[发明专利]一种移动互联网中僵尸木马防护方法及其系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种移动互联网中僵尸木马防护方法及其系统。

背景技术

木马是一种远程黑客控制工具，一旦用户感染了木马，用户计算机上的信息将暴露于黑客面前。木马技术主要采用的是一种一对一的控制技术，即黑客控制感染木马的计算机，主要目的是窃取客户计算机上的信息。相比于传统木马技术，僵尸网络是在传统计算机病毒、木马和蠕虫技术基础上发展起来的一个分布式的网络攻击平台。它借助于IRC、HTTP、P2P等技术，将多台僵尸机组成一个受控的大规模僵尸网络。利用这个受控的僵尸网络作为攻击平台，一方面这个攻击平台可以作为窃取用户信息的来源，如用户即时通讯账号和密码，另一方面也是黑客发动网络攻击的理想平台。由于控制了大量僵尸机，黑客可以轻易发动大规模DDOS攻击，也可以发动扫描攻击以招募新成员从而进一步扩大僵尸网络的规模。僵尸网络主要包括三个方面，一是僵尸机，二是控制端，三是用于僵尸机和控制端通信的命令与控制通道。当一台正常的计算机被攻击者控制后即成为僵尸机并加入到僵尸网络中，僵尸机会定期或不定期与控制者通过命令与控制通道联系并获取控制者的攻击指令，实现诸如对一个或多个目标发动异常流量攻击等。目前僵尸网络已经成为互联网上最主要的网络攻击手段。

3G网络牌照的发放及部署，为移动互联网的发展奠定了坚实的基础，移动互联网的用户数规模呈现高速发展的态势。随着移动互联网智能终端的普及，手机恶意代码开始出现并快速蔓延。由于手机恶意代码可以带来比计算机恶意代码更大的经济利益，而且手机中往往包含有更多的用户隐私信息，与用户关系更为紧密，因此编写和散播手机恶意代码更为黑客所青睐。加之许多用户在使用手机时的安全意识非常薄弱，移动互联网面临的安全问题将比传统互联网更为严峻。“毒媒”木马全年累计感染约200多万个用户手机，“手机骷髅”病毒累计感染83万余个用户手机。“X卧底”手机木马更具破坏性，一旦被感染，所有短信、通话记录、联系人、联系时间，甚至通话等均被监控。

相比于传统基于性能更强的个人计算机的僵尸木马，移动智能僵尸木马的设计新特性将使传统检测方法失效。移动智能僵尸木马的设计新特性主要包括：（1）低耗电设计，用户终端的日常耗电量一般具有规律性，如果移动僵尸木马消耗用户终端电池电量过于明显，则非常容易被用户发现，导致用户采用重装系统等办法来移除僵尸木马程序。（2）用户花费，由于目前移动智能终端上网费用仍旧比较高，用户可通过运营商账单获知其详细费用，如果由于僵尸木马活动频繁导致其费用偏高，则用户非常容易发现。因此，移动僵尸木马将采用更加隐蔽的技术来避免被用户发现，其活动将更加难以被发现。这样，传统检测系统就难以搜集到足够的信息，检测难度极大。

发明内容

本发明的目的是针对移动互联网中僵尸木马的防护问题，提供一种防护方法及其系统，一方面可以及时发现与防护移动终端上的僵尸木马程序，另一方面可以及时发现与防护僵尸木马程序在移动终端上的恶意活动。通过对移动终端僵尸木马的防护，可以有效保护移动终端上的用户个人信息。

本发明的目的是通过以下技术方案实现的：

本发明的一种移动互联网中僵尸木马防护方法，包括如下步骤：

步骤S1，捕获移动互联网用户上网网络数据包；

步骤S2，进行移动僵尸木马检测；

步骤S3，进行移动僵尸木马活动检测；

步骤S4，对发现的移动僵尸木马和移动僵尸木马活动进行告警和防护处理。

其中，对移动僵尸木马的检测可以利用移动僵尸木马特征码和／或移动僵尸木马行为特征模型进行检测；对移动僵尸木马活动的检测可以利用移动僵尸木马活动特征码和／或移动僵尸木马行为活动特征模型进行检测。

本发明的一种移动互联网中僵尸木马防护系统，包括如下模块：

网络数据包捕获模块，用于捕获移动互联网用户上网的网络数据包，将捕获的网络数据包交由移动僵尸木马检测模块和移动僵尸木马活动检测模块进行检测；

移动僵尸木马检测模块，用于对移动僵尸木马的检测，首先将捕获的网络数据包与已知移动僵尸木马特征码进行匹配，如果匹配成功，则结束对移动僵尸木马的检测，如果匹配不成功，则提取其行为特征，将其与移动僵尸木马行为特征模型进行匹配，如果匹配成功，则将其加入到移动僵尸木马库中，如果匹配不成功，则结束对移动僵尸木马的检测；