技術(shù)領(lǐng)域

本發(fā)明涉及一種針對(duì)移動(dòng)互聯(lián)網(wǎng)Botnet的虛擬化檢測(cè)系統(tǒng)及檢測(cè)方法，屬于移動(dòng)互聯(lián)網(wǎng)的安全范疇，主要用于實(shí)現(xiàn)針對(duì)日益嚴(yán)重的互聯(lián)網(wǎng)Botnet(僵尸網(wǎng)絡(luò))的檢測(cè)與防范。

背景技術(shù)

移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展使得智能移動(dòng)終端的普及率迅速上升，同時(shí)也帶來(lái)了相應(yīng)的安全問(wèn)題的出現(xiàn)。與傳統(tǒng)網(wǎng)絡(luò)相比，移動(dòng)互聯(lián)網(wǎng)體現(xiàn)出一些不同的特點(diǎn)：智能移動(dòng)終端作為主要載體，受CPU和存儲(chǔ)空間的影響，其計(jì)算能力較弱，運(yùn)行在此之上的系統(tǒng)相對(duì)傳統(tǒng)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)簡(jiǎn)單，因而較少有遠(yuǎn)程攻擊的產(chǎn)生，取而代之的則是各種惡意代碼產(chǎn)生的危害；智能移動(dòng)終端的通信渠道較多，和傳統(tǒng)網(wǎng)絡(luò)相比，SMS、GPRS等多種傳播渠道使得智能移動(dòng)終端的惡意代碼更容易接收遠(yuǎn)程終端的控制，其防范難度更大。

在此基礎(chǔ)上，傳統(tǒng)的病毒、木馬等惡意代碼開(kāi)始在移動(dòng)互聯(lián)網(wǎng)出現(xiàn)，而目前對(duì)傳統(tǒng)網(wǎng)絡(luò)威脅最大的Botnet(僵尸網(wǎng)絡(luò))也出現(xiàn)在該領(lǐng)域。從2009第一個(gè)移動(dòng)僵尸網(wǎng)絡(luò)SymbOS.Exy.C出現(xiàn)后，已經(jīng)陸續(xù)在Andorid、IOS和WinCE等系統(tǒng)中出現(xiàn)。大量研究發(fā)現(xiàn)，移動(dòng)僵尸網(wǎng)絡(luò)的出現(xiàn)會(huì)對(duì)傳統(tǒng)意義上相對(duì)安全的電信網(wǎng)絡(luò)造成極大的威脅，攻擊者只需使用最簡(jiǎn)單的DDOS攻擊即可對(duì)目前的移動(dòng)通信網(wǎng)絡(luò)造成大面積的癱瘓。

針對(duì)移動(dòng)互聯(lián)網(wǎng)的Botnet防御技術(shù)主要源自傳統(tǒng)互聯(lián)網(wǎng)防御技術(shù)，移動(dòng)互聯(lián)網(wǎng)相比傳統(tǒng)互聯(lián)網(wǎng)而言具有其獨(dú)特性，主要表現(xiàn)在：移動(dòng)終端資源的有限性，由于目前普遍使用的移動(dòng)終端需要以電池為主要能源，在計(jì)算和通信量較大的情況下，電池的能源消耗就成為一個(gè)嚴(yán)峻的問(wèn)題，針對(duì)移動(dòng)互聯(lián)網(wǎng)Botnet的檢測(cè)技術(shù)不能單純依靠移動(dòng)終端實(shí)施，否則將會(huì)面臨嚴(yán)重的能耗問(wèn)題。

傳統(tǒng)互聯(lián)網(wǎng)可以采用對(duì)固定主機(jī)進(jìn)行長(zhǎng)期流量、日志監(jiān)控的方式從中發(fā)現(xiàn)可疑的網(wǎng)絡(luò)行為，進(jìn)而分析Botnet的特征；但移動(dòng)互聯(lián)網(wǎng)中的終端由于其移動(dòng)的特點(diǎn)，很難對(duì)其進(jìn)行這種傳統(tǒng)的網(wǎng)絡(luò)監(jiān)控和保護(hù)。

同傳統(tǒng)互聯(lián)網(wǎng)相比，移動(dòng)互聯(lián)網(wǎng)主要借助于2G/3G/4G等移動(dòng)網(wǎng)絡(luò)的通信架構(gòu)，在這種情況下Botnet的C&C可以借助SMS、GPRS等多種途徑實(shí)現(xiàn)對(duì)僵尸主機(jī)的控制。

通過(guò)以上分析可以得知，對(duì)移動(dòng)互聯(lián)網(wǎng)之上的Botnet防御不能將檢測(cè)監(jiān)控設(shè)備直接部署在移動(dòng)終端之上，SMS和GPRS通信在移動(dòng)互聯(lián)僵尸網(wǎng)絡(luò)中充當(dāng)重要的通信途徑，通過(guò)對(duì)其進(jìn)行重點(diǎn)監(jiān)測(cè)，分析隱藏的C&C(控制和通信)主機(jī)，掌握Botnet網(wǎng)絡(luò)結(jié)構(gòu)，為防治Botnet網(wǎng)絡(luò)提供準(zhǔn)確的信息是目前防治移動(dòng)Botnet的一種可行方法。

發(fā)明內(nèi)容

本發(fā)明技術(shù)解決問(wèn)題：克服現(xiàn)有技術(shù)不足，提供一種針對(duì)移動(dòng)互聯(lián)網(wǎng)Botnet的虛擬化檢測(cè)系統(tǒng)及檢測(cè)方法，有效的解決移動(dòng)終端因?yàn)橛?jì)算資源不足所帶來(lái)問(wèn)題，通過(guò)移動(dòng)終端和后臺(tái)服務(wù)器資源的結(jié)合，可以有效的檢測(cè)植入在移動(dòng)終端的Botnet代碼，同時(shí)又可以將Botnet的影響程度控制在虛擬化的范圍之內(nèi)，有效的保證移動(dòng)網(wǎng)絡(luò)的正常進(jìn)行。

本發(fā)明技術(shù)解決方案：一種針對(duì)移動(dòng)互聯(lián)網(wǎng)Botnet的虛擬化檢測(cè)系統(tǒng)，分別包括終端側(cè)和網(wǎng)絡(luò)側(cè)兩部分，終端側(cè)部署在移動(dòng)終端內(nèi)，所述終端側(cè)包括黑白名單、網(wǎng)絡(luò)檢測(cè)模塊和轉(zhuǎn)換網(wǎng)關(guān)；所述網(wǎng)絡(luò)側(cè)部分包括終端鏡像數(shù)據(jù)庫(kù)、虛擬機(jī)和監(jiān)控單元；在系統(tǒng)運(yùn)行過(guò)程中，內(nèi)部需要三種報(bào)文，分別是：虛擬機(jī)交互報(bào)文，SMS(Short?Messaging?Service短消息服務(wù))交互報(bào)文和GPRS交互報(bào)文(General?Packet?Radio?Service，通用分組無(wú)線(xiàn)服務(wù)技術(shù))，其中：黑白名單：用于存儲(chǔ)對(duì)于終端設(shè)備而言惡意和信任的網(wǎng)絡(luò)節(jié)點(diǎn)信息，其中黑名單記錄惡意網(wǎng)絡(luò)節(jié)點(diǎn)的信息，白名單記錄信任網(wǎng)絡(luò)節(jié)點(diǎn)信息；

網(wǎng)絡(luò)檢測(cè)模塊：實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中通信內(nèi)容的檢測(cè)，當(dāng)通信內(nèi)容的源點(diǎn)來(lái)自于黑名單中的內(nèi)容，則檢測(cè)模塊直接將其過(guò)濾；如果通信內(nèi)容源自白名單則給予放行；當(dāng)通信內(nèi)容來(lái)源于未知的通信節(jié)點(diǎn)時(shí)，則確定為可疑通信報(bào)文，即可能為網(wǎng)絡(luò)惡意節(jié)點(diǎn)發(fā)送來(lái)的SMS或者GPRS報(bào)文，并將可疑通信報(bào)文的內(nèi)容發(fā)往轉(zhuǎn)換網(wǎng)關(guān)，等待返回結(jié)果后的處理；