基于接入路由器進(jìn)行惡意軟件網(wǎng)絡(luò)行為檢測的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及基于接入路由器進(jìn)行惡意軟件網(wǎng)絡(luò)行為檢測的方法及系統(tǒng)��。
【背景技術(shù)】
[0002]隨著移動終端的廣泛使用��,尤其是智能手機(jī)的迅速普及��,移動智能終端給現(xiàn)代社會巨大的變革��,進(jìn)入21世紀(jì)以來��,我們已經(jīng)迅速步入了移動時代��。而手機(jī)已不再局限于傳統(tǒng)意義上的通信業(yè)務(wù)��,已經(jīng)成為集電子商務(wù)��、個人支付��、社交娛樂等功能于一體的強(qiáng)大終端��。據(jù)Gartner報告統(tǒng)計��,2014年��,全球手機(jī)市場已經(jīng)達(dá)35億臺(其中Android系統(tǒng)27億臺)��,已經(jīng)超過PC數(shù)量��,預(yù)測到2015年將超過50億臺��。然而隨著移動應(yīng)用的普及和用戶數(shù)量爆發(fā)式增長��,移動智能終端的安全也面臨著巨大挑戰(zhàn)��。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的2013年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告的一項(xiàng)統(tǒng)計��,惡意扣費(fèi)類的惡意程序數(shù)量居首位��,達(dá)到了 502481個��,顯示了黑客制作惡意程序帶有明顯的趨利性,而針對Android平臺的惡意聯(lián)網(wǎng)程序達(dá)到了 699514個��,占總數(shù)99%以上��;據(jù)網(wǎng)秦公司發(fā)布的2013上半年全球手機(jī)安全報告��,2013年上半年查殺到手機(jī)惡意軟件51084款��,同比2012年上半年增長189%��,2013年上半年感染手機(jī)2102萬部��,同比2012年上半年增長63.8%��,在全球范圍內(nèi)��,中國大陸地區(qū)以31.71%的感染比例位居首位��,俄羅斯(17.15% )��、印度(13.8% )��、美國(6.53% )位居其后��,其中中國大陸地區(qū)增幅最快��,相比2013年第一季度增長5.31%��,比2012年上半年增長6.01 % ��;Cheetah Mobile發(fā)布2014上半年全球移動安全報告指出2014年上半年病毒數(shù)量為2013全年的2.5倍��。
[0003]目前傳統(tǒng)的移動終端惡意軟件檢測方法根據(jù)檢測方式的不同大致可以分為兩類��,即靜態(tài)檢測和動態(tài)檢測��。(I)對于靜態(tài)檢測技術(shù)��,傳統(tǒng)的解決方法是利用反編譯工具和逆向工程技術(shù)對移動終端的惡意軟件進(jìn)行反編譯和反匯編��,再從源代碼中找出惡意代碼��。這種靜態(tài)檢測技術(shù)最大的優(yōu)點(diǎn)是實(shí)施簡單��,用戶只需在終端上安裝檢測程序即可��,而各大安全公司的移動終端的安全產(chǎn)品也大都采用這種模式��。但是隨著代碼混淆��、加殼等技術(shù)的出現(xiàn)��,反編譯和對惡意代碼的特征匹配已經(jīng)變成了一件非常困難的事情,同時��,這種靜態(tài)檢測技術(shù)非常依賴于已有惡意代碼的特征��,對未知惡意軟件的發(fā)現(xiàn)能力極其不足��。(2)對于動態(tài)檢測技術(shù)��,則是利用“沙盒”機(jī)制��,通過在沙盒內(nèi)運(yùn)行應(yīng)用軟件��,監(jiān)控應(yīng)用軟件對系統(tǒng)敏感資源的調(diào)用來達(dá)到識別的目的��。這種動態(tài)的方法對未知的惡意應(yīng)用具有一定的發(fā)現(xiàn)能力��,但是對用戶終端的資源消耗巨大��,并且難以大規(guī)模部署實(shí)施��,所以相關(guān)研究僅停留在學(xué)術(shù)研究階段��。
[0004]面對分析這種現(xiàn)有的移動終端惡意軟件的檢測現(xiàn)狀��,在實(shí)際生活中,人們迫切地需要一種能夠?qū)崿F(xiàn)大規(guī)模部署實(shí)施��,同時��,不需要依賴用戶安裝��、實(shí)現(xiàn)主動檢測的方案��。通過網(wǎng)絡(luò)流量來發(fā)現(xiàn)移動終端的惡意軟件網(wǎng)絡(luò)行為是近年新興的一種惡意軟件檢測技術(shù)��,并取得了一些初步的研究成果��。這種技術(shù)利用網(wǎng)絡(luò)流量來檢測用戶是否在移動終端安裝了惡意軟件��,但是這種技術(shù)僅僅停留在技術(shù)層面��,并沒有一個實(shí)現(xiàn)該技術(shù)的實(shí)際載體完成整個的檢測過程��。
【發(fā)明內(nèi)容】
[0005]為解決現(xiàn)有技術(shù)存在的不足��,本發(fā)明公開了基于接入路由器進(jìn)行惡意軟件網(wǎng)絡(luò)行為檢測的方法及系統(tǒng)��,在接入路由器通過對移動終端軟件產(chǎn)生的流量進(jìn)行基于流量行為的分析��,從而判斷通過該接入路由器連接至互聯(lián)網(wǎng)的移動終端是否安裝并運(yùn)行了惡意軟件��。
[0006]為實(shí)現(xiàn)上述目的��,本發(fā)明的具體方案如下:
[0007]基于接入路由器進(jìn)行惡意軟件網(wǎng)絡(luò)行為檢測的方法��,包括以下步驟:
[0008]移動終端接入至具有惡意軟件網(wǎng)絡(luò)行為發(fā)現(xiàn)能力的無線路由器��;
[0009]具有惡意軟件網(wǎng)絡(luò)行為發(fā)現(xiàn)能力的無線路由器識別接入的移動終端��,同意其聯(lián)網(wǎng)請求��,并開始抓取該移動終端通過上網(wǎng)產(chǎn)生的流量��,將采集的網(wǎng)絡(luò)流量傳入流量行為分析模塊��,進(jìn)行基于流量的安全檢測��;
[0010]通過惡意軟件流量自動化采集服務(wù)��,主動獲取惡意軟件流量數(shù)據(jù)集��,并將采集到的數(shù)據(jù)流量傳輸?shù)綑z測模型服務(wù)器��;
[0011]路由器進(jìn)行基于流量的安全檢測時��,根據(jù)流量的特征選擇對應(yīng)的檢測模型��,檢測模型開始對輸入的流量數(shù)據(jù)進(jìn)行處理并輸出檢測結(jié)果;處理結(jié)果通過用戶端安裝的信息反饋APP告知用戶��;
[0012]選擇的對應(yīng)的檢測模型是檢測模型服務(wù)器通過流量數(shù)據(jù)建立并經(jīng)過不斷的訓(xùn)練得到的檢測模型��,訓(xùn)練時不斷調(diào)整模型參數(shù)��,使檢測模型的效果最優(yōu)��;
[0013]檢測模型服務(wù)器定期的更新接入路由器的流量行為分析模塊��,增強(qiáng)接入路由器的安全防護(hù)��。
[0014]進(jìn)一步的��,具有惡意軟件網(wǎng)絡(luò)行為發(fā)現(xiàn)能力的無線路由器識別接入的移動終端��,將采集的網(wǎng)絡(luò)流量傳入流量行為分析模塊��,進(jìn)行基于流量的安全檢測��,具體步驟為:
[0015]采集移動終端應(yīng)用軟件所產(chǎn)生的網(wǎng)絡(luò)流量��,并傳輸?shù)搅髁啃袨榉治瞿K��;
[0016]流量行為分析模塊含有特征提取模塊��,用于從網(wǎng)絡(luò)流量數(shù)據(jù)中提取出各類特征��,主要包括能夠有效表征移動終端惡意軟件網(wǎng)絡(luò)行為的特征��;
[0017]在特征提取之后��,按照不同的特征類型對提取的特征進(jìn)行分類��;
[0018]對每一種類型的特征��,選擇與之相匹配的檢測模型��,不同的特征類型適用于不同類型的模型��,每種類型的特征有與之對應(yīng)的唯一的模型��;
[0019]配置模塊��,用于實(shí)現(xiàn)模型選擇��,更新控制和獲取輸出功能��;
[0020]更新接口與結(jié)果輸出模塊��,分別用于對配置模塊的更新檢測及配置模塊的結(jié)果輸出��。
[0021]進(jìn)一步的,首先��,當(dāng)更新控制模塊檢測到路由器的外存中有待更新的文件或者檢測到更新接口發(fā)來的指令后��,更新控制模塊首先獲得流量數(shù)據(jù)控制權(quán)��,將流量獲取模塊中獲取的流量數(shù)據(jù)暫存到緩存中��;其次��,更新控制模塊對流量行為分析模塊中的檢測模型進(jìn)行更新��;然后��,更新成功后更新控制模塊釋放流量數(shù)據(jù)控制權(quán)��,使得流量獲取模塊中獲取的流量數(shù)據(jù)傳輸?shù)叫袨榉治瞿K��;最后��,更新控制模塊將緩存中的流量數(shù)據(jù)傳輸?shù)搅髁啃袨榉治瞿K��。
[0022]進(jìn)一步的��,對特征進(jìn)行分類時��,分為規(guī)則類的特征��、圖類特征��、數(shù)值型特征和標(biāo)稱型特征��。
[0023]進(jìn)一步的��,對分類后的特征��,選擇與之相適應(yīng)的檢測模型進(jìn)行檢測��。分別的��,對于規(guī)則類的特征��,選擇基于規(guī)則的檢測模型進(jìn)行檢測��,對于圖類的特征��,選擇基于圖相似的匹配模型進(jìn)行檢測��,對于數(shù)值型特征和標(biāo)稱型特征��,選擇機(jī)器學(xué)習(xí)模型處理這些類型的數(shù)據(jù)��。
[0024]進(jìn)一步的,對于規(guī)則類的特征進(jìn)行檢測時��,采用的步驟為:
[0025]1-1)通過對用戶移動終端網(wǎng)絡(luò)流量的采集��,從中提取出所有的請求的域名��;
[0026]1-2)將提取的域名與規(guī)則匹配模板庫中規(guī)則進(jìn)行匹配��,若發(fā)現(xiàn)有惡意請求的域名存在��,規(guī)則匹配模型輸出發(fā)現(xiàn)惡意軟件的檢測結(jié)果��。
[0027]進(jìn)一步的��,對于圖類特征進(jìn)行檢測時��,采用的步驟為:
[0028]2-1)在采集到的用戶移動終端應(yīng)用軟件所產(chǎn)生的網(wǎng)絡(luò)流量中��,按照五元組特征提取出該應(yīng)用的網(wǎng)絡(luò)行為數(shù)據(jù)流��;其中��,五元組特征是指具有相同的源IP��,目的IP��,源端口��,目的端口和協(xié)議類型��;
[0029]2-2)根據(jù)提取出的網(wǎng)絡(luò)行為數(shù)據(jù)流��,畫出用戶移動終端應(yīng)用軟件的網(wǎng)絡(luò)行為重構(gòu)圖��,分別計算其與圖相似匹配模型中惡意網(wǎng)絡(luò)行為重構(gòu)圖的相似度和與圖相似匹配模型中正常網(wǎng)絡(luò)行為重構(gòu)圖的相似度��,若與前者的相似度大于后者的相似度��,則說明該應(yīng)用軟件是惡意軟件��。
[0030]進(jìn)一步的��,對于數(shù)值型和標(biāo)稱型特征進(jìn)行檢測時��,采用的步驟為:
[0031]3-1)在采集到的用戶移動終端應(yīng)用軟件所產(chǎn)生的網(wǎng)絡(luò)流量中��,提取出數(shù)值型和標(biāo)稱型特征��;
[0032]3-2)對提取出的數(shù)值型特征和標(biāo)稱型特征進(jìn)行歸一化等預(yù)處理��;
[0033]3-3)將處理好的數(shù)值型特征和標(biāo)稱型特征輸入到已經(jīng)預(yù)先在流量行為分析模塊中配置好的機(jī)器學(xué)習(xí)模型中��;
[0034]3-4)根據(jù)輸入的特征,使用機(jī)器學(xué)習(xí)模型做檢測��。
[0035]進(jìn)一步的��,通過惡意軟件流量自動化采集服務(wù)��,主動獲取惡意軟件流量數(shù)據(jù)集時��,對移動終端惡意軟件進(jìn)行反編譯��,反編譯后得到與惡意軟件相對應(yīng)的配置文件��;
[0036]從與惡意軟件相對應(yīng)的配置文件中提取移動終端惡意軟件自動安裝和運(yùn)行所需要的參數(shù)��;
[0037]根據(jù)提取的移動終端惡意軟件自動安裝和運(yùn)行所需要的參數(shù)進(jìn)行移動終端惡意軟件的自動安裝��;
[0038]利用激活優(yōu)先機(jī)制實(shí)現(xiàn)對移動終端惡意軟件激活與運(yùn)行��,移動終端惡意軟件激活與運(yùn)行后獲取移動終端惡意軟件網(wǎng)絡(luò)流量��;
[0039]根據(jù)獲取的移動終端惡意軟件網(wǎng)絡(luò)流量信息建立移動終端惡意目標(biāo)列表��;
[0040]根據(jù)建立的移動終端惡意目標(biāo)列表分離出移動終端惡意軟件與遠(yuǎn)程控制服務(wù)器之間或惡意服務(wù)器之間所產(chǎn)生的惡意交互流量��。
[0041]進(jìn)一步的��,所述檢測服務(wù)器在工作時��,移動終端網(wǎng)絡(luò)流量數(shù)據(jù)集中的數(shù)據(jù)流量進(jìn)入檢測模型服務(wù)器中的流量行為分析模塊��;<