專利名稱:一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法及其系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及信息安全領域�����,特別涉及一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法及其系統(tǒng)�。
背景技術:
木馬是一種遠程黑客控制工具,一旦用戶感染了木馬����,用戶計算機上的信息將暴露于黑客面前。木馬技術主要采用的是一種一對一的控制技術�,即黑客控制感染木馬的計算機,主要目的是竊取客戶計算機上的信息����。相比于傳統(tǒng)木馬技術�����,僵尸網(wǎng)絡是在傳統(tǒng)計算機病毒�����、木馬和蠕蟲技術基礎上發(fā)展起來的一個分布式的網(wǎng)絡攻擊平臺���。它借助于IRC、HTTP��、P2P等技術����,將多臺僵尸機組成一個受控的大規(guī)模僵尸網(wǎng)絡。利用這個受控的僵尸網(wǎng)絡作為攻擊平臺�,一方面這個攻擊平臺可以作為竊取用戶信息的來源,如用戶即時通訊賬號和密碼��,另一方面也是黑客發(fā)動網(wǎng)絡攻擊的理想平臺����。由于控制了大量僵尸機����,黑客可以輕易發(fā)動大規(guī)模DDOS攻擊�����,也可以發(fā)動掃描攻擊以招募新成員從而進一步擴大僵尸網(wǎng)絡的規(guī)模�。僵尸網(wǎng)絡主要包括三個方面�,一是僵尸機,二是控制端���,三是用于僵尸機和控制端通信的命令與控制通道��。當一臺正常的計算機被攻擊者控制后即成為僵尸機并加入到僵尸網(wǎng)絡中�,僵尸機會定期或不定期與控制者通過命令與控制通道聯(lián)系并獲取控制者的攻擊指令���,實現(xiàn)諸如對一個或多個目標發(fā)動異常流量攻擊等����。目前僵尸網(wǎng)絡已經(jīng)成為互聯(lián)網(wǎng)上最主要的網(wǎng)絡攻擊手段�。3G網(wǎng)絡牌照的發(fā)放及部署,為移動互聯(lián)網(wǎng)的發(fā)展奠定了堅實的基礎����,移動互聯(lián)網(wǎng)的用戶數(shù)規(guī)模呈現(xiàn)高速發(fā)展的態(tài)勢��。隨著移動互聯(lián)網(wǎng)智能終端的普及���,手機惡意代碼開始出現(xiàn)并快速蔓延。由于手機惡意代碼可以帶來比計算機惡意代碼更大的經(jīng)濟利益�,而且手機中往往包含有更多的用戶隱私信息,與用戶關系更為緊密���,因此編寫和散播手機惡意代碼更為黑客所青睞���。加之許多用戶在使用手機時的安全意識非常薄弱,移動互聯(lián)網(wǎng)面臨的安全問題將比傳統(tǒng)互聯(lián)網(wǎng)更為嚴峻�。“毒媒”木馬全年累計感染約200多萬個用戶手機�����,“手機骷髏”病毒累計感染83萬余個用戶手機����。“X臥底”手機木馬更具破壞性��,一旦被感染��,所有短信、通話記錄����、聯(lián)系人�、聯(lián)系時間,甚至通話等均被監(jiān)控��。相比于傳統(tǒng)基于性能更強的個人計算機的僵尸木馬����,移動智能僵尸木馬的設計新特性將使傳統(tǒng)檢測方法失效。移動智能僵尸木馬的設計新特性主要包括(1)低耗電設計��,用戶終端的日常耗電量一般具有規(guī)律性���,如果移動僵尸木馬消耗用戶終端電池電量過于明顯�,則非常容易被用戶發(fā)現(xiàn)��,導致用戶采用重裝系統(tǒng)等辦法來移除僵尸木馬程序����。(2)用戶花費,由于目前移動智能終端上網(wǎng)費用仍舊比較高�����,用戶可通過運營商賬單獲知其詳細費用,如果由于僵尸木馬活動頻繁導致其費用偏高����,則用戶非常容易發(fā)現(xiàn)。因此��,移動僵尸木馬將采用更加隱蔽的技術來避免被用戶發(fā)現(xiàn)����,其活動將更加難以被發(fā)現(xiàn)。這樣��,傳統(tǒng)檢測系統(tǒng)就難以搜集到足夠的信息�����,檢測難度極大�。
發(fā)明內(nèi)容
6
本發(fā)明的目的是針對移動互聯(lián)網(wǎng)中僵尸木馬的防護問題,提供一種防護方法及其系統(tǒng)����,一方面可以及時發(fā)現(xiàn)與防護移動終端上的僵尸木馬程序,另一方面可以及時發(fā)現(xiàn)與防護僵尸木馬程序在移動終端上的惡意活動。通過對移動終端僵尸木馬的防護�,可以有效保護移動終端上的用戶個人信息。本發(fā)明的目的是通過以下技術方案實現(xiàn)的
本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法�����,包括如下步驟步驟Si����,捕獲移動互聯(lián)網(wǎng)用戶上網(wǎng)網(wǎng)絡數(shù)據(jù)包�;步驟S2,進行移動僵尸木馬檢測���;步驟S3����,進行移動僵尸木馬活動檢測�;
步驟S4,對發(fā)現(xiàn)的移動僵尸木馬和移動僵尸木馬活動進行告警和防護處理��。其中���,對移動僵尸木馬的檢測可以利用移動僵尸木馬特征碼和/或移動僵尸木馬行為特征模型進行檢測���;對移動僵尸木馬活動的檢測可以利用移動僵尸木馬活動特征碼和/或移動僵尸木馬行為活動特征模型進行檢測���。本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護系統(tǒng),包括如下模塊
網(wǎng)絡數(shù)據(jù)包捕獲模塊��,用于捕獲移動互聯(lián)網(wǎng)用戶上網(wǎng)的網(wǎng)絡數(shù)據(jù)包����,將捕獲的網(wǎng)絡數(shù)據(jù)包交由移動僵尸木馬檢測模塊和移動僵尸木馬活動檢測模塊進行檢測;
移動僵尸木馬檢測模塊��,用于對移動僵尸木馬的檢測�����,首先將捕獲的網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬特征碼進行匹配�,如果匹配成功,則結束對移動僵尸木馬的檢測�,如果匹配不成功,則提取其行為特征����,將其與移動僵尸木馬行為特征模型進行匹配,如果匹配成功�,則將其加入到移動僵尸木馬庫中�����,如果匹配不成功�,則結束對移動僵尸木馬的檢測��;
移動僵尸木馬活動檢測模塊���,用于對移動僵尸木馬活動的檢測����,首先將捕獲的網(wǎng)絡數(shù)據(jù)包或者來自于移動僵尸木馬庫中的網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬活動特征碼進行匹配��,如果匹配成功�����,則將檢測到的移動僵尸木馬活動加入到移動僵尸木馬活動庫中�,如果匹配不成功����,則進行異常網(wǎng)絡數(shù)據(jù)流檢測,如果檢測到異常網(wǎng)絡數(shù)據(jù)流�,則將其加入到移動僵尸木馬活動庫中,如果沒有檢測到異常網(wǎng)絡數(shù)據(jù)流,則結束對移動僵尸木馬活動的檢測����;
移動僵尸木馬告警與防護模塊,用于對發(fā)現(xiàn)的移動僵尸木馬或者移動僵尸木馬活動進行告警與防護����,告警的方式可以是短信或者郵件的方式,對正在進行的竊取用戶個人信息的可疑行為進行上報并及時進行阻斷����。由于本發(fā)明采用了以上的技術方案,因此本發(fā)明可以達到以下的有益效果
1����、本發(fā)明可有效檢測已知移動僵尸木馬并具備檢測未知移動僵尸木馬的能力。移動僵尸木馬具有比傳統(tǒng)計算機僵尸木馬更加隱秘的通信方式以降低耗電量和減少通信量����,本發(fā)明采用基于統(tǒng)計的移動僵尸木馬隱藏命令與控制通道檢測方法,結合移動僵尸木馬行為特征模型進行檢測�,可有效提高檢測率,同時降低誤報率��。2�、本發(fā)明可有效檢測已知移動僵尸木馬活動并具備檢測未知移動僵尸木馬活動的能力�,通過檢測竊取用戶資料的異常網(wǎng)絡數(shù)據(jù)流��,實現(xiàn)了對用戶個人信息的保護��。
圖1為本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法的工作流程圖�����。圖2為本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法的移動僵尸木馬檢測步驟的流程圖�。圖3為本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法的移動僵尸木馬隱藏命令與控制通道檢測步驟的流程圖。圖4為本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法的移動僵尸木馬活動檢測步驟的流程圖�����。圖5為本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護系統(tǒng)的一種部署方式示意圖���。圖6為本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護系統(tǒng)的另一種部署方式示意圖。
具體實施例方式下面結合附圖詳細說明本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法及其系統(tǒng)���。如圖1所示��,本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法包括如下步驟步驟Si�,捕獲移動互聯(lián)網(wǎng)用戶上網(wǎng)網(wǎng)絡數(shù)據(jù)包���;
步驟S2����,進行移動僵尸木馬檢測;步驟S3�,進行移動僵尸木馬活動檢測;
步驟S4�����,對發(fā)現(xiàn)的移動僵尸木馬和移動僵尸木馬活動進行告警和防護處理���。其中����,對移動僵尸木馬的檢測可以利用移動僵尸木馬特征碼和/或移動僵尸木馬行為特征模型進行檢測�;對移動僵尸木馬活動的檢測可以利用移動僵尸木馬活動特征碼和/或移動僵尸木馬行為活動特征模型進行檢測。具體的�����,在上述的步驟S2中�����,如圖2所示,進行移動僵尸木馬檢測的步驟包括步驟S21���,接收網(wǎng)絡數(shù)據(jù)包�����;步驟S22��,利用移動僵尸木馬特征碼庫判斷網(wǎng)絡數(shù)據(jù)包是否與已知移動僵尸木馬特征相匹配���,如果網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬特征相匹配,則結束步驟S2,如果網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬特征不匹配,則轉(zhuǎn)到步驟S23 ��;步驟S23,進行移動僵尸木馬行為特征的檢測��,如果檢測到移動僵尸木馬行為�����,則轉(zhuǎn)到步驟S24�,如果沒有檢測到移動僵尸木馬行為���,則結束步驟S2 ��;對移動僵尸木馬行為特征的檢測包括對移動僵尸木馬隱藏命令與控制通道的檢測和/或?qū)σ苿咏┦抉R活動特征的檢測����,對移動僵尸木馬隱藏命令與控制通道的檢測采用特征碼檢測和/或行為檢測的檢測方法,對移動僵尸木馬活動特征的檢測采用特征碼檢測和/或異常網(wǎng)絡數(shù)據(jù)流檢測的檢測方法�;步驟S24,將檢測到的移動僵尸木馬行為添加到移動僵尸木馬行為特征庫中����;步驟S25,判斷移動僵尸木馬行為特征庫中的行為特征是否匹配移動僵尸木馬行為模型�����,如果移動僵尸木馬行為特征庫中的行為特征匹配移動僵尸木馬行為模型����,則轉(zhuǎn)到步驟S26,如果移動僵尸木馬行為特征庫中的行為特征不匹配移動僵尸木馬行為模型����,則結束步驟S2 ;移動僵尸木馬行為模型為
η
= ¥/χJdeiea(JT)���,
其中ι力命令與控制通道的權重���;Jttert(Z)為是否檢測到移動僵尸木馬隱藏命令與控制通道的檢測函數(shù)��,如果成功檢測到移動僵尸木馬隱藏命令與控制通道其值為1�,否則為0 ;4為檢測到的惡意事件�,如果檢測到惡意事件其值為1,否則為0 為權重����;步驟S26,將成功檢測到的移動僵尸木馬添加到移動僵尸木馬庫中��;步驟S27���,將成功檢測到的移動僵尸木馬進行告警�。具體的�����,在上述的步驟S23中���,如圖3所示����,對移動僵尸木馬隱藏命令與控制通道的檢測步驟包括步驟S231��,提取網(wǎng)絡數(shù)據(jù)包源IP地址����;步驟S232,判斷網(wǎng)絡數(shù)據(jù)包源IP地址是否是已知的源IP地址��,如果是已知的源IP地址�,則轉(zhuǎn)到步驟S233,如果是新的源IP地址�,則轉(zhuǎn)到步驟S234 ;步驟S233��,源IP地址計數(shù)器加1���,然后轉(zhuǎn)到步驟S235 ��;步驟S234���,增加一個新的源IP地址,源IP地址計數(shù)器置1 ;步驟S235����,提取網(wǎng)絡數(shù)據(jù)包目標端口號;步驟S236����,判斷網(wǎng)絡數(shù)據(jù)包目標端口號是否是已知的目標端口號���,如果是已知的目標端口號��,則轉(zhuǎn)到步驟S237����,如果是新的目標端口號�,則轉(zhuǎn)到步驟S238 ;步驟S237�����,目標端口號計數(shù)器加1�,然后轉(zhuǎn)到步驟S239 ;步驟S238�,增加一個新的目標端口號����,目標端口號計數(shù)器置1 ����;步驟S239���,提取網(wǎng)絡數(shù)據(jù)包目標IP地址���;步驟S2310,判斷網(wǎng)絡數(shù)據(jù)包目標IP地址是否是已知的目標IP地址���,如果是已知的目標IP地址��,則轉(zhuǎn)到步驟S2311���,如果是新的目標IP地址,則轉(zhuǎn)到步驟S2312 �;步驟S2311,目標IP地址計數(shù)器加1����,然后轉(zhuǎn)到步驟S2313 �;步驟S2312�����,增加一個新的目標IP地址��,目標IP地址計數(shù)器置1 ��;步驟S2313�����,計算數(shù)據(jù)包出現(xiàn)概率��,計算方法為用數(shù)據(jù)包目標IP地址計數(shù)器內(nèi)的數(shù)值除以源IP地址計數(shù)器內(nèi)的數(shù)值�;步驟S2314,計算數(shù)據(jù)包分數(shù)��,計算方法為用-1乘以數(shù)據(jù)包出現(xiàn)概率的對數(shù)����;步驟S2315,判斷數(shù)據(jù)包分數(shù)是否大于一個給定的閾值�,如果數(shù)據(jù)包分數(shù)大于一個給定的閾值,則轉(zhuǎn)到步驟S2316���,如果數(shù)據(jù)包分數(shù)不大于一個給定的閾值���,則結束對移動僵尸木馬隱藏命令與控制通道進行檢測的步驟�,其中給定的閾值根據(jù)網(wǎng)絡環(huán)境的不同而有所不同���;步驟S2316��,檢測到移動僵尸木馬隱藏命令與控制通道,結束對移動僵尸木馬隱藏命令與控制通道進行檢測的步驟���。由于手機惡意代碼可以帶來比計算機惡意代碼更大的經(jīng)濟利益�,而且手機中往往包含有更多的用戶隱私信息��,與用戶關系更為緊密�。因此編寫和散播手機惡意代碼的最主要目的是竊取用戶個人信息,如用戶通話記錄��、電話薄�、短信內(nèi)容、用戶文件等����。因此���,本發(fā)明重點檢測上傳用戶資料的異常網(wǎng)絡數(shù)據(jù)流。本發(fā)明采用先建立正常網(wǎng)絡數(shù)據(jù)流模型�����,然后將待檢測數(shù)據(jù)流與正常網(wǎng)絡數(shù)據(jù)流模型進行比較�,如果待檢測數(shù)據(jù)流偏離正常網(wǎng)絡數(shù)據(jù)流模型超過一個給定的閾值,則說明待檢測網(wǎng)絡數(shù)據(jù)流為異常網(wǎng)絡數(shù)據(jù)流����,否則為正常網(wǎng)絡數(shù)據(jù)流。在上述的步驟S23中����,異常網(wǎng)絡數(shù)據(jù)流檢測的步驟包括
1)對捕獲的網(wǎng)絡數(shù)據(jù)流按目標IP地址進行分類,計算 時刻流向每一個IP地址數(shù)據(jù)流中包含的以字節(jié)為單位的字節(jié)數(shù)�,其計算公式為
