技術領域

本發明涉及信息安全領域，特別涉及一種移動互聯網中僵尸木馬防護方法及其系統。

背景技術

木馬是一種遠程黑客控制工具，一旦用戶感染了木馬，用戶計算機上的信息將暴露于黑客面前。木馬技術主要采用的是一種一對一的控制技術，即黑客控制感染木馬的計算機，主要目的是竊取客戶計算機上的信息。相比于傳統木馬技術，僵尸網絡是在傳統計算機病毒、木馬和蠕蟲技術基礎上發展起來的一個分布式的網絡攻擊平臺。它借助于IRC、HTTP、P2P等技術，將多臺僵尸機組成一個受控的大規模僵尸網絡。利用這個受控的僵尸網絡作為攻擊平臺，一方面這個攻擊平臺可以作為竊取用戶信息的來源，如用戶即時通訊賬號和密碼，另一方面也是黑客發動網絡攻擊的理想平臺。由于控制了大量僵尸機，黑客可以輕易發動大規模DDOS攻擊，也可以發動掃描攻擊以招募新成員從而進一步擴大僵尸網絡的規模。僵尸網絡主要包括三個方面，一是僵尸機，二是控制端，三是用于僵尸機和控制端通信的命令與控制通道。當一臺正常的計算機被攻擊者控制后即成為僵尸機并加入到僵尸網絡中，僵尸機會定期或不定期與控制者通過命令與控制通道聯系并獲取控制者的攻擊指令，實現諸如對一個或多個目標發動異常流量攻擊等。目前僵尸網絡已經成為互聯網上最主要的網絡攻擊手段。

3G網絡牌照的發放及部署，為移動互聯網的發展奠定了堅實的基礎，移動互聯網的用戶數規模呈現高速發展的態勢。隨著移動互聯網智能終端的普及，手機惡意代碼開始出現并快速蔓延。由于手機惡意代碼可以帶來比計算機惡意代碼更大的經濟利益，而且手機中往往包含有更多的用戶隱私信息，與用戶關系更為緊密，因此編寫和散播手機惡意代碼更為黑客所青睞。加之許多用戶在使用手機時的安全意識非常薄弱，移動互聯網面臨的安全問題將比傳統互聯網更為嚴峻。“毒媒”木馬全年累計感染約200多萬個用戶手機，“手機骷髏”病毒累計感染83萬余個用戶手機。“X臥底”手機木馬更具破壞性，一旦被感染，所有短信、通話記錄、聯系人、聯系時間，甚至通話等均被監控。

相比于傳統基于性能更強的個人計算機的僵尸木馬，移動智能僵尸木馬的設計新特性將使傳統檢測方法失效。移動智能僵尸木馬的設計新特性主要包括：（1）低耗電設計，用戶終端的日常耗電量一般具有規律性，如果移動僵尸木馬消耗用戶終端電池電量過于明顯，則非常容易被用戶發現，導致用戶采用重裝系統等辦法來移除僵尸木馬程序。（2）用戶花費，由于目前移動智能終端上網費用仍舊比較高，用戶可通過運營商賬單獲知其詳細費用，如果由于僵尸木馬活動頻繁導致其費用偏高，則用戶非常容易發現。因此，移動僵尸木馬將采用更加隱蔽的技術來避免被用戶發現，其活動將更加難以被發現。這樣，傳統檢測系統就難以搜集到足夠的信息，檢測難度極大。

發明內容

本發明的目的是針對移動互聯網中僵尸木馬的防護問題，提供一種防護方法及其系統，一方面可以及時發現與防護移動終端上的僵尸木馬程序，另一方面可以及時發現與防護僵尸木馬程序在移動終端上的惡意活動。通過對移動終端僵尸木馬的防護，可以有效保護移動終端上的用戶個人信息。

本發明的目的是通過以下技術方案實現的：

本發明的一種移動互聯網中僵尸木馬防護方法，包括如下步驟：

步驟S1，捕獲移動互聯網用戶上網網絡數據包；

步驟S2，進行移動僵尸木馬檢測；

步驟S3，進行移動僵尸木馬活動檢測；

步驟S4，對發現的移動僵尸木馬和移動僵尸木馬活動進行告警和防護處理。

其中，對移動僵尸木馬的檢測可以利用移動僵尸木馬特征碼和／或移動僵尸木馬行為特征模型進行檢測；對移動僵尸木馬活動的檢測可以利用移動僵尸木馬活動特征碼和／或移動僵尸木馬行為活動特征模型進行檢測。

本發明的一種移動互聯網中僵尸木馬防護系統，包括如下模塊：

網絡數據包捕獲模塊，用于捕獲移動互聯網用戶上網的網絡數據包，將捕獲的網絡數據包交由移動僵尸木馬檢測模塊和移動僵尸木馬活動檢測模塊進行檢測；

移動僵尸木馬檢測模塊，用于對移動僵尸木馬的檢測，首先將捕獲的網絡數據包與已知移動僵尸木馬特征碼進行匹配，如果匹配成功，則結束對移動僵尸木馬的檢測，如果匹配不成功，則提取其行為特征，將其與移動僵尸木馬行為特征模型進行匹配，如果匹配成功，則將其加入到移動僵尸木馬庫中，如果匹配不成功，則結束對移動僵尸木馬的檢測；