移动互联网分布式僵尸木马蠕虫检测方法和装置与流程

本发明涉及网络安全技术领域，具体涉及在一种移动互联网分布式僵尸木马蠕虫检测方法和装置。

背景技术：

随着移动互联网的快速发展，android平台的开放性，app爆炸性发布，应用商店下载app的方便性，移动终端很快成为人们运用网络服务的便利平台，进行线上信息获取、购物、社交与手游，同时，由于移动终端中存储着用户隐私信息，比如通讯录、位置信息、银行帐户信息等，使得利益型黑客越来越多地向移动终端用户下手，从而损害了用户的利益。

在本发明的移动互联网分布式僵尸木马蠕虫检测方法和装置中主要涉及以下技术：文件完整性检测技术、系统与函数调用检测技术、通信行为检测技术、贝叶斯过滤器检测技术、主动扫描检测技术、基于漏洞所在端口、流量的离散度与行为特征检测技术。

移动互联网分布式僵尸木马蠕虫检测技术的发展有两个方向，一是关键词检测技术；二是流量检测技术。对于这两个方向的技术，它们的优点是技术比较成熟，缺陷是检测技术没有准确针对特定攻击类别，存在较大的误报率，没有检测客户端与云服务器端的协作，性能比较低，需要进行网络信息采样，存在较大的漏报率。本发明采用文件完整性检测技术、系统与函数调用检测技术、通信行为检测技术、贝叶斯过滤器检测技术、主动扫描检测技术、基于漏洞所在端口、流量的离散度与行为特征检测技术，克服了以上两个方向的方法中存在的缺点，能够快速、精确检测僵尸木马蠕虫。

技术实现要素：

明的目的是克服现有技术的缺点，提供一种移动互联网分布式僵尸木马蠕虫检测方法和装置，使得能够快速、精确地检测木马、僵尸网络与蠕虫攻击，有效地保障移动终端中信息的机密性与完整性、移动互联网的可用性，为移动终端用户提供一个安全、可用的移动互联网环境。

本发明的目的是通过以下技术方案实现的：

一种移动互联网分布式僵尸木马蠕虫检测方法，包括以下步骤：

a、通过检测文件完整性、系统与函数调用、网络通信行为，检测移动终端中的木马；

b、客户端与云服务器端协作，基于流量的汇聚度、贝叶斯过滤器与主动扫描邮件中的url，检测僵尸网络攻击的ddos攻击与垃圾邮件中的广告邮件与钓鱼邮件；

c、客户端与云服务器端协作，基于漏洞所在端口、流量的离散度与行为特征，检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫。

优选地，所述步骤a包括：

a1、检索移动终端的可执行与库文件，计算文件散列值,与信息库中的文件散列值比较，若不同，则告警，否则；

a2、检测移动终端的系统调用与回调函数的地址，与信息库中的相应地址比较，若不同，则告警，否则；

a3、捕获浏览器url与通信行为的目的ip地址，若目的ip地址不是appweb服务、os升级或浏览器url的ip地址，则告警。

信息库信息包括不同os版本的可执行与库文件的名称与文件散列值、系统调用与回调函数地址、app名称与相应web服务ip地址、os名称与相应升级ip。

优选地，所述步骤b包括：

b1、检测客户端将本机ip地址、流量的源与目的ip地址、端口号、标识位、包长度、邮件出现的关键词与url发送给检测云服务器端；

b2、对于相同源与目的ip地址、端口号，检测tcp三次握手是否完整，udp与icmp请求响应是否对应，若不完整或不对应，则；

b3、检测本机ip地址与源ip地址是否相同，若不相同，则；

b4、检测1秒的时间段内相同目的地址与端口的源地址个数是否大于500，若大于，则告警ddos攻击；

b5、统计检测客户端发送的关键词分别在正常与垃圾邮件中出现的频率，并使用贝叶斯过滤器：p=p1p2…pn/(p1p2…pn+(1-p1)(1-p2)…(1-pn))，pn=p(s|wn)，p是一封邮件是垃圾邮件的联合概率值，pn是wn词出现时是垃圾邮件的条件概率值，计算是垃圾邮件的概率；

b6、判断垃圾邮件的概率是否大于99%，若大于，则告警广告邮件；

b7、主动获取解析分析邮件中的url页面，判断是否有表单密码域，若有，则告警钓鱼邮件。

优选地，所述步骤c包括：

c1、检测客户端将文件共享、web、数据库、邮件包含javascript的eval流量的源与目的ip地址、源与目的端口发送给检测云服务器端；

c2、对于文件共享服务的相同目的端口与源的地址，若每分钟的目的地址数大于30个，告警文件共享漏洞利用蠕虫；

c3、对于web服务的相同目的端口与源地址，若每分钟的目的地址个数大于30个，则告警web漏洞利用蠕虫；

c4、对于数据库服务的相同目的端口与源地址，若每分钟的目的地址个数大于30个，则告警数据库漏洞利用蠕虫；

c5、对于邮件服务的相同目的端口与源地址，若每分钟的目的地址个数大于30个，则告警邮件蠕虫；

c6、若邮件中网页包含javascript的eval，则告警网页蠕虫。

一种移动互联网分布式僵尸木马蠕虫检测装置，包括：

检测客户端，主要进行移动终端的木马检测与通信行为的采集与提交，包括基于文件完整性检测、基于系统与函数调用检测、基于网络通信行为检测；

检测云服务器端，主要检测僵尸网络与蠕虫攻击，包括检测僵尸网络攻击的ddos攻击与垃圾邮件中的广告邮件与钓鱼邮件，检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫；

信息库信息包括不同os版本的可执行与库文件的名称与文件散列值、系统调用与回调函数地址、app名称与相应web服务ip地址、os名称与相应升级ip。

检测客户端，进行移动终端的木马检测，并采集与提交网络通信行为，检测云服务器端利用检测客户端提交的信息与信息库中的信息，检测僵尸网络与蠕虫攻击。

由以上本发明提供的技术方案可以看出，本发明克服了现有技术的缺点，提供一种移动互联网分布式僵尸木马蠕虫检测方法和装置，使得能够快速、精确地检测木马、僵尸网络与蠕虫攻击，有效地保障移动终端中信息的机密性与完整性、移动互联网的可用性，为移动终端用户提供一个安全、可用的移动互联网环境。

附图说明

图1是移动互联网分布式僵尸木马蠕虫检测装置的组网示意图；

图2是本发明方法的系统结构示意图；

图3是本发明方法的主流程图；

图4是本发明方法木马检测的流程图；

图5是本发明方法僵尸网络检测的流程图；

图6是本发明方法蠕虫攻击检测的流程图。

技术特征：

技术总结
发明公开了一种移动互联网分布式僵尸木马蠕虫检测方法和装置，所述方法包括：通过检测客户端与云服务端协作，对木马、僵尸与蠕虫攻击进行精确检测；在检测客户端，通过检测文件完整性、系统与函数调用、网络通信行为，纵深查找木马；在检测云服务端，利用客户端提交的网络消息，利用云服务端高性能的计算能力，进行大数据处理，精确检测僵尸网络攻击的DDoS攻击与垃圾邮件中的广告邮件与钓鱼邮件，精确检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫。利用本发明，可以快速、准确地检测移动互联网中的木马、僵尸网络攻击与蠕虫攻击，本发明具有快速与准确的特点。

技术研发人员：何中旭;何中天;何华;张洁
受保护的技术使用者：北京东方棱镜科技有限公司
技术研发日：2017.06.21
技术公布日：2017.11.07