權利要求
1.一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法,其特征在于����,包括如下步驟步驟Si,捕獲移動互聯(lián)網(wǎng)用戶上網(wǎng)網(wǎng)絡數(shù)據(jù)包���;步驟S2�����,利用移動僵尸木馬特征碼和/或移動僵尸木馬行為特征模型進行移動僵尸木馬的檢測����;步驟S3,利用移動僵尸木馬活動特征碼和/或移動僵尸木馬行為活動特征模型進行移動僵尸木馬活動的檢測����;步驟S4,對發(fā)現(xiàn)的移動僵尸木馬和移動僵尸木馬活動進行告警和防護處理�。
2.如權利要求1所述的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法��,其特征在于���,所述的進行移動僵尸木馬檢測的步驟包括步驟S21�,接收網(wǎng)絡數(shù)據(jù)包�����;步驟S22����,利用移動僵尸木馬特征碼庫判斷網(wǎng)絡數(shù)據(jù)包是否與已知移動僵尸木馬特征相匹配�����,如果網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬特征相匹配�,則結束步驟S2��,如果網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬特征不匹配�,則轉(zhuǎn)到步驟S23 ;步驟S23���,進行移動僵尸木馬行為特征的檢測�����,如果檢測到移動僵尸木馬行為���,則轉(zhuǎn)到步驟S24,如果沒有檢測到移動僵尸木馬行為�,則結束步驟S2 ;步驟S24����,將檢測到的移動僵尸木馬行為添加到移動僵尸木馬行為特征庫中;步驟S25,判斷移動僵尸木馬行為特征庫中的行為特征是否匹配移動僵尸木馬行為模型����,如果移動僵尸木馬行為特征庫中的行為特征匹配移動僵尸木馬行為模型,則轉(zhuǎn)到步驟S26�����,如果移動僵尸木馬行為特征庫中的行為特征不匹配移動僵尸木馬行為模型���,則結束步驟S2 �;移動僵尸木馬行為模型為其中��,巧為命令與控制通道的權重-J-JX)為是否檢測到移動僵尸木馬隱藏命令與控制通道的檢測函數(shù)�,如果成功檢測到移動僵尸木馬隱藏命令與控制通道其值為1,否則為0 為檢測到的惡意事件���,如果檢測到惡意事件其值為1,否則為0 為權重�;步驟S26,將成功檢測到的移動僵尸木馬添加到移動僵尸木馬庫中����;步驟S27,將成功檢測到的移動僵尸木馬進行告警�。
3.如權利要求2所述的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法��,其特征在于�����,所述的移動僵尸木馬行為特征的檢測包括對移動僵尸木馬隱藏命令與控制通道的檢測和/或?qū)σ苿咏┦抉R活動特征的檢測�����。
4.如權利要求3所述的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法����,其特征在于�����,所述的移動僵尸木馬隱藏命令與控制通道的檢測采用特征碼檢測和/或行為檢測的檢測方法�����。
5.如權利要求3所述的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法����,其特征在于,所述的移動僵尸木馬活動特征的檢測采用特征碼檢測和/或異常網(wǎng)絡數(shù)據(jù)流檢測的檢測方法。
6.如權利要求3所述的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法��,其特征在于���,所述的移動僵尸木馬隱藏命令與控制通道的檢測步驟包括步驟S231����,提取網(wǎng)絡數(shù)據(jù)包源IP地址�����;步驟S232�����,判斷網(wǎng)絡數(shù)據(jù)包源IP地址是否是已知的源IP地址�����,如果是已知的源IP地址��,則轉(zhuǎn)到步驟S233��,如果是新的源IP地址����,則轉(zhuǎn)到步驟S234 ;步驟S233����,源IP地址計數(shù)器加1,然后轉(zhuǎn)到步驟S235 �;步驟S234,增加一個新的源IP地址�,源IP地址計數(shù)器置1 ;步驟S235��,提取網(wǎng)絡數(shù)據(jù)包目標端口號�;步驟S236,判斷網(wǎng)絡數(shù)據(jù)包目標端口號是否是已知的目標端口號���,如果是已知的目標端口號�,則轉(zhuǎn)到步驟S237����,如果是新的目標端口號,則轉(zhuǎn)到步驟S238 ���;步驟S237�,目標端口號計數(shù)器加1,然后轉(zhuǎn)到步驟S239 ��;步驟S238����,增加一個新的目標端口號,目標端口號計數(shù)器置1 ��;步驟S239�,提取網(wǎng)絡數(shù)據(jù)包目標IP地址;步驟S2310�,判斷網(wǎng)絡數(shù)據(jù)包目標IP地址是否是已知的目標IP地址,如果是已知的目標IP地址���,則轉(zhuǎn)到步驟S2311����,如果是新的目標IP地址��,則轉(zhuǎn)到步驟S2312 ����;步驟S2311,目標IP地址計數(shù)器加1�����,然后轉(zhuǎn)到步驟S2313 ���;步驟S2312���,增加一個新的目標IP地址,目標IP地址計數(shù)器置1 �����;步驟S2313�����,計算數(shù)據(jù)包出現(xiàn)概率�,計算方法為用數(shù)據(jù)包目標IP地址計數(shù)器內(nèi)的數(shù)值除以源IP地址計數(shù)器內(nèi)的數(shù)值;步驟S2314����,計算數(shù)據(jù)包分數(shù),計算方法為用-1乘以數(shù)據(jù)包出現(xiàn)概率的對數(shù)��;步驟S2315���,判斷數(shù)據(jù)包分數(shù)是否大于一個給定的閾值�����,如果數(shù)據(jù)包分數(shù)大于一個給定的閾值�����,則轉(zhuǎn)到步驟S2316�,如果數(shù)據(jù)包分數(shù)不大于一個給定的閾值,則結束對移動僵尸木馬隱藏命令與控制通道進行檢測的步驟���;步驟S2316�,檢測到移動僵尸木馬隱藏命令與控制通道�����,結束對移動僵尸木馬隱藏命令與控制通道進行檢測的步驟��。
7.如權利要求1所述的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法�����,其特征在于�����,所述的進行移動僵尸木馬活動檢測的步驟包括步驟S31,接收網(wǎng)絡數(shù)據(jù)包����;步驟S32�����,提取網(wǎng)絡數(shù)據(jù)包IP地址��;步驟S33���,判斷該網(wǎng)絡數(shù)據(jù)包IP地址是否在發(fā)現(xiàn)的移動僵尸木馬庫中��,是則轉(zhuǎn)到步驟S34�,否則結束步驟S3 �;步驟S34,將該網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬活動庫的特征碼進行匹配���,如果匹配成功��,則轉(zhuǎn)到步驟S36�,否則轉(zhuǎn)到步驟S35 ;步驟S35��,進行異常網(wǎng)絡數(shù)據(jù)流檢測���,如果檢測到異常網(wǎng)絡數(shù)據(jù)流�����,則轉(zhuǎn)到步驟S36����,否則結束步驟S3 ����;步驟S36,將檢測到的移動僵尸木馬活動添加到移動僵尸木馬活動庫中�;步驟S37,將成功檢測到的移動僵尸木馬活動進行告警�����。
8.如權利要求5或者7所述的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法����,其特征在于�,所述的異常網(wǎng)絡數(shù)據(jù)流檢測的步驟包括對捕獲的網(wǎng)絡數(shù)據(jù)流按目標IP地址進行分類�����,計算 時刻流向每一個IP地址數(shù)據(jù)流中包含的以字節(jié)為單位的字節(jié)數(shù)���,其計算公式其中���,3 為 時刻流向每一個IP地址數(shù)據(jù)流中包含的以字節(jié)為單位的字節(jié)數(shù)��,~為第J個數(shù)據(jù)流流向目標地址釣的數(shù)據(jù)流中包含的以字節(jié)為單位的字節(jié)數(shù)力目標地址為釣的數(shù)據(jù)流總數(shù)�����;計算 時刻流向每一個IP地址應用層數(shù)據(jù)數(shù)據(jù)流凈載荷中包含的以字節(jié)為單位的字節(jié)數(shù)���,其計算公式為
9. 一種移動互聯(lián)網(wǎng)中僵尸木馬防護系統(tǒng)���,其特征在于,包括如下模塊網(wǎng)絡數(shù)據(jù)包捕獲模塊�,用于捕獲移動互聯(lián)網(wǎng)用戶上網(wǎng)的網(wǎng)絡數(shù)據(jù)包,將捕獲的網(wǎng)絡數(shù)據(jù)包交由移動僵尸木馬檢測模塊和移動僵尸木馬活動檢測模塊進行檢測;移動僵尸木馬檢測模塊��,用于對移動僵尸木馬的檢測��,首先將捕獲的網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬特征碼進行匹配�����,如果匹配成功��,則結束對移動僵尸木馬的檢測���,如果匹配不成功��,則提取其行為特征����,將其與移動僵尸木馬行為特征模型進行匹配��,如果匹配成功��,則將其加入到移動僵尸木馬庫中�����,如果匹配不成功,則結束對移動僵尸木馬的檢測����;移動僵尸木馬活動檢測模塊,用于對移動僵尸木馬活動的檢測�,首先將捕獲的網(wǎng)絡數(shù)據(jù)包或者來自于移動僵尸木馬庫中的網(wǎng)絡數(shù)據(jù)包與已知移動僵尸木馬活動特征碼進行匹配,如果匹配成功����,則將檢測到的移動僵尸木馬活動加入到移動僵尸木馬活動庫中,如果匹配不成功����,則進行異常網(wǎng)絡數(shù)據(jù)流檢測,如果檢測到異常網(wǎng)絡數(shù)據(jù)流�����,則將其加入到移動僵尸木馬活動庫中�,如果沒有檢測到異常網(wǎng)絡數(shù)據(jù)流�����,則結束對移動僵尸木馬活動的檢測�����;移動僵尸木馬告警與防護模塊,用于對發(fā)現(xiàn)的移動僵尸木馬或者移動僵尸木馬活動進行告警與防護�����,告警的方式可以是短信或者郵件的方式�,對正在進行的竊取用戶個人信息的可疑行為進行上報并及時進行阻斷。
10.如權利要求9所述的一種移動互聯(lián)網(wǎng)中僵尸木馬防護系統(tǒng)���,其特征在于����,所述的移動互聯(lián)網(wǎng)中僵尸木馬防護系統(tǒng)部署于企事業(yè)單位接入互聯(lián)網(wǎng)的位置����。
全文摘要
一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法及其系統(tǒng),涉及信息安全領域���。防護方法包括如下步驟步驟S1����,捕獲移動互聯(lián)網(wǎng)用戶上網(wǎng)網(wǎng)絡數(shù)據(jù)包��;步驟S2,進行移動僵尸木馬檢測�;步驟S3,進行移動僵尸木馬活動檢測����;步驟S4,對發(fā)現(xiàn)的移動僵尸木馬和移動僵尸木馬活動進行告警和防護處理�。防護系統(tǒng)包括網(wǎng)絡數(shù)據(jù)包捕獲模塊、移動僵尸木馬檢測模塊��、移動僵尸木馬活動檢測模塊和移動僵尸木馬告警與防護模塊���。本發(fā)明的一種移動互聯(lián)網(wǎng)中僵尸木馬防護方法及其系統(tǒng)�����,可有效檢測已知移動僵尸木馬并具備檢測未知移動僵尸木馬的能力�����,可有效檢測已知移動僵尸木馬活動并具備檢測未知移動僵尸木馬活動的能力。
文檔編號H04L29/06GK102571796SQ20121000944
公開日2012年7月11日 申請日期2012年1月13日 優(yōu)先權日2012年1月13日
發(fā)明者曾金全 申請人:電子科技大學