在步驟118和步驟119的基礎(chǔ)上建立網(wǎng)絡流量數(shù)據(jù)的特征集�;
[0222]步驟122,模型管理模塊讀取網(wǎng)絡流量的特征集��,并將其輸入到檢測服務器中�;
[0223]步驟123,檢測服務器中的檢測模型對特征集計算處理�����,并輸出檢測結(jié)果;
[0224]步驟124�,系統(tǒng)底層的通信服務單元,日志記錄單元和系統(tǒng)監(jiān)測單元分別負責上述工作流程中模塊之間���、處理單元之間的通信�,記錄系統(tǒng)日志以及監(jiān)控系統(tǒng)的運行功能��;
[0225]步驟125���,用戶在移動終端上安裝信息反饋App與檢測服務系統(tǒng)通信�����;
[0226]步驟126�����,用戶通過信息反饋App與檢測服務系統(tǒng)連接并上傳用戶的身份信息到檢測服務系統(tǒng)��;
[0227]步驟127���,當檢測服務系統(tǒng)發(fā)現(xiàn)惡意軟件時,用戶通過信息反饋App接收來自檢測服務系統(tǒng)的通知消息;
[0228]步驟128�����,檢測模型服務器通過不斷的訓練檢測模型����,獲取模型的最優(yōu)參數(shù),得到優(yōu)化的檢測模型��;
[0229]步驟129��,檢測模型服務器將優(yōu)化的檢測模型更新到檢測服務器的檢測模型中����。
[0230]其中,用戶管理模塊的工作原理�����,如圖13所示:
[0231]步驟130�,用戶的移動終端通過網(wǎng)絡服務提供商連接到互聯(lián)網(wǎng)���,向用戶交互模塊發(fā)起檢測服務請求���;
[0232]步驟131��,用戶管理模塊接收到用戶請求����,并交由用戶交互單元處理�����;
[0233]步驟132��,用戶交互單元認證用戶及用戶的移動終端設(shè)備信息����。認證的內(nèi)容主要包括用戶UID,終端設(shè)備的MAC地址�,國際移動設(shè)備識別碼頂EI等能夠唯一確認用戶身份及設(shè)備的信息;
[0234]步驟133�����,若認證通過���,將用戶移動終端信息上傳到檢測服務系統(tǒng)的用戶交互單元����。并轉(zhuǎn)向流量管理模塊;
[0235]步驟134����,若認證失敗,則通知用戶進行下一步的注冊����。因為只有認證通過的用戶移動終端才能接入檢測服務系統(tǒng)。
[0236]流量管理模塊的工作原理���,如圖14所示:
[0237]步驟141��,流量管理模塊調(diào)度可用的鏡像端口���,并將端口分配給用戶的移動終端;
[0238]步驟142���,若移動終端成功地分配到了可用的鏡像端口�����,則開始流量的采集。將此端口的上、下行的移動終端網(wǎng)絡流量采集到檢測服務系統(tǒng)中的流量數(shù)據(jù)處理服務器中����;
[0239]步驟143,若沒有可用的鏡像端口��,則移動終端必須等待系統(tǒng)調(diào)度�,直到有可用的鏡像?而口 ;
[0240]步驟144�����,將采集到的網(wǎng)絡流量數(shù)據(jù)暫時存儲在流量緩存單元���;
[0241]步驟145�,由流量識別單元對采集到的網(wǎng)絡流量數(shù)據(jù)進行移動終端網(wǎng)絡流量的識別��;
[0242]步驟146����,若識別成功,則把流量數(shù)據(jù)交給隱私處理單元處理����。對流量數(shù)據(jù)進行隱私的加密處理�;
[0243]步驟147����,若識別失敗,則把這部分流量數(shù)據(jù)交由人工識別�����;
[0244]步驟148�����,存儲流量數(shù)據(jù)到流量存儲單元上��;
[0245]特征管理模塊的工作原理����,如圖15所示:
[0246]步驟150,特征管理模塊從流量存儲單元上讀取流量數(shù)據(jù)��,由特征提取單元完成對網(wǎng)絡流量的特征提?����?��;
[0247]步驟151�����,若特征提取成功���,則進行特征的聚合;
[0248]步驟152���,若特征提取失敗�����,則進行失敗處理�����,即人工提取所需特征�����;
[0249]步驟153��,由特征提取單元和特征聚合單元建立能夠有效表征移動終端惡意軟件的特征集����。
[0250]特征管理模塊主要負責控制特征提取單元從網(wǎng)絡流量數(shù)據(jù)中提取出特征,由于基本的網(wǎng)絡流量特征不能完全表征移動終端惡意軟件的網(wǎng)絡行為���,所以需要在基本特征的基礎(chǔ)上�����,對基本特征進行聚合���,聚合后的特征是一些能夠有效表征移動終端惡意軟件網(wǎng)絡行為的特征。
