本发明专利技术实施例公开了一种疑似手机恶意软件的定位方法及其装置,用于提高定位疑似手机恶意软件的针对性,且不需要用户参与。其中的方法包括:按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志;将可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机;获取疑似感染的用户手机在预置时间内下载过的手机软件,预置时间为可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间;对下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对疑似手机恶意软件进行判断是否存在恶意行为。
【技术实现步骤摘要】
一种疑似手机恶意软件的定位方法及其装置
本专利技术涉及通信
,尤其涉及一种疑似手机恶意软件的定位方法及其装置。
技术介绍
随着无线网络的演进、移动数据业务的快速增长以及移动终端的智能化,移动互联网得到了快速发展,移动宽带逐渐取代固网宽带占据统治地位,人们越来越依赖智能的手机终端实现各种各样的数据业务,如浏览新闻、收发彩信、收发邮件、网上支付、聊天、游戏等。但是,移动互联网发展的同时,手机恶意软件产业也随之兴起,通过恶意软件吸引或诱惑用户去下载安装,然后获取手机用户的隐私信息,给手机用户造成了严重的信息安全威胁。为了保护手机用户的信息安全,必须在用户的手机中查找到手机恶意软件然后进行清除,现有技术中为了查找用户的手机中可能存在的恶意软件,通常有如下两种方式:现有技术一的技术方案是在用户的手机终端中毒以后,由用户对所使用的疑似手机恶意软件进行举报,将样本举报给安全厂商,再由安全厂商对举报的软件进行分析,从而确定软件是否具有恶意行为。目前国内大多数厂商均采用此方法,例如奇虎360、网秦等,本专利技术的专利技术人在实现本专利技术的过程中发现,现有技术的这种做法需要手机终端用户对手机恶意软件进行举报,样本软件来源依赖用户上传,对手机终端用户而言使用起来很不方便,并且总是依赖于用户上传样本软件,具有一定的滞后性。现有技术二的技术方案主要是通过对网络数据进行海量爬取,然后使用样本分析工具,对爬取到的样本进行反编译以及自动分析,从而排除非恶意软件,然后对剩余的疑似手机恶意软件进行重点分析,从而确定所爬取的样本中是否存在手机恶意软件。本专利技术的专利技术人在实现本专利技术的过程中发现,现有技术的这种做法需要对海量的网络数据爬取,分析工作量大,而且分析不具有针对性,能够查找到手机恶意软件的效率很低。
技术实现思路
本专利技术实施例提供了一种疑似手机恶意软件的定位方法及其装置,用于提高定位疑似手机恶意软件的针对性,且不需要用户参与。为解决上述技术问题,本专利技术实施例提供以下技术方案:第一方面,本专利技术实施例提供一种疑似手机恶意软件的定位方法,包括:按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志;将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机;获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间;对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为;其中,所述获取所述疑似感染的用户手机在预置时间内下载过的手机软件,包括:获取所述疑似感染的手机用户在预置时间内的用户下载日志;根据所述用户下载日志中记录的统一资源定位符URL下载所述URL对应的网络资源,得到所述下载过的手机软件。结合第一方面,在第一方面的第一种可能的实现方式中,所述将所述可疑的用户上网行为日志与移动网关中存储的手机上网IP分配日志进行关联,获取到疑似感染的用户手机,包括:获取所述可疑的用户上网行为日志中记录的IP地址;在所述手机上网IP分配日志中查找到所述IP地址被分配给的国际移动设备身份码IMEI,所述IMEI对应的手机就是所述疑似感染的用户手机。结合第一方面,在第一方面的第二种可能的实现方式中,所述对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,包括:对所述下载过的手机软件进行白名单过滤;将未通过白名单过滤的手机软件定位为疑似手机恶意软件。结合第一方面,在第一方面的第三种可能的实现方式中,所述对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,包括:若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件;若存在,将相同的手机软件定位为疑似手机恶意软件。第二方面,本专利技术实施例还提供一种疑似手机恶意软件的定位装置,包括:筛选单元,用于按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志,以及将所述可疑的用户上网行为日志传输给关联单元;关联单元,用于从所述筛选单元接收所述可疑的用户上网行为日志,以及将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机,以及将所述疑似感染的用户手机传输给获取单元;获取单元,用于从关联单元接收所述疑似感染的用户手机,以及获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间,以及将所述下载过的手机软件传输给所述定位单元;定位单元,用于从所述获取单元接收所述下载过的手机软件,以及对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为;其中,所述获取单元包括:获取子单元,用于从关联单元接收所述疑似感染的用户手机,以及获取所述疑似感染的手机用户在预置时间内的用户下载日志,以及将所述用户下载日志发送给下载子单元;下载子单元,用于从所述获取子单元接收所述用户下载日志,以及根据所述用户下载日志中记录的统一资源定位符URL下载所述URL对应的网络资源,得到所述下载过的手机软件。结合第二方面,在第二方面的第一种可能的实现方式中,所述关联单元包括:IP地址获取子单元,用于从所述筛选单元接收所述可疑的用户上网行为日志,以及获取所述可疑的用户上网行为日志中记录的IP地址,以及向查找子单元传输所述IP地址;查找子单元,用于从所述IP地址获取子单元接收所述IP地址,以及在所述手机上网IP分配日志中查找到所述IP地址被分配给的国际移动设备身份码IMEI,所述IMEI对应的手机就是所述疑似感染的用户手机。结合第二方面,在第二方面的第二种可能的实现方式中,所述定位单元包括:过滤子单元,用于从所述获取单元接收所述下载过的手机软件,以及对所述下载过的手机软件进行白名单过滤,以及将未通过白名单过滤的手机软件传输给第一定位子单元;第一定位子单元,用于从所述过滤子单元接收所述未通过白名单过滤的手机软件,以及将未通过白名单过滤的手机软件定位为疑似手机恶意软件。结合第二方面,在第二方面的第三种可能方式中,所述定位单元包括:判断子单元,用于从所述获取单元接收所述下载过的手机软件,以及若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件,以及将判断结果传输给第二定位子单元;第二定位子单元,用于从所述判断子单元接收判断结果,若所述判断结果表示存在相同的手机软件,将相同的手机软件定位为疑似手机恶意软件。从以上技术方案可以看出,本专利技术实施例具有以下优点:在本专利技术实施例中,首先按照可疑行为筛选规则对手机用户上网行为日志中筛选出可疑的用户上网行为日志,然后根据可疑的用户上网行为日志关联出疑似感染的用户手机,最后对疑似感染的用户手机下载过的手机软件进行分析,从而定位出疑似手机恶意软件,本专利技术实施例中定位疑似手机恶意软件的方法是通过从手机用本文档来自技高网...
【技术保护点】
一种疑似手机恶意软件的定位方法,其特征在于,包括:按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志;将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机;获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间;对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为。
【技术特征摘要】
1.一种疑似手机恶意软件的定位方法,其特征在于,包括:按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志;将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机;获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间;对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为;其中,所述获取所述疑似感染的用户手机在预置时间内下载过的手机软件,包括:获取所述疑似感染的手机用户在预置时间内的用户下载日志;根据所述用户下载日志中记录的统一资源定位符URL下载所述URL对应的网络资源,得到所述下载过的手机软件。2.根据权利要求1所述的方法,其特征在于,所述可疑行为筛选规则包括以下规则中的至少一种:异常特征字段匹配规则、用户连接网络频率统计规则、文件传播数量阈值统计规则。3.根据权利要求1所述的方法,其特征在于,所述将所述可疑的用户上网行为日志与移动网关中存储的手机上网IP分配日志进行关联,获取到疑似感染的用户手机,包括:获取所述可疑的用户上网行为日志中记录的IP地址;在所述手机上网IP分配日志中查找到所述IP地址被分配给的国际移动设备身份码IMEI,所述IMEI对应的手机就是所述疑似感染的用户手机。4.根据权利要求1所述的方法,其特征在于,所述对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,包括:对所述下载过的手机软件进行白名单过滤;将未通过白名单过滤的手机软件定位为疑似手机恶意软件。5.根据权利要求1所述的方法,其特征在于,所述对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,包括:若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件;若存在,将相同的手机软件定位为疑似手机恶意软件。6.一种疑似手机恶意软件的定位装置,其特征在于,包括:筛选单元,用于按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志,以及将所述可疑的用户上网行为日志传输给关联单元;关联单元,用于从所述筛选单元接收所述可疑的用户上网行为日志,以及将所述可疑的用户...
【专利技术属性】
技术研发人员:张子芳,姚允元,郭辉,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。