异常通信行为的对应的移动终端健康度,计算最终的移动终端健康度,具体采用如下关系式进行计算:
5.根据权利要求1至4任一项所述的移动终端健康度判定方法,其特征在于,所述网络侧异常通信行为的类型包括: 包含异常特征的移动终端上网请求、包含异常特征的移动终端短信、包含异常特征的移动终端彩信。
6.根据权利要求5所述的移动终端健康度判定方法,其特征在于, 所述异常特征包括符合移动终端imsi特征或手机号码特征的字符串。
7.一种移动终端健康度的判定装置,其特征在于,包括: 选定模块,用于选定至少一种类型的移动终端网络侧异常通信行为; 分段模块,用于将一设定起始时间点和一设定截止时间点之间的一连续时间跨度分为若干时间段; 确定模块,用于确定每种类型的网络侧异常通信行为的发生次数在每一所述时间段内的分布情况; 第一判定模块,用于根据每种类型的网络侧异常通信行为的发生次数在每一所述时间段内的分布情况,计算对应于每种类型的网络侧异常通信行为的移动终端健康度,并输出与该类型的网络侧异常通信行为所对应的移动终端健康度; 第二判定模块,用于根据每种类型的网络侧异常通信行为的对应的移动终端健康度,计算并输出最终的移动终端健康度; 其中,当每一所述时间段内的网络侧异常通信行为的发生次数越多,输出的移动终端健康度越大; 当发生网络侧异常通信行为的所述时间段越靠近所述设定截止时间点,输出的移动终端健康度越大; 当发生网络侧异常通信行为的所述时间段的数量越多,输出的移动终端健康度越大。
8.根据权利要求7所述的移动终端健康度的判定装置,其特征在于,所述第一判定模块包括: 第一健康度生成单元,用于根据如下关系式,计算并输出一对应于单种类型的网络侧异常通信行为的移动终端健康度:
9.根据权利要求8所述的移动终端健康度的判定装置,其特征在于, 所述第二判定模块包括: 第二健康度生成单元,用于当所述网络侧异常通信行为包括多种类型的网络侧异常通信行为时,根据如下关系式,计算并输出一最终的移动终端健康度:
【文档编号】H04W88/02GK103916858SQ201210594568
【公开日】2014年7月9日 申请日期:2012年12月31日 优先权日:2012年12月31日
【发明者】林茂 申请人:中国移动通信集团广东有限公司