一种移动终端恶意软件网络行为重构方法及其系统的制作方法
【技术领域】
[0001]本发明涉及一种恶意软件网络行为重构方法及其系统,尤其涉及一种移动终端恶意软件网络行为重构方法及其系统。
【背景技术】
[0002]现有的移动终端恶意软件检测方法大致可以分为两类,即静态检测方法和动态检测方法。静态检测方法通过对恶意软件的反编译,在源代码中查找恶意特征代码片段来识别恶意软件;动态检测方法则主要是基于行为分析技术,行为分析技术在虚拟化的环境下动态地分析恶意软件运行时的行为,通过对恶意软件行为特征的分析识别出恶意软件,常用的行为特征有对系统的调用、对敏感API的访问等。
[0003]随着代码混淆技术、代码加密技术的发展,对恶意软件的源代码进行静态分析已经变的十分困难,而动态行为分析却很好的弥补了静态分析的这种缺点,同时,这种动态行为分析技术具有一定的发现未知恶意软件的能力。因此,动态行为分析作为一种重要的检测方法受到了业界的普遍关注。动态行为分析依赖于对恶意软件动态行为的重构,重构的内容包含文件和进程的创建过程、进程之间的通信过程等,重构的过程需要详细地表示出恶意软件行为的交互过程,这样才能更好地理解恶意软件的动态行为,帮助我们识别恶意软件。
[0004]但是,传统的移动终端网络行为分析仅仅局限于一些对网络特征的统计分析,例如对访问端口、数据包大小、访问时间等特征的统计分析,却并没有刻画移动终端与远程服务器之间的网络交互行为,这种交互行为对于理解移动终端与远程恶意服务器之间的交互过程是十分必要的,而现有的研究缺乏对网络行为的重构,尤其缺乏对网络交互过程完整性的解释。
【发明内容】
[0005]为了解决现有技术的缺点,本发明提供一种移动终端恶意软件网络行为重构方法及其系统。该方法首先通过自动化地方法采集到移动终端恶意软件所产生的网络流量数据,然后对采集到的流量数据进行网络数据流的提取,最后依据网络数据流重新构建出移动终端恶意软件与外部网络之间的交互行为。
[0006]本发明采用以下技术方案:
[0007]—种移动终端恶意软件网络行为重构方法,包括:
[0008]在移动终端接入网络的路由器节点设置镜像端口,采集原始移动终端恶意软件网络流量;
[0009]解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;
[0010]根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;
[0011]提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;
[0012]根据移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
[0013]分离移动终端恶意软件恶意行为流量的具体过程为:
[0014]根据流的五元组,构建获取原始移动终端恶意软件的网络数据流;
[0015]然后,在网络数据流中的HTTP数据包中提取相应的域名字符串,若该域名字符串存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存,反之则忽略掉该数据流;
[0016]这样分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
[0017]所述构建移动终端恶意软件网络行为交互时序图的过程为:
[0018]首先,依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的域名字符串;
[0019]然后,根据HTTP数据包中域名字符串的域名,从原始移动终端恶意软件网络流量的数据包中提取出与域名字符串具有相同域名的DNS数据包,并记录下DNS数据包的发送时间,以及DNS数据包中的内容和解析的IP地址;
[0020]最后,按照数据包的发送时间,绘制出从源IP地址到DNS服务器以及向目标域名服务器发送HTTP数据包的网络交互时序图。
[0021]所述构建移动终端恶意软件网络行为模型的过程,还包括:
[0022]将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS应答数据包的内容定义为目标服务器域名节点的属性节点;
[0023]连接目标服务器域名节点与各个属性节点,用以表示目标服务器相关的信息和解析的IP地址信息;
[0024]连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系;
[0025]连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重;
[0026]连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段线段的权重,最后,得到移动终端恶意软件网络行为模型。
[0027]在采集原始移动终端恶意软件网络流量的过程中,通过镜像端口将所有上行和下行的移动终端网络流量镜像到数据存储服务器上。
[0028]获取移动终端恶意目标列表的过程,包括:
[0029]解析原始移动终端恶意软件网络流量的DNS信息,得到关于恶意软件所有的DNS请求的目标域名,再依次检测这些目标域名的恶意域名,判断是否为恶意目标,若是,则将该域名加入恶意目标列表。
[0030]一种基于移动终端恶意软件网络行为重构方法的重构系统,包括:
[0031]采集单元,其用于通过在移动终端接入网络的路由器节点设置的镜像端口进行采集原始移动终端恶意软件网络流量;
[0032]流量解析单元,其用于解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;
[0033]分离单元,其用于根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;
[0034]时序图绘制单元,其用于提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;
[0035]重构单元,其用于根据构建的移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
[0036]所述分离单元,包括:数据流构建模块,其用于根据流的五元组来构建获取原始移动终端恶意软件的网络数据流;
[0037]流量识别模块,其用于在网络数据流中的HTTP数据包中提取相应的域名字符串,若该域名字符串存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存,反之则忽略该数据流;分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
[0038]时序图绘制单元,包括:提取HTTP数据包模块,其用于依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的域名字符串;
[0039]提取DNS数据包模块,其用于根据HTTP数据包中域名字符串的域名,从原始移动终端恶意软件网络流量的数据包中提取出与域名字符串具有相同域名的DNS数据包,并记录下DNS数据包的发送时间,以及DNS数据包中的内容和解析的IP地址;
[0040]绘制模块,其用于按照数据包的发送时间,绘制出从源IP地址到DNS服务器以及向目标域名服务器发送HTTP数据包的网络交互时序图。
[0041]重构单元,包括:预定义模块,其用于将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS数据包的内容定义为目标服务器域名节点的属性节点;
[0042]第一连接模块,其用于连接目标服务器域名节点与各个属性节点,用以表示目标服务器相关的信息和解析的IP地址信息;
[0043]第二连接模块,其用于连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系;
[0044]第三连接模块,其用于连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重;
[0045]第四连接模块,其用于连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段线段的权重。
[0046]本发明的有益效果为:
[0047](I)本发明的移动终端恶意软件网络行为重构方法,是基于移动终端恶意软件产生的网络流量来重构出恶意软件与外部网络之间交互行为的方法;通过对移动终端恶意软件网络行为的重构,有助于对移动终端恶意软件的网络交互行为的理解;
[0048](2)本发明根据移动终端恶意软件网络行为交互时序图,最终构建出移动终端恶意软件网络行为模型,该模型可作为识别移动终端恶意软件的一种依据。
【附图说明】
[0049]图1为本发明实现大规模反编译移动终端恶意软件原文件的流程图;
[0050]图2为本发明移动终端恶意软件自动化安装与运行的流程图;
[0051]图3为本发明设计的移动终端恶意软件激活机制的流程图;
[0052]图4为从网络流量数据的DNS请求域名建立恶意列表流程图;
[0053]图5为从混合流量中分离出恶意流量和正常流量的流程图;
[0054]图6为一份移动终端上的恶意软件所产生的网络流量图;
[0055]图7为移动终端恶意软件网络行为交互图;
[0056]图8为网络行为重构模型。
【具体实施方式】
[0057]下面结合附图与实施例对本发明做进一步说明:
[0058]本发明的移动终端恶意软件网络行为重构方法,包括:
[0059]在移动终端接入网络的路由器节点设置镜像端口,采集原始移动终端恶意软件网络流量