[0251]本發(fā)明所采用的信息反饋App是單獨為用戶的移動終端開發(fā)設(shè)計的一款Αρρ��,安裝在用戶的移動終端上����,主要完成2大功能:
[0252]I)接入檢測服務系統(tǒng)。主要負責保持移動終端與檢測服務系統(tǒng)之間的連接�。
[0253]2)接收通知消息。若發(fā)現(xiàn)惡意軟件�,實現(xiàn)接收來自檢測服務系統(tǒng)的通知消息的功會K。
[0254]上述雖然結(jié)合附圖對本發(fā)明的【具體實施方式】進行了描述����,但并非對本發(fā)明保護范圍的限制���,所屬領(lǐng)域技術(shù)人員應該明白,在本發(fā)明的技術(shù)方案的基礎(chǔ)上���,本領(lǐng)域技術(shù)人員不需要付出創(chuàng)造性勞動即可做出的各種修改或變形仍在本發(fā)明的保護范圍以內(nèi)。
【主權(quán)項】
1.一種面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法�,其特征在于,包括: 用戶移動終端通過網(wǎng)絡服務提供商的基站與網(wǎng)絡服務提供商的骨干網(wǎng)連接���,網(wǎng)絡服務提供商的骨干網(wǎng)與互聯(lián)網(wǎng)相連��; 當用戶移動終端接入互聯(lián)網(wǎng)時�����,用戶移動終端向檢測服務器申請認證����; 認證處理后�����,通過動態(tài)分配流量鏡像端口進行采集且緩存用戶移動終端網(wǎng)絡流量至流量數(shù)據(jù)處理服務器�,然后對獲取的用戶移動終端網(wǎng)絡流量進行識別和隱私處理,然后提取并聚合網(wǎng)絡流量數(shù)據(jù)特征���,形成特征集�����,并傳送至檢測服務器���; 讀取特征集,檢測服務器中的檢測模型對特征集中特征進行檢測�,檢測結(jié)果經(jīng)流量數(shù)據(jù)處理服務器返回到網(wǎng)絡服務提供商的骨干網(wǎng),并最終返回給用戶移動終端��。2.如權(quán)利要求1所述的一種面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法����,其特征在于,所述面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法還包括: 檢測模型服務器通過獲取的用戶移動終端網(wǎng)絡流量進行訓練檢測服務器中的檢測模型�����,得到檢測模型的最優(yōu)參數(shù)�,進行更新檢測服務器的檢測模型。3.如權(quán)利要求1所述的一種面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法,其特征在于�����,當用戶移動終端接入互聯(lián)網(wǎng)時��,用戶移動終端向檢測服務器申請認證的過程��,包括: 當用戶移動終端接入互聯(lián)網(wǎng)時����,向檢測服務器發(fā)出認證請求���; 響應用戶的認證請求�����,開始認證用戶身份信息及用戶移動終端設(shè)備信息����; 用戶移動終端設(shè)備通過認證后����,觸發(fā)流量鏡像端口采集用戶移動終端網(wǎng)絡流量。4.如權(quán)利要求3所述的一種面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法,其特征在于���,所述用戶身份信息包括用戶UID��,用戶移動終端設(shè)備信息包括終端設(shè)備的MAC地址以及設(shè)備識別碼頂EI�。5.如權(quán)利要求1所述的一種面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法���,其特征在于�����,所述流量數(shù)據(jù)處理服務器對用戶移動終端網(wǎng)絡流量進行識別的過程�����,包括: 解析流量鏡像端口所采集的用戶移動終端網(wǎng)絡流量�,得到移動終端惡意目標列表��;根據(jù)移動終端惡意目標列表���,分離移動終端惡意軟件產(chǎn)生的惡意行為流量����,最終識別出惡意行為流量。6.如權(quán)利要求5所述的一種面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法�����,其特征在于��,對識別出的用戶移動終端網(wǎng)絡流量中的惡意行為流量數(shù)據(jù)包進行設(shè)置應用名稱標簽��。7.