一種針對移動網際網路Botnet的虛擬化檢測系統及檢測方法

2023-07-22 07:25:11

一種針對移動網際網路Botnet的虛擬化檢測系統及檢測方法
【專利摘要】本發明提出了一種針對移動網際網路Botnet的虛擬化檢測系統及檢測方法，有效的解決移動終端因為計算資源不足所帶來問題。系統分為網絡側和移動側，依靠計算資源較強的伺服器和資料庫組成網絡側，從移動端截獲可疑的SMS、GPRS信息，並通過移動平臺的鏡像處理獲取真實的處理結果，以轉換網關的形式和移動網際網路實現通信，移動終端的檢測模塊基於黑白名單對可疑信息實施截獲，使用轉換網關將信息發往網絡側，網絡側監控單元調度虛擬機運行指定的鏡像文件，對轉換網絡發來的數據實施動態分析和檢測，並及時通過轉換網關反饋檢測的結果。
【專利說明】一種針對移動網際網路Botnet的虛擬化檢測系統及檢測方 法

【技術領域】
[0001] 本發明涉及一種針對移動網際網路Botnet的虛擬化檢測系統及檢測方法，屬於移 動網際網路的安全範疇，主要用於實現針對日益嚴重的網際網路Botnet (殭屍網絡）的檢測與 防範。

【背景技術】
[0002] 移動網際網路的快速發展使得智能移動終端的普及率迅速上升，同時也帶來了相應 的安全問題的出現。與傳統網絡相比，移動網際網路體現出一些不同的特點：智能移動終端作 為主要載體，受CPU和存儲空間的影響，其計算能力較弱，運行在此之上的系統相對傳統計 算機系統結構簡單，因而較少有遠程攻擊的產生，取而代之的則是各種惡意代碼產生的危 害；智能移動終端的通信渠道較多，和傳統網絡相比，SMS、GPRS等多種傳播渠道使得智能 移動終端的惡意代碼更容易接收遠程終端的控制，其防範難度更大。
[0003] 在此基礎上，傳統的病毒、木馬等惡意代碼開始在移動網際網路出現，而目前對傳 統網絡威脅最大的Botnet(殭屍網絡）也出現在該領域。從2009第一個移動殭屍網絡 SymbOS. Exy. C出現後，已經陸續在Andorid、I0S和WinCE等系統中出現。大量研究發現， 移動殭屍網絡的出現會對傳統意義上相對安全的電信網絡造成極大的威脅，攻擊者只需使 用最簡單的DD0S攻擊即可對目前的移動通信網絡造成大面積的癱瘓。
[0004] 針對移動網際網路的Botnet防禦技術主要源自傳統網際網路防禦技術，移動網際網路 相比傳統網際網路而言具有其獨特性，主要表現在：移動終端資源的有限性，由於目前普遍使 用的移動終端需要以電池為主要能源，在計算和通信量較大的情況下，電池的能源消耗就 成為一個嚴峻的問題，針對移動網際網路Botnet的檢測技術不能單純依靠移動終端實施，否 則將會面臨嚴重的能耗問題。
[0005] 傳統網際網路可以採用對固定主機進行長期流量、日誌監控的方式從中發現可疑的 網絡行為，進而分析Botnet的特徵；但移動網際網路中的終端由於其移動的特點，很難對其 進行這種傳統的網絡監控和保護。
[0006] 同傳統網際網路相比，移動網際網路主要藉助於2G/3G/4G等行動網路的通信架構，在 這種情況下Botnet的C&C可以藉助SMS、GPRS等多種途徑實現對殭屍主機的控制。
[0007] 通過以上分析可以得知，對移動網際網路之上的Botnet防禦不能將檢測監控設備 直接部署在移動終端之上，SMS和GPRS通信在移動互聯殭屍網絡中充當重要的通信途徑， 通過對其進行重點監測，分析隱藏的C&C(控制和通信）主機，掌握Botnet網絡結構，為防 治Botnet網絡提供準確的信息是目前防治移動Botnet的一種可行方法。


【發明內容】

[0008] 本發明技術解決問題：克服現有技術不足，提供一種針對移動網際網路Botnet的虛 擬化檢測系統及檢測方法，有效的解決移動終端因為計算資源不足所帶來問題，通過移動 終端和後臺伺服器資源的結合，可以有效的檢測植入在移動終端的Botnet代碼，同時又可 以將Botnet的影響程度控制在虛擬化的範圍之內，有效的保證行動網路的正常進行。
[0009] 本發明技術解決方案：一種針對移動網際網路Botnet的虛擬化檢測系統，分別包括 終端側和網絡側兩部分，終端側部署在移動終端內，所述終端側包括黑白名單、網絡檢測模 塊和轉換網關；所述網絡側部分包括終端鏡像資料庫、虛擬機和監控單元；在系統運行過 程中，內部需要三種報文，分別是：虛擬機交互報文，SMS (Short Messaging Service短消息 服務）交互報文和GPRS交互報文（General Packet Radio Service,通用分組無線服務技 術），其中：黑白名單：用於存儲對於終端設備而言惡意和信任的網絡節點信息，其中黑名 單記錄惡意網絡節點的信息，白名單記錄信任網絡節點信息；
[0010] 網絡檢測模塊：實現對網絡中通信內容的檢測，當通信內容的源點來自於黑名單 中的內容，則檢測模塊直接將其過濾；如果通信內容源自白名單則給予放行；當通信內容 來源於未知的通信節點時，則確定為可疑通信報文，即可能為網絡惡意節點發送來的SMS 或者GPRS報文，並將可疑通信報文的內容發往轉換網關，等待返回結果後的處理；
[0011] 轉換網關：負責提供終端側和網絡側之間的通信，來自於終端側的網絡檢測模塊 中可疑通信報文被轉換成網絡側的交互報文，即SMS交互報文和GPRS交互報文，發往網絡 偵牝網絡側對可疑通信報文的處理結果會通過轉換網關通知網絡檢測修改黑白名單；在將 可疑報文發往網絡側之前，轉換網關會將其存入待測資料庫；當檢測結果由網絡側返回後， 根據待測資料庫中的消息，轉換網關通知移動終端繼續或終止某個通信過程；其中SMS交 互報文和GPRS交互報文用於系統內部的通信，SMS交互報文用於移動側向網絡側提交可疑 SMS報文信息和網絡側向終端側返回檢測結果；其中欄位源ISND和目的ISDN分別表示該 可疑信息的發送和接收方；欄位負載類型欄位聲明報文中負載區域的內容:AT命令或網絡 側的檢測結果；欄位負載區域則記錄AT命令或檢測結果具體的內容；GPRS交互報文用於終 端側向網絡側提交可疑GPRS報文信息和網絡側向終端側返回檢測結果；欄位源ISDN表示 該可疑信息的發送方，欄位源IP和目的IP分別記錄內部IP數據包的信息；欄位負載類型 欄位聲明報文中負載區域的內容:AT命令或網絡側的檢測結果；欄位負載區域則記錄具體 的內容；
[0012] 終端鏡像資料庫：負責存儲待保護移動終端鏡像，通過移動終端鏡像在虛擬機一 側實現對需要保護的移動終端的模擬運行；
[0013] 虛擬機：直接運行指定的移動終端鏡像，負責觀察可疑信息進入到終端側的運行 效果；所述移動終端鏡像包括：移動終端的APP備份；0S文件備份，表示具體的智能移動終 端的作業系統，考慮到Botnet代碼中可能會在作業系統中加載rootkit，0S文件需要直 接從被保護的移動終端上提取鏡像，實現移動終端作業系統的復原；移動終端配屬硬體資 源；移動終端接入點信息；這四類信息會綁定具體的終端ISDN號，存儲在終端鏡像資料庫 中；當需要模擬某個移動終端時，虛擬機通過調用終端鏡像資料庫中的移動終端鏡像，能夠 完全模擬一個真實的移動終端；虛擬機通過監控單元的啟動或註銷命令的虛擬機交互報文 