本发明专利技术公开了一种基于网络接入点的移动终端恶意软件检测方法及其系统,该方法包括:用户移动终端通过网络接入点访问网络,向检测服务器申请认证;认证处理后,通过动态分配流量镜像端口进行采集且缓存用户移动终端网络流量至流量数据处理服务器,然后对获取的用户移动终端网络流量进行识别和隐私处理,然后提取并聚合网络流量数据特征,形成特征集,并传送至检测服务器;读取特征集,检测服务器中的检测模型对特征集中特征进行检测,检测结果通过网络接入点返回给用户。该方法在网络接入点利用移动终端产生的网络流量来检测终端设备是否安装有恶意软件,通过分析网络流量特征,立即检测出在移动终端产生恶意流量时移动终端上运行的恶意软件。
【技术实现步骤摘要】
本专利技术涉及一种恶意软件检测方法及其系统,尤其涉及一种基于网络接入点的移动终端恶意软件检测方法及其系统。
技术介绍
随着移动终端的广泛使用,尤其是智能手机的迅速普及,移动智能终端给现代社会巨大的变革,进入21世纪以来,我们已经迅速步入了移动时代。而手机已不再局限于传统意义上的通信业务,已经成为集电子商务、个人支付、社交娱乐等功能于一体的强大终端。然而随着移动应用的普及和用户数量爆发式增长,移动智能终端的安全也面临着巨大挑战。据国家互联网应急中心发布的2013年中国互联网网络安全报告的一项统计,恶意扣费类的恶意程序数量居首位,达到了 502481个,显示了黑客制作恶意程序带有明显的趋利性,而针对Android平台的恶意联网程序达到了 699514个,占总数99%以上。传统的移动终端恶意软件检测方法根据检测方式的不同大致可以分为两类,即静态检测和动态检测。(I)对于静态检测技术,是利用反编译工具和逆向工程技术对移动终端的恶意软件进行反编译和反汇编,再从源代码中找出恶意代码。这种静态检测技术最大的优点是实施简单,用户只需在终端上安装检测程序即可,而各大安全公司的移动终端的安全产品也大都采用这种模式。但是随着代码混淆、加壳等技术的出现,反编译和对恶意代码的特征匹配已经变成了一件非常困难的事情,同时,这种静态检测技术非常依赖于已有恶意代码的特征,对未知恶意软件的发现能力极其不足。(2)对于动态检测技术,则是利用“沙盒”机制,通过在沙盒内运行应用软件,监控应用软件对系统敏感资源的调用来达到识别的目的。这种动态的方法对未知的恶意应用具有一定的发现能力,但是对用户终端的资源消耗巨大,并且难以大规模部署实施,所以相关研究仅停留在学术研究阶段。通过分析网络流量发现移动终端恶意软件是近年新兴的一种恶意软件检测技术,并取得了一些初步的研究成果。虽然已有部分研究在移动终端上进行网络流量分析,但是,现有的移动终端恶意软件网络行为特征的相关研究只局限于一些简单的网络行为特征的统计分析,例如对端口、数据包大小、开始时间、结束时间等几种简单的网络行为特征分析;同时,这种检测方式受到移动终端的限制,计算资源和空间资源有限,难以大规模的部署和使用。
技术实现思路
为了解决现有技术的缺点,本专利技术提供一种基于网络接入点的移动终端恶意软件检测方法及其系统。该方法在移动终端网络接入节点利用移动终端产生的网络流量来检测终端设备是否安装有恶意软件,并通过分析网络流量特征,达到在移动终端产生恶意流量时立即检测出移动终端上运行的恶意软件的目的。为实现上述目的,本专利技术采用以下技术方案:一种基于网络接入点的移动终端恶意软件检测方法,包括:用户移动终端通过网络接入点访问网络,向检测服务器申请认证;认证处理后,通过动态分配流量镜像端口进行采集且缓存用户移动终端网络流量至流量数据处理服务器,然后对获取的用户移动终端网络流量进行识别和隐私处理,然后提取并聚合网络流量数据特征,形成特征集,并传送至检测服务器;读取特征集,检测服务器中的检测模型对特征集中特征进行检测,检测结果通过网络接入点返回给用户。所述用户移动终端通过网络接入点访问网络,向检测服务系统申请认证的过程,包括:当用户移动终端接入点访问网络时,向检测服务系统发出认证请求;响应用户的认证请求,开始认证用户身份及用户移动终端设备信息;用户移动终端设备通过认证后,触发流量镜像端口采集用户移动终端网络流量。所述用户身份信息包括用户UID(User Identificat1n用户身份证明),用户移动终端设备信息包括终端设备的MAC地址以及设备识别码頂EI (Internat1nal MobileEquipment Identity,移动设备国际识别码,又称为国际移动设备标识)。对用户移动终端网络流量进行识别的过程,包括:解析流量镜像端口所采集的用户移动终端网络流量,得到移动终端恶意目标列表;根据移动终端恶意目标列表,分离移动终端恶意软件产生的恶意行为流量,最终识别出恶意行为流量。对识别出的用户移动终端网络流量中的恶意行为流量数据包进行设置应用名称标签。对获取的用户移动终端网络流量进行隐私处理,包括采用加密算法对用户移动终端网络流量中的隐私流量数据进行加密处理。一种基于网络接入点的移动终端恶意软件检测方法的检测系统,包括:流量数据处理服务器,所述流量数据处理服务器,包括用户交互单元,其用于当用户移动终端通过网络接入点访问网络时,响应用户移动终端的认证请求;流量镜像单元,其用于当认证处理后,通过动态分配的流量镜像端口进行采集用户移动终端网络流量;流量缓存单元,其用于缓存用户移动终端网络流量;流量识别单元,其用于识别用户移动终端网络流量;隐私处理单元,其用于对用户移动终端网络流量进行隐私处理;流量存储单元,其用于存储处理后的用户移动终端网络流量;特征提取单元,其用于提取用户移动终端网络流量中的数据特征;聚合单元,其用于对提取的用户移动终端网络流量中的数据特征进行聚合,形成表征用户移动终端网络流量的新数据特征,形成特征集;检测服务器,所述检测服务器包括检测模型单元,其用于读取特征集,并对特征集中特征进行检测,检测结果通过网络接入点返回给用户。所述检测服务器与检测模型服务器相连,所述检测模型服务器用于训练检测服务器中的检测模型,得到检测模型的最优参数,并更新检测服务器中的检测模型。所述用户交互单元,包括:认证请求发送模块,其用于当用户移动终端接入点访问网络时,向检测服务器发出认证请求;认证模块,其用于响应用户的认证请求,开始认证用户身份信息及用户移动终端设备信息;触发模块,其用于当用户移动终端设备通过认证后,触发流量镜像端口采集用户移动终端网络流量。所述流量识别单元,包括:流量解析模块,其用于解析流量镜像端口所采集的用户移动终端网络流量,得到移动终端恶意目标列表;流量分离模块,其用于根据移动终端恶意目标列表,分离移动终端恶意软件产生的恶意行为流量,最终识别出恶意行为流量。本专利技术的有益效果为:(I)本专利技术避免了直接在移动终端上检测恶意软件所带来的一系列问题,比如对移动终端的资源消耗大,对用户的依赖程度高,难以大规模部署;(2)针对传统的静态检测方法存在的对用户依赖程度高,需要在用户移动终端安装检测程序造成的对移动终端的资源消耗大等问题,本专利技术在网络接入点利用移动终端的网络流量进行恶意软件的识别,对用户依赖程度较低,由检测服务系统在接入点自动完成,不需要消耗用户移动终端的资源;(3)本专利技术中的检测服务系统具有分析多类网络行为特征的能力,解决了传统的网络行为分析只针对一些基本网络行为特征,缺乏对完整的网络交互行为特征进行分析的问题。【附图说明】图1为在网络接入点检测移动终端恶意软件的网络体系结构图;图2为基于网络接入点的移动终端恶意软件检测系统结构图;图3为检测服务器中的检测模型单元建立的流程图;图4为实施例建立规则匹配模型流程图;图5为实施例用户使用规则匹配模型检测流程图;图6为实施例建立图相似匹配模型流程图;图7为实施例用户使用图相似匹配模型检测流程图;图8为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的过程图;图9为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未本文档来自技高网...
【技术保护点】
一种基于网络接入点的移动终端恶意软件检测方法,其特征在于,包括:用户移动终端通过网络接入点访问网络,向检测服务器申请认证;认证处理后,通过动态分配流量镜像端口进行采集且缓存用户移动终端网络流量至流量数据处理服务器,然后对获取的用户移动终端网络流量进行识别和隐私处理,然后提取并聚合网络流量数据特征,形成特征集,并传送至检测服务器;读取特征集,检测服务器中的检测模型对特征集中特征进行检测,检测结果通过网络接入点返回给用户。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈贞翔,杨波,韩泓波,张蕾,彭立志,荆山,
申请(专利权)人:济南大学,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。