基于接入路由器進行惡意軟件網絡行為檢測的方法及系統的制作方法
【技術領域】
[0001]本發明涉及基于接入路由器進行惡意軟件網絡行為檢測的方法及系統。
【背景技術】
[0002]隨著移動終端的廣泛使用,尤其是智能手機的迅速普及,移動智能終端給現代社會巨大的變革,進入21世紀以來,我們已經迅速步入了移動時代。而手機已不再局限于傳統意義上的通信業務,已經成為集電子商務、個人支付、社交娛樂等功能于一體的強大終端。據Gartner報告統計,2014年,全球手機市場已經達35億臺(其中Android系統27億臺),已經超過PC數量,預測到2015年將超過50億臺。然而隨著移動應用的普及和用戶數量爆發式增長,移動智能終端的安全也面臨著巨大挑戰。據國家互聯網應急中心發布的2013年中國互聯網網絡安全報告的一項統計,惡意扣費類的惡意程序數量居首位,達到了 502481個,顯示了黑客制作惡意程序帶有明顯的趨利性,而針對Android平臺的惡意聯網程序達到了 699514個,占總數99%以上;據網秦公司發布的2013上半年全球手機安全報告,2013年上半年查殺到手機惡意軟件51084款,同比2012年上半年增長189%,2013年上半年感染手機2102萬部,同比2012年上半年增長63.8%,在全球范圍內,中國大陸地區以31.71%的感染比例位居首位,俄羅斯(17.15% )、印度(13.8% )、美國(6.53% )位居其后,其中中國大陸地區增幅最快,相比2013年第一季度增長5.31%,比2012年上半年增長6.01 % ;Cheetah Mobile發布2014上半年全球移動安全報告指出2014年上半年病毒數量為2013全年的2.5倍。
[0003]目前傳統的移動終端惡意軟件檢測方法根據檢測方式的不同大致可以分為兩類,即靜態檢測和動態檢測。(I)對于靜態檢測技術,傳統的解決方法是利用反編譯工具和逆向工程技術對移動終端的惡意軟件進行反編譯和反匯編,再從源代碼中找出惡意代碼。這種靜態檢測技術最大的優點是實施簡單,用戶只需在終端上安裝檢測程序即可,而各大安全公司的移動終端的安全產品也大都采用這種模式。但是隨著代碼混淆、加殼等技術的出現,反編譯和對惡意代碼的特征匹配已經變成了一件非常困難的事情,同時,這種靜態檢測技術非常依賴于已有惡意代碼的特征,對未知惡意軟件的發現能力極其不足。(2)對于動態檢測技術,則是利用“沙盒”機制,通過在沙盒內運行應用軟件,監控應用軟件對系統敏感資源的調用來達到識別的目的。這種動態的方法對未知的惡意應用具有一定的發現能力,但是對用戶終端的資源消耗巨大,并且難以大規模部署實施,所以相關研究僅停留在學術研究階段。
[0004]面對分析這種現有的移動終端惡意軟件的檢測現狀,在實際生活中,人們迫切地需要一種能夠實現大規模部署實施,同時,不需要依賴用戶安裝、實現主動檢測的方案。通過網絡流量來發現移動終端的惡意軟件網絡行為是近年新興的一種惡意軟件檢測技術,并取得了一些初步的研究成果。這種技術利用網絡流量來檢測用戶是否在移動終端安裝了惡意軟件,但是這種技術僅僅停留在技術層面,并沒有一個實現該技術的實際載體完成整個的檢測過程。
【發明內容】
[0005]為解決現有技術存在的不足,本發明公開了基于接入路由器進行惡意軟件網絡行為檢測的方法及系統,在接入路由器通過對移動終端軟件產生的流量進行基于流量行為的分析,從而判斷通過該接入路由器連接至互聯網的移動終端是否安裝并運行了惡意軟件。
[0006]為實現上述目的,本發明的具體方案如下:
[0007]基于接入路由器進行惡意軟件網絡行為檢測的方法,包括以下步驟:
[0008]移動終端接入至具有惡意軟件網絡行為發現能力的無線路由器;
[0009]具有惡意軟件網絡行為發現能力的無線路由器識別接入的移動終端,同意其聯網請求,并開始抓取該移動終端通過上網產生的流量,將采集的網絡流量傳入流量行為分析模塊,進行基于流量的安全檢測;
[0010]通過惡意軟件流量自動化采集服務,主動獲取惡意軟件流量數據集,并將采集到的數據流量傳輸到檢測模型服務器;
[0011]路由器進行基于流量的安全檢測時,根據流量的特征選擇對應的檢測模型,檢測模型開始對輸入的流量數據進行處理并輸出檢測結果;處理結果通過用戶端安裝的信息反饋APP告知用戶;
