CN103916365A - 导出和验证恶意代码的网络行为特征的方法和装置 - Google Patents
导出和验证恶意代码的网络行为特征的方法和装置 Download PDFInfo
- Publication number
- CN103916365A CN103916365A CN201210592809.9A CN201210592809A CN103916365A CN 103916365 A CN103916365 A CN 103916365A CN 201210592809 A CN201210592809 A CN 201210592809A CN 103916365 A CN103916365 A CN 103916365A
- Authority
- CN
- China
- Prior art keywords
- network
- network behavior
- feature
- content
- behavioural characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了用于导出和验证恶意代码的网络行为特征的方法和装置。用于导出恶意代码的网络行为特征的方法可以包括:获取由恶意代码引起的系统行为参数;基于所述系统行为参数生成系统行为特征;以及基于所述系统行为特征导出恶意代码的网络行为特征。用于验证恶意代码的网络行为特征的方法可以包括:确定与所要验证的网络行为特征相对应的网络行为参数;获取与所述网络行为参数相对应的系统行为参数;基于所述系统行为参数生成系统行为特征;以及将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。
Description
技术领域
本发明一般涉及恶意代码检测,具体涉及用于导出和验证恶意代码的网络行为特征的方法和装置。
背景技术
目前,恶意代码(例如,病毒、木马等)已经广泛采用了如多态、变形等更为高级的策略。通过这些策略,每当恶意代码进行复制时,其一部分或其结构就可能以随机和不可预测的方式发生改变。因此,如何检测和抑制恶意代码已经成为了人们所面临的巨大挑战。
传统的恶意代码检测软件是基于特征码的,其可以通过特征码匹配的方式来检测恶意代码。例如,这类软件可以将从恶意代码中提取的特定特征存储在特征数据库中以用于随后检测相关的恶意代码实例,该特征数据库可以持续更新以便能够检测到与最近更新的特征相对应的恶意代码。然而,尽管使用特征数据库的这种检测方式可以获得对已知恶意代码的出色的检测率,这种方式却无法检测出新的未知恶意代码。尤其是多态和变形的出现,使得基于特征码的恶意代码检测方式的有效性大大降低。此外,恶意代码在互联网上的快速传播也会导致特征数据库无法及时跟进更新。例如,一些移动电话病毒安全系统或恶意信息过滤器可以检测出已知恶意病毒所涉及的统一资源定位符(URL)并且进而阻止相应的web站点,但是,这些系统或过滤器仅能够阻止已知的移动病毒服务器,却不能阻止新的未知移动病毒服务器。此外,移动病毒也可能通过改变病毒服务器的地址来避开这些系统或过滤器的检测。
此外,存在基于系统行为的恶意代码检测方式。这种恶意代码检测方式可以包括基于启发式特征的检测、基于静态特征的检测和基于动态特征的检测等三种类型。
基于启发式特征的检测可以利用启发式特征。启发式特征可以指例如从Win32可移植执行体(PE:Portable Execute)头或可执行体内的字符串中提取的特征集。
基于静态特征的检测可以利用通过静态分析而导出的特征。例如,该检测方式可以基于通过对可执行二进制码的反汇编而导出的汇编码、基于例如控制流图(CFG)的汇编码等。然而,对二进制码进行反汇编本身就是一个比较难解决的问题,并且尚未发现较为通用的方案。
基于动态特征的检测是一种可以在恶意代码执行过程中基于系统行为所执行的检测方式。这种检测方式可以通过监视当前执行进程的例如尝试复制等操作来在运行时完成检测。例如,可以基于病毒对复制的尝试来检测已知的和未知的病毒。例如,可以利用通过系统调用挂钩技术而获得的木马的规则的可执行路径以及所获知的木马的行为特性(例如,修改注册表、注册系统服务、修改系统文件等)来检测和阻截木马。
此外,在入侵检测领域存在基于网络行为的检测方式。在KDD CUP1999(http://www.sigkdd.org/kddcup/index.php?section=1999&method=info)文档中对网络行为特征做出了描述。该文档提供的网络入侵检测数据集(KDD99数据集)被用于测试所开发的算法以及预定义行为特征。每个数据项包含指示网络行为特征的41个字段和指示攻击类型的1个字段。对于数据分析工具而言,处理所有这些字段的开销是很昂贵的。更为重要的是,这种网络行为特征的描述仅仅用于入侵检测,而并非针对恶意代码。
此外,考虑到恶意代码的传播越来越多地依赖于网络通道,由网络运营商在网络侧而不是在终端用户侧执行恶意代码检测和阻止将是有效的。例如,对于一些窃密病毒而言,其不能在没有网络的情况下上传隐私信息。在这种情况下,网络行为特征集的选择将是恶意代码检测的关键因素。例如,对于移动病毒而言,其网络行为可以包括通过网络的病毒传播行为、移动设备系统在感染后的网络行为以及网络侧系统在感染后的网络行为等。这些网络行为所对应的所有网络行为特征都可以通过网络数据流来实施。从而,将会存在大量的网络行为特征需要处理。例如数据挖掘等数据处理技术可以作为找出恶意代码的网络行为特征的一种有效手段。但是,通过数据挖掘过程会挖掘出大量的网络行为特征,并且错误拒绝率(FRR:False Reject Rate)和错误接受率(FAR:False Accept Rate)都比较高。通过调整一些特征,可以使FRR和FAR产生波动,然而,不可能通过数据挖掘算法本身来验证这些网络行为特征。
因此,本领域需要能够有效地找出恶意代码的网络行为特征以及能够高效地验证恶意代码的网络行为特征的解决方案。
发明内容
本发明实施例提供了用于导出和验证恶意代码的网络行为特征的方法和装置。
根据一个方面,本发明实施例提供了一种用于导出恶意代码的网络行为特征的方法。该方法可以包括:获取由恶意代码引起的系统行为参数;基于所述系统行为参数生成系统行为特征;以及基于所述系统行为特征导出恶意代码的网络行为特征。
在上述方法中,所述获取由恶意代码引起的系统行为参数可以包括以下至少之一:获取与数据收发相关联的连接相关系统行为参数;以及获取与应用层内容相关联的内容相关系统行为参数。
在上述方法中,所述基于所述系统行为参数生成系统行为特征可以包括以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。
在上述方法中,所述基于所述系统行为特征导出恶意代码的网络行为特征可以包括以下至少之一:基于所述连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;基于所述内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及基于所述连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。
根据另一个方面,本发明实施例提供了一种用于导出恶意代码的网络行为特征的装置。该装置可以包括:系统行为参数获取器,用于获取由恶意代码引起的系统行为参数;系统行为特征生成器,用于基于所述系统行为参数生成系统行为特征;以及网络行为特征导出器,用于基于所述系统行为特征导出恶意代码的网络行为特征。
在上述装置中,所述系统行为参数获取器可以进一步用于以下至少之一:获取与数据收发相关联的连接相关系统行为参数;以及获取与应用层内容相关联的内容相关系统行为参数。
在上述装置中,所述系统行为特征生成器可以进一步用于以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。
在上述装置中,所述网络行为特征导出器可以进一步用于以下至少之一:基于所述连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;基于所述内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及基于所述连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。
根据另一个方面,本发明实施例提供了一种用于验证恶意代码的网络行为特征的方法。该方法可以包括:确定与所要验证的网络行为特征相对应的网络行为参数;获取与所述网络行为参数相对应的系统行为参数;基于所述系统行为参数生成系统行为特征;以及将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。
在上述方法中,所述网络行为特征可以包括以下至少之一:与网络连接相关联的连接相关网络行为特征;与应用层内容相关联的内容相关网络行为特征;以及与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。在上述方法中,所述确定与所要验证的网络行为特征相对应的网络行为参数可以包括以下至少之一:确定与网络连接相关联的连接相关网络行为参数;以及确定与应用层内容相关联的内容相关网络行为参数。
在上述方法中,所述获取与所述网络行为参数相对应的系统行为参数可以包括以下至少之一:获取与所述连接相关网络行为参数相对应的、与数据收发相关联的连接相关系统行为参数;以及获取与所述内容相关网络行为参数相对应的、与应用层内容相关联的内容相关系统行为参数。
在上述方法中,所述基于所述系统行为参数生成系统行为特征可以包括以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。在上述方法中,所述将所述系统行为特征与所述网络行为特征进行比较可以包括以下至少之一:将所述连接相关网络行为特征与所述连接相关系统行为特征进行比较;将所述内容相关网络行为特征与所述内容相关系统行为特征进行比较;以及将所述连接和内容相关网络行为特征与所述连接和内容相关系统行为特征进行比较。
根据另一个方面,本发明实施例提供了一种用于验证恶意代码的网络行为特征的装置。该装置可以包括:网络行为参数确定器,用于确定与所要验证的网络行为特征相对应的网络行为参数;系统行为参数获取器,用于获取与所述网络行为参数相对应的系统行为参数;系统行为特征生成器,用于基于所述系统行为参数生成系统行为特征;以及网络行为特征校验器,用于将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。
通过本发明的方案,在一些方面,可以有效地导出恶意代码的网络行为特征,在另一些方面,可以高效地验证恶意代码的网络行为特征。从而,本发明可以显著地改进恶意代码的网络行为特征的有效性。
附图说明
图1示出了根据本发明实施例的用于导出恶意代码的网络行为特征的装置的结构示意图;
图2示出了根据本发明实施例的用于导出恶意代码的网络行为特征的方法的流程图;
图3示出了根据本发明实施例的用于导出恶意代码的网络行为特征的装置的示意图;
图4示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置的结构示意图;
图5示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置在网络中的部署的示意图;
图6示出了根据本发明实施例的用于验证恶意代码的网络行为特征的方法的流程图;
图7示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置的示意图;以及
图8示出了根据本发明实施例的用于导出或验证恶意代码的网络行为特征的设备的示意图。
具体实施方式
本发明实施例考虑到了恶意代码通常会依赖于网络来传播并且通过网络来传输窃取到的私密信息等,因此,可以在网络侧通过分析网络行为特征来检测并阻止恶意代码。由于恶意代码的网络行为通常由恶意代码的系统行为引发,因此,恶意代码的行为在网络侧和终端用户侧存在对应关系,也就是说,恶意代码的网络行为特征与恶意代码的系统行为特征之间存在对应关系。因此,本发明提出了利用恶意代码的系统行为特征来导出恶意代码的网络行为特征,其中,从系统行为特征导出的网络行为特征能够有效地反映恶意代码的网络行为特征。从而,本发明可以被用于在网络侧以较高的可靠性来识别出恶意代码。
此外,本发明实施例还考虑到了通过数据挖掘等数据处理技术可能获得大量网络行为特征,并且网络行为特征过多会导致无法进行有效分析。因此,基于恶意代码的网络行为特征与恶意代码的系统行为特征之间存在的对应关系,本发明提出了对网络行为特征进行验证的方案。例如,本发明可以利用相对应的系统行为特征对所要验证的网络行为特征进行验证以确定所要验证的网络行为特征的有效性。由此,本发明可以进一步精简网络行为特征,适应设备的实际处理能力,并以较低的成本改进恶意代码检测系统的性能。
以下将以明确易懂的方式通过对优选实施例的说明并结合附图来对本发明的上述特性、技术特征、优点及其实现方式予以进一步说明。
图1示出了根据本发明实施例的用于导出恶意代码的网络行为特征的装置100的结构示意图。
装置100可以包括系统行为参数获取器110、系统行为特征生成器120以及网络行为特征导出器130。
系统行为参数获取器110可以获取由恶意代码引起的系统行为参数。
系统行为参数可以指终端用户侧与恶意代码的行为相关联的参数。系统行为参数可以包括连接相关系统行为参数和内容相关系统行为参数中的至少一个。
从网络侧来看,在数据包中,协议类型、服务类型、IP地址、端口号等参数可以从数据包的包头部分中获得,而URL、手机号码、短消息等参数需要从数据包的载荷部分中获得。在本发明中,将数据包的包头部分中包含的参数划分为连接相关的参数,将数据包的载荷部分中包含的参数划分为内容相关的参数。基于网络行为与系统行为之间存在的对应关系,在终端用户侧,系统行为参数也可被相应地划分连接相关系统行为参数和内容相关系统行为参数。
连接相关系统行为参数可以指与数据收发相关联的系统行为参数。例如,连接相关系统行为参数可以包括连接相关的应用程序编程接口(API)调用时间及其调用参数、IP地址、端口号、协议类型、服务类型等。具体地,例如,连接相关的API调用时间及其调用参数可以包括网络API的调用时间及其调用参数、通信API的调用时间及其调用参数等。网络API可以指例如能够连接到网络以进行数据收发的API等,如GRPS API、短消息收发API等。通信API可以指蓝牙API、无线局域网API等。连接相关系统行为参数可以包括,但并不局限于,以上列举的几种参数中的一个或多个,其还可以包括其它与数据收发相关联的参数。优选地,系统行为参数获取器110可以进一步用于获取与数据收发相关联的连接相关系统行为参数。优选地,系统行为参数获取器110可以包括连接相关系统行为参数获取器,该连接相关系统行为参数获取器可以用于获取连接相关系统行为参数。
内容相关系统行为参数可以指与应用层内容相关联的系统行为参数。例如,内容相关系统行为参数可以包括URL、敏感数据、内容属性等。URL可以是与恶意代码相关联的特定目的地地址等。敏感数据可以是涉及隐私或安全的数据等,例如,敏感数据可以包括用户身份信息(例如国际移动用户标识IMSI)、国际移动设备标识IMEI、手机号码、短消息、彩信、通信录、位置信息等。内容属性可以包括文件名、文件类型、传输内容长度等。内容相关系统行为参数可以包括,但并不局限于,以上列举的几种参数中的一个或多个,其还可以包括其它与应用层内容相关联的参数。优选地,系统行为参数获取器110可以进一步用于获取与应用层内容相关联的内容相关系统行为参数。优选地,系统行为参数获取器110可以包括内容相关系统行为参数获取器,该内容相关系统行为参数获取器可以用于获取内容相关系统行为参数。例如,该内容相关系统行为参数获取器可以通过任何已知的技术手段,如敏感数据函数的API调用、恶意代码样本过滤等,来获取内容相关系统行为参数。
系统行为特征生成器120可以基于系统行为参数生成系统行为特征。
系统行为特征可以指与系统行为相关联的特征。优选地,可以通过对系统行为参数进行数据处理来生成系统行为特征。此处的数据处理可以为数理统计、数据挖掘等技术。例如,优选地,系统行为特征生成器120可以利用数据挖掘等技术来对系统行为参数进行统计、关联分析等处理以便得到系统行为特征。系统行为特征可以包括连接相关系统行为特征、内容相关系统行为特征以及连接和内容相关系统行为特征中的至少一个。
连接相关系统行为特征可以指与数据收发相关联的系统行为特征。例如,连接相关系统行为特征可以包括调用网络API的频率、IP地址的变化情况、端口号的变化情况等。连接相关系统行为特征可以包括,但并不局限于,以上列举的几种特征中的一个或多个,其还可以包括其它与数据收发相关联的特征。优选地,系统行为特征生成器120可以进一步用于基于连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征。优选地,系统行为特征生成器120可以包括连接相关系统行为特征生成器,该连接相关系统行为特征生成器可以用于基于连接相关系统行为参数生成连接相关系统行为特征。优选地,可以通过对连接相关系统行为参数进行数据处理来生成连接相关系统行为特征。
内容相关系统行为特征可以指与应用层内容相关联的系统行为特征。例如,内容相关系统行为特征可以包括:所发送内容中包含URL、所发送内容中包含敏感数据等。具体地,例如,内容相关系统行为特征可以是所发送内容中包含与恶意代码相关联的特定URL、所发送内容中包含用户身份信息等。内容相关系统行为特征可以包括,但并不局限于,以上列举的几种特征中的一个或多个,其还可以包括其它与应用层内容相关联的特征。优选地,系统行为特征生成器120可以进一步用于基于内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征。优选地,系统行为特征生成器120可以包括内容相关系统行为特征生成器,该内容相关系统行为特征生成器可以用于基于内容相关系统行为参数生成内容相关系统行为特征。优选地,可以通过对内容相关系统行为参数进行数据处理来生成内容相关系统行为特征。
连接和内容相关系统行为特征可以指与数据收发以及应用层内容均相关联的系统行为特征。例如,连接和内容相关系统行为特征可以是频繁调用网络API发送敏感数据等。连接和内容相关系统行为特征也可以是其它与数据收发以及应用层内容均相关联的特征。优选地,系统行为特征生成器120可以进一步用于基于连接相关系统行为参数和内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。优选地,系统行为特征生成器120可以包括连接和内容相关系统行为特征生成器,该连接和内容相关系统行为特征生成器可以用于基于连接相关系统行为参数和内容相关系统行为参数生成连接和内容相关系统行为特征。优选地,可以通过对连接相关系统行为参数和内容相关系统行为参数进行数据处理来生成连接和内容相关系统行为特征。
网络行为特征导出器130可以基于系统行为特征导出恶意代码的网络行为特征。
网络行为特征可以指网络侧与恶意代码的行为相关联的特征。网络行为特征可以包括连接相关网络行为特征、内容相关网络行为特征以及连接和内容相关网络行为特征中的至少一个。
连接相关网络行为特征可以指与网络连接相关联的网络行为特征。例如,连接相关网络行为特征可以包括基本连接特征、基于时间的数据流特征、基于用户的数据流特征等。具体地,例如,基本连接特征可以指源IP地址的变化情况、目的地IP地址的变化情况、协议类型的变化情况、服务类型的变化情况等。基于时间的数据流特征可以指在预定时间段内收发数据包的情况等,例如,在2秒内发往某个目的地IP地址的数据包的情况、在2秒内使用某种协议类型的数据包的收发情况等。基于用户的数据流特征可以指一个用户收发数据包的情况等,例如,一个用户在指定时间段内收发数据包的情况、一个用户发往某个目的地IP地址的数据包的情况等。连接相关网络行为特征可以包括,但并不局限于,以上列举的几种特征中的一个或多个,其还可以包括其它与网络连接相关联的特征。优选地,网络行为特征导出器130可以进一步用于基于连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征。优选地,网络行为特征导出器130可以包括连接相关网络行为特征导出器,该连接相关网络行为特征导出器可以用于基于连接相关系统行为特征导出连接相关网络行为特征。将在后面结合具体实例说明该导出过程。
内容相关网络行为特征可以指与应用层内容相关联的网络行为特征。例如,内容相关网络行为特征可以包括:所发送数据包中包含URL、所发送数据包中包含敏感数据等。具体地,例如,内容相关网络行为特征可以是所发送数据包中包含与恶意代码相关联的特定URL、所发送数据包中包含用户身份信息等。内容相关网络行为特征可以包括,但并不局限于,以上列举的几种特征中的一个或多个,其还可以包括其它与应用层内容相关联的特征。优选地,网络行为特征导出器130可以进一步用于基于内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征。优选地,网络行为特征导出器130可以包括内容相关网络行为特征导出器,该内容相关网络行为特征导出器可以用于基于内容相关系统行为特征导出内容相关网络行为特征。将在后面结合具体实例说明该导出过程。
连接和内容相关网络行为特征可以指与网络连接和应用层内容都相关联的网络行为特征。例如,连接和内容相关网络行为特征可以是频繁发送包含敏感信息的数据包等。连接和内容相关网络行为特征也可以是其它与网络连接和应用层内容都相关联的特征。优选地,网络行为特征导出器130可以进一步用于基于连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。优选地,网络行为特征导出器130可以包括连接和内容相关网络行为特征导出器,该连接和内容相关网络行为特征导出器可以用于基于连接和内容相关系统行为特征导出连接和内容相关网络行为特征。将在后面结合具体实例说明该导出过程。
可选地,作为进一步的应用,网络行为特征导出器130所导出的恶意代码的网络行为特征可以被用作在网络数据流中检测恶意代码的捕获规则。例如,恶意代码的网络行为特征可被用于创建或添加到网络行为特征数据库,从而,可以利用该网络行为特征数据库中的网络行为特征去检测相对应的恶意代码。
图2示出了根据本发明实施例的用于导出恶意代码的网络行为特征的方法200的流程图。
在S210处,可以获取由恶意代码引起的系统行为参数。例如,可以由图1所示的系统行为参数获取器110来获取由恶意代码引起的系统行为参数。
优选地,S210中的获取由恶意代码引起的系统行为参数的操作可以包括以下至少之一:获取与数据收发相关联的连接相关系统行为参数;以及获取与应用层内容相关联的内容相关系统行为参数。
在S220处,可以基于系统行为参数生成系统行为特征。例如,可以由图1所示的系统行为特征生成器120来基于系统行为参数生成系统行为特征。
优选地,S220中的基于系统行为参数生成系统行为特征的操作可以包括以下至少之一:基于连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于连接相关系统行为参数和内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。
在S230处,可以基于系统行为特征导出恶意代码的网络行为特征。例如,可以由图1所示的网络行为特征导出器130来基于系统行为特征导出恶意代码的网络行为特征。
优选地,S230中的基于系统行为特征导出恶意代码的网络行为特征的操作可以包括以下至少之一:基于连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;基于内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及基于连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。
下面将以较为流行的移动恶意代码“小媒体(xiaomeiti)”为例来进一步示例性地说明图2所示的用于导出恶意代码的网络行为特征的方法的具体实现。
“小媒体”是一种通常与安全软件、地图软件和办公软件绑定的木马。小媒体的可执行文件为mservice.exe,该可执行文件可以搜集手机系统的各种私密信息。所述私密信息可以包括手机用户名称字符串、手机IMSI号码、手机IMEI号码、手机操作系统主版本号/次版本号/修改版本号、手机屏幕尺寸、手机物理内存大小、手机系统语言、手机型号、平台信息、ID、联系人、呼叫记录、应用软件的帐号和密码等信息。小媒体可以将这些私密信息通过短消息发送到特定的移动号码,或者通过GPRS发送到指定网站的URL,如http://mobi.xiaomeiti.com。这些网站可能会对用户的私密信息进行分析并出售给不法分子。不法分子可能进而对感染木马的手机用户进行短信诈骗、电话骚扰、甚至远程控制等。小媒体可以由木马开发者手工附加到其它第三方应用软件的CAB安装包中,然后在手机用户下载该安装包时传播到手机。小媒体还可以定期地链接到网站(如mobile.xiaomeiti.com)以便尝试下载升级包。
根据本发明的实施例,可以首先获取由小媒体引起的系统行为参数。优选地,系统行为参数可以包括连接相关系统行为参数和内容相关系统行为参数中的至少一个。
由于小媒体可以调用敏感数据函数的API以获取私密信息、调用短消息API和短消息收发API以向特定的移动号码发送短消息、以及调用网络API以向http://mobi.xiaomeiti.com发送信息和从http://mobi.xiaomeiti.com下载文件等,因此,所获取的连接相关系统行为参数可以示意性地包括:
(1-1-a) | 短消息收发API的调用时间及其调用参数 |
(1-1-b) | 网络API的调用时间及其调用参数 |
所获取的内容相关系统行为参数可以示意性地包括:
(1-2-a) | 短消息中包含的敏感数据 |
(1-2-b) | 目的地URL |
(1-2-c) | 发送到目的地URL的内容中包含的敏感数据 |
然后,可以基于系统行为参数生成系统行为特征。系统行为特征可以包括连接相关系统行为特征、内容相关系统行为特征以及连接和内容相关系统行为特征中的至少一个。例如,可以基于以上的连接相关系统行为参数和内容相关系统行为参数来生成连接相关系统行为特征、内容相关系统行为特征以及连接和内容相关系统行为特征。
优选地,可以基于连接相关系统行为参数来生成连接相关系统行为特征。例如,对于上述的参数(1-1-a),可以通过数据处理技术(例如统计、关联分析等)来根据短消息收发API的调用时间确定出对应的连接相关系统行为特征,如“短消息收发API的调用频率”。类似地,对于上述的参数(1-1-b),也可以确定出对应的连接相关系统行为特征,如“网络API的调用频率”。因此,所生成的连接相关系统行为特征可以示意性地包括:
(1-3-a) | 短消息收发API的调用频率 |
(1-3-b) | 网络API的调用频率 |
优选地,可以基于内容相关系统行为参数来生成内容相关系统行为特征。例如,对于上述的参数(1-2-a),可以确定出对应的内容相关系统行为特征,如“短消息中包含敏感数据”。类似地,对于上述的参数(1-2-b)和(1-2-c),也可以分别确定出对应的内容相关系统行为特征,如“目的地URL为特定URL”、“发送到特定URL的内容中包含敏感数据”。因此,所生成的内容相关系统行为特征可以示意性地包括:
(1-4-a) | 短消息中包含敏感数据 |
(1-4-b) | 目的地URL为特定URL |
(1-4-c) | 发送到特定URL的内容中包含敏感数据 |
优选地,可以基于连接相关系统行为参数和内容相关系统行为参数来生成连接和内容相关系统行为特征。例如,可以通过数据处理,基于参数(1-1-a)以及参数(1-2-a)来生成对应的连接和内容相关系统行为特征,如“频繁调用短消息收发API发送包含敏感数据的短消息”。例如,可以通过数据处理,基于参数(1-1-b)以及参数(1-2-b)和(1-2-c)来生成对应的连接和内容相关系统行为特征,如“频繁调用网络API向特定URL发送包含敏感数据的内容”。因此,所生成的连接和内容相关系统行为特征可以示意性地包括:
(1-5-a) | 频繁调用短消息收发API发送包含敏感数据的短消息 |
(1-5-b) | 频繁调用网络API向特定URL发送包含敏感数据的内容 |
然后,可以基于系统行为特征导出恶意代码的网络行为特征。网络行为特征可以包括连接相关网络行为特征、内容相关网络行为特征以及连接和内容相关网络行为特征中的至少一个。例如,可以基于连接相关系统行为特征、内容相关系统行为特征以及连接和内容相关系统行为特征来分别导出连接相关网络行为特征、内容相关网络行为特征以及连接和内容相关网络行为特征。
优选地,可以基于连接相关系统行为特征来导出连接相关网络行为特征。对于特征(1-3-a),“短消息收发API的调用频率”涉及与短消息发送相关的数据流。此处,假设将根据本发明的装置100部署为连接到例如GPRS系统的Gn接口,因而不能够捕获到短消息,从而特征(1-3-a)并不导致相应的连接相关网络行为特征。(然而,应当理解,如果将根据本发明的装置100部署为连接到其它接口,例如GPRS系统的Gb接口,则可以捕获到短消息,从而可以产生相应的连接相关网络行为特征)。对于特征(1-3-b),“网络API的调用频率”将会对应于网络侧发送数据包的频率,从而可以导出对应的连接相关网络行为特征“用户发送数据包的频率”。因此,所导出的连接相关网络行为特征可以示意性地包括:
(1-6-a) | 用户发送数据包的频率 |
优选地,可以基于内容相关系统行为特征来导出内容相关网络行为特征。对于特征(1-4-a),由于此处假设将根据本发明的装置100部署为连接到例如GPRS系统的Gn接口,因而不能够捕获到短消息,从而特征(1-4-a)并不导致相应的内容相关网络行为特征。(然而,应当理解,如果将根据本发明的装置100部署为连接到其它接口,例如GPRS系统的Gb接口,则可以捕获到短消息,从而可以产生相应的内容相关网络行为特征)。对于特征(1-4-b),可以导出相应的内容相关网络行为特征,如“数据包的目的地URL为特定URL”。对于特征(1-4-c),可以导出相应的内容相关网络行为特征,如“数据包中包含敏感数据”。因此,所导出的内容相关网络行为特征可以示意性地包括:
(1-7-a) | 数据包的目的地URL为特定URL |
(1-7-b) | 数据包中包含敏感数据 |
优选地,可以基于连接和内容相关系统行为特征来导出连接和内容相关网络行为特征。对于特征(1-5-a),由于此处假设将根据本发明的装置100部署为连接到例如GPRS系统的Gn接口,因而不能够捕获到短消息,从而特征(1-5-a)并不导致相应的连接和内容相关网络行为特征。(然而,应当理解,如果将根据本发明的装置100部署为连接到其它接口,例如GPRS系统的Gb接口,则可以捕获到短消息,从而可以产生相应的连接和内容相关网络行为特征)。对于特征(1-5-b),可以导出相应的连接和内容相关网络行为特征,如“频繁向特定URL发送包含敏感数据的数据包”。因此,所导出的连接和内容相关网络行为特征可以示意性地包括:
(1-8-a) | 频繁向特定URL发送包含敏感数据的数据包 |
通过以上过程,可以导出小媒体所涉及的有效的网络行为特征。
图3示出了根据本发明实施例的用于导出恶意代码的网络行为特征的装置300的示意图。
装置300可以包括:用于获取由恶意代码引起的系统行为参数的模块310;用于基于系统行为参数生成系统行为特征的模块320;以及用于基于系统行为特征导出恶意代码的网络行为特征的模块330。此外,装置300还可以包括用于执行结合图2的方法所描述的任意操作的模块。
图4示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置400的结构示意图。
装置400可以包括网络行为参数获取器410、网络行为特征生成器420、网络行为参数确定器430、系统行为参数获取器440、系统行为特征生成器450以及网络行为特征校验器460。
网络行为参数获取器410可以获取由恶意代码引起的网络行为参数。网络行为参数可以指与网络行为相关联的参数。网络行为参数可以包括连接相关网络行为参数和内容相关网络行为参数中的至少一个。
连接相关网络行为参数可以指与网络连接相关联的网络行为参数。例如,连接相关网络行为参数可以是数据包发送时间、IP地址、端口号、协议类型、服务类型等。连接相关网络行为参数可以包括,但并不局限于,以上列举的几种参数中的一个或多个,其还可以包括其它与网络连接相关联的参数。优选地,网络行为参数获取器410可以进一步用于获取与网络连接相关联的网络行为参数。优选地,网络行为参数获取器410可以包括连接相关网络行为参数获取器,该连接相关网络行为参数获取器可以用于获取连接相关网络行为参数。例如,该连接相关网络行为参数获取器可以从数据包的包头部分中获得连接相关的网络行为参数。
内容相关网络行为参数可以指与应用层内容相关联的网络行为参数。例如,内容相关网络行为参数可以包括URL、敏感数据、内容属性等。URL可以是与恶意代码相关联的特定目的地地址等。敏感数据可以是涉及隐私或安全的数据等,例如,敏感数据可以包括用户身份信息(例如国际移动用户标识IMSI)、国际移动设备标识IMEI、手机号码、短消息、彩信、通信录、位置信息等。内容属性可以包括文件名、文件类型、传输内容长度等。内容相关网络行为参数可以包括,但并不局限于,以上列举的几种参数中的一个或多个,其还可以包括其它与应用层内容相关联的参数。优选地,网络行为参数获取器410可以进一步用于获取与应用层内容相关联的内容相关网络行为参数。优选地,网络行为参数获取器410可以包括内容相关网络行为参数获取器,该内容相关网络行为参数获取器可以用于获取内容相关网络行为参数。例如,该内容相关网络行为参数获取器可以从数据包的载荷部分中获得内容相关的网络行为参数。
网络行为特征生成器420可以基于网络行为参数生成网络行为特征。优选地,可以通过对网络行为参数进行数据处理来生成网络行为特征。此处的数据处理可以为数理统计、数据挖掘等技术。例如,优选地,网络行为特征生成器420可以利用数据挖掘等技术来对网络行为参数进行统计、关联分析等处理以便得到网络行为特征。网络行为特征可以包括连接相关网络行为特征、内容相关网络行为特征以及连接和内容相关网络行为特征中的至少一个。
优选地,网络行为特征生成器420可以进一步用于基于连接相关网络行为参数生成与网络连接相关联的连接相关网络行为特征。优选地,网络行为特征生成器420可以包括连接相关网络行为特征生成器,该连接相关网络行为特征生成器可以用于基于连接相关网络行为参数生成连接相关网络行为特征。优选地,可以通过对连接相关网络行为参数进行数据处理来生成连接相关网络行为特征。
优选地,网络行为特征生成器420可以进一步用于基于内容相关网络行为参数生成与应用层内容相关联的内容相关网络行为特征。优选地,网络行为特征生成器420可以包括内容相关网络行为特征生成器,该内容相关网络行为特征生成器可以用于基于内容相关网络行为参数生成内容相关网络行为特征。优选地,可以通过对内容相关网络行为参数进行数据处理来生成内容相关网络行为特征。
优选地,网络行为特征生成器420可以进一步用于基于连接相关网络行为参数和内容相关网络行为参数生成与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。优选地,网络行为特征生成器420可以包括连接和内容相关网络行为特征生成器,该连接和内容相关网络行为特征生成器可以用于基于连接相关网络行为参数和内容相关网络行为参数生成连接和内容相关网络行为特征。优选地,可以通过对连接相关网络行为参数和内容相关网络行为参数进行数据处理来生成连接和内容相关网络行为特征。
网络行为参数确定器430可以确定与所要验证的网络行为特征相对应的网络行为参数。
所要验证的网络行为特征可以来自于网络行为特征生成器420所生成的网络行为特征,也可以来自于通过任何其它手段获得的网络行为特征。例如,网络行为参数确定器430可以针对所要验证的任何已有的网络行为特征确定相对应的网络行为参数,而该已有的网络行为特征并不局限于从网络行为特征生成器420获取。由此,上述的网络行为参数获取器410和网络行为特征生成器420仅仅是装置400的可选组件,例如,当所要验证的网络行为特征是通过其它手段获得时,装置400也可以不包括网络行为参数获取器410和网络行为特征生成器420。
优选地,所要验证的网络行为特征可以包括连接相关网络行为特征、内容相关网络行为特征以及连接和内容相关网络行为特征中的至少一个。相应地,确定与所要验证的网络行为特征相对应的网络行为参数也可以包括确定与网络连接相关联的连接相关网络行为参数以及确定与应用层内容相关联的内容相关网络行为参数中的至少之一。
优选地,网络行为参数确定器430可以进一步用于基于连接相关网络行为特征确定相应的连接相关网络行为参数。优选地,网络行为参数确定器430可以包括连接相关网络行为参数确定器,该连接相关网络行为参数确定器可以用于基于连接相关网络行为特征确定相应的连接相关网络行为参数。
优选地,网络行为参数确定器430可以进一步用于基于内容相关网络行为特征确定相应的内容相关网络行为参数。优选地,网络行为参数确定器430可以包括内容相关网络行为参数确定器,该内容相关网络行为参数确定器可以用于基于内容相关网络行为特征确定相应的内容相关网络行为参数。
优选地,网络行为参数确定器430可以进一步用于基于连接和内容相关网络行为特征确定相应的连接相关网络行为参数和内容相关网络行为参数。优选地,网络行为参数确定器430可以包括连接相关网络行为参数和内容相关网络行为参数确定器,该连接相关网络行为参数和内容相关网络行为参数确定器可以用于基于连接和内容相关网络行为特征确定相应的连接相关网络行为参数和内容相关网络行为参数。
系统行为参数获取器440可以获取与网络行为参数确定器430所确定的网络行为参数相对应的系统行为参数。例如,由于在大多数情况下在网络行为参数与系统行为参数之间存在特定的对应关系,因此,系统行为参数获取器440可以由网络行为参数确定器430所确定的网络行为参数获知相对应的系统行为参数,从而可以获取该系统行为参数。
优选地,网络行为参数确定器430所确定的网络行为参数可以包括连接相关网络行为参数和内容相关网络行为参数中的至少之一。相应地,获取与网络行为参数相对应的系统行为参数也可以包括获取与连接相关网络行为参数相对应的、与数据收发相关联的连接相关系统行为参数,以及获取与内容相关网络行为参数相对应的、与应用层内容相关联的内容相关系统行为参数中的至少之一。
优选地,系统行为参数获取器440可以进一步用于获取与连接相关网络行为参数相对应的连接相关系统行为参数。优选地,系统行为参数获取器440可以包括连接相关系统行为参数获取器,该连接相关系统行为参数获取器可以用于获取与连接相关网络行为参数相对应的连接相关系统行为参数。
优选地,系统行为参数获取器440可以进一步用于获取与内容相关网络行为参数相对应的内容相关系统行为参数。优选地,系统行为参数获取器440可以包括内容相关系统行为参数获取器,该内容相关系统行为参数获取器可以用于获取与内容相关网络行为参数相对应的内容相关系统行为参数。
系统行为特征生成器450可以基于系统行为参数获取器440所获取的系统行为参数生成相应的系统行为特征。例如,系统行为特征生成器450可以基于系统行为参数生成连接相关系统行为特征、内容相关系统行为特征以及连接和内容相关系统行为特征中的至少一个。系统行为特征生成器450所执行的操作与上述的系统行为特征生成器120所执行的操作类似,在此不再赘述。
网络行为特征校验器460可以将系统行为特征生成器450所生成的系统行为特征与所要验证的网络行为特征进行比较,以确定所要验证的网络行为特征的有效性。
网络行为特征校验器460可以采用各种特征比较方式来在系统行为特征与所要验证的网络行为特征之间进行比较。例如,网络行为特征校验器460可以简单地确定系统行为特征与所要验证的网络行为特征是否存在明确的对应关系(如,是否是同一恶意代码分别在终端用户侧和网络侧表现出来的相应特征),如果是,则确定所要验证的网络行为特征有效,否则,确定所要验证的网络行为特征无效。此外,例如,网络行为特征校验器460可以确定系统行为特征与所要验证的网络行为特征之间的关联程度,如果关联程度较高(如,大于或等于特定阈值)则确定所要验证的网络行为特征有效,否则,如果关联程度较低(如,小于特定阈值)则确定所要验证的网络行为特征无效。此外,例如,网络行为特征校验器460也可以尝试进行多次校验,并综合考虑多次校验的结果来最终决定所要验证的网络行为特征是否有效。实际上,网络行为特征校验器460可以采用任何能够在系统行为特征与所要验证的网络行为特征之间进行比较的方式,本发明并不在此方面局限于任何特定的比较方式。优选地,如果确定所要验证的网络行为特征有效,则可以保留该网络行为特征,否则,如果确定所要验证的网络行为特征无效,则可以删除该网络行为特征或对该网络行为特征进行适当的修改。
图5示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置在网络500中的部署的示意图。图5仅仅示意性地示出了一种网络结构,在实际应用中可能存在多种其它网络结构,并且,根据本发明实施例的用于验证恶意代码的网络行为特征的装置(例如,装置400)的部署也并不局限于图5所示,而是可以根据实际应用需要进行任意改变。
图5所示的移动网络500可以包括移动用户设备510、服务GPRS支持节点(SGSN:Serving GPRS Support Node)520、网关GPRS支持节点(GGSN:Gateway GPRS Support Node)530,其中,在SGSN520与GGSN530之间可以通过Gn接口连接。此外,移动网络500还可以包括捕获引擎540。捕获引擎540可以用于获取在SGSN520与GGSN530之间的Gn网络数据流,并且根据预定的捕获规则来捕获网络数据流。
在移动网络500侧还可以设置网络行为参数获取器550、网络行为特征生成器560以及网络行为参数确定器570。此外,在移动用户设备510侧还可以设置系统行为参数获取器512、系统行为特征生成器514以及网络行为特征校验器516。网络行为参数获取器550、网络行为特征生成器560、网络行为参数确定器570、系统行为参数获取器512、系统行为特征生成器514以及网络行为特征校验器516构成了根据本发明实施例的用于验证恶意代码的网络行为特征的装置(例如,装置400)。
网络行为参数获取器550可以连接到捕获引擎540,以便获取捕获引擎540所捕获的网络数据流。尽管在图5中将捕获引擎540示为独立的实体,但是可选地,其也可以作为用于验证恶意代码的网络行为特征的系统的一部分或者作为网络行为参数获取器550的一部分。
尽管在图5中示出网络行为参数确定器570可以连接到网络行为特征生成器560,但是如前面的描述,当所要验证的网络行为特征是通过其它手段获得时,网络行为参数确定器570也可以不连接到网络行为特征生成器560,从而可以从移动网络500中去除网络行为特征生成器560及其之前的网络行为参数获取器550和捕获引擎540。
此外,尽管以图5所示的移动网络500来说明根据本发明实施例的用于验证恶意代码的网络行为特征的装置的部署,但是本领域技术人员应当理解,用于验证恶意代码的网络行为特征的装置也可以部署在除移动网络之外的其它类型网络中。
此外,本领域技术人员应当理解,以上结合图1所描述的用于导出恶意代码的网络行为特征的装置100也可以类似地部署在图5所示的移动网络500中或者除移动网络之外的其它类型网络中,或者部署在独立的实体,如服务器中。
图6示出了根据本发明实施例的用于验证恶意代码的网络行为特征的方法600的流程图。
在S610处,可以确定与所要验证的网络行为特征相对应的网络行为参数。例如,可以由图4所示的网络行为参数确定器430来确定与所要验证的网络行为特征相对应的网络行为参数。
优选地,网络行为特征可以包括以下至少之一:与网络连接相关联的连接相关网络行为特征;与应用层内容相关联的内容相关网络行为特征;以及与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。相应地,确定与所要验证的网络行为特征相对应的网络行为参数可以包括以下至少之一:确定与网络连接相关联的连接相关网络行为参数;以及确定与应用层内容相关联的内容相关网络行为参数。
如前所述,所要验证的网络行为特征可以来自于通过任何手段获得的网络行为特征。例如,可以获取由恶意代码引起的网络行为参数并且基于网络行为参数生成网络行为特征,然后,可以从如此生成的网络行为特征中选择所要验证的网络行为特征。在这种情况下,可以由图4所示的网络行为参数获取器410获取由恶意代码引起的网络行为参数,并且由图4所示的网络行为特征生成器420基于网络行为参数生成网络行为特征。然而,本领域技术人员应当理解,所要验证的网络行为特征并不局限于通过图4所示的网络行为参数获取器410和网络行为特征生成器420来获得,而是也可以来自于任何其它手段。
在S620处,可以获取与在S610处确定的网络行为参数相对应的系统行为参数。例如,可以由图4所示的系统行为参数获取器440来获取与网络行为参数相对应的系统行为参数。
优选地,获取与网络行为参数相对应的系统行为参数可以包括以下至少之一:获取与连接相关网络行为参数相对应的、与数据收发相关联的连接相关系统行为参数;以及获取与内容相关网络行为参数相对应的、与应用层内容相关联的内容相关系统行为参数。
在S630处,可以基于在S620处所获取的系统行为参数生成系统行为特征。例如,可以由图4所示的系统行为特征生成器450来基于系统行为参数生成系统行为特征。
优选地,基于系统行为参数生成系统行为特征可以包括以下至少之一:基于连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于连接相关系统行为参数和内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。
在S640处,可以将在S630处所生成的系统行为特征与所要验证的网络行为特征进行比较,以确定该网络行为特征的有效性。
优选地,将系统行为特征与网络行为特征进行比较可以包括以下至少之一:将连接相关网络行为特征与连接相关系统行为特征进行比较;将内容相关网络行为特征与内容相关系统行为特征进行比较;以及将连接和内容相关网络行为特征与连接和内容相关系统行为特征进行比较。
下面将以移动恶意代码“小媒体”为例来进一步示例性地说明图6所示的用于验证恶意代码的网络行为特征的方法的具体实现。
首先,可以可选地获取由恶意代码引起的网络行为参数。优选地,网络行为参数可以包括连接相关网络行为参数和内容相关网络行为参数中的至少一个。
所获取的连接相关网络行为参数可以示意性地包括:
(2-1-a) | 数据包的发送时间 |
(2-1-b) | 数据包使用的协议类型 |
(2-1-c) | 数据包使用的服务类型 |
所获取的内容相关网络行为参数可以示意性地包括:
(2-2-a) | 数据包的目的地URL |
(2-2-b) | 数据包中包含的敏感数据 |
然后,可以可选地基于所获取的网络行为参数生成网络行为特征。优选地,网络行为特征可以包括连接相关网络行为特征、内容相关网络行为特征以及连接和内容相关网络行为特征中的至少一个。
优选地,可以基于连接相关网络行为参数来生成连接相关网络行为特征。对于参数(2-1-a),可以通过数据处理技术(例如统计、关联分析等)来根据数据包的发送时间确定出对应的连接相关网络行为特征,如“用户发送数据包的频率”。因此,所生成的连接相关网络行为特征可以示意性地包括:
(2-3-a) | 用户发送数据包的频率 |
优选地,可以基于内容相关网络行为参数来生成内容相关网络行为特征。对于参数(2-2-a),可以确定出相应的内容相关网络行为特征,如“数据包的目的地URL为特定URL”。对于参数(2-2-b),可以确定出相应的内容相关网络行为特征,如“数据包中包含敏感数据”。因此,所生成的内容相关网络行为特征可以示意性地包括:
(2-4-a) | 数据包的目的地URL为特定URL |
(2-4-b) | 数据包中包含敏感数据 |
优选地,可以基于连接相关网络行为参数和内容相关网络行为参数来生成连接和内容相关网络行为特征。例如,可以通过数据处理,基于参数(2-1-a)、(2-2-a)和(2-2-b)来生成对应的连接和内容相关网络行为特征,如“频繁向特定URL发送包含敏感数据的数据包”。例如,还可以通过如数据挖掘等数据处理技术,在预设的支持度为X、置信度为Y的条件下,基于参数(2-1-a)、(2-1-b)、(2-1-c)、(2-2-a)和(2-2-b)来生成其它的连接和内容相关网络行为特征,如“{数据包的目的地为特定URL}与{在1秒内多次发送数据包,使用http,使用TCP/IP,使用get发起会话}满足支持度为X、置信度为Y”。支持度为X表示{数据包的目的地为特定URL}与{在1秒内多次发送数据包,使用http,使用TCP/IP,使用get发起会话}同时发生的概率为X,置信度为Y表示在{数据包的目的地为特定URL}的情况下{在1秒内多次发送数据包,使用http,使用TCP/IP,使用get发起会话}的概率为Y。在该连接和内容相关网络行为特征中涉及的具体条件等仅仅是示例性的,根据实际情况,可以采用其它具体条件。因此,所生成的连接和内容相关网络行为特征可以示意性地包括:
所要验证的网络行为特征可以来自于通过上述过程所生成的连接相关网络行为特征(2-3-a)、内容相关网络行为特征(2-4-a)和(2-4-b)以及连接和内容相关网络行为特征(2-5-a)和(2-5-b)。然而,本领域技术人员应当理解,所要验证的网络行为特征也可以来自于通过任何其它手段获得的网络行为特征,而并不局限于通过上述过程所生成的上述网络行为特征。以下仅以上述网络行为特征作为示例来进一步说明根据本发明的验证恶意代码的网络行为特征的方法的具体实现。
在确定或选择了所要验证的网络行为特征之后,可以进一步确定与所要验证的网络行为特征相对应的网络行为参数、获取与所述网络行为参数相对应的系统行为参数、基于所述系统行为参数生成系统行为特征、以及将所述系统行为特征与所述网络行为特征进行比较以确定所述网络行为特征的有效性。
以要验证连接相关网络行为特征(2-3-a)为例进行说明。首先,确定出与特征(2-3-a)相对应的连接相关网络行为参数,如“数据包的发送时间”(参见参数(2-1-a))。然后,确定出与上述连接相关网络行为参数相对应的连接相关系统行为参数,如“网络API的调用时间及其调用参数”。然后,确定出与上述连接相关系统行为参数相对应的连接相关系统行为特征,如“网络API的调用频率”。然后,将上述连接相关系统行为特征与所要验证的特征(2-3-a)进行比较。例如,可以判断上述连接相关系统行为特征中所指示的网络API的调用频率是否与特征(2-3-a)中所指示的用户发送数据包的频率相同或者处在一个合理的误差范围内。如果判断为是,则可以确定特征(2-3-a)有效,否则,可以确定特征(2-3-a)无效。
以要验证内容相关网络行为特征(2-4-a)为例进行说明。首先,确定出与特征(2-4-a)相对应的内容相关网络行为参数,如“数据包的目的地URL”(参见参数(2-2-a))。然后,确定出与上述内容相关网络行为参数相对应的内容相关系统行为参数,如“目的地URL”。然后,确定出与上述内容相关系统行为参数相对应的内容相关系统行为特征,如“目的地URL为特定URL”。然后,将上述内容相关系统行为特征与所要验证的特征(2-4-a)进行比较。例如,可以判断上述内容相关系统行为特征中所指示的URL是否与特征(2-4-a)中所指示的URL相同。在本例中,判断结果为是,从而可以确定特征(2-4-a)有效。
以要验证连接和内容相关网络行为特征(2-5-a)为例进行说明。首先,确定出与特征(2-5-a)相对应的连接相关网络行为参数和内容相关网络行为参数,如“数据包的发送时间”(参见参数(2-1-a))、“数据包的目的地URL”(参见参数(2-2-a))、“数据包中包含的敏感数据”(参见参数(2-2-b))等。然后,确定出与上述连接相关网络行为参数和内容相关网络行为参数相对应的连接相关系统行为参数和内容相关系统行为参数,如“网络API的调用时间及其调用参数”、“目的地URL”、“发送到目的地URL的内容中包含的敏感数据”等。然后,确定出与上述连接相关系统行为参数和内容相关系统行为参数相对应的连接和内容相关系统行为特征,如“频繁调用网络API向特定URL发送包含敏感数据的内容”。然后,将上述连接和内容相关系统行为特征与所要验证的特征(2-5-a)进行比较。例如,可以判断上述连接和内容相关系统行为特征是否与特征(2-5-a)相对应。如果判断为是,则可以确定特征(2-5-a)有效,否则,可以确定特征(2-5-a)无效。
以要验证连接和内容相关网络行为特征(2-5-b)为例进行说明。首先,确定出与特征(2-5-b)相对应的连接相关网络行为参数和内容相关网络行为参数,如“数据包的发送时间”(参见参数(2-1-a))、“数据包使用的协议类型”(参见参数(2-1-b))、“数据包使用的服务类型”(参见参数(2-1-c))、“数据包的目的地URL”(参见参数(2-2-a))、“数据包中包含的敏感数据”(参见参数(2-2-b))等。然后,确定出与上述连接相关网络行为参数和内容相关网络行为参数相对应的连接相关系统行为参数和内容相关系统行为参数,如“网络API的调用时间及其调用参数”、“协议类型”、“服务类型”、“目的地URL”、“发送到目的地URL的内容中包含的敏感数据”等。然后,确定出与上述连接相关系统行为参数和内容相关系统行为参数相对应的连接和内容相关系统行为特征,例如,可以基于所要验证的特征(2-5-b)中的支持度与置信度条件,通过数据挖掘等数据处理技术来确定出相对应的连接和内容相关系统行为特征,如“{目的地URL为特定URL}与{在1秒内多次调用网络API,使用http,使用TCP/IP}满足支持度为X、置信度为Y”。通过将上述连接和内容相关系统行为特征与所要验证的特征(2-5-b)进行比较可以看出,上述连接和内容相关系统行为特征与特征(2-5-b)中“使用get发起会话”这一项不相对应,则可以确定特征(2-5-b)无效。对于所验证无效的网络行为特征,还可以通过多次校验进一步验证。例如经多次校验,均确定连接和内容相关系统行为特征为“{目的地URL为特定URL}与{在1秒内多次调用网络API,使用http,使用TCP/IP}满足支持度为X、置信度为Y”,则可以据此从特征(2-5-b)中删除“使用get发起会话”这一项,从而实现了对特征(2-5-b)的验证和优化。
通过以上过程,可以实现对小媒体所涉及的网络行为特征的有效性的验证。
图7示出了根据本发明实施例的用于验证恶意代码的网络行为特征的装置700的示意图。
装置700可以包括:用于确定与所要验证的网络行为特征相对应的网络行为参数的模块710;用于获取与所述网络行为参数相对应的系统行为参数的模块720;用于基于所述系统行为参数生成系统行为特征的模块730;以及用于将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性的模块740。此外,装置700还可以包括用于执行结合图6的方法所描述的任意操作的模块。
图8示出了根据本发明实施例的用于导出或验证恶意代码的网络行为特征的设备800的示意图。
设备800可以包括处理器810以及耦合到处理器810的存储器820。存储器820可以用于存储可执行指令,处理器810可以配置用于根据所存储的可执行指令,实现与方法200或方法600相对应的功能。例如,当将设备800配置作为用于导出恶意代码的网络行为特征的装置时,处理器810可以配置为:获取由恶意代码引起的系统行为参数,基于所述系统行为参数生成系统行为特征,以及基于所述系统行为特征导出恶意代码的网络行为特征。在这种情况下,处理器810还可以配置为实现与以上结合图2的方法200所描述的任意操作相对应的功能。例如,当将设备800配置作为用于验证恶意代码的网络行为特征的装置时,处理器810可以配置为:确定与所要验证的网络行为特征相对应的网络行为参数,获取与所述网络行为参数相对应的系统行为参数,基于所述系统行为参数生成系统行为特征,以及将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。在这种情况下,处理器810还可以配置为实现与以上结合图6的方法600所描述的任意操作相对应的功能。存储器820可以存储处理器810所需要的程序代码或数据。
本文描述的各个方面可以用硬件、软件、固件、中间件、微代码或者其任意组合来实现。利用软件、固件、中间件、微代码、程序代码或者代码段来实现这些装置和/或方法时,可以将其存储在机器可读介质内,例如存储在存储部件内。对于软件实现,本文描述的技术可以用实现本文所述功能的模块(例如程序、函数等)来实现。可以将软件代码存储在存储器单元中,由处理器来执行。存储器单元可以在处理器中实现,或者可以位于处理器外部。在后一种情况下,存储器可以通过各种手段与处理器连接。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,本领域技术人员从中推导出来的其它方案也在本发明的保护范围之内。
Claims (17)
1.一种用于导出恶意代码的网络行为特征的方法,包括:
获取由恶意代码引起的系统行为参数;
基于所述系统行为参数生成系统行为特征;以及
基于所述系统行为特征导出恶意代码的网络行为特征。
2.如权利要求1所述的方法,其中,所述获取由恶意代码引起的系统行为参数包括以下至少之一:
获取与数据收发相关联的连接相关系统行为参数;以及
获取与应用层内容相关联的内容相关系统行为参数。
3.如权利要求2所述的方法,其中,所述基于所述系统行为参数生成系统行为特征包括以下至少之一:
基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;
基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及
基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。
4.如权利要求3所述的方法,其中,所述基于所述系统行为特征导出恶意代码的网络行为特征包括以下至少之一:
基于所述连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;
基于所述内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及
基于所述连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。
5.一种用于导出恶意代码的网络行为特征的装置,包括:
系统行为参数获取器,用于获取由恶意代码引起的系统行为参数;
系统行为特征生成器,用于基于所述系统行为参数生成系统行为特征;以及
网络行为特征导出器,用于基于所述系统行为特征导出恶意代码的网络行为特征。
6.如权利要求5所述的装置,其中,所述系统行为参数获取器进一步用于以下至少之一:
获取与数据收发相关联的连接相关系统行为参数;以及
获取与应用层内容相关联的内容相关系统行为参数。
7.如权利要求6所述的装置,其中,所述系统行为特征生成器进一步用于以下至少之一:
基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;
基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及
基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征。
8.如权利要求7所述的装置,其中,所述网络行为特征导出器进一步用于以下至少之一:
基于所述连接相关系统行为特征导出与网络连接相关联的连接相关网络行为特征;
基于所述内容相关系统行为特征导出与应用层内容相关联的内容相关网络行为特征;以及
基于所述连接和内容相关系统行为特征导出与网络连接和应用层内容都相关联的连接和内容相关网络行为特征。
9.一种用于导出恶意代码的网络行为特征的设备,包括:
存储器,用于存储可执行指令;
处理器,用于根据所存储的可执行指令,执行如权利要求1-4中的任意一个权利要求所包括的步骤。
10.一种机器可读介质,其上存储有可执行指令,当所述可执行指令被执行时,使得机器执行如权利要求1-4中的任意一个权利要求所包括的步骤。
11.一种用于验证恶意代码的网络行为特征的方法,包括:
确定与所要验证的网络行为特征相对应的网络行为参数;
获取与所述网络行为参数相对应的系统行为参数;
基于所述系统行为参数生成系统行为特征;以及
将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。
12.如权利要求11所述的方法,其中,
所述网络行为特征包括以下至少之一:与网络连接相关联的连接相关网络行为特征;与应用层内容相关联的内容相关网络行为特征;以及与网络连接和应用层内容都相关联的连接和内容相关网络行为特征,并且
其中,所述确定与所要验证的网络行为特征相对应的网络行为参数包括以下至少之一:确定与网络连接相关联的连接相关网络行为参数;以及确定与应用层内容相关联的内容相关网络行为参数。
13.如权利要求12所述的方法,其中,
所述获取与所述网络行为参数相对应的系统行为参数包括以下至少之一:获取与所述连接相关网络行为参数相对应的、与数据收发相关联的连接相关系统行为参数;以及获取与所述内容相关网络行为参数相对应的、与应用层内容相关联的内容相关系统行为参数。
14.如权利要求13所述的方法,其中,
所述基于所述系统行为参数生成系统行为特征包括以下至少之一:基于所述连接相关系统行为参数生成与数据收发相关联的连接相关系统行为特征;基于所述内容相关系统行为参数生成与应用层内容相关联的内容相关系统行为特征;以及基于所述连接相关系统行为参数和所述内容相关系统行为参数,生成与数据收发以及应用层内容都相关联的连接和内容相关系统行为特征,并且
其中,所述将所述系统行为特征与所述网络行为特征进行比较包括以下至少之一:将所述连接相关网络行为特征与所述连接相关系统行为特征进行比较;将所述内容相关网络行为特征与所述内容相关系统行为特征进行比较;以及将所述连接和内容相关网络行为特征与所述连接和内容相关系统行为特征进行比较。
15.一种用于验证恶意代码的网络行为特征的装置,包括:
网络行为参数确定器,用于确定与所要验证的网络行为特征相对应的网络行为参数;
系统行为参数获取器,用于获取与所述网络行为参数相对应的系统行为参数;
系统行为特征生成器,用于基于所述系统行为参数生成系统行为特征;以及
网络行为特征校验器,用于将所述系统行为特征与所述网络行为特征进行比较,以确定所述网络行为特征的有效性。
16.一种用于验证恶意代码的网络行为特征的设备,包括:
存储器,用于存储可执行指令;
处理器,用于根据所存储的可执行指令,执行如权利要求11-14中的任意一个权利要求所包括的步骤。
17.一种机器可读介质,其上存储有可执行指令,当所述可执行指令被执行时,使得机器执行如权利要求11-14中的任意一个权利要求所包括的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210592809.9A CN103916365B (zh) | 2012-12-31 | 2012-12-31 | 导出和验证恶意代码的网络行为特征的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210592809.9A CN103916365B (zh) | 2012-12-31 | 2012-12-31 | 导出和验证恶意代码的网络行为特征的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103916365A true CN103916365A (zh) | 2014-07-09 |
CN103916365B CN103916365B (zh) | 2018-09-11 |
Family
ID=51041772
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210592809.9A Active CN103916365B (zh) | 2012-12-31 | 2012-12-31 | 导出和验证恶意代码的网络行为特征的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103916365B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105631325A (zh) * | 2014-11-03 | 2016-06-01 | 中国移动通信集团公司 | 一种恶意应用程序检测方法和装置 |
CN105912932A (zh) * | 2016-04-08 | 2016-08-31 | 周宏斌 | 一种威胁行为检测系统和方法 |
CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
CN107528859A (zh) * | 2017-09-29 | 2017-12-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防御方法及设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030200464A1 (en) * | 2002-04-17 | 2003-10-23 | Computer Associates Think, Inc. | Detecting and countering malicious code in enterprise networks |
CN101266550A (zh) * | 2007-12-21 | 2008-09-17 | 北京大学 | 一种恶意代码检测方法 |
CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
CN201515393U (zh) * | 2009-06-23 | 2010-06-23 | 天网资讯科技(澳门)有限公司 | 一种级联融合式网络入侵检测系统 |
CN101841523A (zh) * | 2010-02-05 | 2010-09-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
CN102291397A (zh) * | 2011-08-04 | 2011-12-21 | 中国科学院计算技术研究所 | 一种僵尸网络追踪方法 |
-
2012
- 2012-12-31 CN CN201210592809.9A patent/CN103916365B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030200464A1 (en) * | 2002-04-17 | 2003-10-23 | Computer Associates Think, Inc. | Detecting and countering malicious code in enterprise networks |
CN101266550A (zh) * | 2007-12-21 | 2008-09-17 | 北京大学 | 一种恶意代码检测方法 |
CN201515393U (zh) * | 2009-06-23 | 2010-06-23 | 天网资讯科技(澳门)有限公司 | 一种级联融合式网络入侵检测系统 |
CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
CN101841523A (zh) * | 2010-02-05 | 2010-09-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
CN102291397A (zh) * | 2011-08-04 | 2011-12-21 | 中国科学院计算技术研究所 | 一种僵尸网络追踪方法 |
Non-Patent Citations (2)
Title |
---|
王蕊 等: "基于语义的恶意代码行为特征提取及检测方法", 《软件学报》 * |
贾菲 等: "基于Android 平台恶意代码逆向分析技术的研究", 《技术研究》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105631325A (zh) * | 2014-11-03 | 2016-06-01 | 中国移动通信集团公司 | 一种恶意应用程序检测方法和装置 |
CN105631325B (zh) * | 2014-11-03 | 2019-04-30 | 中国移动通信集团公司 | 一种恶意应用程序检测方法和装置 |
CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
CN106921608B (zh) * | 2015-12-24 | 2019-11-22 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
US10735374B2 (en) | 2015-12-24 | 2020-08-04 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for detecting terminal security status |
US11431676B2 (en) | 2015-12-24 | 2022-08-30 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for detecting terminal security status |
CN105912932A (zh) * | 2016-04-08 | 2016-08-31 | 周宏斌 | 一种威胁行为检测系统和方法 |
CN107528859A (zh) * | 2017-09-29 | 2017-12-29 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防御方法及设备 |
CN107528859B (zh) * | 2017-09-29 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防御方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN103916365B (zh) | 2018-09-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Fu et al. | An automata based intrusion detection method for internet of things | |
US9614863B2 (en) | System and method for analyzing mobile cyber incident | |
US9462009B1 (en) | Detecting risky domains | |
CN109660502A (zh) | 异常行为的检测方法、装置、设备及存储介质 | |
KR101143999B1 (ko) | Api 기반 어플리케이션 분석 장치 및 방법 | |
WO2013059131A1 (en) | System and method for whitelisting applications in a mobile network environment | |
CN108183900B (zh) | 一种挖矿脚本检测的方法、服务器、系统、终端设备及存储介质 | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
CN105262722A (zh) | 终端恶意流量规则更新方法、云端服务器和安全网关 | |
CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
CN106529294B (zh) | 一种用于手机病毒判定与过滤的方法 | |
CN104580133A (zh) | 恶意程序防护方法与系统及其过滤表格更新方法 | |
CN110955899A (zh) | 安全测试方法、装置、测试设备以及介质 | |
CN109600362A (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
CN103916365A (zh) | 导出和验证恶意代码的网络行为特征的方法和装置 | |
CN112134893A (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
CN102457841A (zh) | 用于检测病毒的方法和装置 | |
CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
CN113114680A (zh) | 用于文件上传漏洞的检测方法和检测装置 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
KR101657667B1 (ko) | 악성 앱 분류 장치 및 악성 앱 분류 방법 | |
CN108804501B (zh) | 一种检测有效信息的方法及装置 | |
CN109688096A (zh) | Ip地址的识别方法、装置、设备及计算机可读存储介质 | |
CN112613893A (zh) | 一种用户恶意注册识别方法、系统、设备及介质 | |
CN113438225B (zh) | 一种车载终端漏洞检测方法、系统、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |