專利名稱:一種異常訪問(wèn)行為的識(shí)別方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于移動(dòng)通信領(lǐng)域����,特別涉及一種異常訪問(wèn)行為的識(shí)別方法及裝置。
背景技術(shù):
隨著智能手機(jī)的普及����,以及手機(jī)處理器的芯片功能越來(lái)越強(qiáng)大,手機(jī)逐漸與PDA 進(jìn)行融合����,手機(jī)已成為可以進(jìn)行移動(dòng)通訊的小型計(jì)算機(jī)。但是��,手機(jī)運(yùn)算能力和存儲(chǔ)容量的提高為病毒的寄存和傳播提供了條件。現(xiàn)有技術(shù)中�,主要是通過(guò)對(duì)病毒樣本進(jìn)行分析來(lái)識(shí)別手機(jī)病毒。病毒樣本的來(lái)源包括FANS用戶舉報(bào)��、論壇舉報(bào)���、蜜罐收集和病毒聯(lián)盟樣本交換等�����。具體分析步驟包括步驟一����、靜態(tài)掃描分析文件程序是否有調(diào)用聯(lián)網(wǎng)���、發(fā)短信等程序�����,這是對(duì)程序代碼的初步分析測(cè)試����。步驟二、黑盒測(cè)試通過(guò)文件安裝后進(jìn)行手機(jī)監(jiān)測(cè)�,檢查是否有病毒行為,這是對(duì)程序文件的黑盒測(cè)試����。步驟三、DEBUG分析通過(guò)手機(jī)與電腦配合����,對(duì)安裝的程序進(jìn)行逐步調(diào)試,抓取各個(gè)步驟與外界的交互信息�,進(jìn)行動(dòng)態(tài)分析。上述技術(shù)方案至少存在如下缺點(diǎn)(1)局限于病毒樣本采集�����,屬于被動(dòng)發(fā)現(xiàn)�����;(2)病毒發(fā)現(xiàn)不及時(shí)由于目前手機(jī)病毒從病毒制作者發(fā)布病毒到病毒爆發(fā)之間有較長(zhǎng)的潛伏期����,樣本采集基本無(wú)法在病毒潛伏期完成?�,F(xiàn)有技術(shù)中的另外一種識(shí)別手機(jī)病毒的方法為在WAP(無(wú)線應(yīng)用協(xié)議)網(wǎng)關(guān)或者 GPRS (通用分組無(wú)線業(yè)務(wù))網(wǎng)絡(luò)加入數(shù)據(jù)旁路設(shè)備,通過(guò)所述數(shù)據(jù)旁路設(shè)備來(lái)獲取數(shù)據(jù)流���, 然后�,基于已知病毒庫(kù)對(duì)數(shù)據(jù)流進(jìn)行分析���,從而識(shí)別手機(jī)病毒�����。這種技術(shù)方案的缺點(diǎn)是只能識(shí)別已知病毒��,無(wú)法發(fā)現(xiàn)未知病毒�。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的目的是提供一種異常訪問(wèn)行為的識(shí)別方法及裝置���,不需要依賴于病毒庫(kù)����,就能實(shí)現(xiàn)對(duì)異常訪問(wèn)行為的自動(dòng)和及時(shí)的識(shí)別�����,從而為手機(jī)病毒的識(shí)別提供便利。為實(shí)現(xiàn)上述目的���,本發(fā)明提供一種異常訪問(wèn)行為的識(shí)別方法��,包括一種異常訪問(wèn)行為的識(shí)別方法��,包括采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包�;根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為�,生成包括用戶所訪問(wèn)的域名的異常訪問(wèn)行為記錄表,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名�����;根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新��。上述的識(shí)別方法����,其中����,所述根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,具體包括從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù)�,判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為�����。上述的識(shí)別方法����,其中,所述根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為�����,具體包括判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字����,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為�����。上述的識(shí)別方法�����,其中對(duì)于匹配出的異常訪問(wèn)行為�,如果其對(duì)應(yīng)的域名存在于域名白名單中���,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中。上述的識(shí)別方法��,其中�,所述根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新,具體包括對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總�,得到匯總表;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì)�����,將存在于所述匯總表中���、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中���。上述的識(shí)別方法,其中����,所述用戶敏感信息包括IMSI和/或IMEI。為實(shí)現(xiàn)上述目的�,本發(fā)明還提供一種異常訪問(wèn)行為的識(shí)別裝置����,包括一種異常訪問(wèn)行為的識(shí)別裝置�����,包括數(shù)據(jù)采集模塊���,用于采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包;匹配模塊�����,用于根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為�,生成包括用戶所訪問(wèn)的域名的異常訪問(wèn)行為記錄表,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名����;黑名單更新模塊,用于根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新�。上述的識(shí)別裝置,其中�,所述匹配模塊進(jìn)一步用于從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù),判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字����,若是����,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為����。上述的識(shí)別裝置,其中�����,所述匹配模塊進(jìn)一步用于判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字����,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為���。上述的識(shí)別裝置����,其中�,所述匹配模塊對(duì)于匹配出的異常訪問(wèn)行為,如果其對(duì)應(yīng)的域名存在于域名白名單中�,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中。上述的識(shí)別裝置��,其中,所述黑名單更新模塊進(jìn)一步用于對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總����,得到匯總表���;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì)��,將存在于所述匯總表中���、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中。
上述的識(shí)別裝置����,其中,所述用戶敏感信息包括IMSI和/或IMEI���。與現(xiàn)有技術(shù)相比���,本發(fā)明的有益效果是本發(fā)明基于采集到的WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包,根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為�����,生成異常訪問(wèn)行為記錄表,不需要依賴于病毒庫(kù)���,就實(shí)現(xiàn)了異常訪問(wèn)行為的自動(dòng)識(shí)別����,并且���,該方案的識(shí)別效率也較高�����。在識(shí)別出用戶的異常訪問(wèn)行為后�,就可以基于所述異常訪問(wèn)行為進(jìn)行手機(jī)病毒(包括后門和流氓軟件)的識(shí)別了���。另夕卜����,本發(fā)明還實(shí)現(xiàn)了域名黑名單的自動(dòng)更新���。
圖1為本發(fā)明實(shí)施例的手機(jī)病毒特征的識(shí)別方法流程圖���;圖2為發(fā)明實(shí)施例中獲取異常訪問(wèn)行為記錄表的一種實(shí)現(xiàn)方式流程圖�;圖3為本發(fā)明實(shí)施例的手機(jī)病毒特征的識(shí)別裝置結(jié)構(gòu)圖��;圖4為圖3中的記錄表生成模塊的詳細(xì)結(jié)構(gòu)圖����。
具體實(shí)施例方式為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述�。參照?qǐng)D1,本發(fā)明實(shí)施例的手機(jī)病毒特征的識(shí)別方法�,包括如下步驟步驟101 獲取異常訪問(wèn)行為記錄表;所述異常訪問(wèn)行為記錄表中記錄有用戶的異常訪問(wèn)行為��,每條異常訪問(wèn)行為記錄包括用戶的手機(jī)號(hào)碼�、上網(wǎng)時(shí)實(shí)用的UA(用戶代理)、訪問(wèn)時(shí)間和訪問(wèn)的域名���,其中����,所述 UA包括終端型號(hào)和軟件平臺(tái)。軟件平臺(tái)一般是指手機(jī)所使用的操作系統(tǒng)����,例如,MTK���、塞班�����、Andriod等����,同一軟件平臺(tái)��,還可以對(duì)應(yīng)不同的軟件版本�。手機(jī)訪問(wèn)網(wǎng)絡(luò)時(shí),在訪問(wèn)請(qǐng)求數(shù)據(jù)包的UA中會(huì)攜帶該軟件平臺(tái)信息���。所述異常訪問(wèn)行為記錄表可以通過(guò)外部輸入得到�����。所述異常訪問(wèn)行為記錄表也可以通過(guò)采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包�,然后根據(jù)關(guān)鍵字列表對(duì)所述HTTP數(shù)據(jù)包進(jìn)行匹配得到,具體方法請(qǐng)參見(jiàn)后文�����。步驟102 根據(jù)域名對(duì)所述異常訪問(wèn)行為記錄表的記錄進(jìn)行歸類���,生成多個(gè)異常訪問(wèn)行為記錄子表���;由于異常訪問(wèn)行為記錄表中包括域名項(xiàng)目,那么��,就可以將異常訪問(wèn)行為記錄表中具有相同域名的記錄歸為一類��,對(duì)于每個(gè)域名��,都生成對(duì)應(yīng)該域名的異常訪問(wèn)行為記錄子表��。即���,對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,該子表中的每條記錄都包括有相同的域名�����。在本步驟中,還可以對(duì)異常訪問(wèn)行為記錄表中的域名進(jìn)行預(yù)處理�����,并根據(jù)預(yù)處理后的域名對(duì)所述異常訪問(wèn)行為記錄表中的記錄進(jìn)行歸類��,生成相應(yīng)的異常訪問(wèn)行為記錄子表���。具體如下(1)對(duì)于IP地址形式的域名�����,將記錄表中的域名替換為該域名所屬網(wǎng)段的域名�。(2)對(duì)包含字母的域名�����,將相似的域名歸為一個(gè)域名����,例如Caijing.3g.Cn與 caipiao. 3g. cn為相似域名,將記錄表中的這些域名都替換為3g. cn,又例如lyricS.m-tunes. com. cn>mservice. m-tunes. com. cn���、update2. m-tunes. com. c 為相似域名���,將記錄表中的這些域名都替換為m-tunes. com. cn�。在進(jìn)行上述替換后���,就以替換后的域名對(duì)異常訪問(wèn)行為記錄表中的記錄進(jìn)行歸類���。步驟103 對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,判斷其中的軟件平臺(tái)是否唯一�����,得到一判斷結(jié)果�����;步驟104 當(dāng)所述判斷結(jié)果為是時(shí)����,則確定手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名的訪問(wèn)����,并將該域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征;在將域名及對(duì)應(yīng)的軟件平臺(tái)記錄為手機(jī)病毒特征后��,通過(guò)少量的人工判斷就可以核實(shí)其是否為手機(jī)病毒。�;步驟105 當(dāng)所述判斷結(jié)果為否時(shí),將相應(yīng)的域名加入到域名白名單中��。由于異常訪問(wèn)行為記錄子表中包括UA項(xiàng)目�����,而所述UA中包括終端型號(hào)和軟件平臺(tái)�,那么,就可以獲取到該子表的每條記錄對(duì)應(yīng)的軟件平臺(tái)����,如果每條記錄對(duì)應(yīng)的軟件平臺(tái)都相同,則可以確定多種終端型號(hào)采用的都是相同的軟件平臺(tái)���,而對(duì)于同一種手機(jī)病毒來(lái)說(shuō)�����,其一般不會(huì)跨軟件平臺(tái)存在�����,因此����,在確定多種終端型號(hào)采用的都是相同的軟件平臺(tái)時(shí),則可以確定是由于手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名(該異常訪問(wèn)行為記錄子表對(duì)應(yīng)的域名)的訪問(wèn)��,即�,該子表中的異常訪問(wèn)行為為病毒行為。同理����,在確定多種終端型號(hào)采用的不是同一個(gè)軟件平臺(tái)時(shí),則可以認(rèn)為該子表中的異常訪問(wèn)行為不是病毒行為�����,此時(shí)�����,相應(yīng)的域名是可信的域名�,可以將其加入到域名白名單中。為提高手機(jī)病毒特征的識(shí)別準(zhǔn)確率����,上述步驟103中還可以包括對(duì)于每個(gè)異常訪問(wèn)行為記錄子表����,分別統(tǒng)計(jì)每種終端型號(hào)對(duì)應(yīng)的記錄條數(shù)���,并按照記錄條數(shù)從高到低的順序選取預(yù)定數(shù)目個(gè)終端型號(hào);此時(shí)����,所述判斷其中的軟件平臺(tái)是否唯一為判斷所述預(yù)定數(shù)目個(gè)終端型號(hào)對(duì)應(yīng)的軟件平臺(tái)是否唯一。舉例如下對(duì)于某一異常訪問(wèn)行為記錄子表�����,從中選取包含的記錄條數(shù)最高的20種終端型號(hào)�����,再根據(jù)以下的方法確定該子表中的異常訪問(wèn)行為是否為病毒行為(1)如果這20種終端型號(hào)為跨軟件平臺(tái)��,如MTK��、塞班���、Andriod等�����,基于手機(jī)操作系統(tǒng)相對(duì)封閉這一特殊性�,手機(jī)病毒極少能夠跨軟件平臺(tái)存在,這種情況下��,可以認(rèn)為該子表中的異常訪問(wèn)行為不是病毒行為�,于是,將該域名加入到域名白名單中���;(2)如果這20種終端型號(hào)集中在某一軟件平臺(tái)��,如下表舉例所示����,則可以認(rèn)為該子表中的異常訪問(wèn)行為是病毒行為��,并以該域名來(lái)標(biāo)識(shí)手機(jī)病毒����。
軟件平臺(tái)
liyongquan33. cominternet browser Client 1. 0通過(guò)上述方案,將訪問(wèn)同一域名的不同終端型號(hào)與軟件平臺(tái)的關(guān)系識(shí)別出來(lái)�����,若訪問(wèn)同一域名的終端型號(hào)都對(duì)應(yīng)同一軟件平臺(tái)�,則基本可以確認(rèn)基于該軟件平臺(tái)存在手機(jī)
7病毒,該手機(jī)病毒的發(fā)作導(dǎo)致了對(duì)該域名的訪問(wèn)����,從而通過(guò)該域名即可標(biāo)識(shí)該病毒。后續(xù)可以基于上述數(shù)據(jù)以及進(jìn)一步獲取的手機(jī)病毒詳細(xì)特征進(jìn)行手機(jī)病毒的發(fā)布��。以下介紹上述方案中獲取異常訪問(wèn)行為記錄表的一種實(shí)現(xiàn)方式���。該實(shí)現(xiàn)方式中�,設(shè)計(jì)由WAP網(wǎng)關(guān)(或者��,WAP業(yè)務(wù)經(jīng)由的SGSN(服務(wù)GPRS支持節(jié)點(diǎn))��、GGSN(網(wǎng)關(guān)GPRS支持節(jié)點(diǎn))�����、&ι 口�、Gi 口以及在這些環(huán)節(jié)通過(guò)分光器接入的不良信息監(jiān)測(cè)系統(tǒng)、信令監(jiān)測(cè)系統(tǒng)等)自動(dòng)記錄手機(jī)用戶上網(wǎng)的異常訪問(wèn)行為信息����,即記錄每個(gè)上網(wǎng)用戶最新訪問(wèn)的異常域名信息,每次異常訪問(wèn)生成一條記錄,每15分鐘(時(shí)間可配)生成一個(gè)文本文件�,提供給手機(jī)病毒識(shí)別算法進(jìn)行處理。參照?qǐng)D2��,該實(shí)現(xiàn)方式具體包括如下步驟步驟201 采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包����;在本實(shí)施例中,以數(shù)據(jù)采集的執(zhí)行主體為部署于Gi 口的不良信息檢測(cè)系統(tǒng)為例進(jìn)行說(shuō)明����。不良信息監(jiān)測(cè)系統(tǒng)部署于WAP網(wǎng)關(guān)與GGSN之間的Gi 口,采集的數(shù)據(jù)結(jié)構(gòu)與WAP 網(wǎng)關(guān)中的數(shù)據(jù)結(jié)構(gòu)相同�,采集點(diǎn)比WAP網(wǎng)關(guān)相對(duì)集中,部署成本低�。當(dāng)不良信息監(jiān)測(cè)系統(tǒng)接收到一個(gè)用戶的HTTP數(shù)據(jù)包(包括get請(qǐng)求和post請(qǐng)求) 時(shí),就生成一條話單記錄���,話單信息包括用戶的手機(jī)號(hào)碼���、上網(wǎng)時(shí)實(shí)用的UA(用戶代理)、訪問(wèn)時(shí)間和訪問(wèn)的域名�,其中,所述UA包括終端型號(hào)和軟件平臺(tái)�����。步驟202 根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,根據(jù)所述異常訪問(wèn)行為生成異常訪問(wèn)行為記錄表����;其中�����,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名�,所述用戶敏感信息包括IMSI (國(guó)際移動(dòng)用戶識(shí)別碼)和/或IMEI (國(guó)際移動(dòng)設(shè)備標(biāo)識(shí))。初始化時(shí)����,所述域名黑名單為空,或者�����,直接接收外部輸入的域名黑名單��。然后����,域名黑名單可以進(jìn)行動(dòng)態(tài)更新(參見(jiàn)步驟203)��。以下提供兩種具體的匹配方法����。方法一從所述HTTP數(shù)據(jù)包中獲取URL(統(tǒng)一資源定位符)數(shù)據(jù)�����,判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字�,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為���, 于是����,在異常訪問(wèn)行為記錄表中添加一條記錄���。異常訪問(wèn)行為記錄包括用戶的手機(jī)號(hào)碼����、 上網(wǎng)時(shí)實(shí)用的UA����、訪問(wèn)時(shí)間和訪問(wèn)的域名���,其中,所述UA包括終端型號(hào)和軟件平臺(tái)�����。對(duì)于病毒行為�����,一般會(huì)在URL中攜帶用戶的敏感信息�����。因此��,在方法一中���,僅對(duì) HTTP數(shù)據(jù)包中的URL進(jìn)行匹配,按照這種匹配方式進(jìn)行匹配的速度較塊�����。但是�,在HTTP數(shù)據(jù)包中的其他字段中也可能攜帶用戶敏感信息�����,因此����,這種匹配方式匹配的不是很完整���。方法二判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字��,若是��,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為于是�,在異常訪問(wèn)行為記錄表中添加一條記錄���。異常訪問(wèn)行為記錄包括用戶的手機(jī)號(hào)碼�、上網(wǎng)時(shí)實(shí)用的UA����、訪問(wèn)時(shí)間和訪問(wèn)的域名,其中�,所述 UA包括終端型號(hào)和軟件平臺(tái)。方法二實(shí)現(xiàn)了對(duì)HTTP數(shù)據(jù)包的完整匹配�����,但是,相對(duì)于方法一���,其匹配的速度較慢�。在具體實(shí)現(xiàn)時(shí)�����,可以將上述的方法一和方法二進(jìn)行結(jié)合���。例如,對(duì)每15分鐘的數(shù)據(jù)進(jìn)行一次如方式一所述的不完整匹配�,每隔60分鐘,采集部分?jǐn)?shù)據(jù)進(jìn)行如方式二所述的完整匹配��。此外�����,考慮到隨著異常訪問(wèn)行為數(shù)據(jù)的不斷擴(kuò)展��,異常訪問(wèn)行為記錄表中的記錄將越來(lái)越多���,為降低后續(xù)手機(jī)病毒識(shí)別的工作量����,在本步驟中,對(duì)于匹配出的異常訪問(wèn)行為����,如果其對(duì)應(yīng)的域名存在于域名白名單中,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中��。步驟203 根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新���。具體包括對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總��,得到匯總表�;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì)����,將存在于所述匯總表中、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中����。如此,實(shí)現(xiàn)了域名黑名單的自動(dòng)更新。相應(yīng)地�,本發(fā)明實(shí)施例還提供一種手機(jī)病毒特征的識(shí)別裝置。參照?qǐng)D3��,本發(fā)明實(shí)施例的手機(jī)病毒的識(shí)別裝置����,包括記錄表生成模塊10、記錄子表生成模塊20����、判斷模塊30和病毒特征識(shí)別模塊40,其中記錄表生成模塊10���,用于獲取異常訪問(wèn)行為記錄表�。所述異常訪問(wèn)行為記錄表中記錄有用戶的異常訪問(wèn)行為�����,每條異常訪問(wèn)行為記錄包括用戶的手機(jī)號(hào)碼�、上網(wǎng)時(shí)實(shí)用的UA(用戶代理)����、訪問(wèn)時(shí)間和訪問(wèn)的域名,其中�,所述 UA包括終端型號(hào)和軟件平臺(tái)��。所述異常訪問(wèn)行為記錄表可以通過(guò)外部輸入得到���。所述異常訪問(wèn)行為記錄表也可以通過(guò)采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包,然后根據(jù)關(guān)鍵字列表對(duì)所述HTTP數(shù)據(jù)包進(jìn)行匹配得到���,具體請(qǐng)參見(jiàn)后文�。記錄子表生成模塊20���,用于根據(jù)域名對(duì)所述異常訪問(wèn)行為記錄表的記錄進(jìn)行歸類����,生成多個(gè)異常訪問(wèn)行為記錄子表��。由于異常訪問(wèn)行為記錄表中包括域名項(xiàng)目����,那么,就可以將異常訪問(wèn)行為記錄表中具有相同域名的記錄歸為一類��,對(duì)于每個(gè)域名�,都生成對(duì)應(yīng)該域名的異常訪問(wèn)行為記錄子表。即����,對(duì)于每個(gè)異常訪問(wèn)行為記錄子表����,該子表中的每條記錄都包括有相同的域名�����。判斷模塊30,用于對(duì)于每個(gè)異常訪問(wèn)行為記錄子表�����,判斷其中的軟件平臺(tái)是否唯一,得到一判斷結(jié)果����。優(yōu)選地,所述識(shí)別裝置中還可以包括統(tǒng)計(jì)模塊(圖未示)��,用于對(duì)于每個(gè)異常訪問(wèn)行為記錄子表,分別統(tǒng)計(jì)每種終端型號(hào)對(duì)應(yīng)的記錄條數(shù)�,并按照記錄條數(shù)從高到低的順序選取預(yù)定數(shù)目個(gè)終端型號(hào)。此時(shí)���,所述判斷模塊30判斷其中的軟件平臺(tái)是否唯一為判斷所述預(yù)定數(shù)目個(gè)終端型號(hào)對(duì)應(yīng)的軟件平臺(tái)是否唯一�。病毒特征識(shí)別模塊40�����,用于當(dāng)所述判斷結(jié)果為是時(shí)�����,則確定手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名的訪問(wèn)�,當(dāng)所述判斷結(jié)果為否時(shí),將相應(yīng)的域名加入到域名白名單中��。由于異常訪問(wèn)行為記錄子表中包括UA項(xiàng)目,而所述UA中包括終端型號(hào)和軟件平臺(tái)���,那么���,就可以獲取到該子表的每條記錄對(duì)應(yīng)的軟件平臺(tái)��,如果每條記錄對(duì)應(yīng)的軟件平臺(tái)都相同,則可以確定多種終端型號(hào)采用的都是相同的軟件平臺(tái)���,而對(duì)于同一種手機(jī)病毒來(lái)說(shuō)��,其一般不會(huì)跨軟件平臺(tái)存在,因此��,在確定多種終端型號(hào)采用的都是相同的軟件平臺(tái)時(shí)���,則可以確定是由于手機(jī)病毒導(dǎo)致了對(duì)相應(yīng)域名(該異常訪問(wèn)行為記錄子表對(duì)應(yīng)的域名)的訪問(wèn)�,即�,該子表中的異常訪問(wèn)行為為病毒行為。同理�����,在確定多種終端型號(hào)采用的不是同一個(gè)軟件平臺(tái)時(shí)��,則可以認(rèn)為該子表中的異常訪問(wèn)行為不是病毒行為����,此時(shí),相應(yīng)的域名是可信的域名��,可以將其加入到域名白名單中�。以下介紹的記錄表生成模塊10 —種具體實(shí)現(xiàn)方式。參照?qǐng)D4���,所述記錄表生成模塊10具體包括數(shù)據(jù)采集模塊11��、匹配模塊12和黑名單更新模塊13�����。其中數(shù)據(jù)采集模塊11�,用于采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包。具體的采集位置請(qǐng)參見(jiàn)方法實(shí)施例���。匹配模塊12�����,用于根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為�����,根據(jù)所述異常訪問(wèn)行為生成所述異常訪問(wèn)行為記錄表��。其中��,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名����,所述用戶敏感信息包括IMSI (國(guó)際移動(dòng)用戶識(shí)別碼)和/或IMEI (國(guó)際移動(dòng)設(shè)備標(biāo)識(shí))。初始化時(shí)�,所述域名黑名單為空,或者�����,直接接收外部輸入的域名黑名單����。然后��,域名黑名單可以進(jìn)行動(dòng)態(tài)更新�。以下提供匹配模塊12的兩種匹配方式。方式一從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù)�,判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是����,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。方式二判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字����,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為�����。優(yōu)選地,所述匹配模塊12對(duì)于匹配出的異常訪問(wèn)行為����,如果其對(duì)應(yīng)的域名存在于所述域名白名單中,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中�。黑名單更新模塊13,用于根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新�����,具體為對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總��,得到匯總表���;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì)���,將存在于所述匯總表中、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中�。綜上所述,本發(fā)明基于采集到的WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包�,根據(jù)關(guān)鍵字列表從所述 HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,生成異常訪問(wèn)行為記錄表,不需要依賴于病毒庫(kù)����,就實(shí)現(xiàn)了異常訪問(wèn)行為的自動(dòng)識(shí)別,并且�,該方案的識(shí)別效率也較高。在識(shí)別出用戶的異常訪問(wèn)行為后�����,就可以基于所述異常訪問(wèn)行為進(jìn)行手機(jī)病毒(包括后門和流氓軟件)的識(shí)別了�����。另外����,本發(fā)明還實(shí)現(xiàn)了域名黑名單的自動(dòng)更新���。最后應(yīng)當(dāng)說(shuō)明的是��,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非限制���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而不脫離本發(fā)明技術(shù)方案的精神范圍�����,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中�。
權(quán)利要求
1.一種異常訪問(wèn)行為的識(shí)別方法,其特征在于�,包括采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包;根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為����,生成包括用戶所訪問(wèn)的域名的異常訪問(wèn)行為記錄表,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名��;根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新�。
2.如權(quán)利要求1所述的識(shí)別方法,其特征在于����,所述根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為,具體包括從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù)�����,判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字�����,若是,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為��。
3.如權(quán)利要求1所述的識(shí)別方法���,其特征在于����,所述根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為�,具體包括判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字,若是�,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。
4.如權(quán)利要求2或3所述的識(shí)別方法�����,其特征在于對(duì)于匹配出的異常訪問(wèn)行為���,如果其對(duì)應(yīng)的域名存在于域名白名單中,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中��。
5.如權(quán)利要求1所述的識(shí)別方法���,其特征在于�,所述根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新,具體包括對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總�,得到匯總表;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì)��,將存在于所述匯總表中�、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中。
6.如權(quán)利要求1所述的識(shí)別方法�,其特征在于,所述用戶敏感信息包括IMSI和/或 IMEI��。
7.一種異常訪問(wèn)行為的識(shí)別裝置��,其特征在于�,包括數(shù)據(jù)采集模塊,用于采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包���;匹配模塊����,用于根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為����,生成包括用戶所訪問(wèn)的域名的異常訪問(wèn)行為記錄表�,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名���;黑名單更新模塊�,用于根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新����。
8.如權(quán)利要求7所述的識(shí)別裝置,其特征在于����,所述匹配模塊進(jìn)一步用于從所述HTTP數(shù)據(jù)包中獲取URL數(shù)據(jù),判斷所述URL數(shù)據(jù)中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字��,若是�,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。
9.如權(quán)利要求7所述的識(shí)別裝置���,其特征在于����,所述匹配模塊進(jìn)一步用于判斷所述HTTP數(shù)據(jù)包中是否包括所述關(guān)鍵字列表中的至少一個(gè)關(guān)鍵字�����,若是�,確定相應(yīng)的訪問(wèn)行為為異常訪問(wèn)行為。
10.如權(quán)利要求8或9所述的識(shí)別裝置���,其特征在于��,所述匹配模塊對(duì)于匹配出的異常訪問(wèn)行為�,如果其對(duì)應(yīng)的域名存在于域名白名單中���,則不將該異常訪問(wèn)行為添加到所述異常訪問(wèn)行為記錄表中���。
11.如權(quán)利要求7所述的識(shí)別裝置,其特征在于�,所述黑名單更新模塊進(jìn)一步用于 對(duì)所述異常訪問(wèn)行為記錄表中的域名進(jìn)行匯總,得到匯總表�;將所述匯總表中的域名與所述域名黑名單中的域名進(jìn)行比對(duì),將存在于所述匯總表中���、但不存在于所述域名黑名單中的域名添加到所述域名黑名單中�。
12.如權(quán)利要求7所述的識(shí)別裝置���,其特征在于��,所述用戶敏感信息包括IMSI和/或 IMEI����。
全文摘要
本發(fā)明提供一種異常訪問(wèn)行為的識(shí)別方法及裝置,所述識(shí)別方法包括采集WAP網(wǎng)關(guān)的HTTP數(shù)據(jù)包��;根據(jù)關(guān)鍵字列表從所述HTTP數(shù)據(jù)包中匹配出用戶的異常訪問(wèn)行為����,生成包括用戶所訪問(wèn)的域名的異常訪問(wèn)行為記錄表,所述關(guān)鍵字列表中包括用戶敏感信息和域名黑名單中的域名���;根據(jù)所述異常訪問(wèn)行為記錄表對(duì)所述域名黑名單進(jìn)行更新����。本發(fā)明不需要依賴于病毒庫(kù)�,就能實(shí)現(xiàn)對(duì)異常訪問(wèn)行為的自動(dòng)和及時(shí)的識(shí)別,從而為手機(jī)病毒的識(shí)別提供便利�。
文檔編號(hào)H04L29/06GK102469117SQ201010534500
公開日2012年5月23日 申請(qǐng)日期2010年11月8日 優(yōu)先權(quán)日2010年11月8日
發(fā)明者呂漢鑫, 孔軼, 莊仁峰, 譚俊, 鄭浩彬, 黃偉湘 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)廣東有限公司