CN106897619A - 移动终端恶意软件感知方法及装置 - Google Patents
移动终端恶意软件感知方法及装置 Download PDFInfo
- Publication number
- CN106897619A CN106897619A CN201611153936.3A CN201611153936A CN106897619A CN 106897619 A CN106897619 A CN 106897619A CN 201611153936 A CN201611153936 A CN 201611153936A CN 106897619 A CN106897619 A CN 106897619A
- Authority
- CN
- China
- Prior art keywords
- user
- users
- victim
- data
- suspected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000001149 cognitive effect Effects 0.000 title abstract 2
- 238000010295 mobile communication Methods 0.000 claims abstract description 77
- 239000013598 vector Substances 0.000 claims description 37
- 238000012544 monitoring process Methods 0.000 claims description 29
- 238000004422 calculation algorithm Methods 0.000 claims description 18
- 238000000605 extraction Methods 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 claims description 11
- 238000007635 classification algorithm Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 7
- 230000008520 organization Effects 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 230000009471 action Effects 0.000 abstract description 4
- 239000000284 extract Substances 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 13
- 238000004590 computer program Methods 0.000 description 11
- 230000006399 behavior Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 230000007480 spreading Effects 0.000 description 2
- 238000003892 spreading Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012857 repacking Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种移动终端恶意软件感知方法及装置,其中方法包括:每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据其建立用于识别疑似受害用户和正常用户的分类器;若检测到对分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。本发明解决了现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题,能快速感知移动终端恶意软件问题的发生,充分利用移动通信运营商内外部的各类数据资源,提高恶意软件疑似受害用户的发现精度和识别范围。
Description
技术领域
本发明涉及移动通信及信息安全技术领域,尤其涉及一种移动终端恶意软件感知方法及装置。
背景技术
恶意软件用来统称包括病毒、蠕虫、木马和间谍软件在内的各种恶意程序。近年来,随着宽带网络和移动通信的高速发展,移动终端及其应用越来越普遍,并且在日常生活的各个领域中发挥重要的作用。越来越多的不法分子通过恶意软件入侵用户的移动终端,实现盈利、窃取信息等目的。因此,恶意软件常被归结为多种威胁的源头,是当前比较严重的威胁之一。
目前,现有移动通信运营商对移动终端恶意软件的监控主要基于软件样本检测,监控的前提是获取恶意软件样本,通过静态、动态的研判确定是否是恶意软件,进而提取恶意软件特征加入病毒库,当已知的软件样本在网络中传播时就可以通过特征匹配实现监控。手机恶意软件整治工作以发现新型恶意软件为基点一分为二,如图1所示,基点之前为新型恶意软件的的研判阶段,基点之后为对已知恶意软件的整治阶段。
但是,现有技术中恶意软件从样本获取、研判、提取特征到制定策略实施具体网络监控措施需要很长的周期,从一个恶意软件问题爆发到实施恶意软件封堵这段时间内,恶意软件问题造成的损失无法挽回;现有方法非常依赖于捕获的软件样本,所有的监控特征均基于已捕获的软件样本,一旦恶意软件出现变体可能造成监控策略失效,恶意软件变体成本很低,不法分子只需采取简单修改代码、软件重打包加壳或主控地址变更等手段即可引起监控策略失效;而且现有技术仅限于通过用户终端在运营商PS域内的上网行为制定监控策略发现恶意事件,未做到结合上网行为以外的各类数据制定监控策略,实际恶意软件爆发带来的问题不仅仅在PS域的上网行为中呈现,恶意软件发作引起的其他用户行为特征并未被关注,因此现有技术对已知恶意软件监控策略具有局限性。
鉴于此,如何解决现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题成为目前需要解决的技术问题。
发明内容
为解决上述的技术问题,本发明提供一种移动终端恶意软件感知方法及装置,解决了现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题,能够快速感知移动终端恶意软件问题的发生,充分利用移动通信运营商内部及外部的各类数据资源,提高恶意软件疑似受害用户的发现精度和识别范围。
第一方面,本发明提供一种移动终端恶意软件感知方法,包括:
每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器;
若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
可选地,所述多维度全量数据,包括:移动通信运营商内部数据和移动通信运营商外部数据;
所述移动通信运营商内部数据,包括但不限于:用户上网日志;短信话单、彩信话单;语音通话话单;投诉数据;举报数据;信息安全监控结果数据;用户通信详单、计费情况、用户订购业务情况;用户信用等级、用户习惯;用户移动终端的操作系统版本和安装的软件;
所述信息安全监控结果数据,包括但不限于:垃圾短信、垃圾彩信、骚扰电话和不良信息;
所述移动通信运营商外部数据,包括但不限于:安全类网站数据;搜索引擎数据;电子邮箱发送使用记录;即时通信发送使用记录;社交网络平台发送使用记录;用户移动终端的操作系统版本和通过第三方应用商店安装的软件;
所述安全类网站数据,包括但不限于:安全论坛和互联网骚扰电话标记产品。
可选地,所述分类器为多元分类器,用于识别疑似受害用户和正常用户,并将识别出的疑似受害用户按照疑似程度不同划分为多个不同疑似级别的疑似受害用户;
相应地,所述若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户,具体为:
若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的不同疑似级别的疑似受害用户。
可选地,在所述从移动通信运营商当前收集的移动终端用户数据中提取不同疑似级别的疑似受害用户之后,所述方法还包括:
对疑似级别大于等于预设级别的疑似受害用户通知其受害情况;
对疑似级别小于预设级别的疑似受害用户的移动终端安装的软件进行取证研判工作,并将研判后新发现的恶意软件发送给相关安全管理部门及移动应用商店,以使所述相关安全管理部门及移动应用商店对所述新发现的恶意软件进行整治。
可选地,所述根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器,包括:
采用底层分布式存储系统和基于列的分布式数据库技术,对所述多维度全量数据进行数据组织,形成基于用户ID的海量数据库;
将已知恶意软件受害用户数据作为样本,利用特征提取算法提取所述样本的特征;
根据所述样本的特征,在所述基于用户ID的海量数据库中进行建模画像,建立受害用户特征向量集;
利用特征选择算法,从所述受害用户特征向量集中提取目标特征向量集,所述目标特征向量集为区分受害用户和正常用户的特征向量的集合;
利用分类算法,对所述目标特征向量集进行训练,建立用于识别疑似受害用户和正常用户的分类器。
第二方面,本发明提供一种移动终端恶意软件感知装置,包括:建立模块和提取模块;
所述建立模块,包括:获取单元和建立单元;
所述获取单元,用于每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据;
所述建立单元,用于根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器;
所述提取模块,用于若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
可选地,所述多维度全量数据,包括:移动通信运营商内部数据和移动通信运营商外部数据;
所述移动通信运营商内部数据,包括但不限于:用户上网日志;短信话单、彩信话单;语音通话话单;投诉数据;举报数据;信息安全监控结果数据;用户通信详单、计费情况、用户订购业务情况;用户信用等级、用户习惯;用户移动终端的操作系统版本和安装的软件;
所述信息安全监控结果数据,包括但不限于:垃圾短信、垃圾彩信、骚扰电话和不良信息;
所述移动通信运营商外部数据,包括但不限于:安全类网站数据;搜索引擎数据;电子邮箱发送使用记录;即时通信发送使用记录;社交网络平台发送使用记录;用户移动终端的操作系统版本和通过第三方应用商店安装的软件;
所述安全类网站数据,包括但不限于:安全论坛和互联网骚扰电话标记产品。
可选地,所述分类器为多元分类器,用于识别疑似受害用户和正常用户,并将识别出的疑似受害用户按照疑似程度不同划分为多个不同疑似级别的疑似受害用户;
相应地,所述提取模块,具体用于
若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的不同疑似级别的疑似受害用户。
可选地,所述装置还包括:
通知模块,用于对疑似级别大于等于预设级别的疑似受害用户通知其受害情况;
研判模块,用于对疑似级别小于预设级别的疑似受害用户的移动终端安装的软件进行取证研判工作,并将研判后新发现的恶意软件发送给相关安全管理部门及移动应用商店,以使所述相关安全管理部门及移动应用商店对所述新发现的恶意软件进行整治。
可选地,所述建立单元,具体用于
采用底层分布式存储系统和基于列的分布式数据库技术,对所述多维度全量数据进行数据组织,形成基于用户ID的海量数据库;
将已知恶意软件受害用户数据作为样本,利用特征提取算法提取所述样本的特征;
根据所述样本的特征,在所述基于用户ID的海量数据库中进行建模画像,建立受害用户特征向量集;
利用特征选择算法,从所述受害用户特征向量集中提取目标特征向量集,所述目标特征向量集为区分受害用户和正常用户的特征向量的集合;
利用分类算法,对所述目标特征向量集进行训练,建立用于识别疑似受害用户和正常用户的分类器。
由上述技术方案可知,本发明的移动终端恶意软件感知方法及装置,通过每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器,若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户,由此,解决了现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题,能够快速感知移动终端恶意软件问题的发生,充分利用移动通信运营商内部及外部的各类数据资源,提高恶意软件疑似受害用户的发现精度和识别范围。
附图说明
图1为现有技术提供的移动终端恶意软件监控流程示意图;
图2为本发明一实施例提供的移动终端恶意软件感知方法的流程示意图;
图3为本发明一实施例提供的移动终端恶意软件感知装置的结构示意图;
图4为本发明一实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例,都属于本发明保护的范围。
图2示出了本发明一实施例提供的移动终端恶意软件感知方法的流程示意图,如图2所示,本实施例的移动终端恶意软件感知方法如下所述。
201、每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器。
具体地,每隔预设时间段可通过实时会准实时的接口技术、网络爬虫技术获取移动终端用户的多维度全量数据。
其中,所述多维度全量数据,包括:移动通信运营商内部数据和移动通信运营商外部数据;
所述移动通信运营商内部数据,可以包括但不限于下述数据:用户上网日志;短信话单、彩信话单;语音通话话单;投诉数据;举报数据;信息安全监控结果数据,可以包括但不限于垃圾短信、垃圾彩信、骚扰电话和不良信息等监控结果;用户通信详单、计费情况、用户订购业务情况等;用户信用等级、用户习惯等;用户移动终端的操作系统版本和安装的软件等;
所述移动通信运营商外部数据,可以包括但不限于下述数据:安全类网站数据,可以包括但不限于安全论坛和互联网骚扰电话标记产品等;搜索引擎数据;电子邮箱发送使用记录;即时通信发送使用记录;社交网络平台(如微博等)发送使用记录;用户移动终端的操作系统版本和通过第三方应用商店安装的软件等。
具体地,所述多维度全量数据的获取方法可参照下述表1。
表1
在具体应用中,所述步骤201中的“根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器”,可以包括图中未示出的步骤S1-S5:
S1、采用底层分布式存储系统和基于列的分布式数据库技术,对所述多维度全量数据进行数据组织,形成基于用户标识ID的海量数据库。
在具体应用中,所述基于用户ID的海量数据库以用户标识ID为作为主键,并尽可能表现出数据的时间维度。
具体地,步骤S1可以采用底层分布式存储系统和基于列的分布式数据库技术,并且采用移动用户号码MSISDN作为用户ID对所述多维度全量数据进行归一化,形成基于用户ID的海量数据库。
在具体应用中,所述底层分布式存储系统可以包括Hadoop HDFS等,所述基于列的分布式数据库技术可以包括Hadoop Hbase等,本实施例并不对其进行限制,也可以为其他底层分布式存储系统及其他基于列的分布式数据库技术。
S2、将已知恶意软件受害用户数据作为样本,利用特征提取算法提取所述样本的特征。
具体地,所述特征提取算法可以直接运用机器学习领域中已经成熟的特征提取算法或针对本实施例问题构建的特有的特征提取算法,本实施例并不对其进行限制。
S3、根据所述样本的特征,在所述基于用户ID的海量数据库中进行建模画像,建立受害用户特征向量集。
举例来说,假设有n个受害用户,所述步骤S3建立的受害用户特征向量集可以参考下述表2。
表2
上述表2中的特征形式样例可以参考下述表3。
表3
S4、利用特征选择算法,从所述受害用户特征向量集中提取目标特征向量集,所述目标特征向量集为区分受害用户和正常用户的特征向量的集合。
具体地,所述特征选择算法可以直接运用机器学习领域中已经成熟的特征选择算法或针对本实施例问题构建的特有的特征选择算法,本实施例并不对其进行限制。
S5、利用分类算法,对所述目标特征向量集进行训练,建立用于识别疑似受害用户和正常用户的分类器。
具体地,所述分类算法可以直接运用机器学习领域中已经成熟的分类算法或针对本实施例问题构建的特有的分类算法,本实施例并不对其进行限制。
在具体应用中,所述分类器可以为二元分类器或多元分类器。
可以理解的是,如果所述分类器为多元分类器,可用于识别疑似受害用户和正常用户,并将识别出的疑似受害用户按照疑似程度不同划分为多个不同疑似级别的疑似受害用户。
202、若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
在具体应用中,举例来说,所述触发操作可以为移动通信运营商恶意软件管控人员对所述分类器的触发操作。
可以理解的是,移动通信运营商会实时收集移动终端用户的数据,进而得到移动终端用户的特征。
在具体应用中,如果所述分类器为多元分类器,则所述步骤202相应为:
202’、若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的不同疑似级别的疑似受害用户。
本实施例的移动终端恶意软件感知方法,通过每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器,若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户,解决了现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题,能够快速感知移动终端恶意软件问题的发生,充分利用移动通信运营商内部及外部的各类数据资源,提高恶意软件疑似受害用户的发现精度和识别范围。
本实施例所述方法不依赖于恶意软件样本,从恶意软件受害用户所产生的各种使用行为出发,绕过了样本特征提取这一环节,避免了获取样本所需付出的成本代价;本实施例所述方法监控时效性强,支持快速迭代、随时调整,甚至可以在问题产生前预测问题的发生,时效性更高;本实施例所述方法最大化利用了移动运营商具备的数据资源,充分利用已有的条件来实现恶意软件监控,而非为了恶意软件问题而铺开大规模建设采集点、监控点,可以节约很大的建设成本,不仅仅控制了恶意软件的传播途径,而且深入到恶意软件的行为模式控制,从而实现了对恶意软件的全面监控。
在具体应用中,在上述步骤202’之后,本实施例所述方法还可以包括图中未示出的步骤203和204:
203、对疑似级别大于等于预设级别的疑似受害用户通知其受害情况。
可以理解的是,所述预设级别可以根据实际情况进行具体设置,若疑似级别大于等于预设级别,则可认为该移动终端用户的疑似级别较高。
举例来说,步骤203可以对疑似级别大于等于预设级别的疑似受害用户通过短信、电话等方式通知其受害情况。
204、对疑似级别小于预设级别的疑似受害用户的移动终端安装的软件进行取证研判工作,并将研判后新发现的恶意软件发送给相关安全管理部门及移动应用商店,以使所述相关安全管理部门及移动应用商店对所述新发现的恶意软件进行整治。
可以理解的是,若疑似级别小于预设级别,则可认为该移动终端用户的疑似级别较低。
可以理解的是,对疑似级别小于预设级别的疑似受害用户的移动终端安装的软件进行取证研判工作的方法参考现有的对新型恶意软件进行研判的方法。
可以理解的是,后续所述相关安全管理部门及移动应用商店对所述新发现的恶意软件进行整治的方法可参考现有的对新型恶意软件进行整治的方法。例如,将新发现的恶意软件传播URL加入到网间流量控制设备进行封堵,将新发现的恶意软件的样本特征加入到传统的基于样本特征的手机恶意软件监控引擎特征库中。
本实施例的移动终端恶意软件感知方法,解决了现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题,能够快速感知移动终端恶意软件问题的发生,充分利用移动通信运营商内部及外部的各类数据资源,提高恶意软件疑似受害用户的发现精度和识别范围。本实施例所述方法不依赖于恶意软件样本,监控时效性强,最大化利用了移动运营商具备的数据资源,扩大了恶意软件监控的覆盖范围。
图3示出了本发明一实施例提供的移动终端恶意软件感知装置的结构示意图,如图3所示,本实施例的移动终端恶意软件感知装置,包括:建立模块31和提取模块32;
所述建立模块31,包括:获取单元31a和建立单元31b;
所述获取单元31a,用于每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据;
所述建立单元31b,用于根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器;
所述提取模块32,用于若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
其中,所述多维度全量数据,包括:移动通信运营商内部数据和移动通信运营商外部数据;
所述移动通信运营商内部数据,可以包括但不限于下述数据:用户上网日志;短信话单、彩信话单;语音通话话单;投诉数据;举报数据;信息安全监控结果数据,可以包括但不限于垃圾短信、垃圾彩信、骚扰电话和不良信息等监控结果;用户通信详单、计费情况、用户订购业务情况等;用户信用等级、用户习惯等;用户移动终端的操作系统版本和安装的软件等;
所述移动通信运营商外部数据,可以包括但不限于下述数据:安全类网站数据,可以包括但不限于安全论坛和互联网骚扰电话标记产品等;搜索引擎数据;电子邮箱发送使用记录;即时通信发送使用记录;社交网络平台(如微博等)发送使用记录;用户移动终端的操作系统版本和通过第三方应用商店安装的软件等。
在具体应用中,所述建立单元31b,可具体用于
采用底层分布式存储系统和基于列的分布式数据库技术,对所述多维度全量数据进行数据组织,形成基于用户ID的海量数据库;
将已知恶意软件受害用户数据作为样本,利用特征提取算法提取所述样本的特征;
根据所述样本的特征,在所述基于用户ID的海量数据库中进行建模画像,建立受害用户特征向量集;
利用特征选择算法,从所述受害用户特征向量集中提取目标特征向量集,所述目标特征向量集为区分受害用户和正常用户的特征向量的集合;
利用分类算法,对所述目标特征向量集进行训练,建立用于识别疑似受害用户和正常用户的分类器。
在具体应用中,所述分类器可以为二元分类器或多元分类器。如果所述分类器为多元分类器,可用于识别疑似受害用户和正常用户,并将识别出的疑似受害用户按照疑似程度不同划分为多个不同疑似级别的疑似受害用户;
相应地,所述提取模块32,可具体用于
若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的不同疑似级别的疑似受害用户。
在具体应用中,本实施例所述装置还可以包括:
通知模块,用于对疑似级别大于等于预设级别的疑似受害用户通知其受害情况;
研判模块,用于对疑似级别小于预设级别的疑似受害用户的移动终端安装的软件进行取证研判工作,并将研判后新发现的恶意软件发送给相关安全管理部门及移动应用商店,以使所述相关安全管理部门及移动应用商店对所述新发现的恶意软件进行整治。
可以理解的是,所述研判模块对疑似级别小于预设级别的疑似受害用户的移动终端安装的软件进行取证研判工作的方法参考现有的对新型恶意软件进行研判的方法。
可以理解的是,后续相关安全管理部门及移动应用商店对所述新发现的恶意软件进行整治的方法可参考现有的对新型恶意软件进行整治的方法。例如,将新发现的恶意软件传播URL加入到网间流量控制设备进行封堵,将新发现的恶意软件的样本特征加入到传统的基于样本特征的手机恶意软件监控引擎特征库中。
本实施例的移动终端恶意软件感知装置,解决了现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题,能够快速感知移动终端恶意软件问题的发生,充分利用移动通信运营商内部及外部的各类数据资源,提高恶意软件疑似受害用户的发现精度和识别范围。本实施例所述装置不依赖于恶意软件样本,监控时效性强,最大化利用了移动运营商具备的数据资源,扩大了恶意软件监控的覆盖范围。
本实施例的移动终端恶意软件感知装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4示出了本发明实施例提供的一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:至少一个处理器41、至少一个存储器43和总线44;其中,
所述处理器41,存储器43通过所述总线44完成相互间的通信;
所述存储器43存储有可被所述处理器41执行的程序指令,所述处理器41可以调用所述程序指令,以执行上述各方法实施例所提供的方法,例如包括:每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器;若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
本发明实施例还公开了一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器;若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
本发明实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器;若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种移动终端恶意软件感知方法,其特征在于,包括:
每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据,并根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器;
若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
2.根据权利要求1所述的方法,其特征在于,所述多维度全量数据,包括:移动通信运营商内部数据和移动通信运营商外部数据;
所述移动通信运营商内部数据,包括但不限于:用户上网日志;短信话单、彩信话单;语音通话话单;投诉数据;举报数据;信息安全监控结果数据;用户通信详单、计费情况、用户订购业务情况;用户信用等级、用户习惯;用户移动终端的操作系统版本和安装的软件;
所述信息安全监控结果数据,包括但不限于:垃圾短信、垃圾彩信、骚扰电话和不良信息;
所述移动通信运营商外部数据,包括但不限于:安全类网站数据;搜索引擎数据;电子邮箱发送使用记录;即时通信发送使用记录;社交网络平台发送使用记录;用户移动终端的操作系统版本和通过第三方应用商店安装的软件;
所述安全类网站数据,包括但不限于:安全论坛和互联网骚扰电话标记产品。
3.根据权利要求1所述的方法,其特征在于,所述分类器为多元分类器,用于识别疑似受害用户和正常用户,并将识别出的疑似受害用户按照疑似程度不同划分为多个不同疑似级别的疑似受害用户;
相应地,所述若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户,具体为:
若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的不同疑似级别的疑似受害用户。
4.根据权利要求3所述的方法,其特征在于,在所述从移动通信运营商当前收集的移动终端用户数据中提取不同疑似级别的疑似受害用户之后,所述方法还包括:
对疑似级别大于等于预设级别的疑似受害用户通知其受害情况;
对疑似级别小于预设级别的疑似受害用户的移动终端安装的软件进行取证研判工作,并将研判后新发现的恶意软件发送给相关安全管理部门及移动应用商店,以使所述相关安全管理部门及移动应用商店对所述新发现的恶意软件进行整治。
5.根据权利要求1所述的方法,其特征在于,所述根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器,包括:
采用底层分布式存储系统和基于列的分布式数据库技术,对所述多维度全量数据进行数据组织,形成基于用户ID的海量数据库;
将已知恶意软件受害用户数据作为样本,利用特征提取算法提取所述样本的特征;
根据所述样本的特征,在所述基于用户ID的海量数据库中进行建模画像,建立受害用户特征向量集;
利用特征选择算法,从所述受害用户特征向量集中提取目标特征向量集,所述目标特征向量集为区分受害用户和正常用户的特征向量的集合;
利用分类算法,对所述目标特征向量集进行训练,建立用于识别疑似受害用户和正常用户的分类器。
6.一种移动终端恶意软件感知装置,其特征在于,包括:建立模块和提取模块;
所述建立模块,包括:获取单元和建立单元;
所述获取单元,用于每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据;
所述建立单元,用于根据所述多维度全量数据和已知恶意软件受害用户数据,建立用于识别疑似受害用户和正常用户的分类器;
所述提取模块,用于若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。
7.根据权利要求6所述的装置,其特征在于,所述多维度全量数据,包括:移动通信运营商内部数据和移动通信运营商外部数据;
所述移动通信运营商内部数据,包括但不限于:用户上网日志;短信话单、彩信话单;语音通话话单;投诉数据;举报数据;信息安全监控结果数据;用户通信详单、计费情况、用户订购业务情况;用户信用等级、用户习惯;用户移动终端的操作系统版本和安装的软件;
所述信息安全监控结果数据,包括但不限于:垃圾短信、垃圾彩信、骚扰电话和不良信息;
所述移动通信运营商外部数据,包括但不限于:安全类网站数据;搜索引擎数据;电子邮箱发送使用记录;即时通信发送使用记录;社交网络平台发送使用记录;用户移动终端的操作系统版本和通过第三方应用商店安装的软件;
所述安全类网站数据,包括但不限于:安全论坛和互联网骚扰电话标记产品。
8.根据权利要求6所述的装置,其特征在于,所述分类器为多元分类器,用于识别疑似受害用户和正常用户,并将识别出的疑似受害用户按照疑似程度不同划分为多个不同疑似级别的疑似受害用户;
相应地,所述提取模块,具体用于
若检测到对所述分类器的触发操作,则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器,提取移动通信运营商当前收集的移动终端用户中的不同疑似级别的疑似受害用户。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
通知模块,用于对疑似级别大于等于预设级别的疑似受害用户通知其受害情况;
研判模块,用于对疑似级别小于预设级别的疑似受害用户的移动终端安装的软件进行取证研判工作,并将研判后新发现的恶意软件发送给相关安全管理部门及移动应用商店,以使所述相关安全管理部门及移动应用商店对所述新发现的恶意软件进行整治。
10.根据权利要求6所述的装置,其特征在于,所述建立单元,具体用于
采用底层分布式存储系统和基于列的分布式数据库技术,对所述多维度全量数据进行数据组织,形成基于用户ID的海量数据库;
将已知恶意软件受害用户数据作为样本,利用特征提取算法提取所述样本的特征;
根据所述样本的特征,在所述基于用户ID的海量数据库中进行建模画像,建立受害用户特征向量集;
利用特征选择算法,从所述受害用户特征向量集中提取目标特征向量集,所述目标特征向量集为区分受害用户和正常用户的特征向量的集合;
利用分类算法,对所述目标特征向量集进行训练,建立用于识别疑似受害用户和正常用户的分类器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611153936.3A CN106897619B (zh) | 2016-12-14 | 2016-12-14 | 移动终端恶意软件感知方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611153936.3A CN106897619B (zh) | 2016-12-14 | 2016-12-14 | 移动终端恶意软件感知方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106897619A true CN106897619A (zh) | 2017-06-27 |
| CN106897619B CN106897619B (zh) | 2019-04-23 |
Family
ID=59197798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611153936.3A Active CN106897619B (zh) | 2016-12-14 | 2016-12-14 | 移动终端恶意软件感知方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106897619B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830664A (zh) * | 2018-08-14 | 2020-02-21 | 中国移动通信集团设计院有限公司 | 识别电信诈骗潜在受害用户的方法和装置 |
| CN111277995A (zh) * | 2018-12-05 | 2020-06-12 | 中国移动通信集团甘肃有限公司 | 一种对终端用户进行识别的方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103150509A (zh) * | 2013-03-15 | 2013-06-12 | 长沙文盾信息技术有限公司 | 一种基于虚拟执行的病毒检测系统 |
| CN103927485A (zh) * | 2014-04-24 | 2014-07-16 | 东南大学 | 基于动态监控的Android应用程序风险评估方法 |
| CN105007282A (zh) * | 2015-08-10 | 2015-10-28 | 济南大学 | 面向网络服务提供商的恶意软件网络行为检测方法及系统 |
| US20160337390A1 (en) * | 2015-05-11 | 2016-11-17 | Qualcomm Incorporated | Methods and Systems for Behavior-Specific Actuation for Real-Time Whitelisting |
-
2016
- 2016-12-14 CN CN201611153936.3A patent/CN106897619B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103150509A (zh) * | 2013-03-15 | 2013-06-12 | 长沙文盾信息技术有限公司 | 一种基于虚拟执行的病毒检测系统 |
| CN103927485A (zh) * | 2014-04-24 | 2014-07-16 | 东南大学 | 基于动态监控的Android应用程序风险评估方法 |
| US20160337390A1 (en) * | 2015-05-11 | 2016-11-17 | Qualcomm Incorporated | Methods and Systems for Behavior-Specific Actuation for Real-Time Whitelisting |
| CN105007282A (zh) * | 2015-08-10 | 2015-10-28 | 济南大学 | 面向网络服务提供商的恶意软件网络行为检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李骏骁: "基于监督型机器学习分类方法的Android恶意软件检测技术研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110830664A (zh) * | 2018-08-14 | 2020-02-21 | 中国移动通信集团设计院有限公司 | 识别电信诈骗潜在受害用户的方法和装置 |
| CN110830664B (zh) * | 2018-08-14 | 2021-03-05 | 中国移动通信集团设计院有限公司 | 识别电信诈骗潜在受害用户的方法和装置 |
| CN111277995A (zh) * | 2018-12-05 | 2020-06-12 | 中国移动通信集团甘肃有限公司 | 一种对终端用户进行识别的方法及设备 |
| CN111277995B (zh) * | 2018-12-05 | 2023-04-07 | 中国移动通信集团甘肃有限公司 | 一种对终端用户进行识别的方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106897619B (zh) | 2019-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Niakanlahiji et al. | Phishmon: A machine learning framework for detecting phishing webpages | |
| Feizollah et al. | A study of machine learning classifiers for anomaly-based mobile botnet detection | |
| Damopoulos et al. | Evaluation of anomaly‐based IDS for mobile devices using machine learning classifiers | |
| KR101767454B1 (ko) | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 | |
| KR101388090B1 (ko) | 이벤트 분석에 기반한 사이버 공격 탐지 장치 및 방법 | |
| Agrawal et al. | A survey on android malware and their detection techniques | |
| Abdelrahman et al. | Mobile network anomaly detection and mitigation: The NEMESYS approach | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御系统 | |
| US12081569B2 (en) | Graph-based analysis of security incidents | |
| US20210256126A1 (en) | Privacy-preserving content classification | |
| Alzahrani et al. | SMS mobile botnet detection using a multi-agent system: research in progress | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| Papadopoulos et al. | A novel graph-based descriptor for the detection of billing-related anomalies in cellular mobile networks | |
| CN103401845A (zh) | 一种网址安全性的检测方法、装置 | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| Li et al. | An android malware detection system based on feature fusion | |
| KR20180079434A (ko) | 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템 | |
| CN103220277B (zh) | 监控跨站脚本攻击的方法、装置及系统 | |
| CN106897619B (zh) | 移动终端恶意软件感知方法及装置 | |
| Kim | Potential risk analysis method for malware distribution networks | |
| Mohd Saudi et al. | iOS mobile malware analysis: a state-of-the-art | |
| US20220164449A1 (en) | Classifer generator | |
| CN112559595A (zh) | 安全事件挖掘方法、装置、存储介质及电子设备 | |
| CN112948831B (zh) | 应用程序风险识别的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |