一種疑似手機惡意軟件的定位方法及其裝置制造方法

一種疑似手機惡意軟件的定位方法及其裝置制造方法
【專利摘要】本發明實施例公開了一種疑似手機惡意軟件的定位方法及其裝置，用于提高定位疑似手機惡意軟件的針對性，且不需要用戶參與。其中的方法包括：按照可疑行為篩選規則對上網日志服務器中留存的手機用戶上網日志進行規則匹配與分析統計，篩選出可疑的用戶上網行為日志；將可疑的用戶上網行為日志與移動網關中存儲的手機上網網際互連協議IP分配日志進行關聯，獲取到疑似感染的用戶手機；獲取疑似感染的用戶手機在預置時間內下載過的手機軟件，預置時間為可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的一段時間；對下載過的手機軟件進行分析，定位出疑似手機惡意軟件，以使病毒分析工具對疑似手機惡意軟件進行判斷是否存在惡意行為。
【專利說明】一種疑似手機惡意軟件的定位方法及其裝置
【技術領域】
[0001]本發明涉及通信【技術領域】，尤其涉及一種疑似手機惡意軟件的定位方法及其裝置。
【背景技術】
[0002]隨著無線網絡的演進、移動數據業務的快速增長以及移動終端的智能化，移動互聯網得到了快速發展，移動寬帶逐漸取代固網寬帶占據統治地位，人們越來越依賴智能的手機終端實現各種各樣的數據業務，如瀏覽新聞、收發彩信、收發郵件、網上支付、聊天、游戲等。
[0003]但是，移動互聯網發展的同時，手機惡意軟件產業也隨之興起，通過惡意軟件吸引或誘惑用戶去下載安裝，然后獲取手機用戶的隱私信息，給手機用戶造成了嚴重的信息安全威脅。
[0004]為了保護手機用戶的信息安全，必須在用戶的手機中查找到手機惡意軟件然后進行清除，現有技術中為了查找用戶的手機中可能存在的惡意軟件，通常有如下兩種方式:
[0005]現有技術一的技術方案是在用戶的手機終端中毒以后，由用戶對所使用的疑似手機惡意軟件進行舉報,將樣本舉報給安全廠商,再由安全廠商對舉報的軟件進行分析,從而確定軟件是否具有惡意行為。目前國內大多數廠商均采用此方法，例如奇虎360、網秦等，本發明的發明人在實現本發明的過程中發現，現有技術的這種做法需要手機終端用戶對手機惡意軟件進行舉報，樣本軟件來源依賴用戶上傳，對手機終端用戶而言使用起來很不方便，并且總是依賴于用戶上傳樣本軟件，具有一定的滯后性。
[0006]現有技術二的技術方案主要是通過對網絡數據進行海量爬取，然后使用樣本分析工具，對爬取到的樣本進行反編譯以及自動分析，從而排除非惡意軟件，然后對剩余的疑似手機惡意軟件進行重點分析，從而確定所爬取的樣本中是否存在手機惡意軟件。本發明的發明人在實現本發明的過程中發現，現有技術的這種做法需要對海量的網絡數據爬取，分析工作量大，而且分析不具有針對性，能夠查找到手機惡意軟件的效率很低。

【發明內容】

[0007]本發明實施例提供了 一種疑似手機惡意軟件的定位方法及其裝置，用于提高定位疑似手機惡意軟件的針對性，且不需要用戶參與。
[0008]為解決上述技術問題，本發明實施例提供以下技術方案:
[0009]第一方面，本發明實施例提供一種疑似手機惡意軟件的定位方法，包括:
[0010]按照可疑行為篩選規則對上網日志服務器中留存的手機用戶上網日志進行規則匹配與分析統計，篩選出可疑的用戶上網行為日志；
[0011]將所述可疑的用戶上網行為日志與移動網關中存儲的手機上網網際互連協議IP分配日志進行關聯，獲取到疑似感染的用戶手機；
[0012]獲取所述疑似感染的用戶手機在預置時間內下載過的手機軟件，所述預置時間為所述可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的一段時間；
[0013]對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，以使病毒分析工具對所述疑似手機惡意軟件進行判斷是否存在惡意行為。
[0014]結合第一方面，在第一方面的第一種可能的實現方式中，所述將所述可疑的用戶上網行為日志與移動網關中存儲的手機上網IP分配日志進行關聯，獲取到疑似感染的用戶手機，包括:
[0015]獲取所述可疑的用戶上網行為日志中記錄的IP地址；
[0016]在所述手機上網IP分配日志中查找到所述IP地址被分配給的國際移動設備身份碼MEI，所述MEI對應的手機就是所述疑似感染的用戶手機。
[0017]結合第一方面，在第一方面的第二種可能的實現方式中，所述對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，包括:
[0018]對所述下載過的手機軟件進行白名單過濾；
[0019]將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
[0020]結合第一方面，在第一方面的第三種可能的實現方式中，所述對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，包括:
[0021]若獲取到了多個疑似感染的用戶手機，判斷各個疑似感染的用戶手機分別下載過的手機軟件是否存在相同的手機軟件；
[0022]若存在，將相同的手機軟件定位為疑似手機惡意軟件。
[0023]結合第一方面，在第一方面的第四種可能的實現方式中，所述獲取所述疑似感染的用戶手機在預置時間內下載過的手機軟件，包括:
[0024]獲取所述疑似感染的手機用戶在預置時間內的用戶下載日志；
[0025]根據所述用戶下載日志中記錄的統一資源定位符URL下載所述URL對應的網絡資源，得到所述下載過的手機軟件。
[0026]第二方面，本發明實施例還提供一種疑似手機惡意軟件的定位裝置，包括:
[0027]篩選單元，用于按照可疑行為篩選規則對上網日志服務器中留存的手機用戶上網日志進行規則匹配與分析統計，篩選出可疑的用戶上網行為日志，以及將所述可疑的用戶上網行為日志傳輸給關聯單元；
[0028]關聯單元，用于從所述篩選單元接收所述可疑的用戶上網行為日志，以及將所述可疑的用戶上網行為日志與移動網關中存儲的手機上網網際互連協議IP分配日志進行關聯，獲取到疑似感染的用戶手機，以及將所述疑似感染的用戶手機傳輸給獲取單元；
[0029]獲取單元，用于從關聯單元接收所述疑似感染的用戶手機，以及獲取所述疑似感染的用戶手機在預置時間內下載過的手機軟件，所述預置時間為所述可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的一段時間，以及將所述下載過的手機軟件傳輸給所述定位單元；
[0030]定位單元，用于從所述獲取單元接收所述下載過的手機軟件，以及對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，以使病毒分析工具對所述疑似手機惡意軟件進行判斷是否存在惡意行為。
[0031]結合第二方面，在第二方面的第一種可能的實現方式中，所述關聯單元包括:
[0032]IP地址獲取子單元，用于從所述篩選單元接收所述可疑的用戶上網行為日志，以及獲取所述可疑的用戶上網行為日志中記錄的IP地址，以及向查找子單元傳輸所述IP地址；
[0033]查找子單元，用于從所述IP地址獲取子單元接收所述IP地址，以及在所述手機上網IP分配日志中查找到所述IP地址被分配給的國際移動設備身份碼MEI，所述MEI對應的手機就是所述疑似感染的用戶手機。
[0034]結合第二方面，在第二方面的第二種可能的實現方式中，所述定位單元包括:
[0035]過濾子單元，用于從所述獲取單元接收所述下載過的手機軟件，以及對所述下載過的手機軟件進行白名單過濾，以及將未通過白名單過濾的手機軟件傳輸給第一定位子單元;
[0036]第一定位子單元，用于從所述過濾子單元接收所述未通過白名單過濾的手機軟件，以及將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
[0037]結合第二方面，在第二方面的第三種可能方式中，所述定位單元包括:
[0038]判斷子單元，用于從所述獲取單元接收所述下載過的手機軟件，以及若獲取到了多個疑似感染的用戶手機，判斷各個疑似感染的用戶手機分別下載過的手機軟件是否存在相同的手機軟件，以及將判斷結果傳輸給第二定位子單元；
[0039]第二定位子單元，用于從所述判斷子單元接收判斷結果，若所述判斷結果表示存在相同的手機軟件，將相同的手機軟件定位為疑似手機惡意軟件。
[0040]結合第二方面，在第二方面的第四種可能實現方式中，所述獲取單元包括:
[0041]獲取子單元，用于從關聯單元接收所述疑似感染的用戶手機，以及獲取所述疑似感染的手機用戶在預置時間內的用戶下載日志，以及將所述用戶下載日志發送給下載子單元;
[0042]下載子單元，用于從所述獲取子單元接收所述用戶下載日志，以及根據所述用戶下載日志中記錄的統一資源定位符URL下載所述URL對應的網絡資源，得到所述下載過的手機軟件。
[0043]從以上技術方案可以看出，本發明實施例具有以下優點:
[0044]在本發明實施例中，首先按照可疑行為篩選規則對手機用戶上網行為日志中篩選出可疑的用戶上網行為日志，然后根據可疑的用戶上網行為日志關聯出疑似感染的用戶手機，最后對疑似感染的用戶手機下載過的手機軟件進行分析，從而定位出疑似手機惡意軟件，本發明實施例中定位疑似手機惡意軟件的方法是通過從手機用戶上網行為日志出發尋找疑似手機惡意軟件，提高定位疑似手機惡意軟件的針對性，且不需要用戶主動參與。
【專利附圖】

【附圖說明】
[0045]為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域的技術人員來講，還可以根據這些附圖獲得其他的附圖。
[0046]圖1為本發明實施例提供的一種疑似手機惡意軟件的定位方法的流程方框示意圖；
[0047]圖2為本發明實施例提供的疑似手機惡意軟件的定位方法的應用場景示意圖；
[0048]圖3為本發明實施例提供的另一種疑似手機惡意軟件的定位方法的流程方框示意圖；
[0049]圖4為本發明實施例提供的一種疑似手機惡意軟件的定位裝置的組成結構示意圖；
[0050]圖5為本發明實施例提供的一種疑似手機惡意軟件的定位方法的實現過程示意圖；
[0051]圖6為本發明實施例提供的另一種疑似手機惡意軟件的定位裝置的組成結構示意圖。
【具體實施方式】
[0052]本發明實施例提供了 一種疑似手機惡意軟件的定位方法及其裝置，用于提高定位疑似手機惡意軟件的針對性，且不需要用戶參與。
[0053]為使得本發明的發明目的、特征、優點能夠更加的明顯和易懂，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，下面所描述的實施例僅僅是本發明一部分實施例，而非全部實施例。基于本發明中的實施例，本領域的技術人員所獲得的所有其他實施例，都屬于本發明保護的范圍。
