络行为交互时序图;
[0145]重构单元,其用于根据构建的移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
[0146]其中,分离单元,包括:数据流构建模块,其用于根据流的五元组来构建获取原始移动终端恶意软件的网络数据流;
[0147]流量识别模块,其用于在网络数据流中的HTTP数据包中提取相应的HOST字段,若该HOST字段存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存,反之则忽略掉该数据流;最后,分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
[0148]其中,时序图绘制单元,包括:提取HTTP数据包模块,其用于依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的HOST字段;
[0149]提取DNS数据包模块,其用于根据HTTP数据包中HOST字段的域名,从原始移动终端恶意软件网络流量的数据包中提取出与HOST字段具有相同域名的DNS数据包,并记录下数据包的发送时间,以及DNS应答数据包中的CNAME内容和解析到的IP地址;
[0150]绘制模块,其用于按照数据包的发送时间,绘制出从源IP地址到DNS以及向目标域名服务器发送HTTP数据包的网络交互时序图。
[0151]其中,重构单元,包括:预定义模块,其用于将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS应答数据包的内容定义为目标服务器域名节点的属性节点;
[0152]第一连接模块,其用于连接目标服务器域名节点与各个属性节点,用以表示目标服务器所相关的CNAME信息和解析到的IP地址信息;
[0153]第二连接模块,其用于连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系;
[0154]第三连接模块,其用于连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重;
[0155]第四连接模块,其用于连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段线段的权重。
[0156]上述虽然结合附图对本发明的【具体实施方式】进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
【主权项】
1.一种移动终端恶意软件网络行为重构方法,其特征在于,包括: 在移动终端接入网络的路由器节点设置镜像端口,采集原始移动终端恶意软件网络流量; 解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表; 根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量; 提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图; 根据移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。2.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,分离移动终端恶意软件恶意行为流量的具体过程为: 根据流的五元组,构建获取原始移动终端恶意软件的网络数据流; 然后,在网络数据流中的HTTP数据包中提取相应的域名字符串,若该域名字符串存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存;反之,则忽略掉该数据流; 这样分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。3.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,所述构建移动终端恶意软件网络行为交互时序图的过程为: 首先,依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的域名字符串; 然后,根据HTTP数据包中域名字符串的域名,从原始移动终端恶意软件网络流量的数据包中提取出与域名字符串具有相同域名的DNS数据包,并记录下DNS数据包的发送时间,以及DNS数据包中的内容和解析的IP地址; 最后,按照数据包的发送时间,绘制出从源IP地址到DNS服务器以及向目标域名服务器发送HTTP数据包的网络交互时序图。4.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,所述构建移动终端恶意软件网络行为模型的过程,还包括: 将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS应答数据包的内容定义为目标服务器域名节点的属性节点; 连接目标服务器域名节点与各个属性节点,用以表示目标服务器相关的信息和解析的IP地址信息; 连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系; 连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重; 连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段线段的权重,最后,得到移动终端恶意软件网络行为模型。5.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,在采集原始移动终端恶意软件网络流量的过程中,通过镜像端口将所有上行和下行的移动终端网络流量镜像到数据存储服务器上。6.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,获取移动终端恶意目标列表的过程,包括: 解析原始移动终端恶意软件网络流量的DNS信息,得到关于恶意软件所有的DNS请求的目标域名,再依次检测这些目标域名的恶意域名,判断是否为恶意目标,若是,则将该域名加入恶意目标列表。7.一种如权利要求1所述的移动终端恶意软件网络行为重构方法的重构系统,其特征在于,包括: 采集单元,其用于通过在移动终端接入网络的路由器节点设置的镜像端口进行采集原始移动终端恶意软件网络流量; 流量解析单元,其用于解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表; 分离单元,其用于根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量; 时序图绘制单元,其用于提取分离后的移动终端恶意软件恶意行为流量的DNS协议数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图; 重构单元,其用于根据构建的移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。8.如权利要求7所述的一种移动终端恶意软件网络行为重构系统,其特征在于,所述分离单元,包括:数据流构建模块,其用于根据流的五元组来构建获取原始移动终端恶意软件的网络数据流; 流量识别模块,其用于在网络数据流中的HTTP数据包中提取相应的域名字符串,若该域名字符串存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存,反之则忽略掉该数据流;分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。9.如权利要求7所述的一种移动终端恶意软件网络行为重构系统,其特征在于,所述时序图绘制单元,包括:提取HTTP数据包模块,其用于依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的域名字符串; 提取DNS数据包模块,其用于根据HTTP数据包中域名字符串的域名,从原始移动终端恶意软件网络流量的数据包中提取出与域名字符串具有相同域名的DNS数据包,并记录下DNS数据包的发送时间,以及DNS数据包中的内容和解析的IP地址; 绘制模块,其用于按照数据包的发送时间,绘制出从源IP地址到DNS服务器以及向目标域名服务器发送HTTP数据包的网络交互时序图。10.如权利要求7所述的一种移动终端恶意软件网络行为重构系统,其特征在于,所述重构单元,包括:预定义模块,其用于将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS数据包的内容定义为目标服务器域名节点的属性节点; 第一连接模块,其用于连接目标服务器域名节点与各个属性节点,用以表示目标服务器相关的信息和解析的IP地址信息; 第二连接模块,其用于连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系; 第三连接模块,其用于连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重; 第四连接模块,其用于连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段线段的权重。
【专利摘要】本发明公开了一种移动终端恶意软件网络行为重构方法及其系统,该方法包括:在移动终端接入网络的路由器节点设置镜像端口,采集原始移动终端恶意软件网络流量;解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;根据移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。该方法依据网络数据流重新构建出移动终端恶意软件与外部网络之间的交互行为。
【IPC分类】H04W12/12, H04L29/06
【公开号】CN105187393
【申请号】CN201510487157
【发明人】陈贞翔, 杨波, 韩泓波, 张蕾, 彭立志, 荆山
【申请人】济南大学
【公开日】2015年12月23日
【申请日】2015年8月10日