CN106911675A - 一种手机恶意软件预警方法和装置 - Google Patents
一种手机恶意软件预警方法和装置 Download PDFInfo
- Publication number
- CN106911675A CN106911675A CN201710071751.6A CN201710071751A CN106911675A CN 106911675 A CN106911675 A CN 106911675A CN 201710071751 A CN201710071751 A CN 201710071751A CN 106911675 A CN106911675 A CN 106911675A
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- probability
- abnormal behavior
- behavioural characteristic
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Telephone Function (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供了一种手机恶意软件预警方法和装置,所述方法包括:获取待监测地区用户终端的异常行为特征,并计算待监测地区中每类异常行为特征的发生概率,其中异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合;根据发生概率和行为特征关系概率模型计算出手机恶意软件的传播概率;与行为特征关系概率模型中的预设概率阈值对比,决策是否进行手机恶意软件预警。所述装置用于执行上述方法。本发明实施例根据用户终端异常行为特征的发生概率,预测手机恶意软件传播事件发生的可能性,实现了手机恶意软件传播的预测和预警,提高了手机恶意软件检测的及时性。
Description
技术领域
本发明实施例涉及移动通信技术领域,具体涉及一种手机恶意软件预警方法和装置。
背景技术
随着科技的发展,智能手机普及范围越来越广,智能手机的出现为人们的生活带来了很大的方便。但是手机恶意软件也随之出现,日益泛滥,手机恶意软件会造成用户隐私泄露、信息丢失、设备损坏、话费损失等诸多问题,给用户利益带来极大危害。
现有技术中,控制手机恶意软件的方法主要有:用户自主进行终端侧控制,即在智能终端上安装终端管理和防病毒软件;另一种广泛使用的控制手段是网络侧控制,即网络运营商在网络侧部署监控设备,实现发现、告知和拦截等监控功能。其中,现有技术的网络侧控制技术主要是手机恶意软件监测系统通过分析疑似样本文件,爬取和还原疑似样本文件后进行集中研判并形成统一的手机恶意软件代码特征库,并将发现的恶意软件主控URL(Uniform Resource Locator,统一资源定位符)提交流控系统进行封堵。具体过程如下:首先,手机恶意软件监测系统通过DPI(Deep packet inspection,深度报文解析)和相关检测技术,利用恶意软件特征库对样本文件进行恶意软件特征匹配,检测恶意软件传播事件。人工研判阶段主要基于软件样本检测,样本来源包括如前文所述DPI设备解析的网络流量,和网络爬虫爬取特定URL获取的文件样本。通过用户举报收集的文件样本较少。研判人员通过静态、动态工具反编译或运行样文,还原疑似软件的原始代码,并记录其运行过程中产生的系统和网络调用行为。研判可确定样本是否是恶意软件,进而提取恶意软件特征加入病毒库,当这些软件样本在网络中传播时就可以通过特征匹配实现监控。最后,更新的恶意软件特征库将下发到网络侧部署的监测设备、流控设备进行过滤和拦截。
可以看出,现有技术中对手机恶意软件的的监控都是事后监测方法,即手机恶意软件已经感染用户后,进行手机恶意软件的过滤和拦截。这样可能导致,过滤拦截的不及时,导致恶意软件已经获取到用户的信息或已经造成用户的损失。因此,如何提出一种方法,能够对手机恶意软件进行预警,提高手机恶意软件检测的及时性,成为亟待解决的问题。
发明内容
针对现有技术中的缺陷,本发明实施例提供了一种手机恶意软件预警方法和装置。
一方面,本发明实施例提供了一种手机恶意软件预警方法,包括:
获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常;
根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;
将所述传播概率与所述行为特征关系概率模型中的预设概率阈值对比,则进行手机恶意软件预警。
另一方面,本发明实施例提供一种手机恶意软件预警装置,包括:
行为特征概率计算单元,用于获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常;
传播概率计算单元,用于根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;
预警单元,用于将所述传播概率与所述行为特征关系概率模型中的预设概率阈值对比,决策是否进行手机恶意软件预警。
本发明实施例提供的一种手机恶意软件预警方法和装置,通过获取待监测地区的用户终端的异常行为特征,并计算出每一类异常行为特征的发生概率,根据计算出的概率以及预存储的行为特征关系概率模型计算出手机恶意软件的传播概率,若判断获知计算出的传播概率大于预设概率阈值,则进行手机恶意软件预警。即可以根据已经发生的用户终端的异常行为特征的概率,预测手机恶意软件传播事件发生的可能性。实现了手机恶意软件传播或爆发的提前预测和预警,提高了手机恶意软件检测的及时性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中手机恶意软件预警方法流程示意图;
图2为本发明实施例中又一手机恶意软件预警的流程图;
图3为本发明实施例中手机恶意软件预警的应用流程图;
图4为本发明实施例中手机恶意软件预警装置的结构示意图;
图5为本发明实施例中又一手机恶意软件预警装置的结构示意图;
图6为本发明实施例中又一手机恶意软件预警装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例中手机恶意软件预警方法流程示意图,如图1所示,本发明实施例提供的手机恶意软件预警方法包括:
S1、获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合;
具体地,获取待监测地区内所有用户终端的异常行为特征,其中异常行为特征的类型包括访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合,当然还可能包括其他异常行为特征,本发明实施例不作具体限定。其中发送不良短彩信表示发送的短信内容中包括异常网址或异常内容;短信频率异常表示以特定频率发送短信或短时间内发送短信的条数出现异常;上网流量异常表示上网流量在某一时刻或短时间内超过一定阈值;短信语音话单离散度异常表示短信或语音电话的被叫数量异常,并且被叫不属于用户常用联系人中。获取到各个用户终端的异常行为特征后,计算待检测地区每类异常行为特征的发生概率。
S2、根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;
具体地,计算出待监测地区内各类异常行为特征的发生概率后,根据计算出的发生概率,以及预先存储的行为特征关系概率模型计算手机恶意软件的传播概率。
S3、将所述传播概率与所述行为特征关系概率模型中的预设概率阈值对比,并决策进行手机恶意软件预警。
具体地,根据各类异常行为特征的发生概率和行为特征关系概率模型计算出手机恶意软件的传播概率后,将计算出的传播概率和行为特征关系概率模型中存储的预设概率阈值进行比较。并决策是否进行手机恶意软件预警。
例如:若要对待监测地区A的手机恶意软件感染或传播情况进行监测,首先获取待监测地区A内所有用户终端的异常行为特征。假设待监测地区A在一定时间内有1000个用户终端,获取到待监测地区A内有100个用户终端在一定时间内多次访问不良网站,有200个用户终端在一定时间内上网流量超过正常流量。计算出待监测地区A访问不良网站的异常行为特征对应的发生概率为100/1000=0.1,上网流量异常的异常行为特征对应的发生概率为200/1000=0.2。根据计算出的概率值以及预存储的行为特征关系概率模型计算出手机恶意软件的传播概率,并判断计算出的传播概率是否大于预设概率阈值,若大于,则进行手机恶意软件预警。提醒监测人员确定是否确实发生手机恶意软件传播事件,进行手机恶意软件的拦截,或向用户发送提醒短信,避免用户被手机恶意软件感染。需要说明的是,本发明实施例中计算各类异常行为特征的发生概率还可采用其他方法,如根据预设时间内待监测地区所有用户发生某种异常行为特征的次数,根据发生的次数计算出该异常行为特征对应的发生概率,当然,因为每类异常行为特征的不同,计算概率的方法也可以不同,本发明实施例不作具体限定。
本发明实施例提供的手机恶意软件预警方法,通过获取待监测地区的用户终端的异常行为特征,并计算出每一类异常行为特征的发生概率,根据计算出的概率以及预存储的行为特征关系概率模型计算出手机恶意软件的传播概率,若判断获知计算出的传播概率大于预设概率阈值,则进行手机恶意软件预警。即可以根据用户终端的异常行为特征的发生概率,预测手机恶意软件传播事件发生的可能性。实现了手机恶意软件传播或爆发的提前预测和预警,提高了手机恶意软件检测的及时性。
在上述实施例的基础上,所述行为特征关系概率模型包括:所述异常行为特征或异常行为特征组对应的所述预设概率阈值,以及所述异常行为特征组中各异常行为特征对应的权重。
具体地,根据历史数据可以获知,被手机恶意软件感染的用户终端的异常行为特征的发生概率比正常状态下用户终端出现异常行为特征的发生概率高,并且有些异常行为特征会结伴成组出现,如被手机恶意软件感染的用户终端出现短信频率异常和短信语音话单离散度异常的情况经常会一起出现。本发明实施例在预存储的特征关系概率模型中包括每类异常行为特征对应的预设概率阈值,或异常行为特征组对应的预设概率阈值以及异常行为特征组中各类异常行为特征对应的权重。可以看出,本发明实施例中的预设概率阈值可以不止一个,每类或每组异常行为特征都可以对应一个预设概率阈值,其中预设概率阈值和异常相位特征组中的异常行为特征对应的权重的具体设置可以根据实际情况而定,本发明实施例不作具体限定。
例如:若根据历史数据可以获知,被手机恶意软件感染的用户终端出现发送不良短彩信的发生概率为0.5,正常状态下的用户终端发送不良短彩信的概率为0.2,并且没有发现发送不良短彩信与其他异常行为特征之间存在关联关系,则在行为特征关系概率模型中可以将发送不良短彩信作为单独的异常行为特征进行存储,并可以将其对应的预设概率阈值储存为0.4。当获取待监测地区的用户终端发送不良短彩信的发生概率为0.48,则可以将手机恶意软件的传播概率记为0.48,大于预设的概率阈值0.4,则进行手机恶意软件预警。假设在行为特征关系概率模型中将短信频率异常和短信语音话单离散度异常作为异常行为特征组,并且短信频率异常的权重设置为0.5,短信语音话单离散度异常的权重设置为0.5,将该异常行为特征组的预设概率阈值设置为0.4。若获取到待监测地区的用户终端短信频率异常的概率为0.6,并且获取到短信语音话单离散度异常的概率为0.5,则计算出手机恶意软件的传播概率为0.6×0.5+0.5×0.5=0.55,大于预设概率阈值0.4,则进行手机恶意软件预警。
本发明实施例提供的手机恶意软件预警方法,根据异常行为特征以及异常行为特征之间的关联关系,设置不同异常行为特征或异常行为特征组对应的预设概率阈值,使得最终计算出的手机恶意软件的传播概率更加准确,提高了手机恶意软件预警的准确性。
在上述实施例的基础上,所述方法还包括:根据历史数据中正常状态下用户终端发生所述异常行为特征的发生概率,以及手机恶意软件感染后用户终端发生所述异常行为特征的发生概率,建立所述行为特征关系概率模型。
具体地,本发明实施例可以根据获取历史数据中用户终端在正常状态下行为特征的发生概率,以及用户终端被恶意软件感染后异常行为特征的发生概率,建立出行为特征关系概率模型。具体可以根据历史数据中正常状态下行为特征的发生概率,和被感染后异常行为特征的发生概率,设置异常行为特征的预设概率阈值;还可以根据用户终端被感染后异常行为特征发生的关联关系,设置异常行为特征组,并设置异常行为特征组中的各个异常行为特征对应的权重,以及异常行为特征组对应的预设概率阈值。其中预设概率阈值、异常行为特征组以及异常行为特征组中的各个异常行为特征对应的权重的设置,可以根据对历史数据的分析进行设置,本发明实施例不作具体限定。
因为贝叶斯公式提出了关联事件出现概率的计算方法,即P(A|B)=P(B|A)×P(A)/P(B),可以通过关联事件发生概率的因果关系建立模型,预测事件的发生概率。解决在有限信息空间或测量数据不完全的现实环境中,更有效获得预测结果的方法。因此,本发明可以根据历史数据中异常行为特征的关联关系,以及用户终端在正常状态下异常行为特征的发生概率,和被恶意软件感染后异常行为特征的发生概率,建立出行为特征关系概率模型,再根据监测地区的用户终端的异常行为特征预测出手机恶意软件的传播概率。其中历史数据的获取可以采用运营商现有信息安全系统通过系统间接口、DPI技术和网络爬虫技术采集数据。历史数据的具体内容包括但不限于用户终端的上网日志、短彩信话单、通话话单、用户投诉数据、举报数据、用户业务定购数据等。
本发明实施例提供的手机恶意软件预警方法,根据获取历史数据中正常状态下用户终端的异常行为特征的发生概率,以及被手机恶意软件感染后异常行为特征的发生概率,建立出行为特征关系概率模型。再根据建立的概率模型,以及被监测地区用户终端的行为特征的数据,进行手机恶意软件的预警。根据贝叶斯理论,根据已经发生的事件可以预测未来事件发生的可能性,本发明实施例实现了手机恶意软件传播和爆发的提前预测和预警,提高了手机恶意软件检测的及时性。
在上述实施例的基础上,所述获取待监测地区的用户终端的异常行为特征,包括:获取待监测地区的用户终端的行为特征,将所述行为特征和预先建立的异常行为特征库进行比对,获取到所述异常行为特征,其中异常行为特征库包括:异常网站的网址库、不良短彩信库、异常的短信频率、异常的上网流量和异常的短信语音话单离散度中的任意一种或任意组合。
具体地,本发明实施例根据历史数据,获取到被手机恶意软件感染后用户终端的异常行为特征的种类,建立出异常行为特征库。异常行为特征库包括:异常网站的网址库、不良短彩信库、异常的短信频率、异常的上网流量和异常的短信语音话单离散度中的任意一种或任意组合。其中异常网站网址库中包括被手机恶意软件感染后用户终端经常访问的网站的网址;不良短彩信库包括发送不良短信或彩信是包括的不良网址或不良内容;异常的短信频率可以包括发送短信的时间间隔以及发送短信的条数;异常的上网流量可以包括流量阈值。当需要对待监测地区时,获取到待监测地区用户终端的行为特征,用户终端的行为特征主要是上网访问网站、下载APP、发送短彩信、发布微博、微信消息、呼叫等。将获取到的行为特征和预先建立的异常行为特征库进行比对,判断用户终端是否访问异常行为特征库中的异常网站网址库中的网址、发送的短信内容是否有不良短彩信库中的内容、发送短信的频率是否属于异常的短信频率、上网流量是否属于异常的流量、短信语音话单离散度是否属于异常的离散度等。若存在上述任意一种或几种情况,则确定该行为特征为异常行为特征,获取待监测地区所有用户终端的异常行为特征,并计算各类异常行为特征的发生概率,进一步根据预存储的行为特征关系概率模型计算出手机恶意软件的传播概率,判断是否大于预设概率阈值,以进行手机恶意软件预警。
本发明实施例提供的手机恶意软件预警方法,根据历史数据将被手机恶意软件感染的用户终端的异常行为特征建立为异常行为特征库,并将获取到的待监测地区的用户终端的行为特征与异常行为特征库进行比对,获取到待监测地区的用户终端的异常行为特征。提高了异常行为特征获取的准确性,进一步提高了手机恶意软件传播预测和预警的准确性。
在上述实施例的基础上,所述方法还包括:在进行手机恶意软件预警后,更新所述异常行为特征库和所述行为特征关系概率模型。
具体地,在根据待监测地区各类异常行为特征的发生概率以及预存储的行为特征关系概率模型,计算出手机恶意软件的传播概率并进行手机恶意软件预警后,将待监测地区的用户终端的数据作为新的样本数据,对异常行为特征库和行为特征关系概率模型进行更新。因为,手机恶意软件会不断出现新的类型,并且不同的手机恶意软件可能带来不同的异常行为特征,异常行为特征的发生概率也会随之变化,因此需要对异常行为特征库和行为特征关系概率模型进行更新,以使得提高手机恶意软件预警的准确性。
此外,每个待监测地区的手机恶意软件的感染情况可能会不同,可以根据不同的待监测地区的用户终端的行为特征数据,建立不同的异常行为特征库和行为特征关系概率模型。即在根据历史数据建立异常行为特征库和行为特征关系概率模型时,可以根据全网的历史数据进行建立,也可以根据待监测地区的历史数据建立,本发明实施例不作具体限定。并且本发明实施例不仅可以对待监测地区的手机恶意软件进行预测和预警,还可以对单个用户终端进行监测,对单个用户终端的手机恶意软件的感染情况进行预测和预警。
本发明实施例提供的手机恶意软件预警方法,通过网络中采集到的用户行为特征的已经发生的概率预测手机恶意软件的传播和爆发概率,可及时发现异常,采取有效措施。具体通过获取待监测地区的用户终端的异常行为特征,并计算出每一类异常行为特征的发生概率,根据计算出的概率以及预存储的行为特征关系概率模型计算出手机恶意软件的传播概率,实现了手机恶意软件传播或爆发的提前预测和预警,提高了手机恶意软件检测的及时性。并且对预先建立的异常行为特征库以及行为特征关系概率模型进行不断的更新,以保证手机恶意软件预警的准确性。
图2为本发明实施例中又一手机恶意软件预警的流程图,如图2所示,本发明实施例中的手机恶意软件预警具体方法包括:
R1、提取恶意软件感染用户终端的异常行为特征,建立异常行为特征库。具体通过历史数据中被手机恶意软件感染的用户终端的行为特征与正常状态下用户终端的行为特征的比对,获取手机恶意软件感染用户终端的异常行为特征。异常行为特征包括但不限于以下内容:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常。
R2、挖掘历史数据,统计分析异常行为特征的发生概率。
R3、建立行为特征关系概率模型。根据历史数据中异常行为特征的发生的概率,以及异常行为特征之间的关联关系,根据贝叶斯理论建立行为特征关系概率模型。
R4、预测安全事件。即根据待监测地区的用户终端的异常行为特征的发生概率以及行为特征关系概率模型,预测手机恶意软件传播或暴发的概率。
R5、进行手机恶意软件预警。根据计算出的手机恶意软件传播或暴发的概率,与预设概率阈值进行比对,若手机恶意软件的传播概率大于概率阈值时,则进行手机恶意软件预警。在进行预警时,可以设置手机恶意软件传播的预设概率阈值和手机恶意软件暴发的预设概率阈值,根据计算出的概率与不同的预设概率阈值进行比较,进行不同程度的手机恶意软件预警。
R6、更新异常行为特征库以及行为特征关系概率模型。在进行手机恶意软件预警后,提取待监测地区的用户终端的行为特征数据,进行异常行为特征库以及行为特征关系概率模型的更新。实际应用时,预警后还可以提取特定的异常行为特征进行研判,确定手机恶意软件传播或暴发事件是否真实发生,进行相应的拦截获告知用户。在确定手机恶意软件传播或爆发后,进行异常行为特征库以及行为特征关系概率模型的更新,以确保异常行为特征库以及行为特征关系概率模型的准确性。本发明实施例可以周期性对待监测地区进行手机恶意软件传播的预测和预警,并更新异常行为特征库以及行为特征关系概率模型。
图3为本发明实施例中手机恶意软件预警的应用流程图,如图3所示,本发明实施例提供的手机恶意软件预警方法,通过互联网、移动网等技术获取数据,与预先建立的恶意软件下载URL库和恶意软件主控URL库等进行对比,进行样本的收集,并根据预先建立的行为特征关系概率模型以及待监测地区中用户终端异常行为特征的发生概率,计算出手机恶意软件的传播概率,结合人工研判等,进行相应的预警,当通过移动互联网获取到用户终端产生超高流量时,也可以进行手机恶意软件预警。
图4为本发明实施例中手机恶意软件预警装置的结构示意图,如图4所示,本发明实施例提供的手机恶意软件预警装置包括:行为特征概率计算单元41、传播概率计算单元42和预警单元43,其中:
行为特征概率计算单元41用于获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合;传播概率计算单元42用于根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;预警单元43用于将所述传播概率与所述行为特征关系概率模型中的预设概率阈值进行对比,决策是否进行手机恶意软件预警。
具体地,行为特征概率计算单元41获取待监测地区内所有用户终端的异常行为特征,其中异常行为特征的类型包括访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合,当然还可能包括其他异常行为特征,本发明实施例不作具体限定。获取到各个用户终端的异常行为特征后,计算待检测地区每类异常行为特征的发生概率。传播概率计算单元42根据计算出的发生概率,以及预先存储的行为特征关系概率模型计算手机恶意软件的传播概率。预警单元43将计算出的传播概率和行为特征关系概率模型中存储的预设概率阈值进行比较。若计算出的手机恶意软件的传播概率大于预设概率阈值,则进行手机恶意软件预警。
其中各类异常行为特征的计算方法以及异常行为特征的判断方法同上述实施例一致,此处不再赘述。
本发明实施例提供的手机恶意软件预警装置,通过获取待监测地区的用户终端的异常行为特征,并计算出每一类异常行为特征的发生概率,根据计算出的发生概率以及预存储的行为特征关系概率模型计算出手机恶意软件的传播概率,若判断获知计算出的传播概率大于预设概率阈值,则进行手机恶意软件预警。即可以根据用户终端的异常行为特征的发生概率,预测手机恶意软件传播事件发生的可能性。实现了手机恶意软件传播或爆发的提前预测和预警,提高了手机恶意软件检测的及时性。
在上述实施例的基础上,所述行为特征关系概率模型包括:所述异常行为特征或异常行为特征组对应的所述预设概率阈值,以及所述异常行为特征组中各异常行为特征对应的权重。
具体地,根据历史数据可以获知,被手机恶意软件感染的用户终端的异常行为特征的发生概率比正常状态下用户终端出现异常行为特征的发生概率高,并且有些异常行为特征会结伴成组出现,如被手机恶意软件感染的用户终端的出现短信频率异常和短信语音话单离散度异常的情况经常会一起出现。本发明实施例在预存储的特征关系概率模型中包括每类异常行为特征对应的预设概率阈值,或异常行为特征组对应的预设概率阈值以及异常行为特征组中各类异常行为特征对应的权重。可以看出,本发明实施例中的预设概率阈值可以不止一个,每类或每组异常行为特征都可以对应一个预设概率阈值,其中预设概率阈值和异常相位特征组中的异常行为特征对应的权重的具体设置方法,同上述实施例一致,此处不再赘述。
本发明实施例提供的手机恶意软件预警装置,根据异常行为特征以及异常行为特征之间的关联关系,设置不同异常行为特征或异常行为特征组对应的预设概率阈值,使得最终计算出的手机恶意软件的传播概率更加准确,提高了手机恶意软件预警的准确性。
图5为本发明实施例中又一手机恶意软件预警装置的结构示意图,在上述实施例的基础上,所述装置还包括:模型建立单元51,用于根据历史数据中正常状态下用户终端发生所述异常行为特征的发生概率,以及手机恶意软件感染后用户终端发生所述异常行为特征的发生概率,建立所述行为特征关系概率模型。
具体地,模型建立单元51可以根据获取历史数据中用户终端在正常状态下异常行为特征的发生概率,以及用户终端被恶意软件感染后异常行为特征的发生概率,建立出行为特征关系概率模型。具体可以根据历史数据中正常状态下异常行为特征的发生概率,和被感染后异常行为特征的发生概率,设置异常行为特征的预设概率阈值;还可以根据用户终端被感染后异常行为特征发生的关联关系,设置异常行为特征组,并设置异常行为特征组中的各个异常行为特征对应的权重,以及异常行为特征组对应的预设概率阈值。其中预设概率阈值、异常行为特征组以及异常行为特征组中的各个异常行为特征对应的权重的设置和历史数据的获取方法,同上述实施例一致,此处不再赘述。
本发明实施例提供的手机恶意软件预警装装置,根据获取历史数据中正常状态下用户终端的异常行为特征的发生概率,以及被手机恶意软件感染后异常行为特征的发生概率,建立出行为特征关系概率模型。再根据建立的概率模型,以及被监测地区用户终端的行为特征的数据,进行手机恶意软件的预警。根据贝叶斯理论,根据已经发生的事件可以预测未来事件发生的可能性。本发明实施例实现了手机恶意软件传播和爆发的提前预测和预警,提高了手机恶意软件检测的及时性。
在上述实施例的基础上,所述行为特征概率计算单元具体用于:获取待监测地区的用户终端的行为特征,将所述行为特征和预先建立的异常行为特征库进行比对,获取到所述异常行为特征,其中异常行为特征库包括:异常网站的网址库、不良短彩信库、异常的短信频率、异常的上网流量和异常的短信语音话单离散度中的任意一种或任意组合。
具体地,本发明实施例根据历史数据,获取到被手机恶意软件感染后用户终端的异常行为特征的种类,建立出异常行为特征库。异常行为特征库包括:异常网站的网址库、不良短彩信库、异常的短信频率、异常的上网流量和异常的短信语音话单离散度中的任意一种或任意组合。其中异常网站网址库中包括被手机恶意软件感染后用户终端经常访问的网站的网址;不良短彩信库包括发送不良短信或彩信是包括的不良网址或不良内容;异常的短信频率可以包括发送短信的时间间隔以及发送短信的条数;异常的上网流量可以包括流量阈值。当需要对待监测地区时,行为特征概率计算单元获取到待监测地区用户终端的行为特征,用户终端的行为特征主要是上网访问网站、下载APP、发送短彩信、发布微博、微信消息、呼叫等。并将获取到的行为特征和预先建立的异常行为特征库进行比对,判断用户终端是否访问异常行为特征库中的异常网站网址库中的网址、发送的短信内容是否有不良短彩信库中的内容、发送短信的频率是否属于异常的短信频率、上网流量是否属于异常的流量、短信语音话单离散度是否属于异常的离散度等。若存在上述任意一种或几种情况,则确定该行为特征为异常行为特征,获取待监测地区所有用户终端的异常行为特征,并计算各类异常行为特征的发生概率,进一步根据预存储的行为特征关系概率模型计算出手机恶意软件的传播概率,判断是否大于预设概率阈值,以进行手机恶意软件预警。
本发明实施例提供的手机恶意软件预警装置,根据历史数据将被手机恶意软件感染的用户终端的异常行为特征建立为异常行为特征库,并将获取到的待监测地区的用户终端的行为特征与异常行为特征库进行比对,获取到待监测地区的用户终端的异常行为特征。提高了异常行为特征获取的准确性,进一步提高了手机恶意软件传播预测和预警的准确性。
在上述实施例的基础上,所述预警单元还用于在进行手机恶意软件预警后,更新所述异常行为特征库和所述行为特征关系概率模型。
具体地,在根据待监测地区各类异常行为特征的发生概率以及预存储的行为特征关系概率模型,计算出手机恶意软件的传播概率并进行手机恶意软件预警后,预警单元将待监测地区的用户终端的数据作为新的样本数据,对异常行为特征库和行为特征关系概率模型进行更新。因为,手机恶意软件会不断出现新的类型,并且不同的手机恶意软件可能带来不同的异常行为特征,异常行为特征的发生概率也会随之变化,因此需要对异常行为特征库和行为特征关系概率模型进行更新,以使得提高手机恶意软件预警的准确性。
本发明实施例提供的装置用于执行上述方法,具体实施过程此处不再赘述。
本发明实施例提供的手机恶意软件预警装置,通过网络中采集到的用户终端的异常行为特征的发生概率预测手机恶意软件的传播和爆发概率,可及时发现异常,采取有效措施。具体通过获取待监测地区的用户终端的异常行为特征,并计算出每一类异常行为特征的发生概率,根据计算出的概率以及预存储的行为特征关系概率模型计算出手机恶意软件的传播概率,实现了手机恶意软件传播或爆发的提前预测和预警,提高了手机恶意软件检测的及时性。并且对预先建立的异常行为特征库以及行为特征关系概率模型进行不断的更新,以保证手机恶意软件预警的准确性。
图6为本发明实施例中又一手机恶意软件预警装置的结构示意图,如图6所示,所述装置可以包括:处理器(processor)601、存储器(memory)602和通信总线603,其中,处理器601,存储器602通过通信总线603完成相互间的通信。处理器601可以调用存储器602中的逻辑指令,以执行如下方法:获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单短信语音话单离散度异常中的任意一种或任意组合;根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;将所述传播概率与所述行为特征关系概率模型中的预设概率阈值进行对比,决策是否进行手机恶意软件预警。
此外,上述的存储器602中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合;根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;将所述传播概率与所述行为特征关系概率模型中的预设概率阈值,决策是否进行手机恶意软件预警。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合;根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;将所述传播概率与所述行为特征关系概率模型中的预设概率阈值进行对比,决策是否进行手机恶意软件预警。
以上所描述的装置以及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
Claims (10)
1.一种手机恶意软件预警方法,其特征在于,包括:
获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合;
根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;
将所述传播概率与所述行为特征关系概率模型中的预设概率阈值对比,决策是否进行手机恶意软件预警。
2.根据权利要求1所述的方法,其特征在于,所述行为特征关系概率模型包括:所述异常行为特征或异常行为特征组对应的所述预设概率阈值,以及所述异常行为特征组中各异常行为特征对应的权重。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:根据历史数据中正常状态下用户终端发生所述异常行为特征的发生概率,以及手机恶意软件感染后用户终端发生所述异常行为特征的发生概率,建立所述行为特征关系概率模型。
4.根据权利要求1所述的方法,其特征在于,所述获取待监测地区的用户终端的异常行为特征,包括:获取待监测地区的用户终端的行为特征,将所述行为特征和预先建立的异常行为特征库进行比对,获取到所述异常行为特征,其中异常行为特征库包括:异常网站的网址库、不良短彩信库、异常的短信频率、异常的上网流量和异常的短信语音话单离散度中的任意一种或任意组合。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:在进行手机恶意软件预警后,更新所述异常行为特征库和所述行为特征关系概率模型。
6.一种手机恶意软件预警装置,其特征在于,包括:
行为特征概率计算单元,用于获取待监测地区用户终端的异常行为特征,并计算所述待监测地区中每类所述异常行为特征的发生概率,其中所述异常行为特征包括:访问不良网站、发送不良短彩信、短信频率异常、上网流量异常和短信语音话单离散度异常中的任意一种或任意组合;
传播概率计算单元,用于根据所述发生概率和预存储的行为特征关系概率模型计算出手机恶意软件的传播概率;
预警单元,用于将所述传播概率与所述行为特征关系概率模型中的预设概率阈值对比,决策是否进行手机恶意软件预警。
7.根据权利要求6所述的装置,其特征在于,所述行为特征关系概率模型包括:所述异常行为特征或异常行为特征组对应的所述预设概率阈值,以及所述异常行为特征组中各异常行为特征对应的权重。
8.根据权利要求6或7所述的装置,其特征在于,所述装置还包括:模型建立单元,用于根据历史数据中正常状态下用户终端发生所述异常行为特征的发生概率,以及手机恶意软件感染后用户终端发生所述异常行为特征的发生概率,建立所述行为特征关系概率模型。
9.根据权利要求6所述的装置,其特征在于,所述行为特征概率计算单元具体用于:获取待监测地区的用户终端的行为特征,将所述行为特征和预先建立的异常行为特征库进行比对,获取到所述异常行为特征,其中异常行为特征库包括:异常网站的网址库、不良短彩信库、异常的短信频率、异常的上网流量和异常的短信语音话单离散度中的任意一种或任意组合。
10.根据权利要求9所述的装置,其特征在于,所述预警单元还用于在进行手机恶意软件预警后,更新所述异常行为特征库和所述行为特征关系概率模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710071751.6A CN106911675B (zh) | 2017-02-09 | 2017-02-09 | 一种手机恶意软件预警方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710071751.6A CN106911675B (zh) | 2017-02-09 | 2017-02-09 | 一种手机恶意软件预警方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106911675A true CN106911675A (zh) | 2017-06-30 |
| CN106911675B CN106911675B (zh) | 2019-02-26 |
Family
ID=59208463
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710071751.6A Active CN106911675B (zh) | 2017-02-09 | 2017-02-09 | 一种手机恶意软件预警方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106911675B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197471A (zh) * | 2017-12-19 | 2018-06-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意软件检测方法及装置 |
| CN109815702A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 软件行为的安全检测方法、装置及设备 |
| CN109842622A (zh) * | 2019-01-28 | 2019-06-04 | 苏州水易数据科技有限公司 | 一种网络安全风险评估系统及其工作方法 |
| CN112702349A (zh) * | 2020-12-25 | 2021-04-23 | 中国神华国际工程有限公司 | 一种网络攻击防御方法、装置及电子招标投标交易平台 |
| CN117390602A (zh) * | 2023-12-11 | 2024-01-12 | 深圳市瑞迅通信息技术有限公司 | 一种信息安全风险评价方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1841397A (zh) * | 2005-03-31 | 2006-10-04 | 微软公司 | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 |
| CN101882997A (zh) * | 2009-05-04 | 2010-11-10 | 上海庆青网络信息科技有限公司 | 一种基于nba的网络安全评估方法 |
| US20110004936A1 (en) * | 2009-07-03 | 2011-01-06 | National Taiwan University Of Science & Technology | Botnet early detection using hybrid hidden markov model algorithm |
| CN102510563A (zh) * | 2011-10-21 | 2012-06-20 | 北京西塔网络科技股份有限公司 | 一种移动互联网恶意软件检测的方法及系统 |
| CN104660594A (zh) * | 2015-02-09 | 2015-05-27 | 中国科学院信息工程研究所 | 一种面向社交网络的虚拟恶意节点及其网络识别方法 |
| CN105429956A (zh) * | 2015-11-02 | 2016-03-23 | 重庆大学 | 基于p2p动态云的恶意软件检测系统及方法 |
| CN106027513A (zh) * | 2016-05-15 | 2016-10-12 | 广东技术师范学院 | 计算机病毒在sdn移动环境下的传播特性分析方法 |
-
2017
- 2017-02-09 CN CN201710071751.6A patent/CN106911675B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1841397A (zh) * | 2005-03-31 | 2006-10-04 | 微软公司 | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 |
| CN101882997A (zh) * | 2009-05-04 | 2010-11-10 | 上海庆青网络信息科技有限公司 | 一种基于nba的网络安全评估方法 |
| US20110004936A1 (en) * | 2009-07-03 | 2011-01-06 | National Taiwan University Of Science & Technology | Botnet early detection using hybrid hidden markov model algorithm |
| CN102510563A (zh) * | 2011-10-21 | 2012-06-20 | 北京西塔网络科技股份有限公司 | 一种移动互联网恶意软件检测的方法及系统 |
| CN104660594A (zh) * | 2015-02-09 | 2015-05-27 | 中国科学院信息工程研究所 | 一种面向社交网络的虚拟恶意节点及其网络识别方法 |
| CN105429956A (zh) * | 2015-11-02 | 2016-03-23 | 重庆大学 | 基于p2p动态云的恶意软件检测系统及方法 |
| CN106027513A (zh) * | 2016-05-15 | 2016-10-12 | 广东技术师范学院 | 计算机病毒在sdn移动环境下的传播特性分析方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108197471A (zh) * | 2017-12-19 | 2018-06-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意软件检测方法及装置 |
| CN109815702A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 软件行为的安全检测方法、装置及设备 |
| CN109815702B (zh) * | 2018-12-29 | 2022-07-05 | 奇安信安全技术(珠海)有限公司 | 软件行为的安全检测方法、装置及设备 |
| CN109842622A (zh) * | 2019-01-28 | 2019-06-04 | 苏州水易数据科技有限公司 | 一种网络安全风险评估系统及其工作方法 |
| CN112702349A (zh) * | 2020-12-25 | 2021-04-23 | 中国神华国际工程有限公司 | 一种网络攻击防御方法、装置及电子招标投标交易平台 |
| CN112702349B (zh) * | 2020-12-25 | 2023-06-23 | 中国神华国际工程有限公司 | 一种网络攻击防御方法、装置及电子招标投标交易平台 |
| CN117390602A (zh) * | 2023-12-11 | 2024-01-12 | 深圳市瑞迅通信息技术有限公司 | 一种信息安全风险评价方法及系统 |
| CN117390602B (zh) * | 2023-12-11 | 2024-03-29 | 深圳市瑞迅通信息技术有限公司 | 一种信息安全风险评价方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106911675B (zh) | 2019-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11792229B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
| US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| CN106911675A (zh) | 一种手机恶意软件预警方法和装置 | |
| US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| US11496495B2 (en) | System and a method for detecting anomalous patterns in a network | |
| EP4080368A1 (en) | Alarm information generation method and apparatus, electronic device, and storage medium | |
| CN110830986B (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
| US11354412B1 (en) | Web shell classifier training | |
| CN109271793B (zh) | 物联网云平台设备类别识别方法及系统 | |
| CN110650117B (zh) | 跨站攻击防护方法、装置、设备及存储介质 | |
| US11336617B2 (en) | Graphical representation of security threats in a network | |
| CN110113315B (zh) | 一种业务数据的处理方法及设备 | |
| CN114363044B (zh) | 一种分层告警方法、系统、存储介质和终端 | |
| CN104462973A (zh) | 移动终端中应用程序的动态恶意行为检测系统及方法 | |
| CN109409113B (zh) | 一种电网数据安全防护方法和分布式电网数据安全防护系统 | |
| CN108600270A (zh) | 一种基于网络日志的异常用户检测方法及系统 | |
| CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
| CN109359251A (zh) | 应用系统使用情况的审计预警方法、装置和终端设备 | |
| CN103093147A (zh) | 一种识别信息的方法和电子装置 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| US9118563B2 (en) | Methods and apparatus for detecting and filtering forced traffic data from network data | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| KR20180118869A (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| CN107086978A (zh) | 一种识别木马病毒的方法及装置 | |
| CN103763324A (zh) | 一种病毒程序传播设备监控的方法以及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |