本发明专利技术公开了一种具有恶意软件网络行为发现能力的无线路由器,包括:网络流量获取模块,用于从采集应用软件所产生的网络流量中采集流量,并传输到流量行为分析模块;流量行为分析模块包括特征提取模块,用于从网络流量数据中提取出各类特征,特征分类模块,在特征提取之后,按照不同的特征类型对提取的特征进行分类;模型模块,对每一种类型的特征,均有与之相适应的检测模型;配置模块,用于实现模型选择,补丁控制和获取输出功能,补丁检测与结果输出模块,用于对配置模块的补丁检测及配置模块的结果输出。针对不同的特征类型设计的不同的检测模型可以在一定程度上提高了检测的准确度,满足了用户的个性化需求。
【技术实现步骤摘要】
本专利技术涉及一种具有恶意软件网络行为发现能力的无线路由器。
技术介绍
随着移动终端的广泛使用,尤其是智能手机的迅速普及,移动智能终端给现代社会巨大的变革,进入21世纪以来,我们已经迅速步入了移动时代。而手机已不再局限于传统意义上的通信业务,已经成为集电子商务、个人支付、社交娱乐等功能于一体的强大终端。据Gartner报告统计,2014年,全球手机市场已经达35亿台(其中Android系统27亿台),已经超过PC数量,预测到2015年将超过50亿台。然而随着移动应用的普及和用户数量爆发式增长,移动智能终端的安全也面临着巨大挑战。据国家互联网应急中心发布的2013年中国互联网网络安全报告的一项统计,恶意扣费类的恶意程序数量居首位,达到了 502481个,显示了黑客制作恶意程序带有明显的趋利性,而针对Android平台的恶意联网程序达到了 699514个,占总数99%以上;据网秦公司发布的2013上半年全球手机安全报告,2013年上半年查杀到手机恶意软件51084款,同比2012年上半年增长189%,2013年上半年感染手机2102万部,同比2012年上半年增长63.8%,在全球范围内,中国大陆地区以31.71%的感染比例位居首位,俄罗斯(17.15% )、印度(13.8% )、美国(6.53% )位居其后,其中中国大陆地区增幅最快,相比2013年第一季度增长5.31%,比2012年上半年增长6.01 % ;Cheetah Mobile发布2014上半年全球移动安全报告指出2014年上半年病毒数量为2013全年的2.5倍。传统的移动终端恶意软件检测方法根据检测方式的不同大致可以分为两类,即静态检测和动态检测。(I)对于静态检测技术,传统的解决方法是利用反编译工具和逆向工程技术对移动终端的恶意软件进行反编译和反汇编,再从源代码中找出恶意代码。这种静态检测技术最大的优点是实施简单,用户只需在终端上安装检测程序即可,而各大安全公司的移动终端的安全产品也大都采用这种模式。但是随着代码混淆、加壳等技术的出现,反编译和对恶意代码的特征匹配已经变成了一件非常困难的事情,同时,这种静态检测技术非常依赖于已有恶意代码的特征,对未知恶意软件的发现能力极其不足。(2)对于动态检测技术,则是利用“沙盒”机制,通过在沙盒内运行应用软件,监控应用软件对系统敏感资源的调用来达到识别的目的。这种动态的方法对未知的恶意应用具有一定的发现能力,但是对用户终端的资源消耗巨大,并且难以大规模部署实施,所以相关研究仅停留在学术研究阶段。通过网络流量来发现移动终端的恶意软件网络行为是近年新兴的一种恶意软件检测技术,并取得了一些初步的研究成果。根据蒋旭宪等人在对1260个Android恶意软件统计之后发现,超过90%的恶意软件会与远程控制服务器建立恶意的网络连接。这说明大部分的Android恶意软件会与远程控制服务器之间通信。因此,流量行为分析可以作为发现移动终端恶意软件的方法。现有的无线路由器大多采用基于Linux的Openwrt开源操作系统,该操作系统是一个高度模块化、高度自动化的嵌入式Linux系统,拥有强大的网络组件和扩展性,可以将整个流量行为分析模块嵌入到该操作系统中。基于此,本专利技术设计了一种具有恶意软件网络行为发现能力的无线路由器。
技术实现思路
为解决现有技术存在的不足,本专利技术公开了一种具有恶意软件网络行为发现能力的无线路由器,该路由器具有网络行为分析能力,可以通过内嵌在该路由器中的恶意软件网络行为检测模型识别出经过该路由器连接到外部网络的移动终端是否安装了恶意软件。为实现上述目的,本专利技术的具体方案如下:一种具有恶意软件网络行为发现能力的无线路由器,包括:网络流量获取模块,用于采集用户移动终端上的应用软件所产生的网络流量,并传输到流量行为分析模块;所述流量行为分析模块包括特征提取模块,用于从网络流量数据中提取出各类特征,主要包括能够有效表征移动终端恶意软件网络行为的特征;特征分类模块,在特征提取之后,按照不同的特征类型对提取的特征进行分类;模型模块,对每一种类型的特征,均有与之相适应的检测模型,不同的特征类型适用于不同的模型,每种类型的特征有与之对应的唯一的模型。这些模型是一套程序,在路由器出厂时已经写入到操作系统中的流量行为分析模块,用户可以直接使用这套程序来对自己的移动终端上的网络流量进行检测;配置模块,包括模型选择模块用于实现模型选择,实现补丁控制的补丁控制模块和用于实现获取输出功能的获取输出模块;补丁检测与结果输出模块,用于对配置模块的补丁检测及配置模块的结果输出。当补丁控制模块检测到路由器的外存中有新的补丁文件或者检测到补丁检测模块发来的指令后,补丁控制模块首先获得流量数据控制权,将流量获取模块中获取的流量数据暂存到缓存中;其次补丁控制模块对流量行为分析模块中的检测模型进行打补丁升级;然后打补丁升级成功后补丁控制模块释放流量数据控制权,使得流量获取模块中获取的流量数据传输到行为分析模块;最后补丁控制模块将缓存中的流量数据传输到流量行为分析模块。进一步的,对特征进行分类时,分为规则类的特征、图类特征、数值型特征和标称型特征。进一步的,对分类后的特征,选择与之相适应的检测模型进行检测。分别的,对于规则类的特征,选择基于规则的检测模型进行检测,对于图类的特征,选择基于图相似的匹配模型进行检测,对于数值型特征和标称型特征,选择机器学习模型处理这些类型的数据。更进一步的,对于规则类的特征进行检测时,采用的步骤为:1-1)通过对用户移动终端网络流量的采集,从中提取出所有的请求的域名;1-2)将提取的域名与规则匹配模板库中规则进行匹配,若发现有恶意请求的域名存在,规则匹配模型输出发现恶意软件的检测结果。更进一步的,对于图类特征进行检测时,采用的步骤为:2-1)在采集到的用户移动终端应用软件所产生的网络流量中,按照五元组特征提取出该应用的网络行为数据流;其中,五元组特征是指具有相同的源IP,目的IP,源端口,目的端口和协议类型;2-2)根据提取出的网络行为数据流,画出用户移动终端应用软件的网络行为重构图,分别计算其与图相似匹配模型中恶意网络行为重构图的相似度和与图相似匹配模型中正常网络行为重构图的相似度,若与前者的相似度大于后者的相似度,则说明该应用软件是恶意软件。更进一步的,对于数值型和标称型特征进行检测时,采用的步骤为:3-1)在采集到的用户移动终端应用软件所产生的网络流量中,提取出数值型和标称型特征;3-2)对提取出的数值型特征和标称型特征进行归一化等预处理;3-3)将处理好的数值型特征和标称型特征输入到已经预先在流量行为分析模块中配置好的机器学习模型中;3-4)根据输入的特征,使用机器学习模型做检测。本专利技术的有益效果:本专利技术针对传统的静态检测和动态检测方法的不足,本专利技术设计了一种基于移动终端网络流量特征检测恶意应用的路由器,第一,这款路由器可以检测通过其接入到互联网的移动终端中是否安装了恶意应用,同时以系统固件的方式应用到路由器中可以实现大规模部署,很好地解决了部署困难的问题;第二,整个检测过程均在路由器端完成,充分的利用了路由器的硬件资源;第三,与传统的无线路由器相比,这款路由器具有流量检测的安全功能,保证接入的本文档来自技高网...
【技术保护点】
一种具有恶意软件网络行为发现能力的无线路由器,其特征是,包括:网络流量获取模块,用于采集用户移动终端上的应用软件所产生的网络流量,并传输到流量行为分析模块;所述流量行为分析模块包括特征提取模块,用于从网络流量数据中提取出各类特征,主要包括能够有效表征移动终端恶意软件网络行为的特征;特征分类模块,在特征提取之后,按照不同的特征类型对提取的特征进行分类;模型模块,对每一种类型的特征,均有与之相适应的检测模型,不同的特征类型适用于不同的模型,每种类型的特征有与之对应的唯一的模型;配置模块,包括模型选择模块用于实现模型选择,实现补丁控制的补丁控制模块和用于实现获取输出功能的获取输出模块;补丁检测与结果输出模块,用于对配置模块的补丁检测及配置模块的结果输出。
【技术特征摘要】
【专利技术属性】
技术研发人员:张蕾,曹栋,陈贞翔,杨波,韩泓波,李群,
申请(专利权)人:济南大学,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。