[0012]選擇的對應的檢測模型是檢測模型服務器通過流量數據建立并經過不斷的訓練得到的檢測模型,訓練時不斷調整模型參數,使檢測模型的效果最優;
[0013]檢測模型服務器定期的更新接入路由器的流量行為分析模塊,增強接入路由器的安全防護。
[0014]進一步的,具有惡意軟件網絡行為發現能力的無線路由器識別接入的移動終端,將采集的網絡流量傳入流量行為分析模塊,進行基于流量的安全檢測,具體步驟為:
[0015]采集移動終端應用軟件所產生的網絡流量,并傳輸到流量行為分析模塊;
[0016]流量行為分析模塊含有特征提取模塊,用于從網絡流量數據中提取出各類特征,主要包括能夠有效表征移動終端惡意軟件網絡行為的特征;
[0017]在特征提取之后,按照不同的特征類型對提取的特征進行分類;
[0018]對每一種類型的特征,選擇與之相匹配的檢測模型,不同的特征類型適用于不同類型的模型,每種類型的特征有與之對應的唯一的模型;
[0019]配置模塊,用于實現模型選擇,更新控制和獲取輸出功能;
[0020]更新接口與結果輸出模塊,分別用于對配置模塊的更新檢測及配置模塊的結果輸出。
[0021]進一步的,首先,當更新控制模塊檢測到路由器的外存中有待更新的文件或者檢測到更新接口發來的指令后,更新控制模塊首先獲得流量數據控制權,將流量獲取模塊中獲取的流量數據暫存到緩存中;其次,更新控制模塊對流量行為分析模塊中的檢測模型進行更新;然后,更新成功后更新控制模塊釋放流量數據控制權,使得流量獲取模塊中獲取的流量數據傳輸到行為分析模塊;最后,更新控制模塊將緩存中的流量數據傳輸到流量行為分析模塊。
[0022]進一步的,對特征進行分類時,分為規則類的特征、圖類特征、數值型特征和標稱型特征。
[0023]進一步的,對分類后的特征,選擇與之相適應的檢測模型進行檢測。分別的,對于規則類的特征,選擇基于規則的檢測模型進行檢測,對于圖類的特征,選擇基于圖相似的匹配模型進行檢測,對于數值型特征和標稱型特征,選擇機器學習模型處理這些類型的數據。
[0024]進一步的,對于規則類的特征進行檢測時,采用的步驟為:
[0025]1-1)通過對用戶移動終端網絡流量的采集,從中提取出所有的請求的域名;
[0026]1-2)將提取的域名與規則匹配模板庫中規則進行匹配,若發現有惡意請求的域名存在,規則匹配模型輸出發現惡意軟件的檢測結果。
[0027]進一步的,對于圖類特征進行檢測時,采用的步驟為:
[0028]2-1)在采集到的用戶移動終端應用軟件所產生的網絡流量中,按照五元組特征提取出該應用的網絡行為數據流;其中,五元組特征是指具有相同的源IP,目的IP,源端口,目的端口和協議類型;
[0029]2-2)根據提取出的網絡行為數據流,畫出用戶移動終端應用軟件的網絡行為重構圖,分別計算其與圖相似匹配模型中惡意網絡行為重構圖的相似度和與圖相似匹配模型中正常網絡行為重構圖的相似度,若與前者的相似度大于后者的相似度,則說明該應用軟件是惡意軟件。
[0030]進一步的,對于數值型和標稱型特征進行檢測時,采用的步驟為:
[0031]3-1)在采集到的用戶移動終端應用軟件所產生的網絡流量中,提取出數值型和標稱型特征;
[0032]3-2)對提取出的數值型特征和標稱型特征進行歸一化等預處理;
[0033]3-3)將處理好的數值型特征和標稱型特征輸入到已經預先在流量行為分析模塊中配置好的機器學習模型中;
[0034]3-4)根據輸入的特征,使用機器學習模型做檢測。
[0035]進一步的,通過惡意軟件流量自動化采集服務,主動獲取惡意軟件流量數據集時,對移動終端惡意軟件進行反編譯,反編譯后得到與惡意軟件相對應的配置文件;
[0036]從與惡意軟件相對應的配置文件中提取移動終端惡意軟件自動安裝和運行所需要的參數;
[0037]根據提取的移動終端惡意軟件自動安裝和運行所需要的參數進行移動終端惡意軟件的自動安裝;
[0038]利用激活優先機制實現對移動終端惡意軟件激活與運行,移動終端惡意軟件激活與運行后獲取移動終端惡意軟件網絡流量;
[0039]根據獲取的移動終端惡意軟件網絡流量信息建立移動終端惡意目標列表;
[0040]根據建立的移動終端惡意目標列表分離出移動終端惡意軟件與遠程控制服務器之間或惡意服務器之間所產生的惡意交互流量。
[0041]進一步的,所述檢測服務器在工作時,移動終端網絡流量數據集中的數據流量進入檢測模型服務器中的流量行為分析模塊;<