[发明专利]移动互联网分布式僵尸木马蠕虫检测方法和装置

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及在一种移动互联网分布式僵尸木马蠕虫检测方法和装置。

背景技术

随着移动互联网的快速发展，Android平台的开放性，APP爆炸性发布，应用商店下载APP的方便性，移动终端很快成为人们运用网络服务的便利平台，进行线上信息获取、购物、社交与手游，同时，由于移动终端中存储着用户隐私信息，比如通讯录、位置信息、银行帐户信息等，使得利益型黑客越来越多地向移动终端用户下手，从而损害了用户的利益。

在本发明的移动互联网分布式僵尸木马蠕虫检测方法和装置中主要涉及以下技术：文件完整性检测技术、系统与函数调用检测技术、通信行为检测技术、贝叶斯过滤器检测技术、主动扫描检测技术、基于漏洞所在端口、流量的离散度与行为特征检测技术。

移动互联网分布式僵尸木马蠕虫检测技术的发展有两个方向，一是关键词检测技术；二是流量检测技术。对于这两个方向的技术，它们的优点是技术比较成熟，缺陷是检测技术没有准确针对特定攻击类别，存在较大的误报率，没有检测客户端与云服务器端的协作，性能比较低，需要进行网络信息采样，存在较大的漏报率。本发明采用文件完整性检测技术、系统与函数调用检测技术、通信行为检测技术、贝叶斯过滤器检测技术、主动扫描检测技术、基于漏洞所在端口、流量的离散度与行为特征检测技术，克服了以上两个方向的方法中存在的缺点，能够快速、精确检测僵尸木马蠕虫。

发明内容

明的目的是克服现有技术的缺点，提供一种移动互联网分布式僵尸木马蠕虫检测方法和装置，使得能够快速、精确地检测木马、僵尸网络与蠕虫攻击，有效地保障移动终端中信息的机密性与完整性、移动互联网的可用性，为移动终端用户提供一个安全、可用的移动互联网环境。

本发明的目的是通过以下技术方案实现的：

一种移动互联网分布式僵尸木马蠕虫检测方法，包括以下步骤：

A、通过检测文件完整性、系统与函数调用、网络通信行为，检测移动终端中的木马；

B、客户端与云服务器端协作，基于流量的汇聚度、贝叶斯过滤器与主动扫描邮件中的URL，检测僵尸网络攻击的DDoS攻击与垃圾邮件中的广告邮件与钓鱼邮件；

C、客户端与云服务器端协作，基于漏洞所在端口、流量的离散度与行为特征，检测蠕虫攻击的漏洞利用蠕虫与社工蠕虫中的邮件蠕虫与网页蠕虫。

优选地，所述步骤A包括：

A1、检索移动终端的可执行与库文件，计算文件散列值, 与信息库中的文件散列值比较，若不同，则告警，否则；

A2、检测移动终端的系统调用与回调函数的地址，与信息库中的相应地址比较，若不同，则告警，否则；

A3、捕获浏览器URL与通信行为的目的IP地址，若目的IP地址不是APP WEB服务、OS升级或浏览器URL的IP地址，则告警。

信息库信息包括不同OS版本的可执行与库文件的名称与文件散列值、系统调用与回调函数地址、APP名称与相应Web服务IP地址、OS名称与相应升级IP。

优选地，所述步骤B包括：

B1、检测客户端将本机IP地址、流量的源与目的IP地址、端口号、标识位、包长度、邮件出现的关键词与URL发送给检测云服务器端；

B2、对于相同源与目的IP地址、端口号，检测TCP三次握手是否完整，UDP与ICMP请求响应是否对应，若不完整或不对应，则；

B3、检测本机IP地址与源IP地址是否相同，若不相同，则；

B4、检测1秒的时间段内相同目的地址与端口的源地址个数是否大于500，若大于，则告警DDoS攻击；

B5、统计检测客户端发送的关键词分别在正常与垃圾邮件中出现的频率，并使用贝叶斯过滤器：P=P₁P₂…P_n/(P₁P₂…P_n+(1-P₁) (1-P₂)…(1-P_n))，P_n=P(S|W_n)，P是一封邮件是垃圾邮件的联合概率值，P_n是W_n词出现时是垃圾邮件的条件概率值，计算是垃圾邮件的概率；