CN104113841A - 一种针对移动互联网Botnet的虚拟化检测系统及检测方法 - Google Patents

Abstract

本发明提出了一种针对移动互联网Botnet的虚拟化检测系统及检测方法，有效的解决移动终端因为计算资源不足所带来问题。系统分为网络侧和移动侧，依靠计算资源较强的服务器和数据库组成网络侧，从移动端截获可疑的SMS、GPRS信息，并通过移动平台的镜像处理获取真实的处理结果，以转换网关的形式和移动互联网实现通信，移动终端的检测模块基于黑白名单对可疑信息实施截获，使用转换网关将信息发往网络侧，网络侧监控单元调度虚拟机运行指定的镜像文件，对转换网络发来的数据实施动态分析和检测，并及时通过转换网关反馈检测的结果。

Description

一种针对移动互联网Botnet的虚拟化检测系统及检测方法

技术领域

本发明涉及一种针对移动互联网Botnet的虚拟化检测系统及检测方法，属于移动互联网的安全范畴，主要用于实现针对日益严重的互联网Botnet(僵尸网络)的检测与防范。

背景技术

移动互联网的快速发展使得智能移动终端的普及率迅速上升，同时也带来了相应的安全问题的出现。与传统网络相比，移动互联网体现出一些不同的特点：智能移动终端作为主要载体，受CPU和存储空间的影响，其计算能力较弱，运行在此之上的系统相对传统计算机系统结构简单，因而较少有远程攻击的产生，取而代之的则是各种恶意代码产生的危害；智能移动终端的通信渠道较多，和传统网络相比，SMS、GPRS等多种传播渠道使得智能移动终端的恶意代码更容易接收远程终端的控制，其防范难度更大。

在此基础上，传统的病毒、木马等恶意代码开始在移动互联网出现，而目前对传统网络威胁最大的Botnet(僵尸网络)也出现在该领域。从2009第一个移动僵尸网络SymbOS.Exy.C出现后，已经陆续在Andorid、IOS和WinCE等系统中出现。大量研究发现，移动僵尸网络的出现会对传统意义上相对安全的电信网络造成极大的威胁，攻击者只需使用最简单的DDOS攻击即可对目前的移动通信网络造成大面积的瘫痪。

针对移动互联网的Botnet防御技术主要源自传统互联网防御技术，移动互联网相比传统互联网而言具有其独特性，主要表现在：移动终端资源的有限性，由于目前普遍使用的移动终端需要以电池为主要能源，在计算和通信量较大的情况下，电池的能源消耗就成为一个严峻的问题，针对移动互联网Botnet的检测技术不能单纯依靠移动终端实施，否则将会面临严重的能耗问题。

传统互联网可以采用对固定主机进行长期流量、日志监控的方式从中发现可疑的网络行为，进而分析Botnet的特征；但移动互联网中的终端由于其移动的特点，很难对其进行这种传统的网络监控和保护。

同传统互联网相比，移动互联网主要借助于2G/3G/4G等移动网络的通信架构，在这种情况下Botnet的C&C可以借助SMS、GPRS等多种途径实现对僵尸主机的控制。

通过以上分析可以得知，对移动互联网之上的Botnet防御不能将检测监控设备直接部署在移动终端之上，SMS和GPRS通信在移动互联僵尸网络中充当重要的通信途径，通过对其进行重点监测，分析隐藏的C&C(控制和通信)主机，掌握Botnet网络结构，为防治Botnet网络提供准确的信息是目前防治移动Botnet的一种可行方法。

发明内容

本发明技术解决问题：克服现有技术不足，提供一种针对移动互联网Botnet的虚拟化检测系统及检测方法，有效的解决移动终端因为计算资源不足所带来问题，通过移动终端和后台服务器资源的结合，可以有效的检测植入在移动终端的Botnet代码，同时又可以将Botnet的影响程度控制在虚拟化的范围之内，有效的保证移动网络的正常进行。

本发明技术解决方案：一种针对移动互联网Botnet的虚拟化检测系统，分别包括终端侧和网络侧两部分，终端侧部署在移动终端内，所述终端侧包括黑白名单、网络检测模块和转换网关；所述网络侧部分包括终端镜像数据库、虚拟机和监控单元；在系统运行过程中，内部需要三种报文，分别是：虚拟机交互报文，SMS(Short Messaging Service短消息服务)交互报文和GPRS交互报文(General Packet Radio Service，通用分组无线服务技术)，其中：黑白名单：用于存储对于终端设备而言恶意和信任的网络节点信息，其中黑名单记录恶意网络节点的信息，白名单记录信任网络节点信息；

网络检测模块：实现对网络中通信内容的检测，当通信内容的源点来自于黑名单中的内容，则检测模块直接将其过滤；如果通信内容源自白名单则给予放行；当通信内容来源于未知的通信节点时，则确定为可疑通信报文，即可能为网络恶意节点发送来的SMS或者GPRS报文，并将可疑通信报文的内容发往转换网关，等待返回结果后的处理；

转换网关：负责提供终端侧和网络侧之间的通信，来自于终端侧的网络检测模块中可疑通信报文被转换成网络侧的交互报文，即SMS交互报文和GPRS交互报文，发往网络侧，网络侧对可疑通信报文的处理结果会通过转换网关通知网络检测修改黑白名单；在将可疑报文发往网络侧之前，转换网关会将其存入待测数据库；当检测结果由网络侧返回后，根据待测数据库中的消息，转换网关通知移动终端继续或终止某个通信过程；其中SMS交互报文和GPRS交互报文用于系统内部的通信，SMS交互报文用于移动侧向网络侧提交可疑SMS报文信息和网络侧向终端侧返回检测结果；其中字段源ISND和目的ISDN分别表示该可疑信息的发送和接收方；字段负载类型字段声明报文中负载区域的内容：AT命令或网络侧的检测结果；字段负载区域则记录AT命令或检测结果具体的内容；GPRS交互报文用于终端侧向网络侧提交可疑GPRS报文信息和网络侧向终端侧返回检测结果；字段源ISDN表示该可疑信息的发送方，字段源IP和目的IP分别记录内部IP数据包的信息；字段负载类型字段声明报文中负载区域的内容：AT命令或网络侧的检测结果；字段负载区域则记录具体的内容；

终端镜像数据库：负责存储待保护移动终端镜像，通过移动终端镜像在虚拟机一侧实现对需要保护的移动终端的模拟运行；

虚拟机：直接运行指定的移动终端镜像，负责观察可疑信息进入到终端侧的运行效果；所述移动终端镜像包括：移动终端的APP备份；OS文件备份，表示具体的智能移动终端的操作系统，考虑到Botnet代码中可能会在操作系统中加载rootkit，OS文件需要直接从被保护的移动终端上提取镜像，实现移动终端操作系统的复原；移动终端配属硬件资源；移动终端接入点信息；这四类信息会绑定具体的终端ISDN号，存储在终端镜像数据库中；当需要模拟某个移动终端时，虚拟机通过调用终端镜像数据库中的移动终端镜像，能够完全模拟一个真实的移动终端；虚拟机通过监控单元的启动或注销命令的虚拟机交互报文实现启动或注销，将运行的过程中产生的通信内容和日志信息作为结果，以虚拟机交互报文的形式返还给监控单元；虚拟机交互报文实现监控单元和虚拟机之间的通信，监控单元向虚拟机发送移动终端镜像启动和注销的命令，虚拟机则向监控终端发送执行过程中截获的信息或操作日志，用于监控终端的分析；虚拟机交互报文的开头为表示移动终端的终端镜像号，字段负载类型分为：启动/注销和反馈执行结果；字段负载区域则主要记录主要内容，包括虚拟机执行的AT命令、执行命令后产生的报文和操作日志；

监控单元：负责整个网络侧虚拟化平台的运行管理，包括虚拟机启动/注销模块、监控数据库、监控分析模块；虚拟机启动/注销模块用于实现对虚拟机的启动和注销，通过解析转换网关发送过来的信息，使用虚拟机交互报文完成移动终端虚拟机的启动和注销；监控数据库用于记录获取到的SMS交互报文、GPRS交互报文在进入虚拟机后产生的结果，为分析Botnet中的C&C节点提供数据；监控分析模块从监控数据库中获得分析数据，借助特征匹配、流量挖掘、关联分析甚至人工分析的方法，对从转换网关中发送过来的数据做出判断，确定信息是否属于C&C，并向终端侧的转换网关发送检测的结果。

一种针对移动互联网Botnet的虚拟化检测方法，实现步骤如下：

步骤(1)，在初始化阶段，移动终端侧设置通信的黑白名单，存储对于终端设备而言恶意和信任的网络节点信息，其中黑白名单用于存储对于终端设备而言恶意和信任的网络节点信息，白名单记录信任网络节点信息；同时制作系统的镜像文件保存到网络侧的终端镜像数据库之中；

步骤(2)，网络检测模块对网络中通信内容的检测，如果检测到通信内容的源点来自于黑名单中的内容，则直接将其过滤；如果检测到通信内容源自白名单则给予放行；如果检测到通信内容来源于未知的通信节点时，则确定为可疑通信报文即可能为网络恶意节点发送来的SMS或者GPRS报文，并将可疑通信报文的内容发往转换网关；由转换网关将可疑通信报文转换成SMS交互报文和GPRS交互报文发往网络侧监控单元；

步骤(3)，网络侧的监控单元在获得转换网关的信息之后，以虚拟机交互报文的形式控制虚拟机的启动和运行，使用虚拟机加载指定的镜像文件，并观察虚拟机在收到该信息后的变化；

步骤(4)，监控单元分析虚拟机返回的SMS交互报文和GPRS交互报文，将分析结果由转换网关返回网络检测模块，修改黑白名单的内容；同时转换网关依照分析结果和待测数据库的记录，通知移动端终止或继续与某个通信节点的通信行为。

该发明的核心思想在于对Botnet中C&C命令的利用，C&C主机作为Botnet的核心通信设备，控制感染Bot主机的命令均由其发出，一般这些命令都是包含在发往指定移动终端的SMS或GPRS中，因此对C&C的分析是整个Botnet防御的核心，当SMS或GPRS的C&C命令被网络侧虚拟机运行后，虚拟上的Bot程序可以产生和真实终端一样的通信内容，而这些内容被监控单元获取后分析，可以用以发现新的C&C节点，并修改相应的黑白名单内容。

本发明与现有技术相比的优点在于：本发明主要针对移动互联网之上的Botnet采取的检测技术，主要优点在检测技术实施过程中不影响移动终端的正常工作流程，使用者可以选择一台服务器作为网络侧设备实现对移动终端Botnet的C&C控制命令的捕捉工作。监控单元可以分析待观测的终端，通过虚拟平台之上的交互行为，获取可能存在的C&C节点。该方法的实施减少了在真实移动网络环境下对Botnet网络进行分析而带来的部署和实施困难，并保证了移动终端不受僵尸控制主机的影响，最大限度的保证了移动互联网的安全运行。

附图说明

图1为本发明的系统功能部件图；

图2为本发明中终端镜像数据库组成图；

图3为本发明中转换网关组成图；

图4为本发明中监控单元组成图；

图5为本发明对Botnet中C&C检测的具体流程图；

图6为本发明所涉及的系统内部交互报文的描述。

具体实施方式

本发明系统的架构如图1所示，由终端侧和网络侧两部分组成，终端侧部署在移动终端内，其功能在于拦截可疑的信息，主要部分包括：转换网关、网络检测模块、黑/白名单。

如图3所示，本发明中的转换网关的功能实现终端侧和网络侧间的通信，其组成部分如下：

(1)SMS-AT命令模块：将SMS中AT命令以网络侧SMS交互报文的形式发送到网络侧监控单元。

(2)GPRS-AT命令模块：将GPRS中AT命令以网络侧GPRS交互报文的形式发送到网络侧监控单元。

(3)黑白名单通信模块：接收网络侧发来的检测结果，用于修改黑白名单。

(4)待测数据库：用于存放可疑的数据信息，等待网络侧返回检测结果后处理。

网络检测模块运行在移动终端的底层，对截获的信息源进行匹配，属于黑名单的信息实现过滤，属于白名单的信息则执行相应的流程，对于二者之外的信息则作为可疑信息上传到网络侧。例如针对SMS检测，当网络检测模块收到某些特殊号码的短信，该通信中源移动终端地址信息会迅速被锁定，而后其短信内容通过转换网关转发至网络侧，等待返回结果后的处理。

黑白名单：黑名单记录恶意网络节点信息，白名单记录信任网络节点信息。

网络侧负责对可疑信息在虚拟机上实时的处理，借助服务器强大的计算资源，完成对Botnet的C&C控制命令的检测发现，该部分由终端镜像数据库、虚拟机和监控单元组成。在网络侧内部，虚拟机上运行指定的移动终端镜像，移动终端镜像内容存储在终端镜像数据库中，如图2所示，终端镜像数据库库主要包括：

(1)移动终端的APP备份。

(2)OS文件备份，表示具体的智能移动终端的操作系统，考虑到Botnet代码中可能会在操作系统中加载rootkit，因此文件需要直接从被保护的移动终端上提取镜像，实现移动终端操作系统的复原。

(3)移动终端配属硬件资源(GPS、调制解调、摄像头、蓝牙、WIFI模块等)。

(4)移动终端接入点信息(主要包括GPRS配置信息)。

这四类信息会绑定具体的终端ISDN号，存储在终端镜像数据库中，当系统需要模拟某个移动终端时，虚拟机通过调用数据库中的镜像文件，可以完全模拟一个真实的移动终端。在模拟过程中，为增强模拟的真实性，虚拟机可随机生成例如电话号码薄、cookie文件等，用于检测Botnet的行为。

如图4所示，网络侧监控单元组成结构如下：

(1)虚拟机启动/注销模块：用于实现对虚拟机的启动和注销，监控单元解析转换网关发送过来的信息，使用交互报文完成移动终端虚拟机的启动和注销。

(2)监控数据库：用于记录获取到的SMS、GPRS通信报文在进入虚拟机后产生的结果，为分析Botnet中C&C节点提供数据。

(3)监控分析模块：该模块是监控单元的核心，模块从监控数据库中获得分析数据，借助特征匹配、流量挖掘、关联分析甚至人工分析的方法，对从转换网关中发送过来的可以数据做出判断，确定信息是否属于C&C，并向移动终端的转换网关发送检测的结果。

系统在实现过程中需要各种交互报文，如图6所示。其中虚拟机交互报文实现监控单元和虚拟机之间的通信，报文中的字段分为终端镜像号、负载类型和负载区域三部分，其中终端镜像号描述的虚拟机所运行的移动终端编号，负载类型分为：启动/注销和反馈执行结果。负载区域则主要记录主要内容，包括虚拟机执行的AT命令、执行命令后产生的报文和操作日志等。

SMS交互报文和GPRS交互报文用于移动侧向网络侧提交可疑报文信息，网络侧向移动侧发送检测结果。

SMS交互报文中的字段包括：源ISDN、目的ISDN、负载类型和负载区域。其中源ISDN和目的ISDN分别记录SMS消息的移动终端发送方和接收方的移动台识别码，负载类型字段声明负载的内容类型：AT命令或网络侧的检测结果；负载区域字段则记录AT命令的内容或检测结果内容。

GPRS交互报文中的字段包括：源ISDN、源IP、目的IP、负载类型和负载区域。其中源ISDN用于记录该GPRS发送方的移动台识别码，源IP和目的IP则分别记录GRPS报文在转换为IP数据包后的源与目的地址。负载类型字段声明负载的内容类型：AT命令或网络侧的检测结果；负载区域字段则记录AT命令的内容或检测结果内容。

系统的主要运行过程如下：

初始化阶段：移动终端加载转换网关模块，为保证检测的可靠性，移动终端的镜像需要在该阶段按照其ISDN录入到网络侧的移动镜像数据库中，并定期更新。

移动终端系统为会预先设计黑/白名单信息，用于明确规定拒绝或可以建立通信的移动节点，同时移动终端会将检测模块设置为实时运行，用于实时截获底层通信数据。

检测阶段：系统的流程图如图5所示：终端侧的网络检测模块按照黑白名单的内容对信息源内容实施检测，当Botnet的C&C主机向被控主机使用SMS或GPRS发送消息，终端侧的网络检测模块会首先从底层截获消息，使用转换网关将其转换为交互报文，传送给网络侧的监控单元。同时网络检测模块将该信息存储到待测数据库中，等待检测结果的返回。

网络侧在收到消息后，监控单元首先从获取到的交互报文中抽取出信息的源地址，记录到监控数据库中，而后监控单元从报文中抽取出信息的目的地址，即ISDN号码，监控单元查找终端镜像数据库，从中找出指定的移动终端数据镜像，监控单元向虚拟机发送带有启动命令的交互报文，虚拟机启动后运行SMS或GPRS交互报文中SMS-AT命令或者GPRS-AT命令，并开始记录运行过程。

在对应移动终端的虚拟机环境上，因为终端镜像文件中带有Botnet代码，因此可以相应的响应，该响应的内容可能是某些特定的OS操作，也可能是通过SMS或GPRS发送出的信息，这些内容在虚拟机记录后发送给监控单元，由监控单元完成分析工作，通过报文中目标地址(目的ISDN和目的IP)和监控数据库记录的比对，其结果可能如下：

如果交互的内容不属于Botnet的C&C内容，SMS或GPRS源点信息属于可靠节点，监控单元通过交互报文发送给转换网关，转换网关在收到报文后，会根据待测数据库中的相应数据和检测结果，判断该数据进行正常处理还是作为恶意信息过滤。如果交互的内容属于Botnet的C&C内容，SMS或GPRS源点信息可以作为恶意节点，转换网关将通知终端终止与该节点的通信行为，并将源点信息发送给网络检测模块修改黑名单的内容。否则，转换网关则将其通知移动终端继续与该节点的通信，并且将源点信息发送给检测模块修改相应的白名单信息。

通过本发明，可以实现对Botnet的C&C主机的监控和Botnet行为的掌握，在此过程中并不影响移动终端与正常节点间进行通信，有害的通信内容被转发到网络侧的虚拟机上运行，对于Botnet的C&C主机而言，丝毫觉察不到该虚拟环境的存在整个Botnet的通信行为始终处于网络侧监控单元的控制之中。

本发明说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (2)

1.一种针对移动互联网Botnet的虚拟化检测系统，其特征在于：所述系统分别包括终端侧和网络侧两部分，终端侧部署在移动终端内，所述终端侧包括黑白名单、网络检测模块和转换网关；所述网络侧部分包括终端镜像数据库、虚拟机和监控单元；在系统运行过程中，内部需要三种报文，分别是：虚拟机交互报文，SMS(Short Messaging Service短消息服务)交互报文和GPRS交互报文(General Packet Radio Service，通用分组无线服务技术)，其中：

黑白名单：用于存储对于终端设备而言恶意和信任的网络节点信息，其中黑名单记录恶意网络节点的信息，白名单记录信任网络节点信息；

网络检测模块：实现对网络中通信内容的检测，当通信内容的源点来自于黑名单中的内容，则检测模块直接将其过滤；如果通信内容源自白名单则给予放行；当通信内容来源于未知的通信节点时，则确定为可疑通信报文，即可能为网络恶意节点发送来的SMS或者GPRS报文，并将可疑通信报文的内容发往转换网关，等待返回结果后的处理；

转换网关：负责提供终端侧和网络侧之间的通信，来自于终端侧的网络检测模块中可疑通信报文被转换成网络侧的交互报文，即SMS交互报文和GPRS交互报文，发往网络侧，网络侧对可疑通信报文的处理结果会通过转换网关通知网络检测修改黑白名单；在将可疑报文发往网络侧之前，转换网关会将其存入待测数据库；当检测结果由网络侧返回后，根据待测数据库中的消息，转换网关通知移动终端继续或终止某个通信过程；其中SMS交互报文和GPRS交互报文用于系统内部的通信，SMS交互报文用于移动侧向网络侧提交可疑SMS报文信息和网络侧向终端侧返回检测结果；其中字段源ISND和目的ISDN分别表示该可疑信息的发送和接收方；字段负载类型字段声明报文中负载区域的内容：AT命令或网络侧的检测结果；字段负载区域则记录AT命令或检测结果具体的内容；GPRS交互报文用于终端侧向网络侧提交可疑GPRS报文信息和网络侧向终端侧返回检测结果；字段源ISDN表示该可疑信息的发送方，字段源IP和目的IP分别记录内部IP数据包的信息；字段负载类型字段声明报文中负载区域的内容：AT命令或网络侧的检测结果；字段负载区域则记录具体的内容；

终端镜像数据库：负责存储待保护移动终端镜像，通过移动终端镜像在虚拟机一侧实现对需要保护的移动终端的模拟运行；

虚拟机：直接运行指定的移动终端镜像，负责观察可疑信息进入到终端侧的运行效果；所述移动终端镜像包括：移动终端的APP备份；OS文件备份，表示具体的智能移动终端的操作系统，考虑到Botnet代码中可能会在操作系统中加载rootkit，OS文件需要直接从被保护的移动终端上提取镜像，实现移动终端操作系统的复原；移动终端配属硬件资源；移动终端接入点信息；这四类信息会绑定具体的终端ISDN号，存储在终端镜像数据库中；当需要模拟某个移动终端时，虚拟机通过调用终端镜像数据库中的移动终端镜像，能够完全模拟一个真实的移动终端；虚拟机通过监控单元的启动或注销命令的虚拟机交互报文实现启动或注销，将运行的过程中产生的通信内容和日志信息作为结果，以虚拟机交互报文的形式返还给监控单元；虚拟机交互报文实现监控单元和虚拟机之间的通信，监控单元向虚拟机发送移动终端镜像启动和注销的命令，虚拟机则向监控终端发送执行过程中截获的信息或操作日志，用于监控终端的分析；虚拟机交互报文的开头为表示移动终端的终端镜像号，字段负载类型分为：启动/注销和反馈执行结果；字段负载区域则主要记录主要内容，包括虚拟机执行的AT命令、执行命令后产生的报文和操作日志；

监控单元：负责整个网络侧虚拟化平台的运行管理，包括虚拟机启动/注销模块、监控数据库、监控分析模块；虚拟机启动/注销模块用于实现对虚拟机的启动和注销，通过解析转换网关发送过来的信息，使用虚拟机交互报文完成移动终端虚拟机的启动和注销；监控数据库用于记录获取到的SMS交互报文、GPRS交互报文在进入虚拟机后产生的结果，为分析Botnet中的C&C节点提供数据；监控分析模块从监控数据库中获得分析数据，借助特征匹配、流量挖掘、关联分析甚至人工分析的方法，对从转换网关中发送过来的数据做出判断，确定信息是否属于C&C，并向终端侧的转换网关发送检测的结果。

2.一种针对移动互联网Botnet的虚拟化检测方法，其特征在于其实现步骤如下：

步骤(1)，在初始化阶段，移动终端侧设置通信的黑白名单，存储对于终端设备而言恶意和信任的网络节点信息，其中黑白名单用于存储对于终端设备而言恶意和信任的网络节点信息，白名单记录信任网络节点信息；同时制作系统的镜像文件保存到网络侧的终端镜像数据库之中；

步骤(2)，网络检测模块对网络中通信内容的检测，如果检测到通信内容的源点来自于黑名单中的内容，则直接将其过滤；如果检测到通信内容源自白名单则给予放行；如果检测到通信内容来源于未知的通信节点时，则确定为可疑通信报文即可能为网络恶意节点发送来的SMS或者GPRS报文，并将可疑通信报文的内容发往转换网关；由转换网关将可疑通信报文转换成SMS交互报文和GPRS交互报文发往网络侧监控单元；

步骤(3)，网络侧的监控单元在获得转换网关的信息之后，以虚拟机交互报文的形式控制虚拟机的启动和运行，使用虚拟机加载指定的镜像文件，并观察虚拟机在收到该信息后的变化；

步骤(4)，监控单元分析虚拟机返回的SMS交互报文和GPRS交互报文，将分析结果由转换网关返回网络检测模块，修改黑白名单的内容；同时转换网关依照分析结果和待测数据库的记录，通知移动端终止或继续与某个通信节点的通信行为。