[0054]本發明實施例提供的疑似手機惡意軟件的定位方法，如圖1所示，包括如下步驟:
[0055]101、按照可疑行為篩選規則對上網日志服務器中留存的手機用戶上網日志進行規則匹配與分析統計，篩選出可疑的用戶上網行為日志。
[0056]在本發明實施例中，部署在移動網關一側的上網日志服務器中留存有各個手機用戶的上網日志，本發明實施例提供的手機用戶上網日志主要指的是手機用戶上網行為日志，具體可以包括用戶訪問日志、用戶下載日志、用戶上傳日志、被分配的IP地址日志等，本發明實施例中首先對上網日志服務器中留存的手機用戶上網日志按照可疑行為篩選規則進行規則匹配和分析統計，從手機用戶上網日志中篩選出可疑的用戶上網行為日志，本發明實施例中將符合了可疑行為篩選規則所指定的行為日志定義為可疑的用戶上網行為日志，可疑的用戶上網行為日志指的是手機用戶所述產生的異常上網行為的日志。
[0057]在本發明實施例中，可疑行為篩選規則指的是用于篩選出手機用戶所產生的上網行為中可能造成手機感染病毒或者用戶的隱私信息被泄露給手機用戶造成信息安全威脅的上網行為日志，標記為可疑的用戶上網行為日志。可疑行為篩選規則可以由手機惡意軟件分析人員通過軟件分析經驗總結出來而制定的規則，也可以由本發明實施例提供的疑似手機惡意軟件的定位裝置依據手機惡意軟件通常會產生的惡意行為而制定，還可以由病毒分析工具依據對手機惡意軟件通常會產生的惡意行為而制定，具體實現方式要依據于具體的應用場景，此處不做限定。
[0058]對于可疑行為篩選規則而言，作為其中可實現的方式是，可疑行為篩選規則可以包括以下規則中的至少一種:異常特征字段匹配規則、用戶連接網絡頻率統計規則、文件傳播數量閾值統計規則，接下來分別進行詳細說明。
[0059]異常特征字段匹配規則是指手機用戶的上網行為日志中出現的字段可能與手機被感染惡意軟件而導致的異常行為有關的規則。可能出現的異常特征字段舉例說明如下:
[0060]I)國際移動設備身份碼(IMEI, International Mobile Equipment Identity)信息:MEI的總長為15位數字，每位數字僅使用O?9的數字，在手機用戶上網日志中出現了按照MEI格式的正則表達式則表示該字段為異常特征字段，手機用戶上網日志中出現了 IMEI格式的字段，有可能表示用戶個人信息的泄露；
[0061]2)國際移動用戶識別碼(IMSI !International Mobile Subscriber Identity)信息:MSI的總長度不超過15位，每位數字僅使用O~9的數字，在手機用戶上網日志中出現了按照MSI格式的正則表達式則表示該字段為異常特征字段，手機用戶上網日志中出現了 MSI格式的字段，有可能表示用戶個人信息的泄露；
[0062]3)手機類型、操作系統與軟件開發工具包(SDK, Software Development Kit)等單個或組合信息:在手機用戶上網日志中出現了按照手機類型、操作系統與SDK等單個或者組合的格式的正則表達式則表示該字段為異常特征字段，手機用戶上網日志中出現了手機類型、操作系統與SDK等單個或者組合的格式的字段，有可能表示用戶個人信息的泄露；
[0063]4)姓名、手機號碼等組合的信息:在手機用戶上網日志中出現了按照姓名、手機號碼等組合的格式的正則表達式則表示該字段為異常特征字段，例如手機用戶上網日志中出現了通訊錄中囊括的姓名、手機號碼等組合的字段，有可能表示用戶個人信息的泄露；
[0064]5)全球定位系統(GPS, Global Positioning System)的經度、諱度等格式組合的信息:在手機用戶上網日志中出現了按照GPS的經緯度等的格式的正則表達式則表示該字段為異常特征字段，手機用戶上網日志中出現了手機用戶所處位置的格式的字段，有可能表示用戶個人信息的泄 露；
[0065]6)手機終端位置的基站編號與手機號碼等信息:在手機用戶上網日志中出現了按照手機終端位置的基站編號與手機號碼等格式的正則表達式則表示該字段為異常特征字段，手機用戶上網日志中出現了手機終端位置的基站編號與手機號碼等的格式的字段，有可能表示用戶個人信息的泄露；
[0066]7)短信記錄中發信人手機號、收信人手機號、短信內容等信息:在手機用戶上網日志中出現了按照發信人手機號、收信人手機號、短信內容等格式的正則表達式則表示該字段為異常特征字段，手機用戶上網日志中出現了短信記錄中發信人手機號、收信人手機號、短信內容等格式的字段，有可能表示用戶個人信息的泄露；
[0067]8)通話記錄中打電話人手機號、接電話人手機號、通話時間等格式的信息:在手機用戶上網日志中出現了按照打電話人手機號、接電話人手機號、通話時間等格式的正則表達式則表示該字段為異常特征字段，手機用戶上網日志中出現了通話記錄中打電話人手機號、接電話人手機號、通話時間等格式的字段，有可能表示用戶個人信息的泄露。
[0068]當在手機用戶上網日志中出現了如上列舉的異常特征字段時該日志能夠與異常特征字段匹配規則相匹配的上，此時將該日志定位可疑的用戶上網行為日志，需要說明的是，如上列舉的異常特征字段只是異常特征字段匹配規則的其中一些異常特征字段，在實際應用中還可以有其它的實現方式，具體此處不做限定。
