技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)與信息安全技術(shù)，特別是涉及一種基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其將流量監(jiān)測(cè)和云端查殺進(jìn)行結(jié)合，通過(guò)監(jiān)測(cè)GPRS核心網(wǎng)的Gn接口的流量，并利用手機(jī)病毒防護(hù)服務(wù)器對(duì)GTP-C/GTP-U流量進(jìn)行分析，從而發(fā)現(xiàn)不可識(shí)別的手機(jī)病毒或者惡意軟件。

背景技術(shù)

2010年11月7日，中央電視臺(tái)《每周質(zhì)量報(bào)告》播出了“僵尸手機(jī)揭秘”節(jié)目，報(bào)道了手機(jī)病毒背后的利益鏈和危害問(wèn)題，隨后北京、重慶、江蘇等多省地方媒體進(jìn)行了轉(zhuǎn)載和跟蹤報(bào)道，引起了社會(huì)的廣泛關(guān)注。

央視報(bào)道的是名為“毒媒”的病毒，感染該病毒后，用戶手機(jī)將成為“僵尸手機(jī)”，會(huì)自動(dòng)將手機(jī)號(hào)碼、IMEI等信息發(fā)送到指定的黑客服務(wù)器，同時(shí)接受其指令，包括發(fā)送短信訂購(gòu)業(yè)務(wù)、向指定號(hào)碼發(fā)送垃圾短信、拔打騷擾電話、卸載防病毒軟件等，給客戶造成隱私泄露、話費(fèi)損失等嚴(yán)重危害，并可能威脅通信網(wǎng)的運(yùn)行安全。根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)測(cè)數(shù)據(jù)，在9月的第一周，全國(guó)就發(fā)現(xiàn)近100萬(wàn)部手機(jī)感染該病毒；據(jù)初步估計(jì)，每天將耗費(fèi)用戶話費(fèi)約為200萬(wàn)元，給客戶造成嚴(yán)重經(jīng)濟(jì)損失。

據(jù)不完全統(tǒng)計(jì)，今年上半年手機(jī)病毒種類已有1600多種，預(yù)計(jì)年底將達(dá)到2400種。截止2009年，手機(jī)病毒黑色產(chǎn)業(yè)鏈年獲利已經(jīng)達(dá)到10億元。而且由于目前用戶病毒防護(hù)意識(shí)薄弱、運(yùn)營(yíng)商防護(hù)手段不健全、政府監(jiān)管法規(guī)不完善，手機(jī)病毒已逐漸呈現(xiàn)泛濫之勢(shì)。

因此，如何創(chuàng)作一種基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，實(shí)屬當(dāng)前重要的研發(fā)課題。

發(fā)明內(nèi)容

本發(fā)明涉及一種網(wǎng)絡(luò)與信息安全技術(shù)，特別是涉及一種基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其通過(guò)監(jiān)測(cè)GPRS核心網(wǎng)的Gn接口的流量，并利用手機(jī)病毒防護(hù)服務(wù)器對(duì)GTP-C/GTP-U流量進(jìn)行分析，從而發(fā)現(xiàn)不可識(shí)別的手機(jī)病毒或者惡意軟件。

本發(fā)明的目的及解決其技術(shù)問(wèn)題是采用以下技術(shù)方案來(lái)實(shí)現(xiàn)的。依據(jù)本發(fā)明提出的一種一種基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其包括以下步驟：步驟(10)：獲取待檢測(cè)的移動(dòng)用戶手機(jī)的流入流量；步驟(20)：由主動(dòng)云檢測(cè)模塊分析所述流入流量，并判斷是否符合可識(shí)別流量模式；步驟(30)：將不可識(shí)別的流量實(shí)時(shí)傳送給云匯聚端模塊，然后傳送給云分析引擎模塊，所述云分析引擎模塊利用手機(jī)病毒集中管理系統(tǒng)的病毒庫(kù)進(jìn)行分析；步驟(40)：所述云分析引擎模塊將分析結(jié)果反饋給所述主動(dòng)云檢測(cè)模塊，所述主動(dòng)云檢測(cè)模塊將所述分析結(jié)果保存于處理數(shù)據(jù)庫(kù)模塊；步驟(50)：獲取待檢測(cè)的移動(dòng)用戶流出流量；以及步驟(60)：根據(jù)實(shí)時(shí)感染用戶監(jiān)控模塊分析所述流出流量，然后將分析結(jié)果保存于處理數(shù)據(jù)庫(kù)模塊。

本發(fā)明的目的及解決其技術(shù)問(wèn)題還可采用以下技術(shù)措施進(jìn)一步實(shí)現(xiàn)。

前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其中所述步驟(10)是通過(guò)分光器從Gn接口獲取的移動(dòng)用戶手機(jī)的流入流量，所述分光器串接于被監(jiān)測(cè)的通信網(wǎng)的光纖鏈路中。

前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其中所述的可識(shí)別流量包括安全流量和不安全流量。

前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其中所述的不安全流量為手機(jī)病毒或惡意軟件。

前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其中所述步驟(20)還包括：步驟(201)：所述主動(dòng)云檢測(cè)模塊利用模式匹配來(lái)判斷是否符合可識(shí)別流量模式；步驟(202)：若是，所述主動(dòng)云檢測(cè)模塊繼續(xù)判斷是否為安全流量？若為安全流量，所述主動(dòng)云檢測(cè)模塊不做任何操作，若為不安全流量，則發(fā)送告警指令于手機(jī)；步驟(203)若否，則執(zhí)行步驟(30)。

前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其中所述步驟(30)還包括：步驟(301)：所述手機(jī)病毒集中管理系統(tǒng)將所述不可識(shí)別的流量傳送給手機(jī)病毒研判系統(tǒng)進(jìn)行人工判斷。

前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其中所述主動(dòng)云檢測(cè)模塊、所述實(shí)時(shí)感染監(jiān)控模塊以及所述處理數(shù)據(jù)庫(kù)模塊設(shè)置于手機(jī)病毒防護(hù)檢測(cè)代理服務(wù)器。

前述的基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法，其中所述云匯聚端模塊和所述云分析引擎模塊設(shè)置于手機(jī)病毒防護(hù)服務(wù)器。

本發(fā)明與現(xiàn)有技術(shù)相比具有明顯的優(yōu)點(diǎn)和有益效果。借由上述技術(shù)方案，本發(fā)明基于通信網(wǎng)的手機(jī)病毒和惡意軟件的云檢測(cè)方法至少具有下列優(yōu)點(diǎn)及有益效果：本發(fā)明通過(guò)監(jiān)測(cè)GPRS核心網(wǎng)的Gn接口的流量，并利用手機(jī)病毒防護(hù)服務(wù)器對(duì)GTP-C/GTP-U流量進(jìn)行分析，從而發(fā)現(xiàn)不可識(shí)別的手機(jī)病毒或者惡意軟件。