基于通信网的手机病毒和恶意软件的云检测方法
技术领域
本发明涉及一种网络与信息安全技术,特别是涉及一种基于通信网的手机病毒和恶意软件的云检测方法,其将流量监测和云端查杀进行结合,通过监测GPRS核心网的Gn接口的流量,并利用手机病毒防护服务器对GTP-C/GTP-U流量进行分析,从而发现不可识别的手机病毒或者恶意软件。
背景技术
2010年11月7日,中央电视台《每周质量报告》播出了“僵尸手机揭秘”节目,报道了手机病毒背后的利益链和危害问题,随后北京、重庆、江苏等多省地方媒体进行了转载和跟踪报道,引起了社会的广泛关注。
央视报道的是名为“毒媒”的病毒,感染该病毒后,用户手机将成为“僵尸手机”,会自动将手机号码、IMEI等信息发送到指定的黑客服务器,同时接受其指令,包括发送短信订购业务、向指定号码发送垃圾短信、拔打骚扰电话、卸载防病毒软件等,给客户造成隐私泄露、话费损失等严重危害,并可能威胁通信网的运行安全。根据国家互联网应急中心的监测数据,在9月的第一周,全国就发现近100万部手机感染该病毒;据初步估计,每天将耗费用户话费约为200万元,给客户造成严重经济损失。
据不完全统计,今年上半年手机病毒种类已有1600多种,预计年底将达到2400种。截止2009年,手机病毒黑色产业链年获利已经达到10亿元。而且由于目前用户病毒防护意识薄弱、运营商防护手段不健全、政府监管法规不完善,手机病毒已逐渐呈现泛滥之势。
因此,如何创作一种基于通信网的手机病毒和恶意软件的云检测方法,实属当前重要的研发课题。
发明内容
本发明涉及一种网络与信息安全技术,特别是涉及一种基于通信网的手机病毒和恶意软件的云检测方法,其通过监测GPRS核心网的Gn接口的流量,并利用手机病毒防护服务器对GTP-C/GTP-U流量进行分析,从而发现不可识别的手机病毒或者恶意软件。
本发明的目的及解决其技术问题是采用以下技术方案来实现的。依据本发明提出的一种一种基于通信网的手机病毒和恶意软件的云检测方法,其包括以下步骤:步骤(10):获取待检测的移动用户手机的流入流量;步骤(20):由主动云检测模块分析所述流入流量,并判断是否符合可识别流量模式;步骤(30):将不可识别的流量实时传送给云汇聚端模块,然后传送给云分析引擎模块,所述云分析引擎模块利用手机病毒集中管理系统的病毒库进行分析;步骤(40):所述云分析引擎模块将分析结果反馈给所述主动云检测模块,所述主动云检测模块将所述分析结果保存于处理数据库模块;步骤(50):获取待检测的移动用户流出流量;以及步骤(60):根据实时感染用户监控模块分析所述流出流量,然后将分析结果保存于处理数据库模块。
本发明的目的及解决其技术问题还可采用以下技术措施进一步实现。
前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述步骤(10)是通过分光器从Gn接口获取的移动用户手机的流入流量,所述分光器串接于被监测的通信网的光纤链路中。
前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述的可识别流量包括安全流量和不安全流量。
前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述的不安全流量为手机病毒或恶意软件。
前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述步骤(20)还包括:步骤(201):所述主动云检测模块利用模式匹配来判断是否符合可识别流量模式;步骤(202):若是,所述主动云检测模块继续判断是否为安全流量?若为安全流量,所述主动云检测模块不做任何操作,若为不安全流量,则发送告警指令于手机;步骤(203)若否,则执行步骤(30)。
前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述步骤(30)还包括:步骤(301):所述手机病毒集中管理系统将所述不可识别的流量传送给手机病毒研判系统进行人工判断。
前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述主动云检测模块、所述实时感染监控模块以及所述处理数据库模块设置于手机病毒防护检测代理服务器。
前述的基于通信网的手机病毒和恶意软件的云检测方法,其中所述云汇聚端模块和所述云分析引擎模块设置于手机病毒防护服务器。
本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明基于通信网的手机病毒和恶意软件的云检测方法至少具有下列优点及有益效果:本发明通过监测GPRS核心网的Gn接口的流量,并利用手机病毒防护服务器对GTP-C/GTP-U流量进行分析,从而发现不可识别的手机病毒或者恶意软件。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1是本发明基于通信网的手机病毒和恶意软件的云检测方法的流程图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的基于通信网的手机病毒和恶意软件的云检测方法及工具其具体实施方式、方法、步骤、结构、特征及其功效,详细说明如后。
请参阅图1所示,是本发明基于通信网的手机病毒和恶意软件的云检测方法的流程图,包括以下步骤:
步骤10:获取待检测的移动用户手机的流入流量
上述步骤的移动用户手机的流入流量是以分光接入方式从Gn接口采集的,通过串接于被监测的通信网的光纤链路中的分光器来实现,此种设置方式保证不增加被监测的通信网的交换机负荷,保证对被监测的通信网不造成任何不良影响。分光接入方式适用于10/100/1000Mbps及更大流量的以太网光纤链路。
本发明中的通信网是指GPRS核心网,流量可为GTP-C/GTP-U。
步骤20:由主动云检测模块分析所述流入流量,并判断是否符合可识别流量模式
经步骤10获取的移动用户手机的流入流量传送到手机病毒防护检测代理服务器,由设置于手机病毒防护检测代理服务器中的主动云检测模块分析接收过来的流入流量,并判断是否符合可识别流量模式,此处的可识别流量包括安全流量和不安全流量,在本发明中,不安全流量即为手机病毒或恶意软件,在此简称病毒事件。
在步骤20中,首先主动云检测模块利用模式匹配来判断是否符合可识别流量模式(步骤201),经模式匹配后,若符合可识别流量模式,主动云检测模块继续判断是否为安全流量?若经判断后,为安全流量,主动云检测模块不做任何操作,若为不安全流量,则发送告警指令于手机(步骤202);若不符合可识别流量模式即为不可识别流量,执行下述步骤30(步骤203)在本发明中,不可识别流量为未知可疑软件信息,未知可疑软件信息可为未知样本信息和未知行为信息。
在上述提到的不安全流量,即病毒事件,主动云检测模块除发送告警指令于手机外,同时还将病毒事件实时上报给手机病毒防护服务器,手机病毒防护服务器同时做出回应,发送给手机病毒防护检测代理服务器,在本发明中,手机病毒防护服务器通过接口连接于手机病毒防护检测代理服务器,具体上报病毒事件的信息内容如下:
字段 |
字段说明 |
Sid |
事件ID |
Description |
病毒描述 |
Signature |
病毒特征 |
Msisdn |
手机号 |
Ggsn_sgsn_dataid |
Ggsn id |
Source_ip |
手机IP |
Dest_ip |
目标IP |
Timestamp |
时间 |
Data_payload |
事件数据报文 |
SensorID |
检测代理ID |
步骤30:将不可识别的流量实时传送给云汇聚端模块,然后传送给云分析引擎模块,云分析引擎模块利用手机病毒集中管理系统的病毒库进行分析
当流入流量被判断为不可识别流量,则由主动云检测模块通过接口将不可识别流量实时传送到手机病毒防护服务器,由设置于手机病毒防护服务器的云汇聚端模块接收,并传送给设置于手机病毒防护服务器的云分析引擎模块进行分析,具体分析接收的未知可疑软件信息,在详细分析时,向通过接口连接于手机病毒防护服务器的手机病毒集中管理系统的病毒库进行查询,若经分析后,不可识别流量(即未知样本信息和未知行为信息)存在于病毒库中,则变换为已知样本信息和已知行为信息,存储于手机病毒防护服务器的病毒数据库中。若经分析后不可识别流量未存在于病毒库,手机病毒集中管理系统将此不可识别流量通过接口传送给手机病毒研判系统进行人工判断(步骤301),并将判断结果反馈给手机病毒集中管理系统,手机病毒集中管理系统存储新的未知可疑软件信息,并同时反馈给云分析引擎模块,存储于病毒数据库中,供后续匹配调用。
上述的手机病毒防护服务器向手机病毒防护检测代理服务器发送实时上报未知可疑软件信息和病毒更新请求指令,具体的未知可疑软件信息内容如下:
字段 |
字段说明 |
Sid |
事件ID |
Description |
描述 |
URL |
可以软件URL |
Msisdn |
手机号 |
Ggsn_sgsn_dataid |
GGSN ID |
Source_ip |
访问IP |
Dest_ip |
目标I |
Timestamp |
事件 |
SensorID |
检测代理ID |
具体的病毒数据库内容如下:
字段 |
字段说明 |
Sig_id |
特征ID |
Sig_name |
特征名称 |
Signature |
手机病毒特征 |
Sig_priority |
危害级别 |
Sig_rev |
特征版本 |
上述的手机病毒集中管理系统向手机病毒防护服务器发送病毒事件查询指令、病毒库更新指令、上报未知可疑软件信息指令,机病毒防护服务器一一做回应。
步骤40:云分析引擎模块将分析结果反馈给所述主动云检测模块,所述主动云检测模块将所述分析结果保存于处理数据库模块
经步骤30分析后,不可识别流量存在于病毒库中的,云分析引擎模块将分析结果(即已知样本信息和已知行为信息)反馈给手机病毒防护检测代理服务器的主动云检测模块,主动云检测模块将分析结果保存在设置于手机病毒防护检测代理服务器的处理数据库模块。
步骤50:获取待检测的移动用户流出流量
上述步骤的移动用户手机的流出流量的获取方式和步骤10的获取途径相同,在此不再赘述。
步骤60:根据实时感染用户监控模块分析所述流出流量,然后将分析结果保存于处理数据库模块
经步骤60获取的移动用户手机的流出流量传送到手机病毒防护检测代理服务器的实时感染用户监控模块,实时感染用户监控模块调用云分析引擎模块的病毒数据库,监控用户感染情况,并将分析结果保存于处理数据库模块。
综上所述,本发明是通过监测GPRS核心网的Gn接口的流量,并利用手机病毒防护服务器对GTP-C/GTP-U流量进行分析,从而发现不可识别的手机病毒或者恶意软件。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。