[0069]用戶連接網絡頻率統計規則指的是手機用戶在上網時連接網絡的頻率所滿足的規律性，如下進行舉例說明:
[0070]I)在一設定的周期內同類網絡行為的用戶超過預設的門限閾值，例如，如果在一個設定的周期I分鐘內下載某一手機軟件的用戶超過5000人，則此上網行為日志就匹配上了本發明實施例定義的用戶連接網絡頻率統計規則，此上網行為日志就是篩選出的可疑的用戶上網行為日志。[0071]2)同一用戶在一設定的周期內連接某URL地址超過設定的門限閾值，例如，如果在手機用戶上網日志中訪問某一網站的頻率超過每分鐘30次以上。
[0072]3)同一用戶連接不同網絡的行為具有一定周期性，例如，某一手機惡意軟件會浪費用戶手機的數據流量，若手機用戶上網日志中記錄同一用戶在每3秒都會連接不同的網絡，則該日志就是可疑的用戶上網行為日志。
[0073]4)在一設定的周期內超文本傳送協議(HTTP, Hyper Text Transport Protocol)行為中手機終端類型具有相似性，例如，在一個設定的周期I分鐘內都發起HTTP行為的多個手機終端都于一個特定時間見訪問過某網站。
[0074]5)在一設定的周期內產生的網絡數據中含有用戶的手機號或某一 URL地址超過門限閾值，例如，在一個設定的周期I分鐘內手機用戶上網日志所記錄的所有網絡數據中包含一個用戶手機號或者用戶之前訪問的某一 URL地址超過20次。
[0075]當在手機用戶上網日志中出現了如上列舉的用戶連接網絡頻率能夠與用戶連接網絡頻率統計規則相匹配的上，此時將該日志定位可疑的用戶上網行為日志，需要說明的是，如上列舉的用戶連接網絡頻率只是用戶連接網絡頻率統計規則的其中一些用戶連接網絡行為，在實際應用中還可以有其它的實現方式，具體此處不做限定。
[0076]文件傳播數量閾值統計規則指的是手機用戶在上網時傳播文件的頻率所滿足的規律性，如下進行舉例說明:
[0077]I)在一設定的周期內傳播的同一手機軟件傳播數量超過設定的門限閾值，則認為此日志就是可疑的用戶上網行為日志，例如:在設定的周期I分鐘內同一個手機軟件傳播數量超過設定的門限5000次。
[0078]2)在一設定的周期內彩信附件中包含同一手機軟件的文件數量超過門限閾值，則認為此日志就是可疑的用戶上網行為日志，例如:在設定的周期I分鐘內多個彩信附件中都攜帶了同一個手機軟件超過設定的門限5000次。
[0079]當在手機用戶上網日志中出現了如上列舉的文件傳播規律能夠與文件傳播數量閾值統計規則相匹配的上，此時將該日志定位可疑的用戶上網行為日志，需要說明的是，如上列舉的文件傳播規律只是其中一些文件傳播規律，在實際應用中還可以有其它的實現方式，具體此處不做限定。
[0080]102、將可疑的用戶上網行為日志與移動網關中存儲的手機上網網際互連協議(IP, Internet Protocol)分配日志進行關聯,獲取到疑似感染的用戶手機。
[0081]在本發明實施例中，用戶手機發起上網連接請求時，移動網關為用戶手機分配IP地址,在移動網關中中保存有手機上網IP分配日志,其中，手機上網IP分配日志中記錄有移動網關為用戶手機分配的IP地址，而在用戶上網行為日志中會記錄有使用某個IP地址所產生的各種網絡行為，所以，將可疑的用戶上網行為日志與移動網關中存儲的手機上網IP分配日志進行關聯，就可以獲取到疑似感染的用戶手機，疑似感染的用戶手機就是產生可疑的用戶上網行為日志的終端，需要說明的是，在本發明實施例中疑似感染的用戶手機只是表明獲取到了產生可疑的用戶上網行為的終端，至于該終端是否中是否存在手機惡意軟件需要進行后續分析來確定，此處獲取到疑似感染的用戶手機能夠縮小存在手機惡意軟件的用戶手機的范圍，對于定位出手機惡意軟件有重要作用。
[0082]為了詳細描述用戶手機上網行為的整個過程，請參閱圖2所示，為本發明實施例提供的疑似手機惡意軟件的定位方法的應用場景示意圖，移動用戶手機在發起上網的過程中，用戶手機首先向基站發送請求信息，由移動網關向用戶手機分配上網IP地址，在移動網關內部會保存手機上網IP分配日志，用于記錄移動網關為各個用戶手機分配的IP地址，用戶在上網的過程中所訪問的網站信息(例如，通過Internet訪問了 IP地址為192.168.1.106的網站)以及發送的信息會在移動網關上連接的上網日志服務器中留存，上網日志服務器中保存了手機用戶上網日志，其中會記錄用戶手機上網的全部行為，如果用戶下載了某手機惡意軟件后，該手機惡意軟件會發送出用戶的隱私信息或者浪費用戶的數據流量，那么通過可疑行為篩選規則進行規則匹配與分析統計上網日志服務器留存的手機用戶上網日志，可以篩選出可疑的用戶上網行為日志。
[0083]需要說明的是，對于步驟102，作為其中可實現的一種方式，可以包括:
[0084]獲取可疑的用戶上網行為日志中記錄的IP地址；
[0085]在手機上網IP分配日志中查找到IP地址被分配給的MEI，該MEI對應的手機就是疑似感染的用戶手機。
[0086]在用戶上網行為日志中記錄有產生各個用戶上網行為的IP地址，通過在手機上網IP分配日志中查找到其對應的頂EI，MEI是用戶手機的電子串號，由此獲取到產生可以的用戶上網行為日志的用戶手機就是疑似感染的用戶手機。
[0087]103、獲取疑似感染的用戶手機在預置時間內下載過的手機軟件，其中，預置時間為可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的一段時間。
[0088]在本發明實施例中獲取到疑似感染的用戶手機之后，在可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的預置時間內，獲取該疑似感染的用戶手機在這段時間內曾經下載過的手機軟件，可以獲取到疑似感染的手機用戶在產生可疑的用戶上網行為之前的一段時間內下載過的所有手機軟件，其中，預置時間通常可以設置為48小時或者72小時等某一具體的時間，由具體的應用場景而靈活設置，此處不做限定。
[0089]需要說明的是，對于步驟103，作為其中可實現的一種方式，可以包括:
[0090]獲取疑似感染的手機用戶在可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的預置時間內的用戶下載日志；
[0091]根據用戶下載日志中記錄的統一資源定位符(URL, Uniform Resource Locator)下載該URL對應的網絡資源，得到下載過的手機軟件。
[0092]通常在用戶下載日志會保存有用戶手機所下載的URL、下載時間、下載內容名稱等，找到用戶手機下載的URL后，下載與該URL對應的網絡資源，就可以獲取到該用戶手機曾經下載過的手機軟件。
[0093]104、對下載過的手機軟件進行分析，定位出疑似手機惡意軟件，以使病毒分析工具對疑似手機惡意軟件進行判斷是否存在惡意行為。
[0094]在本發明實施例中，獲取到疑似感染的用戶手機所下載過的手機軟件之后，對這些手機軟件進行分析，從中定位出疑似手機惡意軟件，以使病毒分析工具對疑似手機惡意軟件進行判斷是否存在惡意行為。獲取到疑似感染的用戶手機之后，進一步的獲取到該用戶手機所下載過的手機軟件，再對這些軟件進行分析，進一步的縮小可能存在惡意行為的手機軟件范圍，得到疑似手機惡意軟件，上報給病毒分析工具，提高定位疑似手機惡意軟件的針對性，且不需要用戶主動參與。[0095]需要說明的是，在本發明實施例中，手機惡意軟件指的是用戶手機在使用的過程中具有非法獲取用戶隱私或者惡意扣取用戶費用以及無故浪費用戶網絡數據流量等惡意功能的軟件，疑似手機惡意軟件指的是可能是手機惡意軟件的手機軟件，至于該疑似手機惡意軟件是否存在惡意行為，需要經過病毒分析工具進行最后的判斷分析，本發明實施例只是提高了定位疑似手機惡意軟件的針對性，也是精確了樣本軟件的選取，不需要用戶參與，也不會無目的的進行海量爬取，有利于病毒分析工具及時判斷出手機惡意軟件，盡快幫助用戶手機清除手機惡意軟件，保護用戶的信息安全和手機終端的性能安全。
[0096]需要說明的是，對于步驟104，作為其中可實現的一種方式，可以包括:
[0097]若獲取到了多個疑似感染的用戶手機，判斷各個疑似感染的用戶手機分別下載過的手機軟件是否存在相同的手機軟件；
[0098]若存在，將相同的手機軟件定位為疑似手機惡意軟件。
[0099]也就是說，對于若獲取到的是多個疑似感染的用戶手機，對疑似感染的用戶手機所下載過的軟件進行分析統計，提取出不同用戶手機所下載的手機軟件的交集，將相同的手機軟件確定為疑似手機惡意軟件，因為同樣被定位為多個疑似感染的用戶手機，如果對這些疑似感染的用戶手機中存在相同的手機軟件，則該手機軟件就可能是疑似手機惡意軟件，但是否是真正的手機惡意軟件，需要進行進一步的分析判斷。
[0100]另外，對于步驟104，作為其中可實現的另一種方式，可以包括:
[0101]對下載過的手機軟件進行白名單過濾；
[0102]將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
[0103]手機軟件白名單可以由手機惡意軟件分析人員通過軟件分析經驗總結出來而制定，將經過分析人員判斷后沒有惡意行為的手機軟件加入到白名單中，通過白名單過濾的方式將沒有通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
[0104]需要說明的是，在本發明實施例中，還可以使用白名單過濾和對各個用戶手機下載的手機軟件取交集的方式同時使用，可以首先對用戶手機下載過的手機軟件進行白名單過濾，對于未通過白名單過濾的手機軟件再進行取交集，將相同的手機軟件定位為疑似手機惡意軟件，也可以先對各個用戶手機下載過的手機軟件取交集，對于相同的手機軟件再進行白名單過濾，對于未通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
[0105]在本發明實施例中，首先按照可疑行為篩選規則對手機用戶上網行為日志中篩選出可疑的用戶上網行為日志，然后根據可疑的用戶上網行為日志關聯出疑似感染的用戶手機，最后對疑似感染的用戶手機下載過的手機軟件進行分析，從而定位出疑似手機惡意軟件，本發明實施例中定位疑似手機惡意軟件的方法是通過從手機用戶上網行為日志出發尋找疑似手機惡意軟件，提高定位疑似手機惡意軟件的針對性，且不需要用戶主動參與。
[0106]接下來，以一個詳細的流程圖對本發明實施例提供的疑似手機惡意軟件的定位方法進行說明，請參閱圖3所示。