實現啟動或註銷，將運行的過程中產生的通信內容和日誌信息作為結果，以虛擬機交互報 文的形式返還給監控單元；虛擬機交互報文實現監控單元和虛擬機之間的通信，監控單元 向虛擬機發送移動終端鏡像啟動和註銷的命令，虛擬機則向監控終端發送執行過程中截獲 的信息或操作日誌，用於監控終端的分析；虛擬機交互報文的開頭為表示移動終端的終端 鏡像號，欄位負載類型分為：啟動/註銷和反饋執行結果；欄位負載區域則主要記錄主要內 容，包括虛擬機執行的AT命令、執行命令後產生的報文和操作日誌；
[0014] 監控單元：負責整個網絡側虛擬化平臺的運行管理，包括虛擬機啟動/註銷模塊、 監控資料庫、監控分析模塊；虛擬機啟動/註銷模塊用於實現對虛擬機的啟動和註銷，通過 解析轉換網關發送過來的信息，使用虛擬機交互報文完成移動終端虛擬機的啟動和註銷； 監控資料庫用於記錄獲取到的SMS交互報文、GPRS交互報文在進入虛擬機後產生的結果， 為分析Botnet中的C&C節點提供數據；監控分析模塊從監控資料庫中獲得分析數據，藉助 特徵匹配、流量挖掘、關聯分析甚至人工分析的方法，對從轉換網關中發送過來的數據做出 判斷，確定信息是否屬於C&C，並向終端側的轉換網關發送檢測的結果。
[0015] 一種針對移動網際網路Botnet的虛擬化檢測方法，實現步驟如下：
[0016] 步驟（1)，在初始化階段，移動終端側設置通信的黑白名單，存儲對於終端設備而 言惡意和信任的網絡節點信息，其中黑白名單用於存儲對於終端設備而言惡意和信任的網 絡節點信息，白名單記錄信任網絡節點信息；同時製作系統的鏡像文件保存到網絡側的終 端鏡像資料庫之中；
[0017] 步驟（2)，網絡檢測模塊對網絡中通信內容的檢測，如果檢測到通信內容的源點來 自於黑名單中的內容，則直接將其過濾；如果檢測到通信內容源自白名單則給予放行；如 果檢測到通信內容來源於未知的通信節點時，則確定為可疑通信報文即可能為網絡惡意節 點發送來的SMS或者GPRS報文，並將可疑通信報文的內容發往轉換網關；由轉換網關將可 疑通信報文轉換成SMS交互報文和GPRS交互報文發往網絡側監控單元；
[0018] 步驟（3)，網絡側的監控單元在獲得轉換網關的信息之後，以虛擬機交互報文的形 式控制虛擬機的啟動和運行，使用虛擬機加載指定的鏡像文件，並觀察虛擬機在收到該信 息後的變化；
[0019] 步驟（4)，監控單元分析虛擬機返回的SMS交互報文和GPRS交互報文，將分析結果 由轉換網關返回網絡檢測模塊，修改黑白名單的內容；同時轉換網關依照分析結果和待測 資料庫的記錄，通知移動端終止或繼續與某個通信節點的通信行為。
[0020] 該發明的核心思想在於對Botnet中C&C命令的利用，C&C主機作為Botnet的核 心通信設備，控制感染Bot主機的命令均由其發出，一般這些命令都是包含在發往指定移 動終端的SMS或GPRS中，因此對C&C的分析是整個Botnet防禦的核心，當SMS或GPRS的 C&C命令被網絡側虛擬機運行後，虛擬上的Bot程序可以產生和真實終端一樣的通信內容， 而這些內容被監控單元獲取後分析，可以用以發現新的C&C節點，並修改相應的黑白名單 內容。
[0021] 本發明與現有技術相比的優點在於：本發明主要針對移動網際網路之上的Botnet 採取的檢測技術，主要優點在檢測技術實施過程中不影響移動終端的正常工作流程，使用 者可以選擇一臺伺服器作為網絡側設備實現對移動終端Botnet的C&C控制命令的捕捉工 作。監控單元可以分析待觀測的終端，通過虛擬平臺之上的交互行為，獲取可能存在的C&C 節點。該方法的實施減少了在真實行動網路環境下對Botnet網絡進行分析而帶來的部署 和實施困難，並保證了移動終端不受殭屍控制主機的影響，最大限度的保證了移動網際網路 的安全運行。

【專利附圖】

【附圖說明】
[0022] 圖1為本發明的系統功能部件圖；
[0023] 圖2為本發明中終端鏡像資料庫組成圖；
[0024] 圖3為本發明中轉換網關組成圖；
[0025] 圖4為本發明中監控單元組成圖；
[0026] 圖5為本發明對Botnet中C&C檢測的具體流程圖；
[0027] 圖6為本發明所涉及的系統內部交互報文的描述。

【具體實施方式】
[0028] 本發明系統的架構如圖1所示，由終端側和網絡側兩部分組成，終端側部署在移 動終端內，其功能在於攔截可疑的信息，主要部分包括：轉換網關、網絡檢測模塊、黑/白名 單。
[0029] 如圖3所示，本發明中的轉換網關的功能實現終端側和網絡側間的通信，其組成 部分如下：
[0030] (1) SMS-ΑΤ命令模塊：將SMS中AT命令以網絡側SMS交互報文的形式發送到網絡 側監控單元。
[0031] (2)GPRS-ΑΤ命令模塊：將GPRS中AT命令以網絡側GPRS交互報文的形式發送到 網絡側監控單元。
[0032] (3)黑白名單通信模塊：接收網絡側發來的檢測結果，用於修改黑白名單。
[0033] (4)待測資料庫：用於存放可疑的數據信息，等待網絡側返回檢測結果後處理。
[0034] 網絡檢測模塊運行在移動終端的底層，對截獲的信息源進行匹配，屬於黑名單的 信息實現過濾，屬於白名單的信息則執行相應的流程，對於二者之外的信息則作為可疑信 息上傳到網絡側。例如針對SMS檢測，當網絡檢測模塊收到某些特殊號碼的簡訊，該通信中 源移動終端地址信息會迅速被鎖定，而後其簡訊內容通過轉換網關轉發至網絡側，等待返 回結果後的處理。
[0035] 黑白名單：黑名單記錄惡意網絡節點信息，白名單記錄信任網絡節點信息。
[0036] 網絡側負責對可疑信息在虛擬機上實時的處理，藉助伺服器強大的計算資源，完 成對Botnet的C&C控制命令的檢測發現，該部分由終端鏡像資料庫、虛擬機和監控單元組 成。在網絡側內部，虛擬機上運燈指定的移動終鏡像，移動終％5鏡像內各存儲在終％5鏡像 資料庫中，如圖2所示，終端鏡像資料庫庫主要包括：
[0037] (1)移動終端的APP備份。
[0038] (2) 0S文件備份，表示具體的智能移動終端的作業系統，考慮到Botnet代碼中可 能會在作業系統中加載rootkit，因此文件需要直接從被保護的移動終端上提取鏡像，實現 移動終端作業系統的復原。
[0039] (3)移動終端配屬硬體資源（GPS、調製解調、攝像頭、藍牙、WIFI模塊等）。
[0040] (4)移動終端接入點信息（主要包括GPRS配置信息）。
[0041] 這四類信息會綁定具體的終端ISDN號，存儲在終端鏡像資料庫中，當系統需要模 擬某個移動終端時，虛擬機通過調用資料庫中的鏡像文件，可以完全模擬一個真實的移動 終端。在模擬過程中，為增強模擬的真實性，虛擬機可隨機生成例如電話號碼薄、cookie文 件等，用於檢測Botnet的行為。
[0042] 如圖4所示，網絡側監控單元組成結構如下：
[0043] (1)虛擬機啟動/註銷t吳塊：用於實現對虛擬機的啟動和註銷，監控單兀解析轉換 網關發送過來的信息，使用交互報文完成移動終端虛擬機的啟動和註銷。
[0044] (2)監控資料庫：用於記錄獲取到的SMS、GPRS通信報文在進入虛擬機後產生的結 果，為分析Botnet中C&C節點提供數據。
[0045] (3)監控分析模塊：該模塊是監控單元的核心，模塊從監控資料庫中獲得分析數 據，藉助特徵匹配、流量挖掘、關聯分析甚至人工分析的方法，對從轉換網關中發送過來的 可以數據做出判斷，確定信息是否屬於C&C，並向移動終端的轉換網關發送檢測的結果。
[0046] 系統在實現過程中需要各種交互報文，如圖6所示。其中虛擬機交互報文實現監 控單元和虛擬機之間的通信，報文中的欄位分為終端鏡像號、負載類型和負載區域三部分， 其中終端鏡像號描述的虛擬機所運行的移動終端編號，負載類型分為：啟動/註銷和反饋 執行結果。負載區域則主要記錄主要內容，包括虛擬機執行的AT命令、執行命令後產生的 報文和操作日誌等。
[0047] SMS交互報文和GPRS交互報文用於移動側向網絡側提交可疑報文信息，網絡側向 移動側發送檢測結果。
[0048] SMS交互報文中的欄位包括：源ISDN、目的ISDN、負載類型和負載區域。其中源 ISDN和目的ISDN分別記錄SMS消息的移動終端發送方和接收方的移動臺識別碼，負載類型 欄位聲明負載的內容類型：AT命令或網絡側的檢測結果；負載區域欄位則記錄AT命令的內 容或檢測結果內容。
[0049] GPRS交互報文中的欄位包括：源ISDN、源IP、目的IP、負載類型和負載區域。其中 源ISDN用於記錄該GPRS發送方的移動臺識別碼，源IP和目的IP則分別記錄GRPS報文在 轉換為IP數據包後的源與目的地址。負載類型欄位聲明負載的內容類型：AT命令或網絡 側的檢測結果；負載區域欄位則記錄AT命令的內容或檢測結果內容。
[0050] 系統的主要運行過程如下：
[0051] 初始化階段：移動終端加載轉換網關模塊，為保證檢測的可靠性，移動終端的鏡像 需要在該階段按照其ISDN錄入到網絡側的移動鏡像資料庫中，並定期更新。
[0052] 移動終端系統為會預先設計黑/白名單信息，用於明確規定拒絕或可以建立通信 的移動節點，同時移動終端會將檢測模塊設置為實時運行，用於實時截獲底層通信數據。
[0053] 檢測階段：系統的流程圖如圖5所示：終端側的網絡檢測模塊按照黑白名單的內 容對信息源內容實施檢測，當Botnet的C&C主機向被控主機使用SMS或GPRS發送消息，終 端側的網絡檢測模塊會首先從底層截獲消息，使用轉換網關將其轉換為交互報文，傳送給 網絡側的監控單元。同時網絡檢測模塊將該信息存儲到待測資料庫中，等待檢測結果的返 回。
[0054] 網絡側在收到消息後，監控單元首先從獲取到的交互報文中抽取出信息的源地 址，記錄到監控資料庫中，而後監控單元從報文中抽取出信息的目的地址，即ISDN號碼，監 控單元查找終端鏡像資料庫，從中找出指定的移動終端數據鏡像，監控單元向虛擬機發送 帶有啟動命令的交互報文，虛擬機啟動後運行SMS或GPRS交互報文中SMS-ΑΤ命令或者 GPRS-ΑΤ命令，並開始記錄運行過程。
[0055] 在對應移動終端的虛擬機環境上，因為終端鏡像文件中帶有Botnet代碼，因此可 以相應的響應，該響應的內容可能是某些特定的0S操作，也可能是通過SMS或GPRS發送出 的信息，這些內容在虛擬機記錄後發送給監控單元，由監控單元完成分析工作，通過報文中 目標地址（目的ISDN和目的IP)和監控資料庫記錄的比對，其結果可能如下：
[0056] 如果交互的內容不屬於Botnet的C&C內容，SMS或GPRS源點信息屬於可靠節點， 監控單元通過交互報文發送給轉換網關，轉換網關在收到報文後，會根據待測資料庫中的 相應數據和檢測結果，判斷該數據進行正常處理還是作為惡意信息過濾。如果交互的內容 屬於Botnet的C&C內容，SMS或GPRS源點信息可以作為惡意節點，轉換網關將通知終端終 止與該節點的通信行為，並將源點信息發送給網絡檢測模塊修改黑名單的內容。否則，轉換 網關則將其通知移動終端繼續與該節點的通信，並且將源點信息發送給檢測模塊修改相應 的白名單信息。
[0057] 通過本發明，可以實現對Botnet的C&C主機的監控和Botnet行為的掌握，在此過 程中並不影響移動終端與正常節點間進行通信，有害的通信內容被轉發到網絡側的虛擬機 上運行，對於Botnet的C&C主機而言，絲毫覺察不到該虛擬環境的存在整個Botnet的通信 行為始終處於網絡側監控單元的控制之中。
[0058] 本發明說明書中未作詳細描述的內容屬於本領域專業技術人員公知的現有技術。
[0059] 以上所述僅是本發明的優選實施方式，應當指出，對於本【技術領域】的普通技術人 員來說，在不脫離本發明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也應 視為本發明的保護範圍。
【權利要求】
1. 一種針對移動網際網路Botnet的虛擬化檢測系統，其特徵在於：所述系統分別包括終 端側和網絡側兩部分，終端側部署在移動終端內，所述終端側包括黑白名單、網絡檢測模塊 和轉換網關；所述網絡側部分包括終端鏡像資料庫、虛擬機和監控單元；在系統運行過程 中，內部需要三種報文，分別是：虛擬機交互報文，SMS(Short Messaging Service短消息 服務）交互報文和GPRS交互報文（General Packet Radio Service,通用分組無線服務技 術），其中： 黑白名單：用於存儲對於終端設備而言惡意和信任的網絡節點信息，其中黑名單記錄 惡意網絡節點的信息，白名單記錄信任網絡節點信息； 網絡檢測模塊：實現對網絡中通信內容的檢測，當通信內容的源點來自於黑名單中的 內容，則檢測模塊直接將其過濾；如果通信內容源自白名單則給予放行；當通信內容來源 於未知的通信節點時，則確定為可疑通信報文，即可能為網絡惡意節點發送來的SMS或者 GPRS報文，並將可疑通信報文的內容發往轉換網關，等待返回結果後的處理； 轉換網關：負責提供終端側和網絡側之間的通信，來自於終端側的網絡檢測模塊中可 疑通信報文被轉換成網絡側的交互報文，即SMS交互報文和GPRS交互報文，發往網絡側，網 絡側對可疑通信報文的處理結果會通過轉換網關通知網絡檢測修改黑白名單；在將可疑報 文發往網絡側之前，轉換網關會將其存入待測資料庫；當檢測結果由網絡側返回後，根據待 測資料庫中的消息，轉換網關通知移動終端繼續或終止某個通信過程；其中SMS交互報文 和GPRS交互報文用於系統內部的通信，SMS交互報文用於移動側向網絡側提交可疑SMS報 文信息和網絡側向終端側返回檢測結果；其中欄位源ISND和目的ISDN分別表示該可疑信 息的發送和接收方；欄位負載類型欄位聲明報文中負載區域的內容：AT命令或網絡側的檢 測結果；欄位負載區域則記錄AT命令或檢測結果具體的內容；GPRS交互報文用於終端側 向網絡側提交可疑GPRS報文信息和網絡側向終端側返回檢測結果；欄位源ISDN表示該可 疑信息的發送方，欄位源IP和目的IP分別記錄內部IP數據包的信息；欄位負載類型欄位 聲明報文中負載區域的內容：AT命令或網絡側的檢測結果；欄位負載區域則記錄具體的內 容； 終端鏡像資料庫：負責存儲待保護移動終端鏡像，通過移動終端鏡像在虛擬機一側實 現對需要保護的移動終端的模擬運行； 虛擬機：直接運行指定的移動終端鏡像，負責觀察可疑信息進入到終端側的運行效果； 所述移動終端鏡像包括：移動終端的APP備份；0S文件備份，表示具體的智能移動終端的操 作系統，考慮到Botnet代碼中可能會在作業系統中加載rootkit，0S文件需要直接從被保 護的移動終端上提取鏡像，實現移動終端作業系統的復原；移動終端配屬硬體資源；移動 終端接入點信息；這四類信息會綁定具體的終端ISDN號，存儲在終端鏡像資料庫中；當需 要模擬某個移動終端時，虛擬機通過調用終端鏡像資料庫中的移動終端鏡像，能夠完全模 擬一個真實的移動終端；虛擬機通過監控單元的啟動或註銷命令的虛擬機交互報文實現啟 動或註銷，將運行的過程中產生的通信內容和日誌信息作為結果，以虛擬機交互報文的形 式返還給監控單元；虛擬機交互報文實現監控單元和虛擬機之間的通信，監控單元向虛擬 機發送移動終端鏡像啟動和註銷的命令，虛擬機則向監控終端發送執行過程中截獲的信息 或操作日誌，用於監控終端的分析；虛擬機交互報文的開頭為表示移動終端的終端鏡像號， 欄位負載類型分為：啟動/註銷和反饋執行結果；欄位負載區域則主要記錄主要內容，包括 虛擬機執行的AT命令、執行命令後產生的報文和操作日誌； 監控單元：負責整個網絡側虛擬化平臺的運行管理，包括虛擬機啟動/註銷模塊、監 控資料庫、監控分析模塊；虛擬機啟動/註銷模塊用於實現對虛擬機的啟動和註銷，通過解 析轉換網關發送過來的信息，使用虛擬機交互報文完成移動終端虛擬機的啟動和註銷；監 控資料庫用於記錄獲取到的SMS交互報文、GPRS交互報文在進入虛擬機後產生的結果，為 分析Botnet中的C&C節點提供數據；監控分析模塊從監控資料庫中獲得分析數據，藉助特 徵匹配、流量挖掘、關聯分析甚至人工分析的方法，對從轉換網關中發送過來的數據做出判 斷，確定信息是否屬於C&C，並向終端側的轉換網關發送檢測的結果。
2. -種針對移動網際網路Botnet的虛擬化檢測方法，其特徵在於其實現步驟如下： 步驟（1)，在初始化階段，移動終端側設置通信的黑白名單，存儲對於終端設備而言惡 意和信任的網絡節點信息，其中黑白名單用於存儲對於終端設備而言惡意和信任的網絡節 點信息，白名單記錄信任網絡節點信息；同時製作系統的鏡像文件保存到網絡側的終端鏡 像資料庫之中； 步驟（2)，網絡檢測模塊對網絡中通信內容的檢測，如果檢測到通信內容的源點來自於 黑名單中的內容，則直接將其過濾；如果檢測到通信內容源自白名單則給予放行；如果檢 測到通信內容來源於未知的通信節點時，則確定為可疑通信報文即可能為網絡惡意節點發 送來的SMS或者GPRS報文，並將可疑通信報文的內容發往轉換網關；由轉換網關將可疑通 信報文轉換成SMS交互報文和GPRS交互報文發往網絡側監控單元； 步驟（3)，網絡側的監控單元在獲得轉換網關的信息之後，以虛擬機交互報文的形式控 制虛擬機的啟動和運行，使用虛擬機加載指定的鏡像文件，並觀察虛擬機在收到該信息後 的變化； 步驟（4)，監控單元分析虛擬機返回的SMS交互報文和GPRS交互報文，將分析結果由轉 換網關返回網絡檢測模塊，修改黑白名單的內容；同時轉換網關依照分析結果和待測數據 庫的記錄，通知移動端終止或繼續與某個通信節點的通信行為。
【文檔編號】H04W24/02GK104113841SQ201410331629
【公開日】2014年10月22日 申請日期:2014年7月11日 優先權日:2014年7月11日
【發明者】焦健 申請人:北京信息科技大學