一種融合通信中惡意軟件鑒別方法和系統的制作方法
【專利摘要】本發明公開了一種融合通信中惡意軟件鑒別方法和系統,以解決現有技術惡意軟件檢測效率和檢測準確率低的問題,該方法為,針對原始網絡數據流量進行還原,獲取全部軟件樣本和全部網絡日志;利用預存的軟件樣本數據庫,對獲取的全部軟件樣本進行匹配,將匹配失敗的軟件樣本作為第一疑似惡意軟件樣本;基于全部網絡日志提取出每一個用戶的網絡行為向量,并分別與疑似惡意軟件網絡行為庫中的P個規則向量計算相似度,進一步篩選出疑似惡意軟件網絡行為所對應的軟件作為第二疑似惡意軟件樣本;針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別,篩選出惡意軟件,這樣,能夠快速準確地鑒別出融合通信系統中的惡意軟件,進行相關的治理。
【專利說明】
-種融合通信中惡意軟件鑒別方法和系統
技術領域
[0001] 本發明設及移動網絡安全領域,尤其設及一種融合通信中惡意軟件鑒別方法和系 統。
【背景技術】
[0002] 中國移動將基于GSMA RCS標準構建下一代融合通信系統,通過升級終端上原有 的通話、短/彩信和通訊錄Ξ大通信入口,在保護用戶原有通信習慣、繼承運營商基礎上 的通信業務全球可達性和電信級服務質量的前提下,形成新通話"、"新消息"和"新 聯系"為核屯、、功能完善、體驗優良的基礎通信服務。"新通話"WLTE音視頻通話(Voice over LTE,VoLTC)為核屯、,增強用戶通話質量和體驗;"新消息"W富通信業務套件巧ich Communication Suite, RC巧為基礎,無縫融合多種媒體和消息格式,無縫與傳統短/彩信 互通;"新聯系"W真實手機號碼為前提,構建全新的社交、公眾信息服務入口。
[0003] 在融合通信中,用戶之間的文件傳輸、共享更加頻繁,用戶通過"新聯系"的朋友圈 等渠道會接收到更多的推薦的網絡訪問地址,增大手機惡意軟件傳播的風險,因此需要及 時構建融合通信中的手機惡意軟件監測系統。
[0004] 融合通信的手機惡意軟件監測系統目前還沒有建設,而現網的手機惡意軟件監測 系統(系統架構如圖1所示)不是依據融合通信的架構設計,并不能直接應用在融合通信 中。
[0005] 進一步的,在現網的手機惡意軟件監測系統中,疑似惡意軟件網絡行為的篩選方 法是依據疑似惡意軟件網絡行為篩選規則庫對網絡日志進行逐條過濾,效率較低。
【發明內容】
[0006] 本發明的目的是提供一種種融合通信中惡意軟件鑒別方法和系統,W解決無法針 對融合通信系統進行惡意軟件鑒別的問題。 陽007] 本發明的目的是通過W下技術方案實現的:
[0008] 一種融合通信中惡意軟件鑒別方法,應用在網絡側,包括:
[0009] 針對原始網絡數據流量進行還原,獲取全部軟件樣本和全部網絡日志;
[0010] 利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑 似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,將匹配失敗的軟件樣本作 為第一疑似惡意軟件樣本;
[0011] 基于所述全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向量,并將每 一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的P個規則向量計算 相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則歸類口限的疑似惡意 軟件網絡行為,W及將篩選出的疑似惡意軟件網絡行為所對應的軟件作為第二疑似惡意軟 件樣本;
[0012] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別,篩選出惡 意軟件。
[0013] 運樣在融合通信系統中快速準確地鑒別出惡意軟件,提高了惡意軟件的檢測效率 和準確率,并且相比現網的疑似惡意軟件網絡行為的篩選,并且本發明實施中將加權明氏 距離的疑似惡意軟件網絡行為識別算法運用到海量的網絡日志的篩選過濾中,提高了系統 的運行效率。
[0014] 可選的,利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征 庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,包括:
[0015] 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5 特征信息分別與數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和 疑似惡意軟件樣本MD5特征庫進行匹配,篩選出均匹配失敗的軟件樣本;
[0016] 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。
[0017] 可選的,基于所述全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向量 之前,進一步包括:
[0018] 利用預存的惡意軟件下載U化庫和惡意軟件主控U化庫檢查所述全部網絡日志;
[0019] 篩選出則記載有連接惡意軟件下載U化和連接全網惡意軟件主控U化的網絡事件 的網絡日志,并將剩余的網絡日志作為全部網絡日志。
[0020] 可選的,在基于所述全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向 量之后,在將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的P個 規則向量計算相似度之前,進一步包括:
[0021] 將每一個用戶的疑似惡意軟件網絡行為向量進行單位化處理;
[0022] 將單位化后的每一個用戶的疑似惡意軟件網絡行為向量分別與預設的行為向量 計算初始相似度,篩選出初始相似度大于設定口限值的疑似惡意軟件網絡行為向量W進行 后續相似度計算。
[0023] 可選的,將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中 的P個規則向量計算相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則 歸類口限的疑似惡意軟件網絡行為的過程中,進一步包括:
[0024] 再次篩選出對應的P個相似度均未達到相應的規則歸類口限的疑似惡意軟件網 絡行為,則將再次篩選出的疑似惡意軟件網絡行為向量對應的網絡日志導出;
[0025] 將導出的網絡日志發送至指定平臺進行惡意網絡行為判定。
[00%] 可選的,將導出的網絡日志發送至指定平臺進行惡意網絡行為判定后,進一步包 括:
[0027] 根據所述指定平臺返回的判定結果,篩選出網絡日志中記載有惡意軟件網絡行為 的網絡日志,從記載有惡意軟件網絡行為的網絡日志中提取新的疑似惡意軟件網絡行為篩 選規則,并將其導入到疑似惡意軟件網絡行為篩選規則庫中。
[0028] 運樣,能夠實時更行疑似惡意軟件網絡行為篩選規則庫,及時提取新的惡意行為 規則加入到規則庫中,使系統運行更加安全可靠。
[0029] 可選的,篩選出對應的P個相似度中至少一個相似度達到相應的規則歸類口限的 疑似惡意軟件網絡行為后,進一步包括:
[0030] 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中僅有一個相似度達到 相應的規則歸類口限的,則將所述任意一疑似惡意軟件網絡行為歸類為所述一個相似度對 應的規則下的疑似惡意行為;
[0031] 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中至少兩個相似度達到 相應的規則歸類口限,則將所述任意一疑似惡意軟件網絡行為歸類為所述至少兩個相似度 中取值最小的相似度對應的規則下的疑似惡意行為。
[0032] 可選的,將篩選出的疑似惡意軟件網絡行為所對應的軟件作為第二疑似惡意軟件 樣本之后,針對第二疑似惡意樣本中的每一個樣本進行鑒別之前,進一步包括:
[0033] 利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本 MD5特征庫,對所述第二疑似惡意軟件樣本進行匹配,篩選出均匹配失敗的軟件樣本;
[0034] 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。
[0035] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別, 篩選出惡意軟件,包括:
[0036] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進行反編譯和 模擬安裝,獲得每一個樣本的靜態資源信息和動態行為信息,分析每一個樣本的靜態資源 信息和動態行為信息,依據預設的分析準則,獲取每一個樣本的分析結果;
[0037] 根據每一個樣本的分析結果,篩選出符合預設的惡意行為條件的疑似惡意樣本, 作為惡意軟件。
[0038] 可選的,進一步包括:
[0039] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別,若其中的 任意一個疑似惡意樣本不能獲得鑒別結果,將所述任意一個疑似惡意樣本進行導出;
[0040] 將導出的所述任意一個疑似惡意樣本發送至指定平臺進行惡意軟件判定。
[0041] 根據所述指定平臺返回的判定結果,篩選出惡意軟件和非惡意軟件;
[0042] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡 意軟件對應的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將所述惡意軟件 對應的下載U化添加至惡意軟件下載U化庫中、將所述惡意軟件對應的主控U化添加至惡 意軟件主控U化庫中;
[0043] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。
[0044] 運樣,通過其他平臺的及時檢測并獲取相關檢測結果,能夠實時更新疑似惡意軟 件相關的軟件樣本特征庫,及時提取新的MD5特征信息加入到相應的特征庫中,使系統運 行更加安全可靠,進一步提升惡意軟件的檢測效率。
[0045] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別, 篩選出惡意軟件之后,進一步包括:
[0046] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡 意軟件對應的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將所述惡意軟件 對應的下載U化添加至惡意軟件下載U化庫中、將所述惡意軟件對應的主控U化添加至惡 意軟件主控U化庫中;
[0047] 分析惡意軟件的發作行為特征,提取新的疑似惡意軟件網絡行為篩選規則,并將 其更新到疑似惡意軟件網絡行為篩選規則庫中;
[0048] 獲取惡意軟件對應的網絡日志,并將添加至染毒用戶日志數據庫中;
[0049] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。
[0050] 運樣通過中央管理平臺獲得疑似惡意軟件樣本的檢測結果,能夠實時更新疑似惡 意軟件相關的軟件樣本特征庫,及時提取新的MD5特征信息加入到相應的特征庫中,使系 統運行更加安全可靠,進一步提升惡意軟件的檢測效率。
[0051] 一種融合通信中惡意軟件鑒別系統,應用在網絡側,包括:
[0052] 接入網關,用于針對原始網絡數據流量進行還原,獲取全部軟件樣本和全部網絡 日志;
[0053] 軟件監測裝置,用于利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件 樣本MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,將匹配 失敗的軟件樣本作為第一疑似惡意軟件樣本;
[0054] 軟件監測裝置,還用于基于所述全部網絡日志提取出每一個用戶的疑似惡意軟件 網絡行為向量,并將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中 的P個規則向量計算相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則 歸類口限的疑似惡意軟件網絡行為,W及將篩選出的疑似惡意軟件網絡行為所對應的軟件 作為第二疑似惡意軟件樣本; 陽化5] 中央管理平臺,用于針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本 進行鑒別,篩選出惡意軟件。
[0056] 運樣在融合通信系統中快速準確地鑒別出惡意軟件,提高了惡意軟件的檢測效率 和準確率,并且相比現網的疑似惡意軟件網絡行為的篩選,并且本發明實施中將加權明氏 距離的疑似惡意軟件網絡行為識別算法運用到海量的網絡日志的篩選過濾中,提高了系統 的運行效率。
[0057] 可選的,利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征 庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配時,所述軟件監測裝 置用于:
[0058] 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5 特征信息分別與數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和 疑似惡意軟件樣本MD5特征庫進行匹配,篩選出均匹配失敗的軟件樣本;
[0059] 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。
[0060] 可選的,基于所述全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向量 之前,所述軟件監測裝置進一步用于:
[0061] 利用預存的惡意軟件下載U化庫和惡意軟件主控U化庫檢查所述全部網絡日志;
[0062] 篩選出則記載有連接惡意軟件下載U化和連接全網惡意軟件主控U化的網絡事件 的網絡日志,并將剩余的網絡日志作為全部網絡日志。
[0063] 可選的,在基于所述全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向 量之后,在將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的P個 規則向量計算相似度之前,所述軟件監測裝置進一步用于:
[0064] 將每一個用戶的疑似惡意軟件網絡行為向量進行單位化處理;
[0065] 將單位化后的每一個用戶的疑似惡意軟件網絡行為向量分別與預設的行為向量 計算初始相似度,篩選出初始相似度大于設定口限值的疑似惡意軟件網絡行為向量W進行 后續相似度計算。
[0066] 可選的,將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中 的P個規則向量計算相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則 歸類口限的疑似惡意軟件網絡行為的過程中,所述軟件監測裝置進一步用于:
[0067] 再次篩選出對應的P個相似度均未達到相應的規則歸類口限的疑似惡意軟件網 絡行為,則將再次篩選出的疑似惡意軟件網絡行為向量對應的網絡日志導出; W側將導出的網絡日志發送至指定平臺進行惡意網絡行為判定。
[0069] 可選的,將導出的網絡日志發送至指定平臺進行惡意網絡行為判定后,所述中央 管理平臺進一步用于:
[0070] 根據所述指定平臺返回的判定結果,篩選出網絡日志中記載有惡意軟件網絡行為 的網絡日志,從記載有惡意軟件網絡行為的網絡日志中提取新的疑似惡意軟件網絡行為篩 選規則,并將其導入到疑似惡意軟件網絡行為篩選規則庫中。
[0071] 可選的,篩選出對應的P個相似度中至少一個相似度達到相應的規則歸類口限的 疑似惡意軟件網絡行為后,所述軟件監測裝置進一步用于:
[0072] 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中僅有一個相似度達到 相應的規則歸類口限的,則將所述任意一疑似惡意軟件網絡行為歸類為所述一個相似度對 應的規則下的疑似惡意行為;
[0073] 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中至少兩個相似度達到 相應的規則歸類口限,則將所述任意一疑似惡意軟件網絡行為歸類為所述至少兩個相似度 中取值最小的相似度對應的規則下的疑似惡意行為。
[0074] 可選的,將篩選出的疑似惡意軟件網絡行為所對應的軟件作為第二疑似惡意軟件 樣本之后,針對第二疑似惡意樣本中的每一個樣本進行鑒別之前,所述軟件監測裝置進一 步用于:
[00巧]利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本 MD5特征庫,對所述第二疑似惡意軟件樣本進行匹配,篩選出均匹配失敗的軟件樣本;
[0076] 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。
[0077] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別, 篩選出惡意軟件時,所述中央管理平臺用于:
[0078] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進行反編譯和 模擬安裝,獲得每一個樣本的靜態資源信息和動態行為信息,分析每一個樣本的靜態資源 信息和動態行為信息,依據預設的分析準則,獲取每一個樣本的分析結果;
[0079] 根據每一個樣本的分析結果,篩選出符合預設的惡意行為條件的疑似惡意樣本, 作為惡意軟件。
[0080] 可選的,所述中央管理平臺進一步用于:
[0081] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別,若其中的 任意一個疑似惡意樣本不能獲得鑒別結果,將所述任意一個疑似惡意樣本進行導出;
[0082] 將導出的所述任意一個疑似惡意樣本發送至指定平臺進行惡意軟件判定。
[0083] 根據所述指定平臺返回的判定結果,篩選出惡意軟件和非惡意軟件;
[0084] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡 意軟件對應的下載u化和主控u化添加至惡意軟件待封堵u化庫中,W及將所述惡意軟件 對應的下載U化添加至惡意軟件下載U化庫中、將所述惡意軟件對應的主控U化添加至惡 意軟件主控U化庫中;
[00化]提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。
[0086] 運樣,通過其他平臺的及時檢測并獲取相關檢測結果,能夠實時更新疑似惡意軟 件相關的軟件樣本特征庫,及時提取新的MD5特征信息加入到相應的特征庫中,使系統運 行更加安全可靠,進一步提升惡意軟件的檢測效率。
[0087] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別, 篩選出惡意軟件之后,所述中央管理平臺進一步用于:
[0088] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡 意軟件對應的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將所述惡意軟件 對應的下載U化添加至惡意軟件下載U化庫中、將所述惡意軟件對應的主控U化添加至惡 意軟件主控U化庫中;
[0089] 分析惡意軟件的發作行為特征,提取新的疑似惡意軟件網絡行為篩選規則,并將 其更新到疑似惡意軟件網絡行為篩選規則庫中;
[0090] 獲取惡意軟件對應的網絡日志,并將添加至染毒用戶日志數據庫中;
[0091] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。
[0092] 運樣通過中央管理平臺獲得疑似惡意軟件樣本的檢測結果,能夠實時更新疑似惡 意軟件相關的軟件樣本特征庫,及時提取新的MD5特征信息加入到相應的特征庫中,使系 統運行更加安全可靠,進一步提升惡意軟件的檢測效率。
【附圖說明】
[0093] 圖1為現網手機惡意軟件監測系統架構;
[0094] 圖2為本發明實施例中融合通信惡意軟件監測系統架構;
[0095] 圖3為本發明實施融合通信中惡意軟件鑒別方法流程示意圖;
[0096] 圖4為本發明實施疑似惡意軟件網絡行為識別算法流程圖;
[0097] 圖5為本發明實施融合通信中惡意軟件鑒別系統結構示意圖。
【具體實施方式】
[0098] 下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完 整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,并不是全部的實施例。基于 本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他 實施例,都屬于本發明保護的范圍。
[0099] 如圖2所示,本發明的融合通信惡意軟件監測系統整體架構包括Ξ部分,接入網 關、南北大區融合通信惡意軟件監控系統、融合通信惡意軟件中央管理平臺。其中,接入網 關用于對原始網絡數據流量進行還原,得到全部樣本文件和網絡日志;南北大區融合通信 惡意軟件監控系統主要用于已知惡意軟件檢測、疑似惡意軟件上報、疑似惡意軟件網絡行 為日志上報和惡意軟件事件上報;融合通信惡意軟件中央管理平臺主要用于自動研判、人 工審核、策略管理、一鍵封堵、統計分析等。 陽100]各功能模塊及其功能介紹如下: 陽101] 接入網關,用于對原始網絡數據流量進行還原,得到全部樣本文件和網絡日志。 陽102] 南北大區融合通信惡意軟件監控系統,負責接收中央平臺定期更新下發的惡意軟 件樣本消息摘要算法第五版(Message Digest Algorithms, MD5)特征庫、非惡意軟件軟件 樣本MD5特征庫、已入庫未研判疑似樣本MD5特征庫、疑似惡意軟件網絡行為篩選規則庫、 全網惡意軟件下載U化庫、全網惡意軟件主控U化庫。負責利用全網手機惡意軟件特征庫、 非惡意軟件軟件樣本MD5特征庫和已入庫未研判疑似樣本MD5特征庫對樣本文件進行過 濾,將剩余的疑似惡意軟件樣本及其相關網絡日志上報給中央平臺。負責利用疑似惡意軟 件網絡行為篩選規則庫對海量網絡日志進行篩選,將疑似惡意軟件網絡行為日志上報中央 平臺。負責利用全網惡意軟件下載U化庫和全網惡意軟件主控U化庫對獲得的網絡日志進 行檢測,發現用戶連接惡意軟件的主控U化和下載U化相關的網絡日志,匯總后上報給中央 平臺。
[0103] 融合通信手機惡意軟件中央管理平臺,負責管理W下數據庫:惡意軟件樣本MD5 特征庫、疑似惡意軟件網絡行為篩選規則庫、非惡意軟件樣本MD5特征庫、疑似惡意軟件樣 本MD5特征庫、待封堵U化地址庫、惡意軟件下載U化庫、惡意軟件主控U化庫、染毒用戶日 志數據庫;負責數據庫更新包的定期下發;負責定期收集和整理南北大區融合通信惡意軟 件監控系統上報的疑似惡意軟件樣本及相關網絡日志和利用疑似惡意軟件網絡行為篩選 規則檢測到的相關疑似惡意軟件的網絡日志,并對疑似惡意軟件的網絡日志中的U化進行 爬取獲得疑似軟件樣本;負責對獲得的全部疑似惡意軟件樣本進行研判,根據判斷結果及 時更新相關數據庫;負責定期將待封堵U化地址發送給相關系統進行封堵;負責對全網惡 意軟件相關的各類數據進行統計分析、趨勢預測和報表呈現。 陽104] 其中各個數據庫功能描述如下:
[01化]惡意軟件樣本MD5特征庫:用于存儲惡意軟件的特征碼信息,并存儲相關惡意軟 件名稱、ID、危險級別、危害類別、主控U化地址、惡意軟件概述及惡意軟件詳細描述信息 等,同時對惡意軟件樣本進行存儲。
[0106] 惡意軟件下載U化庫:用于存儲與手機惡意軟件相關的網絡下載地址信息,對于 同一惡意軟件,其下載地址都有可能存在多個。 陽107] 惡意軟件主控U化庫:用于存儲與手機惡意軟件相關的主控U化地址信息,對于同 一惡意軟件,其主控U化地址有可能存在多個,在對疑似惡意軟件進行研判后,其主控U化 信息會存入該數據庫。
[0108] 非惡意軟件樣本MD5特征庫:用于中央平臺在對疑似惡意軟件樣本進行研判后確 認為非惡意軟件的軟件樣本MD5摘要信息,此特征庫中的信息包括:樣本ID、樣本MD5值、 樣本的簡單描述信息等。中央平臺定期將本特征庫的更新信息下發給南北大區融合通信手 機惡意軟件監控系統進行非惡意軟件過濾。 陽109] 疑似惡意軟件樣本MD5特征庫:用于存儲中央平臺爬取獲得的或者南北大區融合 通信惡意軟件監控系統上報的疑似惡意軟件樣本文件中尚未來得及進行研判的疑似惡意 軟件樣本MD5特征值。中央平臺定期將本特征庫更新信息下發給南北大區融合通信惡意軟 件監控系統,使其在上傳疑似惡意軟件樣本前須匹配本特征庫去除中央平臺已經獲得的惡 意惡意軟件樣本,W減少上傳樣本量。
[0110] 待封堵u化地址庫:用于存儲需要進行封堵操作的惡意軟件相關u化信息。 陽111] 疑似惡意軟件網絡行為篩選規則庫:用于存儲篩選疑似惡意軟件網絡行為的規 貝1J。篩選規則包括網絡日志中的任意單項或多項的邏輯表達式方式、按時間段匯總后與闊 值比較的規則、自定義的關鍵字、闊值等作為篩選規則項,并且篩選規則項可W組合設定。 中央平臺定期將本特征庫的更新信息下發給南北大區融合通信惡意軟件監控系統,用于過 濾疑似惡意軟件網絡行為日志。
[0112] 染毒用戶日志數據庫:用于存儲南北大區融合通信惡意軟件監控系統上傳的所有 染毒用戶網絡日志信息,若同時具有相關聯的樣本文件也應在此數據庫中進行存儲;設置 專口的數據表用于匯總存儲確認染毒和后期研判確認為染毒用戶的相關信息。
[0113] 上文提到的MD5是計算機廣泛使用的雜湊算法之一(又譯摘要算法、哈希算法), MD5的典型應用是對一段信息(Message)產生信息摘要(Message-Digest),W防止被篡 改。與之類似,MD5就可W為任何文件(不管其大小、格式、數量)產生一個同樣獨一無二的 MD5 "數字指紋",如果任何人對文件做了任何改動,其MD5值也就是對應的"數字指紋"都 會發生變化。我們常常在某些軟件下載站點的某軟件信息中看到其MD5值,它的作用就在 于我們可W在下載該軟件后,對下載回來的文件用專口的軟件(如Windows MD5化eck等) 做一次MD5校驗,W確保我們獲得的文件與該站點提供的文件為同一文件。利用MD5算法 來進行文件校驗的方案被大量應用到軟件下載站、論壇數據庫、系統文件安全等方面。
[0114] 基于上述系統架構,參閱圖3所示,本發明實施例提供一種融合通信中惡意軟件 鑒別方法,具體流程如下:
[0115] 步驟300 :針對原始網絡數據流量進行還原,獲取全部軟件樣本和全部網絡日志。
[0116] 步驟301 :利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特 征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,將匹配失敗的軟 件樣本作為第一疑似惡意軟件樣本。
[0117] 具體的,利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征 庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,具體過程為:計算獲 取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5特征信息分別與 數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣 本MD5特征庫進行匹配,包括W下兩種情形:
[0118] 第一種情形為:若任意一個樣本的的MD5特征信息和上述Ξ個數據中的某一個數 據庫匹配成功,運時判斷匹配成功的數據庫類型,若匹配成功的數據庫為全網惡意軟件軟 件樣本MD5特征庫,則將匹配成功的軟件樣本標記為惡意軟件,若匹配成功的數據庫為非 惡意軟件軟件樣本MD5特征庫,則將匹配成功的軟件樣本標記為非惡意軟件。
[0119] 第二種情形為:若任意一個樣本的的MD5特征信息和上述Ξ個數據中都匹配失 敗,此時,篩選出均匹配失敗的軟件樣本;將均匹配失敗的軟件樣本作為第一疑似惡意樣 本。
[0120] 步驟302:基于該全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向 量,并將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的P個規則 向量計算相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則歸類口限的 疑似惡意軟件網絡行為,W及將篩選出的疑似惡意軟件網絡行為所對應的軟件作為第二疑 似惡意軟件樣本。 陽121] 進一步的,基于該全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向量 之前,利用預存的惡意軟件下載U化庫和惡意軟件主控U化庫檢查獲取到的全部網絡日志; 篩選出則記載有連接惡意軟件下載U化和連接全網惡意軟件主控U化的網絡事件的網絡日 志,并將剩余的網絡日志作為全部網絡日志。
[0122] 例如,基于得到的全部網絡日志進行分組,并在每一個分組的網絡日志中提取出 每一個用戶的疑似惡意軟件網絡行為向量,假設一個用戶的疑似惡意軟件網絡行為向量為 U =(叫,U2,. . .,U。),該疑似惡意軟件網絡行為向量中設及W下參數:
[0123] 行為向量中的第一個參數ui來自于用戶的HTTP請求分析,若該用戶HTTP請求中 包括該用戶的國際移動設備識別碼(International Mobile Equipment IdentitWMEI)、 用戶的國際移動用戶識別碼(International Mobile Subscriber Identity, IMSI)、手機 型號、操作系統、手機號碼、GPS的經締度、短信記錄、通話記錄等一個或多個信息時,將行為 向量中的第一個參數U置為相應的值。
[0124] 行為向量中的第二個參數U2來自于用戶連接網絡頻率統計分析值,若該用戶在一 定的時間內同類網絡行為的用戶超過預設的闊值或者該同一用戶在一定的時間內訪問某 U化地址超過預設的闊值或同一用戶連接不同網絡的行為具有一定周期性時,將將行為向 量中的第一個參數Ui置為相應的值。
[0125] 行為向量中的第Ξ個參數U3來自于用戶文件傳播數量統計分析值,若用戶A在一 定的時間內傳播的同一軟件數量超過設定的闊值或者該同一用戶在一定的時間內彩信附 件中包含同一軟件的數量超過闊值時,將將行為向量中的第Ξ個參數U3置為相應的值。; 陽126] 行為向量中的第四個參數U4來自于用戶用戶終端的類型分析,若該用戶在一定的 時間內HTTP請求中用戶手機終端類型具有相似性時,將將行為向量中的第四個參數U4置 為相應的值。
[0127] 其他信息分析:其他可能用于疑似惡意軟件網絡行為分析的參數,對應于行為向 量中的相應參數,可W靈活設置。
[0128] 進一步的,基于獲取到的全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行 為向量之后,在將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的 P個(P為預設的正整數)規則向量計算相似度之前,將每一個用戶的疑似惡意軟件網絡行 為向量進行單位化處理;將單位化后的每一個用戶的疑似惡意軟件網絡行為向量分別與預 設的行為向量計算初始相似度,篩選出初始相似度大于設定口限值的疑似惡意軟件網絡行 為向量W進行后續相似度計算。
[0129] 例如,設某用戶的疑似惡意軟件網絡行為向量為η維向量(叫,U2, ...,U。),首先需 要對該向量進行單位化(歸一化),得到單位化化的行為向量Χ= (Xl,X2,...,X。):其中公 式如下所示: 陽 130]
陽131] 其中相似度定義如下: 陽m]
陽13引 L巧表示X向量與Y向量的相似度,X向量與Y向量分別用(Xi,而,...,xj和 (yi,72, . . .,y。)表示,α = 1,2, ..... η)是權重,可w根據每個參數的具體情況,進行設 置。
[0134] 基于某用戶的疑似惡意軟件網絡行為單位化向量X = (XI,X2, ...,X。)和預設的行 為向量Z = (Zi,Z2, . . .,Z。),該向量也是單位化設置,根據定義的相似度,計算初始相似度 Lxz,若Lxz達到預先設置的疑似惡意軟件網絡行為設定口限M,則認為該用戶行為是疑似 惡意軟件網絡行為,進行后續計算;若Lxz沒有達到設定口限M,則認為該用戶行為是正常 行為。
[0135] 其中疑似惡意軟件網絡行為篩選規則庫,是惡意軟件研判人員通過對已知惡意 軟件網絡行為分析總結而制定的規則。每項規則的存儲內容都為特定的η維單位化向量 柄,72,...,y。),假設疑似惡意軟件網絡行為篩選規則庫已有Υι,Υ2, ···,Υρ,共Ρ個規則,針 對篩選出的初始相似度大于設定口限值的某用戶的疑似惡意軟件網絡行為向量,根據定義 的相似度,依次計算其與疑似惡意軟件網絡行為篩選規則庫已有的Yi,Υ2,…,Υρ項規則的 相似度,得出Ρ個相似度。
[0136] 進一步的,篩選出對應的Ρ個相似度中至少一個相似度達到相應的規則歸類口限 的疑似惡意軟件網絡行為后,若判定任意一疑似惡意軟件網絡行為對應的Ρ個相似度中僅 有一個相似度達到相應的規則歸類口限的,則將該任意一疑似惡意軟件網絡行為歸類為該 一個相似度對應的規則下的惡意行為;若判定任意一疑似惡意軟件網絡行為對應的Ρ個相 似度中至少兩個相似度達到相應的規則歸類口限,則將該任意一疑似惡意軟件網絡行為歸 類為該至少兩個相似度中取值最小的相似度對應的規則下的惡意行為。
[0137] 進一步的,將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫 中的Ρ個規則向量計算相似度,篩選出對應的Ρ個相似度中至少一個相似度達到相應的規 則歸類口限的疑似惡意軟件網絡行為的過程中,再次篩選出對應的Ρ個相似度均未達到相 應的規則歸類口限的疑似惡意軟件網絡行為,則將再次篩選出的疑似惡意軟件網絡行為向 量對應的網絡日志導出;將導出的網絡日志發送至指定平臺進行惡意網絡行為判定。
[0138] 進一步的,將導出的網絡日志發送至指定平臺進行惡意網絡行為判定后,根據該 指定平臺返回的判定結果,篩選出網絡日志中記載有惡意軟件網絡行為的網絡日志,從記 載有惡意軟件網絡行為的網絡日志中提取新的疑似惡意軟件網絡行為篩選規則,并將其導 入到疑似惡意軟件網絡行為篩選規則庫中。
[0139] 獲取到全部網絡日志后,進行疑似惡意網絡行為的識別算法流程,參閱圖4所示:
[0140] S400 :將獲取到得全部網絡日志進行分組。 陽141] S401 :從各自的分組中提取不同用戶的疑似惡意軟件網絡行為向量。 陽142] S402 :針對用戶的行為向量進行單位化得到單位化的行為向量X。
[0143] S403 :單位化的行為向量X與預設的行為向量Ζ計算相似度Lxz。
[0144] S404 :判斷Lxz是否達到預設的疑似惡意軟件網絡行為口限M,若是,則執行步驟 S405,否則,執行步驟S401。
[0145] S405 :單位化的行為向量X依次與疑似惡意軟件網絡行為篩選規則庫中的P個行 為向量計算相似度。
[0146] S406:判斷P個相似度是否達到各自預設的歸類口限值,若是,則執行步驟S407, 否則,執行步驟S410。 陽147] S407:針對該用戶的網絡行為進行歸類,屬于現有規則庫中的某一類疑似惡意行 為。
[0148] S408:判斷該分組是否存在未處理的用戶,若是,則執行步驟401,否則執行步驟 409。
[0149] S409 :將不同分組中的分析結果進行總結并上報。
[0150] S410 :導出到指定平臺進行判斷,將判斷結果上報。 陽151] 運樣,能夠從海量的網絡日志中篩選出疑似惡意軟件網絡行為對應的網絡日志, 進而根據網絡日志中對應的U化下載疑似惡意樣本,作為第二疑似惡意樣本。
[0152] 步驟303:針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒 另IJ,篩選出惡意軟件。 陽153] 進一步的,將篩選出的疑似惡意軟件網絡行為所對應的軟件作為第二疑似惡意軟 件樣本之后,利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣 本MD5特征庫,對該第二疑似惡意軟件樣本進行匹配,包括W下兩種情形:
[0154] 第一種情形為:若任意一個樣本的的MD5特征信息和上述Ξ個數據中的某一個數 據庫匹配成功,運時判斷匹配成功的數據庫類型,若匹配成功的數據庫為全網惡意軟件軟 件樣本MD5特征庫,則將匹配成功的軟件樣本標記為惡意軟件,若匹配成功的數據庫為非 惡意軟件軟件樣本MD5特征庫,則將匹配成功的軟件樣本標記為非惡意軟件。
[0K5] 第二種情形為:若任意一個樣本的的MD5特征信息和上述Ξ個數據中均匹配失 敗,此時,篩選出均匹配失敗的軟件樣本;將均匹配失敗的軟件樣本作為第二疑似惡意樣 本。 陽156] 具體的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別, 篩選出惡意軟件,具體過程為:針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣 本分別進行反編譯和模擬安裝,獲得每一個樣本的靜態資源信息和動態行為信息,分析每 一個樣本的靜態資源信息和動態行為信息,依據預設的分析準則,獲取每一個樣本的分析 結果;根據每一個樣本的分析結果,篩選出符合預設的惡意行為條件的疑似惡意樣本,作為 惡意軟件。 陽157] 例如,針對某一個疑似惡意軟件A,進行反編譯,獲得該軟件A的靜態資源信息,包 括軟件A的應用許可信息、軟件A的應用認證信息,軟件A的調用系統API信息等,針對該 軟件A進行模擬安裝,獲取軟件A相關的動態行為信息,包括短彩信收發行為、數據收發內 容、連接IP或端口等動態行為信息,根據預設的分析準則,分析準則可W設置為評為標準, 假設軟件A的靜態資源信息中軟件A的應用許可信息是禁止或違法的,運種情形設定相應 的分數,假設模擬安裝軟件A后自動發送私密信息到指定用戶時,運種情形設定相應的分 數,依據軟件A的靜態資源信息和動態行為信息進行綜合評分,若軟件A符合預設的惡意行 為條件,將軟件A作為惡意軟件,可W設置為依據上述分析準則計算得到軟件A的總分數高 于設定闊值時,將軟件A作為惡意軟件,否則為非惡意軟件。
[0158] 進一步的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒 另IJ,包括W下兩種情形:
[0159] 第一種情形為:能夠成功鑒別并篩選出惡意軟件,運時在篩選出惡意軟件之后,提 取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將該惡意軟件對應的 下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將該惡意軟件對應的下載U化 添加至惡意軟件下載U化庫中、將該惡意軟件對應的主控U化添加至惡意軟件主控U化庫 中;分析惡意軟件的發作行為特征,提取新的疑似惡意軟件網絡行為篩選規則,并將其更新 到疑似惡意軟件網絡行為篩選規則庫中;獲取惡意軟件對應的網絡日志,并將添加至染毒 用戶日志數據庫中;提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征 庫。
[0160] 第二種情形為:不能夠成功鑒別并篩選出惡意軟件,此時針對第一疑似惡意樣本 和第二疑似惡意樣本中的每一個樣本進行鑒別時,若其中的任意一個疑似惡意樣本不能獲 得鑒別結果,將該任意一個疑似惡意樣本進行導出;將導出的該任意一個疑似惡意樣本發 送至指定平臺進行惡意軟件判定。根據該指定平臺返回的判定結果,篩選出惡意軟件和非 惡意軟件;提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將該惡意 軟件對應的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將該惡意軟件對應 的下載U化添加至惡意軟件下載U化庫中、將該惡意軟件對應的主控U化添加至惡意軟件 主控U化庫中;提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征 庫。 陽161] 基于上述技術方案,參閱圖5所示,本發明實施例中提供一種融合通信中惡意軟 件鑒別系統,包括接入網關50,軟件監測裝置51,中央管理平臺52,其中:
[0162] 接入網關50,用于針對原始網絡數據流量進行還原,獲取全部軟件樣本和全部網 絡日志。
[0163] 軟件監測裝置51,用于利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟 件樣本MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,將匹 配失敗的軟件樣本作為第一疑似惡意軟件樣本;
[0164] 軟件監測裝置51,還用于基于該全部網絡日志提取出每一個用戶的疑似惡意軟件 網絡行為向量,并將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中 的P個規則向量計算相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則 歸類口限的疑似惡意軟件網絡行為,W及將篩選出的疑似惡意軟件網絡行為所對應的軟件 作為第二疑似惡意軟件樣本;
[01化]中央管理平臺52,用于針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣 本進行鑒別,篩選出惡意軟件。
[0166] 可選的,利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征 庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配時,軟件監測裝置51 用于:
