專利名稱:一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�,特別涉及一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法及其系統(tǒng)。
背景技術(shù):
木馬是一種遠(yuǎn)程黑客控制工具,一旦用戶感染了木馬�����,用戶計(jì)算機(jī)上的信息將暴露于黑客面前�����。木馬技術(shù)主要采用的是一種一對(duì)一的控制技術(shù),即黑客控制感染木馬的計(jì)算機(jī)��,主要目的是竊取客戶計(jì)算機(jī)上的信息�����。相比于傳統(tǒng)木馬技術(shù)�����,僵尸網(wǎng)絡(luò)是在傳統(tǒng)計(jì)算機(jī)病毒、木馬和蠕蟲(chóng)技術(shù)基礎(chǔ)上發(fā)展起來(lái)的一個(gè)分布式的網(wǎng)絡(luò)攻擊平臺(tái)。它借助于IRC��、HTTP�、P2P等技術(shù),將多臺(tái)僵尸機(jī)組成一個(gè)受控的大規(guī)模僵尸網(wǎng)絡(luò)。利用這個(gè)受控的僵尸網(wǎng)絡(luò)作為攻擊平臺(tái),一方面這個(gè)攻擊平臺(tái)可以作為竊取用戶信息的來(lái)源��,如用戶即時(shí)通訊賬號(hào)和密碼�����,另一方面也是黑客發(fā)動(dòng)網(wǎng)絡(luò)攻擊的理想平臺(tái)����。由于控制了大量僵尸機(jī)���,黑客可以輕易發(fā)動(dòng)大規(guī)模DDOS攻擊����,也可以發(fā)動(dòng)掃描攻擊以招募新成員從而進(jìn)一步擴(kuò)大僵尸網(wǎng)絡(luò)的規(guī)模。僵尸網(wǎng)絡(luò)主要包括三個(gè)方面�����,一是僵尸機(jī)����,二是控制端����,三是用于僵尸機(jī)和控制端通信的命令與控制通道。當(dāng)一臺(tái)正常的計(jì)算機(jī)被攻擊者控制后即成為僵尸機(jī)并加入到僵尸網(wǎng)絡(luò)中�����,僵尸機(jī)會(huì)定期或不定期與控制者通過(guò)命令與控制通道聯(lián)系并獲取控制者的攻擊指令�����,實(shí)現(xiàn)諸如對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)異常流量攻擊等���。目前僵尸網(wǎng)絡(luò)已經(jīng)成為互聯(lián)網(wǎng)上最主要的網(wǎng)絡(luò)攻擊手段���。3G網(wǎng)絡(luò)牌照的發(fā)放及部署�����,為移動(dòng)互聯(lián)網(wǎng)的發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ),移動(dòng)互聯(lián)網(wǎng)的用戶數(shù)規(guī)模呈現(xiàn)高速發(fā)展的態(tài)勢(shì)��。隨著移動(dòng)互聯(lián)網(wǎng)智能終端的普及���,手機(jī)惡意代碼開(kāi)始出現(xiàn)并快速蔓延�。由于手機(jī)惡意代碼可以帶來(lái)比計(jì)算機(jī)惡意代碼更大的經(jīng)濟(jì)利益,而且手機(jī)中往往包含有更多的用戶隱私信息,與用戶關(guān)系更為緊密����,因此編寫和散播手機(jī)惡意代碼更為黑客所青睞�����。加之許多用戶在使用手機(jī)時(shí)的安全意識(shí)非常薄弱,移動(dòng)互聯(lián)網(wǎng)面臨的安全問(wèn)題將比傳統(tǒng)互聯(lián)網(wǎng)更為嚴(yán)峻���。“毒媒”木馬全年累計(jì)感染約200多萬(wàn)個(gè)用戶手機(jī)�,“手機(jī)骷髏”病毒累計(jì)感染83萬(wàn)余個(gè)用戶手機(jī)�����。“X臥底”手機(jī)木馬更具破壞性�����,一旦被感染��,所有短信���、通話記錄�、聯(lián)系人��、聯(lián)系時(shí)間�����,甚至通話等均被監(jiān)控。相比于傳統(tǒng)基于性能更強(qiáng)的個(gè)人計(jì)算機(jī)的僵尸木馬,移動(dòng)智能僵尸木馬的設(shè)計(jì)新特性將使傳統(tǒng)檢測(cè)方法失效���。移動(dòng)智能僵尸木馬的設(shè)計(jì)新特性主要包括(1)低耗電設(shè)計(jì),用戶終端的日常耗電量一般具有規(guī)律性,如果移動(dòng)僵尸木馬消耗用戶終端電池電量過(guò)于明顯�,則非常容易被用戶發(fā)現(xiàn)�����,導(dǎo)致用戶采用重裝系統(tǒng)等辦法來(lái)移除僵尸木馬程序�。(2)用戶花費(fèi),由于目前移動(dòng)智能終端上網(wǎng)費(fèi)用仍舊比較高,用戶可通過(guò)運(yùn)營(yíng)商賬單獲知其詳細(xì)費(fèi)用�,如果由于僵尸木馬活動(dòng)頻繁導(dǎo)致其費(fèi)用偏高���,則用戶非常容易發(fā)現(xiàn)��。因此,移動(dòng)僵尸木馬將采用更加隱蔽的技術(shù)來(lái)避免被用戶發(fā)現(xiàn),其活動(dòng)將更加難以被發(fā)現(xiàn)�。這樣�,傳統(tǒng)檢測(cè)系統(tǒng)就難以搜集到足夠的信息�,檢測(cè)難度極大。
發(fā)明內(nèi)容
6
本發(fā)明的目的是針對(duì)移動(dòng)互聯(lián)網(wǎng)中僵尸木馬的防護(hù)問(wèn)題,提供一種防護(hù)方法及其系統(tǒng)�����,一方面可以及時(shí)發(fā)現(xiàn)與防護(hù)移動(dòng)終端上的僵尸木馬程序���,另一方面可以及時(shí)發(fā)現(xiàn)與防護(hù)僵尸木馬程序在移動(dòng)終端上的惡意活動(dòng)�����。通過(guò)對(duì)移動(dòng)終端僵尸木馬的防護(hù)�,可以有效保護(hù)移動(dòng)終端上的用戶個(gè)人信息��。本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的
本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法���,包括如下步驟步驟Si�,捕獲移動(dòng)互聯(lián)網(wǎng)用戶上網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包����;步驟S2,進(jìn)行移動(dòng)僵尸木馬檢測(cè);步驟S3���,進(jìn)行移動(dòng)僵尸木馬活動(dòng)檢測(cè)�;
步驟S4,對(duì)發(fā)現(xiàn)的移動(dòng)僵尸木馬和移動(dòng)僵尸木馬活動(dòng)進(jìn)行告警和防護(hù)處理���。其中,對(duì)移動(dòng)僵尸木馬的檢測(cè)可以利用移動(dòng)僵尸木馬特征碼和/或移動(dòng)僵尸木馬行為特征模型進(jìn)行檢測(cè)��;對(duì)移動(dòng)僵尸木馬活動(dòng)的檢測(cè)可以利用移動(dòng)僵尸木馬活動(dòng)特征碼和/或移動(dòng)僵尸木馬行為活動(dòng)特征模型進(jìn)行檢測(cè)。本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)系統(tǒng)�����,包括如下模塊
網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊���,用于捕獲移動(dòng)互聯(lián)網(wǎng)用戶上網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包��,將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包交由移動(dòng)僵尸木馬檢測(cè)模塊和移動(dòng)僵尸木馬活動(dòng)檢測(cè)模塊進(jìn)行檢測(cè)�����;
移動(dòng)僵尸木馬檢測(cè)模塊,用于對(duì)移動(dòng)僵尸木馬的檢測(cè)�,首先將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬特征碼進(jìn)行匹配�����,如果匹配成功,則結(jié)束對(duì)移動(dòng)僵尸木馬的檢測(cè)�,如果匹配不成功�,則提取其行為特征����,將其與移動(dòng)僵尸木馬行為特征模型進(jìn)行匹配�����,如果匹配成功���,則將其加入到移動(dòng)僵尸木馬庫(kù)中���,如果匹配不成功��,則結(jié)束對(duì)移動(dòng)僵尸木馬的檢測(cè);
移動(dòng)僵尸木馬活動(dòng)檢測(cè)模塊���,用于對(duì)移動(dòng)僵尸木馬活動(dòng)的檢測(cè),首先將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包或者來(lái)自于移動(dòng)僵尸木馬庫(kù)中的網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬活動(dòng)特征碼進(jìn)行匹配��,如果匹配成功���,則將檢測(cè)到的移動(dòng)僵尸木馬活動(dòng)加入到移動(dòng)僵尸木馬活動(dòng)庫(kù)中���,如果匹配不成功�����,則進(jìn)行異常網(wǎng)絡(luò)數(shù)據(jù)流檢測(cè)���,如果檢測(cè)到異常網(wǎng)絡(luò)數(shù)據(jù)流���,則將其加入到移動(dòng)僵尸木馬活動(dòng)庫(kù)中�,如果沒(méi)有檢測(cè)到異常網(wǎng)絡(luò)數(shù)據(jù)流�����,則結(jié)束對(duì)移動(dòng)僵尸木馬活動(dòng)的檢測(cè)�;
移動(dòng)僵尸木馬告警與防護(hù)模塊�,用于對(duì)發(fā)現(xiàn)的移動(dòng)僵尸木馬或者移動(dòng)僵尸木馬活動(dòng)進(jìn)行告警與防護(hù),告警的方式可以是短信或者郵件的方式�,對(duì)正在進(jìn)行的竊取用戶個(gè)人信息的可疑行為進(jìn)行上報(bào)并及時(shí)進(jìn)行阻斷。由于本發(fā)明采用了以上的技術(shù)方案,因此本發(fā)明可以達(dá)到以下的有益效果
1、本發(fā)明可有效檢測(cè)已知移動(dòng)僵尸木馬并具備檢測(cè)未知移動(dòng)僵尸木馬的能力����。移動(dòng)僵尸木馬具有比傳統(tǒng)計(jì)算機(jī)僵尸木馬更加隱秘的通信方式以降低耗電量和減少通信量�����,本發(fā)明采用基于統(tǒng)計(jì)的移動(dòng)僵尸木馬隱藏命令與控制通道檢測(cè)方法,結(jié)合移動(dòng)僵尸木馬行為特征模型進(jìn)行檢測(cè),可有效提高檢測(cè)率�����,同時(shí)降低誤報(bào)率。2、本發(fā)明可有效檢測(cè)已知移動(dòng)僵尸木馬活動(dòng)并具備檢測(cè)未知移動(dòng)僵尸木馬活動(dòng)的能力���,通過(guò)檢測(cè)竊取用戶資料的異常網(wǎng)絡(luò)數(shù)據(jù)流,實(shí)現(xiàn)了對(duì)用戶個(gè)人信息的保護(hù)。
圖1為本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法的工作流程圖。圖2為本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法的移動(dòng)僵尸木馬檢測(cè)步驟的流程圖。圖3為本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法的移動(dòng)僵尸木馬隱藏命令與控制通道檢測(cè)步驟的流程圖�。圖4為本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法的移動(dòng)僵尸木馬活動(dòng)檢測(cè)步驟的流程圖�����。圖5為本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)系統(tǒng)的一種部署方式示意圖。圖6為本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)系統(tǒng)的另一種部署方式示意圖。
具體實(shí)施例方式下面結(jié)合附圖詳細(xì)說(shuō)明本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法及其系統(tǒng)�����。如圖1所示��,本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法包括如下步驟步驟Si��,捕獲移動(dòng)互聯(lián)網(wǎng)用戶上網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包;
步驟S2����,進(jìn)行移動(dòng)僵尸木馬檢測(cè)�;步驟S3���,進(jìn)行移動(dòng)僵尸木馬活動(dòng)檢測(cè)�;
步驟S4�,對(duì)發(fā)現(xiàn)的移動(dòng)僵尸木馬和移動(dòng)僵尸木馬活動(dòng)進(jìn)行告警和防護(hù)處理。其中���,對(duì)移動(dòng)僵尸木馬的檢測(cè)可以利用移動(dòng)僵尸木馬特征碼和/或移動(dòng)僵尸木馬行為特征模型進(jìn)行檢測(cè);對(duì)移動(dòng)僵尸木馬活動(dòng)的檢測(cè)可以利用移動(dòng)僵尸木馬活動(dòng)特征碼和/或移動(dòng)僵尸木馬行為活動(dòng)特征模型進(jìn)行檢測(cè)����。具體的�,在上述的步驟S2中���,如圖2所示��,進(jìn)行移動(dòng)僵尸木馬檢測(cè)的步驟包括步驟S21���,接收網(wǎng)絡(luò)數(shù)據(jù)包�����;步驟S22,利用移動(dòng)僵尸木馬特征碼庫(kù)判斷網(wǎng)絡(luò)數(shù)據(jù)包是否與已知移動(dòng)僵尸木馬特征相匹配,如果網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬特征相匹配����,則結(jié)束步驟S2�����,如果網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬特征不匹配,則轉(zhuǎn)到步驟S23 �;步驟S23����,進(jìn)行移動(dòng)僵尸木馬行為特征的檢測(cè)�,如果檢測(cè)到移動(dòng)僵尸木馬行為�����,則轉(zhuǎn)到步驟S24��,如果沒(méi)有檢測(cè)到移動(dòng)僵尸木馬行為,則結(jié)束步驟S2 �����;對(duì)移動(dòng)僵尸木馬行為特征的檢測(cè)包括對(duì)移動(dòng)僵尸木馬隱藏命令與控制通道的檢測(cè)和/或?qū)σ苿?dòng)僵尸木馬活動(dòng)特征的檢測(cè)���,對(duì)移動(dòng)僵尸木馬隱藏命令與控制通道的檢測(cè)采用特征碼檢測(cè)和/或行為檢測(cè)的檢測(cè)方法�,對(duì)移動(dòng)僵尸木馬活動(dòng)特征的檢測(cè)采用特征碼檢測(cè)和/或異常網(wǎng)絡(luò)數(shù)據(jù)流檢測(cè)的檢測(cè)方法;步驟S24�,將檢測(cè)到的移動(dòng)僵尸木馬行為添加到移動(dòng)僵尸木馬行為特征庫(kù)中�����;步驟S25���,判斷移動(dòng)僵尸木馬行為特征庫(kù)中的行為特征是否匹配移動(dòng)僵尸木馬行為模型����,如果移動(dòng)僵尸木馬行為特征庫(kù)中的行為特征匹配移動(dòng)僵尸木馬行為模型�,則轉(zhuǎn)到步驟S26,如果移動(dòng)僵尸木馬行為特征庫(kù)中的行為特征不匹配移動(dòng)僵尸木馬行為模型�,則結(jié)束步驟S2 �;移動(dòng)僵尸木馬行為模型為
η
= ¥/χJdeiea(JT)����,
其中ι力命令與控制通道的權(quán)重;Jttert(Z)為是否檢測(cè)到移動(dòng)僵尸木馬隱藏命令與控制通道的檢測(cè)函數(shù)���,如果成功檢測(cè)到移動(dòng)僵尸木馬隱藏命令與控制通道其值為1����,否則為0 ;4為檢測(cè)到的惡意事件,如果檢測(cè)到惡意事件其值為1�,否則為0 為權(quán)重��;步驟S26,將成功檢測(cè)到的移動(dòng)僵尸木馬添加到移動(dòng)僵尸木馬庫(kù)中�;步驟S27�,將成功檢測(cè)到的移動(dòng)僵尸木馬進(jìn)行告警����。具體的,在上述的步驟S23中,如圖3所示��,對(duì)移動(dòng)僵尸木馬隱藏命令與控制通道的檢測(cè)步驟包括步驟S231�����,提取網(wǎng)絡(luò)數(shù)據(jù)包源IP地址�;步驟S232���,判斷網(wǎng)絡(luò)數(shù)據(jù)包源IP地址是否是已知的源IP地址��,如果是已知的源IP地址��,則轉(zhuǎn)到步驟S233,如果是新的源IP地址����,則轉(zhuǎn)到步驟S234 �����;步驟S233,源IP地址計(jì)數(shù)器加1,然后轉(zhuǎn)到步驟S235 ;步驟S234���,增加一個(gè)新的源IP地址���,源IP地址計(jì)數(shù)器置1 �����;步驟S235���,提取網(wǎng)絡(luò)數(shù)據(jù)包目標(biāo)端口號(hào)�;步驟S236�����,判斷網(wǎng)絡(luò)數(shù)據(jù)包目標(biāo)端口號(hào)是否是已知的目標(biāo)端口號(hào)�����,如果是已知的目標(biāo)端口號(hào),則轉(zhuǎn)到步驟S237,如果是新的目標(biāo)端口號(hào)���,則轉(zhuǎn)到步驟S238 ;步驟S237�����,目標(biāo)端口號(hào)計(jì)數(shù)器加1,然后轉(zhuǎn)到步驟S239 ;步驟S238��,增加一個(gè)新的目標(biāo)端口號(hào)�����,目標(biāo)端口號(hào)計(jì)數(shù)器置1 ����;步驟S239����,提取網(wǎng)絡(luò)數(shù)據(jù)包目標(biāo)IP地址��;步驟S2310����,判斷網(wǎng)絡(luò)數(shù)據(jù)包目標(biāo)IP地址是否是已知的目標(biāo)IP地址�����,如果是已知的目標(biāo)IP地址���,則轉(zhuǎn)到步驟S2311����,如果是新的目標(biāo)IP地址����,則轉(zhuǎn)到步驟S2312 ;步驟S2311��,目標(biāo)IP地址計(jì)數(shù)器加1����,然后轉(zhuǎn)到步驟S2313 ;步驟S2312�,增加一個(gè)新的目標(biāo)IP地址���,目標(biāo)IP地址計(jì)數(shù)器置1 �����;步驟S2313�����,計(jì)算數(shù)據(jù)包出現(xiàn)概率��,計(jì)算方法為用數(shù)據(jù)包目標(biāo)IP地址計(jì)數(shù)器內(nèi)的數(shù)值除以源IP地址計(jì)數(shù)器內(nèi)的數(shù)值;步驟S2314���,計(jì)算數(shù)據(jù)包分?jǐn)?shù),計(jì)算方法為用-1乘以數(shù)據(jù)包出現(xiàn)概率的對(duì)數(shù)��;步驟S2315���,判斷數(shù)據(jù)包分?jǐn)?shù)是否大于一個(gè)給定的閾值��,如果數(shù)據(jù)包分?jǐn)?shù)大于一個(gè)給定的閾值���,則轉(zhuǎn)到步驟S2316��,如果數(shù)據(jù)包分?jǐn)?shù)不大于一個(gè)給定的閾值,則結(jié)束對(duì)移動(dòng)僵尸木馬隱藏命令與控制通道進(jìn)行檢測(cè)的步驟�,其中給定的閾值根據(jù)網(wǎng)絡(luò)環(huán)境的不同而有所不同�����;步驟S2316,檢測(cè)到移動(dòng)僵尸木馬隱藏命令與控制通道,結(jié)束對(duì)移動(dòng)僵尸木馬隱藏命令與控制通道進(jìn)行檢測(cè)的步驟���。由于手機(jī)惡意代碼可以帶來(lái)比計(jì)算機(jī)惡意代碼更大的經(jīng)濟(jì)利益���,而且手機(jī)中往往包含有更多的用戶隱私信息�,與用戶關(guān)系更為緊密�。因此編寫和散播手機(jī)惡意代碼的最主要目的是竊取用戶個(gè)人信息���,如用戶通話記錄�、電話薄、短信內(nèi)容����、用戶文件等����。因此�����,本發(fā)明重點(diǎn)檢測(cè)上傳用戶資料的異常網(wǎng)絡(luò)數(shù)據(jù)流�����。本發(fā)明采用先建立正常網(wǎng)絡(luò)數(shù)據(jù)流模型,然后將待檢測(cè)數(shù)據(jù)流與正常網(wǎng)絡(luò)數(shù)據(jù)流模型進(jìn)行比較,如果待檢測(cè)數(shù)據(jù)流偏離正常網(wǎng)絡(luò)數(shù)據(jù)流模型超過(guò)一個(gè)給定的閾值�����,則說(shuō)明待檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流為異常網(wǎng)絡(luò)數(shù)據(jù)流�����,否則為正常網(wǎng)絡(luò)數(shù)據(jù)流�����。在上述的步驟S23中,異常網(wǎng)絡(luò)數(shù)據(jù)流檢測(cè)的步驟包括
1)對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)流按目標(biāo)IP地址進(jìn)行分類����,計(jì)算 時(shí)刻流向每一個(gè)IP地址數(shù)據(jù)流中包含的以字節(jié)為單位的字節(jié)數(shù),其計(jì)算公式為
權(quán)利要求
1.一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法,其特征在于��,包括如下步驟步驟Si��,捕獲移動(dòng)互聯(lián)網(wǎng)用戶上網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包�����;步驟S2,利用移動(dòng)僵尸木馬特征碼和/或移動(dòng)僵尸木馬行為特征模型進(jìn)行移動(dòng)僵尸木馬的檢測(cè)�;步驟S3�����,利用移動(dòng)僵尸木馬活動(dòng)特征碼和/或移動(dòng)僵尸木馬行為活動(dòng)特征模型進(jìn)行移動(dòng)僵尸木馬活動(dòng)的檢測(cè);步驟S4���,對(duì)發(fā)現(xiàn)的移動(dòng)僵尸木馬和移動(dòng)僵尸木馬活動(dòng)進(jìn)行告警和防護(hù)處理。
2.如權(quán)利要求1所述的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法����,其特征在于�����,所述的進(jìn)行移動(dòng)僵尸木馬檢測(cè)的步驟包括步驟S21,接收網(wǎng)絡(luò)數(shù)據(jù)包���;步驟S22,利用移動(dòng)僵尸木馬特征碼庫(kù)判斷網(wǎng)絡(luò)數(shù)據(jù)包是否與已知移動(dòng)僵尸木馬特征相匹配,如果網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬特征相匹配�����,則結(jié)束步驟S2�����,如果網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬特征不匹配���,則轉(zhuǎn)到步驟S23 ��;步驟S23,進(jìn)行移動(dòng)僵尸木馬行為特征的檢測(cè)���,如果檢測(cè)到移動(dòng)僵尸木馬行為,則轉(zhuǎn)到步驟S24����,如果沒(méi)有檢測(cè)到移動(dòng)僵尸木馬行為����,則結(jié)束步驟S2 ����;步驟S24,將檢測(cè)到的移動(dòng)僵尸木馬行為添加到移動(dòng)僵尸木馬行為特征庫(kù)中����;步驟S25����,判斷移動(dòng)僵尸木馬行為特征庫(kù)中的行為特征是否匹配移動(dòng)僵尸木馬行為模型�,如果移動(dòng)僵尸木馬行為特征庫(kù)中的行為特征匹配移動(dòng)僵尸木馬行為模型,則轉(zhuǎn)到步驟S26���,如果移動(dòng)僵尸木馬行為特征庫(kù)中的行為特征不匹配移動(dòng)僵尸木馬行為模型,則結(jié)束步驟S2 �;移動(dòng)僵尸木馬行為模型為其中��,巧為命令與控制通道的權(quán)重-J-JX)為是否檢測(cè)到移動(dòng)僵尸木馬隱藏命令與控制通道的檢測(cè)函數(shù),如果成功檢測(cè)到移動(dòng)僵尸木馬隱藏命令與控制通道其值為1��,否則為0 為檢測(cè)到的惡意事件�,如果檢測(cè)到惡意事件其值為1�,否則為0 為權(quán)重;步驟S26�,將成功檢測(cè)到的移動(dòng)僵尸木馬添加到移動(dòng)僵尸木馬庫(kù)中�����;步驟S27,將成功檢測(cè)到的移動(dòng)僵尸木馬進(jìn)行告警�。
3.如權(quán)利要求2所述的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法�,其特征在于�����,所述的移動(dòng)僵尸木馬行為特征的檢測(cè)包括對(duì)移動(dòng)僵尸木馬隱藏命令與控制通道的檢測(cè)和/或?qū)σ苿?dòng)僵尸木馬活動(dòng)特征的檢測(cè)�。
4.如權(quán)利要求3所述的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法����,其特征在于,所述的移動(dòng)僵尸木馬隱藏命令與控制通道的檢測(cè)采用特征碼檢測(cè)和/或行為檢測(cè)的檢測(cè)方法。
5.如權(quán)利要求3所述的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法�,其特征在于�����,所述的移動(dòng)僵尸木馬活動(dòng)特征的檢測(cè)采用特征碼檢測(cè)和/或異常網(wǎng)絡(luò)數(shù)據(jù)流檢測(cè)的檢測(cè)方法。
6.如權(quán)利要求3所述的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法�,其特征在于�����,所述的移動(dòng)僵尸木馬隱藏命令與控制通道的檢測(cè)步驟包括步驟S231,提取網(wǎng)絡(luò)數(shù)據(jù)包源IP地址��;步驟S232�,判斷網(wǎng)絡(luò)數(shù)據(jù)包源IP地址是否是已知的源IP地址,如果是已知的源IP地址����,則轉(zhuǎn)到步驟S233,如果是新的源IP地址,則轉(zhuǎn)到步驟S234 ;步驟S233��,源IP地址計(jì)數(shù)器加1����,然后轉(zhuǎn)到步驟S235 ;步驟S234�,增加一個(gè)新的源IP地址�,源IP地址計(jì)數(shù)器置1 �����;步驟S235���,提取網(wǎng)絡(luò)數(shù)據(jù)包目標(biāo)端口號(hào)�;步驟S236,判斷網(wǎng)絡(luò)數(shù)據(jù)包目標(biāo)端口號(hào)是否是已知的目標(biāo)端口號(hào),如果是已知的目標(biāo)端口號(hào)���,則轉(zhuǎn)到步驟S237,如果是新的目標(biāo)端口號(hào)����,則轉(zhuǎn)到步驟S238 ����;步驟S237�����,目標(biāo)端口號(hào)計(jì)數(shù)器加1����,然后轉(zhuǎn)到步驟S239 �����;步驟S238,增加一個(gè)新的目標(biāo)端口號(hào)��,目標(biāo)端口號(hào)計(jì)數(shù)器置1 �����;步驟S239����,提取網(wǎng)絡(luò)數(shù)據(jù)包目標(biāo)IP地址����;步驟S2310,判斷網(wǎng)絡(luò)數(shù)據(jù)包目標(biāo)IP地址是否是已知的目標(biāo)IP地址,如果是已知的目標(biāo)IP地址���,則轉(zhuǎn)到步驟S2311,如果是新的目標(biāo)IP地址,則轉(zhuǎn)到步驟S2312 ;步驟S2311�����,目標(biāo)IP地址計(jì)數(shù)器加1��,然后轉(zhuǎn)到步驟S2313 ����;步驟S2312�,增加一個(gè)新的目標(biāo)IP地址,目標(biāo)IP地址計(jì)數(shù)器置1 ����;步驟S2313�,計(jì)算數(shù)據(jù)包出現(xiàn)概率�����,計(jì)算方法為用數(shù)據(jù)包目標(biāo)IP地址計(jì)數(shù)器內(nèi)的數(shù)值除以源IP地址計(jì)數(shù)器內(nèi)的數(shù)值;步驟S2314����,計(jì)算數(shù)據(jù)包分?jǐn)?shù)�,計(jì)算方法為用-1乘以數(shù)據(jù)包出現(xiàn)概率的對(duì)數(shù)�����;步驟S2315��,判斷數(shù)據(jù)包分?jǐn)?shù)是否大于一個(gè)給定的閾值��,如果數(shù)據(jù)包分?jǐn)?shù)大于一個(gè)給定的閾值,則轉(zhuǎn)到步驟S2316����,如果數(shù)據(jù)包分?jǐn)?shù)不大于一個(gè)給定的閾值�,則結(jié)束對(duì)移動(dòng)僵尸木馬隱藏命令與控制通道進(jìn)行檢測(cè)的步驟�����;步驟S2316��,檢測(cè)到移動(dòng)僵尸木馬隱藏命令與控制通道,結(jié)束對(duì)移動(dòng)僵尸木馬隱藏命令與控制通道進(jìn)行檢測(cè)的步驟�����。
7.如權(quán)利要求1所述的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法����,其特征在于�,所述的進(jìn)行移動(dòng)僵尸木馬活動(dòng)檢測(cè)的步驟包括步驟S31,接收網(wǎng)絡(luò)數(shù)據(jù)包����;步驟S32�����,提取網(wǎng)絡(luò)數(shù)據(jù)包IP地址;步驟S33��,判斷該網(wǎng)絡(luò)數(shù)據(jù)包IP地址是否在發(fā)現(xiàn)的移動(dòng)僵尸木馬庫(kù)中�����,是則轉(zhuǎn)到步驟S34�,否則結(jié)束步驟S3 ��;步驟S34�����,將該網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬活動(dòng)庫(kù)的特征碼進(jìn)行匹配,如果匹配成功��,則轉(zhuǎn)到步驟S36���,否則轉(zhuǎn)到步驟S35 ���;步驟S35�,進(jìn)行異常網(wǎng)絡(luò)數(shù)據(jù)流檢測(cè),如果檢測(cè)到異常網(wǎng)絡(luò)數(shù)據(jù)流,則轉(zhuǎn)到步驟S36���,否則結(jié)束步驟S3 ;步驟S36,將檢測(cè)到的移動(dòng)僵尸木馬活動(dòng)添加到移動(dòng)僵尸木馬活動(dòng)庫(kù)中;步驟S37���,將成功檢測(cè)到的移動(dòng)僵尸木馬活動(dòng)進(jìn)行告警�。
8.如權(quán)利要求5或者7所述的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法,其特征在于�,所述的異常網(wǎng)絡(luò)數(shù)據(jù)流檢測(cè)的步驟包括對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)流按目標(biāo)IP地址進(jìn)行分類�����,計(jì)算 時(shí)刻流向每一個(gè)IP地址數(shù)據(jù)流中包含的以字節(jié)為單位的字節(jié)數(shù),其計(jì)算公式其中,3 為 時(shí)刻流向每一個(gè)IP地址數(shù)據(jù)流中包含的以字節(jié)為單位的字節(jié)數(shù)��,~為第J個(gè)數(shù)據(jù)流流向目標(biāo)地址釣的數(shù)據(jù)流中包含的以字節(jié)為單位的字節(jié)數(shù)力目標(biāo)地址為釣的數(shù)據(jù)流總數(shù)��;計(jì)算 時(shí)刻流向每一個(gè)IP地址應(yīng)用層數(shù)據(jù)數(shù)據(jù)流凈載荷中包含的以字節(jié)為單位的字節(jié)數(shù)���,其計(jì)算公式為
9. 一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)系統(tǒng)�,其特征在于��,包括如下模塊網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊���,用于捕獲移動(dòng)互聯(lián)網(wǎng)用戶上網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)包��,將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包交由移動(dòng)僵尸木馬檢測(cè)模塊和移動(dòng)僵尸木馬活動(dòng)檢測(cè)模塊進(jìn)行檢測(cè)���;移動(dòng)僵尸木馬檢測(cè)模塊���,用于對(duì)移動(dòng)僵尸木馬的檢測(cè)�����,首先將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬特征碼進(jìn)行匹配���,如果匹配成功�,則結(jié)束對(duì)移動(dòng)僵尸木馬的檢測(cè)��,如果匹配不成功,則提取其行為特征�����,將其與移動(dòng)僵尸木馬行為特征模型進(jìn)行匹配����,如果匹配成功,則將其加入到移動(dòng)僵尸木馬庫(kù)中�,如果匹配不成功���,則結(jié)束對(duì)移動(dòng)僵尸木馬的檢測(cè)�����;移動(dòng)僵尸木馬活動(dòng)檢測(cè)模塊,用于對(duì)移動(dòng)僵尸木馬活動(dòng)的檢測(cè)�,首先將捕獲的網(wǎng)絡(luò)數(shù)據(jù)包或者來(lái)自于移動(dòng)僵尸木馬庫(kù)中的網(wǎng)絡(luò)數(shù)據(jù)包與已知移動(dòng)僵尸木馬活動(dòng)特征碼進(jìn)行匹配��,如果匹配成功,則將檢測(cè)到的移動(dòng)僵尸木馬活動(dòng)加入到移動(dòng)僵尸木馬活動(dòng)庫(kù)中����,如果匹配不成功��,則進(jìn)行異常網(wǎng)絡(luò)數(shù)據(jù)流檢測(cè),如果檢測(cè)到異常網(wǎng)絡(luò)數(shù)據(jù)流��,則將其加入到移動(dòng)僵尸木馬活動(dòng)庫(kù)中,如果沒(méi)有檢測(cè)到異常網(wǎng)絡(luò)數(shù)據(jù)流���,則結(jié)束對(duì)移動(dòng)僵尸木馬活動(dòng)的檢測(cè);移動(dòng)僵尸木馬告警與防護(hù)模塊�����,用于對(duì)發(fā)現(xiàn)的移動(dòng)僵尸木馬或者移動(dòng)僵尸木馬活動(dòng)進(jìn)行告警與防護(hù)���,告警的方式可以是短信或者郵件的方式�,對(duì)正在進(jìn)行的竊取用戶個(gè)人信息的可疑行為進(jìn)行上報(bào)并及時(shí)進(jìn)行阻斷��。
10.如權(quán)利要求9所述的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)系統(tǒng)���,其特征在于�,所述的移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)系統(tǒng)部署于企事業(yè)單位接入互聯(lián)網(wǎng)的位置�。
全文摘要
一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法及其系統(tǒng),涉及信息安全領(lǐng)域�。防護(hù)方法包括如下步驟步驟S1���,捕獲移動(dòng)互聯(lián)網(wǎng)用戶上網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)包���;步驟S2�,進(jìn)行移動(dòng)僵尸木馬檢測(cè)�;步驟S3,進(jìn)行移動(dòng)僵尸木馬活動(dòng)檢測(cè)����;步驟S4���,對(duì)發(fā)現(xiàn)的移動(dòng)僵尸木馬和移動(dòng)僵尸木馬活動(dòng)進(jìn)行告警和防護(hù)處理����。防護(hù)系統(tǒng)包括網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、移動(dòng)僵尸木馬檢測(cè)模塊��、移動(dòng)僵尸木馬活動(dòng)檢測(cè)模塊和移動(dòng)僵尸木馬告警與防護(hù)模塊����。本發(fā)明的一種移動(dòng)互聯(lián)網(wǎng)中僵尸木馬防護(hù)方法及其系統(tǒng),可有效檢測(cè)已知移動(dòng)僵尸木馬并具備檢測(cè)未知移動(dòng)僵尸木馬的能力�,可有效檢測(cè)已知移動(dòng)僵尸木馬活動(dòng)并具備檢測(cè)未知移動(dòng)僵尸木馬活動(dòng)的能力。
文檔編號(hào)H04L29/06GK102571796SQ20121000944
公開(kāi)日2012年7月11日 申請(qǐng)日期2012年1月13日 優(yōu)先權(quán)日2012年1月13日
發(fā)明者曾金全 申請(qǐng)人:電子科技大學(xué)