[发明专利]一种移动互联网恶意软件检测的方法及系统

说明书

技术领域：

本发明涉及一种移动互联网恶意软件检测的方法及系统，具体涉及的技术领域是对移动数据业务中使用及传播的恶意软件进行检测和扫描。 

背景技术：

近年来，随着手机的普及和移动数据业务的不断发展，WAP、彩信、移动宽带上网已经越来越流行，随着手机功能逐渐智能化，在传统互联网大肆传播的恶意软件，已经扩散到移动互联网中，由于移动互联网用户群体很大，且手机与个人身份信息绑定更紧密，所以对移动互联网恶意软件做检测，显得尤为必要。 

目前传统互联网，对恶意软件的检测，主要在用户终端实现；由于手机终端的性能不如传统PC终端，所以直接将传统互联网恶意软件检测的方法移植到移动互联网中，并不是很好的解决方案。 

发明内容：

本发明的主要目的是提供一种移动互联网恶意软件检测的方法，可以实现在移动互联网的核心网侧，对恶意软件进行检测，追踪移动互联网恶意软件的传播情况，并为运营商从网络侧切断恶意软件传播提供数据支撑。 

本发明的另一个目的是提供一种移动互联网恶意软件检测的系统，可以实现在移动互联网的核心网侧，对恶意软件进行检测，追踪移动互联网恶意软件的传播情况，并为运营商从网络侧切断恶意软件传播提供数据支撑。 

为了实现上述目的，本发明提供一种移动互联网恶意软件检测的方法，其特征在于，该方法包括手机文件病毒扫描的方法，手机恶意URL扫描的方法，手机恶意软件异常行为扫描的方法。 

为了实现上述目的，本发明还提供一种移动互联网恶意软件检测的系统，其特征在于，该系统包括手机文件病毒扫描的程序，手机恶意URL扫描的程序，手机恶意软件异常行为扫描的程序。 

附图说明：

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。在附图中： 

图1移动互联网恶意软件监测系统实现原理图 

图2手机文件病毒扫描的方法 

图3手机恶意URL扫描的方法 

图4手机恶意软件异常行为扫描的方法 

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明的具体实施例进行详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。 

应当理解的是，上述针对具体实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本发明的专利保护范围应以所附权利要求为准。 

移动互联网恶意软件检测系统由图1所示，本系统从移动网络Gn口(SGSN与GGSN之间的通信接口)采集数据，并根据协议区分为HTTP/WAP数据、MMS/Email/FTP数据、TCP/UDP数据、PDP数据。 

手机文件病毒扫描模块，实现对HTTP/WAP协议下载文件，以及MMS/Email/FTP传输文件做文件病毒病毒扫描。 

手机恶意URL扫描模块，实现对HTTP/WAP协议中的URL做扫描。 

手机恶意软件异常行为扫描模块，实现对HTTP/WAP数据、MMS/Email/FTP数据、TCP/UDP数据、PDP数据中的异常行为模式做扫描。 

最后将分析出的结果输出到数据库中，并以UI展示给客户。 

手机文件病毒扫描程序如图2所示，程序首先对WAP、HTTP、FTP、Email协议中的文件附件做提取，其中MMS做为WAP协议的一种。然后程序根据病毒特征库，对文件附件做扫描，如果发现特征符合，则将该病毒及相关的特征输出。 

手机恶意URL扫描程序如图3所示，程序首先对WAP、HTTP协议中的URL做提取。然后程序根据恶意URL规则库，对URL做扫描，如果发现特征符合，则将该URL及相关的特征输出。 

手机恶意软件异常行为扫描程序如图4所示，程序首先对HTTP/WAP数据、MMS/Email/FTP数据、TCP/UDP数据、PDP数据做分析，包括用户访问IP地址、端口号、URL、PDP激活时间、彩信发送人、Email发送人，Email发送附件等信息，根据手机恶意软件异常行为阈值(例如相同内容的彩信发送不超过100次)，判别手机是否存在恶意软件，如果存在，则将恶意行为及特性输出。 

应当理解的是，上述针对具体实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本发明的专利保护范围应以所附权利要求为准。