[0107]在本流程描述中，從手機用戶上網日志開始分析，通過使用可疑行為篩選規則篩選出可疑的用戶上網行為日志，通過可疑的用戶上網行為日志中的IP地址與手機用戶上網時分配的IP地址日志進行關聯，確定出可疑的用戶上網行為日志對應的疑似感染的用戶手機，結合手機用戶上網日志中的用戶下載日志，獲取用戶歷史下載過的手機軟件，并對其中用戶群下載過的手機軟件進行白名單進行過濾，將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件，最后上報給病毒分析工具，最后確定該疑似手機惡意軟件是否具有惡意彳丁為。
[0108]以上實施例介紹了本發明實施例提供的疑似手機惡意軟件的定位方法，接下介紹本發明實施例提供的疑似手機惡意軟件的定位裝置，在實際應用中，本發明實施例提供的疑似手機惡意軟件的定位裝置具體可以內置于移動網關內，還可以單獨設置在移動網關一側處，通過軟件或硬件集成的方式來實現對疑似手機惡意軟件的定位的處理。在本發明實施例中將介紹和上述方法實施例中介紹的方法相對應的裝置，具體各單元的執行方法可參見上述方法實施例，在此僅描述相關單元的內容，具體說明如下。請參閱圖4所示，疑似手機惡意軟件的定位裝置400，包括:
[0109]篩選單元401，用于按照可疑行為篩選規則對上網日志服務器中留存的手機用戶上網日志進行規則匹配與分析統計，篩選出可疑的用戶上網行為日志，以及將可疑的用戶上網行為日志傳輸給關聯單元402 ；
[0110]關聯單元402，用于從篩選單元401接收可疑的用戶上網行為日志，以及將可疑的用戶上網行為日志與移動網關中存儲的手機上網網際互連協議IP分配日志進行關聯，獲取到疑似感染的用戶手機，以及將疑似感染的用戶手機傳輸給獲取單元403 ；
[0111]獲取單元403，用于從關聯單元402接收疑似感染的用戶手機，以及獲取疑似感染的用戶手機在預置時間內下載過的手機軟件，其中預置時間為可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的一段時間，以及將下載過的手機軟件傳輸給定位單元404 ；
[0112]定位單元404，用于從獲取單元接收下載過的手機軟件，以及對下載過的手機軟件進行分析，定位出疑似手機惡意軟件，以使病毒分析工具對疑似手機惡意軟件進行判斷是否存在惡意行為。
[0113]需要說明的是，對于本發明實施例提供的關聯單元402，作為其中可實現的一種方式是，具體可以包括(未在圖4中示出):
[0114]IP地址獲取子單元，用于從篩選單元接收可疑的用戶上網行為日志，以及獲取可疑的用戶上網行為日志中記錄的IP地址，以及向查找子單元傳輸IP地址；
[0115]查找子單元，用于從IP地址獲取子單元接收IP地址，以及在手機上網IP分配日志中查找到IP地址被分配給的國際移動設備身份碼MEI，IMEI對應的手機就是疑似感染的用戶手機。
[0116]需要說明的是，對于本發明實施例提供的定位單元404，作為其中可實現的一種方式是，可以包括(未在圖4中示出):
[0117]過濾子單元，用于從獲取單元接收下載過的手機軟件，以及對下載過的手機軟件進行白名單過濾，以及將未通過白名單過濾的手機軟件傳輸給第一定位子單元；
[0118]第一定位子單元，用于從過濾子單元接收未通過白名單過濾的手機軟件，以及將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
[0119]對于本發明實施例提供的定位單元404，作為其中可實現的另一種方式是，具體可以包括(未在圖4中示出):
[0120]判斷子單元，用于從獲取單元接收下載過的手機軟件，以及若獲取到了多個疑似感染的用戶手機，判斷各個疑似感染的用戶手機分別下載過的手機軟件是否存在相同的手機軟件，以及將判斷結果傳輸給第二定位子單元；
[0121]第二定位子單元，用于從判斷子單元接收判斷結果，若判斷結果表示存在相同的手機軟件，將相同的手機軟件定位為疑似手機惡意軟件。
[0122]對于本發明實施例提供的獲取單元403，作為其中可實現的另一種方式是，可以包括(未在圖4中示出):
[0123]獲取子單元，用于從關聯單元接收疑似感染的用戶手機，以及獲取疑似感染的手機用戶在預置時間內的用戶下載日志，以及將用戶下載日志發送給下載子單元；
[0124]下載子單元，用于從獲取子單元接收用戶下載日志，以及根據用戶下載日志中記錄的統一資源定位符URL下載URL對應的網絡資源，得到下載過的手機軟件。
[0125]需要說明的是，上述裝置各模塊/單元之間的信息交互、執行過程等內容，由于與本發明方法實施例基于同一構思，其帶來的技術效果與本發明方法實施例相同，具體內容可參見本發明如圖1所示的方法實施例中的敘述，此處不再贅述。
[0126]在本發明實施例中，首先篩選單元按照可疑行為篩選規則對手機用戶上網行為日志中篩選出可疑的用戶上網行為日志，然后關聯單元根據可疑的用戶上網行為日志關聯出疑似感染的用戶手機，最后定位單元對疑似感染的用戶手機下載過的手機軟件進行分析，從而定位出疑似手機惡意軟件，本發明實施例中定位疑似手機惡意軟件的方法是通過從手機用戶上網行為日志出發尋找疑似手機惡意軟件，提高定位疑似手機惡意軟件的針對性，且不需要用戶主動參與。
[0127]接下來，以一個實現過程示意圖對本發明實施例提供的疑似手機惡意軟件的定位方法進行說明，請參閱圖5所示。
[0128]從手機用戶上網日志開始分析，通過使用可疑行為篩選規則篩選出可疑的用戶上網行為日志，通過可疑的用戶上網行為日志中的IP地址與手機用戶上網時分配的IP地址日志進行關聯，確定出可疑的用戶上網行為日志對應的疑似感染的用戶手機，結合手機用戶上網日志中的用戶下載日志，獲取用戶歷史下載過的手機軟件，并對其中用戶群下載過的手機軟件進行白名單進行過濾，將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件，最后上報給病毒分析工具，最后確定該疑似手機惡意軟件是否具有惡意行為。
[0129]在本發明實施例中，首先按照可疑行為篩選規則對手機用戶上網行為日志中篩選出可疑的用戶上網行為日志，然后根據可疑的用戶上網行為日志關聯出疑似感染的用戶手機，最后對疑似感染的用戶手機下載過的手機軟件進行分析，從而定位出疑似手機惡意軟件，本發明實施例中定位疑似手機惡意軟件的方法是通過從手機用戶上網行為日志出發尋找疑似手機惡意軟件，提高定位疑似手機惡意軟件的針對性，且不需要用戶主動參與。
[0130]接下來介紹本發明實施例提供的另一種疑似手機惡意軟件的定位裝置，請參閱圖6所示，疑似手機惡意軟件的定位裝置600包括:
[0131]輸入裝置601、輸出裝置602、處理器603和存儲器604 (其中定位裝置600中的處理器603的數量可以一個或多個，圖6中以一個處理器為例)。在本發明的一些實施例中，輸入裝置601、輸出裝置602、處理器603和存儲器604可通過總線或其它方式連接，其中，圖6中以通過總線連接為例。
[0132]其中，輸入裝置601用于將上網日志服務器中留存的手機用戶上網日志輸入到處理器603中；[0133]處理器603，用于執行如下步驟:按照可疑行為篩選規則對上網日志服務器中留存的手機用戶上網日志進行規則匹配與分析統計，篩選出可疑的用戶上網行為日志；將所述可疑的用戶上網行為日志與移動網關中存儲的手機上網網際互連協議IP分配日志進行關聯，獲取到疑似感染的用戶手機；獲取所述疑似感染的用戶手機在預置時間內下載過的手機軟件，所述預置時間為所述可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的一段時間；對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，以使病毒分析工具對所述疑似手機惡意軟件進行判斷是否存在惡意行為。
[0134]在本發明的一些實施例中，處理器603依據的可疑行為篩選規則可以為以下規則中的至少一種:異常特征字段匹配規則、用戶連接網絡頻率統計規則、文件傳播數量閾值統計規則。
[0135]在本發明的一些實施例中，處理器603對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，可以包括:對所述下載過的手機軟件進行白名單過濾；將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
[0136]在本發明的一些實施例中，處理器603對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，可以包括:若獲取到了多個疑似感染的用戶手機，判斷各個疑似感染的用戶手機分別下載過的手機軟件是否存在相同的手機軟件；若存在，將相同的手機軟件定位為疑似手機惡意軟件。
[0137]在本發明的一些實施例中，處理器603獲取所述疑似感染的用戶手機在預置時間內下載過的手機軟件，可以包括:獲取所述疑似感染的手機用戶在預置時間內的用戶下載日志；根據所述用戶下載日志中記錄的統一資源定位符URL下載所述URL對應的網絡資源，得到所述下載過的手機軟件。
[0138]在本發明的一些實施例中，存儲器604可以用于存儲處理器603篩選出的可疑的用戶上網行為日志；存儲處理器603獲取到的疑似感染的用戶手機；存儲處理器603獲取到的疑似感染的用戶手機在預置時間段內下載過的手機軟件。
[0139]在本發明的一些實施例中，輸出裝置602可以用于輸出處理器603定位出的疑似手機惡意軟件，以使病毒分析工具對所述疑似手機惡意軟件進行判斷是否存在惡意行為。
[0140]在本發明實施例中，處理器603按照可疑行為篩選規則對手機用戶上網行為日志中篩選出可疑的用戶上網行為日志，然后根據可疑的用戶上網行為日志關聯出疑似感染的用戶手機，最后對疑似感染的用戶手機下載過的手機軟件進行分析，從而輸出裝置602輸出處理器603定位出的疑似手機惡意軟件，本發明實施例中定位疑似手機惡意軟件的方法是通過從手機用戶上網行為日志出發尋找疑似手機惡意軟件，提高定位疑似手機惡意軟件的針對性，且不需要用戶主動參與。
[0141]本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件完成，所述的程序可以存儲于一種計算機可讀存儲介質中，上述提到的存儲介質可以是只讀存儲器，磁盤或光盤等。
[0142]以上對本發明所提供的一種疑似手機惡意軟件的定位方法及其裝置進行了詳細介紹，對于本領域的一般技術人員，依據本發明實施例的思想，在【具體實施方式】及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。
【權利要求】
1.一種疑似手機惡意軟件的定位方法，其特征在于，包括: 按照可疑行為篩選規則對上網日志服務器中留存的手機用戶上網日志進行規則匹配與分析統計，篩選出可疑的用戶上網行為日志； 將所述可疑的用戶上網行為日志與移動網關中存儲的手機上網網際互連協議IP分配日志進行關聯，獲取到疑似感染的用戶手機； 獲取所述疑似感染的用戶手機在預置時間內下載過的手機軟件，所述預置時間為所述可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的一段時間； 對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，以使病毒分析工具對所述疑似手機惡意軟件進行判斷是否存在惡意行為。
2.根據權利要求1所述的方法，其特征在于，所述可疑行為篩選規則包括以下規則中的至少一種:異常特征字段匹配規則、用戶連接網絡頻率統計規則、文件傳播數量閾值統計規則。
3.根據權利要求1所述的方法，其特征在于，所述將所述可疑的用戶上網行為日志與移動網關中存儲的手機上網IP分配日志進行關聯，獲取到疑似感染的用戶手機，包括: 獲取所述可疑的用戶上網行為日志中記錄的IP地址； 在所述手機上網IP分配日志中查找到所述IP地址被分配給的國際移動設備身份碼MEI，所述MEI對應的手機就是所述疑似感染的用戶手機。
4.根據權利要求1所述的 方法，其特征在于，所述對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，包括: 對所述下載過的手機軟件進行白名單過濾； 將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
5.根據權利要求1所述的方法，其特征在于，所述對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，包括: 若獲取到了多個疑似感染的用戶手機，判斷各個疑似感染的用戶手機分別下載過的手機軟件是否存在相同的手機軟件； 若存在，將相同的手機軟件定位為疑似手機惡意軟件。
6.根據權利要求1所述的方法，其特征在于，所述獲取所述疑似感染的用戶手機在預置時間內下載過的手機軟件，包括: 獲取所述疑似感染的手機用戶在預置時間內的用戶下載日志； 根據所述用戶下載日志中記錄的統一資源定位符URL下載所述URL對應的網絡資源，得到所述下載過的手機軟件。
7.一種疑似手機惡意軟件的定位裝置，其特征在于，包括: 篩選單元，用于按照可疑行為篩選規則對上網日志服務器中留存的手機用戶上網日志進行規則匹配與分析統計，篩選出可疑的用戶上網行為日志，以及將所述可疑的用戶上網行為日志傳輸給關聯單元； 關聯單元，用于從所述篩選單元接收所述可疑的用戶上網行為日志，以及將所述可疑的用戶上網行為日志與移動網關中存儲的手機上網網際互連協議IP分配日志進行關聯，獲取到疑似感染的用戶手機，以及將所述疑似感染的用戶手機傳輸給獲取單元； 獲取單元，用于從關聯單元接收所述疑似感染的用戶手機，以及獲取所述疑似感染的用戶手機在預置時間內下載過的手機軟件，所述預置時間為所述可疑的用戶上網行為日志中記錄的可疑的用戶上網行為以前的一段時間，以及將所述下載過的手機軟件傳輸給所述定位單元；定位單元，用于從所述獲取單元接收所述下載過的手機軟件，以及對所述下載過的手機軟件進行分析，定位出疑似手機惡意軟件，以使病毒分析工具對所述疑似手機惡意軟件進行判斷是否存在惡意行為。
8.根據權利要求7所述的裝置，其特征在于，所述關聯單元包括:IP地址獲取子單元，用于從所述篩選單元接收所述可疑的用戶上網行為日志，以及獲取所述可疑的用戶上網行為日志中記錄的IP地址，以及向查找子單元傳輸所述IP地址；查找子單元，用于從所述IP地址獲取子單元接收所述IP地址，以及在所述手機上網IP 分配日志中查找到所述IP地址被分配給的國際移動設備身份碼MEI，所述MEI對應的手機就是所述疑似感染的用戶手機。
9.根據權利要求7所述的裝置，其特征在于，所述定位單元包括:過濾子單元，用于從所述獲取單元接收所述下載過的手機軟件，以及對所述下載過的手機軟件進行白名單過濾，以及將未通過白名單過濾的手機軟件傳輸給第一定位子單元；第一定位子單元，用于從所述過濾子單元接收所述未通過白名單過濾的手機軟件，以及將未通過白名單過濾的手機軟件定位為疑似手機惡意軟件。
10.根據權利要求7所述的裝置，其特征在于，所述定位單元包括:判斷子單元，用于從所述獲取單元接收所述下載過的手機軟件，以及若獲取到了多個疑似感染的用戶手機，判斷各個疑似感染的用戶手機分別下載過的手機軟件是否存在相同的手機軟件，以及將判斷結果傳輸給第二定位子單元；第二定位子單元，用于從所述判斷子單元接收判斷結果，若所述判斷結果表示存在相同的手機軟件，將相同的手機軟件定位為疑似手機惡意軟件。·
11.根據權利要求7所述的裝置，其特征在于，所述獲取單元包括:獲取子單元，用于從關聯單元接收所述疑似感染的用戶手機，以及獲取所述疑似感染的手機用戶在預置時間內的用戶下載日志，以及將所述用戶下載日志發送給下載子單元；下載子單元，用于從所述獲取子單元接收所述用戶下載日志，以及根據所述用戶下載日志中記錄的統一資源定位符URL下載所述URL對應的網絡資源，得到所述下載過的手機軟件。
【文檔編號】H04W88/02GK103581909SQ201210268819
【公開日】2014年2月12日 申請日期:2012年7月31日 優先權日:2012年7月31日
【發明者】張子芳, 姚允元, 郭輝 申請人:華為技術有限公司