本发明专利技术通过将手机病毒的识别和控制部署在网络节点,而非传统的在手机上安装病毒识别和控制终端的方式,实现了手机病毒的识别和中央控制,对个人用户是透明的,极大地减轻了组织机构实现移动设备安全的工作量。同时,通过设置病毒特征库和应用行为特征库,大大降低了误报率,克服了传统方案的多项缺陷,改善了用户体验。
【技术实现步骤摘要】
本专利技术主要涉及移动互联网上的手机病毒和恶意软件的识别和控制
技术介绍
现有的手机查杀病毒的方案基本都是终端杀毒的方式。就是在每个手机用户的终端上安装客户端,客户端包含各种功能,其中最重要的两个:一是集成了预先收集的病毒特征库,当手机的网络行为符合先验的病毒定义时,则识别出病毒并执行与之匹配的控制动作;另一个是可疑行为的反馈和上传动作,当未被预先定义的特征库所包含,却达到某些触发条件时,可以将指定的行为信息上传和反馈给手机杀毒方案提供商,经其分析后将新的病毒特征库交由客户端下载更新。还有一些杀毒方案包含云查杀的方式,这有两方面含义:一是病毒特征库可能部署在云端,这使得客户端变得小巧轻便,本地资源和性能得到较大改善,另外病毒特征库更容易保持最新同步;二是病毒的鉴别计算被转移到云端,云端既可以通过先验的特征库进行识别,也可以通过统计每个个体的行为共性来进行识别。每当客户端触发网络流量时,到云端查询识别结果,并根据结果执行相应的控制动作。移动设备管理的本质是数据管理,数据管理仅仅从终端角度是不够的,必须要从云端+终端两方面解决。传统杀毒软件收集病毒样本的方式:①、Fans举报;②、论坛举报;③、蜜罐收集 ④、病毒联盟样本交换。传统杀毒软件厂商进行病毒分析的方法:①、静态扫描;②、黑盒测试;③、Debug分析,对安装的程序逐步调试。现有的手机终端杀毒方案,虽然从客户端的病毒库到云端查杀,已经取得了较大的技术进展,但其固有的缺陷却始终无法得到解决。这就需要另辟蹊径,从现有系统所未覆盖的角度入手,设计一套新的解决方案,与现有方案一起来解决病毒的识别和控制难题。现有的手机终端病毒解决方案存在如下缺陷:首先需要在手机终端上安装一个客户端,这会占据客户端较多的计算和网络资源,降低了用户移动设备的可用性;其次,安装了客户端的终端也可能由于病毒库不同步,从而无法获得一致的识别和控制效果,损害了用户体验;更重要的是,对于一个较大范围的用户群体来说,每个终端都安装客户端将会是一个极其繁琐的问题,安装和维护都非常麻烦,而未安装的用户则会被遗漏在保护之外,很可能就因为遗漏的用户从而对整个组织的移动设备的安全造成较大威胁;最后,目前的杀毒方案都是仅收集了病毒样本和可疑样本,虚警率较高给用户造成困扰从而无法长期持续地获得用户的信赖。
技术实现思路
本专利技术提供了一个新型的不需要在手机终端上安装病毒查杀终端,而是部署在网络节点处可以进行有效的中央控制的手机病毒解决方案,并且既包含手机病毒特征库,又包含正常的应用行为特征库,从而大大降低了误报率,克服了传统方案的多项缺陷,改善了用户体验。首先,本专利技术提供了一种手机病毒的识别和控制方法,其特征在于:手机病毒的识别和控制系统部署于网络节点处,无需在手机终端上安装对手机病毒进行识别和控制的客户端;其中,在该网络节点处既部署手机病毒特征库,又部署正常的应用行为特征库;根据手机病毒特征库和应用行为特征库对手机与所述网络节点间连接所代表的应用进行识别。优选地,当手机上网的流量通过所述网络节点时,首先通过应用行为特征库对该手机与所述网络节点间的连接所代表的应用进行识别。优选地,如果识别成功,则该连接的流量不是病毒;如果识别不成功,则通过病毒特征库对该连接所代表的应用进行识别,如果成功,则该连接的流量为病毒,如未识别,则根据病毒样本的行为共性对该连接所代表的应用进行识别。优选地,所述根据病毒样本的行为共性对该连接所代表的应用进行识别具体为:根据病毒样本的行为共性建立模型,分析未知的网络流量是否与该模型匹配,如果匹配,则识别为病毒,如果不匹配,则根据安全策略将剩余的流量归类为病毒或非病毒。优选地,查询病毒特征库与描述信息映射表,输出病毒名称信息。优选地,如果识别的结果为应用为病毒,则对该应用进行阻止,如果不是病毒,则不进行阻止。优选地,在根据病毒样本的行为共性对该连接所代表的应用进行识别之前,还包括:根据在网络节点中设置的恶意目标地址库,对该应用进行恶意目标地址匹配,如果匹配成功,则该应用是病毒,如果匹配不成功,则再根据病毒样本的行为共性对该连接所代表的应用进行识别。优选地,所述病毒特征库是通过持续跟踪和收集某一网站或多个入口网站提供的不推荐应用列表,然后分析提取出的应用特征,从而建立的。优选地,所述病毒特征库中的病毒是通过GOOGLE等搜索引擎对病毒或恶意应用的搜索和分析获取的。优选地,所述病毒特征库中的病毒是通过对安全机制较差的应用市场、手机论坛和资源站点的应用列表进行跟踪获取的。优选地,所述病毒特征库中的病毒是通过对Android系统上的应用程序进行反编译,分析程序代码中可疑函数调用获取的。其次,本专利技术提供了一种手机病毒的识别和控制设备,其特征在于:该设备为网络中的节点,而不是网络中的终端设备,其中,所述识别和控制设备包括:特征库部署模块,用于在所述识别和控制设备处部署手机病毒特征库和正常的应用行为特征库;接收模块,用于接收来自手机的网络连接;识别和控制模块,用于根据手机病毒特征库和应用行为特征库对手机与所述识别和控制设备间连接所代表的应用进行识别和控制。优选地,所述识别和控制模块还用于:首先通过应用行为特征库对该手机与所述网络节点间的连接所代表的应用进行识别。优选地,所述识别和控制模块还用于:如果识别成功,则该连接的流量不是病毒;如果识别不成功,则通过病毒特征库对该连接所代表的应用进行识别,如果成功,则该连接的流量为病毒,如未识别,则根据病毒样本的行为共性对该连接所代表的应用进行识别。优选地,所述根据病毒样本的行为共性对该连接所代表的应用进行识别具体为:根据病毒样本的行为共性建立模型,分析未知的网络流量是否与该模型匹配,如果匹配,则识别为病毒,如果不匹配,则根据安全策略将剩余的流量归类为病毒或非病毒。优选地,所述的设备,还包括:查询和输出模块:用于查询病毒特征库与描述信息映射表,输出病毒名称信息。优选地,设备,还包括阻止模块,用于当识别结果为所述应用为病毒时,对该应用进行阻止。优选地,所述识别和控制模块还用于:在根据病毒样本的行为共性对该连接所代表的应用进行识别之前,根据在网络节点中设置的恶意目标地址库,对该应用进行恶意目标地址匹配,如果匹配成功,则该应用是病毒,如果匹配不成功,则再根据病毒样本文档来自技高网...
【技术保护点】
一种手机病毒的识别和控制方法,其特征在于:手机病毒的识别和控制系统部署于网络节点处,无需在手机终端上安装对手机病毒进行识别和控制的客户端;其中,在该网络节点处既部署手机病毒特征库,又部署正常的应用行为特征库;根据手机病毒特征库和应用行为特征库对手机与所述网络节点间连接所代表的应用进行识别。
【技术特征摘要】
1.一种手机病毒的识别和控制方法,其特征在于:
手机病毒的识别和控制系统部署于网络节点处,无需在手机终端上安装对手
机病毒进行识别和控制的客户端;
其中,在该网络节点处既部署手机病毒特征库,又部署正常的应用行为特征
库;
根据手机病毒特征库和应用行为特征库对手机与所述网络节点间连接所代
表的应用进行识别。
2.基于权利要求1所述的方法,当手机上网的流量通过所述网络节点
时,首先通过应用行为特征库对该手机与所述网络节点间的连接所代表的应用进
行识别。
3.基于权利要求2所述的方法,还包括:如果识别成功,则该连接的
流量不是病毒;如果识别不成功,则通过病毒特征库对该连接所代表的应用进行
识别,如果成功,则该连接的流量为病毒,如未识别,则根据病毒样本的行为共
性对该连接所代表的应用进行识别。
4.基于权利要求3所述的方法,其中,所述根据病毒样本的行为共性
对该连接所代表的应用进行识别具体为:根据病毒样本的行为共性建立模型,分
析未知的网络流量是否与该模型匹配,如果匹配,则识别为病毒,如果不匹配,
则根据安全策略将剩余的流量归类为病毒或非病毒。
5.基于权利要求4所述的方法,其中,在根据病毒样本的行为共性对
该连接所代表的应用进行识别之前,还包括:根据在网络节点中设置的恶意目标
地址库,对该应用进行恶意目标地址匹配,如果匹配成功,则该应用是病毒,如
果匹配不成功,则再根据病毒样本的行为共性对该连接所代表的应用进行识别。
6.一种手机病毒的识别和控制设备,其特征在于:该设备...
【专利技术属性】
技术研发人员:崔渊博,
申请(专利权)人:北京中创腾锐技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。