CN105187393B - 一种移动终端恶意软件网络行为重构方法及其系统 - Google Patents
一种移动终端恶意软件网络行为重构方法及其系统 Download PDFInfo
- Publication number
- CN105187393B CN105187393B CN201510487157.6A CN201510487157A CN105187393B CN 105187393 B CN105187393 B CN 105187393B CN 201510487157 A CN201510487157 A CN 201510487157A CN 105187393 B CN105187393 B CN 105187393B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- network
- domain name
- malicious
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种移动终端恶意软件网络行为重构方法及其系统,该方法包括:在移动终端接入网络的路由器节点设置镜像端口,采集原始移动终端恶意软件网络流量;解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;根据移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。该方法依据网络数据流重新构建出移动终端恶意软件与外部网络之间的交互行为。
Description
技术领域
本发明涉及一种恶意软件网络行为重构方法及其系统,尤其涉及一种移动终端恶意软件网络行为重构方法及其系统。
背景技术
现有的移动终端恶意软件检测方法大致可以分为两类,即静态检测方法和动态检测方法。静态检测方法通过对恶意软件的反编译,在源代码中查找恶意特征代码片段来识别恶意软件;动态检测方法则主要是基于行为分析技术,行为分析技术在虚拟化的环境下动态地分析恶意软件运行时的行为,通过对恶意软件行为特征的分析识别出恶意软件,常用的行为特征有对系统的调用、对敏感API的访问等。
随着代码混淆技术、代码加密技术的发展,对恶意软件的源代码进行静态分析已经变的十分困难,而动态行为分析却很好的弥补了静态分析的这种缺点,同时,这种动态行为分析技术具有一定的发现未知恶意软件的能力。因此,动态行为分析作为一种重要的检测方法受到了业界的普遍关注。动态行为分析依赖于对恶意软件动态行为的重构,重构的内容包含文件和进程的创建过程、进程之间的通信过程等,重构的过程需要详细地表示出恶意软件行为的交互过程,这样才能更好地理解恶意软件的动态行为,帮助我们识别恶意软件。
但是,传统的移动终端网络行为分析仅仅局限于一些对网络特征的统计分析,例如对访问端口、数据包大小、访问时间等特征的统计分析,却并没有刻画移动终端与远程服务器之间的网络交互行为,这种交互行为对于理解移动终端与远程恶意服务器之间的交互过程是十分必要的,而现有的研究缺乏对网络行为的重构,尤其缺乏对网络交互过程完整性的解释。
发明内容
为了解决现有技术的缺点,本发明提供一种移动终端恶意软件网络行为重构方法及其系统。该方法首先通过自动化地方法采集到移动终端恶意软件所产生的网络流量数据,然后对采集到的流量数据进行网络数据流的提取,最后依据网络数据流重新构建出移动终端恶意软件与外部网络之间的交互行为。
本发明采用以下技术方案:
一种移动终端恶意软件网络行为重构方法,包括:
在移动终端接入网络的路由器节点设置镜像端口,采集原始移动终端恶意软件网络流量;
解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;
根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;
提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;
根据移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
分离移动终端恶意软件恶意行为流量的具体过程为:
根据流的五元组,构建获取原始移动终端恶意软件的网络数据流;
然后,在网络数据流中的HTTP数据包中提取相应的域名字符串,若该域名字符串存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存,反之则忽略掉该数据流;
这样分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
所述构建移动终端恶意软件网络行为交互时序图的过程为:
首先,依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的域名字符串;
然后,根据HTTP数据包中域名字符串的域名,从原始移动终端恶意软件网络流量的数据包中提取出与域名字符串具有相同域名的DNS数据包,并记录下DNS数据包的发送时间,以及DNS数据包中的内容和解析的IP地址;
最后,按照数据包的发送时间,绘制出从源IP地址到DNS服务器以及向目标域名服务器发送HTTP数据包的网络交互时序图。
所述构建移动终端恶意软件网络行为模型的过程,还包括:
将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS应答数据包的内容定义为目标服务器域名节点的属性节点;
