CN106714122B - 短信传播病毒检测方法和装置 - Google Patents

短信传播病毒检测方法和装置 Download PDF

Info

Publication number
CN106714122B
CN106714122B CN201610286913.3A CN201610286913A CN106714122B CN 106714122 B CN106714122 B CN 106714122B CN 201610286913 A CN201610286913 A CN 201610286913A CN 106714122 B CN106714122 B CN 106714122B
Authority
CN
China
Prior art keywords
link address
condition
judgment
short message
discrimination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610286913.3A
Other languages
English (en)
Other versions
CN106714122A (zh
Inventor
宋建梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201610286913.3A priority Critical patent/CN106714122B/zh
Publication of CN106714122A publication Critical patent/CN106714122A/zh
Application granted granted Critical
Publication of CN106714122B publication Critical patent/CN106714122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种短信传播病毒检测方法和装置,所述方法包括:获取携带在待检测短信中的链接地址;查询与所述链接地址对应的累积值;其中,所述累积值是统计聚集的短信中与所述链接地址相关的历史数据得到的;获取判别条件及相应的阈值;根据判别条件比较所述累积值和所述阈值,得到相应的判别结果;根据所述判别结果获得所述链接地址的病毒检测结果。本发明提供的短信传播病毒检测方法和装置,提高了检测短信传播病毒的效率。

Description

短信传播病毒检测方法和装置
技术领域
本发明涉及信息安全技术领域,特别是涉及一种短信传播病毒检测方法和装置。
背景技术
短信是一种重要的通信手段,为人们生活和工作中的交流带来了极大便利。短信可通过移动通信网络的SMS(Short Message Service,短信服务)网关传递。短信主要用来传递文本内容,因此短信中可携带链接地址,用户接收到短信后,点击短信中的链接地址,便可以访问相应的网页或者下载应用。
短信这一工具近来被恶意用户利用,在短信中植入用来下载病毒的链接地址以及诱导用户点击链接地址的内容,用户通过短信接收设备接收到短信后,点击链接地址后短信接收设备就会自动下载病毒,为用户带来安全风险。因此,有必要提供检测短信传播病毒的手段,以维护用户权限。
目前,检测短信传播病毒主要是事先建立病毒特征代码库,在检测病毒时通过手机模拟器下载待检测短息携带的链接地址所指向的应用,检查下载的应用是否存在病毒特征代码库中的病毒特征代码,如果存在就判定该应用是病毒。
然而,目前通过病毒特征代码检测短信传播病毒的方式,需要事先建立病毒特征代码库并且不断更新,若未能及时在病毒特征代码库中添加病毒特征代码,就无法检测出短信传播病毒。而且由于需要下载链接地址所指向的应用,若下载失败也无法检测出短信传播病毒。因此通过病毒特征代码检测短信传播病毒的方式检测短信传播病毒的效率低。
发明内容
基于此,有必要针对目前通过病毒特征代码检测短信传播病毒的方式检测短信传播病毒的效率低的问题,提供一种短信传播病毒检测方法和装置。
一种短信传播病毒检测方法,所述方法包括:
获取携带在待检测短信中的链接地址;
查询与所述链接地址对应的累积值;所述累积值是统计聚集的短信中与所述链接地址相关的历史数据得到的;
获取判别条件及相应的阈值;
根据判别条件比较所述累积值和所述阈值,得到相应的判别结果;
根据所述判别结果获得所述链接地址的病毒检测结果。
一种短信传播病毒检测装置,所述装置包括:
接入模块,用于获取携带在待检测短信中的链接地址;
逻辑控制模块,用于查询与所述链接地址对应的累积值;所述累积值是统计聚集的短信中与所述链接地址相关的历史数据得到的;用于获取判别条件及相应的阈值;根据判别条件比较所述累积值和所述阈值,得到相应的判别结果;根据所述判别结果获得所述链接地址的病毒检测结果。
上述短信传播病毒检测方法和装置,获取短信中的链接地址,查询该链接地址对应的累积值,从而根据累积值、判别条件及相应阈值得到判别结果,进而根据判别结果得到链接地址的病毒检测结果。累积值是统计聚集的短信中与所述链接地址相关的历史数据得到的,这样可以将链接地址相关的历史行为量化累积,在需要检测短信传播病毒时依据累积值便可以得到病毒检测结果,不需要通过链接地址下载应用,提高了检测短信传播病毒的效率。
附图说明
图1为一个实施例中短信传播病毒检测系统的应用环境图;
图2为一个实施例中电子设备的结构示意图;
图3为一个实施例中短信传播病毒检测方法的流程示意图;
图4为一个实施例中获取判别条件及相应的阈值的步骤的流程示意图;
图5为另一个实施例中短信传播病毒检测方法的流程示意图;
图6为一个实施例中短信传播病毒检测装置的结构框图;
图7为另一个实施例中短信传播病毒检测装置的结构框图;
图8为一个实施例中短信传播病毒检测装置中模块间数据交互的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,在一个实施例中,提供了一种短信传播病毒检测系统,包括可通过网络连接的终端110和服务器120。终端110用于接收短信,将短信或者短信所携带的链接地址发送到服务器120,并接收服务器120反馈的病毒检测结果。终端110可以是手机、平板电脑或者PDA(个人数字助理)等可接收短信的设备。服务器120用于接收终端110发送的短信并获取短信所携带的链接地址,或者接收终端110发送的链接地址,根据该链接地址得到相应的病毒检测结果,并将病毒检测结果返回至终端110。
如图2所示,在一个实施例中,提供了一种电子设备,可用作图1中的终端110或者服务器120。该电子设备包括通过系统总线连接的处理器、非易失性存储介质、内存储器和网络接口。其中,电子设备的非易失性存储介质存储有操作系统,还包括一种短信传播病毒检测装置,该短信传播病毒检测装置用于实现一种短信传播病毒检测方法。电子设备的处理器用于提供计算和控制能力,支撑电子设备的运行。电子设备的内存储器为非易失性存储介质中的短信传播病毒检测装置提供运行环境。该内存储器中可存储有计算机可读指令,该计算机可读指令被处理器执行时,可使得处理器执行一种短信传播病毒检测方法。网络接口用于连接到网络。本领域技术人员可以理解,图2中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
如图3所示,在一个实施例中,提供了一种短信传播病毒检测方法,其中短信传播病毒是通过短信中的链接地址传播的病毒,比如APK病毒(伪装成安卓系统应用安装包的病毒)。本实施例以该方法应用于上述图1中的服务器120来举例说明,可以理解的是,该方法还可以应用于上述图1中的终端110。该方法具体包括如下步骤:
步骤302,获取携带在待检测短信中的链接地址。
具体地,服务器可接收终端发送的待检测短信,并从待检测短信中提取待检测短信所携带的链接地址。终端也可以从待检测短信中提取出待检测短信所携带的链接地址后,将提取出的链接地址发送到服务器。
其中,待检测短信是指需要检测其中携带的链接地址是否指向病毒的短信。链接地址可标识出网络中的位置,根据链接地址可访问网络中的相应节点。链接地址可以IP地址及端口,也可以是域名。链接地址有特殊的格式,利用链接地址的格式可提取链接地址。
在一个实施例中,在步骤302之后,服务器还可以对链接地址进行归一化处理。具体地,服务器可去除链接地址所带参数,可仅保留链接地址可实现访问的最小部分。比如若链接地址为www.xxx.com/1/1.apk,则可去除参数部分“/1/1.apk”,仅保留“www.xxx.com”。本实施例中,通过对链接地址进行归一化处理,可防止恶意用户通过设置复杂参数等方式规避对短信传播病毒的检测。
步骤304,查询与链接地址对应的累积值;其中,累积值是统计聚集的短信中与链接地址相关的历史数据得到的。
具体地,服务器可定期或实时地聚集各个终端所接收到的短信,并对聚集的短信中的链接地址相关的历史数据进行统计分析,得到累积值。累积值表现为具体的数值,是对相应链接地址相关的历史数据的量化值。服务器将统计得到的累积值与相应的链接地址对应存储,在需要时可根据链接地址查询相应的累积值。历史数据具体可以是携带链接地址的短信的传播特征,具体可以是传播次数特征,历史数据还可以是表示历史恶意行为的历史数据。
在一个实施例中,累积值包括链接地址传播的总用户数、链接地址的单次群发用户数、链接地址在指定时间段内传播的用户数以及链接地址对应恶意应用的比例中的至少一种。
其中,服务器在聚集短信后,可提取聚集的短信所指定的接收用户标识,从而根据接收用户标识统计并累计链接地址传播的总用户数、单次群发用户数以及在指定时间段内传播的用户数等。指定时间段比如当天零点至当前时间,单次群发用户数可取历次统计的单次群发的携带该链接地址的短信数量得到最大值。服务器可根据聚集的短信统计链接地址对应恶意应用的次数以及未对应恶意应用的次数,从而用对应恶意应用的次数除以未对应恶意应用的次数得到链接地址对应恶意应用的比例。恶意应用包括病毒。
步骤306,获取判别条件及相应的阈值。
具体地,判别条件用于对链接地址对应的累积值进行判别,得到相应的判别结果,该判别结果是用于确定最终的病毒检测结果的依据。判别条件指定了所需的累积值的类型,比如指定采用表示链接地址传播的总用户数的累积值,或者指定采用表示链接地址的单次群发用户数的累积值等。
判别条件所需的累积值的类型以及相应的阈值可以是可配置的,配置后判别条件所指定累积值的类型及阈值可与相应的判别条件的标识对应存储在配置文件中,由服务器从配置文件中获取判别条件、相应的阈值以及判别条件所指定的累积值的类型。配置文件可被具有配置权限的管理员直接编辑,或者可通过配置页面获取配置的内容后存储在配置文件中。
在一个实施例中,步骤306可在步骤304之前执行,且步骤304中服务器可具体查询与链接地址对应的由判别条件指定类型的累积值。
步骤308,根据判别条件比较累积值和阈值,得到相应的判别结果。
具体地,判别条件指定了需要比较的累积值的类型,服务器可将与链接地址对应的由判别条件指定类型的累积值与该类型对应的阈值进行比较,得到相应的判别结果。
举例说明,若判别条件为链接地址对应恶意应用的比例大于某阈值,该判别条件指定所需累积值的类型为恶意应用的比例,则服务器将该链接地址对应的恶意应用的比例与该类型对应的阈值比较,得到表示判别结果成立或者不成立的判别结果。
在一个实施例中,判别条件可以包括多个子条件,服务器可根据所述判别条件的各个子条件比较所述累积值和相应的所述阈值,得到多个子条件各自对应的判别结果;根据所述多个子条件之间的逻辑关系以及所述多个子条件各自对应的判别结果得到所述判别条件对应的判别结果。逻辑关系比如“和”“或”或者“和/或”。比如服务器可在多个子条件均成立时得到表示判别条件成立的判别结果,在至少一个子条件不成立时得到表示判别条件不成立的判别结果。多个子条件综合使得判别条件对应的判别结果更加准确。
举例说明,若判别条件包括两个子条件,分别为链接地址对应恶意应用的比例大于第一阈值,以及链接地址传播的总用户数大于第二阈值,且两个子条件需同时成立。则服务器可获取连接地址对应的表示对应恶意应用的比例的第一累积值以及相应的第一阈值,获取链接地址对应的表示传播的总用户数的第二累积值及相应的第二阈值。进一步地,服务器将第一累积值与第一阈值比较,得到第一判别结果,将第二累积值与第二阈值比较,得到第二判别结果,若第一判别结果与第二判别结果均成立则得到表示判别条件成立的判别结果,否则得到表示判别条件不成立的判别结果。
步骤310,根据判别结果获得链接地址的病毒检测结果。
具体地,服务器可根据判别结果直接确定链接地址的病毒检测结果,比如当只有一个判别条件时,若判别结果为成立,则可获得链接地址是可触发病毒的链接地址的病毒检测结果;若判别结果不成立,则可获得该链接地址不是可触发病毒的链接地址的病毒检测结果。
在一个实施例中,服务器可组合多个判别条件对应的判别结果以获得链接地址的病毒检测结果。比如当至少两个判别条件对应的判别结果为成立时,可获得链接地址是可触发病毒的链接地址的病毒检测结果,否则获得该链接地址不是可触发病毒的链接地址的病毒检测结果。结合判别条件所包括的多个子条件,最终的病毒检测结果将更加准确。
上述短信传播病毒检测方法,获取短信中的链接地址,查询该链接地址对应的累积值,从而根据累积值、判别条件及相应阈值得到判别结果,进而根据判别结果得到链接地址的病毒检测结果。累积值是统计聚集的短信中与链接地址相关的历史数据得到的,这样可以将链接地址相关的历史行为量化累积,在需要检测短信传播病毒时依据累积值便可以得到病毒检测结果,不需要通过链接地址下载应用,提高了检测短信传播病毒的效率。
如图4所示,在一个实施例中,步骤306具体包括以下步骤:
步骤402,查询可选的各判别条件所配置的状态。
具体地,每种判别条件的状态是可配置的,该状态具体包括启用状态和停用状态。服务器在需要获取判别条件时,可遍历所有可选的判别条件,查询相应的状态。可选的判别条件是可供选择的判别条件。
步骤404,获取处于启用状态的判别条件。
具体地,服务器查询到所有可选的判别条件的状态后,根据查询的状态从可选的判别条件中筛选出处于启用状态的判别条件。
步骤406,获取与处于启用状态的判别条件对应的阈值。
具体地,服务器可遍历处于启用状态的判别条件,从配置文件中查询处于启用状态的判别条件的标识对应的阈值。
本实施例中,可根据需要,通过配置各判别条件的状态来控制判别条件的启用与否,通过简单的配置实现不同的判别条件的组合以灵活改变检测策略,维护方便。
在一个实施例中,该短信传播病毒检测方法还包括:获取过滤列表,过滤列表包括安全的链接地址;当获取的链接地址存在于过滤列表中时,判定获取的链接地址不是可触发病毒的链接地址。
具体地,过滤列表中包括若干链接地址,这些链接地址是判别为安全的链接地址,比如知名官方网站的链接地址。服务器在获取到链接地址后,判断获取的链接地址是否存在于过滤列表中;若是,即获取的链接地址存在于过滤列表中,则直接判定获取的链接地址不是可触发病毒的链接地址;若否,即获取的链接地址不存在于过滤列表中,则继续执行后续步骤,比如步骤304或者步骤306。
本实施例中,通过过滤列表可快速识别出安全的链接地址,直接获得该链接地址的病毒检测结果,可以进一步提高检测短信传播病毒的效率。
在一个实施例中,判别条件包括第一等级的判别条件和第二等级的判别条件;步骤310包括:当至少一个第一等级的判别条件对应的判别结果为成立时,或者,当至少两个第二等级的判别条件对应的判别结果为成立时,判定链接地址是可触发病毒的链接地址。
具体地,服务器将判别条件划分不同的等级,第一等级的判别条件是强判别条件,而第二等级的判别条件是弱判别条件。对于第一等级的判别条件,至少一个成立时便可以判定链接地址是可触发病毒的链接地址。第二等级的判别条件需要组合使用,当两个或两个以上的第二等级的判别条件所对应的判别结果为成立时,可判定链接地址是可触发病毒的链接地址,也就是判定该链接地址所指向的应用是病毒。
本实施例中,将判别条件分为不同等级,对于不同等级的判别条件对应的判别结果,采用不同的策略来合并判别结果,以得到链接地址的病毒检测结果,可以使得的检测结果较为稳定,降低误判率。
如图5所示,在一个实施例中,一种短信传播病毒检测方法,以应用于如图1中所示的服务器120来举例说明。该方法具体包括如下步骤:
步骤502,接收终端发送的查询请求。
步骤504,从查询请求中提取链接地址,该链接地址是待检测短信中携带的链接地址。具体地,终端发送的查询请求可携带待检测短信,或者查询请求可携带该待检测短信所携带的链接地址。
步骤506,查询是否有处于启用状态的判别条件;若是,则执行步骤508;若否,则结束。
步骤508,获取与处于启用状态的判别条件对应的阈值。
步骤510,查询与链接地址对应的累积值。
步骤512,当存在与链接地址对应的应用特征值时,获取该应用特征值。应用特征值包括应用的安装包的包名、文件名以及证书等的统计值,还可以包括安装包大小。服务器可根据链接地址下载应用,从而提取该应用的应用特征值。
步骤514,遍历处于启用状态的判别条件,根据查询的累积值、应用特征值以及与判别条件对应的阈值进行判别,得到各个处于启用状态的判别条件相应的判别结果。
具体地,判别条件既可以是基于累积值与相应阈值进行判别的条件,也可以是基于应用特征值和相应阈值进行判别的条件,一个判别条件所包括的多个子条件可分别是基于累积值或者应用特征值的。
步骤516,合并各个判别结果,得到链接地址的病毒检测结果。具体地,服务器可在当至少一个第一等级的判别条件对应的判别结果为成立时,或者,当至少两个第二等级的判别条件对应的判别结果为成立时,判定链接地址是可触发病毒的链接地址。
步骤518,向终端反馈病毒检测结果。终端在接收到病毒检测结果后,可显示检测到短信传播病毒的提示,还可以显示相应的短信即待检测短信。
本实施例中,累积值是统计聚集的短信中与链接地址相关的历史数据得到的,这样可以将链接地址相关的历史行为量化累积,在需要检测短信传播病毒时依据累积值便可以得到病毒检测结果,不需要通过链接地址下载应用,提高了检测短信传播病毒的效率。将累积值与应用特征值结合,可以提高检测短信传播病毒的准确性。可根据需要,通过配置各判别条件的状态来控制判别条件的启用与否,通过简单的配置实现不同的判别条件的组合以灵活改变检测策略,维护方便。
如图6所示,在一个实施例中,提供了一种短信传播病毒检测装置600,包括接入模块601和逻辑控制模块603。
接入模块601,用于获取携带在待检测短信中的链接地址。
具体地,接入模块601可接收终端发送的待检测短信,并从待检测短信中提取待检测短信所携带的链接地址。终端也可以从待检测短信中提取出待检测短信所携带的链接地址后,将提取出的链接地址发送到服务器,由接入模块601接收。
其中,待检测短信是指需要检测其中携带的链接地址是否指向病毒的短信。链接地址可标识出网络中的位置,根据链接地址可访问网络中的相应节点。链接地址可以IP地址及端口,也可以是域名。链接地址有特殊的格式,利用链接地址的格式可提取链接地址。
在一个实施例中,接入模块601还可以对链接地址进行归一化处理。具体地,接入模块601可去除链接地址所带参数,可仅保留链接地址可实现访问的最小部分。比如若链接地址为www.xxx.com/1/1.apk,则可去除参数部分“/1/1.apk”,仅保留“www.xxx.com”。本实施例中,通过对链接地址进行归一化处理,可防止恶意用户通过设置复杂参数等方式规避对短信传播病毒的检测。
逻辑控制模块603,用于查询与链接地址对应的累积值;其中,累积值是统计聚集的短信中与链接地址相关的历史数据得到的;用于获取判别条件及相应的阈值;根据判别条件比较累积值和阈值,得到相应的判别结果;根据判别结果获得链接地址的病毒检测结果。
具体地,如图7所示,短信传播病毒检测装置600还可以包括短信累积值聚集模块604,可用于定期或实时地聚集各个终端所接收到的短信,并对聚集的短信中的链接地址相关的历史数据进行统计分析,得到累积值。
累积值表现为具体的数值,是对相应链接地址相关的历史数据的量化值。短信累积值聚集模块604将统计得到的累积值与相应的链接地址对应存储,参照图8,逻辑控制模块603在需要时可根据链接地址查询相应的累积值。
在一个实施例中,累积值包括链接地址传播的总用户数、链接地址的单次群发用户数、链接地址在指定时间段内传播的用户数以及链接地址对应恶意应用的比例中的至少一种。
其中,短信累积值聚集模块604在聚集短信后,可提取聚集的短信所指定的接收用户标识,从而根据接收用户标识统计并累计链接地址传播的总用户数、单次群发用户数以及在指定时间段内传播的用户数等。指定时间段比如当天零点至当前时间,单次群发用户数可取历次统计的单次群发的携带该链接地址的短信数量得到最大值。服务器可根据聚集的短信统计链接地址对应恶意应用的次数以及未对应恶意应用的次数,从而用对应恶意应用的次数除以未对应恶意应用的次数得到链接地址对应恶意应用的比例。恶意应用包括病毒。
判别条件用于对链接地址对应的累积值进行判别,得到相应的判别结果,该判别结果是用于确定最终的病毒检测结果的依据。判别条件指定了所需的累积值的类型,比如指定采用表示链接地址传播的总用户数的累积值,或者指定采用表示链接地址的单次群发用户数的累积值等。
判别条件所需的累积值的类型以及相应的阈值可以是可配置的,具体短信传播病毒检测装置600还可以包括操作配置模块605,用于对判别条件所需的累积值的类型以及相应的阈值进行配置。配置后判别条件所指定累积值的类型及阈值可与相应的判别条件的标识对应存储在配置文件中,由逻辑控制模块603从配置文件中获取判别条件、相应的阈值以及判别条件所指定的累积值的类型。配置文件可通过操作配置模块605被具有配置权限的管理员直接编辑,或者可通过操作配置模块605提供的配置页面获取配置的内容后存储在配置文件中。
判别条件指定了需要比较的累积值的类型,逻辑控制模块603可将与链接地址对应的由判别条件指定类型的累积值与该类型对应的阈值进行比较,得到相应的判别结果。
举例说明,若判别条件为链接地址对应恶意应用的比例大于某阈值,该判别条件指定所需累积值的类型为恶意应用的比例,则服务器将该链接地址对应的恶意应用的比例与该类型对应的阈值比较,得到表示判别结果成立或者不成立的判别结果。
在一个实施例中,判别条件可以包括多个子条件,逻辑控制模块603可根据多个子条件之间的逻辑关系以及多个子条件各自对应的判别结果得到该判别条件对应的判别结果。比如逻辑控制模块603可在多个子条件均成立时得到表示判别条件成立的判别结果,在至少一个子条件不成立时得到表示判别条件不成立的判别结果。
举例说明,若判别条件包括两个子条件,分别为链接地址对应恶意应用的比例大于第一阈值,以及链接地址传播的总用户数大于第二阈值,且两个子条件需同时成立。则服务器可获取连接地址对应的表示对应恶意应用的比例的第一累积值以及相应的第一阈值,获取链接地址对应的表示传播的总用户数的第二累积值及相应的第二阈值。进一步地,服务器将第一累积值与第一阈值比较,得到第一判别结果,将第二累积值与第二阈值比较,得到第二判别结果,若第一判别结果与第二判别结果均成立则得到表示判别条件成立的判别结果,否则得到表示判别条件不成立的判别结果。
逻辑控制模块603可根据判别结果直接确定链接地址的病毒检测结果,比如当只有一个判别条件时,若判别结果为成立,则可获得链接地址是可触发病毒的链接地址的病毒检测结果;若判别结果不成立,则可获得该链接地址不是可触发病毒的链接地址的病毒检测结果。
在一个实施例中,逻辑控制模块603可组合多个判别条件对应的判别结果以获得链接地址的病毒检测结果。比如当至少两个判别条件对应的判别结果为成立时,可获得链接地址是可触发病毒的链接地址的病毒检测结果,否则获得该链接地址不是可触发病毒的链接地址的病毒检测结果。
上述短信传播病毒检测装置600,获取短信中的链接地址,查询该链接地址对应的累积值,从而根据累积值、判别条件及相应阈值得到判别结果,进而根据判别结果得到链接地址的病毒检测结果。累积值是统计聚集的短信中与链接地址相关的历史数据得到的,这样可以将链接地址相关的历史行为量化累积,在需要检测短信传播病毒时依据累积值便可以得到病毒检测结果,不需要通过链接地址下载应用,提高了检测短信传播病毒的效率。
在一个实施例中,逻辑控制模块603还用于查询可选的各判别条件所配置的状态;获取处于启用状态的判别条件;获取与处于启用状态的判别条件对应的阈值。
具体地,参照图7,每种判别条件的状态是可通过操作配置模块605配置的,该状态具体包括启用状态和停用状态。逻辑控制模块603在需要获取判别条件时,可遍历所有可选的判别条件,查询相应的状态。可选的判别条件是可供选择的判别条件。
逻辑控制模块603查询到所有可选的判别条件的状态后,根据查询的状态从可选的判别条件中筛选出处于启用状态的判别条件。逻辑控制模块603可遍历处于启用状态的判别条件,从配置文件中查询处于启用状态的判别条件的标识对应的阈值。
本实施例中,可根据需要,通过配置各判别条件的状态来控制判别条件的启用与否,通过简单的配置实现不同的判别条件的组合以灵活改变检测策略,维护方便。
在一个实施例中,接入模块601还用于获取过滤列表,过滤列表包括安全的链接地址;当获取的链接地址存在于过滤列表中时,判定获取的链接地址不是可触发病毒的链接地址。
具体地,参照图7,短信传播病毒检测装置600还可以包括过滤列表维护模块602,用于维护过滤列表,具体可添加、更好或删除过滤列表中的链接地址。接入模块601可用于从过滤列表维护模块602获取过滤列表。过滤列表中包括若干链接地址,这些链接地址是判别为安全的链接地址,比如知名官方网站的链接地址。接入模块601在获取到链接地址后,判断获取的链接地址是否存在于过滤列表中;若是,即获取的链接地址存在于过滤列表中,则直接判定获取的链接地址不是可触发病毒的链接地址;若否,即获取的链接地址不存在于过滤列表中,则通知逻辑控制模块603。
本实施例中,通过过滤列表可快速识别出安全的链接地址,直接获得该链接地址的病毒检测结果,可以进一步提高检测短信传播病毒的效率。
在一个实施例中,判别条件包括第一等级的判别条件和第二等级的判别条件;逻辑控制模块603还用于当至少一个第一等级的判别条件对应的判别结果为成立时,或者,当至少两个第二等级的判别条件对应的判别结果为成立时,判定链接地址是可触发病毒的链接地址。
具体地,判别条件被划分为不同的等级,第一等级的判别条件是强判别条件,而第二等级的判别条件是弱判别条件。对于第一等级的判别条件,逻辑控制模块603在至少一个成立时便可以判定链接地址是可触发病毒的链接地址。第二等级的判别条件需要组合使用,当两个或两个以上的第二等级的判别条件所对应的判别结果为成立时,逻辑控制模块603可判定链接地址是可触发病毒的链接地址,也就是判定该链接地址所指向的应用是病毒。
本实施例中,将判别条件分为不同等级,对于不同等级的判别条件对应的判别结果,采用不同的策略来合并判别结果,以得到链接地址的病毒检测结果,可以使得的检测结果较为稳定,降低误判率。
在一个实施例中,接入模块601用于接收终端发送的查询请求。从查询请求中提取链接地址,该链接地址是待检测短信中携带的链接地址。
逻辑控制模块603用于查询是否有处于启用状态的判别条件;若是,则获取与处于启用状态的判别条件对应的阈值。查询与链接地址对应的累积值。当存在与链接地址对应的应用特征值时,获取该应用特征值。
逻辑控制模块603还用于遍历处于启用状态的判别条件,根据查询的累积值、应用特征值以及与判别条件对应的阈值进行判别,得到各个处于启用状态的判别条件相应的判别结果。合并各个判别结果,得到链接地址的病毒检测结果。
接入模块601还用于向终端反馈病毒检测结果。终端在接收到病毒检测结果后,可显示检测到短信传播病毒的提示,还可以显示相应的短信即待检测短信。
本实施例中,累积值是统计聚集的短信中与链接地址相关的历史数据得到的,这样可以将链接地址相关的历史行为量化累积,在需要检测短信传播病毒时依据累积值便可以得到病毒检测结果,不需要通过链接地址下载应用,提高了检测短信传播病毒的效率。将累积值与应用特征值结合,可以提高检测短信传播病毒的准确性。可根据需要,通过配置各判别条件的状态来控制判别条件的启用与否,通过简单的配置实现不同的判别条件的组合以灵活改变检测策略,维护方便。
短信传播病毒检测装置600中的各个模块,包括接入模块601、逻辑控制模块603、短信累积值聚集模块604、操作配置模块605以及过滤列表维护模块602处理数据时均可以是异步处理的。而且接入模块601和短信累积值聚集模块604都提供初始化接口和反初始化接口,初始化接口用于为处理数据时所需的变量赋初始值以及分配内存空间,反初始化接口则可以用于释放变量以及释放占用的内存空间。接入模块601还提供逻辑处理函数接口,该逻辑处理函数接口被调用时用于接收查询请求,并异步发送给逻辑控制模块603。短信累积值聚集模块604还提供短信聚集函数接口,该短信聚集函数接口被调用时进行短信及累积值聚集。逻辑控制模块603可提供开关接口,用于控制开始和结束对短信传播病毒的检测。操作配置模块605提供写入配置的接口和读取配置的接口。过滤列表维护模块602提供写入过滤列表和读取过滤列表的接口。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (12)

1.一种短信传播病毒检测方法,所述方法包括:
获取携带在待检测短信中的链接地址;
查询与所述链接地址对应的累积值;其中,所述累积值是统计聚集的短信中与所述链接地址相关的历史数据得到的;
获取判别条件及相应的阈值;所述判别条件包括第一等级的判别条件和第二等级的判别条件,其中,所述第一等级的判别条件是强判别条件,所述第二等级的判别条件是弱判别条件;
根据判别条件比较所述累积值和所述阈值,得到相应的判别结果;
当至少一个第一等级的判别条件对应的判别结果为成立时,或者,当至少两个第二等级的判别条件对应的判别结果为成立时,判定所述链接地址是可触发病毒的链接地址。
2.根据权利要求1所述的方法,其特征在于,所述获取判别条件及相应的阈值,包括:
查询可选的各判别条件所配置的状态;
获取处于启用状态的判别条件;
获取与所述处于启用状态的判别条件对应的阈值。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取过滤列表,所述过滤列表包括安全的链接地址;
当获取的所述链接地址存在于所述过滤列表中时,判定获取的所述链接地址不是可触发病毒的链接地址。
4.根据权利要求1所述的方法,其特征在于,所述判别条件包括多个子条件;所述根据判别条件比较所述累积值和所述阈值,得到相应的判别结果,包括:
根据所述判别条件的各个子条件比较所述累积值和相应的所述阈值,得到所述多个子条件各自对应的判别结果;
根据所述多个子条件之间的逻辑关系以及所述多个子条件各自对应的判别结果得到所述判别条件对应的判别结果。
5.根据权利要求1所述的方法,其特征在于,所述累积值包括所述链接地址传播的总用户数、所述链接地址的单次群发用户数、所述链接地址在指定时间段内传播的用户数以及所述链接地址对应恶意应用的比例中的至少一种。
6.一种短信传播病毒检测装置,其特征在于,所述装置包括:
接入模块,用于获取携带在待检测短信中的链接地址;
逻辑控制模块,用于查询与所述链接地址对应的累积值;获取判别条件及相应的阈值,其中,所述判别条件包括第一等级的判别条件和第二等级的判别条件,其中,所述第一等级的判别条件是强判别条件,所述第二等级的判别条件是弱判别条件;所述逻辑控制模块还用于根据判别条件比较所述累积值和所述阈值,得到相应的判别结果;当至少一个第一等级的判别条件对应的判别结果为成立时,或者,当至少两个第二等级的判别条件对应的判别结果为成立时,判定所述链接地址是可触发病毒的链接地址;其中,所述累积值是统计聚集的短信中与所述链接地址相关的历史数据得到的。
7.根据权利要求6所述的装置,其特征在于,所述逻辑控制模块还用于查询可选的各判别条件所配置的状态;获取处于启用状态的判别条件;获取与所述处于启用状态的判别条件对应的阈值。
8.根据权利要求6所述的装置,其特征在于,所述接入模块还用于获取过滤列表,所述过滤列表包括安全的链接地址;当获取的所述链接地址存在于所述过滤列表中时,判定获取的所述链接地址不是可触发病毒的链接地址。
9.根据权利要求6所述的装置,其特征在于,所述逻辑控制模块还用于根据所述判别条件的各个子条件比较所述累积值和相应的所述阈值,得到所述多个子条件各自对应的判别结果;根据所述多个子条件之间的逻辑关系以及所述多个子条件各自对应的判别结果得到所述判别条件对应的判别结果。
10.根据权利要求6所述的装置,其特征在于,所述累积值包括所述链接地址传播的总用户数、所述链接地址的单次群发用户数、所述链接地址在指定时间段内传播的用户数以及所述链接地址对应恶意应用的比例中的至少一种。
11.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至5中任一项所述方法的步骤。
12.一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至5中任一项所述方法的步骤。
CN201610286913.3A 2016-05-03 2016-05-03 短信传播病毒检测方法和装置 Active CN106714122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610286913.3A CN106714122B (zh) 2016-05-03 2016-05-03 短信传播病毒检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610286913.3A CN106714122B (zh) 2016-05-03 2016-05-03 短信传播病毒检测方法和装置

Publications (2)

Publication Number Publication Date
CN106714122A CN106714122A (zh) 2017-05-24
CN106714122B true CN106714122B (zh) 2020-04-28

Family

ID=58939679

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610286913.3A Active CN106714122B (zh) 2016-05-03 2016-05-03 短信传播病毒检测方法和装置

Country Status (1)

Country Link
CN (1) CN106714122B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103607705A (zh) * 2013-12-04 2014-02-26 北京网秦天下科技有限公司 垃圾短信过滤方法及引擎
WO2014168453A1 (ko) * 2013-04-12 2014-10-16 에스케이텔레콤 주식회사 메시지 검사장치, 사용자 단말 및 방법
CN104811418A (zh) * 2014-01-23 2015-07-29 腾讯科技(深圳)有限公司 病毒检测的方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457841B (zh) * 2010-10-28 2016-03-30 西门子公司 用于检测病毒的方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014168453A1 (ko) * 2013-04-12 2014-10-16 에스케이텔레콤 주식회사 메시지 검사장치, 사용자 단말 및 방법
CN103607705A (zh) * 2013-12-04 2014-02-26 北京网秦天下科技有限公司 垃圾短信过滤方法及引擎
CN104811418A (zh) * 2014-01-23 2015-07-29 腾讯科技(深圳)有限公司 病毒检测的方法及装置

Also Published As

Publication number Publication date
CN106714122A (zh) 2017-05-24

Similar Documents

Publication Publication Date Title
CN108683604B (zh) 并发访问控制方法、终端设备及介质
CN110830986B (zh) 一种物联网卡异常行为检测方法、装置、设备及存储介质
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN103379099A (zh) 恶意攻击识别方法及系统
CN110417778B (zh) 访问请求的处理方法和装置
CN109922062B (zh) 源代码泄露监控方法及相关设备
US10257222B2 (en) Cloud checking and killing method, device and system for combating anti-antivirus test
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
EP2408166A1 (en) Filtering method, system and network device therefor
CN110856126B (zh) 信息上报、接收方法、终端设备及存储介质
CN106656989B (zh) 一种流量监控方法及终端
CN107360122B (zh) 防止恶意请求的方法和装置
CN107733867B (zh) 一种发现僵尸网络及防护的方法、系统和存储介质
CN108063833B (zh) Http dns解析报文处理方法及装置
CN108418780A (zh) Ip地址的过滤方法及装置、系统、dns服务器
CN111371772A (zh) 基于redis的智能网关限流方法、系统和计算机设备
CN103152325B (zh) 防止通过共享方式访问互联网的方法及装置
CN104219230A (zh) 识别恶意网站的方法及装置
CN109547427B (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
WO2018019010A1 (zh) 动态行为分析方法、装置、系统及设备
CN109657485B (zh) 权限处理方法、装置、终端设备和存储介质
KR101473652B1 (ko) 악성 메시지 검사 방법 및 장치
CN111625700B (zh) 防抓取的方法、装置、设备及计算机存储介质
CN115017502A (zh) 一种流量处理方法、及防护系统
CN106714122B (zh) 短信传播病毒检测方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant