專利名稱:一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的方法及系統(tǒng)�,具體涉及的技術(shù)領(lǐng)域是對(duì)移動(dòng)數(shù)據(jù)業(yè)務(wù)中使用及傳播的惡意軟件進(jìn)行檢測(cè)和掃描。
背景技術(shù):
近年來(lái)����,隨著手機(jī)的普及和移動(dòng)數(shù)據(jù)業(yè)務(wù)的不斷發(fā)展,WAP���、彩信��、移動(dòng)寬帶上網(wǎng)已經(jīng)越來(lái)越流行���,隨著手機(jī)功能逐漸智能化���,在傳統(tǒng)互聯(lián)網(wǎng)大肆傳播的惡意軟件,已經(jīng)擴(kuò)散到移動(dòng)互聯(lián)網(wǎng)中�����,由于移動(dòng)互聯(lián)網(wǎng)用戶群體很大����,且手機(jī)與個(gè)人身份信息綁定更緊密,所以對(duì)移動(dòng)互聯(lián)網(wǎng)惡意軟件做檢測(cè)���,顯得尤為必要���。目前傳統(tǒng)互聯(lián)網(wǎng),對(duì)惡意軟件的檢測(cè)�����,主要在用戶終端實(shí)現(xiàn)����;由于手機(jī)終端的性能不如傳統(tǒng)PC終端���,所以直接將傳統(tǒng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的方法移植到移動(dòng)互聯(lián)網(wǎng)中,并不是很好的解決方案���。
發(fā)明內(nèi)容
本發(fā)明的主要目的是提供一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的方法�����,可以實(shí)現(xiàn)在移動(dòng)互聯(lián)網(wǎng)的核心網(wǎng)側(cè)���,對(duì)惡意軟件進(jìn)行檢測(cè)��,追蹤移動(dòng)互聯(lián)網(wǎng)惡意軟件的傳播情況�,并為運(yùn)營(yíng)商從網(wǎng)絡(luò)側(cè)切斷惡意軟件傳播提供數(shù)據(jù)支撐。本發(fā)明的另一個(gè)目的是提供一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的系統(tǒng)�,可以實(shí)現(xiàn)在移動(dòng)互聯(lián)網(wǎng)的核心網(wǎng)側(cè),對(duì)惡意軟件進(jìn)行檢測(cè)�,追蹤移動(dòng)互聯(lián)網(wǎng)惡意軟件的傳播情況,并為運(yùn)營(yíng)商從網(wǎng)絡(luò)側(cè)切斷惡意軟件傳播提供數(shù)據(jù)支撐����。為了實(shí)現(xiàn)上述目的,本發(fā)明提供一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的方法����,其特征在于����,該方法包括手機(jī)文件病毒掃描的方法�,手機(jī)惡意URL掃描的方法,手機(jī)惡意軟件異常行為掃描的方法���。為了實(shí)現(xiàn)上述目的��,本發(fā)明還提供一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的系統(tǒng)����,其特征在于����,該系統(tǒng)包括手機(jī)文件病毒掃描的程序,手機(jī)惡意URL掃描的程序����,手機(jī)惡意軟件異常行為掃描的程序。
此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解�����,構(gòu)成本申請(qǐng)的一部分,并不構(gòu)成對(duì)本發(fā)明的限定�。在附圖中圖1移動(dòng)互聯(lián)網(wǎng)惡意軟件監(jiān)測(cè)系統(tǒng)實(shí)現(xiàn)原理2手機(jī)文件病毒掃描的方法圖3手機(jī)惡意URL掃描的方法圖4手機(jī)惡意軟件異常行為掃描的方法
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施例進(jìn)行詳細(xì)說(shuō)明。在此��,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明�,但并不作為對(duì)本發(fā)明的限定。應(yīng)當(dāng)理解的是���,上述針對(duì)具體實(shí)施例的描述較為詳細(xì)��,并不能因此而認(rèn)為是對(duì)本發(fā)明專利保護(hù)范圍的限制����,本發(fā)明的專利保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)�。移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)系統(tǒng)由圖1所示��,本系統(tǒng)從移動(dòng)網(wǎng)絡(luò)Gn 口(SGSN與GGSN 之間的通信接口)采集數(shù)據(jù)��,并根據(jù)協(xié)議區(qū)分為HTTP/WAP數(shù)據(jù)��、MMS/Email/FTP數(shù)據(jù)�、TCP/ UDP數(shù)據(jù)�����、PDP數(shù)據(jù)�。手機(jī)文件病毒掃描模塊�����,實(shí)現(xiàn)對(duì)HTTP/WAP協(xié)議下載文件��,以及匪S/Email/FTP傳輸文件做文件病毒病毒掃描��。手機(jī)惡意URL掃描模塊��,實(shí)現(xiàn)對(duì)HTTP/WAP協(xié)議中的URL做掃描�����。手機(jī)惡意軟件異常行為掃描模塊��,實(shí)現(xiàn)對(duì)HTTP/WAP數(shù)據(jù)���、匪S/Email/FTP數(shù)據(jù)��、 TCP/UDP數(shù)據(jù)��、PDP數(shù)據(jù)中的異常行為模式做掃描���。最后將分析出的結(jié)果輸出到數(shù)據(jù)庫(kù)中����,并以UI展示給客戶�。手機(jī)文件病毒掃描程序如圖2所示,程序首先對(duì)WAP����、HTTP、FTP���、Email協(xié)議中的文件附件做提取�,其中MMS做為WAP協(xié)議的一種����。然后程序根據(jù)病毒特征庫(kù),對(duì)文件附件做掃描��,如果發(fā)現(xiàn)特征符合��,則將該病毒及相關(guān)的特征輸出�。手機(jī)惡意URL掃描程序如圖3所示,程序首先對(duì)WAP���、HTTP協(xié)議中的URL做提取�。 然后程序根據(jù)惡意URL規(guī)則庫(kù)����,對(duì)URL做掃描,如果發(fā)現(xiàn)特征符合��,則將該URL及相關(guān)的特征輸出�����。手機(jī)惡意軟件異常行為掃描程序如圖4所示����,程序首先對(duì)HTTP/WAP數(shù)據(jù)、匪S/ Email/FTP數(shù)據(jù)����、TCP/UDP數(shù)據(jù)、PDP數(shù)據(jù)做分析�,包括用戶訪問(wèn)IP地址、端口號(hào)、URL����、PDP 激活時(shí)間、彩信發(fā)送人����、Email發(fā)送人,Email發(fā)送附件等信息�,根據(jù)手機(jī)惡意軟件異常行為閾值(例如相同內(nèi)容的彩信發(fā)送不超過(guò)100次),判別手機(jī)是否存在惡意軟件�,如果存在,則將惡意行為及特性輸出�����。應(yīng)當(dāng)理解的是���,上述針對(duì)具體實(shí)施例的描述較為詳細(xì)���,并不能因此而認(rèn)為是對(duì)本發(fā)明專利保護(hù)范圍的限制,本發(fā)明的專利保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)�����。
權(quán)利要求
1.一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的方法�����,其特征在于�����,該方法包括手機(jī)文件病毒掃描的方法��,手機(jī)惡意URL掃描的方法��,手機(jī)惡意軟件異常行為掃描的方法��。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述手機(jī)文件病毒掃描的方法���,是通過(guò)采集移動(dòng)運(yùn)營(yíng)商口數(shù)據(jù)�,獲取手機(jī)用戶上網(wǎng)的數(shù)據(jù)流���,并從數(shù)據(jù)流中提取出用戶上傳��、下載的文件�,并對(duì)文件進(jìn)行掃描,如果發(fā)現(xiàn)是病毒文件���,則將病毒特征���、文件名稱、用戶的手機(jī)號(hào)碼記錄到數(shù)據(jù)庫(kù)中�����。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述手機(jī)惡意URL掃描的方法���,是通過(guò)采集移動(dòng)運(yùn)營(yíng)商口數(shù)據(jù)���,獲取手機(jī)用戶上網(wǎng)的數(shù)據(jù)流�����,并從數(shù)據(jù)流中提取GET或者POST消息��,這兩個(gè)消息都包含URL字段,如果該URL符合惡意URL特征�����,則將惡意URL����,特征、用戶的手機(jī)號(hào)碼記錄到數(shù)據(jù)庫(kù)中��。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,所述手機(jī)惡意軟件異常行為的掃描方法, 是通過(guò)采集移動(dòng)運(yùn)營(yíng)商口數(shù)據(jù)���,獲取手機(jī)用戶上網(wǎng)的數(shù)據(jù)流�,并從數(shù)據(jù)流中提取惡意軟件異常行為特征,如果匹配惡意軟件異常行為規(guī)則��,則將用戶的異常行為特征描述����,可能使用的惡意軟件,用戶手機(jī)號(hào)碼記錄到數(shù)據(jù)庫(kù)中����。
5.一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的系統(tǒng),其特征在于���,該系統(tǒng)包括手機(jī)文件病毒掃描的程序�,手機(jī)惡意URL掃描的程序�,手機(jī)惡意軟件異常行為掃描的程序。
6.根據(jù)權(quán)利要求5所述的方法����,其特征在于,所述手機(jī)文件病毒掃描的程序����,是通過(guò)采集移動(dòng)運(yùn)營(yíng)商口數(shù)據(jù),獲取手機(jī)用戶上網(wǎng)的數(shù)據(jù)流����,并從數(shù)據(jù)流中提取出用戶上傳���、下載的文件,并對(duì)文件進(jìn)行掃描�����,如果發(fā)現(xiàn)是病毒文件��,則將病毒特征��、文件名稱���、用戶的手機(jī)號(hào)碼記錄到數(shù)據(jù)庫(kù)中。
7.根據(jù)權(quán)利要求5所述的方法��,其特征在于��,所述手機(jī)惡意URL掃描的程序����,是通過(guò)采集移動(dòng)運(yùn)營(yíng)商口數(shù)據(jù),獲取手機(jī)用戶上網(wǎng)的數(shù)據(jù)流�����,并從數(shù)據(jù)流中提取GET或者POST消息,這兩個(gè)消息都包含URL字段�����,如果該URL符合惡意URL特征�,則將惡意URL,特征�����、用戶的手機(jī)號(hào)碼記錄到數(shù)據(jù)庫(kù)中�。
8.根據(jù)權(quán)利要求5所述的方法,其特征在于���,所述手機(jī)惡意軟件異常行為的掃描程序����, 是通過(guò)采集移動(dòng)運(yùn)營(yíng)商口數(shù)據(jù)�����,獲取手機(jī)用戶上網(wǎng)的數(shù)據(jù)流,并從數(shù)據(jù)流中提取惡意軟件異常行為特征�����,如果匹配惡意軟件異常行為規(guī)則�,則將用戶的異常行為特征描述,可能使用的惡意軟件���,用戶手機(jī)號(hào)碼記錄到數(shù)據(jù)庫(kù)中��。
全文摘要
本發(fā)明公開(kāi)一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)的方法����,可以實(shí)現(xiàn)在移動(dòng)互聯(lián)網(wǎng)的核心網(wǎng)側(cè)��,對(duì)手機(jī)文件病毒�、惡意URL����、惡意軟件異常行為進(jìn)行檢測(cè),并依據(jù)上述方法發(fā)明了一種移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)系統(tǒng)��,可追蹤移動(dòng)互聯(lián)網(wǎng)惡意軟件的傳播情況����,并為運(yùn)營(yíng)商從網(wǎng)絡(luò)側(cè)切斷惡意軟件傳播提供數(shù)據(jù)支撐�����。
文檔編號(hào)H04W12/12GK102510563SQ20111032242
公開(kāi)日2012年6月20日 申請(qǐng)日期2011年10月21日 優(yōu)先權(quán)日2011年10月21日
發(fā)明者周宏軍, 徐大為, 祝守宇 申請(qǐng)人:北京西塔網(wǎng)絡(luò)科技股份有限公司, 周宏軍, 徐大為