CN102469450A - 一种手机病毒特征的识别方法及装置 - Google Patents
一种手机病毒特征的识别方法及装置 Download PDFInfo
- Publication number
- CN102469450A CN102469450A CN2010105344981A CN201010534498A CN102469450A CN 102469450 A CN102469450 A CN 102469450A CN 2010105344981 A CN2010105344981 A CN 2010105344981A CN 201010534498 A CN201010534498 A CN 201010534498A CN 102469450 A CN102469450 A CN 102469450A
- Authority
- CN
- China
- Prior art keywords
- domain name
- access behavior
- abnormal access
- software platform
- mobile phone
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种手机病毒特征的识别方法及装置,所述识别方法包括:获取异常访问行为记录表,所述异常访问行为记录表中包括UA和域名,所述UA包括终端型号和软件平台;根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征。本发明不需要依赖于病毒库,就能实现对手机病毒的自动和及时的识别。
Description
技术领域
本发明属于移动通信领域,特别涉及一种手机病毒特征的识别方法及装置。
背景技术
随着智能手机的普及,以及手机处理器的芯片功能越来越强大,手机逐渐与PDA进行融合,手机已成为可以进行移动通讯的小型计算机。但是,手机运算能力和存储容量的提高为病毒的寄存和传播提供了条件。
现有技术中,主要是通过对病毒样本进行分析来识别手机病毒。病毒样本的来源包括:FANS用户举报、论坛举报、蜜罐收集和病毒联盟样本交换等。具体分析步骤包括:
步骤一、静态扫描
分析文件程序是否有调用联网、发短信等程序,这是对程序代码的初步分析测试。
步骤二、黑盒测试
通过文件安装后进行***测,检查是否有病毒行为,这是对程序文件的黑盒测试。
步骤三、DEBUG分析
通过手机与电脑配合,对安装的程序进行逐步调试,抓取各个步骤与外界的交互信息,进行动态分析。
上述技术方案至少存在如下缺点:
(1)局限于病毒样本采集,属于被动发现;
(2)病毒发现不及时:由于目前手机病毒从病毒制作者发布病毒到病毒爆发之间有较长的潜伏期,样本采集基本无法在病毒潜伏期完成。
现有技术中的另外一种识别手机病毒的方法为:在WAP(无线应用协议)网关或者GPRS(通用分组无线业务)网络加入数据旁路设备,通过所述数据旁路设备来获取数据流,然后,基于已知病毒库对数据流进行分析,从而识别手机病毒。这种技术方案的缺点是:只能识别已知病毒,无法发现未知病毒。
发明内容
有鉴于此,本发明的目的是提供一种手机病毒特征的识别方法及装置,不需要依赖于病毒库,就能实现对手机病毒特征的自动和及时的识别。
为实现上述目的,本发明提供一种手机病毒特征的识别方法,包括:
获取异常访问行为记录表,所述异常访问行为记录表中包括用户代理UA和域名,所述UA包括终端型号和软件平台;
根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;
对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;
当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征。
上述的识别方法,其中,还包括:对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号;
此时,所述判断其中的软件平台是否唯一为:判断所述预定数目个终端型号对应的软件平台是否唯一。
上述的识别方法,其中,所述获取异常访问行为记录表,具体包括:
采集WAP网关的HTTP数据包;
根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成所述异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
根据所述异常访问行为记录表对所述域名黑名单进行更新。
上述的识别方法,其中,还包括:当所述判断结果为否时,将相应的域名加入到域名白名单中;
此时,对于匹配出的异常访问行为,如果其对应的域名存在于所述域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
上述的识别方法,其中,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
上述的识别方法,其中,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
上述的识别方法,其中,所述根据所述异常访问行为记录表对所述域名黑名单进行更新,具体包括:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
上述的识别方法,其中,所述用户敏感信息包括IMSI和/或IMEI。
为实现上述目的,本发明还提供一种手机病毒的识别装置,包括:
记录表生成模块,用于获取异常访问行为记录表,所述异常访问行为记录表中包括用户代理UA和域名,所述UA包括终端型号和软件平台;
记录子表生成模块,用于根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;
判断模块,用于对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;
病毒特征识别模块,用于当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征。
上述的识别装置,其中,还包括:统计模块,用于对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号;
此时,所述判断模块判断其中的软件平台是否唯一为:判断所述预定数目个终端型号对应的软件平台是否唯一。
上述的识别装置,其中,所述记录表生成模块具体包括:
数据采集模块,用于采集WAP网关的HTTP数据包;
匹配模块,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成所述异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
黑名单更新模块,用于根据所述异常访问行为记录表对所述域名黑名单进行更新。
上述的识别装置,其中,所述病毒特征识别模块还用于:当所述判断结果为否时,将相应的域名加入到域名白名单中;
此时,所述匹配模块对于匹配出的异常访问行为,如果其对应的域名存在于所述域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
上述的识别装置,其中,所述匹配模块进一步用于:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
上述的识别装置,其中,所述匹配模块进一步用于:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
上述的识别装置,其中,所述黑名单更新模块进一步用于:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
上述的识别装置,其中,所述用户敏感信息包括IMSI和IMEI。
与现有技术相比,本发明的有益效果是:
本发明基于用户的异常访问行为,识别出访问同一域名的多种终端型号对应的软件平台,若采用相同的软件平台,则确定手机病毒(包括后门和流氓软件)导致了对该域名的访问,并将该域名及对应的软件平台记录为手机病毒特征,如此,实现了手机病毒特征的自动识别,并且,该方案不需要依赖于病毒库,对手机病毒特征的识别效率也较高。
附图说明
图1为本发明实施例的手机病毒特征的识别方法流程图;
图2为发明实施例中获取异常访问行为记录表的一种实现方式流程图;
图3为本发明实施例的手机病毒特征的识别装置结构图;
图4为图3中的记录表生成模块的详细结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。
参照图1,本发明实施例的手机病毒特征的识别方法,包括如下步骤:
步骤101:获取异常访问行为记录表;
所述异常访问行为记录表中记录有用户的异常访问行为,每条异常访问行为记录包括:用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
软件平台一般是指手机所使用的操作***,例如,MTK、塞班、Andriod等,同一软件平台,还可以对应不同的软件版本。手机访问网络时,在访问请求数据包的UA中会携带该软件平台信息。
所述异常访问行为记录表可以通过外部输入得到。
所述异常访问行为记录表也可以通过采集WAP网关的HTTP数据包,然后根据关键字列表对所述HTTP数据包进行匹配得到,具体方法请参见后文。
步骤102:根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;
由于异常访问行为记录表中包括域名项目,那么,就可以将异常访问行为记录表中具有相同域名的记录归为一类,对于每个域名,都生成对应该域名的异常访问行为记录子表。即,对于每个异常访问行为记录子表,该子表中的每条记录都包括有相同的域名。
在本步骤中,还可以对异常访问行为记录表中的域名进行预处理,并根据预处理后的域名对所述异常访问行为记录表中的记录进行归类,生成相应的异常访问行为记录子表。具体如下:
(1)对于IP地址形式的域名,将记录表中的域名替换为该域名所属网段的域名。
(2)对包含字母的域名,将相似的域名归为一个域名,例如:caijing.3g.cn与caipiao.3g.cn为相似域名,将记录表中的这些域名都替换为3g.cn,又例如:lyrics.m-tunes.com.cn、mservice.m-tunes.com.cn、update2.m-tunes.com.c为相似域名,将记录表中的这些域名都替换为m-tunes.com.cn。
在进行上述替换后,就以替换后的域名对异常访问行为记录表中的记录进行归类。
步骤103:对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;
步骤104:当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征;
在将域名及对应的软件平台记录为手机病毒特征后,通过少量的人工判断就可以核实其是否为手机病毒。
步骤105:当所述判断结果为否时,将相应的域名加入到域名白名单中。
由于异常访问行为记录子表中包括UA项目,而所述UA中包括终端型号和软件平台,那么,就可以获取到该子表的每条记录对应的软件平台,如果每条记录对应的软件平台都相同,则可以确定多种终端型号采用的都是相同的软件平台,而对于同一种手机病毒来说,其一般不会跨软件平台存在,因此,在确定多种终端型号采用的都是相同的软件平台时,则可以确定是由于手机病毒导致了对相应域名(该异常访问行为记录子表对应的域名)的访问,即,该子表中的异常访问行为为病毒行为。
同理,在确定多种终端型号采用的不是同一个软件平台时,则可以认为该子表中的异常访问行为不是病毒行为,此时,相应的域名是可信的域名,可以将其加入到域名白名单中。
为提高手机病毒特征的识别准确率,上述步骤103中还可以包括:对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号;
此时,所述判断其中的软件平台是否唯一为:判断所述预定数目个终端型号对应的软件平台是否唯一。
举例如下:
对于某一异常访问行为记录子表,从中选取包含的记录条数最高的20种终端型号,再根据以下的方法确定该子表中的异常访问行为是否为病毒行为:
(1)如果这20种终端型号为跨软件平台,如MTK、塞班、Andriod等,基于手机操作***相对封闭这一特殊性,手机病毒极少能够跨软件平台存在,这种情况下,可以认为该子表中的异常访问行为不是病毒行为,于是,将该域名加入到域名白名单中;
(2)如果这20种终端型号集中在某一软件平台,如下表举例所示,则可以认为该子表中的异常访问行为是病毒行为,并以该域名来标识手机病毒。
| 域名 | 软件平台 |
| liyongquan33.com | internet browser Client 1.0 |
通过上述方案,将访问同一域名的不同终端型号与软件平台的关系识别出来,若访问同一域名的终端型号都对应同一软件平台,则基本可以确认基于该软件平台存在手机病毒,该手机病毒的发作导致了对该域名的访问,从而通过该域名即可标识该病毒。后续可以基于上述数据以及进一步获取的手机病毒详细特征进行手机病毒的发布。
以下介绍上述方案中获取异常访问行为记录表的一种实现方式。
该实现方式中,设计由WAP网关(或者,WAP业务经由的SGSN(服务GPRS支持节点)、GGSN(网关GPRS支持节点)、Gn口、Gi口以及在这些环节通过分光器接入的不良信息监测***、信令监测***等)自动记录手机用户上网的异常访问行为信息,即记录每个上网用户最新访问的异常域名信息,每次异常访问生成一条记录,每15分钟(时间可配)生成一个文本文件,提供给手机病毒识别算法进行处理。
参照图2,该实现方式具体包括如下步骤:
步骤201:采集WAP网关的HTTP数据包;
在本实施例中,以数据采集的执行主体为部署于Gi口的不良信息检测***为例进行说明。不良信息监测***部署于WAP网关与GGSN之间的Gi口,采集的数据结构与WAP网关中的数据结构相同,采集点比WAP网关相对集中,部署成本低。
当不良信息监测***接收到一个用户的HTTP数据包(包括get请求和post请求)时,就生成一条话单记录,话单信息包括用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
步骤202:根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成异常访问行为记录表;
其中,所述关键字列表中包括用户敏感信息和域名黑名单中的域名,所述用户敏感信息包括IMSI(国际移动用户识别码)和/或IMEI(国际移动设备标识)。初始化时,所述域名黑名单为空,或者,直接接收外部输入的域名黑名单。然后,域名黑名单可以进行动态更新(参见步骤203)。
以下提供两种具体的匹配方法。
方法一
从所述HTTP数据包中获取URL(统一资源定位符)数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为,于是,在异常访问行为记录表中添加一条记录。异常访问行为记录包括:用户的手机号码、上网时实用的UA、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
对于病毒行为,一般会在URL中携带用户的敏感信息。因此,在方法一中,仅对HTTP数据包中的URL进行匹配,按照这种匹配方式进行匹配的速度较块。但是,在HTTP数据包中的其他字段中也可能携带用户敏感信息,因此,这种匹配方式匹配的不是很完整。
方法二
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为于是,在异常访问行为记录表中添加一条记录。异常访问行为记录包括:用户的手机号码、上网时实用的UA、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
方法二实现了对HTTP数据包的完整匹配,但是,相对于方法一,其匹配的速度较慢。
在具体实现时,可以将上述的方法一和方法二进行结合。例如,对每15分钟的数据进行一次如方式一所述的不完整匹配,每隔60分钟,采集部分数据进行如方式二所述的完整匹配。
此外,考虑到随着异常访问行为数据的不断扩展,异常访问行为记录表中的记录将越来越多,为降低后续手机病毒识别的工作量,在本步骤中,对于匹配出的异常访问行为,如果其对应的域名存在于域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
步骤203:根据所述异常访问行为记录表对所述域名黑名单进行更新。
具体包括:对所述异常访问行为记录表中的域名进行汇总,得到汇总表;将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。如此,实现了域名黑名单的自动更新。
相应地,本发明实施例还提供一种手机病毒特征的识别装置。
参照图3,本发明实施例的手机病毒的识别装置,包括记录表生成模块10、记录子表生成模块20、判断模块30和病毒特征识别模块40,其中:
记录表生成模块10,用于获取异常访问行为记录表。
所述异常访问行为记录表中记录有用户的异常访问行为,每条异常访问行为记录包括:用户的手机号码、上网时实用的UA(用户代理)、访问时间和访问的域名,其中,所述UA包括终端型号和软件平台。
所述异常访问行为记录表可以通过外部输入得到。
所述异常访问行为记录表也可以通过采集WAP网关的HTTP数据包,然后根据关键字列表对所述HTTP数据包进行匹配得到,具体请参见后文。
记录子表生成模块20,用于根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表。
由于异常访问行为记录表中包括域名项目,那么,就可以将异常访问行为记录表中具有相同域名的记录归为一类,对于每个域名,都生成对应该域名的异常访问行为记录子表。即,对于每个异常访问行为记录子表,该子表中的每条记录都包括有相同的域名。
判断模块30,用于对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果。
优选地,所述识别装置中还可以包括统计模块(图未示),用于对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号。此时,所述判断模块30判断其中的软件平台是否唯一为:判断所述预定数目个终端型号对应的软件平台是否唯一。
病毒特征识别模块40,用于当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征,当所述判断结果为否时,将相应的域名加入到域名白名单中。
由于异常访问行为记录子表中包括UA项目,而所述UA中包括终端型号和软件平台,那么,就可以获取到该子表的每条记录对应的软件平台,如果每条记录对应的软件平台都相同,则可以确定多种终端型号采用的都是相同的软件平台,而对于同一种手机病毒来说,其一般不会跨软件平台存在,因此,在确定多种终端型号采用的都是相同的软件平台时,则可以确定是由于手机病毒导致了对相应域名(该异常访问行为记录子表对应的域名)的访问,即,该子表中的异常访问行为为病毒行为。
同理,在确定多种终端型号采用的不是同一个软件平台时,则可以认为该子表中的异常访问行为不是病毒行为,此时,相应的域名是可信的域名,可以将其加入到域名白名单中。
以下介绍的记录表生成模块10一种具体实现方式。
参照图4,所述记录表生成模块10具体包括数据采集模块11、匹配模块12和黑名单更新模块13。其中:
数据采集模块11,用于采集WAP网关的HTTP数据包。具体的采集位置请参见方法实施例。
匹配模块12,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成所述异常访问行为记录表。
其中,所述关键字列表中包括用户敏感信息和域名黑名单中的域名,所述用户敏感信息包括IMSI(国际移动用户识别码)和/或IMEI(国际移动设备标识)。初始化时,所述域名黑名单为空,或者,直接接收外部输入的域名黑名单。然后,域名黑名单可以进行动态更新。
以下提供匹配模块12的两种匹配方式。
方式一
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
方式二
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
优选地,所述匹配模块12对于匹配出的异常访问行为,如果其对应的域名存在于所述域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
黑名单更新模块13,用于根据所述异常访问行为记录表对所述域名黑名单进行更新,具体为:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
综上所述,本发明基于用户的异常访问行为,识别出访问同一域名的多种终端型号对应的软件平台,若采用相同的软件平台,则确定手机病毒(包括后门和流氓软件)导致了对该域名的访问,并将该域名及对应的软件平台记录为手机病毒特征,如此,实现了手机病毒特征的自动识别,并且,该方案不需要依赖于病毒库,对手机病毒特征的识别效率也较高。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神范围,其均应涵盖在本发明的权利要求范围当中。
Claims (16)
1.一种手机病毒特征的识别方法,其特征在于,包括:
获取异常访问行为记录表,所述异常访问行为记录表中包括用户代理UA和域名,所述UA包括终端型号和软件平台;
根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;
对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;
当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征。
2.如权利要求1所述的识别方法,其特征在于,还包括:对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号;
此时,所述判断其中的软件平台是否唯一为:判断所述预定数目个终端型号对应的软件平台是否唯一。
3.如权利要求1所述的识别方法,其特征在于,所述获取异常访问行为记录表,具体包括:
采集WAP网关的HTTP数据包;
根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成所述异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
根据所述异常访问行为记录表对所述域名黑名单进行更新。
4.如权利要求3所述的识别方法,其特征在于,还包括:当所述判断结果为否时,将相应的域名加入到域名白名单中;
此时,对于匹配出的异常访问行为,如果其对应的域名存在于所述域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
5.如权利要求3所述的识别方法,其特征在于,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
6.如权利要求3所述的识别方法,其特征在于,所述根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,具体包括:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
7.如权利要求3所述的识别方法,其特征在于,所述根据所述异常访问行为记录表对所述域名黑名单进行更新,具体包括:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
8.如权利要求3所述的识别方法,其特征在于,所述用户敏感信息包括IMSI和/或IMEI。
9.一种手机病毒的识别装置,其特征在于,包括:
记录表生成模块,用于获取异常访问行为记录表,所述异常访问行为记录表中包括用户代理UA和域名,所述UA包括终端型号和软件平台;
记录子表生成模块,用于根据域名对所述异常访问行为记录表的记录进行归类,生成多个异常访问行为记录子表;
判断模块,用于对于每个异常访问行为记录子表,判断其中的软件平台是否唯一,得到一判断结果;
病毒特征识别模块,用于当所述判断结果为是时,则确定手机病毒导致了对相应域名的访问,并将该域名及对应的软件平台记录为手机病毒特征。
10.如权利要求9所述的识别装置,其特征在于,还包括:统计模块,用于对于每个异常访问行为记录子表,分别统计每种终端型号对应的记录条数,并按照记录条数从高到低的顺序选取预定数目个终端型号;
此时,所述判断模块判断其中的软件平台是否唯一为:判断所述预定数目个终端型号对应的软件平台是否唯一。
11.如权利要求9所述的识别装置,其特征在于,所述记录表生成模块具体包括:
数据采集模块,用于采集WAP网关的HTTP数据包;
匹配模块,用于根据关键字列表从所述HTTP数据包中匹配出用户的异常访问行为,根据所述异常访问行为生成所述异常访问行为记录表,所述关键字列表中包括用户敏感信息和域名黑名单中的域名;
黑名单更新模块,用于根据所述异常访问行为记录表对所述域名黑名单进行更新。
12.如权利要求11所述的识别装置,其特征在于,所述病毒特征识别模块还用于:当所述判断结果为否时,将相应的域名加入到域名白名单中;
此时,所述匹配模块对于匹配出的异常访问行为,如果其对应的域名存在于所述域名白名单中,则不将该异常访问行为添加到所述异常访问行为记录表中。
13.如权利要求11所述的识别装置,其特征在于,所述匹配模块进一步用于:
从所述HTTP数据包中获取URL数据,判断所述URL数据中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
14.如权利要求11所述的识别装置,其特征在于,所述匹配模块进一步用于:
判断所述HTTP数据包中是否包括所述关键字列表中的至少一个关键字,若是,确定相应的访问行为为异常访问行为。
15.如权利要求11所述的识别装置,其特征在于,所述黑名单更新模块进一步用于:
对所述异常访问行为记录表中的域名进行汇总,得到汇总表;
将所述汇总表中的域名与所述域名黑名单中的域名进行比对,将存在于所述汇总表中、但不存在于所述域名黑名单中的域名添加到所述域名黑名单中。
16.如权利要求11所述的识别装置,其特征在于,所述用户敏感信息包括IMSI和/或IMEI。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010534498.1A CN102469450B (zh) | 2010-11-08 | 2010-11-08 | 一种手机病毒特征的识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010534498.1A CN102469450B (zh) | 2010-11-08 | 2010-11-08 | 一种手机病毒特征的识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102469450A true CN102469450A (zh) | 2012-05-23 |
| CN102469450B CN102469450B (zh) | 2014-06-04 |
Family
ID=46072483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010534498.1A Active CN102469450B (zh) | 2010-11-08 | 2010-11-08 | 一种手机病毒特征的识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102469450B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363256A (zh) * | 2014-10-11 | 2015-02-18 | 北京中创腾锐技术有限公司 | 一种手机病毒的识别和控制方法、设备与*** |
| CN105187393A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 一种移动终端恶意软件网络行为重构方法及其*** |
| CN108011976A (zh) * | 2017-12-26 | 2018-05-08 | 福建星瑞格软件有限公司 | 一种上网终端型号的识别方法及计算机设备 |
| CN110858206A (zh) * | 2018-08-21 | 2020-03-03 | 苏州迈科网络安全技术股份有限公司 | 基于hostname数据的终端特征提取方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068204A (zh) * | 2006-05-05 | 2007-11-07 | 美国博通公司 | 通信架构中的中间网络节点及其执行的方法 |
| US20080163372A1 (en) * | 2006-12-28 | 2008-07-03 | Matrix Xin Wang | Anti-virus system for IMS network |
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
| EP2063377A1 (en) * | 2007-11-13 | 2009-05-27 | Intel Corporation | Method and system for whitelisting software components |
-
2010
- 2010-11-08 CN CN201010534498.1A patent/CN102469450B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068204A (zh) * | 2006-05-05 | 2007-11-07 | 美国博通公司 | 通信架构中的中间网络节点及其执行的方法 |
| US20080163372A1 (en) * | 2006-12-28 | 2008-07-03 | Matrix Xin Wang | Anti-virus system for IMS network |
| EP2063377A1 (en) * | 2007-11-13 | 2009-05-27 | Intel Corporation | Method and system for whitelisting software components |
| CN101252576A (zh) * | 2008-03-13 | 2008-08-27 | 苏州爱迪比科技有限公司 | 利用dfa在网关处进行基于网络流的病毒检测方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363256A (zh) * | 2014-10-11 | 2015-02-18 | 北京中创腾锐技术有限公司 | 一种手机病毒的识别和控制方法、设备与*** |
| CN104363256B (zh) * | 2014-10-11 | 2019-01-29 | 北京中创腾锐技术有限公司 | 一种手机病毒的识别和控制方法、设备与*** |
| CN105187393A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 一种移动终端恶意软件网络行为重构方法及其*** |
| CN105187393B (zh) * | 2015-08-10 | 2018-05-22 | 济南大学 | 一种移动终端恶意软件网络行为重构方法及其*** |
| CN108011976A (zh) * | 2017-12-26 | 2018-05-08 | 福建星瑞格软件有限公司 | 一种上网终端型号的识别方法及计算机设备 |
| CN108011976B (zh) * | 2017-12-26 | 2022-07-26 | 福建星瑞格软件有限公司 | 一种上网终端型号的识别方法及计算机设备 |
| CN110858206A (zh) * | 2018-08-21 | 2020-03-03 | 苏州迈科网络安全技术股份有限公司 | 基于hostname数据的终端特征提取方法 |
| CN110858206B (zh) * | 2018-08-21 | 2023-06-16 | 苏州迈科网络安全技术股份有限公司 | 基于hostname数据的终端特征提取方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102469450B (zh) | 2014-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102469117B (zh) | 一种异常访问行为的识别方法及装置 | |
| CN105187394B (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
| CN105022960B (zh) | 基于网络流量的多特征移动终端恶意软件检测方法及*** | |
| CN102404858B (zh) | 一种无线资源优化方法、装置及*** | |
| CN103246735B (zh) | 一种异常数据处理方法及*** | |
| CN102938789B (zh) | 一种移动互联网手机应用下载组合分析方法和装置 | |
| US11537751B2 (en) | Using machine learning algorithm to ascertain network devices used with anonymous identifiers | |
| CN104462509A (zh) | 垃圾评论检测方法及装置 | |
| CN103688489A (zh) | 一种策略处理的方法及网络设备 | |
| CN105072045A (zh) | 一种具有恶意软件网络行为发现能力的无线路由器 | |
| CN110083391A (zh) | 调用请求监控方法、装置、设备及存储介质 | |
| CN105187392A (zh) | 基于网络接入点的移动终端恶意软件检测方法及其*** | |
| CN105187395A (zh) | 基于接入路由器进行恶意软件网络行为检测的方法及*** | |
| CN106911523A (zh) | 移动互联网用户通过lte上网问题定位的方法和*** | |
| CN105868040A (zh) | 日志采集方法及采集终端 | |
| CN104640138B (zh) | 一种定位问题终端的方法及装置 | |
| CN113412607B (zh) | 内容推送方法、装置、移动终端及存储介质 | |
| CN104184763A (zh) | 一种反馈信息处理方法及***、服务设备 | |
| CN102315952A (zh) | 一种用于社区网络中检测垃圾帖子的方法与设备 | |
| CN105825129A (zh) | 一种融合通信中恶意软件鉴别方法和*** | |
| CN102469450B (zh) | 一种手机病毒特征的识别方法及装置 | |
| CN104182681A (zh) | 基于hook的iOS***关键行为检测装置和方法 | |
| CN107332765A (zh) | 用于维修路由器故障的方法和装置 | |
| CN104092660B (zh) | 一种访问网络站点的方法 | |
| CN103345786A (zh) | 一种基于wifi网络的自动签到方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |