一種移動終端惡意軟件網(wǎng)絡(luò)行為重構(gòu)方法及其系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種惡意軟件網(wǎng)絡(luò)行為重構(gòu)方法及其系統(tǒng),尤其涉及一種移動終端惡意軟件網(wǎng)絡(luò)行為重構(gòu)方法及其系統(tǒng)�。
【背景技術(shù)】
[0002]現(xiàn)有的移動終端惡意軟件檢測方法大致可以分為兩類,即靜態(tài)檢測方法和動態(tài)檢測方法。靜態(tài)檢測方法通過對惡意軟件的反編譯��,在源代碼中查找惡意特征代碼片段來識別惡意軟件�����;動態(tài)檢測方法則主要是基于行為分析技術(shù)���,行為分析技術(shù)在虛擬化的環(huán)境下動態(tài)地分析惡意軟件運(yùn)行時的行為��,通過對惡意軟件行為特征的分析識別出惡意軟件���,常用的行為特征有對系統(tǒng)的調(diào)用、對敏感API的訪問等�����。
[0003]隨著代碼混淆技術(shù)����、代碼加密技術(shù)的發(fā)展,對惡意軟件的源代碼進(jìn)行靜態(tài)分析已經(jīng)變的十分困難�,而動態(tài)行為分析卻很好的彌補(bǔ)了靜態(tài)分析的這種缺點(diǎn),同時����,這種動態(tài)行為分析技術(shù)具有一定的發(fā)現(xiàn)未知惡意軟件的能力��。因此����,動態(tài)行為分析作為一種重要的檢測方法受到了業(yè)界的普遍關(guān)注�����。動態(tài)行為分析依賴于對惡意軟件動態(tài)行為的重構(gòu)��,重構(gòu)的內(nèi)容包含文件和進(jìn)程的創(chuàng)建過程����、進(jìn)程之間的通信過程等,重構(gòu)的過程需要詳細(xì)地表示出惡意軟件行為的交互過程�����,這樣才能更好地理解惡意軟件的動態(tài)行為�����,幫助我們識別惡意軟件��。
[0004]但是�����,傳統(tǒng)的移動終端網(wǎng)絡(luò)行為分析僅僅局限于一些對網(wǎng)絡(luò)特征的統(tǒng)計分析��,例如對訪問端口��、數(shù)據(jù)包大小�����、訪問時間等特征的統(tǒng)計分析�,卻并沒有刻畫移動終端與遠(yuǎn)程服務(wù)器之間的網(wǎng)絡(luò)交互行為,這種交互行為對于理解移動終端與遠(yuǎn)程惡意服務(wù)器之間的交互過程是十分必要的����,而現(xiàn)有的研究缺乏對網(wǎng)絡(luò)行為的重構(gòu),尤其缺乏對網(wǎng)絡(luò)交互過程完整性的解釋��。
【發(fā)明內(nèi)容】
[0005]為了解決現(xiàn)有技術(shù)的缺點(diǎn)���,本發(fā)明提供一種移動終端惡意軟件網(wǎng)絡(luò)行為重構(gòu)方法及其系統(tǒng)����。該方法首先通過自動化地方法采集到移動終端惡意軟件所產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù),然后對采集到的流量數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)流的提取���,最后依據(jù)網(wǎng)絡(luò)數(shù)據(jù)流重新構(gòu)建出移動終端惡意軟件與外部網(wǎng)絡(luò)之間的交互行為�����。
[0006]本發(fā)明采用以下技術(shù)方案:
[0007]—種移動終端惡意軟件網(wǎng)絡(luò)行為重構(gòu)方法����,包括:
[0008]在移動終端接入網(wǎng)絡(luò)的路由器節(jié)點(diǎn)設(shè)置鏡像端口��,采集原始移動終端惡意軟件網(wǎng)絡(luò)流量��;
[0009]解析原始移動終端惡意軟件網(wǎng)絡(luò)流量的DNS信息����,獲取移動終端惡意目標(biāo)列表;
[0010]根據(jù)移動終端惡意目標(biāo)列表���,分離移動終端惡意軟件惡意行為流量���;
[0011]提取分離后的移動終端惡意軟件惡意行為流量的DNS數(shù)據(jù)包和HTTP數(shù)據(jù)包,構(gòu)建移動終端惡意軟件網(wǎng)絡(luò)行為交互時序圖���;
[0012]根據(jù)移動終端惡意軟件網(wǎng)絡(luò)行為交互時序圖�,構(gòu)建移動終端惡意軟件網(wǎng)絡(luò)行為模型�。
[0013]分離移動終端惡意軟件惡意行為流量的具體過程為:
[0014]根據(jù)流的五元組,構(gòu)建獲取原始移動終端惡意軟件的網(wǎng)絡(luò)數(shù)據(jù)流����;
[0015]然后,在網(wǎng)絡(luò)數(shù)據(jù)流中的HTTP數(shù)據(jù)包中提取相應(yīng)的域名字符串���,若該域名字符串存在于獲取的移動終端惡意目標(biāo)列表中���,則該網(wǎng)絡(luò)數(shù)據(jù)流為惡意軟件網(wǎng)絡(luò)行為流量,提取并保存����,反之則忽略掉該數(shù)據(jù)流;
[0016]這樣分離出移動終端惡意軟件與遠(yuǎn)程控制服務(wù)器之間或惡意服務(wù)器之間所產(chǎn)生的惡意交互流量���。
[0017]所述構(gòu)建移動終端惡意軟件網(wǎng)絡(luò)行為交互時序圖的過程為:
[0018]首先����,依次讀取惡意軟件網(wǎng)絡(luò)行為流量中的每一個數(shù)據(jù)流�,提取出其中的HTTP數(shù)據(jù)包�����,記錄下該HTTP數(shù)據(jù)包的發(fā)送時間以及HTTP數(shù)據(jù)包中的域名字符串��;
[0019]然后��,根據(jù)HTTP數(shù)據(jù)包中域名字符串的域名���,從原始移動終端惡意軟件網(wǎng)絡(luò)流量的數(shù)據(jù)包中提取出與域名字符串具有相同域名的DNS數(shù)據(jù)包,并記錄下DNS數(shù)據(jù)包的發(fā)送時間����,以及DNS數(shù)據(jù)包中的內(nèi)容和解析的IP地址;
[0020]最后�����,按照數(shù)據(jù)包的發(fā)送時間�����,繪制出從源IP地址到DNS服務(wù)器以及向目標(biāo)域名服務(wù)器發(fā)送HTTP數(shù)據(jù)包的網(wǎng)絡(luò)交互時序圖��。
[0021]所述構(gòu)建移動終端惡意軟件網(wǎng)絡(luò)行為模型的過程,還包括:
[0022]將源IP地址���、目標(biāo)服務(wù)器域名以及HTTP數(shù)據(jù)包定義為移動終端惡意軟件網(wǎng)絡(luò)行為模型的節(jié)點(diǎn)���,將DNS應(yīng)答數(shù)據(jù)包的內(nèi)容定義為目標(biāo)服務(wù)器域名節(jié)點(diǎn)的屬性節(jié)點(diǎn)��;
[0023]連接目標(biāo)服務(wù)器域名節(jié)點(diǎn)與各個屬性節(jié)點(diǎn)�����,用以表示目標(biāo)服務(wù)器相關(guān)的信息和解析的IP地址信息����;
[0024]連接HTTP數(shù)據(jù)包節(jié)點(diǎn)與目標(biāo)服務(wù)器域名節(jié)點(diǎn),用于表示向該目標(biāo)服務(wù)器發(fā)送HTTP數(shù)據(jù)包的對應(yīng)關(guān)系����;
[0025]連接源IP地址節(jié)點(diǎn)與目標(biāo)服務(wù)器域名節(jié)點(diǎn),用于表示從源IP地址向目標(biāo)服務(wù)器發(fā)出的請求��,并以目標(biāo)服務(wù)器域名的請求次數(shù)作為該段線段的權(quán)重���;
[0026]連接源IP地址節(jié)點(diǎn)與HTTP數(shù)據(jù)包節(jié)點(diǎn)�����,用于表示從源IP地址向目標(biāo)服務(wù)器發(fā)出的HTTP數(shù)據(jù)包���,并以向目標(biāo)服務(wù)器發(fā)出的HTTP數(shù)據(jù)包數(shù)量作為該段線段的權(quán)重�����,最后�,得到移動終端惡意軟件網(wǎng)絡(luò)行為模型�����。
[0027]在采集原始移動終端惡意軟件網(wǎng)絡(luò)流量的過程中�,通過鏡像端口將所有上行和下行的移動終端網(wǎng)絡(luò)流量鏡像到數(shù)據(jù)存儲服務(wù)器上。
[0028]獲取移動終端惡意目標(biāo)列表的過程�����,包括:
[0029]解析原始移動終端惡意軟件網(wǎng)絡(luò)流量的DNS信息��,得到關(guān)于惡意軟件所有的DNS請求的目標(biāo)域名����,再依次檢測這些目標(biāo)域名的惡意域名,判斷是否為惡意目標(biāo),若是���,則將該域名加入惡意目標(biāo)列表�����。
[0030]一種基于移動終端惡意軟件網(wǎng)絡(luò)行為重構(gòu)方法的重構(gòu)系統(tǒng)��,包括:
[0031]采集單元,其用于通過在移動終端接入網(wǎng)絡(luò)的路由器節(jié)點(diǎn)設(shè)置的鏡像端口進(jìn)行采集原始移動終端惡意軟件網(wǎng)絡(luò)流量�;
[0032]流量解析單元,其用于解析原始移動終端惡意軟件網(wǎng)絡(luò)流量的DNS信息���,獲取移動終端惡意目標(biāo)列表���;
[0033]分離單元,其用于根據(jù)移動終端惡意目標(biāo)列表����,分離移動終端惡意軟件惡意行為流量;
[0034]時序圖繪制單元,其用于提取分離后的移動終端惡意軟件惡意行為流量的DNS數(shù)據(jù)包和HTTP數(shù)據(jù)包���,構(gòu)建移動終端惡意軟件網(wǎng)絡(luò)行為交互時序圖����;
[0035]重構(gòu)單元,其用于根據(jù)構(gòu)建的移動終端惡意軟件網(wǎng)絡(luò)行為交互時序圖����,構(gòu)建移動終端惡意軟件網(wǎng)絡(luò)行為模型。
[0036]所述分離單元�,包括:數(shù)據(jù)流構(gòu)建模塊,其用于根據(jù)流的五元組來構(gòu)建獲取原始移動終端惡意軟件的網(wǎng)絡(luò)數(shù)據(jù)流��;
[0037]流量識別模塊�����,其用于在網(wǎng)絡(luò)數(shù)據(jù)流中的HTTP數(shù)據(jù)包中提取相應(yīng)的域名字符串�����,若該域名字符串存在于獲取的移動終端惡意目標(biāo)列表中�,則該網(wǎng)絡(luò)數(shù)據(jù)流為惡意軟件網(wǎng)絡(luò)行為流量,提取并保存���,反之則忽略該數(shù)據(jù)流��;分離出移動終端惡意軟件與遠(yuǎn)程控制服務(wù)器之間或惡意服務(wù)器之間所產(chǎn)生的惡意交互流量�。
[0038]時序圖繪制單元,包括:提取HTTP數(shù)據(jù)包模塊�����,其用于依次讀取惡意軟件網(wǎng)絡(luò)行為流量中的每一個數(shù)據(jù)流����,提取出其中的HTTP數(shù)據(jù)包,記錄下該HTTP數(shù)據(jù)包的發(fā)送時間以及HTTP數(shù)據(jù)包中的域名字符串����;
[0039]提取DNS數(shù)據(jù)包模塊,其用于根據(jù)HTTP數(shù)據(jù)包中域名字符串的域名�����,從原始移動終端惡意軟件網(wǎng)絡(luò)流量的數(shù)據(jù)包中提取出與域名字符串具有相同域名的DNS數(shù)據(jù)包��,并記錄下DNS數(shù)據(jù)包的發(fā)送時間���,以及DNS數(shù)據(jù)包中的內(nèi)容和解析的IP地址;
[0040]繪制模塊�����,其用于按照數(shù)據(jù)包的發(fā)送時間,繪制出從源IP地址到DNS服務(wù)器以及向目標(biāo)域名服務(wù)器發(fā)送HTTP數(shù)據(jù)包的網(wǎng)絡(luò)交互時序圖��。
[0041]重構(gòu)單元�,包括:預(yù)定義模塊,其用于將源IP地址����、目標(biāo)服務(wù)器域名以及HTTP數(shù)據(jù)包定義為移動終端惡意軟件網(wǎng)絡(luò)行為模型的節(jié)點(diǎn),將DNS數(shù)據(jù)包的內(nèi)容定義為目標(biāo)服務(wù)器域名節(jié)點(diǎn)的屬性節(jié)點(diǎn)�;
[0042]第一連接模塊,其用于連接目標(biāo)服務(wù)器域名節(jié)點(diǎn)與各個屬性節(jié)點(diǎn)�,用以表示目標(biāo)服務(wù)器相關(guān)的信息和解析的IP地址信息;
[0043]第二連接模塊��,其用于連接HTTP數(shù)據(jù)包節(jié)點(diǎn)與目標(biāo)服務(wù)器域名節(jié)點(diǎn)�,用于表示向該目標(biāo)服務(wù)器發(fā)送HTTP數(shù)據(jù)包的對應(yīng)關(guān)系;
[0044]第三連接模塊��,其用于連接源IP地址節(jié)點(diǎn)與目標(biāo)服務(wù)器域名節(jié)點(diǎn)���,用于表示從源IP地址向目標(biāo)服務(wù)器發(fā)出的請求�,并以目標(biāo)服務(wù)器域名的請求次數(shù)作為該段線段的權(quán)重�;
[0045]第四連接模塊,其用于連接源IP地址節(jié)點(diǎn)與HTTP數(shù)據(jù)包節(jié)點(diǎn)�����,用于表示從源IP地址向目標(biāo)服務(wù)器發(fā)出的HTTP數(shù)據(jù)包,并以向目標(biāo)服務(wù)器發(fā)出的HTTP數(shù)據(jù)包數(shù)量作為該段線段的權(quán)重�����。
[0046]本發(fā)明的有益效果為:
[0047](I)本發(fā)明的移動終端惡意軟件網(wǎng)絡(luò)行為重構(gòu)方法�����,是基于移動終端惡意軟件產(chǎn)生的網(wǎng)絡(luò)流量來重構(gòu)出惡意軟件與外部網(wǎng)絡(luò)之間交互行為的方法�����;通過對移動終端惡意軟件網(wǎng)絡(luò)行為的重構(gòu)�����,有助于對移動終端惡意軟件的網(wǎng)絡(luò)交互行為的理解�����;
[0048](2)本發(fā)明根據(jù)移動終端惡意軟件網(wǎng)絡(luò)行為交互時序圖���,最終構(gòu)建出移動終端惡意軟件網(wǎng)絡(luò)行為模型���,該模型可作為識別移動終端惡意軟件的一種依據(jù)。
【附圖說明】
[0049]圖1為本發(fā)明實(shí)現(xiàn)大規(guī)模反編譯移動終端惡意軟件原文件的流程圖�����;
[0050]圖2為本發(fā)明移動終端惡意軟件自動化安裝與運(yùn)行的流程圖�����;
[0051]圖3為本發(fā)明設(shè)計的移動終端惡意軟件激活機(jī)制的流程圖����;
[0052]圖4為從網(wǎng)絡(luò)流量數(shù)據(jù)的DNS請求域名建立惡意列表流程圖;
[0053]圖5為從混合流量中分離出惡意流量和正常流量的流程圖���;
[0054]圖6為一份移動終端上的惡意軟件所產(chǎn)生的網(wǎng)絡(luò)流量圖���;
[0055]圖7為移動終端惡意軟件網(wǎng)絡(luò)行為交互圖;
[0056]圖8為網(wǎng)絡(luò)行為重構(gòu)模型���。
【具體實(shí)施方式】
[0057]下面結(jié)合附圖與實(shí)施例對本發(fā)明做進(jìn)一步說明:
[0058]本發(fā)明的移動終端惡意軟件網(wǎng)絡(luò)行為重構(gòu)方法����,包括:
[0059]在移動終端接入網(wǎng)絡(luò)的路由器節(jié)點(diǎn)設(shè)置鏡像端口,采集原始移動終端惡意軟件網(wǎng)絡(luò)流量