—種基于如權(quán)利要求1所述的面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法的檢測系統(tǒng)���,其特征在于���,包括: 流量數(shù)據(jù)處理服務器,所述流量數(shù)據(jù)處理服務器�,包括用戶交互單元���,其用于當用戶移動終端接入互聯(lián)網(wǎng)時�,用戶移動終端向檢測服務器申請認證����; 量鏡像單元,其用于當認證處理后��,通過動態(tài)分配的流量鏡像端口進行采集用戶移動終端網(wǎng)絡流量; 流量緩存單元�,其用于緩存用戶移動終端網(wǎng)絡流量; 流量識別單元��,其用于識別用戶移動終端網(wǎng)絡流量���; 隱私處理單元��,其用于對用戶移動終端網(wǎng)絡流量進行隱私處理��; 流量存儲單元���,其用于存儲處理后的用戶移動終端網(wǎng)絡流量; 特征提取單元����,其用于提取用戶移動終端網(wǎng)絡流量中的數(shù)據(jù)特征; 聚合單元�����,其用于對提取的用戶移動終端網(wǎng)絡流量中的數(shù)據(jù)特征進行聚合����,形成表征用戶移動終端網(wǎng)絡流量的新數(shù)據(jù)特征���,形成特征集; 檢測服務器�,所述檢測服務器包括檢測模型單元,其用于讀取特征集�,并對特征集中特征進行檢測,檢測結(jié)果經(jīng)流量數(shù)據(jù)處理服務器返回到網(wǎng)絡服務提供商的骨干網(wǎng)�����,并最終返回給用戶移動終端��。8.如權(quán)利要求7所述的面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測系統(tǒng)�,其特征在于,所述檢測服務器與檢測模型服務器相連���,所述檢測模型服務器用于訓練檢測服務器中的檢測模型��,得到檢測模型的最優(yōu)參數(shù),并更新檢測服務器中的檢測模型����。9.如權(quán)利要求7所述的面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測系統(tǒng),其特征在于����,所述用戶交互單元�����,包括: 認證請求發(fā)送模塊�,其用于當用戶移動終端通過網(wǎng)絡服務提供商的基站與網(wǎng)絡服務提供商的骨干網(wǎng)連接之后接入與互聯(lián)網(wǎng)時����,向檢測服務器發(fā)出認證請求; 認證模塊����,其用于響應用戶的認證請求,開始認證用戶身份信息及用戶移動終端設(shè)備信息����; 觸發(fā)模塊,其用于當用戶移動終端設(shè)備通過認證后��,觸發(fā)流量鏡像端口采集用戶移動終端網(wǎng)絡流量��。10.如權(quán)利要求7所述的面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測系統(tǒng)�����,其特征在于,所述流量識別單元��,包括: 流量解析模塊����,其用于解析流量鏡像端口所采集的用戶移動終端網(wǎng)絡流量,得到移動終端惡意目標列表�; 流量分離模塊,其用于根據(jù)移動終端惡意目標列表�,分離移動終端惡意軟件產(chǎn)生的惡意行為流量,最終識別出惡意行為流量���。
【專利摘要】本發(fā)明公開了一種面向網(wǎng)絡服務提供商的惡意軟件網(wǎng)絡行為檢測方法及系統(tǒng)���,該方法包括:用戶移動終端通過網(wǎng)絡服務提供商的基站與網(wǎng)絡服務提供商的骨干網(wǎng)連接,網(wǎng)絡服務提供商的骨干網(wǎng)與互聯(lián)網(wǎng)相連����;當用戶移動終端接入互聯(lián)網(wǎng)時,用戶移動終端向檢測服務器申請認證��;認證處理后���,通過動態(tài)分配流量鏡像端口進行采集且緩存用戶移動終端網(wǎng)絡流量至流量數(shù)據(jù)處理服務器�,然后對獲取的用戶移動終端網(wǎng)絡流量進行識別和隱私處理�����,然后提取并聚合網(wǎng)絡流量數(shù)據(jù)特征�,形成特征集,并傳送至檢測服務器�;讀取特征集,檢測服務器中的檢測模型對特征集中特征進行檢測�;檢測結(jié)果經(jīng)流量數(shù)據(jù)處理服務器返回到網(wǎng)絡服務提供商的骨干網(wǎng),并最終返回給用戶移動終端����。
【IPC分類】H04L29/06
【公開號】CN105007282
【申請?zhí)枴緾N201510487067
【發(fā)明人】張蕾, 王閃閃, 陳貞翔, 楊波, 韓泓波, 孫潤元
【申請人】濟南大學
【公開日】2015年10月28日
【申請日】2015年8月10日