基於通信網的手機病毒和惡意軟體的雲檢測方法

2023-07-05 04:57:11

專利名稱：基於通信網的手機病毒和惡意軟體的雲檢測方法
技術領域：
本發明涉及一種網絡與信息安全技術，特別是涉及一種基於通信網的手機病毒和 惡意軟體的雲檢測方法，其將流量監測和雲端查殺進行結合，通過監測GPRS核心網的接 口的流量，並利用手機病毒防護伺服器對GTP-C/GTP-U流量進行分析，從而發現不可識別 的手機病毒或者惡意軟體。
背景技術：
2010年11月7日，中央電視臺《每周質量報告》播出了 「殭屍手機揭秘」節目，報 道了手機病毒背後的利益鏈和危害問題，隨後北京、重慶、江蘇等多省地方媒體進行了轉載 和跟蹤報導，引起了社會的廣泛關注。央視報導的是名為「毒媒」的病毒，感染該病毒後，用戶手機將成為「殭屍手機」，會 自動將手機號碼、IMEI等信息發送到指定的黑客伺服器，同時接受其指令，包括發送簡訊訂 購業務、向指定號碼發送垃圾簡訊、拔打騷擾電話、卸載防病毒軟體等，給客戶造成隱私洩 露、話費損失等嚴重危害，並可能威脅通信網的運行安全。根據國家網際網路應急中心的監測 數據，在9月的第一周，全國就發現近100萬部手機感染該病毒；據初步估計，每天將耗費用 戶話費約為200萬元，給客戶造成嚴重經濟損失。據不完全統計，今年上半年手機病毒種類已有1600多種，預計年底將達到MOO 種。截止2009年，手機病毒黑色產業鏈年獲利已經達到10億元。而且由於目前用戶病毒 防護意識薄弱、運營商防護手段不健全、政府監管法規不完善，手機病毒已逐漸呈現泛濫之 勢。因此，如何創作一種基於通信網的手機病毒和惡意軟體的雲檢測方法，實屬當前 重要的研發課題。

發明內容
本發明涉及一種網絡與信息安全技術，特別是涉及一種基於通信網的手機病毒和 惡意軟體的雲檢測方法，其通過監測GPRS核心網的接口的流量，並利用手機病毒防護服 務器對GTP-C/GTP-U流量進行分析，從而發現不可識別的手機病毒或者惡意軟體。本發明的目的及解決其技術問題是採用以下技術方案來實現的。依據本發明提 出的一種一種基於通信網的手機病毒和惡意軟體的雲檢測方法，其包括以下步驟步驟 (10)獲取待檢測的移動用戶手機的流入流量；步驟00)由主動雲檢測模塊分析所述流 入流量，並判斷是否符合可識別流量模式；步驟(30)將不可識別的流量實時傳送給雲匯 聚端模塊，然後傳送給雲分析引擎模塊，所述雲分析引擎模塊利用手機病毒集中管理系統 的病毒庫進行分析；步驟GO)所述雲分析引擎模塊將分析結果反饋給所述主動雲檢測模 塊，所述主動雲檢測模塊將所述分析結果保存於處理資料庫模塊；步驟(50)獲取待檢測 的移動用戶流出流量；以及步驟(60)根據實時感染用戶監控模塊分析所述流出流量，然 後將分析結果保存於處理資料庫模塊。
本發明的目的及解決其技術問題還可採用以下技術措施進一步實現。前述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其中所述步驟(10)是 通過分光器從接口獲取的移動用戶手機的流入流量，所述分光器串接於被監測的通信 網的光纖鏈路中。前述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其中所述的可識別流量 包括安全流量和不安全流量。前述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其中所述的不安全流量 為手機病毒或惡意軟體。前述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其中所述步驟00)還 包括步驟O01)所述主動雲檢測模塊利用模式匹配來判斷是否符合可識別流量模式；步 驟(202)若是，所述主動雲檢測模塊繼續判斷是否為安全流量？若為安全流量，所述主動 雲檢測模塊不做任何操作，若為不安全流量，則發送告警指令於手機；步驟(203)若否，則 執行步驟(30)。前述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其中所述步驟(30)還 包括步驟(301)所述手機病毒集中管理系統將所述不可識別的流量傳送給手機病毒研 判系統進行人工判斷。前述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其中所述主動雲檢測模 塊、所述實時感染監控模塊以及所述處理資料庫模塊設置於手機病毒防護檢測代理服務
ο前述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其中所述雲匯聚端模塊 和所述雲分析引擎模塊設置於手機病毒防護伺服器。本發明與現有技術相比具有明顯的優點和有益效果。藉由上述技術方案，本發明 基於通信網的手機病毒和惡意軟體的雲檢測方法至少具有下列優點及有益效果本發明通 過監測GPRS核心網的接口的流量，並利用手機病毒防護伺服器對GTP-C/GTP-U流量進 行分析，從而發現不可識別的手機病毒或者惡意軟體。上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段， 而可依照說明書的內容予以實施，並且為了讓本發明的上述和其他目的、特徵和優點能夠 更明顯易懂，以下特舉較佳實施例，並配合附圖，詳細說明如下。


圖1是本發明基於通信網的手機病毒和惡意軟體的雲檢測方法的流程圖。
具體實施例方式為更進一步闡述本發明為達成預定發明目的所採取的技術手段及功效，以下結合 附圖及較佳實施例，對依據本發明提出的基於通信網的手機病毒和惡意軟體的雲檢測方法 及工具其具體實施方式
、方法、步驟、結構、特徵及其功效，詳細說明如後。請參閱圖1所示，是本發明基於通信網的手機病毒和惡意軟體的雲檢測方法的流 程圖，包括以下步驟步驟10 獲取待檢測的移動用戶手機的流入流量
上述步驟的移動用戶手機的流入流量是以分光接入方式從接口採集的，通過 串接於被監測的通信網的光纖鏈路中的分光器來實現，此種設置方式保證不增加被監測的 通信網的交換機負荷，保證對被監測的通信網不造成任何不良影響。分光接入方式適用於 lO/lOO/lOOOMbps及更大流量的乙太網光纖鏈路。本發明中的通信網是指GPRS核心網，流量可為GTP-C/GTP-U。步驟20 由主動雲檢測模塊分析所述流入流量，並判斷是否符合可識別流量模式經步驟10獲取的移動用戶手機的流入流量傳送到手機病毒防護檢測代理服務 器，由設置於手機病毒防護檢測代理伺服器中的主動雲檢測模塊分析接收過來的流入流 量，並判斷是否符合可識別流量模式，此處的可識別流量包括安全流量和不安全流量，在本 發明中，不安全流量即為手機病毒或惡意軟體，在此簡稱病毒事件。在步驟20中，首先主動雲檢測模塊利用模式匹配來判斷是否符合可識別流量模 式(步驟201)，經模式匹配後，若符合可識別流量模式，主動雲檢測模塊繼續判斷是否為安 全流量？若經判斷後，為安全流量，主動雲檢測模塊不做任何操作，若為不安全流量，則發 送告警指令於手機(步驟20 ；若不符合可識別流量模式即為不可識別流量，執行下述步 驟30 (步驟203)在本發明中，不可識別流量為未知可疑軟體信息，未知可疑軟體信息可為 未知樣本信息和未知行為信息。在上述提到的不安全流量，即病毒事件，主動雲檢測模塊除發送告警指令於手機 外，同時還將病毒事件實時上報給手機病毒防護伺服器，手機病毒防護伺服器同時做出回 應，發送給手機病毒防護檢測代理伺服器，在本發明中，手機病毒防護伺服器通過接口連接 於手機病毒防護檢測代理伺服器，具體上報病毒事件的信息內容如下
欄位欄位說明Sid事件IDDescription病毒描述Signature病毒特徵Msisdn手機號GgsnsgsndataidGgsn idSource—ip手機IPDestip目標IPTimestamp時間Datapayload事件數據報文SensorID檢測代理ID
步驟30 將不可識別的流量實時傳送給雲匯聚端模塊，然後傳送給雲分析引擎模 塊，雲分析引擎模塊利用手機病毒集中管理系統的病毒庫進行分析當流入流量被判斷為不可識別流量，則由主動雲檢測模塊通過接口將不可識別流 量實時傳送到手機病毒防護伺服器，由設置於手機病毒防護伺服器的雲匯聚端模塊接收， 並傳送給設置於手機病毒防護伺服器的雲分析引擎模塊進行分析，具體分析接收的未知可 疑軟體信息，在詳細分析時，向通過接口連接於手機病毒防護伺服器的手機病毒集中管理 系統的病毒庫進行查詢，若經分析後，不可識別流量(即未知樣本信息和未知行為信息)存 在於病毒庫中，則變換為已知樣本信息和已知行為信息，存儲於手機病毒防護伺服器的病 毒資料庫中。若經分析後不可識別流量未存在於病毒庫，手機病毒集中管理系統將此不可 識別流量通過接口傳送給手機病毒研判系統進行人工判斷(步驟301)，並將判斷結果反饋 給手機病毒集中管理系統，手機病毒集中管理系統存儲新的未知可疑軟體信息，並同時反 饋給雲分析引擎模塊，存儲於病毒資料庫中，供後續匹配調用。上述的手機病毒防護伺服器向手機病毒防護檢測代理伺服器發送實時上報未知 可疑軟體信息和病毒更新請求指令，具體的未知可疑軟體信息內容如下
權利要求
1.一種基於通信網的手機病毒和惡意軟體的雲檢測方法，其特徵在於其包括以下步驟步驟(10)獲取待檢測的移動用戶手機的流入流量；步驟00)由主動雲檢測模塊分析所述流入流量，並判斷是否符合可識別流量模式；步驟(30)將不可識別的流量實時傳送給雲匯聚端模塊，然後傳送給雲分析引擎模 塊，所述雲分析引擎模塊利用手機病毒集中管理系統的病毒庫進行分析；步驟GO)所述雲分析引擎模塊將分析結果反饋給所述主動雲檢測模塊，所述主動雲 檢測模塊將所述分析結果保存於處理資料庫模塊；步驟(50)獲取待檢測的移動用戶流出流量；以及步驟(60)根據實時感染用戶監控模塊分析所述流出流量，然後將分析結果保存於處 理資料庫模塊。
2.根據權利要求1所述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其特徵在 於其中所述步驟(10)是通過分光器從接口獲取的移動用戶手機的流入流量，所述分光 器串接於被監測的通信網的光纖鏈路中。
3.根據權利要求1所述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其特徵在 於其中所述可識別流量包括安全流量和不安全流量。
4.根據權利要求3所述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其特徵在 於其中所述的不安全流量為手機病毒或惡意軟體。
5.根據權利要求1至4中任一權利要求所述的基於通信網的手機病毒和惡意軟體的雲 檢測方法，其特徵在於其中所述步驟O0)還包括步驟O01)所述主動雲檢測模塊利用模式匹配來判斷是否符合可識別流量模式；步驟O02)若是，所述主動雲檢測模塊繼續判斷是否為安全流量？若為安全流量，所 述主動雲檢測模塊不做任何操作，若為不安全流量，則發送告警指令於手機；步驟(203)若否，則執行步驟(30)。
6.根據權利要求1所述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其特徵在 於其中所述步驟(30)還包括步驟(301)所述手機病毒集中管理系統將所述不可識別的流量傳送給手機病毒研判 系統進行人工判斷。
7.根據權利要求1所述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其特徵在 於其中所述主動雲檢測模塊、所述實時感染監控模塊以及所述處理資料庫模塊設置於手機 病毒防護檢測代理伺服器。
8.根據權利要求1所述的基於通信網的手機病毒和惡意軟體的雲檢測方法，其特徵在 於其中所述雲匯聚端模塊和所述雲分析引擎模塊設置於手機病毒防護伺服器。
全文摘要
本發明是有關於一種基於通信網的手機病毒和惡意軟體的雲檢測方法。其包括步驟(10)獲取待檢測的移動用戶手機的流入流量；步驟(20)由主動雲檢測模塊分析所述流入流量，並判斷是否符合可識別流量模式；步驟(30)將不可識別的流量實時傳送給雲匯聚端模塊，然後傳送給雲分析引擎模塊，雲分析引擎模塊利用手機病毒集中管理系統的病毒庫進行分析；步驟(40)雲分析引擎模塊將分析結果反饋給述主動雲檢測模塊，主動雲檢測模塊將分析結果保存於處理資料庫模塊；步驟(50)獲取待檢測的移動用戶流出流量；以及步驟(60)根據實時感染用戶監控模塊分析所述流出流量，然後將分析結果保存於處理資料庫模塊。
文檔編號H04W12/12GK102123396SQ20111003754
公開日2011年7月13日 申請日期2011年2月14日 優先權日2011年2月14日
發明者劉長永, 楊滿智, 王瓊, 金紅, 黃琛 申請人:恆安嘉新(北京)科技有限公司