1.一種針對移動互聯網Botnet的虛擬化檢測系統，其特征在于：所述系統分別包括終端側和網絡側兩部分，終端側部署在移動終端內，所述終端側包括黑白名單、網絡檢測模塊和轉換網關；所述網絡側部分包括終端鏡像數據庫、虛擬機和監控單元；在系統運行過程中，內部需要三種報文，分別是：虛擬機交互報文，SMS(Short?Messaging?Service短消息服務)交互報文和GPRS交互報文(General?Packet?Radio?Service，通用分組無線服務技術)，其中：

黑白名單：用于存儲對于終端設備而言惡意和信任的網絡節點信息，其中黑名單記錄惡意網絡節點的信息，白名單記錄信任網絡節點信息；

網絡檢測模塊：實現對網絡中通信內容的檢測，當通信內容的源點來自于黑名單中的內容，則檢測模塊直接將其過濾；如果通信內容源自白名單則給予放行；當通信內容來源于未知的通信節點時，則確定為可疑通信報文，即可能為網絡惡意節點發送來的SMS或者GPRS報文，并將可疑通信報文的內容發往轉換網關，等待返回結果后的處理；

轉換網關：負責提供終端側和網絡側之間的通信，來自于終端側的網絡檢測模塊中可疑通信報文被轉換成網絡側的交互報文，即SMS交互報文和GPRS交互報文，發往網絡側，網絡側對可疑通信報文的處理結果會通過轉換網關通知網絡檢測修改黑白名單；在將可疑報文發往網絡側之前，轉換網關會將其存入待測數據庫；當檢測結果由網絡側返回后，根據待測數據庫中的消息，轉換網關通知移動終端繼續或終止某個通信過程；其中SMS交互報文和GPRS交互報文用于系統內部的通信，SMS交互報文用于移動側向網絡側提交可疑SMS報文信息和網絡側向終端側返回檢測結果；其中字段源ISND和目的ISDN分別表示該可疑信息的發送和接收方；字段負載類型字段聲明報文中負載區域的內容：AT命令或網絡側的檢測結果；字段負載區域則記錄AT命令或檢測結果具體的內容；GPRS交互報文用于終端側向網絡側提交可疑GPRS報文信息和網絡側向終端側返回檢測結果；字段源ISDN表示該可疑信息的發送方，字段源IP和目的IP分別記錄內部IP數據包的信息；字段負載類型字段聲明報文中負載區域的內容：AT命令或網絡側的檢測結果；字段負載區域則記錄具體的內容；

終端鏡像數據庫：負責存儲待保護移動終端鏡像，通過移動終端鏡像在虛擬機一側實現對需要保護的移動終端的模擬運行；

虛擬機：直接運行指定的移動終端鏡像，負責觀察可疑信息進入到終端側的運行效果；所述移動終端鏡像包括：移動終端的APP備份；OS文件備份，表示具體的智能移動終端的操作系統，考慮到Botnet代碼中可能會在操作系統中加載rootkit，OS文件需要直接從被保護的移動終端上提取鏡像，實現移動終端操作系統的復原；移動終端配屬硬件資源；移動終端接入點信息；這四類信息會綁定具體的終端ISDN號，存儲在終端鏡像數據庫中；當需要模擬某個移動終端時，虛擬機通過調用終端鏡像數據庫中的移動終端鏡像，能夠完全模擬一個真實的移動終端；虛擬機通過監控單元的啟動或注銷命令的虛擬機交互報文實現啟動或注銷，將運行的過程中產生的通信內容和日志信息作為結果，以虛擬機交互報文的形式返還給監控單元；虛擬機交互報文實現監控單元和虛擬機之間的通信，監控單元向虛擬機發送移動終端鏡像啟動和注銷的命令，虛擬機則向監控終端發送執行過程中截獲的信息或操作日志，用于監控終端的分析；虛擬機交互報文的開頭為表示移動終端的終端鏡像號，字段負載類型分為：啟動/注銷和反饋執行結果；字段負載區域則主要記錄主要內容，包括虛擬機執行的AT命令、執行命令后產生的報文和操作日志；

監控單元：負責整個網絡側虛擬化平臺的運行管理，包括虛擬機啟動/注銷模塊、監控數據庫、監控分析模塊；虛擬機啟動/注銷模塊用于實現對虛擬機的啟動和注銷，通過解析轉換網關發送過來的信息，使用虛擬機交互報文完成移動終端虛擬機的啟動和注銷；監控數據庫用于記錄獲取到的SMS交互報文、GPRS交互報文在進入虛擬機后產生的結果，為分析Botnet中的C&C節點提供數據；監控分析模塊從監控數據庫中獲得分析數據，借助特征匹配、流量挖掘、關聯分析甚至人工分析的方法，對從轉換網關中發送過來的數據做出判斷，確定信息是否屬于C&C，并向終端側的轉換網關發送檢測的結果。

2.一種針對移動互聯網Botnet的虛擬化檢測方法，其特征在于其實現步驟如下：

步驟(1)，在初始化階段，移動終端側設置通信的黑白名單，存儲對于終端設備而言惡意和信任的網絡節點信息，其中黑白名單用于存儲對于終端設備而言惡意和信任的網絡節點信息，白名單記錄信任網絡節點信息；同時制作系統的鏡像文件保存到網絡側的終端鏡像數據庫之中；

步驟(2)，網絡檢測模塊對網絡中通信內容的檢測，如果檢測到通信內容的源點來自于黑名單中的內容，則直接將其過濾；如果檢測到通信內容源自白名單則給予放行；如果檢測到通信內容來源于未知的通信節點時，則確定為可疑通信報文即可能為網絡惡意節點發送來的SMS或者GPRS報文，并將可疑通信報文的內容發往轉換網關；由轉換網關將可疑通信報文轉換成SMS交互報文和GPRS交互報文發往網絡側監控單元；

步驟(3)，網絡側的監控單元在獲得轉換網關的信息之后，以虛擬機交互報文的形式控制虛擬機的啟動和運行，使用虛擬機加載指定的鏡像文件，并觀察虛擬機在收到該信息后的變化；

步驟(4)，監控單元分析虛擬機返回的SMS交互報文和GPRS交互報文，將分析結果由轉換網關返回網絡檢測模塊，修改黑白名單的內容；同時轉換網關依照分析結果和待測數據庫的記錄，通知移動端終止或繼續與某個通信節點的通信行為。