连接目标服务器域名节点与各个属性节点,用以表示目标服务器相关的信息和解析的IP地址信息;
连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系;
连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重;
连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段线段的权重,最后,得到移动终端恶意软件网络行为模型。
在采集原始移动终端恶意软件网络流量的过程中,通过镜像端口将所有上行和下行的移动终端网络流量镜像到数据存储服务器上。
获取移动终端恶意目标列表的过程,包括:
解析原始移动终端恶意软件网络流量的DNS信息,得到关于恶意软件所有的DNS请求的目标域名,再依次检测这些目标域名的恶意域名,判断是否为恶意目标,若是,则将该域名加入恶意目标列表。
一种基于移动终端恶意软件网络行为重构方法的重构系统,包括:
采集单元,其用于通过在移动终端接入网络的路由器节点设置的镜像端口进行采集原始移动终端恶意软件网络流量;
流量解析单元,其用于解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;
分离单元,其用于根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;
时序图绘制单元,其用于提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;
重构单元,其用于根据构建的移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
所述分离单元,包括:数据流构建模块,其用于根据流的五元组来构建获取原始移动终端恶意软件的网络数据流;
流量识别模块,其用于在网络数据流中的HTTP数据包中提取相应的域名字符串,若该域名字符串存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存,反之则忽略该数据流;分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
时序图绘制单元,包括:提取HTTP数据包模块,其用于依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的域名字符串;
提取DNS数据包模块,其用于根据HTTP数据包中域名字符串的域名,从原始移动终端恶意软件网络流量的数据包中提取出与域名字符串具有相同域名的DNS数据包,并记录下DNS数据包的发送时间,以及DNS数据包中的内容和解析的IP地址;
绘制模块,其用于按照数据包的发送时间,绘制出从源IP地址到DNS服务器以及向目标域名服务器发送HTTP数据包的网络交互时序图。
重构单元,包括:预定义模块,其用于将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS数据包的内容定义为目标服务器域名节点的属性节点;
第一连接模块,其用于连接目标服务器域名节点与各个属性节点,用以表示目标服务器相关的信息和解析的IP地址信息;
第二连接模块,其用于连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系;
第三连接模块,其用于连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重;
第四连接模块,其用于连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段线段的权重。
本发明的有益效果为:
(1)本发明的移动终端恶意软件网络行为重构方法,是基于移动终端恶意软件产生的网络流量来重构出恶意软件与外部网络之间交互行为的方法;通过对移动终端恶意软件网络行为的重构,有助于对移动终端恶意软件的网络交互行为的理解;
(2)本发明根据移动终端恶意软件网络行为交互时序图,最终构建出移动终端恶意软件网络行为模型,该模型可作为识别移动终端恶意软件的一种依据。
附图说明
图1为本发明实现大规模反编译移动终端恶意软件原文件的流程图;
图2为本发明移动终端恶意软件自动化安装与运行的流程图;
图3为本发明设计的移动终端恶意软件激活机制的流程图;
图4为从网络流量数据的DNS请求域名建立恶意列表流程图;
图5为从混合流量中分离出恶意流量和正常流量的流程图;
图6为一份移动终端上的恶意软件所产生的网络流量图;
图7为移动终端恶意软件网络行为交互图;
图8为网络行为重构模型。
具体实施方式
下面结合附图与实施例对本发明做进一步说明:
本发明的移动终端恶意软件网络行为重构方法,包括:
在移动终端接入网络的路由器节点设置镜像端口,采集原始移动终端恶意软件网络流量;
解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;
根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;
提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;
根据移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
本发明在提取出移动终端恶意软件的恶意行为流量前,需要采集移动终端恶意软件所产生的网络流量,其包括:(1)移动终端恶意软件反编译;(2)提取移动终端恶意软件自动安装和运行所需要的参数;(3)移动终端恶意软件自动安装;(4)移动终端恶意软件激活与运行。
其中,移动终端恶意软件反编译:
为了能够实现对大规模移动终端恶意软件的自动化采集,需要提取恶意软件自动化安装、运行所需要的一些参数,而这些参数信息主要包含在反编译后的配置文件中,所以,首先需要对恶意软件进行反编译。以Android系统为例,基于已有的几种反编译工具,首先选择其中的一种对Android原文件进行反编译,但是,这种反编译工具可能造成对原文件反编译失败,所以需要重新选择反编译工具。
对大规模Android恶意软件的原文件,通过自动化脚本程序来控制执行反编译工具,可以得到所有恶意软件反编译后的文件。同时,在每个恶意软件样本反编译后的文件中,都有一个Android系统的配置文件AndroidManifest.xml。
如图1所示,为本发明实现大规模反编译Android原文件的流程图。移动终端恶意软件反编译的过程,包括:
步骤110,选择反编译工具,现有的主流反编译工具主要有APKTool,jd-gui,dex2jar等;
步骤111,使用反编译工具对恶意软件反编译;
步骤112,若反编译成功,可以得到关于该恶意软件的配置文件。在Android系统中,这个配置文件是AndroidManifest.xml;
步骤113,若反编译失败,则重新选择新的反编译工具,返回步骤111。
提取移动终端恶意软件自动安装和运行所需要的参数:
对于每一个Android恶意软件,若反编译成功,都可以从它的AndroidManifest.xml文件中提取出该恶意软件的包名和主activity名,作为移动终端恶意软件自动安装和运行程序所需要的参数。对于反编译失败的恶意软件,则重新选择新的反编译工具,直到反编译成功或现有的反编译工具均不能反编译成功为止。
图2为本发明移动终端恶意软件自动化安装与运行的流程图,如图2所示。移动终端恶意软件自动化安装与运行的过程,包括:
步骤131,提取恶意软件名作为模拟器的参数传入;
步骤132,以恶意软件名称作为模拟器的名称创建模拟器;
步骤133,若模拟器创建成功,则继续安装恶意应用;
步骤134,若模拟器安装失败,则检查模拟器参数、磁盘剩余空间等信息;
步骤135,若恶意应用安装成功,则继续运行恶意应用;
步骤136,若恶意应用安装失败,则检查恶意软件的原文件是否存在或在指定路径下,恶意软件的包名是否正确;
步骤137,若恶意应用运行成功,完成移动终端恶意软件的自动化安装与运行;
步骤138,若恶意应用运行失败,则检查主activity名是否正确。
移动终端恶意软件自动安装与运行:
在获取到恶意软件名、恶意软件的包名以及主activity名这些参数信息之后,通过Android平台提供的ADB调试命令,可以实现Android应用软件的安装。其中,Android应用软件的安装需要包名作为参数传入ADB。对于大规模移动终端恶意软件,将所有恶意软件的包名写入文本文件,每一行的内容为一个app的包名和主activity名。ADB每次调用文本文件中一行,完成对一个恶意软件的自动化安装和运行。ADB循环调用文本文件的每一行,依次实现对所有恶意软件的安装和运行。但是,在安装和运行的过程中,由于模拟器参数、磁盘空间容量、恶意软件的包名以及主activity名等可能会出现错误,将导致安装失败或运行失败,所以,针对自动化安装和运行的各个过程中出现的错误,设计了逻辑处理流程。
移动终端恶意软件激活:
不同的Android恶意软件所依赖于的激活方式不尽相同,目前已知的激活方式主要包括移动终端操作系统重启、收发短信、接打电话、系统事件、电池电量状态、网络状态变化、USB接入。不同的激活方式所能激活的恶意软件的数量不等,据统计超过80%的Android恶意软件依赖手机操作系统的重启来实现激活。本发明依据各种激活方式所能激活的恶意软件数量排序设计了一种激活优先机制,即移动终端操作系统重启>系统事件>电池电量状态>收发短信>改变网络状态>USB接入>接打电话。若重启终端操作系统能够产生有效流量,则表明该恶意软件已被激活并运行,反之,则继续使用下一级别“系统事件”激活方式对恶意软件进行激活,以此类推,直到能够采集到有效网络流量为止。若使用所有的激活方式仍然没有采集到有效流量,则对该恶意软件的流量采集失败。
图3为本发明设计的移动终端恶意软件激活机制的流程图,如图3所示。激活移动终端恶意软件的方法包括:
步骤141,重启移动终端的操作系统;
步骤142,若产生有效流量,则保存流量数据;
步骤143,若没有产生有效流量,则依次选择下一个激活机制-“系统事件”、激活机制-电池电量状态、激活机制-收发短信、激活机制-改变网络状态、激活机制-USB接入和激活机制-接打电话;
步骤144,若选择激活机制-“系统事件”,首先,在移动终端上执行用户滑屏操作,然后,切换用户输入法,最后,改变移动终端信号强度等“系统事件”;
步骤145,若选择激活机制-电池电量状态,使移动终端连接电源处于充电状态,直到电池处于充满状态,然后拔出电源,消耗电源使其处于低电量状态;
步骤146,若选择激活机制-收发短信,选择在另一部移动终端上发送短信到本地终端,然后,本地终端发送短信到另一部移动终端;
步骤147,若选择激活机制-改变网络状态,选择切换移动终端的网络接入方式,由2G依次切换到3G和4G网络,最后切换到WIFI网络;
步骤148,若选择激活机制-USB接入,选择移动终端接入USB设备;
步骤149,若选择选择激活机制-接打电话,在另一部移动终端上拨打电话给本地终端,然后,本地终端拨打电话给另一部移动终端,直至结束。
其中,系统事件包括用户唤醒移动终端、用户切换输入法和移动终端信号强度。
电池电量状态包括连接电源处于充电状态、电池电量低、电池处于充满状态。
收发短信包括移动终端接收外部终端的短信和发送短信到外部终端。
改变网络状态包括移动终端接入网络模式的改变、接入到WIFI网络。
USB接入包括移动终端通过USB连接到外部设备。
接打电话包括移动终端接受其它移动终端的电话和向其它移动终端拨打电话。
图4从网络流量数据的DNS请求域名建立恶意列表流程图,如图4所示:
步骤151,从数据存储服务器的网络流量数据中提取出DNS请求域名。
步骤152,将提取出的DNS请求域名在VirusTotal上做恶意域名检测。
步骤153,若检测结果为恶意域名,则将该域名添加至恶意列表。
步骤154,若检测结果为正常域名,则结束。
为了能够从采集到的混合流量中提取出纯的恶意流量,首先需要知道哪一部分是恶意流量。本发明采用了一种基于网络数据流的方式从混合流量中将恶意的网络数据流提取出来,所使用的方法便是根据网络数据流中HTTP数据包的HOST字段,而这段HOST字段是一段域名,它与DNS所请求的域名是一致的。所以,只需要判断DNS数据包中的请求域名是否恶意,便可以判断出该段网络数据流是否恶意。在实施例中,首先从采集到的网络流量数据中提取DNS请求的域名,然后在第三方URL检测服务引擎VirusTotal上做恶意域名检测,建立恶意列表即黑名单。如图5所示,分离移动终端恶意软件恶意行为流量的具体过程为:
步骤161,读取采集到的网络流量数据,将具有相同五元组内容的数据包作为一个网络数据流。
步骤162,以建立的恶意列表为依据,依次对每一个网络数据流中的HTTP数据包的HOST字段做检查。
步骤163,若HOST字段存在于恶意列表中,则保存该HTTP数据包所在的网络数据流并标记为恶意的网络数据流,返回到步骤162,检查下一个网络数据流。
步骤164,若HOST字段域名在恶意列表中不存在,则忽略该数据流,返回步骤162,直到检查完所有的网络数据流;
其中,五元组包括具有相同的源IP地址、目的IP地址、源端口号、目的端口号和协议号。
为了从采集到的网络流量数据中提取出纯的恶意流量,本发明采用了一种基于网络数据流的方式从混合流量中将恶意的网络数据流提取出来,所以,首先需要对采集到的网络流量数据按照五元组特征提取出网络数据流;然后,对于每一段网络数据流,从中提取出HTTP数据包的HOST字段,将该HOST字段与建立好的恶意列表进行比对,若HOST字段的域名存在于恶意列表中,那么对应的该段网络数据流就是恶意流量。
为了能够构建移动终端恶意软件的网络交互行为以及重构网络行为,首先,需要采集到移动终端的恶意应用软件所产生的网络流量。基于上述的自动化采集移动终端恶意软件网络流量的步骤,采集到了一份移动终端上的恶意软件所产生的网络流量,如图6所示。
以图6中的数据为例,构建移动终端恶意软件网络行为交互时序图的过程。如图7所示:
步骤181,从原始的网络流量数据中提取出移动终端的源IP地址。本实施例中,移动终端的源IP地址为192.168.99.155.
步骤182,标识出第一段恶意的网络行为数据流中的DNS请求的目标域名。在提取出的恶意的网络行为数据流中,根据HTTP数据包中的HOST字段,在原始网络流量数据中,提取出DNS数据包中的域名请求内容。以实施例为例,首先,在提取出的恶意的网络行为数据流中,读取到第一段流中HTTP数据包的HOST字段为:B3.8866.org/r/n;然后,在原始的网络流量数据中提取出域名为B3.8866.org的所有DNS数据包,并按照时间的顺序在图中表示;最后,记录下该数据包的发送时间,并在内容项中填入DNS应答数据包中的信息,主要包括该域名的CNAME信息和解析到的IP地址信息。
步骤183,标识出第一段恶意的网络行为数据流中的HTTP数据包。首先,在步骤182中读取的第一段恶意的网络行为数据流中,提取出所有的HTTP协议。然后,记录下这些HTTP数据包的发送时间,在内容项填入HTTP的目标域名服务器B3.8866.org。
步骤184,标识出第二段恶意的网络行为数据流中的DNS请求的目标域名。首先,在读取完恶意网络行为数据流中的第一段数据流之后,继续读取第二段数据流,读取到第二段数据流中HTTP数据包的HOST字段为Dev.adtouchnetwork.net/r/n;然后,在原始的网络流量数据中提取出域名为Dev.adtouchnetwork.net的所有DNS数据包,并按照时间顺序在图中表示出来;最后,记录下该数据包的发送时间,并在内容项中填入DNS应答数据包中的信息,主要包括该域名的CNAME信息和解析到的IP信息。
步骤185,标识出第二段恶意的网络行为数据流中的HTTP数据包。首先,在步骤184中读取的第二段恶意的网络行为数据流中,提取出所有的HTTP协议。然后,记录下这些HTTP数据包的发送时间,在内容项填入HTTP的目标域名服务器Dev.adtouchnetwork.net。
依次读取完所有恶意的网络行为数据流,按照上述步骤依次构建所有的DNS请求的目标域名和HTTP数据包,并将源IP地址与各个DNS请求的目标域名节点和HTTP数据包节点之间用实线连接,分别用以表示从源IP地址向目标域名服务器发出的请求和从源IP地址向目标域名服务器发送的HTTP数据包。
如图8所示,构建移动终端恶意软件网络行为模型的过程,包括:
步骤191,标识出源IP地址。在原始的网络流量数据中获取到移动终端的源IP地址,实施例中为192.168.99.155.
步骤192,标识出第一段恶意的网络行为数据流中的DNS请求的目标域名。
首先,在提取出的恶意网络行为数据流中,读取第一段流,从HTTP数据包中提取出HOST字段;
其次,在原始网络数据流中,提取出与HOST字段具有相同域名的DNS数据包;
再次,对于DNS应答数据包中的内容,其中包括该域名的CNAME信息和解析到的IP地址信息;
然后,用实线连接目标域名和CNAME信息、目标域名和解析到的IP地址,用来表示目标域名和该域名的CNAME信息和由该域名解析到的IP地址信息之间的相关关系;
最后,用实线连接目标域名和源IP地址,用来表示从源IP地址向目标域名服务器的连接请求,并以该域名请求的次数作为该段实线的权重。
以实施例为例,首先,读取第一段恶意的网络行为数据流,HTTP数据包中的HOST字段为B3.8866.org/r/n;其次,在原始网络数据流中,提取出与HOST字段域名相同的DNS数据包,即域名为B3.8866.org的所有DNS数据包,本例中域名为B3.8866.org的DNS数据包数量为1个,在图中标识出该DNS域名;再次,在原始网络数据流中,提取出DNS应答数据包中的内容,包括CNAME信息和解析到的IP地址信息,其中,CNAME为cncert-sinkhole.net,解析到的IP地址为117.21.224.222和111.74.238.109,;然后,依次用实线连接B3.8866.org和cncert-sinkhole.net,B3.8866.org和117.21.224.222、111.74.238.109;最后,用实线连接B3.8866.org和源IP地址192.168.99.155,由于在原始数据流中只有一个该域名的DNS请求,所以这条实线的权重为1。
步骤193,标识出第一段恶意的网络行为数据流中的HTTP数据包。首先,在读取的第一段恶意的网络行为数据流中,提取出所有的HTTP数据包;然后,用虚线连接与该HTTP数据包相应的目标域名,表示发送到该目标域名服务器的HTTP数据包;最后,用实线连接源IP地址与HTTP数据包,用来表示从源IP地址向目标域名服务器发送的HTTP数据包,并以发送的HTTP数据包的数目作为该段实线的权重。
以实施例为例,首先,读取第一段恶意的网络行为数据流中所有的HTTP数据包,一共有一个;然后,用虚线连接与该HTTP数据包相应的目标域名B3.8866.org,表示是向目标域名为B3.8866.org的服务器所发送的HTTP数据包;最后,用实线连接源IP地址和HTTP数据包,由于原始网络流量中只有一个向该目标域名发送的HTTP数据包,所以这段实线的权重为1。
步骤194,标识出第二段恶意的网络行为数据流中的DNS请求的目标域名。首先,在提取出的恶意网络行为数据流中,读取第二段流,从HTTP数据包中提取出HOST字段;其次,在原始网络数据流中,提取出与HOST字段具有相同域名的DNS数据包;再次,对于DNS应答数据包中的内容,其中包括该域名的CNAME信息和解析到的IP地址信息;然后,用实线连接目标域名和CNAME信息、目标域名和解析到的IP地址,用来表示目标域名和该域名的CNAME信息和由该域名解析到的IP地址信息之间的相关关系;最后,用实线连接目标域名和源IP地址,用来表示从源IP地址向目标域名服务器的连接请求,并以该域名请求的次数作为该段实线的权重。
以实施例为例,首先,读取第二段恶意的网络行为数据流,HTTP数据包中的HOST字段为Dev.adtouchwork.net/r/n;其次,在原始网络数据流中,提取出与HOST字段域名相同的DNS域名数据包,即域名为Dev.adtouchwork.net的所有DNS数据包,本例中域名为Dev.adtouchwork.net的DNS数据包数量为1个,在图中标识出该DNS域名;再次,在原始网络数据流中,提取出DNS应答数据包中的内容,包括CNAME信息和解析到的IP地址信息,其中,CNAME为dev.say-on.net,解析到的IP地址为109.201.199.191;然后,依次用实线连接Dev.adtouchwork.net和dev.say-on.net,Dev.adtouchwork.net和109.201.199.191;最后,用实线连接Dev.adtouchwork.net和源IP地址192.168.99.155,由于在原始数据流中只有一个该域名的DNS请求,所以这条实线的权重为1。
步骤195,标识出第二段恶意的网络行为数据流中的HTTP数据包。首先,在读取的第二段恶意的网络行为数据流中,提取出所有的HTTP数据包;然后,用虚线连接与该HTTP数据包相应的目标域名,表示发送到该目标域名服务器的HTTP数据包;最后,用实线连接源IP地址与HTTP数据包,用来表示从源IP地址向目标域名服务器发送的HTTP数据包,并以发送的HTTP数据包的数目作为该段实线的权重。以实施例为例,首先,读取第一段恶意的网络行为数据流中所有的HTTP数据包,一共有一个;然后,用虚线连接与该HTTP数据包相应的目标域名Dev.adtouchwork.net,表示是向目标域名为Dev.adtouchwork.net的服务器所发送的HTTP数据包;最后,用实线连接源IP地址和HTTP数据包,由于原始网络流量中只有一个向该目标域名服务器发送的HTTP数据包,所以这段实线的权重为1。
其中,在采集原始移动终端恶意软件网络流量的过程中,通过镜像端口将所有上行和下行的移动终端网络流量镜像到数据存储服务器上。
获取移动终端恶意目标列表的过程,包括:解析原始移动终端恶意软件网络流量的DNS信息,得到关于恶意软件所有的DNS请求的目标域名,再依次检测这些目标域名的恶意域名,判断是否为恶意目标,若是,则将该域名加入恶意目标列表。
本实施例的移动终端恶意软件网络行为重构方法的重构系统,包括:
采集单元,其用于通过在移动终端接入网络的路由器节点设置的镜像端口进行采集原始移动终端恶意软件网络流量;
