CN103581909B - 一种疑似手机恶意软件的定位方法及其装置 - Google Patents
一种疑似手机恶意软件的定位方法及其装置 Download PDFInfo
- Publication number
- CN103581909B CN103581909B CN201210268819.7A CN201210268819A CN103581909B CN 103581909 B CN103581909 B CN 103581909B CN 201210268819 A CN201210268819 A CN 201210268819A CN 103581909 B CN103581909 B CN 103581909B
- Authority
- CN
- China
- Prior art keywords
- mobile phone
- user
- internet
- cell phone
- daily record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种疑似手机恶意软件的定位方法及其装置,用于提高定位疑似手机恶意软件的针对性,且不需要用户参与。其中的方法包括:按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志;将可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机;获取疑似感染的用户手机在预置时间内下载过的手机软件,预置时间为可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间;对下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对疑似手机恶意软件进行判断是否存在恶意行为。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种疑似手机恶意软件的定位方法及其装置。
背景技术
随着无线网络的演进、移动数据业务的快速增长以及移动终端的智能化,移动互联网得到了快速发展,移动宽带逐渐取代固网宽带占据统治地位,人们越来越依赖智能的手机终端实现各种各样的数据业务,如浏览新闻、收发彩信、收发邮件、网上支付、聊天、游戏等。
但是,移动互联网发展的同时,手机恶意软件产业也随之兴起,通过恶意软件吸引或诱惑用户去下载安装,然后获取手机用户的隐私信息,给手机用户造成了严重的信息安全威胁。
为了保护手机用户的信息安全,必须在用户的手机中查找到手机恶意软件然后进行清除,现有技术中为了查找用户的手机中可能存在的恶意软件,通常有如下两种方式:
现有技术一的技术方案是在用户的手机终端中毒以后,由用户对所使用的疑似手机恶意软件进行举报,将样本举报给安全厂商,再由安全厂商对举报的软件进行分析,从而确定软件是否具有恶意行为。目前国内大多数厂商均采用此方法,例如奇虎360、网秦等,本发明的发明人在实现本发明的过程中发现,现有技术的这种做法需要手机终端用户对手机恶意软件进行举报,样本软件来源依赖用户上传,对手机终端用户而言使用起来很不方便,并且总是依赖于用户上传样本软件,具有一定的滞后性。
现有技术二的技术方案主要是通过对网络数据进行海量爬取,然后使用样本分析工具,对爬取到的样本进行反编译以及自动分析,从而排除非恶意软件,然后对剩余的疑似手机恶意软件进行重点分析,从而确定所爬取的样本中是否存在手机恶意软件。本发明的发明人在实现本发明的过程中发现,现有技术的这种做法需要对海量的网络数据爬取,分析工作量大,而且分析不具有针对性,能够查找到手机恶意软件的效率很低。
发明内容
本发明实施例提供了一种疑似手机恶意软件的定位方法及其装置,用于提高定位疑似手机恶意软件的针对性,且不需要用户参与。
为解决上述技术问题,本发明实施例提供以下技术方案:
第一方面,本发明实施例提供一种疑似手机恶意软件的定位方法,包括:
按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志;
将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机;
获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间;
对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为;
其中,所述获取所述疑似感染的用户手机在预置时间内下载过的手机软件,包括:
获取所述疑似感染的手机用户在预置时间内的用户下载日志;
根据所述用户下载日志中记录的统一资源定位符URL下载所述URL对应的网络资源,得到所述下载过的手机软件。
结合第一方面,在第一方面的第一种可能的实现方式中,所述将所述可疑的用户上网行为日志与移动网关中存储的手机上网IP分配日志进行关联,获取到疑似感染的用户手机,包括:
获取所述可疑的用户上网行为日志中记录的IP地址;
在所述手机上网IP分配日志中查找到所述IP地址被分配给的国际移动设备身份码IMEI,所述IMEI对应的手机就是所述疑似感染的用户手机。
结合第一方面,在第一方面的第二种可能的实现方式中,所述对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,包括:
对所述下载过的手机软件进行白名单过滤;
将未通过白名单过滤的手机软件定位为疑似手机恶意软件。
结合第一方面,在第一方面的第三种可能的实现方式中,所述对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,包括:
若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件;
若存在,将相同的手机软件定位为疑似手机恶意软件。
第二方面,本发明实施例还提供一种疑似手机恶意软件的定位装置,包括:
筛选单元,用于按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志,以及将所述可疑的用户上网行为日志传输给关联单元;
关联单元,用于从所述筛选单元接收所述可疑的用户上网行为日志,以及将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机,以及将所述疑似感染的用户手机传输给获取单元;
获取单元,用于从关联单元接收所述疑似感染的用户手机,以及获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间,以及将所述下载过的手机软件传输给所述定位单元;
定位单元,用于从所述获取单元接收所述下载过的手机软件,以及对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为;
其中,所述获取单元包括:
获取子单元,用于从关联单元接收所述疑似感染的用户手机,以及获取所述疑似感染的手机用户在预置时间内的用户下载日志,以及将所述用户下载日志发送给下载子单元;
下载子单元,用于从所述获取子单元接收所述用户下载日志,以及根据所述用户下载日志中记录的统一资源定位符URL下载所述URL对应的网络资源,得到所述下载过的手机软件。
结合第二方面,在第二方面的第一种可能的实现方式中,所述关联单元包括:
IP地址获取子单元,用于从所述筛选单元接收所述可疑的用户上网行为日志,以及获取所述可疑的用户上网行为日志中记录的IP地址,以及向查找子单元传输所述IP地址;
查找子单元,用于从所述IP地址获取子单元接收所述IP地址,以及在所述手机上网IP分配日志中查找到所述IP地址被分配给的国际移动设备身份码IMEI,所述IMEI对应的手机就是所述疑似感染的用户手机。
结合第二方面,在第二方面的第二种可能的实现方式中,所述定位单元包括:
过滤子单元,用于从所述获取单元接收所述下载过的手机软件,以及对所述下载过的手机软件进行白名单过滤,以及将未通过白名单过滤的手机软件传输给第一定位子单元;
第一定位子单元,用于从所述过滤子单元接收所述未通过白名单过滤的手机软件,以及将未通过白名单过滤的手机软件定位为疑似手机恶意软件。
结合第二方面,在第二方面的第三种可能方式中,所述定位单元包括:
判断子单元,用于从所述获取单元接收所述下载过的手机软件,以及若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件,以及将判断结果传输给第二定位子单元;
第二定位子单元,用于从所述判断子单元接收判断结果,若所述判断结果表示存在相同的手机软件,将相同的手机软件定位为疑似手机恶意软件。
从以上技术方案可以看出,本发明实施例具有以下优点:
在本发明实施例中,首先按照可疑行为筛选规则对手机用户上网行为日志中筛选出可疑的用户上网行为日志,然后根据可疑的用户上网行为日志关联出疑似感染的用户手机,最后对疑似感染的用户手机下载过的手机软件进行分析,从而定位出疑似手机恶意软件,本发明实施例中定位疑似手机恶意软件的方法是通过从手机用户上网行为日志出发寻找疑似手机恶意软件,提高定位疑似手机恶意软件的针对性,且不需要用户主动参与。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种疑似手机恶意软件的定位方法的流程方框示意图;
图2为本发明实施例提供的疑似手机恶意软件的定位方法的应用场景示意图;
图3为本发明实施例提供的另一种疑似手机恶意软件的定位方法的流程方框示意图;
图4为本发明实施例提供的一种疑似手机恶意软件的定位装置的组成结构示意图;
图5为本发明实施例提供的一种疑似手机恶意软件的定位方法的实现过程示意图;
图6为本发明实施例提供的另一种疑似手机恶意软件的定位装置的组成结构示意图。
具体实施方式
本发明实施例提供了一种疑似手机恶意软件的定位方法及其装置,用于提高定位疑似手机恶意软件的针对性,且不需要用户参与。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的疑似手机恶意软件的定位方法,如图1所示,包括如下步骤:
101、按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志。
在本发明实施例中,部署在移动网关一侧的上网日志服务器中留存有各个手机用户的上网日志,本发明实施例提供的手机用户上网日志主要指的是手机用户上网行为日志,具体可以包括用户访问日志、用户下载日志、用户上传日志、被分配的IP地址日志等,本发明实施例中首先对上网日志服务器中留存的手机用户上网日志按照可疑行为筛选规则进行规则匹配和分析统计,从手机用户上网日志中筛选出可疑的用户上网行为日志,本发明实施例中将符合了可疑行为筛选规则所指定的行为日志定义为可疑的用户上网行为日志,可疑的用户上网行为日志指的是手机用户所述产生的异常上网行为的日志。
在本发明实施例中,可疑行为筛选规则指的是用于筛选出手机用户所产生的上网行为中可能造成手机感染病毒或者用户的隐私信息被泄露给手机用户造成信息安全威胁的上网行为日志,标记为可疑的用户上网行为日志。可疑行为筛选规则可以由手机恶意软件分析人员通过软件分析经验总结出来而制定的规则,也可以由本发明实施例提供的疑似手机恶意软件的定位装置依据手机恶意软件通常会产生的恶意行为而制定,还可以由病毒分析工具依据对手机恶意软件通常会产生的恶意行为而制定,具体实现方式要依据于具体的应用场景,此处不做限定。
对于可疑行为筛选规则而言,作为其中可实现的方式是,可疑行为筛选规则可以包括以下规则中的至少一种:异常特征字段匹配规则、用户连接网络频率统计规则、文件传播数量阈值统计规则,接下来分别进行详细说明。
异常特征字段匹配规则是指手机用户的上网行为日志中出现的字段可能与手机被感染恶意软件而导致的异常行为有关的规则。可能出现的异常特征字段举例说明如下:
1)国际移动设备身份码(IMEI,International Mobile Equipment Identity)信息:IMEI的总长为15位数字,每位数字仅使用0~9的数字,在手机用户上网日志中出现了按照IMEI格式的正则表达式则表示该字段为异常特征字段,手机用户上网日志中出现了IMEI格式的字段,有可能表示用户个人信息的泄露;
2)国际移动用户识别码(IMSI:International Mobile Subscriber Identity)信息:IMSI的总长度不超过15位,每位数字仅使用0~9的数字,在手机用户上网日志中出现了按照IMSI格式的正则表达式则表示该字段为异常特征字段,手机用户上网日志中出现了IMSI格式的字段,有可能表示用户个人信息的泄露;
3)手机类型、操作***与软件开发工具包(SDK,Software DevelopmentKit)等单个或组合信息:在手机用户上网日志中出现了按照手机类型、操作***与SDK等单个或者组合的格式的正则表达式则表示该字段为异常特征字段,手机用户上网日志中出现了手机类型、操作***与SDK等单个或者组合的格式的字段,有可能表示用户个人信息的泄露;
4)姓名、手机号码等组合的信息:在手机用户上网日志中出现了按照姓名、手机号码等组合的格式的正则表达式则表示该字段为异常特征字段,例如手机用户上网日志中出现了通讯录中囊括的姓名、手机号码等组合的字段,有可能表示用户个人信息的泄露;
5)全球定位***(GPS,Global Positioning System)的经度、纬度等格式组合的信息:在手机用户上网日志中出现了按照GPS的经纬度等的格式的正则表达式则表示该字段为异常特征字段,手机用户上网日志中出现了手机用户所处位置的格式的字段,有可能表示用户个人信息的泄露;
6)手机终端位置的基站编号与手机号码等信息:在手机用户上网日志中出现了按照手机终端位置的基站编号与手机号码等格式的正则表达式则表示该字段为异常特征字段,手机用户上网日志中出现了手机终端位置的基站编号与手机号码等的格式的字段,有可能表示用户个人信息的泄露;
7)短信记录中发信人手机号、收信人手机号、短信内容等信息:在手机用户上网日志中出现了按照发信人手机号、收信人手机号、短信内容等格式的正则表达式则表示该字段为异常特征字段,手机用户上网日志中出现了短信记录中发信人手机号、收信人手机号、短信内容等格式的字段,有可能表示用户个人信息的泄露;
8)通话记录中打电话人手机号、接电话人手机号、通话时间等格式的信息:在手机用户上网日志中出现了按照打电话人手机号、接电话人手机号、通话时间等格式的正则表达式则表示该字段为异常特征字段,手机用户上网日志中出现了通话记录中打电话人手机号、接电话人手机号、通话时间等格式的字段,有可能表示用户个人信息的泄露。
当在手机用户上网日志中出现了如上列举的异常特征字段时该日志能够与异常特征字段匹配规则相匹配的上,此时将该日志定位可疑的用户上网行为日志,需要说明的是,如上列举的异常特征字段只是异常特征字段匹配规则的其中一些异常特征字段,在实际应用中还可以有其它的实现方式,具体此处不做限定。
用户连接网络频率统计规则指的是手机用户在上网时连接网络的频率所满足的规律性,如下进行举例说明:
1)在一设定的周期内同类网络行为的用户超过预设的门限阈值,例如,如果在一个设定的周期1分钟内下载某一手机软件的用户超过5000人,则此上网行为日志就匹配上了本发明实施例定义的用户连接网络频率统计规则,此上网行为日志就是筛选出的可疑的用户上网行为日志。
2)同一用户在一设定的周期内连接某URL地址超过设定的门限阈值,例如,如果在手机用户上网日志中访问某一网站的频率超过每分钟30次以上。
3)同一用户连接不同网络的行为具有一定周期性,例如,某一手机恶意软件会浪费用户手机的数据流量,若手机用户上网日志中记录同一用户在每3秒都会连接不同的网络,则该日志就是可疑的用户上网行为日志。
4)在一设定的周期内超文本传送协议(HTTP,Hyper Text TransportProtocol)行为中手机终端类型具有相似性,例如,在一个设定的周期1分钟内都发起HTTP行为的多个手机终端都于一个特定时间见访问过某网站。
5)在一设定的周期内产生的网络数据中含有用户的手机号或某一URL地址超过门限阈值,例如,在一个设定的周期1分钟内手机用户上网日志所记录的所有网络数据中包含一个用户手机号或者用户之前访问的某一URL地址超过20次。
当在手机用户上网日志中出现了如上列举的用户连接网络频率能够与用户连接网络频率统计规则相匹配的上,此时将该日志定位可疑的用户上网行为日志,需要说明的是,如上列举的用户连接网络频率只是用户连接网络频率统计规则的其中一些用户连接网络行为,在实际应用中还可以有其它的实现方式,具体此处不做限定。
文件传播数量阈值统计规则指的是手机用户在上网时传播文件的频率所满足的规律性,如下进行举例说明:
1)在一设定的周期内传播的同一手机软件传播数量超过设定的门限阈值,则认为此日志就是可疑的用户上网行为日志,例如:在设定的周期1分钟内同一个手机软件传播数量超过设定的门限5000次。
2)在一设定的周期内彩信附件中包含同一手机软件的文件数量超过门限阈值,则认为此日志就是可疑的用户上网行为日志,例如:在设定的周期1分钟内多个彩信附件中都携带了同一个手机软件超过设定的门限5000次。
当在手机用户上网日志中出现了如上列举的文件传播规律能够与文件传播数量阈值统计规则相匹配的上,此时将该日志定位可疑的用户上网行为日志,需要说明的是,如上列举的文件传播规律只是其中一些文件传播规律,在实际应用中还可以有其它的实现方式,具体此处不做限定。
102、将可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议(IP,Internet Protocol)分配日志进行关联,获取到疑似感染的用户手机。
在本发明实施例中,用户手机发起上网连接请求时,移动网关为用户手机分配IP地址,在移动网关中中保存有手机上网IP分配日志,其中,手机上网IP分配日志中记录有移动网关为用户手机分配的IP地址,而在用户上网行为日志中会记录有使用某个IP地址所产生的各种网络行为,所以,将可疑的用户上网行为日志与移动网关中存储的手机上网IP分配日志进行关联,就可以获取到疑似感染的用户手机,疑似感染的用户手机就是产生可疑的用户上网行为日志的终端,需要说明的是,在本发明实施例中疑似感染的用户手机只是表明获取到了产生可疑的用户上网行为的终端,至于该终端是否中是否存在手机恶意软件需要进行后续分析来确定,此处获取到疑似感染的用户手机能够缩小存在手机恶意软件的用户手机的范围,对于定位出手机恶意软件有重要作用。
为了详细描述用户手机上网行为的整个过程,请参阅图2所示,为本发明实施例提供的疑似手机恶意软件的定位方法的应用场景示意图,移动用户手机在发起上网的过程中,用户手机首先向基站发送请求信息,由移动网关向用户手机分配上网IP地址,在移动网关内部会保存手机上网IP分配日志,用于记录移动网关为各个用户手机分配的IP地址,用户在上网的过程中所访问的网站信息(例如,通过Internet访问了IP地址为192.168.1.106的网站)以及发送的信息会在移动网关上连接的上网日志服务器中留存,上网日志服务器中保存了手机用户上网日志,其中会记录用户手机上网的全部行为,如果用户下载了某手机恶意软件后,该手机恶意软件会发送出用户的隐私信息或者浪费用户的数据流量,那么通过可疑行为筛选规则进行规则匹配与分析统计上网日志服务器留存的手机用户上网日志,可以筛选出可疑的用户上网行为日志。
需要说明的是,对于步骤102,作为其中可实现的一种方式,可以包括:
获取可疑的用户上网行为日志中记录的IP地址;
在手机上网IP分配日志中查找到IP地址被分配给的IMEI,该IMEI对应的手机就是疑似感染的用户手机。
在用户上网行为日志中记录有产生各个用户上网行为的IP地址,通过在手机上网IP分配日志中查找到其对应的IMEI,IMEI是用户手机的电子串号,由此获取到产生可以的用户上网行为日志的用户手机就是疑似感染的用户手机。
103、获取疑似感染的用户手机在预置时间内下载过的手机软件,其中,预置时间为可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间。
在本发明实施例中获取到疑似感染的用户手机之后,在可疑的用户上网行为日志中记录的可疑的用户上网行为以前的预置时间内,获取该疑似感染的用户手机在这段时间内曾经下载过的手机软件,可以获取到疑似感染的手机用户在产生可疑的用户上网行为之前的一段时间内下载过的所有手机软件,其中,预置时间通常可以设置为48小时或者72小时等某一具体的时间,由具体的应用场景而灵活设置,此处不做限定。
需要说明的是,对于步骤103,作为其中可实现的一种方式,可以包括:
获取疑似感染的手机用户在可疑的用户上网行为日志中记录的可疑的用户上网行为以前的预置时间内的用户下载日志;
根据用户下载日志中记录的统一资源定位符(URL,Uniform ResourceLocator)下载该URL对应的网络资源,得到下载过的手机软件。
通常在用户下载日志会保存有用户手机所下载的URL、下载时间、下载内容名称等,找到用户手机下载的URL后,下载与该URL对应的网络资源,就可以获取到该用户手机曾经下载过的手机软件。
104、对下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对疑似手机恶意软件进行判断是否存在恶意行为。
在本发明实施例中,获取到疑似感染的用户手机所下载过的手机软件之后,对这些手机软件进行分析,从中定位出疑似手机恶意软件,以使病毒分析工具对疑似手机恶意软件进行判断是否存在恶意行为。获取到疑似感染的用户手机之后,进一步的获取到该用户手机所下载过的手机软件,再对这些软件进行分析,进一步的缩小可能存在恶意行为的手机软件范围,得到疑似手机恶意软件,上报给病毒分析工具,提高定位疑似手机恶意软件的针对性,且不需要用户主动参与。
需要说明的是,在本发明实施例中,手机恶意软件指的是用户手机在使用的过程中具有非法获取用户隐私或者恶意扣取用户费用以及无故浪费用户网络数据流量等恶意功能的软件,疑似手机恶意软件指的是可能是手机恶意软件的手机软件,至于该疑似手机恶意软件是否存在恶意行为,需要经过病毒分析工具进行最后的判断分析,本发明实施例只是提高了定位疑似手机恶意软件的针对性,也是精确了样本软件的选取,不需要用户参与,也不会无目的的进行海量爬取,有利于病毒分析工具及时判断出手机恶意软件,尽快帮助用户手机清除手机恶意软件,保护用户的信息安全和手机终端的性能安全。
需要说明的是,对于步骤104,作为其中可实现的一种方式,可以包括:
若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件;
若存在,将相同的手机软件定位为疑似手机恶意软件。
也就是说,对于若获取到的是多个疑似感染的用户手机,对疑似感染的用户手机所下载过的软件进行分析统计,提取出不同用户手机所下载的手机软件的交集,将相同的手机软件确定为疑似手机恶意软件,因为同样被定位为多个疑似感染的用户手机,如果对这些疑似感染的用户手机中存在相同的手机软件,则该手机软件就可能是疑似手机恶意软件,但是否是真正的手机恶意软件,需要进行进一步的分析判断。
另外,对于步骤104,作为其中可实现的另一种方式,可以包括:
对下载过的手机软件进行白名单过滤;
将未通过白名单过滤的手机软件定位为疑似手机恶意软件。
手机软件白名单可以由手机恶意软件分析人员通过软件分析经验总结出来而制定,将经过分析人员判断后没有恶意行为的手机软件加入到白名单中,通过白名单过滤的方式将没有通过白名单过滤的手机软件定位为疑似手机恶意软件。
需要说明的是,在本发明实施例中,还可以使用白名单过滤和对各个用户手机下载的手机软件取交集的方式同时使用,可以首先对用户手机下载过的手机软件进行白名单过滤,对于未通过白名单过滤的手机软件再进行取交集,将相同的手机软件定位为疑似手机恶意软件,也可以先对各个用户手机下载过的手机软件取交集,对于相同的手机软件再进行白名单过滤,对于未通过白名单过滤的手机软件定位为疑似手机恶意软件。
在本发明实施例中,首先按照可疑行为筛选规则对手机用户上网行为日志中筛选出可疑的用户上网行为日志,然后根据可疑的用户上网行为日志关联出疑似感染的用户手机,最后对疑似感染的用户手机下载过的手机软件进行分析,从而定位出疑似手机恶意软件,本发明实施例中定位疑似手机恶意软件的方法是通过从手机用户上网行为日志出发寻找疑似手机恶意软件,提高定位疑似手机恶意软件的针对性,且不需要用户主动参与。
接下来,以一个详细的流程图对本发明实施例提供的疑似手机恶意软件的定位方法进行说明,请参阅图3所示。
在本流程描述中,从手机用户上网日志开始分析,通过使用可疑行为筛选规则筛选出可疑的用户上网行为日志,通过可疑的用户上网行为日志中的IP地址与手机用户上网时分配的IP地址日志进行关联,确定出可疑的用户上网行为日志对应的疑似感染的用户手机,结合手机用户上网日志中的用户下载日志,获取用户历史下载过的手机软件,并对其中用户群下载过的手机软件进行白名单进行过滤,将未通过白名单过滤的手机软件定位为疑似手机恶意软件,最后上报给病毒分析工具,最后确定该疑似手机恶意软件是否具有恶意行为。
以上实施例介绍了本发明实施例提供的疑似手机恶意软件的定位方法,接下介绍本发明实施例提供的疑似手机恶意软件的定位装置,在实际应用中,本发明实施例提供的疑似手机恶意软件的定位装置具体可以内置于移动网关内,还可以单独设置在移动网关一侧处,通过软件或硬件集成的方式来实现对疑似手机恶意软件的定位的处理。在本发明实施例中将介绍和上述方法实施例中介绍的方法相对应的装置,具体各单元的执行方法可参见上述方法实施例,在此仅描述相关单元的内容,具体说明如下。请参阅图4所示,疑似手机恶意软件的定位装置400,包括:
筛选单元401,用于按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志,以及将可疑的用户上网行为日志传输给关联单元402;
关联单元402,用于从筛选单元401接收可疑的用户上网行为日志,以及将可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机,以及将疑似感染的用户手机传输给获取单元403;
获取单元403,用于从关联单元402接收疑似感染的用户手机,以及获取疑似感染的用户手机在预置时间内下载过的手机软件,其中预置时间为可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间,以及将下载过的手机软件传输给定位单元404;
定位单元404,用于从获取单元接收下载过的手机软件,以及对下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对疑似手机恶意软件进行判断是否存在恶意行为。
需要说明的是,对于本发明实施例提供的关联单元402,作为其中可实现的一种方式是,具体可以包括(未在图4中示出):
IP地址获取子单元,用于从筛选单元接收可疑的用户上网行为日志,以及获取可疑的用户上网行为日志中记录的IP地址,以及向查找子单元传输IP地址;
查找子单元,用于从IP地址获取子单元接收IP地址,以及在手机上网IP分配日志中查找到IP地址被分配给的国际移动设备身份码IMEI,IMEI对应的手机就是疑似感染的用户手机。
需要说明的是,对于本发明实施例提供的定位单元404,作为其中可实现的一种方式是,可以包括(未在图4中示出):
过滤子单元,用于从获取单元接收下载过的手机软件,以及对下载过的手机软件进行白名单过滤,以及将未通过白名单过滤的手机软件传输给第一定位子单元;
第一定位子单元,用于从过滤子单元接收未通过白名单过滤的手机软件,以及将未通过白名单过滤的手机软件定位为疑似手机恶意软件。
对于本发明实施例提供的定位单元404,作为其中可实现的另一种方式是,具体可以包括(未在图4中示出):
判断子单元,用于从获取单元接收下载过的手机软件,以及若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件,以及将判断结果传输给第二定位子单元;
第二定位子单元,用于从判断子单元接收判断结果,若判断结果表示存在相同的手机软件,将相同的手机软件定位为疑似手机恶意软件。
对于本发明实施例提供的获取单元403,作为其中可实现的另一种方式是,可以包括(未在图4中示出):
获取子单元,用于从关联单元接收疑似感染的用户手机,以及获取疑似感染的手机用户在预置时间内的用户下载日志,以及将用户下载日志发送给下载子单元;
下载子单元,用于从获取子单元接收用户下载日志,以及根据用户下载日志中记录的统一资源定位符URL下载URL对应的网络资源,得到下载过的手机软件。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,其带来的技术效果与本发明方法实施例相同,具体内容可参见本发明如图1所示的方法实施例中的叙述,此处不再赘述。
在本发明实施例中,首先筛选单元按照可疑行为筛选规则对手机用户上网行为日志中筛选出可疑的用户上网行为日志,然后关联单元根据可疑的用户上网行为日志关联出疑似感染的用户手机,最后定位单元对疑似感染的用户手机下载过的手机软件进行分析,从而定位出疑似手机恶意软件,本发明实施例中定位疑似手机恶意软件的方法是通过从手机用户上网行为日志出发寻找疑似手机恶意软件,提高定位疑似手机恶意软件的针对性,且不需要用户主动参与。
接下来,以一个实现过程示意图对本发明实施例提供的疑似手机恶意软件的定位方法进行说明,请参阅图5所示。
从手机用户上网日志开始分析,通过使用可疑行为筛选规则筛选出可疑的用户上网行为日志,通过可疑的用户上网行为日志中的IP地址与手机用户上网时分配的IP地址日志进行关联,确定出可疑的用户上网行为日志对应的疑似感染的用户手机,结合手机用户上网日志中的用户下载日志,获取用户历史下载过的手机软件,并对其中用户群下载过的手机软件进行白名单进行过滤,将未通过白名单过滤的手机软件定位为疑似手机恶意软件,最后上报给病毒分析工具,最后确定该疑似手机恶意软件是否具有恶意行为。
在本发明实施例中,首先按照可疑行为筛选规则对手机用户上网行为日志中筛选出可疑的用户上网行为日志,然后根据可疑的用户上网行为日志关联出疑似感染的用户手机,最后对疑似感染的用户手机下载过的手机软件进行分析,从而定位出疑似手机恶意软件,本发明实施例中定位疑似手机恶意软件的方法是通过从手机用户上网行为日志出发寻找疑似手机恶意软件,提高定位疑似手机恶意软件的针对性,且不需要用户主动参与。
接下来介绍本发明实施例提供的另一种疑似手机恶意软件的定位装置,请参阅图6所示,疑似手机恶意软件的定位装置600包括:
输入装置601、输出装置602、处理器603和存储器604(其中定位装置600中的处理器603的数量可以一个或多个,图6中以一个处理器为例)。在本发明的一些实施例中,输入装置601、输出装置602、处理器603和存储器604可通过总线或其它方式连接,其中,图6中以通过总线连接为例。
其中,输入装置601用于将上网日志服务器中留存的手机用户上网日志输入到处理器603中;
处理器603,用于执行如下步骤:按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志;将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机;获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间;对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为。
在本发明的一些实施例中,处理器603依据的可疑行为筛选规则可以为以下规则中的至少一种:异常特征字段匹配规则、用户连接网络频率统计规则、文件传播数量阈值统计规则。
在本发明的一些实施例中,处理器603对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,可以包括:对所述下载过的手机软件进行白名单过滤;将未通过白名单过滤的手机软件定位为疑似手机恶意软件。
在本发明的一些实施例中,处理器603对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,可以包括:若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件;若存在,将相同的手机软件定位为疑似手机恶意软件。
在本发明的一些实施例中,处理器603获取所述疑似感染的用户手机在预置时间内下载过的手机软件,可以包括:获取所述疑似感染的手机用户在预置时间内的用户下载日志;根据所述用户下载日志中记录的统一资源定位符URL下载所述URL对应的网络资源,得到所述下载过的手机软件。
在本发明的一些实施例中,存储器604可以用于存储处理器603筛选出的可疑的用户上网行为日志;存储处理器603获取到的疑似感染的用户手机;存储处理器603获取到的疑似感染的用户手机在预置时间段内下载过的手机软件。
在本发明的一些实施例中,输出装置602可以用于输出处理器603定位出的疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为。
在本发明实施例中,处理器603按照可疑行为筛选规则对手机用户上网行为日志中筛选出可疑的用户上网行为日志,然后根据可疑的用户上网行为日志关联出疑似感染的用户手机,最后对疑似感染的用户手机下载过的手机软件进行分析,从而输出装置602输出处理器603定位出的疑似手机恶意软件,本发明实施例中定位疑似手机恶意软件的方法是通过从手机用户上网行为日志出发寻找疑似手机恶意软件,提高定位疑似手机恶意软件的针对性,且不需要用户主动参与。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明所提供的一种疑似手机恶意软件的定位方法及其装置进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种疑似手机恶意软件的定位方法,其特征在于,包括:
按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志;
将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机;
获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间;
对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为;
其中,所述获取所述疑似感染的用户手机在预置时间内下载过的手机软件,包括:
获取所述疑似感染的手机用户在预置时间内的用户下载日志;
根据所述用户下载日志中记录的统一资源定位符URL下载所述URL对应的网络资源,得到所述下载过的手机软件。
2.根据权利要求1所述的方法,其特征在于,所述可疑行为筛选规则包括以下规则中的至少一种:异常特征字段匹配规则、用户连接网络频率统计规则、文件传播数量阈值统计规则。
3.根据权利要求1所述的方法,其特征在于,所述将所述可疑的用户上网行为日志与移动网关中存储的手机上网IP分配日志进行关联,获取到疑似感染的用户手机,包括:
获取所述可疑的用户上网行为日志中记录的IP地址;
在所述手机上网IP分配日志中查找到所述IP地址被分配给的国际移动设备身份码IMEI,所述IMEI对应的手机就是所述疑似感染的用户手机。
4.根据权利要求1所述的方法,其特征在于,所述对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,包括:
对所述下载过的手机软件进行白名单过滤;
将未通过白名单过滤的手机软件定位为疑似手机恶意软件。
5.根据权利要求1所述的方法,其特征在于,所述对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,包括:
若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件;
若存在,将相同的手机软件定位为疑似手机恶意软件。
6.一种疑似手机恶意软件的定位装置,其特征在于,包括:
筛选单元,用于按照可疑行为筛选规则对上网日志服务器中留存的手机用户上网日志进行规则匹配与分析统计,筛选出可疑的用户上网行为日志,以及将所述可疑的用户上网行为日志传输给关联单元;
关联单元,用于从所述筛选单元接收所述可疑的用户上网行为日志,以及将所述可疑的用户上网行为日志与移动网关中存储的手机上网网际互连协议IP分配日志进行关联,获取到疑似感染的用户手机,以及将所述疑似感染的用户手机传输给获取单元;
获取单元,用于从关联单元接收所述疑似感染的用户手机,以及获取所述疑似感染的用户手机在预置时间内下载过的手机软件,所述预置时间为所述可疑的用户上网行为日志中记录的可疑的用户上网行为以前的一段时间,以及将所述下载过的手机软件传输给所述定位单元;
定位单元,用于从所述获取单元接收所述下载过的手机软件,以及对所述下载过的手机软件进行分析,定位出疑似手机恶意软件,以使病毒分析工具对所述疑似手机恶意软件进行判断是否存在恶意行为;
其中,所述获取单元包括:
获取子单元,用于从关联单元接收所述疑似感染的用户手机,以及获取所述疑似感染的手机用户在预置时间内的用户下载日志,以及将所述用户下载日志发送给下载子单元;
下载子单元,用于从所述获取子单元接收所述用户下载日志,以及根据所述用户下载日志中记录的统一资源定位符URL下载所述URL对应的网络资源,得到所述下载过的手机软件。
7.根据权利要求6所述的装置,其特征在于,所述关联单元包括:
IP地址获取子单元,用于从所述筛选单元接收所述可疑的用户上网行为日志,以及获取所述可疑的用户上网行为日志中记录的IP地址,以及向查找子单元传输所述IP地址;
查找子单元,用于从所述IP地址获取子单元接收所述IP地址,以及在所述手机上网IP分配日志中查找到所述IP地址被分配给的国际移动设备身份码IMEI,所述IMEI对应的手机就是所述疑似感染的用户手机。
8.根据权利要求6所述的装置,其特征在于,所述定位单元包括:
过滤子单元,用于从所述获取单元接收所述下载过的手机软件,以及对所述下载过的手机软件进行白名单过滤,以及将未通过白名单过滤的手机软件传输给第一定位子单元;
第一定位子单元,用于从所述过滤子单元接收所述未通过白名单过滤的手机软件,以及将未通过白名单过滤的手机软件定位为疑似手机恶意软件。
9.根据权利要求6所述的装置,其特征在于,所述定位单元包括:
判断子单元,用于从所述获取单元接收所述下载过的手机软件,以及若获取到了多个疑似感染的用户手机,判断各个疑似感染的用户手机分别下载过的手机软件是否存在相同的手机软件,以及将判断结果传输给第二定位子单元;
第二定位子单元,用于从所述判断子单元接收判断结果,若所述判断结果表示存在相同的手机软件,将相同的手机软件定位为疑似手机恶意软件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210268819.7A CN103581909B (zh) | 2012-07-31 | 2012-07-31 | 一种疑似手机恶意软件的定位方法及其装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210268819.7A CN103581909B (zh) | 2012-07-31 | 2012-07-31 | 一种疑似手机恶意软件的定位方法及其装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103581909A CN103581909A (zh) | 2014-02-12 |
CN103581909B true CN103581909B (zh) | 2016-12-21 |
Family
ID=50052632
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210268819.7A Expired - Fee Related CN103581909B (zh) | 2012-07-31 | 2012-07-31 | 一种疑似手机恶意软件的定位方法及其装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103581909B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103825942B (zh) * | 2014-02-24 | 2018-07-10 | 可牛网络技术(北京)有限公司 | 自动查询应用程序app行为报告的方法、装置及服务器 |
CN105636076B (zh) * | 2014-11-07 | 2019-06-07 | ***通信集团四川有限公司 | 一种违规终端内置行为的稽核方法、装置和设备 |
CN105825129B (zh) * | 2015-01-04 | 2019-03-12 | ***通信集团设计院有限公司 | 一种融合通信中恶意软件鉴别方法和*** |
CN106599709B (zh) * | 2015-10-15 | 2021-08-17 | 中兴通讯股份有限公司 | 一种防隐私信息泄露的方法、装置及终端 |
CN108513351B (zh) * | 2017-02-24 | 2020-11-03 | ***通信集团福建有限公司 | 通信位置确定方法及装置 |
CN107181758A (zh) * | 2017-06-30 | 2017-09-19 | 微梦创科网络科技(中国)有限公司 | 识别黑客行为的方法及*** |
CN111224823B (zh) * | 2020-01-06 | 2022-08-16 | 杭州数群科技有限公司 | 一种基于异网日志分析的方法 |
CN113364799B (zh) * | 2021-06-22 | 2022-10-28 | 北京安天网络安全技术有限公司 | 一种网络威胁行为的处理方法和*** |
CN113709296B (zh) * | 2021-08-26 | 2023-03-07 | 四川效率源信息安全技术股份有限公司 | Android手机用户异常使用行为的分析及可视化方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102281540A (zh) * | 2011-09-08 | 2011-12-14 | 广东华仝九方科技有限公司 | 手机恶意软件查杀方法及*** |
CN102469117A (zh) * | 2010-11-08 | 2012-05-23 | ***通信集团广东有限公司 | 一种异常访问行为的识别方法及装置 |
CN102510563A (zh) * | 2011-10-21 | 2012-06-20 | 北京西塔网络科技股份有限公司 | 一种移动互联网恶意软件检测的方法及*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8479290B2 (en) * | 2010-06-16 | 2013-07-02 | Alcatel Lucent | Treatment of malicious devices in a mobile-communications network |
-
2012
- 2012-07-31 CN CN201210268819.7A patent/CN103581909B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102469117A (zh) * | 2010-11-08 | 2012-05-23 | ***通信集团广东有限公司 | 一种异常访问行为的识别方法及装置 |
CN102281540A (zh) * | 2011-09-08 | 2011-12-14 | 广东华仝九方科技有限公司 | 手机恶意软件查杀方法及*** |
CN102510563A (zh) * | 2011-10-21 | 2012-06-20 | 北京西塔网络科技股份有限公司 | 一种移动互联网恶意软件检测的方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN103581909A (zh) | 2014-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103581909B (zh) | 一种疑似手机恶意软件的定位方法及其装置 | |
CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
CN102801697B (zh) | 基于多url的恶意代码检测方法和*** | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
CN111368290B (zh) | 一种数据异常检测方法、装置及终端设备 | |
CN109951500A (zh) | 网络攻击检测方法及装置 | |
CN109729044B (zh) | 一种通用的互联网数据采集反反爬***及方法 | |
CN105825129B (zh) | 一种融合通信中恶意软件鉴别方法和*** | |
WO2014000485A1 (zh) | 内容过滤方法和装置 | |
KR20070103502A (ko) | 통신 제어 장치 | |
CN110691080B (zh) | 自动溯源方法、装置、设备及介质 | |
WO2011076984A1 (en) | Apparatus, method and computer-readable storage medium for determining application protocol elements as different types of lawful interception content | |
CN108768921A (zh) | 一种基于特征检测的恶意网页发现方法及*** | |
CN106067879B (zh) | 信息的检测方法及装置 | |
CN102457841A (zh) | 用于检测病毒的方法和装置 | |
CN108206769A (zh) | 过滤网络质量告警的方法、装置、设备和介质 | |
Wu et al. | Detect repackaged android application based on http traffic similarity | |
CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及*** | |
Pham et al. | Understanding website behavior based on user agent | |
CN101547211B (zh) | 一种针对ip地址段扫描发现特定网站的方法 | |
Zungur et al. | Libspector: Context-aware large-scale network traffic analysis of android applications | |
CN111625700B (zh) | 防抓取的方法、装置、设备及计算机存储介质 | |
CN106656655B (zh) | 一种手机号码提取方法和装置 | |
CN113098852A (zh) | 一种日志处理方法及装置 | |
Badawi et al. | Automatic detection and analysis of the “Game Hack” Scam |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161221 Termination date: 20180731 |
|
CF01 | Termination of patent right due to non-payment of annual fee |