本发明专利技术提出一种异常流量检验方法和装置,涉及信息安全领域。其中,本发明专利技术的异常流量检验方法包括:监控移动终端的网络程序对系统日志的操作行为;根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序;确定异常网络程序发送异常流量。通过这样的方法能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,识别通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录的网络程序,从而确定该网络程序发送异常流量。
【技术实现步骤摘要】
异常流量检验方法和装置
本专利技术涉及信息安全领域,特别是一种异常流量检验方法和装置。
技术介绍
目前,随着移动宽带技术快速发展,移动智能终端用户快速增长,恶意程序发送的异常流量成为网络运营面临的重大安全风险。但是,现有技术主要通过在终端设置发送流量的阈值进行检测,只有在发送的流量达到一定程度时才能够提供流量告警,难以快速的发现恶意程序发送异常流量的行为,为用户造成一定的流量损失,同时也容易发生数据失窃。另外,由于只对流量使用情况进行监测,容易发生误报的情况,准确性有限。
技术实现思路
本专利技术的一个目的在于提高终端异常流量检测的精度和准确度。根据本专利技术的一个方面,提出一种异常流量检验方法,包括:监控移动终端的网络程序对系统日志的操作行为;根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序;确定异常网络程序发送异常流量。可选地,异常操作包括:反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置。可选地,还包括:监控移动终端的进程,根据应用程序的网络连接权限获取网络程序列表;监控移动终端的网络程序对系统日志的操作行为包括:监控网络程序列表中应用程序对系统日志的操作行为。可选地,还包括:如果检测到网络程序发送异常流量则进行告警,并向用户提供发送异常流量的网络程序的名称。可选地,还包括:如果检测到网络程序发送异常流量,则取消发送异常流量的网络程序的网络连接权限。通过这样的方法能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,发现程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录,从而确定该网络程序发送异常流量,提高了检验网络程序发送异常流量的速度和准确度。根据本专利技术的另一个方面,提出一种异常流量检验装置,包括:日志操作监控模块,用于监控移动终端的网络程序对系统日志的操作行为;异常程序识别模块,用于根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序;异常确定模块,用于确定异常网络程序发送异常流量。可选地,异常操作包括:反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置。可选地,还包括:筛选模块,用于监控移动终端的进程,根据应用程序的网络连接权限获取网络程序列表;日志操作监控模块,还用于监控网络程序列表中应用程序对系统日志的操作行为。可选地,还包括:告警模块,用于当检测到网络程序发送异常流量时进行告警,并向用户提供发送异常流量的网络程序的名称。可选地,还包括:权限操作模块,用于当检测到网络程序发送异常流量时,取消发送异常流量的网络程序的网络连接权限。这样的装置能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,判断程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录,从而确定该网络程序发送异常流量,提高了检验网络程序发送异常流量的速度和准确度。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1为本专利技术的异常流量检验方法的一个实施例的流程图。图2为本专利技术的异常流量检验方法的另一个实施例的流程图。图3为本专利技术的异常流量检验方法的又一个实施例的流程图。图4为本专利技术的异常流量检验系统的一个实施例的示意图。图5为本专利技术的异常流量检验系统的另一个实施例的示意图。图6为本专利技术的异常流量检验系统的又一个实施例的示意图。具体实施方式下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述。在现有的移动终端的安全设置中,一般不向用户开放最高的系统权限,移动终端的程序不具备日志文件的操作权限,即不可以篡改日志文件的默认设置。而在一个被破解的移动终端系统中,例如被“越狱”或“Root”后,用户取得了对系统的最高控制权限,移动终端的程序也具备了对日志文件的操作权限。这也是移动终端系统在被破解后,往往更容易感染恶意程序的根本原因。因此,根据移动终端中的网络程序对于系统日志的操作行为,可以判断其异常情况,从而确定网络程序发送异常流量。本专利技术的异常流量检验方法的一个实施例的流程图如图1所示。在步骤101中,监控移动终端的网络程序对于系统日志的操作行为。在智能终端操作系统中,每个程序的行为都会被写入系统日志文件。在步骤102中,根据网络程序对系统日志的操作行为确定异常网络程序。由于正常的网络程序通常不会更改日志文件;而恶意程序为了躲避后续取证、检测,延长其生存周期,往往会操作日志文件。因此,根据程序对于系统日志的操作行为能够判断程序异常。在步骤103中,根据异常网络程序对于系统日志的具体的操作,确定该异常网络程序发送异常流量。恶意程序为了躲避后续取证、检测,延长其生存周期,往往会对日志文件进行操作。在一个实施例中,异常网络程序在发送异常流量时会对系统日志反复操作,清除其发送恶意流量时的行为记录;在完成恶意行为后,又将日志文件恢复到正常状态,从而躲避安全软件的查杀。在一个实施例中,恶意程序在发送异常流量时,对日志文件的操作往往呈现出“将日志文件地址指向Null位置→将日志文件恢复正常位置”的操作特征。通过这样的方法能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,判断程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录,从而确定该网络程序发送异常流量,提高了检验网络程序发送异常流量的速度和准确度。本专利技术的异常流量检验方法的另一个实施例的流程图如图2所示。在步骤201中,监控移动终端的进程,获取网络程序列表。移动终端的程序通常具有权限声明,可以从系统的权限控制列表中筛选出具有网络连接权限的程序,将具有网络连接权限的程序添加进网络程序列表。在步骤202中,监控网络程序列表中的网络程序对于系统日志的操作行为。在步骤203中,根据网络程序对系统日志的操作行为确定异常网络程序。在步骤204中,根据异常网络程序对于系统日志的具体的操作,确定该异常网络程序发送异常流量。判断异常网络程序发送异常流量的根据可以包括网络程序反复操作系统日志、清除行为记录或将日志文件指向空位置后又恢复到正常位置。通过这样的方法,能够只监控具有网络连接权限的程序,从而减少不必要的程序遍历,节省终端的系统资源,且提高检验效率。本专利技术的异常流量检验方法的再一个实施例的流程图如图3所示。在步骤301中,监控移动终端的进程,获取网络程序列表。移动终端的程序通常具有权限声明,可以从系统的权限控制列表中筛选出具有网络连接权限的程序。在步骤302中,监控网络程序列表中的网络程序对于系统日志的操作行为。在步骤303中,根据网络程序对系统日志的操作行为确定异常网络程序。在步骤304中,根据异常网络程序对于系统日志的具体的操作,确定该异常网络程序发送异常流量。在步骤305中,当判断网络程序为发送异常流量的恶意程序时,执行安全防护操作。在一个实施例中,终端向用户发送告警信息,将发送异常流量的网络程序的名称告知用户,便于用户辨别恶意程序。在另一个实施例中,终端能够取消发送异常流量的网络程序的网络连接权限,从而使该程序不能与网络连接,保证了用户的数据、流量安全。通过这样的方法,当判断网络程序发送异常流量时,能够执行安全防护本文档来自技高网...
【技术保护点】
一种异常流量检验方法,其特征在于,包括:监控移动终端的网络程序对系统日志的操作行为;根据所述网络程序对所述系统日志的操作行为确定对所述系统日志进行异常操作的异常网络程序;确定所述异常网络程序发送异常流量。
【技术特征摘要】
1.一种异常流量检验方法,其特征在于,包括:监控移动终端的网络程序对系统日志的操作行为;根据所述网络程序对所述系统日志的操作行为确定对所述系统日志进行异常操作的异常网络程序;确定所述异常网络程序发送异常流量。2.根据权利要求1所述的方法,其特征在于,所述异常操作包括:反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置。3.根据权利要求1所述的方法,其特征在于,还包括:监控移动终端的进程,根据应用程序的网络连接权限获取网络程序列表;所述监控移动终端的网络程序对系统日志的操作行为包括:监控网络程序列表中应用程序对系统日志的操作行为。4.根据权利要求1所述的方法,其特征在于,还包括:如果检测到所述网络程序发送异常流量则进行告警,并向用户提供发送异常流量的网络程序的名称。5.根据权利要求1所述的方法,其特征在于,还包括:如果检测到所述网络程序发送异常流量,则取消发送异常流量的网络程序的网络连接权限。6.一种异常流量检验装置,其特征在于,...
【专利技术属性】
技术研发人员:刘东鑫,刘国荣,史国水,王帅,肖宇峰,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。