流量解析单元,其用于解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;
分离单元,其用于根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;
时序图绘制单元,其用于提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;
重构单元,其用于根据构建的移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
其中,分离单元,包括:数据流构建模块,其用于根据流的五元组来构建获取原始移动终端恶意软件的网络数据流;
流量识别模块,其用于在网络数据流中的HTTP数据包中提取相应的HOST字段,若该HOST字段存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存,反之则忽略掉该数据流;最后,分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
其中,时序图绘制单元,包括:提取HTTP数据包模块,其用于依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的HOST字段;
提取DNS数据包模块,其用于根据HTTP数据包中HOST字段的域名,从原始移动终端恶意软件网络流量的数据包中提取出与HOST字段具有相同域名的DNS数据包,并记录下数据包的发送时间,以及DNS应答数据包中的CNAME内容和解析到的IP地址;
绘制模块,其用于按照数据包的发送时间,绘制出从源IP地址到DNS以及向目标域名服务器发送HTTP数据包的网络交互时序图。
其中,重构单元,包括:预定义模块,其用于将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS应答数据包的内容定义为目标服务器域名节点的属性节点;
第一连接模块,其用于连接目标服务器域名节点与各个属性节点,用以表示目标服务器所相关的CNAME信息和解析到的IP地址信息;
第二连接模块,其用于连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系;
第三连接模块,其用于连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重;
第四连接模块,其用于连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段线段的权重。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (10)
1.一种移动终端恶意软件网络行为重构方法,其特征在于,包括:
在移动终端接入网络的路由器节点设置镜像端口,采集原始移动终端恶意软件网络流量;
解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;
根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;
提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;
根据移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
2.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,分离移动终端恶意软件恶意行为流量的具体过程为:
根据流的五元组,构建获取原始移动终端恶意软件的网络数据流;
然后,在网络数据流中的HTTP数据包中提取相应的域名字符串,若该域名字符串存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存;反之,则忽略掉该数据流;
这样分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
3.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,所述构建移动终端恶意软件网络行为交互时序图的过程为:
首先,依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的域名字符串;
然后,根据HTTP数据包中域名字符串的域名,从原始移动终端恶意软件网络流量的数据包中提取出与域名字符串具有相同域名的DNS数据包,并记录下DNS数据包的发送时间,以及DNS数据包中的内容和解析的IP地址;
最后,按照数据包的发送时间,绘制出从源IP地址到DNS服务器以及向目标域名服务器发送HTTP数据包的网络交互时序图。
4.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,所述构建移动终端恶意软件网络行为模型的过程,还包括:
将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS应答数据包的内容定义为目标服务器域名节点的属性节点;
连接目标服务器域名节点与各个属性节点,用以表示目标服务器相关的信息和解析的IP地址信息;
连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系;
连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重;
连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为连接源IP地址节点与目标服务器域名节点的该段线段的权重,最后,得到移动终端恶意软件网络行为模型。
5.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,在采集原始移动终端恶意软件网络流量的过程中,通过镜像端口将所有上行和下行的移动终端网络流量镜像到数据存储服务器上。
6.如权利要求1所述的一种移动终端恶意软件网络行为重构方法,其特征在于,获取移动终端恶意目标列表的过程,包括:
解析原始移动终端恶意软件网络流量的DNS信息,得到关于恶意软件所有的DNS请求的目标域名,再依次检测这些目标域名的恶意域名,判断是否为恶意目标,若是,则将该域名加入恶意目标列表。
7.一种基于如权利要求1所述的移动终端恶意软件网络行为重构方法的重构系统,其特征在于,包括:
采集单元,其用于通过在移动终端接入网络的路由器节点设置的镜像端口进行采集原始移动终端恶意软件网络流量;
流量解析单元,其用于解析原始移动终端恶意软件网络流量的DNS信息,获取移动终端恶意目标列表;
分离单元,其用于根据移动终端恶意目标列表,分离移动终端恶意软件恶意行为流量;
时序图绘制单元,其用于提取分离后的移动终端恶意软件恶意行为流量的DNS协议数据包和HTTP数据包,构建移动终端恶意软件网络行为交互时序图;
重构单元,其用于根据构建的移动终端恶意软件网络行为交互时序图,构建移动终端恶意软件网络行为模型。
8.如权利要求7所述的重构系统,其特征在于,所述分离单元,包括:数据流构建模块,其用于根据流的五元组来构建获取原始移动终端恶意软件的网络数据流;
流量识别模块,其用于在网络数据流中的HTTP数据包中提取相应的域名字符串,若该域名字符串存在于获取的移动终端恶意目标列表中,则该网络数据流为恶意软件网络行为流量,提取并保存,反之则忽略掉该数据流;分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
9.如权利要求7所述的重构系统,其特征在于,所述时序图绘制单元,包括:提取HTTP数据包模块,其用于依次读取恶意软件网络行为流量中的每一个数据流,提取出其中的HTTP数据包,记录下该HTTP数据包的发送时间以及HTTP数据包中的域名字符串;
提取DNS数据包模块,其用于根据HTTP数据包中域名字符串的域名,从原始移动终端恶意软件网络流量的数据包中提取出与域名字符串具有相同域名的DNS数据包,并记录下DNS数据包的发送时间,以及DNS数据包中的内容和解析的IP地址;
绘制模块,其用于按照数据包的发送时间,绘制出从源IP地址到DNS服务器以及向目标域名服务器发送HTTP数据包的网络交互时序图。
10.如权利要求7所述的重构系统,其特征在于,所述重构单元,包括:预定义模块,其用于将源IP地址、目标服务器域名以及HTTP数据包定义为移动终端恶意软件网络行为模型的节点,将DNS数据包的内容定义为目标服务器域名节点的属性节点;
第一连接模块,其用于连接目标服务器域名节点与各个属性节点,用以表示目标服务器相关的信息和解析的IP地址信息;
第二连接模块,其用于连接HTTP数据包节点与目标服务器域名节点,用于表示向该目标服务器发送HTTP数据包的对应关系;
第三连接模块,其用于连接源IP地址节点与目标服务器域名节点,用于表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段线段的权重;
第四连接模块,其用于连接源IP地址节点与HTTP数据包节点,用于表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为连接源IP地址节点与HTTP数据包节点的该段线段的权重。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510487157.6A CN105187393B (zh) | 2015-08-10 | 2015-08-10 | 一种移动终端恶意软件网络行为重构方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510487157.6A CN105187393B (zh) | 2015-08-10 | 2015-08-10 | 一种移动终端恶意软件网络行为重构方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105187393A CN105187393A (zh) | 2015-12-23 |
| CN105187393B true CN105187393B (zh) | 2018-05-22 |
Family
ID=54909237
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510487157.6A Active CN105187393B (zh) | 2015-08-10 | 2015-08-10 | 一种移动终端恶意软件网络行为重构方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105187393B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108200076B (zh) * | 2018-01-17 | 2021-04-27 | 杭州迪普科技股份有限公司 | Host头域伪造攻击的防护方法和装置 |
| CN108768921B (zh) * | 2018-03-28 | 2021-03-09 | 中国科学院信息工程研究所 | 一种基于特征检测的恶意网页发现方法及系统 |
| CN108769034B (zh) * | 2018-06-01 | 2021-02-26 | 杭州安恒信息技术股份有限公司 | 一种实时在线监测远控木马控制端ip地址的方法及装置 |
| CN110290188B (zh) * | 2019-06-13 | 2020-06-02 | 四川大学 | 一种适用于大规模网络环境的https流服务在线标识方法 |
| CN110971605B (zh) * | 2019-12-05 | 2022-03-08 | 福建天晴在线互动科技有限公司 | 一种通过捕获数据包获取盗版游戏服务器信息的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101266550A (zh) * | 2007-12-21 | 2008-09-17 | 北京大学 | 一种恶意代码检测方法 |
| CN101645119A (zh) * | 2008-08-07 | 2010-02-10 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
| CN102281540A (zh) * | 2011-09-08 | 2011-12-14 | 广东华仝九方科技有限公司 | 手机恶意软件查杀方法及系统 |
| CN102469450A (zh) * | 2010-11-08 | 2012-05-23 | 中国移动通信集团广东有限公司 | 一种手机病毒特征的识别方法及装置 |
| CN103795709A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 一种网络安全检测方法和系统 |
| CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
-
2015
- 2015-08-10 CN CN201510487157.6A patent/CN105187393B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101266550A (zh) * | 2007-12-21 | 2008-09-17 | 北京大学 | 一种恶意代码检测方法 |
| CN101645119A (zh) * | 2008-08-07 | 2010-02-10 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
| CN102469450A (zh) * | 2010-11-08 | 2012-05-23 | 中国移动通信集团广东有限公司 | 一种手机病毒特征的识别方法及装置 |
| CN102281540A (zh) * | 2011-09-08 | 2011-12-14 | 广东华仝九方科技有限公司 | 手机恶意软件查杀方法及系统 |
| CN104115463A (zh) * | 2011-11-07 | 2014-10-22 | 网络流逻辑公司 | 用于处理网络元数据的流式传输方法和系统 |
| CN103795709A (zh) * | 2013-12-27 | 2014-05-14 | 北京天融信软件有限公司 | 一种网络安全检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105187393A (zh) | 2015-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105187393B (zh) | 一种移动终端恶意软件网络行为重构方法及其系统 | |
| CN105187394B (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
| CN107908541B (zh) | 接口测试方法、装置、计算机设备及存储介质 | |
| CN105376335B (zh) | 一种采集数据上传方法和装置 | |
| CN105303112B (zh) | 组件调用漏洞的检测方法及装置 | |
| CN105187390B (zh) | 主动式移动终端恶意软件网络流量数据集获取方法及系统 | |
| JP2012525626A (ja) | ユーザ端末の逸脱する挙動 | |
| CN103186740A (zh) | 一种Android恶意软件的自动化检测方法 | |
| CN103713989A (zh) | 一种针对用户终端的测试用例生成方法和装置 | |
| CN103139010A (zh) | 终端、测试服务器和测试方法 | |
| CN111400127B (zh) | 业务日志的监控方法及装置、存储介质、计算机设备 | |
| CN105589782A (zh) | 基于浏览器的用户行为采集方法 | |
| CN107704360A (zh) | 监控数据的处理方法、设备、服务器及存储介质 | |
| CN105516321A (zh) | 一种数据采集方法和装置 | |
| CN105653946A (zh) | 基于组合事件行为触发的Android恶意行为检测系统及其检测方法 | |
| CN106778264A (zh) | 一种移动客户端的应用程序分析方法及分析系统 | |
| CN110381101A (zh) | Api网关控制系统、控制方法、设备和介质 | |
| CN106067879A (zh) | 信息的检测方法及装置 | |
| CN105515909A (zh) | 一种数据采集测试方法和装置 | |
| CN109802842B (zh) | 应用拓扑的生成方法及相关设备 | |
| CN110011860A (zh) | 基于网络流量分析的安卓应用识别方法 | |
| CN105553770A (zh) | 一种数据采集控制方法和装置 | |
| CN109510738A (zh) | 一种通信链路的测试方法及设备 | |
| CN108345793A (zh) | 一种软件检测特征的提取方法及装置 | |
| CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |