CN107332832A - 移动互联网分布式僵尸木马蠕虫检测方法和装置 - Google Patents
移动互联网分布式僵尸木马蠕虫检测方法和装置 Download PDFInfo
- Publication number
- CN107332832A CN107332832A CN201710473358.XA CN201710473358A CN107332832A CN 107332832 A CN107332832 A CN 107332832A CN 201710473358 A CN201710473358 A CN 201710473358A CN 107332832 A CN107332832 A CN 107332832A
- Authority
- CN
- China
- Prior art keywords
- worm
- address
- detection
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
发明公开了一种移动互联网分布式僵尸木马蠕虫检测方法和装置,所述方法包括:通过检测客户端与云服务端协作,对木马、僵尸与蠕虫攻击进行精确检测;在检测客户端,通过检测文件完整性、***与函数调用、网络通信行为,纵深查找木马;在检测云服务端,利用客户端提交的网络消息,利用云服务端高性能的计算能力,进行大数据处理,精确检测僵尸网络攻击的DDoS攻击与垃圾邮件中的广告邮件与钓鱼邮件,精确检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫。利用本发明,可以快速、准确地检测移动互联网中的木马、僵尸网络攻击与蠕虫攻击,本发明具有快速与准确的特点。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及在一种移动互联网分布式僵尸木马蠕虫检测方法和装置。
背景技术
随着移动互联网的快速发展,Android平台的开放性,APP***性发布,应用商店下载APP的方便性,移动终端很快成为人们运用网络服务的便利平台,进行线上信息获取、购物、社交与手游,同时,由于移动终端中存储着用户隐私信息,比如通讯录、位置信息、银行帐户信息等,使得利益型黑客越来越多地向移动终端用户下手,从而损害了用户的利益。
在本发明的移动互联网分布式僵尸木马蠕虫检测方法和装置中主要涉及以下技术:文件完整性检测技术、***与函数调用检测技术、通信行为检测技术、贝叶斯过滤器检测技术、主动扫描检测技术、基于漏洞所在端口、流量的离散度与行为特征检测技术。
移动互联网分布式僵尸木马蠕虫检测技术的发展有两个方向,一是关键词检测技术;二是流量检测技术。对于这两个方向的技术,它们的优点是技术比较成熟,缺陷是检测技术没有准确针对特定攻击类别,存在较大的误报率,没有检测客户端与云服务器端的协作,性能比较低,需要进行网络信息采样,存在较大的漏报率。本发明采用文件完整性检测技术、***与函数调用检测技术、通信行为检测技术、贝叶斯过滤器检测技术、主动扫描检测技术、基于漏洞所在端口、流量的离散度与行为特征检测技术,克服了以上两个方向的方法中存在的缺点,能够快速、精确检测僵尸木马蠕虫。
发明内容
明的目的是克服现有技术的缺点,提供一种移动互联网分布式僵尸木马蠕虫检测方法和装置,使得能够快速、精确地检测木马、僵尸网络与蠕虫攻击,有效地保障移动终端中信息的机密性与完整性、移动互联网的可用性,为移动终端用户提供一个安全、可用的移动互联网环境。
本发明的目的是通过以下技术方案实现的:
一种移动互联网分布式僵尸木马蠕虫检测方法,包括以下步骤:
A、通过检测文件完整性、***与函数调用、网络通信行为,检测移动终端中的木马;
B、客户端与云服务器端协作,基于流量的汇聚度、贝叶斯过滤器与主动扫描邮件中的URL,检测僵尸网络攻击的DDoS攻击与垃圾邮件中的广告邮件与钓鱼邮件;
C、客户端与云服务器端协作,基于漏洞所在端口、流量的离散度与行为特征,检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫。
优选地,所述步骤A包括:
A1、检索移动终端的可执行与库文件,计算文件散列值, 与信息库中的文件散列值比较,若不同,则告警,否则;
A2、检测移动终端的***调用与回调函数的地址,与信息库中的相应地址比较,若不同,则告警,否则;
A3、捕获浏览器URL与通信行为的目的IP地址,若目的IP地址不是APP WEB服务、OS升级或浏览器URL的IP地址,则告警。
信息库信息包括不同OS版本的可执行与库文件的名称与文件散列值、***调用与回调函数地址、APP名称与相应Web服务IP地址、OS名称与相应升级IP。
优选地,所述步骤B包括:
B1、检测客户端将本机IP地址、流量的源与目的IP地址、端口号、标识位、包长度、邮件出现的关键词与URL发送给检测云服务器端;
B2、对于相同源与目的IP地址、端口号,检测TCP三次握手是否完整,UDP与ICMP请求响应是否对应,若不完整或不对应,则;
B3、检测本机IP地址与源IP地址是否相同,若不相同,则;
B4、检测1秒的时间段内相同目的地址与端口的源地址个数是否大于500,若大于,则告警DDoS攻击;
B5、统计检测客户端发送的关键词分别在正常与垃圾邮件中出现的频率,并使用贝叶斯过滤器:P=P 1 P 2…P n/(P 1 P 2…P n+(1-P 1) (1-P 2)…(1-P n)),P n=P(S|W n),P是一封邮件是垃圾邮件的联合概率值,P n是W n词出现时是垃圾邮件的条件概率值,计算是垃圾邮件的概率;
B6、判断垃圾邮件的概率是否大于99%,若大于,则告警广告邮件;
B7、主动获取解析分析邮件中的URL页面,判断是否有表单密码域,若有,则告警钓鱼邮件。
优选地,所述步骤C包括:
C1、检测客户端将文件共享、WEB、数据库、邮件包含javascript的eval流量的源与目的IP地址、源与目的端口发送给检测云服务器端;
C2、对于文件共享服务的相同目的端口与源的地址,若每分钟的目的地址数大于30个,告警文件共享漏洞利用蠕虫;
C3、对于WEB服务的相同目的端口与源地址,若每分钟的目的地址个数大于30个,则告警WEB漏洞利用蠕虫;
C4、对于数据库服务的相同目的端口与源地址,若每分钟的目的地址个数大于30个,则告警数据库漏洞利用蠕虫;
C5、对于邮件服务的相同目的端口与源地址,若每分钟的目的地址个数大于30个,则告警邮件蠕虫;
C6、若邮件中网页包含javascript的eval,则告警网页蠕虫。
一种移动互联网分布式僵尸木马蠕虫检测装置,包括:
检测客户端,主要进行移动终端的木马检测与通信行为的采集与提交,包括基于文件完整性检测、基于***与函数调用检测、基于网络通信行为检测;
检测云服务器端,主要检测僵尸网络与蠕虫攻击,包括检测僵尸网络攻击的DDoS攻击与垃圾邮件中的广告邮件与钓鱼邮件,检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫;
信息库信息包括不同OS版本的可执行与库文件的名称与文件散列值、***调用与回调函数地址、APP名称与相应Web服务IP地址、OS名称与相应升级IP。
检测客户端,进行移动终端的木马检测,并采集与提交网络通信行为,检测云服务器端利用检测客户端提交的信息与信息库中的信息,检测僵尸网络与蠕虫攻击。
由以上本发明提供的技术方案可以看出,本发明克服了现有技术的缺点,提供一种移动互联网分布式僵尸木马蠕虫检测方法和装置,使得能够快速、精确地检测木马、僵尸网络与蠕虫攻击,有效地保障移动终端中信息的机密性与完整性、移动互联网的可用性,为移动终端用户提供一个安全、可用的移动互联网环境。
附图说明
图1是移动互联网分布式僵尸木马蠕虫检测装置的组网示意图;
图2是本发明方法的***结构示意图;
图3是本发明方法的主流程图;
图4是本发明方法木马检测的流程图;
图5是本发明方法僵尸网络检测的流程图;
图6是本发明方法蠕虫攻击检测的流程图。
Claims (7)
1.一种移动互联网分布式僵尸木马蠕虫检测方法,其特征在于包括以下步骤:
A、通过检测文件完整性、***与函数调用、网络通信行为,检测移动终端中的木马;
B、客户端与云服务器端协作,基于流量的汇聚度、贝叶斯过滤器与主动扫描邮件中的URL,检测僵尸网络攻击的DDoS攻击与垃圾邮件中的广告邮件与钓鱼邮件;
C、客户端与云服务器端协作,基于漏洞所在端口、流量的离散度与行为特征,检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫。
2.根据权利要求1所述的一种移动互联网分布式僵尸木马蠕虫检测方法和装置,其特征在于,所述步骤A包括:
A1、检索移动终端的可执行与库文件,计算文件散列值, 与信息库中的文件散列值比较,若不同,则告警,否则;
A2、检测移动终端的***调用与回调函数的地址,与信息库中的相应地址比较,若不同,则告警,否则;
A3、捕获浏览器URL与通信行为的目的IP地址,若目的IP地址不是APP WEB服务、OS升级或浏览器URL的IP地址,则告警。
3.信息库信息包括不同OS版本的可执行与库文件的名称与文件散列值、***调用与回调函数地址、APP名称与相应Web服务IP地址、OS名称与相应升级IP。
4.根据权利要求1所述的一种移动互联网分布式僵尸木马蠕虫检测方法,其特征在于,所述步骤B包括:
B1、检测客户端将本机IP地址、流量的源与目的IP地址、端口号、标识位、包长度、邮件出现的关键词与URL发送给检测云服务器端;
B2、对于相同源与目的IP地址、端口号,检测TCP三次握手是否完整,UDP与ICMP请求响应是否对应,若不完整或不对应,则;
B3、检测本机IP地址与源IP地址是否相同,若不相同,则;
B4、检测1秒的时间段内相同目的地址与端口的源地址个数是否大于500,若大于,则告警DDoS攻击;
B5、统计检测客户端发送的关键词分别在正常与垃圾邮件中出现的频率,并使用贝叶斯过滤器:P=P 1 P 2…P n/(P 1 P 2…P n+(1-P 1) (1-P 2)…(1-P n)),P n=P(S|W n),P是一封邮件是垃圾邮件的联合概率值,P n是W n词出现时是垃圾邮件的条件概率值,计算是垃圾邮件的概率;
B6、判断垃圾邮件的概率是否大于99%,若大于,则告警广告邮件;
B7、主动获取解析分析邮件中的URL页面,判断是否有表单密码域,若有,则告警钓鱼邮件。
5.根据权利要求1所述的一种移动互联网分布式僵尸木马蠕虫检测方法,其特征在于,所述步骤C包括:
C1、检测客户端将文件共享、WEB、数据库、邮件包含javascript的eval流量的源与目的IP地址、源与目的端口发送给检测云服务器端;
C2、对于文件共享服务的相同目的端口与源的地址,若每分钟的目的地址数大于30个,告警文件共享漏洞利用蠕虫;
C3、对于WEB服务的相同目的端口与源地址,若每分钟的目的地址个数大于30个,则告警WEB漏洞利用蠕虫;
C4、对于数据库服务的相同目的端口与源地址,若每分钟的目的地址个数大于30个,则告警数据库漏洞利用蠕虫;
C5、对于邮件服务的相同目的端口与源地址,若每分钟的目的地址个数大于30个,则告警邮件蠕虫;
C6、若邮件中网页包含javascript的eval,则告警网页蠕虫。
6.一种移动互联网分布式僵尸木马蠕虫检测装置,其特征在于包括:
检测客户端,主要进行移动终端的木马检测与通信行为的采集与提交,包括基于文件完整性检测、基于***与函数调用检测、基于网络通信行为检测;
检测云服务器端,主要检测僵尸网络与蠕虫攻击,包括检测僵尸网络攻击的DDoS攻击与垃圾邮件中的广告邮件与钓鱼邮件,检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫;
信息库信息包括不同OS版本的可执行与库文件的名称与文件散列值、***调用与回调函数地址、APP名称与相应Web服务IP地址、OS名称与相应升级IP。
7.检测客户端,进行移动终端的木马检测,并采集与提交网络通信行为,检测云服务器端利用检测客户端提交的信息与信息库中的信息,检测僵尸网络与蠕虫攻击。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710473358.XA CN107332832A (zh) | 2017-06-21 | 2017-06-21 | 移动互联网分布式僵尸木马蠕虫检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710473358.XA CN107332832A (zh) | 2017-06-21 | 2017-06-21 | 移动互联网分布式僵尸木马蠕虫检测方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107332832A true CN107332832A (zh) | 2017-11-07 |
Family
ID=60195045
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710473358.XA Pending CN107332832A (zh) | 2017-06-21 | 2017-06-21 | 移动互联网分布式僵尸木马蠕虫检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107332832A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108512896A (zh) * | 2018-02-06 | 2018-09-07 | 北京东方棱镜科技有限公司 | 基于大数据的移动互联网安全态势感知技术和装置 |
CN109934014A (zh) * | 2019-02-15 | 2019-06-25 | 福建天泉教育科技有限公司 | 一种检测资源文件正确性的方法及终端 |
CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
CN115361182A (zh) * | 2022-08-08 | 2022-11-18 | 北京永信至诚科技股份有限公司 | 一种僵尸网络行为分析方法、装置、电子设备及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697404A (zh) * | 2005-06-10 | 2005-11-16 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测***和方法 |
CN101799855A (zh) * | 2010-03-12 | 2010-08-11 | 北京大学 | 一种基于ActiveX组件模拟的网页木马检测方法 |
-
2017
- 2017-06-21 CN CN201710473358.XA patent/CN107332832A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1697404A (zh) * | 2005-06-10 | 2005-11-16 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测***和方法 |
CN101799855A (zh) * | 2010-03-12 | 2010-08-11 | 北京大学 | 一种基于ActiveX组件模拟的网页木马检测方法 |
Non-Patent Citations (5)
Title |
---|
张璐: "基于改进贝叶斯算法的文本广告邮件过滤", 《网络安全技术与应用》 * |
李秀婷: "一种DDOS攻击的检测方法", 《科技视界》 * |
杨明: "网络钓鱼邮件分析***的设计与实现", 《中国人民公安大学学报(自然科学版)》 * |
梁晓: "基于***调用挂钩的隐蔽木马程序检测方法", 《计算机工程》 * |
顺巧云: "基于Windows的文件完整性检测统的设计和实现", 《计算机工程》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108512896A (zh) * | 2018-02-06 | 2018-09-07 | 北京东方棱镜科技有限公司 | 基于大数据的移动互联网安全态势感知技术和装置 |
CN109934014A (zh) * | 2019-02-15 | 2019-06-25 | 福建天泉教育科技有限公司 | 一种检测资源文件正确性的方法及终端 |
CN109934014B (zh) * | 2019-02-15 | 2021-06-25 | 福建天泉教育科技有限公司 | 一种检测资源文件正确性的方法及终端 |
CN112788039A (zh) * | 2021-01-15 | 2021-05-11 | 合肥浩瀚深度信息技术有限公司 | 一种DDoS攻击识别方法、装置及存储介质 |
CN115361182A (zh) * | 2022-08-08 | 2022-11-18 | 北京永信至诚科技股份有限公司 | 一种僵尸网络行为分析方法、装置、电子设备及介质 |
CN115361182B (zh) * | 2022-08-08 | 2024-02-09 | 永信至诚科技集团股份有限公司 | 一种僵尸网络行为分析方法、装置、电子设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11019094B2 (en) | Methods and systems for malicious message detection and processing | |
Englehardt et al. | Cookies that give you away: The surveillance implications of web tracking | |
US10581977B2 (en) | Computer security and usage-analysis system | |
US8776224B2 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
US8990938B2 (en) | Analyzing response traffic to detect a malicious source | |
CN107332832A (zh) | 移动互联网分布式僵尸木马蠕虫检测方法和装置 | |
US9521157B1 (en) | Identifying and assessing malicious resources | |
CN112822147B (zh) | 一种用于分析攻击链的方法、***及设备 | |
CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
Tang et al. | Clues in tweets: Twitter-guided discovery and analysis of SMS spam | |
Choi et al. | Understanding the proxy ecosystem: A comparative analysis of residential and open proxies on the internet | |
Onaolapo et al. | {SocialHEISTing}: Understanding Stolen Facebook Accounts | |
US10298622B2 (en) | System and method for passive decoding of social network activity using replica database | |
EP3195140A1 (en) | Malicious message detection and processing | |
US20210200884A1 (en) | Capturing contextual information for data accesses to improve data security | |
Čermák et al. | Detection of DNS traffic anomalies in large networks | |
WO2023192677A1 (en) | Threat mitigation system and method | |
Shaw et al. | Social network forensics: Survey and challenges | |
Maurushat | Australia’s accession to the cybercrime convention: is the convention still relevant in combating cybercrime in the era of botnets and obfuscation crime tools? | |
Bian et al. | Shining a light on dark places: A comprehensive analysis of open proxy ecosystem | |
Subhan et al. | Analyzing adversary’s attack on ethereum collected from honeypots | |
Hong et al. | Client-Based Web Attacks Detection Using Artificial Intelligence | |
RU2777348C1 (ru) | Вычислительное устройство и способ выявления скомпрометированных устройств на основе обнаружения DNS-туннелирования | |
Naidu et al. | Detection Technique to trace IP behind VPN/Proxy using Machine Learning. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171107 |