專利名稱:基于網絡行為的病毒檢測系統和方法
技術領域:
本發明涉及信息安全領域,尤其涉及一種病毒檢測系統和病毒檢測方法。
背景技術:
移動病毒(mobile virus)是指攻擊目標為例如移動電話或具有無線網絡功能的PDA等無線移動設備的病毒。由于無線移動設備和支持這些設備的無線網絡越來越多,而且越來越復雜,因而保護它們從而使它們不受到各種病毒和其它惡意軟件的電子攻擊的難度也越來越大。
下面,首先介紹幾種現有技術中用于進行病毒檢測的常用方法。
基于特征碼的病毒檢測方法
在現有技術中,病毒和惡意軟件對于計算機研究人員造成了極大挑戰。傳統的一種病毒檢測方法是基于特征碼(signatures-based)的,其利用從特定實例的已有病毒中所抽取出的特征碼來檢測今后實例中出現的相同病毒。這種主流的病毒檢測方法基于特征碼匹配,相應的防毒軟件提供病毒特征庫,隨著病毒特征庫的不斷更新,防毒軟件得以檢測新的病毒。
這種方式在以前還是有效的,但是現代病毒采用例如多形性或變態機制等先進策略,使得部分病毒或其結構在每次復制時會產生隨機的、不可預測的變化,因而在很多新情況下,例如面對病毒出現的多形性或變態機制時,基于特征碼的病毒檢測方法變得不再有效。這是因為,雖然這種基于特征碼的病毒檢測方法在檢測現有的或先前遇到過的病毒方面具有較高的檢出比率,但是在有效檢測新的、未知的病毒變種方面卻存在缺陷。而且,互聯網時代的高速發展使得病毒的繁殖速度越來越快,這導致病毒特征庫的更新速度無法跟上病毒的更新速度。
一些移動電話病毒安全系統或惡意信息過濾器檢測惡意病毒的URL,然后阻止對這些網址的訪問。但是和基于特征碼的病毒檢測方法類似,這種方法只能阻止已知的移動病毒服務器,而不能阻止對新的移動病毒服務器的訪問。此外,移動病毒可以通過改變病毒服務器的地址來躲避這種檢測機制。
由此可見,使用上述這種基于特征碼的病毒檢測方法只能用來檢測先前發現的病毒,而不能檢測新出現的未知病毒。_9] 基于代碼特征的病毒檢測方法
現在也提出了一些使用N-Gram的病毒檢測方法。此處的N-Gram是指二進制代碼中固定大小的連續二進制序列。這種方法從同時包含在良性軟件和惡意軟件中的訓練數據集中抽取最頻繁出現的N-Gram,并使用最多出現的N-Gram的并發率作為特征。
基于系統行為的病毒檢測方法
基于系統行為的病毒檢測方法主要可以分為以下三類:啟發式特征方法、靜態特征方法和動態特征方法。
簡單的啟發式特征可以指從Win32 PE(可移植可執行文件格式)頭中或可執行代碼的字串中提取出的特征集。例如,入口位于最后一節、可疑的節名、可疑的節特征以及不一致的長度計算等。
靜態指令序列方法基于由靜態分析所得到的特征檢測是否含有病毒特有的指令序列,其中一些方法基于對可執行二進制代碼做反匯編而得到的匯編代碼,其它方法則基于匯編代碼的更高層結構如如控制流圖(control flow graph,CFG)。但是,對二進制代碼進行反匯編本身就是一項難題,至今也沒有通用的解決方案。
2008 年佛羅里達國際大學(Florida International University)的 Jose AndreMorales在論文“基于行為的病毒檢測方法”中提出了一種動態特征方法,基于病毒程序的復制企圖來檢測已知和未知的病毒,通過監測當前正在執行的進程是否有復制企圖來完成病毒檢測。
還有一種基于行為分析的特洛伊木馬檢測技術,其基于“鉤子(hook)”技術。為了成功地自我隱藏,木馬程序必須更改操作系統執行路徑或直接更改用于存儲有關處理、驅動、網絡連接的操作系統信息。通過使用叫做鉤子技術的系統,目的是得到木馬程序的規則可執行路徑,然后系統執行預定的功能,這樣就可以將木馬程序“鉤”住。可見,基于行為的木馬程序檢測技術調查木馬程序的行為特征,例如改變注冊、注冊系統服務、更改系統文件等,從而判斷該程序是否可疑。但是,這種方法很難檢測那些直接更改系統內核的木馬程序。
雖然存在上述各種基于系統行為的病毒檢測方法,但是針對移動病毒而言,由于用于無線移動設備的操作系統和應用程序具有多樣性,所以針對它們對應的各類系統行為進行全面研究代價很高。發明內容
針對上述技術問題,本發明的目的是提供一種移動病毒的檢測系統和方法,能夠基于更為普遍的網絡行為特征來對已知和未知的移動網絡病毒進行檢測,同時無需分別考慮多樣的操作系統和應用程序。
根據本發明的一個方面,提供一種基于網絡行為的病毒檢測系統,所述系統包括:捕獲引擎,用于根據捕獲規則,從終端用戶與網絡服務器之間的網絡數據流中捕獲與網絡行為相關的數據;數據挖掘引擎,用于在系統處于訓練模式的情況下,根據所述與網絡行為相關的數據來確定網絡行為特征;以及在系統處于檢測模式的情況下,根據所確定的所述網絡行為特征針對所述與網絡行為相關的數據進行病毒的檢測。
根據本發明的上述系統,由于直接從移動終端用戶與網絡服務器之間的網絡數據流中捕獲數據,與無線通信設備所使用的多樣性的移動操作系統或應用程序無關,因而適用范圍廣泛;同時,由于采用數據挖掘技術來確定更為普遍的病毒網絡行為特征,并基于這些網絡行為特征進行病毒的檢測,因而不僅可以檢測已知的移動病毒,還可以實現對未知移動病毒的檢測。
優選地,所述網絡行為包括:通過網絡進行的病毒傳播行為、被病毒感染后移動設備的網絡行為和被病毒感染后網絡側系統的網絡行為。
優選地,所述網絡行為特征包括:連接特征、地址特征、URL特征、行為相關的內容特征和流量相關特征,其中,所述連接特征包括:連接頻率、連接時間、連接端口、上下行連接數及其比重、短信發送、彩信發送;所述地址特征包括:如源IP、目的IP、終端標識;所述URL特征包括:URL是否變化、URL變化頻率;所述行為相關的內容特征包括:是否包含MS1、電話號碼、通訊錄或SMS ;流量相關特征包括:上下行包長度。
優選地,所述系統還包括專家知識庫,所述專家知識庫包括所述數據挖掘引擎在訓練模式下所確定的所述網絡行為特征,且所述數據挖掘引擎在系統處于檢測模式的情況下,根據所述專家知識庫來進行病毒的檢測。
優選地,所述數據挖掘引擎包括預處理模塊和數據挖掘模塊,其中,所述預處理模塊用于將所述捕獲引擎所捕獲的與網絡行為相關的數據預處理成為可供所述數據挖掘模塊處理的數據;所述數據挖掘模塊用于在系統處于訓練模式的情況下,根據預處理后的數據來確定網絡行為特征并更新所述捕獲規則;以及在系統處于檢測模式的情況下,根據所確定的所述網絡行為特征對預處理后的數據進行病毒的檢測。
優選地,所述數據挖掘引擎還包括增量處理模塊,所述增量處理模塊用于基于所述數據挖掘模塊的處理結果,對增加的新數據進行處理。
優選地,所述捕獲引擎還包括協議解析模塊,所述協議解析模塊用于根據協議解析所捕獲的數據。
根據本發明的另一個方面,還提供一種基于網絡行為的病毒檢測訓練方法,所述方法包括:根據初始捕獲規則,捕獲引擎從終端用戶與網絡服務器之間的網絡數據流中捕獲與網絡行為相關的訓練數據;數據挖掘引擎使用數據挖掘技術處理所捕獲的所述與網絡行為相關的數據,從而確定出網絡行為特征,并將數據挖掘處理的結果反饋到所述捕獲引擎,來更新捕獲規則。
根據本發明的上述方法,由于在訓練模式下直接從移動用戶與網絡服務器之間的網絡數據流中捕獲數據,與無線通信設備所使用的多樣性的移動操作系統或應用程序無關,因而適用范圍廣泛;同時,由于在訓練模式中采用數據挖掘技術來確定更為普遍的病毒網絡行為特征,并會在今后基于這些網絡行為特征進行病毒的檢測,因而不僅可以檢測已知的移動病毒,還可以實現對未知移動病毒的檢測。
優選地,所述方法還包括:當捕獲到新的訓練數據時,增量處理器基于所述數據挖掘引擎的已有處理結果,對新的訓練數據進行處理,以更新捕獲規則和所確定出的網絡行為特征。
根據本發明的另一個方面,還提供一種基于網絡行為的病毒檢測方法,所述方法包括:根據捕獲規則,捕獲引擎從用戶與網絡服務器之間的網絡數據流中捕獲與網絡行為相關的數據;根據所確定的網絡行為特征,數據挖掘引擎針對所述與網絡行為相關的數據進行病毒的檢測。
根據本發明的上述方法,由于在檢測模式中直接從移動終端用戶與網絡服務器之間的網絡數據流中捕獲數據,與無線通信設備所使用的多樣性的移動操作系統或應用程序無關,因而適用范圍廣泛;同時,由于在檢測模式中基于采用數據挖掘技術所確定的更為普遍的病毒網絡行為特征來進行病毒的檢測,因而不僅可以檢測已知的移動病毒,還可以實現對未知移動病毒的檢測。
優選地,所述方法還包括:當捕獲到新的數據時,增量處理器基于所述數據挖掘引擎的已有檢測結果,對新的數據進行處理,以更新所述檢測結果。
優選地,所述方法還使用專家知識庫,所述專家知識庫包括所確定的所述網絡行為特征,其中,所述數據挖掘引擎根據所述專家知識庫來進行病毒的檢測。
下文將以明確易懂的方式通過對優選實施方式的說明并結合附圖來對本發明上述特性、技術特征、優點及其實施方式予以進一步說明,其中:圖1是本發明具體實施方式
中基于網絡行為的病毒檢測系統的系統結構示意圖;圖2是本發明具體實施方式
中系統在訓練模式下的功能框架圖;圖3是本發明具體實施方式
中系統在檢測模式下的功能框架圖;圖4是本發明具體實施方式
中的移動病毒檢測系統的應用場景示意圖。附圖標記列表10捕獲引擎11協議解析模塊 12捕獲規則20數據挖掘引擎 21數據挖掘模塊 22預處理模塊23增量處理模塊 24專家知識庫
具體實施例方式在本發明具體實施方式
中,提出了一種基于網絡行為的移動病毒的檢測系統和方法。由于該系統和方法直接從移動終端用戶與網絡服務器之間的網絡數據流中捕獲數據,與無線通信設備所使用的多樣性的操作系統或應用程序無關,因而在使用中無需分別考慮多樣的操作系統和應用程序,適用范圍廣泛;同時,由于采用數據挖掘技術確定更為普遍的病毒網絡行為特征,并基于這些網絡行為特征進行病毒的檢測,因而不僅可以檢測已知的移動病毒,還可以實現對未知移動病毒的檢測。基于網絡行為的移動病毒檢測系統的基本架構圖1是本發明具體實施方式
中基于網絡行為的病毒檢測系統的系統結構示意圖,該系統主要包括捕獲引擎(Capture Engine) 10和數據挖掘引擎(Data Mining Engine) 20。捕獲引擎10監視移動終端用戶與網絡服務器之間的網絡數據流,并根據捕獲規則12來捕獲與網絡行為相關的數據。在后面將會詳細介紹的系統訓練模式和系統檢測模式中,捕獲引擎10的工作原理和方式是類似的,但是在所針對的網絡數據流,即捕獲數據源方面是不同的。在訓練模式中,用于捕獲的網絡數據流均被標上病毒標簽,該病毒標簽表明該數據是否包含病毒以及所包含病毒的類型,這樣的數據稱為“訓練數據”,該訓練數據供挖掘引擎20在訓練模式下使用。而在檢測模式中,捕獲引擎10監視并捕獲移動用戶與網絡服務器之間的網絡數據流,這些數據是不帶病毒標簽的,這些數據供數據挖掘引擎20在檢測模式下使用。
捕獲規則12可在系統初始化階段被預置,而在訓練模式中被更新并確定,并在檢測模式中用來作為捕獲引擎10捕獲網絡數據的依據。由于移動終端用戶與網絡服務器之間的網絡數據在網絡協議,例如GTP(GPRSTunnel protocol)等,中是被封裝的,因而可能需要對GTP等網絡協議進行解析后得到可識別的數據。因此,為了能夠識別和理解網絡數據流,在捕獲引擎10中還優選包括一協議解析模塊(Protocol Parser) 11,該協議解析模塊11根據協議來解析所捕獲的數據。
數據挖掘引擎20處理捕獲引擎10所捕獲的數據。具體地,數據挖掘引擎20主要包括數據挖掘模塊21,該數據挖掘模塊21在系統處于訓練模式的情況下,根據捕獲引擎10所捕獲的與網絡行為相關的數據進行數據挖掘處理,從而確定出網絡行為特征,該網絡行為特征可寫入數據挖掘引擎20中的專家知識庫24中;在系統處于檢測模式的情況下,數據挖掘模塊21可以使用該專家知識庫24,根據其中包括的網絡行為特征對與網絡行為相關的數據進行數據挖掘處理,從而實現對移動病毒的檢測。其中,該數據挖掘模塊21執行的數據挖掘處理可以包括各種數據挖掘算法,例如關聯(association)分析、分類、預測、聚類(cluster)等等。此外,在訓練模式中,數據挖掘引模塊21的輸出不僅可以生成包括有關移動病毒網絡行為特征的專家知識庫24,還可以反饋至捕獲引擎10,用來更新和完善捕獲規則12。在有些情況下,捕獲引擎10所捕獲的與網絡行為相關的數據可能不適合進行數據挖掘處理,此時,該數據挖掘引擎20優選還包括一預處理模塊22。該預處理模塊22可執行抽取、轉換和裝載(Extracting, Transforming and Loading, ETL)等功能,例如:-從外部源(此處是捕獲引擎10)接收數據;-將所接收數據轉換為適于操作需要(此處是適于進行數據挖掘)的數據;-將轉換后的數據裝載到終端目標(此處可以是數據挖掘模塊21等)中。這樣,通過預處理模塊22的處理,捕獲引擎10所捕獲的數據被整理并轉換為可以被數據挖掘模塊21處理的數據。在數據挖掘處理過程中,需要對大量網絡數據進行處理,尤其當不斷補充新捕獲的數據時,需 要將新捕獲的數據與原有數據一起進行新的挖掘處理。如果只是不斷針對累積的所有數據進行重復的數據挖掘處理,可能會耗費大量的系統資源,降低系統的工作效率。為了解決上述問題,數據挖掘引擎20中除了數據挖掘模塊21之外,還可以進一步包括一增量處理模塊(Incremental Processor) 24 該增量處理模塊24基于所述數據挖掘模塊對之前已有數據的處理結果,處理所增加的捕獲數據,從而提高整個數據挖掘處理的效率。當數據挖掘引擎20包括該增量處理模塊24時,在系統處于訓練模式的情況下,數據挖掘模塊21和增量處理模塊24根據捕獲引擎10所捕獲的與網絡行為相關的數據進行處理,從而共同確定出網絡行為特征,該網絡行為特征可寫入專家知識庫24中;在系統處于檢測模式的情況下,數據挖掘模塊21和增量處理模塊24可以使用該專家知識庫24,根據其中的網絡行為特征共同對與網絡行為相關的數據進行處理,從而實現對病毒的檢測。同樣,在訓練模式中,數據挖掘引擎20和增量處理模塊24的輸出不僅可以生成包括有關移動病毒網絡行為特征的專家知識庫24,還可以反饋至捕獲引擎10,用來更新和完善捕獲規則12。網絡行為特征本發明在病毒檢測中所使用的網絡行為特征是實現病毒檢測的重要基礎。移動病毒的網絡行為包括但是不限于如下行為:-通過網絡進行的病毒傳播行為;-被感染后移動設備系統的網絡行為;-被感染后網絡端系統的網絡行為。網絡行為特征可以包括但不限于如下特征:
-普通連接特征,例如連接頻率和時間,連接端口等連接特征;-特殊連接特征,例如多媒體消息服務(MultimediaMessage Service,MMS)發送特征,源IP、目的IP、終端標識等地址特征,目標URL、URL是否變化、URL變化頻率等URL特征等;-行為相關內容特征,例如是否包含敏感信息(MSI,電話號碼),通訊錄,短信服務(Short Message Service, SMS)等;-流量相關信息,例如上下行包長度等。訓練樽式圖2是本發明具體實施方式
中系統在訓練模式下的功能框架圖。訓練模式的主要目的是挖據出移動病毒的網絡行為特征來形成專家知識庫,以及確定捕獲規則。下面我們結合圖2來說明基于網絡行為的病毒檢測系統在訓練模式下的運行方式。(I)首先,根據部分先驗知識進行預分析,從而為系統設置初始捕獲規則。(2)捕獲引擎10根據該初始捕獲規則監視移動終端用戶與網絡服務器之間的網絡數據流并捕獲網絡數據。在訓練模式下,捕獲引擎10捕獲的是預先設置的訓練數據,這些數據均被標上病毒標簽,該病毒標簽表明該數據是否包含病毒以及所包含病毒的類型。由于網絡數據封裝在網絡協議中,因而在捕獲網絡數據時,捕獲引擎10中的協議解析模塊11用來根據協議解析所捕獲的數據。(3)將所捕獲的數據傳送到數據挖掘引擎20中的預處理模塊22,該預處理模塊22執行ETL功能來整理這些數據,以將它們轉換為能夠由數據挖掘模塊21和/或增量處理模塊23處理的數據。(4)對預處理模塊22預處理過的數據進行數據挖掘處理,以確定網絡行為特征。數據挖掘模塊21在系統處于訓練模式的情況下,對預處理后的數據進行數據挖掘處理,從而確定出網絡行為特征,該網絡行為特征可被寫入數據挖掘引擎20的專家知識庫24中。該數據挖掘模塊21執行的數據挖掘處理可以包括各種典型的數據挖掘算法,例如關聯分析、分類、預測、聚類等等。增量處理模塊23基于所述數據挖掘模塊21對之前已有數據的處理結果,處理所增加的捕獲數據,從而提高整個數據挖掘處理的效率。具體地,當系統在訓練模式下處理新數據時,數據挖掘模塊21和增量處理模塊23共同確定出網絡行為特征并寫入專家知識庫24中。(5)數據挖掘模塊21的處理結果或者數據挖掘模塊21與增量處理模塊24共同處理的結果不僅生成包括移動病毒網絡行為特征的專家知識庫,同時還反饋至捕獲引擎10,用來更新和完善捕獲規則12。以上我們結合圖2介紹了病毒檢測系統在訓練模式下的工作流程。本領域技術人員應當理解,上述完整流程僅僅是一種優選實施方式。為了達到本發明目的,在上述流程中,僅步驟(2)中捕獲引擎根據捕獲規則捕獲與網絡行為相關的訓練數據的操作、步驟(4)中數據挖掘模塊進行數據挖掘處理以確定網絡行為特征的操作以及步驟(5)中將數據挖掘處理結果反饋到所述捕獲引擎以更新捕獲規則的操作是必須的,其它步驟和部件操作則僅僅是為了達到更優效果的可選步驟。
檢測模式圖3是本發明具體實施方式
中系統在檢測模式下的功能框架圖。當為檢測目的運行系統時,主要目的是確定網絡數據流中是否存在病毒以及進一步確定所發現的病毒類型。當系統運行在病毒檢測模式時,將會主要基于捕獲規則來捕獲網絡數據,并基于專家知識庫得到檢測結論。下面我們就結合圖3來說明基于網絡行為的病毒檢測系統在檢測模式下的運行方式。(I)首先,捕獲引擎10根據在先前訓練模式中所確定的捕獲規則來監視移動終端用戶與網絡服務器之間的網絡數據流,并捕獲與網絡行為相關的網絡數據。與訓練模式中不同,此時捕獲引擎10監視并捕獲的是移動用戶與網絡服務器之間的實際網絡數據流,是不帶病毒標簽的。同時與訓練模式類似,由于網絡數據是封裝在網絡協議中的,因而在捕獲網絡數據時,捕獲引擎10中的協議解析模塊11用來根據協議解析所捕獲的數據。(2)將所捕獲的數據傳送到數據挖掘引擎20中的預處理模塊22,該預處理模塊22執行ETL功能來整理這些數據,以將它們轉換為能夠由數據挖掘模塊21和/或增量處理模塊23處理的數據。(3)對預處理模塊22預處理過的數據進行數據挖掘處理,并根據專家知識庫來進行移動病毒的檢測。數據挖掘模塊21在系統處于檢測模式的情況下,對預處理后的數據進行與訓練模式下類似的數據挖掘處理,其中可以包括各種典型的數據挖掘算法,例如關聯分析、分類、預測、聚類等等。在進行數據挖掘處理的同時,數據挖掘模塊21根據已有的專家知識庫來判斷該數據是否包含移動病毒,當判斷包含移動病毒的時候還進一步判斷出所包含的是哪一種移動病毒。增量處理模塊23基于所述數據挖掘模塊21對之前已有數據的處理結果,處理所增加的捕獲數據,從而提高整個數據挖掘處理的效率。具體地,當系統在檢測模式下處理新數據時,數據挖掘模塊21和增量處理模塊23共同進行數據挖掘處理,并根據已有的專家知識庫24來判斷該數據是否包含移動病毒,當判斷包含移動病毒的時候還進一步判斷出所包含的是哪一種移動病毒。以上我們結合圖3介紹了病毒檢測系統在檢測模式下的工作流程。本領域技術人員應當理解,上述完整流程僅僅是一種優選實施方式。為了達到本發明目的,在上述流程中,僅步驟(I)中捕獲引擎根據捕獲規則捕獲與網絡行為相關的數據的操作以及步驟(3)中數據挖掘模塊進行數據挖掘處理以進行病毒檢測的操作是必須的,其它步驟和部件操作則僅僅是為了達到更優效果的可選步驟。移動網絡中的系統構架圖4中示出了本發明具體實施方式
中的移動病毒檢測系統的一種具體應用場景,即將其集成在GPRS移動網絡中。在該場景中,基于網絡行為的移動病毒檢測系統配置在GPRS的Gn接口中,如圖4所示。捕獲引擎10根據其中的捕獲規則監視移動終端用戶與網絡服務器之間的Gn網絡數據流,并捕獲與網絡行為相關的網絡數據,然后數據被送到數據挖掘引擎20。在訓練模式下,數據挖掘引擎20根據所捕獲的與網絡行為相關的數據來確定出網絡行為特征,同時以反饋數據更新捕獲規則;而在檢測模式下,數據挖掘引擎20根據所確定的網絡行為特征,針對所述與網絡行為相關的數據進行病毒檢測。由此,該移動病毒檢測系統從網絡側集中地攔截依賴于網絡進行傳播的病毒,而無需為每一個移動用戶安裝或設置病毒檢測系統,進而無需為多種移動操作系統或應用程序花費研究成本。此外,該移動病毒檢測系統利用普遍的網絡行為特征作為檢測依據,從而有可能實現對未知移動病毒的檢測。綜上所述,本發明技術方案中基于網絡行為的移動病毒檢測系統和方法借助對網絡行為特征的分析,能夠從網絡側攔截依賴于網絡進行傳播的病毒,其相比基于特征碼的病毒檢測方法而言,能夠檢測未知的病毒,并且對檢測現代病毒更有把握;同時相比基于系統行為的病毒檢測方法而言,其不依賴于移動設備的操作系統和應用程序,無需對不同的操作系統和應用程序進行分析,因而能夠應用于不同系統中,適用范圍更廣。上文通過附圖和優選實施方式對本發明進行了詳細展示和說明,然而本發明不限于這些已揭示的實施方式,本領域技術人員從中推導出來的其它方案也在本發明的保護范圍之內。
權利要求
1.一種基于網絡行為的病毒檢測系統,其特征在于,所述系統包括: 捕獲引擎(10),用于根據捕獲規則(12),從終端用戶與網絡服務器之間的網絡數據流中捕獲與網絡行為相關的數據; 數據挖掘引擎(20),用于在系統處于訓練模式的情況下,根據所述與網絡行為相關的數據來確定網絡行為特征;以及在系統處于檢測模式的情況下,根據所確定的所述網絡行為特征針對所述與網絡行為相關的數據進行病毒的檢測。
2.根據權利要求1所述的系統,其特征在于, 所述網絡行為包括:通過網絡進行的病毒傳播行為、被病毒感染后移動設備的網絡行為和被病毒感染后網絡側系統的網絡行為。
3.根據權利要求1所述的系統,其特征在于, 所述網絡行為特征包括:連接特征、地址特征、URL特征、行為相關的內容特征和流量相關特征, 其中,所述連接特征包括:連接頻率、連接時間、連接端口、上下行連接數及其比重、短信發送、彩信發送; 所述地址特征包括:如源IP、目的IP、終端標識; 所述URL特征包括:URL是否變化、URL變化頻率; 所述行為相關的內容特征包括:是否包含IMS1、電話號碼、通訊錄或SMS ; 所述流量相關特征包括:上下行包長度。
4.根據權利要求1所述的系統,其特征在于, 所述系統還包括專家知識庫(24),所述專家知識庫(24)包括所述數據挖掘引擎(20)在訓練模式下所確定的所述網絡行為特征,且所述數據挖掘引擎(20)在系統處于檢測模式的情況下,根據所述專家知識庫(24)來進行病毒的檢測。
5.根據權利要求1所述的系統,其特征在于, 所述數據挖掘引擎(20)包括預處理模塊(22)和數據挖掘模塊(21),其中, 所述預處理模塊(22)用于將所述捕獲引擎(10)所捕獲的與網絡行為相關的數據預處理成為可供所述數據挖掘模塊(21)處理的數據; 所述數據挖掘模塊(21)用于在系統處于訓練模式的情況下,根據預處理后的數據來確定網絡行為特征并更新所述捕`獲規則(12);以及在系統處于檢測模式的情況下,根據所確定的所述網絡行為特征對預處理后的數據進行病毒的檢測。
6.根據權利要求5所述的系統,其特征在于, 所述數據挖掘引擎(20)還包括增量處理模塊(23),所述增量處理模塊(23)用于基于所述數據挖掘模塊(21)的處理結果,對增加的新數據進行處理。
7.根據權利要求1所述的系統,其特征在于, 所述捕獲引擎(10)還包括協議解析模塊(11),所述協議解析模塊(11)用于根據協議解析所捕獲的數據。
8.一種基于網絡行為的病毒檢測訓練方法,其特征在于,所述方法包括: 根據初始捕獲規則,捕獲引擎從終端用戶與網絡服務器之間的網絡數據流中捕獲與網絡行為相關的訓練數據; 數據挖掘引擎使用數據挖掘技術處理所捕獲的所述與網絡行為相關的數據,從而確定出網絡行為特征,并將數據挖掘處理的結果反饋到所述捕獲引擎,來更新捕獲規則。
9.根據權利要求8所述的方法,其特征在于,所述方法還包括: 當捕獲到新的訓練數據時,增量處理器基于所述數據挖掘引擎的已有處理結果,對新的訓練數據進行處理,以更新捕獲規則和所確定出的網絡行為特征。
10.一種基于網絡行為的病毒檢測方法,其特征在于,所述方法包括: 根據捕獲規則,捕獲引擎從用戶與網絡服務器之間的網絡數據流中捕獲與網絡行為相關的數據; 根據所確定的網絡行為特征,數據挖掘引擎針對所述與網絡行為相關的數據進行病毒的檢測。
11.根據權利要求10所述的方法,其特征在于,所述方法還包括: 當捕獲到新的數據時,增量處理器基于所述數據挖掘引擎的已有檢測結果,對新的數據進行處理,以更新所述檢測結果。
12.根據權利要求10或11所述的方法,其特征在于, 所述方法還使用專家知識庫,所述專家知識庫包括所確定的所述網絡行為特征,其中,所述數據挖掘引擎根 據所述專家知識庫來進行病毒的檢測。
全文摘要
本發明公開一種基于網絡行為的病毒檢測系統和病毒檢測方法。所述系統包括捕獲引擎,用于根據捕獲規則,從終端用戶與網絡服務器之間的網絡數據流中捕獲與網絡行為相關的數據;數據挖掘引擎,用于在系統處于訓練模式的情況下,根據所述與網絡行為相關的數據來確定網絡行為特征;以及在系統處于檢測模式的情況下,根據所確定的所述網絡行為特征針對所述與網絡行為相關的數據進行病毒的檢測。通過本發明技術方案,無需分別考慮多樣的操作系統和應用程序,可被廣泛應用;同時不僅可以檢測已知的移動病毒,還可以實現對未知移動病毒的檢測。
文檔編號H04L29/06GK103139169SQ20111039060
公開日2013年6月5日 申請日期2011年11月30日 優先權日2011年11月30日
發明者隋愛芬, 郭代飛, 張莉, 汪濤 申請人:西門子公司