在移動通信系統中探測病毒的方法和裝置的製作方法

2023-05-03 18:52:31 1

專利名稱：在移動通信系統中探測病毒的方法和裝置的製作方法
技術領域：
本發明涉及數據安全技術領域，特別涉及在移動通信系統中探測病毒的方法和裝置。
背景技術：
隨著移動通信技術的發展，移動通信終端，例如智慧型手機、PDA、筆記本電腦等能夠通過移動通信系統的用戶識別模塊(如SIM卡、UIM卡等)獲取移動通信服務的各種終端設備，具有越來越強大的計算能力和各種網絡連接途徑，可以發送簡訊、彩信，還可以通過藍牙和紅外線進行通信，並且方便地訪問網際網路。隨之在移動通信系統中出現了許多針對移動通信終端的病毒，可以通過多種渠道在移動通信終端之間傳播。例如，Mabir，一個Cabir 病毒的變種，不僅可以通過藍牙，而且還可以通過彩信發送自身的副本。CommWarrior病毒是一種蠕蟲病毒，可以通過彩信在諾基亞S60智慧型手機之間傳播。隨著手機病毒檢測技術的發展，如果病毒通過彩信發送自身的副本，可以很容易地根據已知的特徵被檢測出來。 同時，病毒無法通過彩信發送太多的內容。例如，2G/2.5G移動通信網絡的彩信大小不超過100KB，而3G移動通信網絡對彩信大小的限制是300KB。特別是當手機病毒的大小超過 100KB時，就更難通過彩信傳播了。還有一種類型的病毒被嵌入或隱藏在一些網站中，通過向移動通信系統的用戶發送一些欺騙性信息，誘使用戶從病毒網站伺服器下載病毒。例如，「手機骷髏(mobile phone Skulls) 」木馬病毒通過彩信傳播欺騙性內容和病毒網站伺服器的地址。這些內容很難被病毒安全系統及時檢測出來。如果病毒發行者經常改變其網站伺服器地址，這種病毒就更難被發現並阻止了。目前，針對後一種類型的病毒，有以下兩種檢測和過濾方法。一是惡意病毒網址過濾，即一些病毒安全系統或惡意信息過濾器檢測已知的惡意病毒網址並阻止用戶訪問這些網站。這種方法只能檢測出已知的病毒伺服器，而不能發現新的病毒伺服器。病毒可以通過改變伺服器的地址來躲避這種病毒檢測方法。二是基於關鍵字的病毒檢測。這種方法可以找到總是傳播相同欺騙信息的病毒。 如果病毒經常改變消息的內容，由於散播的信息不同，這種病毒也很難被檢測出來。因此，目前對於通過在移動通信系統中發送欺騙性消息誘騙用戶訪問病毒伺服器地址進行傳播的病毒還沒有非常及時有效的檢測方法。

發明內容
有鑑於此，為了檢測這種通過在移動通信系統中發送欺騙性消息誘騙用戶訪問病毒伺服器地址進行傳播的病毒類型，本發明實施例提供了一種在移動通信系統中探測病毒的方法，用於發現可能的病毒。本發明實施例還提供了一種在移動通信系統中探測病毒的病毒探測裝置，用於發現可能的病毒。
5
本發明實施例提供的一種在移動通信系統中探測病毒的方法包括病毒探測裝置獲取移動通信系統中流經網絡設備的業務數據；病毒探測裝置從所述業務數據中提取指向網絡中資源的資源標識；病毒探測裝置根據所述資源標識下載所述資源；以及病毒探測裝置判斷所述資源是否為病毒，若所述資源為病毒，則通知所述移動通信系統。本發明實施例提供的一種用於在移動通信系統中探測病毒的病毒探測裝置，包括業務數據獲取模塊，用於獲取移動通信系統中流經網絡設備的業務數據；信息提取模塊，用於從所述業務數據獲取模塊獲取的業務數據中提取指向網絡中資源的資源標識；病毒探測模塊，用於根據所述信息提取模塊提取的資源標識下載所述資源，並判斷所述資源是否為病毒，若所述資源為病毒，則通知所述移動通信系統。由上述的技術方案可見，本發明實施例提供的在移動通信系統中探測病毒的方法，能夠發現可能的病毒並報告給移動通信系統，從而提高移動通信系統的安全性能。本發明實施例提供的用於在移動通信系統中探測病毒的病毒探測裝置，能夠發現可能的手機病毒並報告給移動通信系統，從而提高移動通信系統的安全性能。


圖1為本發明實施例提供的一種在移動通信系統中探測病毒的方法流程圖。圖2為本發明另一實施例提供的一種在移動通信系統中探測病毒的方法流程圖。圖3為本發明實施例的一種病毒探測裝置的結構示意圖。
具體實施例方式為使本發明的實施例的目的、技術方案及優點更加清楚明白，以下參照附圖並舉實施例，對本發明實施例進一步詳細說明。本發明實施例主要採用了主動探測病毒的方法，監測移動通信系統中的業務數據，下載可疑資源，然後對可疑資源進行分析以確定該資源是否為病毒。圖1為本發明實施例提供的一種在移動通信系統中探測病毒的方法流程圖。如圖 1所示，該方法可以包括步驟101，病毒探測裝置獲取移動通信系統中流經網絡設備的業務數據；步驟102，病毒探測裝置從所述業務數據中提取指向網絡(Web)中資源的資源標識；步驟103，病毒探測裝置根據所述資源標識下載所述資源；步驟104，病毒探測裝置判斷所述資源是否為病毒，若所述資源為病毒，則執行步驟105 ；若所述資源不是病毒，則結束流程。步驟105，通知所述移動通信系統。病毒探測裝置可以通過對該網絡設備的流入和/或流出埠進行監聽來獲取所述業務數據。例如，可以在與所述網絡設備相連的一個或多個交換機上設置鏡像埠，所述一個或多個交換機將與所述網絡設備相連的埠中的業務數據鏡像到所述鏡像埠，病毒探測裝置從所述鏡像埠獲取所述業務數據。或者，在與所述網絡設備相連的一個或多個光鏈路上設置光分路裝置，所述病毒探測裝置通過連接到所述光分路裝置的一路輸出來獲取所述業務數據。通過對流經網絡設備的業務數據進行監聽/獲取，病毒探測裝置相當於監聽/獲取了該網絡設備服務的所有用戶的業務數據。病毒探測裝置可以獲取移動通信系統中流經簡訊中心，如短消息服務中心 (SMSC)，的簡訊；或者獲取移動通信系統中流經網關(無線應用協議網關(WAP Gateway)和 /或WEB網關)或通用分組無線業務網關支持節點(GGSN)的彩信和/或郵件。其中，判斷資源是否為病毒的方法可以是對資源進行病毒掃描，或者分析資源的代碼，根據其特徵，如籤名等進行判斷。由於病毒一般為可執行文件的形式，因此還可以判斷所述資源是否為可執行文件，例如Symbian作業系統的SIS文件。如果是可執行文件，可以在一個模擬器中運行所述可執行文件並監控所述可執行文件的行為。根據監控到的可執行文件的行為可以判斷所述資源是否為病毒。例如，如果所述可執行文件通過簡訊、彩信或者藍牙自動發送可疑消息，那麼它很有可能是病毒；如果模擬器重啟時，所述可執行文件修改了某些關鍵文件，該可執行文件也有可能是病毒。一些手機病毒不僅在消息或業務數據中帶有病毒伺服器的地址，還可能加入一些欺騙性內容，如某些引誘性的文字、圖片等，來引誘移動通信用戶訪問其病毒伺服器的地址。因此，本發明的另一實施例中，還可以先判斷所述業務數據中是否包括可疑內容，如果所述業務數據中包括可疑內容，再根據所述業務數據中的資源標識從網際網路下載所述資源。其中，可疑內容可以為預設的關鍵字，和/或預設的圖片特徵信息。當判斷所述資源為病毒時，可以執行兩方面的操作一是通知移動通信系統，例如將該業務數據的信息發送給移動通信系統，使移動通信系統中的流量過濾設備能夠根據這些信息對類似的業務數據進行攔截和過濾；同時，還可以將所述資源的信息，如提取出的病毒特徵信息，存儲在病毒庫中，供下次資源掃描時使用，檢測出的病毒文件還可以留給專家進行研究。上面所述的資源標識可以是統一資源標識符(URI)或統一資源定位符(URL)。當判斷所述資源是病毒時，還可以記錄該資源標識。之後從其它業務數據中提取到資源標識時，可以先判斷是不是已經記錄的資源標識，如果是，則直接判定該資源為病毒。下面通過一個較詳細的例子來對本發明的方法進行進一步的說明。圖2為本發明另一實施例提供的一種手機病毒探測方法的流程圖。如圖2所示， 該方法可以包括以下步驟。步驟201，從移動通信系統獲取業務數據。步驟202，判斷所述業務數據是否包括資源標識，如果有，則執行步驟203 ；若沒
有，結束流程。步驟203，判斷所述業務數據是否包括可疑內容，如果有，則執行步驟204;若沒
有，結束流程。步驟204，提取所述業務數據中的資源標識。步驟205，判斷所述資源標識是否是已記錄的資源標識，若是，則執行步驟210 ；若CN 102547710 A
不是，則執行步驟206.步驟206，根據所述資源標識從網際網路下載相應的資源。步驟207，判斷該資源是否是可執行文件，如果是，則執行步驟208，若不是，結束流程。步驟208，根據病毒庫對所述資源進行病毒掃描。步驟209，根據掃描結果判斷該資源是否是病毒，如果是，則執行步驟214 ；若不是，則執行步驟210。步驟210，對所述資源進行代碼分析。步驟211，根據分析結果判斷該資源是否是病毒，如果是，則執行步驟214;若不是，則執行步驟212。步驟212，在模擬器中執行該可執行文件，並監控該可執行文件的行為。步驟213，根據監控的行為判斷該可執行文件是否是病毒，如果是，則執行步驟 214，若不是，則結束流程。步驟214，通知移動通信系統通過該業務數據找到病毒，記錄所述資源標識，並將該病毒的信息存儲到病毒庫中。以上僅為本發明的其中一個實施例，並不用於限制本發明的保護範圍。實際應用時，可以根據需要將其中的一些步驟省略，還可以調整各步驟的執行順序，或者加入其它的步驟。例如，在執行步驟207之前，可以先執行步驟208，掃描資源；當經過掃描判斷該資源不是病毒時，再執行步驟207，判斷該資源是否是可執行文件或壓縮文件，等。或者，還可以增加針對壓縮格式的文件的處理步驟。例如，在步驟207之前，先判斷是否為壓縮文件， 如果是壓縮文件，對所述壓縮文件進行解壓縮，然後對解壓縮後的文件進行掃描、模擬運行寸。相應地，本發明實施例還提供了一種病毒探測裝置。圖3為本發明實施例的一種用於在移動通信系統中探測病毒的病毒探測裝置的結構示意圖。如圖3所示，該裝置主要包括業務數據獲取模塊301，用於獲取移動通信系統中流經網絡設備的業務數據；信息提取模塊303，用於從所述業務數據獲取模塊301獲取的業務數據中提取指向網絡中資源的資源標識；病毒探測模塊302，用於根據所述信息提取模塊303提取的業務數據中的資源標識從網際網路下載資源；判斷所述資源是否為病毒，若所述資源為病毒，則通知所述移動通信系統。業務數據獲取模塊301可以通過對所述網絡設備的流入和/或流出埠進行監聽來獲取所述業務數據。業務數據獲取模塊301可以連接到與所述網絡設備相連的一個或多個交換機上設置的鏡像埠，接收所述一個或多個交換機向所述鏡像埠發送的與所述網絡設備相連的埠中的業務數據的副本；或者連接到與所述網絡設備相連的一個或多個光鏈路上設置的光分路裝置，用於從所述光分路裝置的一路輸出信號中獲取所述業務數據。業務數據獲取模塊301可以獲取移動通信系統中流經簡訊中心的簡訊；也可以獲取移動通信系統中流經網關或通用分組無線業務網關支持節點GGSN的彩信和/或郵件。
在本發明提供的實施例中，病毒探測模塊302可以包括資源下載單元3021，用於根據所述資源標識下載所述資源；資源掃描單元3022，用於判斷所述資源是否為可執行文件；若所述資源為可執行文件，將所述資源提供給模擬器單元；模擬器單元3023，用於運行所述可執行文件並監控所述可執行文件的行為；病毒檢測單元30M，用於根據所述模擬器單元3023監控到的所述可執行文件的行為判斷所述資源是否為病毒，若為病毒，則通知所述移動通信系統。在本發明提供的實施例中，病毒探測模塊302或者可以包括資源下載單元3021，用於根據所述資源標識下載資源；資源掃描單元3022，用於根據病毒庫掃描所述資源，根據所述掃描結果判斷所述資源是否為病毒；以及病毒檢測單元30M，用於當所述資源掃描單元3022判斷所述資源為病毒時，將所述資源的信息存儲在所述病毒庫中。在本發明提供的實施例中，病毒探測模塊302或者可以包括資源下載單元3021，用於根據所述資源標識下載資源；資源掃描單元3022，用於根據病毒庫掃描所述資源，並根據所述掃描結果判斷所述資源是否為病毒，若所述資源為病毒則通知病毒檢測單元30M將所述資源的信息存儲在所述病毒庫中，若所述資源不是病毒，則判斷所述資源是否為可執行文件，若所述資源為可執行文件，將所述資源提供給模擬器單元3023 ；所述模擬器單元3023，用於運行所述可執行文件並監控所述可執行文件的行為； 以及，所述病毒檢測單元30M，用於根據所述模擬器單元3023監控到的所述可執行文件的行為判斷所述資源是否為病毒，若為病毒，則通知所述移動通信系統和/或將所述資源的信息存儲在所述病毒庫中。模擬器單元3023用於監控並記錄所述可執行文件的以下中的一種或多種行為 所述可執行文件通過簡訊或者彩信或者藍牙自動發送可疑消息；所述模擬器重啟時，所述可執行文件修改關鍵文件。所述信息提取模塊303還可以用於判斷所述業務數據中是否包括可疑內容；若所述業務數據中包括可疑內容，則將所述資源標識提供給所述病毒探測模塊302。信息提取模塊303可以包括關鍵字掃描單元3031，用於掃描所述業務數據中是否包括預設的關鍵字；圖片掃描單元3032，用於掃描所述業務數據中是否包括預設的圖片特徵信息；資源標識提取單元3033，用於從所述業務數據中提取所述資源標識；資源標識分析單元3034，用於當所述關鍵字掃描單元3031判斷所述業務數據中包括預設的關鍵字時，或者當所述圖片掃描單元3032判斷所述業務數據中包括預設的圖片特徵信息時，將所述資源標識提取單元3033提取出的所述資源標識提供給所述病毒探測模塊302。需要說明的是，以上裝置可以是獨立的設備，也可以是移動通信網絡中現有設備中的模塊。可以由一個設備單獨實現，也可以由多個設備共同實現。由於移動通信系統中可能有多個簡訊中心、多個網關、以及多個GGSN設備，那麼就可以針對這些設備設置多個病毒探測裝置，這樣可以分擔病毒探測的工作量。本發明的病毒探測裝置中的各個模塊、 單元僅僅是根據功能進行劃分的邏輯部件，實際實現時，可以採用相同的物理結構，也可以採用的結構，例如將若干模塊或者單元合併由一個物理實體實現，或者將某個模塊或單元的功能分別由多個物理實體實現。實現該裝置的多個設備或實體之間可以通過物理連接相連，也可以通過無線通信協議進行信息交互；可以直接相連，也可以通過網絡或其它途徑進行信息交互。另外，該裝置中還可能包括協議解析器，用於分析業務數據使用的協議。例如，從 MMl協議中提取彩信內容，並將內容輸入到信息提取模塊303，信息提取模塊303分析彩信內容後從彩信內容中提取URI。病毒探測模塊302還可能需要通過協議分析器分析URI的協議，在網際網路上主動搜索該URI，然後使用協議爬蟲中的相應協議下載器從伺服器下載該 URI標識的文件。如果下載的資源是一些可執行文件，例如Symbian作業系統的SIS文件， 病毒探測模塊302可以根據保存有已知病毒信息的病毒庫掃描並發現已知的病毒文件，還可以根據文件代碼的特徵(如籤名等)判斷該可執行文件是否為病毒。如果該可執行文件不是已知的病毒，病毒探測模塊302將執行並安裝該可執行文件，並監控其行為來驗證該文件是否是病毒。如監測到可疑行為，例如通過簡訊、彩信或藍牙自動發送可疑消息，或模擬器單元3023重新啟動時，修改關鍵文件或自行啟動，這些行為將被記錄，病毒探測模塊 302可以據此判斷出該文件是否為病毒，將發現的病毒存儲在病毒庫中，並通知移動通信系統，讓其中的病毒過濾系統或流量控制系統過濾這些業務數據。一些消息中包含欺騙性文字和圖片，引誘用戶根據其中的URI從伺服器下載病毒。這些病毒經常改變欺騙性內容和伺服器地址，而現有的病毒檢測過濾技術很難檢測出以這種形式傳播的病毒。通過以上實施例可以看出，本發明實施例提供的在移動通信系統中探測病毒的方法和裝置可以監測WAP網關和簡訊中心的業務數據，針對其中可疑的消息主動探測病毒，能夠發現通過在移動通信系統中散播病毒伺服器地址進行傳播的病毒。該方法和裝置具有較好的靈活性，可以通過增加新的關鍵字或圖片特徵用於尋找新的病毒變種。綜上所述，以上僅為本發明的部分實施例而已，並非用於限定本發明的保護範圍。 凡在本發明的範圍之內所作的任何修改、等同替換、改進等，均應包含在本發明的保護範圍之內。
權利要求
1.一種在移動通信系統中探測病毒的方法，所述方法包括 病毒探測裝置獲取移動通信系統中流經網絡設備的業務數據；所述病毒探測裝置從所述業務數據中提取指向網絡中資源的資源標識； 所述病毒探測裝置根據所述資源標識下載所述資源；以及所述病毒探測裝置判斷所述資源是否為病毒，若所述資源為病毒，則通知所述移動通信系統。
2.根據權利要求1所述的方法，其特徵在於，所述病毒探測裝置獲取移動通信系統中流經網絡設備的業務數據，包括所述病毒探測裝置通過對所述網絡設備的流入和/或流出埠進行監聽來獲取所述業務數據。
3.根據權利要求2所述的方法，其特徵在於，所述病毒探測裝置對所述網絡設備的流入和/或流出埠進行監聽，包括病毒探測裝置從至少一個交換機上的鏡像埠獲取所述業務數據，其中，所述至少一個交換機與所述網絡設備相連且能夠將與所述網絡設備相連的埠中的業務數據鏡像到所述鏡像埠 ；或者所述病毒探測裝置通過連接到光分路裝置的一路輸出來獲取所述業務數據，其中所述光分路裝置設置在與所述網絡設備相連的一個或多個光鏈路上。
4.根據權利要求1所述的方法，其特徵在於，所述病毒探測裝置獲取移動通信系統中流經網絡設備的業務數據，包括所述病毒探測裝置獲取所述移動通信系統中流經簡訊中心的簡訊；和/或所述病毒探測裝置獲取所述移動通信系統中流經網關或通用分組無線業務網關支持節點GGSN的彩信和/或郵件。
5.根據權利要求1至4中任一項所述的方法，其特徵在於，所述病毒探測裝置判斷資源是否為病毒，包括所述病毒探測裝置判斷所述資源是否為可執行文件；若所述資源為可執行文件，所述病毒探測裝置在模擬器中運行所述可執行文件並監控所述可執行文件的行為；以及所述病毒探測裝置根據監控到的所述可執行文件的行為判斷所述資源是否為病毒；或者包括所述病毒探測裝置對所述資源進行代碼分析，根據代碼分析結果判斷所述資源是否為病毒。
6.根據權利要求5所述的方法，其特徵在於，所述病毒探測裝置根據監控到的所述可執行文件的行為判斷所述資源是否為病毒，包括當所述行為包括至少一種以下行為時，所述病毒探測裝置判斷所述資源是病毒 所述可執行文件通過簡訊或者彩信或者藍牙自動發送可疑消息； 所述模擬器重啟時，所述可執行文件修改關鍵文件。
7.根據權利要求1至4中任一項所述的方法，其特徵在於，所述方法進一步包括 所述病毒探測裝置判斷所述業務數據中是否包括可疑內容；若所述業務數據中包括可疑內容，則病毒探測裝置執行所述根據所述資源標識下載所述資源的步驟。
8.根據權利要求7所述的方法，其特徵在於，所述可疑內容包括預設的關鍵字，和/或預設的圖片特徵信息。
9.根據權利要求1至4中任一項所述的方法，其特徵在於，所述方法進一步包括若所述資源為病毒，則所述病毒探測裝置將所述資源的信息存儲在病毒庫中；所述病毒探測裝置判斷資源是否為病毒，包括所述病毒探測裝置根據所述病毒庫判斷所述資源是否為病毒。
10.一種用於在移動通信系統中探測病毒的病毒探測裝置，所述裝置包括業務數據獲取模塊，用於獲取移動通信系統中流經網絡設備的業務數據；信息提取模塊，用於從所述業務數據獲取模塊獲取的業務數據中提取指向網絡中資源的資源標識；病毒探測模塊，用於根據所述信息提取模塊提取的資源標識下載所述資源，並判斷所述資源是否為病毒，若所述資源為病毒，則通知所述移動通信系統。
11.根據權利要求10所述的裝置，其特徵在於，所述業務數據獲取模塊用於通過對所述網絡設備的流入和/或流出埠進行監聽來獲取所述業務數據。
12.根據權利要求10所述的裝置，其特徵在於，所述業務數據獲取模塊用於執行以下操作中的至少一個獲取移動通信系統中流經簡訊中心的簡訊；獲取移動通信系統中流經網關或通用分組無線業務網關支持節點GGSN的彩信和/或郵件。
13.根據權利要求10所述的裝置，其特徵在於，所述病毒探測模塊，包括資源下載單元，用於根據所述資源標識下載資源；資源掃描單元，用於判斷所述資源是否為可執行文件；若所述資源為可執行文件，將所述資源提供給模擬器單元；所述模擬器單元，用於運行所述可執行文件並監控所述可執行文件的行為；以及，病毒檢測單元根據所述模擬器單元監控到的所述可執行文件的行為判斷所述資源是否為病毒，若為病毒，則通知所述移動通信系統；或者包括資源下載單元，用於根據所述資源標識下載資源；資源掃描單元，用於根據病毒庫掃描所述資源，根據所述掃描結果判斷所述資源是否為病毒；以及病毒檢測單元，用於當所述資源掃描單元判斷所述資源為病毒時，將所述資源的信息存儲在所述病毒庫中；或者包括資源下載單元，用於根據所述資源標識下載資源；資源掃描單元，用於根據病毒庫掃描所述資源，並根據所述掃描結果判斷所述資源是否為病毒，若所述資源為病毒則通知病毒檢測單元將所述資源的信息存儲在所述病毒庫中，若所述資源不是病毒，則判斷所述資源是否為可執行文件，若所述資源為可執行文件，將所述資源提供給模擬器單元； 所述模擬器單元，用於運行所述可執行文件並監控所述可執行文件的行為；以及，所述病毒檢測單元，用於根據所述模擬器單元監控到的所述可執行文件的行為判斷所述資源是否為病毒，若為病毒，則通知所述移動通信系統和/或將所述資源的信息存儲在所述病毒庫中。
14.根據權利要求13所述的裝置，其特徵在於，所述模擬器單元用於監控並記錄所述可執行文件的以下中的一種或多種行為所述可執行文件通過簡訊或者彩信或者藍牙自動發送可疑消息；所述模擬器重啟時，所述可執行文件修改關鍵文件。
15.根據權利要求10所述的裝置，其特徵在於，所述信息提取模塊進一步用於判斷所述業務數據中是否包括可疑內容；若所述業務數據中包括可疑內容，則將所述資源標識提供給所述病毒探測模塊。
全文摘要
本發明實施例提供了在移動通信系統中探測病毒的方法和裝置。該方法包括病毒探測裝置獲取移動通信系統中流經網絡設備的業務數據；從所述業務數據中提取指向網絡中資源的資源標識；根據所述資源標識下載所述資源；判斷所述資源是否為病毒，若所述資源為病毒，則通知所述移動通信系統。本發明實施例提供的在移動通信系統中探測病毒方法和裝置可以監測移動通信系統的業務數據，針對其中可疑的消息主動探測病毒，能夠發現通過向移動通信系統的用戶散播病毒伺服器地址進行傳播的病毒。
文檔編號H04W12/12GK102547710SQ20101060605
公開日2012年7月4日 申請日期2010年12月22日 優先權日2010年12月22日
發明者郭代飛, 隋愛芬 申請人:西門子公司