[0167] 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5 特征信息分別與數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和 疑似惡意軟件樣本MD5特征庫進行匹配,篩選出均匹配失敗的軟件樣本;
[0168] 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。
[0169] 可選的,基于該全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向量之 前,利用預存的惡意軟件下載U化庫和惡意軟件主控U化庫檢查該全部網絡日志時;軟件監 測裝置51進一步用于:
[0170] 篩選出則記載有連接惡意軟件下載U化和連接全網惡意軟件主控U化的網絡事件 的網絡日志,并將剩余的網絡日志作為全部網絡日志。 陽171] 可選的,在基于該全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向量 之后,在將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的P個規 則向量計算相似度之前,所述軟件監測裝置51進一步用于:
[0172] 將每一個用戶的疑似惡意軟件網絡行為向量進行單位化處理;
[0173] 將單位化后的每一個用戶的疑似惡意軟件網絡行為向量分別與預設的行為向量 計算初始相似度,篩選出初始相似度大于設定口限值的疑似惡意軟件網絡行為向量W進行 后續相似度計算。
[0174] 可選的,將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中 的P個規則向量計算相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則 歸類口限的疑似惡意軟件網絡行為的過程中,所述軟件監測裝置51進一步用于:
[0175] 再次篩選出對應的P個相似度均未達到相應的規則歸類口限的疑似惡意軟件網 絡行為,則將再次篩選出的疑似惡意軟件網絡行為向量對應的網絡日志導出; 陽176] 將導出的網絡日志發送至指定平臺進行惡意網絡行為判定。
[0177] 可選的,將導出的網絡日志發送至指定平臺進行惡意網絡行為判定后,中央管理 平臺52進一步用于:
[0178] 根據該指定平臺返回的判定結果,篩選出網絡日志中記載有惡意軟件網絡行為的 網絡日志,從記載有惡意軟件網絡行為的網絡日志中提取新的疑似惡意軟件網絡行為篩選 規則,并將其導入到疑似惡意軟件網絡行為篩選規則庫中。
[0179] 可選的,篩選出對應的P個相似度中至少一個相似度達到相應的規則歸類口限的 疑似惡意軟件網絡行為后,軟件監測裝置51進一步用于:
[0180] 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中僅有一個相似度達到 相應的規則歸類口限的,則將該任意一疑似惡意軟件網絡行為歸類為該一個相似度對應的 規則下的疑似惡意行為; 陽181] 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中至少兩個相似度達到 相應的規則歸類口限,則將該任意一疑似惡意軟件網絡行為歸類為該至少兩個相似度中取 值最小的相似度對應的規則下的疑似惡意行為。 陽182] 可選的,將篩選出的疑似惡意軟件網絡行為所對應的軟件作為第二疑似惡意軟件 樣本之后,針對第二疑似惡意樣本中的每一個樣本進行鑒別之前,軟件監測裝置51進一步 用于: 陽183] 利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本 MD5特征庫,對該第二疑似惡意軟件樣本進行匹配,篩選出均匹配失敗的軟件樣本;
[0184] 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。
[01化]可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別, 篩選出惡意軟件時,中央管理平臺52用于: 陽186] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進行反編譯和 模擬安裝,獲得每一個樣本的靜態資源信息和動態行為信息,分析每一個樣本的靜態資源 信息和動態行為信息,依據預設的分析準則,獲取每一個樣本的分析結果;
[0187] 根據每一個樣本的分析結果,篩選出符合預設的惡意行為條件的疑似惡意樣本, 作為惡意軟件。
[0188] 可選的,中央管理平臺52進一步用于針對第一疑似惡意樣本和第二疑似惡意樣 本中的每一個樣本進行鑒別,若其中的任意一個疑似惡意樣本不能獲得鑒別結果,將該任 意一個疑似惡意樣本進行導出;
[0189] 將導出的該任意一個疑似惡意樣本發送至指定平臺進行惡意軟件判定。 陽190] 根據該指定平臺返回的判定結果,篩選出惡意軟件和非惡意軟件; 陽191] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將該惡意 軟件對應的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將該惡意軟件對應 的下載U化添加至惡意軟件下載U化庫中、將該惡意軟件對應的主控U化添加至惡意軟件 主控U化庫中; 陽192] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。 陽193] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別, 篩選出惡意軟件之后,中央管理平臺52進一步用于:
[0194] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將該惡意 軟件對應的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將該惡意軟件對應 的下載U化添加至惡意軟件下載U化庫中、將該惡意軟件對應的主控U化添加至惡意軟件 主控U化庫中;
[0195] 分析惡意軟件的發作行為特征,提取新的疑似惡意軟件網絡行為篩選規則,并將 其更新到疑似惡意軟件網絡行為篩選規則庫中; 陽196] 獲取惡意軟件對應的網絡日志,并將添加至染毒用戶日志數據庫中; 陽197] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。
[0198] 綜上所述,本發明實施例中,針對原始網絡數據流量進行還原,獲取全部軟件樣本 和全部網絡日志;用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫 和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,將匹配失敗的軟件樣 本作為第一疑似惡意軟件樣本;基于該全部網絡日志提取出每一個用戶的疑似惡意軟件網 絡行為向量,并將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的 P個規則向量計算相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則歸 類口限的疑似惡意軟件網絡行為,W及將篩選出的疑似惡意軟件網絡行為所對應的軟件作 為第二疑似惡意軟件樣本;針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進 行鑒別,篩選出惡意軟件。運樣在融合通信系統中快速準確地鑒別出惡意軟件,提高了惡意 軟件的檢測效率和準確率,并且相比現網的疑似惡意軟件網絡行為的篩選,并且本發明實 施中將加權明氏距離的疑似惡意軟件網絡行為識別算法運用到海量的網絡日志的篩選過 濾中,提高了系統的運行效率,還能夠實時更行相關數據庫和篩選規則庫,運行更加可靠安 全。
[0199] 本領域內的技術人員應明白,本發明的實施例可提供為方法、系統、或計算機程序 產品。因此,本發明可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實 施例的形式。而且,本發明可采用在一個或多個其中包含有計算機可用程序代碼的計算機 可用存儲介質(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產 品的形式。 陽200] 本發明是參照根據本發明實施例的方法、設備(系統)、和計算機程序產品的流程 圖和/或方框圖來描述的。應理解可由計算機程序指令實現流程圖和/或方框圖中的每一 流程和/或方框、W及流程圖和/或方框圖中的流程和/或方框的結合。可提供運些計算 機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理 器W產生一個機器,使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生 用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能 的裝置。 陽201] 運些計算機程序指令也可存儲在能引導計算機或其他可編程數據處理設備W特 定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產生包括指 令裝置的制造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或 多個方框中指定的功能。 陽202] 運些計算機程序指令也可裝載到計算機或其他可編程數據處理設備上,使得在計 算機或其他可編程設備上執行一系列操作步驟W產生計算機實現的處理,從而在計算機或 其他可編程設備上執行的指令提供用于實現在流程圖一個流程或多個流程和/或方框圖 一個方框或多個方框中指定的功能的步驟。 陽203] 盡管已描述了本發明的優選實施例,但本領域內的技術人員一旦得知了基本創造 性概念,則可對運些實施例作出另外的變更和修改。所W,所附權利要求意欲解釋為包括優 選實施例W及落入本發明范圍的所有變更和修改。 陽204] 顯然,本領域的技術人員可W對本發明實施例進行各種改動和變型而不脫離本發 明實施例的精神和范圍。運樣,倘若本發明實施例的運些修改和變型屬于本發明權利要求 及其等同技術的范圍之內,則本發明也意圖包含運些改動和變型在內。
【主權項】
1. 一種融合通信中惡意軟件鑒別方法,應用在網絡側,其特征在于,包括: 針對原始網絡數據流量進行還原,獲取全部軟件樣本和全部網絡日志; 利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡 意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,將匹配失敗的軟件樣本作為第 一疑似惡意軟件樣本; 基于所述全部網絡日志提取出每一個用戶的疑似惡意軟件網絡行為向量,并將每一條 疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的P個規則向量計算相似 度,篩選出對應的P個相似度中至少一個相似度達到相應的規則歸類門限的疑似惡意軟件 網絡行為,以及將篩選出的疑似惡意軟件網絡行為所對應的軟件作為第二疑似惡意軟件樣 本,P為設置的正整數; 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別,篩選出惡意軟 件。2. 如權利要求1所述的方法,其特征在于,利用數據庫中預存的惡意軟件樣本MD5特征 庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進 行匹配,包括: 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5特征 信息分別與數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似 惡意軟件樣本MD5特征庫進行匹配,篩選出均匹配失敗的軟件樣本; 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。3. 如權利要求1所述的方法,其特征在于,基于所述全部網絡日志提取出每一個用戶 的疑似惡意軟件網絡行為向量之前,進一步包括: 利用預存的惡意軟件下載統一資源定位器URL庫和惡意軟件主控URL庫檢查所述全部 網絡日志; 篩選出則記載有連接惡意軟件下載URL和連接全網惡意軟件主控URL的網絡事件的網 絡日志,并將剩余的網絡日志作為全部網絡日志。4. 如權利要求1、2或3所述的方法,其特征在于,在基于所述全部網絡日志提取出每一 個用戶的疑似惡意軟件網絡行為向量之后,在將每一條疑似惡意軟件網絡行為向量分別與 疑似惡意軟件網絡行為庫中的P個規則向量計算相似度之前,進一步包括: 將每一個用戶的疑似惡意軟件網絡行為向量進行單位化處理; 將單位化后的每一個用戶的疑似惡意軟件網絡行為向量分別與預設的行為向量計算 初始相似度,篩選出初始相似度大于設定門限值的疑似惡意軟件網絡行為向量以進行后續 相似度計算。5. 如權利要求1所述的方法,其特征在于,將每一條疑似惡意軟件網絡行為向量分別 與疑似惡意軟件網絡行為庫中的P個規則向量計算相似度,篩選出對應的P個相似度中至 少一個相似度達到相應的規則歸類門限的疑似惡意軟件網絡行為的過程中,進一步包括: 再次篩選出對應的P個相似度均未達到相應的規則歸類門限的疑似惡意軟件網絡行 為,則將再次篩選出的疑似惡意軟件網絡行為向量對應的網絡日志導出; 將導出的網絡日志發送至指定平臺進行惡意網絡行為判定。6. 如權利要求5所述的方法,其特征在于,將導出的網絡日志發送至指定平臺進行惡 意網絡彳丁為判定后,進一步包括: 根據所述指定平臺返回的判定結果,篩選出網絡日志中記載有惡意軟件網絡行為的網 絡日志,從記載有惡意軟件網絡行為的網絡日志中提取新的疑似惡意軟件網絡行為篩選規 貝1J,并將其導入到疑似惡意軟件網絡行為篩選規則庫中。7. 如權利要求1、2或3所述的方法,其特征在于,篩選出對應的P個相似度中至少一個 相似度達到相應的規則歸類門限的疑似惡意軟件網絡行為后,進一步包括: 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中僅有一個相似度達到相應 的規則歸類門限的,則將所述任意一疑似惡意軟件網絡行為歸類為所述一個相似度對應的 規則下的疑似惡意行為; 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中至少兩個相似度達到相應 的規則歸類門限,則將所述任意一疑似惡意軟件網絡行為歸類為所述至少兩個相似度中取 值最小的相似度對應的規則下的疑似惡意行為。8. 如權利要求1所述的方法,其特征在于,將篩選出的疑似惡意軟件網絡行為所對應 的軟件作為第二疑似惡意軟件樣本之后,針對第二疑似惡意樣本中的每一個樣本進行鑒別 之前,進一步包括: 利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本MD5 特征庫,對所述第二疑似惡意軟件樣本進行匹配,篩選出均匹配失敗的軟件樣本; 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。9. 如權利要求1 一 8任一項所述的方法,其特征在于,針對第一疑似惡意樣本和第二疑 似惡意樣本中的每一個樣本進行鑒別,篩選出惡意軟件,包括: 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進行反編譯和模擬 安裝,獲得每一個樣本的靜態資源信息和動態行為信息,分析每一個樣本的靜態資源信息 和動態行為信息,依據預設的分析準則,獲取每一個樣本的分析結果; 根據每一個樣本的分析結果,篩選出符合預設的惡意行為條件的疑似惡意樣本,作為 惡意軟件。10. 如權利要求9所述的方法,其特征在于,進一步包括: 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別,若其中的任意 一個疑似惡意樣本不能獲得鑒別結果,將所述任意一個疑似惡意樣本進行導出; 將導出的所述任意一個疑似惡意樣本發送至指定平臺進行惡意軟件判定。 根據所述指定平臺返回的判定結果,篩選出惡意軟件和非惡意軟件; 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡意軟 件對應的下載URL和主控URL添加至惡意軟件待封堵URL庫中,以及將所述惡意軟件對應 的下載URL添加至惡意軟件下載URL庫中、將所述惡意軟件對應的主控URL添加至惡意軟 件主控URL庫中; 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。11. 如權利要求1 一 9任一項所述的方法,其特征在于,針對第一疑似惡意樣本和第二 疑似惡意樣本中的每一個樣本進行鑒別,篩選出惡意軟件之后,進一步包括: 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡意軟 件對應的下載URL和主控URL添加至惡意軟件待封堵URL庫中,以及將所述惡意軟件對應 的下載URL添加至惡意軟件下載URL庫中、將所述惡意軟件對應的主控URL添加至惡意軟 件主控URL庫中; 分析惡意軟件的發作行為特征,提取新的疑似惡意軟件網絡行為篩選規則,并將其更 新到疑似惡意軟件網絡行為篩選規則庫中; 獲取惡意軟件對應的網絡日志,并將添加至染毒用戶日志數據庫中; 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。12. -種融合通信中惡意軟件鑒別系統,應用在網絡側,其特征在于,包括: 接入網關,用于針對原始網絡數據流量進行還原,獲取全部軟件樣本和全部網絡日 志; 軟件監測裝置,用于利用數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本 MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進行匹配,將匹配失敗 的軟件樣本作為第一疑似惡意軟件樣本; 軟件監測裝置,還用于基于所述全部網絡日志提取出每一個用戶的疑似惡意軟件網絡 行為向量,并將每一條疑似惡意軟件網絡行為向量分別與疑似惡意軟件網絡行為庫中的P 個規則向量計算相似度,篩選出對應的P個相似度中至少一個相似度達到相應的規則歸類 門限的疑似惡意軟件網絡行為,以及將篩選出的疑似惡意軟件網絡行為所對應的軟件作為 第二疑似惡意軟件樣本; 中央管理平臺,用于針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行 鑒別,篩選出惡意軟件。13. 如權利要求12所述的系統,其特征在于,利用數據庫中預存的惡意軟件樣本MD5特 征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本 進行匹配時,所述軟件監測裝置用于: 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5特征 信息分別與數據庫中預存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似 惡意軟件樣本MD5特征庫進行匹配,篩選出均匹配失敗的軟件樣本; 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。14. 如權利要求12所述的系統,其特征在于,基于所述全部網絡日志提取出每一個用 戶的疑似惡意軟件網絡行為向量之前,所述軟件監測裝置進一步用于: 利用預存的惡意軟件下載URL庫和惡意軟件主控URL庫檢查所述全部網絡日志; 篩選出則記載有連接惡意軟件下載URL和連接全網惡意軟件主控URL的網絡事件的網 絡日志,并將剩余的網絡日志作為全部網絡日志。15. 如權利要求12、13或14所述的系統,其特征在于,在基于所述全部網絡日志提取出 每一個用戶的疑似惡意軟件網絡行為向量之后,在將每一條疑似惡意軟件網絡行為向量分 別與疑似惡意軟件網絡行為庫中的P個規則向量計算相似度之前,所述軟件監測裝置進一 步用于: 將每一個用戶的疑似惡意軟件網絡行為向量進行單位化處理; 將單位化后的每一個用戶的疑似惡意軟件網絡行為向量分別與預設的行為向量計算 初始相似度,篩選出初始相似度大于設定門限值的疑似惡意軟件網絡行為向量以進行后續 相似度計算。16. 如權利要求12所述的系統,其特征在于,將每一條疑似惡意軟件網絡行為向量分 別與疑似惡意軟件網絡行為庫中的P個規則向量計算相似度,篩選出對應的P個相似度中 至少一個相似度達到相應的規則歸類門限的疑似惡意軟件網絡行為的過程中,所述軟件監 測裝置進一步用于: 再次篩選出對應的P個相似度均未達到相應的規則歸類門限的疑似惡意軟件網絡行 為,則將再次篩選出的疑似惡意軟件網絡行為向量對應的網絡日志導出; 將導出的網絡日志發送至指定平臺進行惡意網絡行為判定。17. 如權利要求16所述的系統,其特征在于,將導出的網絡日志發送至指定平臺進行 惡意網絡行為判定后,所述中央管理平臺進一步用于: 根據所述指定平臺返回的判定結果,篩選出網絡日志中記載有惡意軟件網絡行為的網 絡日志,從記載有惡意軟件網絡行為的網絡日志中提取新的疑似惡意軟件網絡行為篩選規 貝1J,并將其導入到疑似惡意軟件網絡行為篩選規則庫中。18. 如權利要求12、13或14所述的系統,其特征在于,篩選出對應的P個相似度中至少 一個相似度達到相應的規則歸類門限的疑似惡意軟件網絡行為后,所述軟件監測裝置進一 步用于: 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中僅有一個相似度達到相應 的規則歸類門限的,則將所述任意一疑似惡意軟件網絡行為歸類為所述一個相似度對應的 規則下的疑似惡意行為; 若判定任意一疑似惡意軟件網絡行為對應的P個相似度中至少兩個相似度達到相應 的規則歸類門限,則將所述任意一疑似惡意軟件網絡行為歸類為所述至少兩個相似度中取 值最小的相似度對應的規則下的疑似惡意行為。19. 如權利要求12所述的系統,其特征在于,將篩選出的疑似惡意軟件網絡行為所對 應的軟件作為第二疑似惡意軟件樣本之后,針對第二疑似惡意樣本中的每一個樣本進行鑒 別之前,所述軟件監測裝置進一步用于: 利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本MD5 特征庫,對所述第二疑似惡意軟件樣本進行匹配,篩選出均匹配失敗的軟件樣本; 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。20. 如權利要求12 - 19任一項所述的系統,其特征在于,針對第一疑似惡意樣本和第 二疑似惡意樣本中的每一個樣本進行鑒別,篩選出惡意軟件時,所述中央管理平臺用于: 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進行反編譯和模擬 安裝,獲得每一個樣本的靜態資源信息和動態行為信息,分析每一個樣本的靜態資源信息 和動態行為信息,依據預設的分析準則,獲取每一個樣本的分析結果; 根據每一個樣本的分析結果,篩選出符合預設的惡意行為條件的疑似惡意樣本,作為 惡意軟件。21. 如權利要求20所述的系統,其特征在于,所述中央管理平臺進一步用于: 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進行鑒別,若其中的任意 一個疑似惡意樣本不能獲得鑒別結果,將所述任意一個疑似惡意樣本進行導出; 將導出的所述任意一個疑似惡意樣本發送至指定平臺進行惡意軟件判定。 根據所述指定平臺返回的判定結果,篩選出惡意軟件和非惡意軟件; 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡意軟 件對應的下載URL和主控URL添加至惡意軟件待封堵URL庫中,以及將所述惡意軟件對應 的下載URL添加至惡意軟件下載URL庫中、將所述惡意軟件對應的主控URL添加至惡意軟 件主控URL庫中; 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。22.如權利要求12 - 20任一項所述的系統,其特征在于,針對第一疑似惡意樣本和第 二疑似惡意樣本中的每一個樣本進行鑒別,篩選出惡意軟件之后,所述中央管理平臺進一 步用于: 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡意軟 件對應的下載URL和主控URL添加至惡意軟件待封堵URL庫中,以及將所述惡意軟件對應 的下載URL添加至惡意軟件下載URL庫中、將所述惡意軟件對應的主控URL添加至惡意軟 件主控URL庫中; 分析惡意軟件的發作行為特征,提取新的疑似惡意軟件網絡行為篩選規則,并將其更 新到疑似惡意軟件網絡行為篩選規則庫中; 獲取惡意軟件對應的網絡日志,并將添加至染毒用戶日志數據庫中; 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。
【文檔編號】G06F21/56GK105825129SQ201510002313
【公開日】2016年8月3日
【申請日】2015年1月4日
【發明人】常玲, 趙蓓, 杜雪濤, 陳濤, 劉佳, 張琳, 張高山, 馬力鵬, 薛姍, 洪東, 吳日切夫, 張艋, 杜剛, 冀文, 婁濤, 林華生, 陳云超
【申請人】中國移動通信集團設計院有限公司