CN106899977B - 异常流量检验方法和装置 - Google Patents

异常流量检验方法和装置 Download PDF

Info

Publication number
CN106899977B
CN106899977B CN201510955759.XA CN201510955759A CN106899977B CN 106899977 B CN106899977 B CN 106899977B CN 201510955759 A CN201510955759 A CN 201510955759A CN 106899977 B CN106899977 B CN 106899977B
Authority
CN
China
Prior art keywords
abnormal
network program
program
network
system log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510955759.XA
Other languages
English (en)
Other versions
CN106899977A (zh
Inventor
刘东鑫
刘国荣
史国水
王帅
肖宇峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201510955759.XA priority Critical patent/CN106899977B/zh
Publication of CN106899977A publication Critical patent/CN106899977A/zh
Application granted granted Critical
Publication of CN106899977B publication Critical patent/CN106899977B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提出一种异常流量检验方法和装置,涉及信息安全领域。其中,本发明的异常流量检验方法包括:监控移动终端的网络程序对系统日志的操作行为;根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序;确定异常网络程序发送异常流量。通过这样的方法能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,识别通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录的网络程序,从而确定该网络程序发送异常流量。

Description

异常流量检验方法和装置
技术领域
本发明涉及信息安全领域,特别是一种异常流量检验方法和装置。
背景技术
目前,随着移动宽带技术快速发展,移动智能终端用户快速增长,恶意程序发送的异常流量成为网络运营面临的重大安全风险。但是,现有技术主要通过在终端设置发送流量的阈值进行检测,只有在发送的流量达到一定程度时才能够提供流量告警,难以快速的发现恶意程序发送异常流量的行为,为用户造成一定的流量损失,同时也容易发生数据失窃。另外,由于只对流量使用情况进行监测,容易发生误报的情况,准确性有限。
发明内容
本发明的一个目的在于提高终端异常流量检测的精度和准确度。
根据本发明的一个方面,提出一种异常流量检验方法,包括:监控移动终端的网络程序对系统日志的操作行为;根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序;确定异常网络程序发送异常流量。
可选地,异常操作包括:反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置。
可选地,还包括:监控移动终端的进程,根据应用程序的网络连接权限获取网络程序列表;监控移动终端的网络程序对系统日志的操作行为包括:监控网络程序列表中应用程序对系统日志的操作行为。
可选地,还包括:如果检测到网络程序发送异常流量则进行告警,并向用户提供发送异常流量的网络程序的名称。
可选地,还包括:如果检测到网络程序发送异常流量,则取消发送异常流量的网络程序的网络连接权限。
通过这样的方法能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,发现程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录,从而确定该网络程序发送异常流量,提高了检验网络程序发送异常流量的速度和准确度。
根据本发明的另一个方面,提出一种异常流量检验装置,包括:日志操作监控模块,用于监控移动终端的网络程序对系统日志的操作行为;异常程序识别模块,用于根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序;异常确定模块,用于确定异常网络程序发送异常流量。
可选地,异常操作包括:反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置。
可选地,还包括:筛选模块,用于监控移动终端的进程,根据应用程序的网络连接权限获取网络程序列表;日志操作监控模块,还用于监控网络程序列表中应用程序对系统日志的操作行为。
可选地,还包括:告警模块,用于当检测到网络程序发送异常流量时进行告警,并向用户提供发送异常流量的网络程序的名称。
可选地,还包括:权限操作模块,用于当检测到网络程序发送异常流量时,取消发送异常流量的网络程序的网络连接权限。
这样的装置能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,判断程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录,从而确定该网络程序发送异常流量,提高了检验网络程序发送异常流量的速度和准确度。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明的异常流量检验方法的一个实施例的流程图。
图2为本发明的异常流量检验方法的另一个实施例的流程图。
图3为本发明的异常流量检验方法的又一个实施例的流程图。
图4为本发明的异常流量检验系统的一个实施例的示意图。
图5为本发明的异常流量检验系统的另一个实施例的示意图。
图6为本发明的异常流量检验系统的又一个实施例的示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
在现有的移动终端的安全设置中,一般不向用户开放最高的系统权限,移动终端的程序不具备日志文件的操作权限,即不可以篡改日志文件的默认设置。而在一个被破解的移动终端系统中,例如被“越狱”或“Root”后,用户取得了对系统的最高控制权限,移动终端的程序也具备了对日志文件的操作权限。这也是移动终端系统在被破解后,往往更容易感染恶意程序的根本原因。因此,根据移动终端中的网络程序对于系统日志的操作行为,可以判断其异常情况,从而确定网络程序发送异常流量。
本发明的异常流量检验方法的一个实施例的流程图如图1所示。
在步骤101中,监控移动终端的网络程序对于系统日志的操作行为。在智能终端操作系统中,每个程序的行为都会被写入系统日志文件。
在步骤102中,根据网络程序对系统日志的操作行为确定异常网络程序。由于正常的网络程序通常不会更改日志文件;而恶意程序为了躲避后续取证、检测,延长其生存周期,往往会操作日志文件。因此,根据程序对于系统日志的操作行为能够判断程序异常。
在步骤103中,根据异常网络程序对于系统日志的具体的操作,确定该异常网络程序发送异常流量。恶意程序为了躲避后续取证、检测,延长其生存周期,往往会对日志文件进行操作。在一个实施例中,异常网络程序在发送异常流量时会对系统日志反复操作,清除其发送恶意流量时的行为记录;在完成恶意行为后,又将日志文件恢复到正常状态,从而躲避安全软件的查杀。在一个实施例中,恶意程序在发送异常流量时,对日志文件的操作往往呈现出“将日志文件地址指向Null位置→将日志文件恢复正常位置”的操作特征。
通过这样的方法能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,判断程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录,从而确定该网络程序发送异常流量,提高了检验网络程序发送异常流量的速度和准确度。
本发明的异常流量检验方法的另一个实施例的流程图如图2所示。
在步骤201中,监控移动终端的进程,获取网络程序列表。移动终端的程序通常具有权限声明,可以从系统的权限控制列表中筛选出具有网络连接权限的程序,将具有网络连接权限的程序添加进网络程序列表。
在步骤202中,监控网络程序列表中的网络程序对于系统日志的操作行为。
在步骤203中,根据网络程序对系统日志的操作行为确定异常网络程序。
在步骤204中,根据异常网络程序对于系统日志的具体的操作,确定该异常网络程序发送异常流量。判断异常网络程序发送异常流量的根据可以包括网络程序反复操作系统日志、清除行为记录或将日志文件指向空位置后又恢复到正常位置。
通过这样的方法,能够只监控具有网络连接权限的程序,从而减少不必要的程序遍历,节省终端的系统资源,且提高检验效率。
本发明的异常流量检验方法的再一个实施例的流程图如图3所示。
在步骤301中,监控移动终端的进程,获取网络程序列表。移动终端的程序通常具有权限声明,可以从系统的权限控制列表中筛选出具有网络连接权限的程序。
在步骤302中,监控网络程序列表中的网络程序对于系统日志的操作行为。
在步骤303中,根据网络程序对系统日志的操作行为确定异常网络程序。
在步骤304中,根据异常网络程序对于系统日志的具体的操作,确定该异常网络程序发送异常流量。
在步骤305中,当判断网络程序为发送异常流量的恶意程序时,执行安全防护操作。在一个实施例中,终端向用户发送告警信息,将发送异常流量的网络程序的名称告知用户,便于用户辨别恶意程序。在另一个实施例中,终端能够取消发送异常流量的网络程序的网络连接权限,从而使该程序不能与网络连接,保证了用户的数据、流量安全。
通过这样的方法,当判断网络程序发送异常流量时,能够执行安全防护操作,用户能够及时辨识恶意程序,或终端自动的及时阻止该程序发送恶意流量,从而保证了用户的数据、流量安全。
本发明的异常流量检验装置的一个实施例的示意图如图4所示。其中,401为日志操作监控模块,用于监控移动终端的网络程序对于系统日志的操作行为。402为异常程序识别模块,能够根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序。403为异常确定模块,能够根据异常网络程序对于系统日志的具体的操作确定异常网络程序发送异常流量。
这样的装置能够监控网络程序对于系统日志的操作行为,通过分析异常的操作行为,判断程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录,从而确定该网络程序发送异常流量,提高了检验网络程序发送异常流量的速度和准确度。
在一个实施例中,当异常确定模块403确定网络程序有包括反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置的行为时,确定该网络程序发送异常流量。这样的装置能够根据网络程序对于系统日志的具体的异常操作行为确定网络程序发送异常流量,减少了误判。
本发明的异常流量检验装置的另一个实施例的示意图如图5所示。其中,504为筛选模块,能够监控移动终端的进程,根据应用程序的网络连接权限获取网络程序列表。日志操作监控模块501只监控网络程序列表中的网络程序对于系统日志的操作行为。异常程序识别模块502根据网络程序列表中的网络程序对系统日志的操作确定异常程序。异常确定模块503根据异常网络程序对于系统日志的具体的操作确定异常网络程序发送异常流量。这样的装置能够只监控具有网络接入权限的程序,从而减少不必要的程序遍历,节省终端的系统资源。
本发明的异常流量检验装置的再一个实施例的示意图如图6所示。其中,601为日志操作监控模块,602为异常程序识别模块,603为异常确定模块,604为筛选模块,其结构和功能与图5的实施例中相似。605可以为告警模块,当异常确定模块603确定网络程序发送异常流量时,告警模块605向用户发送告警信息,并将该网络程序的名称提供给用户。这样的装置能够及时的将发送异常流量的网络程序的名称告知用户,用户可以根据该告警信息执行删除该网络程序,或取消其网络连接权限的操作。从而保证了用户的数据、流量安全。
在一个实施例中,605还可以为权限操作模块,能够取消发送流量的网络程序的网络连接权限,从而在异常确定模块603发现网络程序发送异常流量时便及时阻止该网络程序的异常流量发送,进一步保障了用户的数据、流量安全。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (8)

1.一种异常流量检验方法,其特征在于,包括:
监控移动终端的网络程序对系统日志的操作行为;
根据所述网络程序对所述系统日志的操作行为确定对所述系统日志进行异常操作的异常网络程序,其中,所述异常操作包括:反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置;
确定所述异常网络程序发送异常流量。
2.根据权利要求1所述的方法,其特征在于,还包括:
监控移动终端的进程,根据应用程序的网络连接权限获取网络程序列表;
所述监控移动终端的网络程序对系统日志的操作行为包括:
监控网络程序列表中应用程序对系统日志的操作行为。
3.根据权利要求1所述的方法,其特征在于,还包括:
如果检测到所述网络程序发送异常流量则进行告警,并向用户提供发送异常流量的网络程序的名称。
4.根据权利要求1所述的方法,其特征在于,还包括:
如果检测到所述网络程序发送异常流量,则取消发送异常流量的网络程序的网络连接权限。
5.一种异常流量检验装置,其特征在于,包括:
日志操作监控模块,用于监控移动终端的网络程序对系统日志的操作行为;
异常程序识别模块,用于根据所述网络程序对所述系统日志的操作行为确定对所述系统日志进行异常操作的异常网络程序,其中,所述异常操作包括:反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置;
异常确定模块,用于确定所述异常网络程序发送异常流量。
6.根据权利要求5所述的装置,其特征在于,还包括:
筛选模块,用于监控移动终端的进程,根据应用程序的网络连接权限获取网络程序列表;
所述日志操作监控模块,还用于监控网络程序列表中应用程序对系统日志的操作行为。
7.根据权利要求5所述的装置,其特征在于,还包括:
告警模块,用于当检测到网络程序发送异常流量时进行告警,并向用户提供发送异常流量的网络程序的名称。
8.根据权利要求5所述的装置,其特征在于,还包括:
权限操作模块,用于当检测到所述网络程序发送异常流量时,取消发送异常流量的网络程序的网络连接权限。
CN201510955759.XA 2015-12-18 2015-12-18 异常流量检验方法和装置 Active CN106899977B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510955759.XA CN106899977B (zh) 2015-12-18 2015-12-18 异常流量检验方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510955759.XA CN106899977B (zh) 2015-12-18 2015-12-18 异常流量检验方法和装置

Publications (2)

Publication Number Publication Date
CN106899977A CN106899977A (zh) 2017-06-27
CN106899977B true CN106899977B (zh) 2020-02-18

Family

ID=59188751

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510955759.XA Active CN106899977B (zh) 2015-12-18 2015-12-18 异常流量检验方法和装置

Country Status (1)

Country Link
CN (1) CN106899977B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108334775B (zh) * 2018-01-23 2022-09-23 创新先进技术有限公司 一种越狱插件检测方法及装置
CN108777679B (zh) * 2018-05-22 2021-09-17 深信服科技股份有限公司 终端的流量访问关系生成方法、装置和可读存储介质
CN109413675A (zh) * 2018-12-05 2019-03-01 斑马网络技术有限公司 车联网流量控制方法、装置及车载终端

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741526A (zh) * 2005-09-05 2006-03-01 北京启明星辰信息技术有限公司 网络异常流量的检测方法及系统
CN102222194A (zh) * 2011-07-14 2011-10-19 哈尔滨工业大学 Linux主机计算环境安全保护的模块及方法
CN102510563A (zh) * 2011-10-21 2012-06-20 北京西塔网络科技股份有限公司 一种移动互联网恶意软件检测的方法及系统
CN104866407A (zh) * 2015-06-23 2015-08-26 山东中孚信息产业股份有限公司 一种虚拟机环境下的监控系统及监控方法
CN105022959A (zh) * 2015-07-22 2015-11-04 上海斐讯数据通信技术有限公司 一种移动终端恶意代码分析设备及分析方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741526A (zh) * 2005-09-05 2006-03-01 北京启明星辰信息技术有限公司 网络异常流量的检测方法及系统
CN102222194A (zh) * 2011-07-14 2011-10-19 哈尔滨工业大学 Linux主机计算环境安全保护的模块及方法
CN102510563A (zh) * 2011-10-21 2012-06-20 北京西塔网络科技股份有限公司 一种移动互联网恶意软件检测的方法及系统
CN104866407A (zh) * 2015-06-23 2015-08-26 山东中孚信息产业股份有限公司 一种虚拟机环境下的监控系统及监控方法
CN105022959A (zh) * 2015-07-22 2015-11-04 上海斐讯数据通信技术有限公司 一种移动终端恶意代码分析设备及分析方法

Also Published As

Publication number Publication date
CN106899977A (zh) 2017-06-27

Similar Documents

Publication Publication Date Title
CN113050607B (zh) 通过虚拟机自省进行安全事件检测
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US10356113B2 (en) Apparatus and method for detecting abnormal behavior
CN112184091B (zh) 工控系统安全威胁评估方法、装置和系统
US10547634B2 (en) Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
CN111434090A (zh) 用于向车载网络提供安全性的系统及方法
CN112685682B (zh) 一种攻击事件的封禁对象识别方法、装置、设备及介质
KR101585342B1 (ko) 이상행위 탐지 장치 및 방법
CN103888282A (zh) 基于核电站的网络入侵报警方法和系统
CN106899977B (zh) 异常流量检验方法和装置
CN114666088A (zh) 工业网络数据行为信息的侦测方法、装置、设备和介质
CN114006723A (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN109784055A (zh) 一种快速检测和防范恶意软件的方法和系统
CN105791250B (zh) 应用程序检测方法及装置
US20210377289A1 (en) Information processing apparatus, log analysis method and program
CN111212055A (zh) 非侵入式网站远程检测系统及检测方法
US20230018096A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable medium storing analysis program
CN104298924A (zh) 确保系统安全的方法、确保系统安全的装置和终端
CN108985051A (zh) 一种基于行为跟踪的入侵防御方法与系统
CN111125701B (zh) 文件检测方法、设备、存储介质及装置
CN111538986B (zh) 一种基于调用栈轨迹进行动态度量计算机可信状态装置及其方法
CN112784274A (zh) 基于Linux平台的恶意样本检测收集方法及系统、存储介质、设备
CN109492400B (zh) 对计算机硬件固件进行安全检测和防护的方法及装置
CN114640529B (zh) 攻击防护方法、装置、设备、存储介质和计算机程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant