一种识别木马病毒的方法及装置制造方法及图纸

技术编号:16067024 阅读:43 留言:0更新日期:2017-08-22 18:18
本发明专利技术公开了一种识别木马病毒的方法及装置,包括:采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据;对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。

Method and device for identifying Trojan horse virus

The invention discloses a method and a device, identification of Trojan virus include: core network and billing data acquisition data, the core network data including signaling data and business data; historical habits analysis and periodic behavior analysis of the cycle of business data, and combined with the accounting data to identify suspected infected users; determine the corresponding service data service information does not belong to the white list database and belongs to the list, the business data is added to the suspected Trojan behavior in the event table; determine the business data corresponding to the business information does not belong to the white list database and does not belong to the list, will meet the business strategy is added to the screening data of suspected Trojan behavior in the event table; the suspected Trojan behavior event in business data centralized analysis, determine the hobbyhorse Business data, and adds the business information of the business data belonging to the Trojan to the black list library.

【技术实现步骤摘要】
一种识别木马病毒的方法及装置
本专利技术涉及移动通信领域,尤其涉及一种通过网络上的用户行为识别手机木马病毒的方法及装置。
技术介绍
随着移动互联网的发展,移动终端特别是智能终端的普及,手机病毒或者手机恶意程序即将甚至已经造成很多危害。在所有病毒种类中,以消耗资费、窃取用户身份信息、交易信息、支付信息为目的的木马类病毒占比超过75%,成为影响用户信息安全、经济安全的最重要方面。手机病毒起源于计算机病毒。沿用计算机木马的定义,手机木马可以定义为:木马是有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对手机产生危害,而是以控制为主。目前,木马病毒的发现和处理主要是通过移动终端主动安装安全类应用(App)如QQ安全卫士、360安全卫士、金山卫士等完成,同时需要移动终端用户对移动支付、网页浏览等联网应用树立防范意识。由于中老年用户群、女性用户群等广大用户群体的相关防范意识和主动性较弱,基于现有方案,手机木马较难进行遏制。手机木马造成的危害也与日俱增。此外,因为手机木马程序都带有明显的趋利性,危害更大。主要危害有以下几种:1、通过发送垃圾短信,推送广告。2、窃取用户信息,进行敲诈欺骗。3、非法定制各种服务提供商(sp,serviceprovider)服务。4、利用各种陷阱吸费。在手机用户无法进行主动防御、查杀木马的情况下,木马病毒涉及的另一主体——运营商也会受到较大影响。由手机木马造成的吸费、消耗流量等危害一般会通过用户的投诉、离网间接对运营商造成不良影响。若运营商无法及时查明原因,就需要对用户关于资费损失的投诉进行补偿处理,造成经济和品牌满意度损失。针对此类问题,现有方案较难解决。
技术实现思路
为解决上述技术问题,本专利技术实施例提供了一种识别木马病毒的方法及装置。本专利技术实施例提供的识别木马病毒的方法,包括:采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据;对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。本专利技术实施例中,所述判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中,包括:判断所述业务数据对应的业务信息是否属于白名单库;当判定出所述业务数据对应的业务信息属于白名单库时,不作处理;当判定出所述业务数据对应的业务信息不属于白名单库时,判断所述业务数据对应的业务信息是否属于黑名单库;当判定出所述业务数据对应的业务信息属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中。本专利技术实施例中,所述筛选策略,包括:第一筛选规则、第二筛选规则、第三筛选规则;其中,所述第一筛选规则是指:根据所述信令数据和所述业务数据,确定出联网行为和业务行为的时间差;根据所述时间差,判断联网后是否立即产生流量;是时,则所述业务数据满足筛选策略;所述第二筛选规则是指:根据所述业务数据,确定出上传事件和下载事件;判断产生上传事件后是否紧接着产生下载事件;是时,则所述业务数据满足筛选策略;所述第三筛选规则是指:判断所述业务数据是否属于疑似感染木马用户名单,所述疑似感染木马用户名单由所述疑似感染木马用户组成;是时,则所述业务数据满足筛选策略。本专利技术实施例中,所述对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库,包括:对所述疑似木马行为事件表中的业务数据,进行周期性或非周期性的进行集中性分析,以判断所述疑似木马行为事件表中的业务数据是否收敛;对于收敛的业务数据,根据获得的验证操作进一步判断所述业务数据是否属于木马;当判定出所述业务数据属于木马时,将所述属于木马的业务数据的业务信息添加至所述黑名单库。本专利技术实施例中,所述方法还包括:当判定出所述业务数据属于木马时,将所述属于木马的业务数据的相关用户添加至所述疑似感染木马用户名单;当判定出所述业务数据不属于木马时,将所述不属于木马的业务数据的业务信息添加至所述白名单库。本专利技术实施例中,所述对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户,包括:对历史周期业务数据分别进行流量习惯分析、业务习惯分析以及时间习惯分析,得到历史分析结果;根据当前周期业务数据,得到基于流量、业务以及时间的与历史周期业务数据相关的数据,作为当前分析结果;将所述当前分析结果与所述历史分析结果进行比对,当所述当前分析结果与所述历史分析结果不符时,将所述当前分析结果与所述计费数据进行比对,当所述当前分析结果与所述计费数据不符时,则识别出疑似感染木马用户。本专利技术实施例提供的识别木马病毒的装置,包括:数据模块,用于采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据;周期行为分群模块,用于对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;实时行为筛选模块,用于判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。本专利技术实施例中,所述实时行为筛选模块包括:白名单判断模块,用于判断所述业务数据对应的业务信息是否属于白名单库;当判定出所述业务数据对应的业务信息属于白名单库时,不作处理;黑名单判断模块,用于当判定出所述业务数据对应的业务信息不属于白名单库时,判断所述业务数据对应的业务信息是否属于黑名单库;当判定出所述业务数据对应的业务信息属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中。本专利技术实施例中,所述实时行为筛选模块包括:筛选策略模块,用于判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;其中,所述筛选策略,包括:第一筛选规则、第二筛选规则、第三筛选规则;其中,所述第一筛选规则是指:根据所述信令数据和所述业务数据,确定出联网行为和业务行为的时间差;根据所述时间差,判断联网后是否立即产生流量;是时,则所述业务数据满足筛选策略;所述第二筛选规则是指:本文档来自技高网
...
一种识别木马病毒的方法及装置

【技术保护点】
一种识别木马病毒的方法,其特征在于,所述方法包括:采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据;对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。

【技术特征摘要】
1.一种识别木马病毒的方法,其特征在于,所述方法包括:采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据;对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。2.根据权利要求1所述的识别木马病毒的方法,其特征在于,所述判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中,包括:判断所述业务数据对应的业务信息是否属于白名单库;当判定出所述业务数据对应的业务信息属于白名单库时,不作处理;当判定出所述业务数据对应的业务信息不属于白名单库时,判断所述业务数据对应的业务信息是否属于黑名单库;当判定出所述业务数据对应的业务信息属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中。3.根据权利要求1所述的识别木马病毒的方法,其特征在于,所述筛选策略,包括:第一筛选规则、第二筛选规则、第三筛选规则;其中,所述第一筛选规则是指:根据所述信令数据和所述业务数据,确定出联网行为和业务行为的时间差;根据所述时间差,判断联网后是否立即产生流量;是时,则所述业务数据满足筛选策略;所述第二筛选规则是指:根据所述业务数据,确定出上传事件和下载事件;判断产生上传事件后是否紧接着产生下载事件;是时,则所述业务数据满足筛选策略;所述第三筛选规则是指:判断所述业务数据是否属于疑似感染木马用户名单,所述疑似感染木马用户名单由所述疑似感染木马用户组成;是时,则所述业务数据满足筛选策略。4.根据权利要求3所述的识别木马病毒的方法,其特征在于,所述对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库,包括:对所述疑似木马行为事件表中的业务数据,进行周期性或非周期性的进行集中性分析,以判断所述疑似木马行为事件表中的业务数据是否收敛;对于收敛的业务数据,根据获得的验证操作进一步判断所述业务数据是否属于木马;当判定出所述业务数据属于木马时,将所述属于木马的业务数据的业务信息添加至所述黑名单库。5.根据权利要求4所述的识别木马病毒的方法,其特征在于,所述方法还包括:当判定出所述业务数据属于木马时,将所述属于木马的业务数据的相关用户添加至所述疑似感染木马用户名单;当判定出所述业务数据不属于木马时,将所述不属于木马的业务数据的业务信息添加至所述白名单库。6.根据权利要求1至5任一项所述的识别木马病毒的方法,其特征在于,所述对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户,包括:对历史周期业务数据分别进行流量习惯分析、业务习惯分析以及时间习惯分析,得到历史分析结果;根据当前周期业务数据,得到基于流量、业务以及时间的与历史周期业务数据相关的数据,作为当前分析结果;将所述当前分析结果与所述历史分析结果进行比对,当所述当前分析结果与所述历史分析结果不符时,将所述当前分析结果与所述计费数据进行比对,当所述当前分析结果与所述计费数据不符时,则识别出疑似感染木马用户。7.一种识别木马病毒的装置,其特征在于,所述装置包括:数据模块,用于采集核心网数据...

【专利技术属性】
技术研发人员:杨慰民谢璨罗卫鸿万伟雄李灵慧傅子僖卢宇辰蔡鸿祥潘延涛
申请(专利权)人:中国移动通信集团福建有限公司
类型:发明
国别省市:福建,35

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1