CN102281540B - 手机恶意软件查杀方法及系统 - Google Patents
手机恶意软件查杀方法及系统 Download PDFInfo
- Publication number
- CN102281540B CN102281540B CN2011102652951A CN201110265295A CN102281540B CN 102281540 B CN102281540 B CN 102281540B CN 2011102652951 A CN2011102652951 A CN 2011102652951A CN 201110265295 A CN201110265295 A CN 201110265295A CN 102281540 B CN102281540 B CN 102281540B
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- killing
- malware
- phone terminal
- user mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及手机终端安全技术,具体公开一种手机恶意软件查杀方法及系统,其中的移动网络侧恶意软件侦测分析类系统监控网内用户手机终端恶意软件感染情况,并提供给恶意软件查杀服务系统;恶意软件查杀服务系统根据用户手机终端实时查杀特征库请求,对移动网络侧恶意软件侦测分析类系统已分析好的海量恶意软件感染记录进行过滤,选取已感染的查杀特征库信息并返回给用户手机终端;用户手机终端根据过滤后的精确查杀特征库,在本地做二次确认,对本地已感染的恶意软件进行查杀。本发明从网络侧对恶意软件感染情况进行预处理,减少手机侧无谓运算,保证手机端快速、准确查杀,并有助于针对性地抽取最新、最全特征库并实时传送到手机侧。
Description
技术领域
本发明涉及手机终端安全类软件或系统,特别涉及基于移动网络侧恶意软件监控分析系统的手机恶意软件查杀、防护的软件及产品。
背景技术
随着国内手机上网用户骤增,智能手机的开发接口日趋统一,而手机恶意软件的发展空间也陡增。手机恶意软件的危害主要包括以下几点:1、引发恶意扣费;2、窃取用户隐私;3、攻击网络或网络其他终端;4、破坏手机功能或数据。目前,手机恶意软件逐渐以移动网络和通信网络相结合的方式作为主要传播手段和盈利模式,故而高效地对手机恶意软件进行查杀处理成为一个迫切需要解决的课题。
现有手机恶意软件查杀、防护的产品,普遍使用恶意软件的物理特征匹配方式进行恶意软件的扫描。其基本原理,是通过其扫描引擎对手机上的文件、安装应用逐个扫描,将每个文件和应用的物理特征(如文件内容的MD5值等)和特征库中的所有信息进行比对,最终确定手机上恶意软件感染情况。这存在较大的缺陷,简述如下。
由于现行技术方法,都先假设所有文件都有可能是恶意软件,故而在扫描时,需要对所有文件、应用进行特征运算,并和所有已知的恶意软件特征进行比对,这会带来一个问题,即会引发大量的无效运算,效率低、耗时长,无谓消耗了手机端的资源。
此外,现行技术中的特征库是否全面,直接影响查杀结果,这样带来两个问题:其一,是特征库的更新频率较大地影响查杀的准确和全面;其二、越来越大的特征库,会严重消耗手机端的资源,增加维护和更新的难度。
由于传统手机安全产品,受限于分析能力,只能利用手机安装的病毒特征库被动防御,并且随着病毒特征库不断增大,手机客户端的负载和查杀耗时不断增加,杀毒成本急剧增加,不能满足市场的要求,因此急需提出一种新的手机恶意软件的查杀方式。
实际上,由于手机恶意软件在资费、隐私保护、网络稳定等多个方面影响移动运营商的服务质量和客户满意度,移动运营商纷纷开始构建各种手机恶意软件的监测分析类系统,以便对移动网络、通信网络中的海量数据进行挖掘和分析,全面监控和防范恶意软件的传播和爆发。目前,移动运营商已开发成功一种移动网络侧恶意软件监控分析类系统,是架设于移动互联网络、通信网络侧支撑设备、系统之上的应用系统或应用系统群组。该类系统(群组)的基本工作原理:通过对移动网络侧的数据进行分析和监控,包括对短线、彩信、wap等访问话单以及各种下载文件的数据流,按预定侦测规则进行过滤和分析(比如:一个手机终端,每小时发送短信或彩信超过一定阀值),通过行为分析方法、文件流扫描方法等复合技术手段,监控各个手机终端的恶意软件可能感染情况,并结合人工判断,最终确认感染。
上述移动网络侧恶意软件监控分析类系统的核心能力在于最终能够输出每个手机终端的恶意软件感染记录,其中手机终端会以手机号码、IMSI(InternationalMobile Subscriber Identification Number,国际移动用户识别码)、IMEI(InternationalMobile Equipment Identity,国际移动设备身份码)等方式进行唯一标识。有鉴于此,可以充分发挥移动运营商的优势,利用近年快速发展的恶意软件监控分析能力,将运营商对恶意软件的控制能力从行为监测、来源追查、控制传播,向彻底清除、提供手机用户服务方向延伸,以便给传统手机恶意软件查杀领域注入新的活力。
发明内容
本发明的目的在于提供一种手机恶意软件查杀方法及查杀系统,可以精确高效地确定恶意软件感染情况,并根据定位结果准确提供必需的特征库,极大地提高手机恶意软件查杀效率,降低手机资源消耗。
为解决以上技术问题,本发明提供的技术方案是,一种手机恶意软件查杀方法,包括:
移动网络侧恶意软件侦测分析类系统监控网内用户手机终端恶意软件感染情况,并提供给恶意软件查杀服务系统;
恶意软件查杀服务系统根据用户手机终端实时查杀特征库请求,对移动网络侧恶意软件侦测分析类系统已分析好的海量恶意软件感染记录进行过滤,选取已感染的查杀特征库信息并返回给用户手机终端;
用户手机终端根据过滤后的精确查杀特征库,在本地做二次确认,对本地已感染的恶意软件进行查杀。
较优地,用户手机终端实时查杀特征库请求中提供用户手机终端的唯一标识信息。
较优地,用户手机终端的唯一标识信息采用手机号码、IMSI、IMEI或预约的特定标识。
较优地,用户手机终端对已感染的恶意软件执行清除、删除或隔离的查杀动作。
较优地,用户手机终端将恶意软件查杀日志返回恶意软件查杀服务系统。
较优地,恶意软件查杀服务系统根据用户手机终端返回的恶意软件查杀日志,清除相应用户手机终端的感染记录。
较优地,移动网络侧恶意软件侦测分析类系统通过行为分析方法、物理特征分析方法和文件流扫描方法监控网内用户手机终端恶意软件感染情况。
在此基础上,本发明相应地提供一种手机恶意软件查杀系统,包括用户手机终端、恶意软件查杀服务系统及移动网络侧恶意软件侦测分析类系统,其中:
移动网络侧恶意软件侦测分析类系统,用于监控网内用户手机终端恶意软件感染情况,并提供给恶意软件查杀服务系统;
恶意软件查杀服务系统,用于根据用户手机终端实时查杀特征库请求,对移动网络侧恶意软件侦测分析类系统已分析好的海量恶意软件感染记录进行过滤,选取已感染的查杀特征库信息并返回给用户手机终端;
用户手机终端,用于根据过滤后的精确查杀特征库,在本地做二次确认,对本地已感染的恶意软件进行查杀。
较优地,恶意软件查杀服务系统包括云查杀应用服务器集群和云查杀数据库集群。
较优地,用户手机终端和恶意软件查杀服务系统采用移动互联网、短信或彩信方式进行通信。
与现有技术相比,本发明手机恶意软件查杀系统及查杀方法具有明显的技术优势:一是准确高效,充分利用了移动运营商的资源优势和技术优势,从网络侧对恶意软件感染情况进行预处理,减少手机侧大量无谓运算,保证手机端能快速定位和准确查杀;二是查杀全面,由于能准确定位恶意软件,就可以针对性地抽取最新的特征库实时传送到手机侧,保证特征库最新最全。
附图说明
图1是本发明手机恶意软件查杀方法的时序图;
图2是本发明手机恶意软件查杀系统的组成框图。
具体实施方式
本发明实施例技术方案的基本构思是,针对传统手机恶意软件查杀方式的低效和庞大分散特征库带来的性能和维护问题提供一种查杀方式,可以精确高效地确定恶意软件感染情况,并根据定位结果准确提供必需的特征库,极大的提高手机恶意软件查杀效率,有效地降低手机资源消耗。
为此,本实施例技术方案提出一种恶意软件扫描加速技术,其利用移动网络侧恶意软件监控分析类系统提供的每个手机终端的恶意软件感染记录,充分发挥移动网络侧及恶意软件服务侧的强大资源和运算能力,简化和省略了手机终端的恶意软件扫描和定位时间,手机终端无需对没有感染的恶意软件进行无效的匹配运算。
同时,本方案还提出一种实时恶意软件特征库过滤的技术,其通过手机终端应用软件提供的手机唯一标识,对集中管理的恶意软件查杀特征库进行针对性的过滤,有明确目的性地提取非常精简、适应通信传输的特征信息,从而解决了查杀特征库大引发的通信传输效率问题,以及由于分散查杀特征库引发的维护和管理难度。
为了使本领域的技术人员更好地理解本发明的技术方案,下面结合附图和具体实施例对本发明作进一步的详细说明。
参见图1,表示本发明手机恶意软件的查杀方法时序图。该时序图包含两个大步骤:
1、描述恶意软件运行时,产生一系列行为,并被移动网络侧恶意软件侦测分析类系统通过行为分析方法、物理特征分析方法和文件流扫描方法监控到,并将用户手机终端恶意软件感染情况提供给恶意软件查杀服务系统的过程(具体如步骤1.1~1.3)。
2、描述用户执行恶意软件查杀过程的完整时序,其中:
步骤2.1,用户手机终端的查杀软件首先请求实时查杀特征库,此时会提供该手机终端的唯一标识信息(可以是手机号码、IMSI、IMEI、或其他与服务器约定的标识);
步骤2.2,恶意软件查杀服务系统会使用该标识对后台(移动网络侧恶意软件侦测分析类系统)分析好的海量恶意软件感染记录进行过滤;
步骤2.3,恶意软件查杀服务系统维护了一个完整的所有恶意软件的查杀特征库,其首先根据步骤2.2查询出的感染记录情况,对查杀特征库进行过滤;
步骤2.4,恶意软件查杀服务系统选取已感染的查杀特征库信息,返回给用户手机终端的查杀软件;
步骤2.5,用户手机终端的查杀软件根据过滤后的精确查杀特征库,在本地做二次确认,确定本地已感染此恶意软件;
步骤2.6,用户手机终端的查杀软件执行恶意软件清除;
步骤2.7,用户手机终端的查杀软件将包括清除结果的恶意软件清除日志返回恶意软件查杀服务系统,以通知服务器清除相关感染记录。
该手机恶意软件查杀方法实施例的关键在于:
1、双重扫描技术,使用基于运营商的网络侧行为扫描和基于特征库的传统扫描,能快速定位,精确查杀用户手机端的恶意软件;
2、实时特征库过滤推送技术,根据网络侧的行为分析结构,准确过滤手机终端所需的特征库,该特征库集中管理,即时更新。
在上述手机恶意软件查杀方法的基础上,可以构建多种恶意软件查杀系统的组网结构,以下举例说明。
参见图2,表示本发明手机恶意软件查杀系统的结构,它是基于现有移动网络侧恶意软件监控分析类系统提供的数据和能力,应用于手机恶意软件查杀领域的一种全新系统。该手机恶意软件查杀系统由移动网络侧恶意软件侦测分析类系统100、恶意软件查杀服务系统200及若干用户手机终端300组成,其中:
移动网络侧恶意软件侦测分析类系统100为现有系统,其工作原理如前所述,可用于监控网内用户手机终端恶意软件感染情况,并提供给恶意软件查杀服务系统;
恶意软件查杀服务系统200,由云查杀应用服务器集群201和云查杀数据库集群202构成,用于根据用户手机终端实时查杀特征库请求,对移动网络侧恶意软件侦测分析类系统已分析好的海量恶意软件感染记录进行过滤,选取已感染的查杀特征库信息并返回给用户手机终端;
用户手机终端300,用于根据过滤后的精确查杀特征库,在本地做二次确认,对本地已感染的恶意软件进行查杀。
本实施例技术方案主要由若干用户手机终端及一个恶意软件查杀服务系统来实现,其中用户手机终端和恶意软件查杀服务之间可以通过但不仅限于移动互联网、短信、彩信等通信方式进行通信,具体实现过程不再请参见有关文献,不赘述。
以上描述了手机恶意软件的查杀方法及查杀系统,其相对于现有技术而言具有以下优势:
1、准确高效,充分利用了移动运营商的资源优势和技术优势,从网络侧对恶意软件感染情况进行预处理,减少手机侧大量无谓运算,保证手机端能快速定位和准确查杀;
2、查杀全面,由于能准确定位恶意软件,就可以针对性的抽取最新的特征库实时传送到手机侧,保证特征库最新最全。
以上仅是本发明的优选实施方式,应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (9)
1.一种手机恶意软件查杀方法,其特征在于,包括:
移动网络侧恶意软件侦测分析类系统监控网内用户手机终端恶意软件感染情况,并提供给恶意软件查杀服务系统;
恶意软件查杀服务系统根据用户手机终端实时查杀特征库请求,所述用户手机终端实时查杀特征库请求中包括用户手机中的唯一标识信息,根据所述唯一标识信息对移动网络侧恶意软件侦测分析类系统已分析好的海量恶意软件感染记录进行过滤,选取已感染的查杀特征库信息并返回给用户手机终端;
用户手机终端根据过滤后的精确查杀特征库,在本地做二次确认,对本地已感染的恶意软件进行查杀。
2.如权利要求1所述的手机恶意软件查杀方法,其特征在于,用户手机终端的唯一标识信息采用手机号码、IMSI、IMEI或预约的特定标识。
3.如权利要求1所述的手机恶意软件查杀方法,其特征在于,用户手机终端对已感染的恶意软件执行清除、删除或隔离的查杀动作。
4.如权利要求3所述的手机恶意软件查杀方法,其特征在于,用户手机终端将恶意软件查杀日志返回恶意软件查杀服务系统。
5.如权利要求4所述的手机恶意软件查杀方法,其特征在于,恶意软件查杀服务系统根据用户手机终端返回的恶意软件查杀日志,清除相应用户手机终端的感染记录。
6.如权利要求1~5任一项所述的手机恶意软件查杀方法,其特征在于,移动网络侧恶意软件侦测分析类系统通过行为分析方法、物理特征分析方法和文件流扫描方法监控网内用户手机终端恶意软件感染情况。
7.一种手机恶意软件查杀系统,其特征在于,包括用户手机终端、恶意软件查杀服务系统及移动网络侧恶意软件侦测分析类系统,其中:
移动网络侧恶意软件侦测分析类系统,用于监控网内用户手机终端恶意软件感染情况,并提供给恶意软件查杀服务系统;
恶意软件查杀服务系统,用于根据用户手机终端实时查杀特征库请求,所述用户手机终端实时查杀特征库请求中包括用户手机中的唯一标识信息,根据所述唯一标识信息对移动网络侧恶意软件侦测分析类系统已分析好的海量恶意软件感染记录进行过滤,选取已感染的查杀特征库信息并返回给用户手机终端;
用户手机终端,用于根据过滤后的精确查杀特征库,在本地做二次确认,对本地已感染的恶意软件进行查杀。
8.如权利要求7所述的手机恶意软件查杀系统,其特征在于,恶意软件查杀服务系统包括云查杀应用服务器集群和云查杀数据库集群。
9.如权利要求7或8所述的手机恶意软件查杀系统,其特征在于,用户手机终端和恶意软件查杀服务系统采用移动互联网、短信或彩信方式进行通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102652951A CN102281540B (zh) | 2011-09-08 | 2011-09-08 | 手机恶意软件查杀方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102652951A CN102281540B (zh) | 2011-09-08 | 2011-09-08 | 手机恶意软件查杀方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102281540A CN102281540A (zh) | 2011-12-14 |
| CN102281540B true CN102281540B (zh) | 2013-11-27 |
Family
ID=45106655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102652951A Expired - Fee Related CN102281540B (zh) | 2011-09-08 | 2011-09-08 | 手机恶意软件查杀方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102281540B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752290B (zh) * | 2012-06-13 | 2016-06-01 | 深圳市腾讯计算机系统有限公司 | 一种云安全系统中的未知文件安全信息确定方法和装置 |
| CN103581909B (zh) * | 2012-07-31 | 2016-12-21 | 华为技术有限公司 | 一种疑似手机恶意软件的定位方法及其装置 |
| US9225739B2 (en) * | 2013-06-26 | 2015-12-29 | Microsoft Technology Licensing, Llc | Providing user-specific malware assessment based on social interactions |
| CN104573515A (zh) | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
| CN104850783B (zh) * | 2015-04-30 | 2018-07-13 | 中国人民解放军国防科学技术大学 | 一种基于哈希特征矩阵的恶意软件云检测方法及系统 |
| CN105187393B (zh) * | 2015-08-10 | 2018-05-22 | 济南大学 | 一种移动终端恶意软件网络行为重构方法及其系统 |
| CN106682508B (zh) * | 2016-06-17 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 病毒的查杀方法和装置 |
| CN106126393A (zh) * | 2016-06-30 | 2016-11-16 | 乐视控股(北京)有限公司 | 收集终端中应用相关信息的方法和装置 |
| CN108229160A (zh) * | 2016-12-09 | 2018-06-29 | 广州市动景计算机科技有限公司 | 应用程序的筛选方法、装置及服务器 |
| CN106845223B (zh) * | 2016-12-13 | 2020-08-04 | 北京三快在线科技有限公司 | 用于检测恶意代码的方法和装置 |
| CN107196916A (zh) * | 2017-04-25 | 2017-09-22 | 中移互联网有限公司 | 一种病毒文件检测的方法、网络侧设备和终端 |
| CN109214182B (zh) * | 2017-07-03 | 2022-04-15 | 阿里巴巴集团控股有限公司 | 在云平台下虚拟机运行中对勒索软件的处理方法 |
| CN107835190A (zh) * | 2017-11-28 | 2018-03-23 | 广东华仝九方科技有限公司 | 一种恶意sp订购核查方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
| CN101106748A (zh) * | 2006-07-11 | 2008-01-16 | 华为技术有限公司 | 一种移动网络的内容过滤系统、装置及方法 |
| AU2007204089A1 (en) * | 2006-08-08 | 2008-02-28 | Pc Tools Technology Pty Limited | Malicious software detection |
| CN101308533A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 病毒查杀的方法、装置和系统 |
-
2011
- 2011-09-08 CN CN2011102652951A patent/CN102281540B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
| CN101106748A (zh) * | 2006-07-11 | 2008-01-16 | 华为技术有限公司 | 一种移动网络的内容过滤系统、装置及方法 |
| AU2007204089A1 (en) * | 2006-08-08 | 2008-02-28 | Pc Tools Technology Pty Limited | Malicious software detection |
| CN101308533A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 病毒查杀的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102281540A (zh) | 2011-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102281540B (zh) | 手机恶意软件查杀方法及系统 | |
| US10652265B2 (en) | Method and apparatus for network forensics compression and storage | |
| CN102769549B (zh) | 网络安全监控的方法和装置 | |
| CN102915374B (zh) | 一种控制数据库资源访问的方法、装置及系统 | |
| US7266845B2 (en) | Maintaining virus detection software | |
| CN107944232A (zh) | 一种基于白名单技术的主动防御系统的设计方法及系统 | |
| CN111092852A (zh) | 基于大数据的网络安全监控方法、装置、设备及存储介质 | |
| CN109462599B (zh) | 一种蜜罐管理系统 | |
| CN109688097A (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
| CN111740868B (zh) | 告警数据的处理方法和装置及存储介质 | |
| CN104021141B (zh) | 数据处理和云服务的方法、装置及系统 | |
| CN103379099A (zh) | 恶意攻击识别方法及系统 | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御系统 | |
| CN103618652A (zh) | 一种业务数据的审计和深度分析系统及其方法 | |
| CN104871171B (zh) | 分布式模式发现 | |
| CN104753861A (zh) | 安全事件处理方法和装置 | |
| CN103166773A (zh) | 监测服务器运行状态的方法与系统 | |
| CN103812840A (zh) | 鉴别恶意网址的方法和系统 | |
| CN108833442A (zh) | 一种分布式网络安全监控装置及其方法 | |
| CN102547710B (zh) | 在移动通信系统中探测病毒的方法和装置 | |
| CN102750476B (zh) | 鉴定文件安全性的方法和系统 | |
| KR102414334B1 (ko) | 자율협력주행 도로인프라 위협탐지 방법 및 장치 | |
| CN114338171A (zh) | 一种黑产攻击检测方法和装置 | |
| CN101902338B (zh) | 一种采用统一检测框架的入侵检测系统和入侵检测方法 | |
| KR20100070623A (ko) | 봇 수집ㆍ분석시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131127 Termination date: 20200908 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |