；
[0060]解析原始移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量的DNS信息，獲取移動(dòng)終端惡意目標(biāo)列表；
[0061]根據(jù)移動(dòng)終端惡意目標(biāo)列表，分離移動(dòng)終端惡意軟件惡意行為流量；
[0062]提取分離后的移動(dòng)終端惡意軟件惡意行為流量的DNS數(shù)據(jù)包和HTTP數(shù)據(jù)包，構(gòu)建移動(dòng)終端惡意軟件網(wǎng)絡(luò)行為交互時(shí)序圖；
[0063]根據(jù)移動(dòng)終端惡意軟件網(wǎng)絡(luò)行為交互時(shí)序圖，構(gòu)建移動(dòng)終端惡意軟件網(wǎng)絡(luò)行為模型。
[0064]本發(fā)明在提取出移動(dòng)終端惡意軟件的惡意行為流量前，需要采集移動(dòng)終端惡意軟件所產(chǎn)生的網(wǎng)絡(luò)流量，其包括:(I)移動(dòng)終端惡意軟件反編譯；(2)提取移動(dòng)終端惡意軟件自動(dòng)安裝和運(yùn)行所需要的參數(shù)；(3)移動(dòng)終端惡意軟件自動(dòng)安裝；(4)移動(dòng)終端惡意軟件激活與運(yùn)行。
[0065]其中，移動(dòng)終端惡意軟件反編譯:
[0066]為了能夠?qū)崿F(xiàn)對(duì)大規(guī)模移動(dòng)終端惡意軟件的自動(dòng)化采集，需要提取惡意軟件自動(dòng)化安裝、運(yùn)行所需要的一些參數(shù)，而這些參數(shù)信息主要包含在反編譯后的配置文件中，所以，首先需要對(duì)惡意軟件進(jìn)行反編譯。以Android系統(tǒng)為例，基于已有的幾種反編譯工具，首先選擇其中的一種對(duì)Android原文件進(jìn)行反編譯，但是，這種反編譯工具可能造成對(duì)原文件反編譯失敗，所以需要重新選擇反編譯工具。
[0067]對(duì)大規(guī)模Android惡意軟件的原文件，通過(guò)自動(dòng)化腳本程序來(lái)控制執(zhí)行反編譯工具，可以得到所有惡意軟件反編譯后的文件。同時(shí)，在每個(gè)惡意軟件樣本反編譯后的文件中，都有一個(gè)Android系統(tǒng)的配置文件AndroidManifest.xml。
[0068]如圖1所示，為本發(fā)明實(shí)現(xiàn)大規(guī)模反編譯Android原文件的流程圖。移動(dòng)終端惡意軟件反編譯的過(guò)程，包括:
[0069]步驟110，選擇反編譯工具，現(xiàn)有的主流反編譯工具主要有APKTool，jd-gui，dex2 jar 等；
[0070]步驟111，使用反編譯工具對(duì)惡意軟件反編譯；
[0071]步驟112，若反編譯成功，可以得到關(guān)于該惡意軟件的配置文件。在Android系統(tǒng)中，這個(gè)配置文件是AndroidManifest.xml ；
[0072]步驟113，若反編譯失敗，則重新選擇新的反編譯工具，返回步驟111。
[0073]提取移動(dòng)終端惡意軟件自動(dòng)安裝和運(yùn)行所需要的參數(shù):
[0074]對(duì)于每一個(gè)Android惡意軟件，若反編譯成功，都可以從它的AndroidManifest.xml文件中提取出該惡意軟件的包名和主activity名，作為移動(dòng)終端惡意軟件自動(dòng)安裝和運(yùn)行程序所需要的參數(shù)。對(duì)于反編譯失敗的惡意軟件，則重新選擇新的反編譯工具，直到反編譯成功或現(xiàn)有的反編譯工具均不能反編譯成功為止。
[0075]圖2為本發(fā)明移動(dòng)終端惡意軟件自動(dòng)化安裝與運(yùn)行的流程圖，如圖2所示。移動(dòng)終端惡意軟件自動(dòng)化安裝與運(yùn)行的過(guò)程，包括:
[0076]步驟131，提取惡意軟件名作為模擬器的參數(shù)傳入；
[0077]步驟132，以惡意軟件名稱作為模擬器的名稱創(chuàng)建模擬器；
[0078]步驟133，若模擬器創(chuàng)建成功，則繼續(xù)安裝惡意應(yīng)用；
[0079]步驟134，若模擬器安裝失敗，則檢查模擬器參數(shù)、磁盤剩余空間等信息；
[0080]步驟135，若惡意應(yīng)用安裝成功，則繼續(xù)運(yùn)行惡意應(yīng)用；
[0081]步驟136，若惡意應(yīng)用安裝失敗，則檢查惡意軟件的原文件是否存在或在指定路徑下，惡意軟件的包名是否正確；
[0082]步驟137，若惡意應(yīng)用運(yùn)行成功，完成移動(dòng)終端惡意軟件的自動(dòng)化安裝與運(yùn)行；
[0083]步驟138，若惡意應(yīng)用運(yùn)行失敗，則檢查主activity名是否正確。
[0084]移動(dòng)終端惡意軟件自動(dòng)安裝與運(yùn)行:
[0085]在獲取到惡意軟件名、惡意軟件的包名以及主activity名這些參數(shù)信息之后，通過(guò)Android平臺(tái)提供的ADB調(diào)試命令，可以實(shí)現(xiàn)Android應(yīng)用軟件的安裝。其中，Android應(yīng)用軟件的安裝需要包名作為參數(shù)傳入ADB。對(duì)于大規(guī)模移動(dòng)終端惡意軟件，將所有惡意軟件的包名寫入文本文件，每一行的內(nèi)容為一個(gè)app的包名和主activity名。ADB每次調(diào)用文本文件中一行，完成對(duì)一個(gè)惡意軟件的自動(dòng)化安裝和運(yùn)行。ADB循環(huán)調(diào)用文本文件的每一行，依次實(shí)現(xiàn)對(duì)所有惡意軟件的安裝和運(yùn)行。但是，在安裝和運(yùn)行的過(guò)程中，由于模擬器參數(shù)、磁盤空間容量、惡意軟件的包名以及主activity名等可能會(huì)出現(xiàn)錯(cuò)誤，將導(dǎo)致安裝失敗或運(yùn)行失敗，所以，針對(duì)自動(dòng)化安裝和運(yùn)行的各個(gè)過(guò)程中出現(xiàn)的錯(cuò)誤，設(shè)計(jì)了邏輯處理流程。
[0086]移動(dòng)終端惡意軟件激活:
[0087]不同的Android惡意軟件所依賴于的激活方式不盡相同，目前已知的激活方式主要包括移動(dòng)終端操作系統(tǒng)重啟、收發(fā)短信、接打電話、系統(tǒng)事件、電池電量狀態(tài)、網(wǎng)絡(luò)狀態(tài)變化、USB接入。不同的激活方式所能激活的惡意軟件的數(shù)量不等，據(jù)統(tǒng)計(jì)超過(guò)80%的Android惡意軟件依賴手機(jī)操作系統(tǒng)的重啟來(lái)實(shí)現(xiàn)激活。本發(fā)明依據(jù)各種激活方式所能激活的惡意軟件數(shù)量排序設(shè)計(jì)了一種激活優(yōu)先機(jī)制，即移動(dòng)終端操作系統(tǒng)重啟 > 系統(tǒng)事件>電池電量狀態(tài) > 收發(fā)短信 > 改變網(wǎng)絡(luò)狀態(tài)>USB接入 > 接打電話。若重啟終端操作系統(tǒng)能夠產(chǎn)生有效流量，則表明該惡意軟件已被激活并運(yùn)行，反之，則繼續(xù)使用下一級(jí)別“系統(tǒng)事件”激活方式對(duì)惡意軟件進(jìn)行激活，以此類推，直到能夠采集到有效網(wǎng)絡(luò)流量為止。若使用所有的激活方式仍然沒(méi)有采集到有效流量，則對(duì)該惡意軟件的流量采集失敗。
[0088]圖3為本發(fā)明設(shè)計(jì)的移動(dòng)終端惡意軟件激活機(jī)制的流程圖，如圖3所示。激活移動(dòng)終端惡意軟件的方法包括:
[0089]步驟141，重啟移動(dòng)終端的操作系統(tǒng)；
[0090]步驟142，若產(chǎn)生有效流量，則保存流量數(shù)據(jù)；
[0091]步驟143，若沒(méi)有產(chǎn)生有效流量，則依次選擇下一個(gè)激活機(jī)制-“系統(tǒng)事件”、激活機(jī)制-電池電量狀態(tài)、激活機(jī)制-收發(fā)短信、激活機(jī)制-改變網(wǎng)絡(luò)狀態(tài)、激活機(jī)制-USB接入和激活機(jī)制-接打電話；
[0092]步驟144，若選擇激活機(jī)制-“系統(tǒng)事件”，首先，在移動(dòng)終端上執(zhí)行用戶滑屏操作，然后，切換用戶輸入法，最后，改變移動(dòng)終端信號(hào)強(qiáng)度等“系統(tǒng)事件”；
[0093]步驟145，若選擇激活機(jī)制-電池電量狀態(tài)，使移動(dòng)終端連接電源處于充電狀態(tài)，直到電池處于充滿狀態(tài)，然后拔出電源，消耗電源使其處于低電量狀態(tài)；
[0094]步驟146，若選擇激活機(jī)制-收發(fā)短信，選擇在另一部移動(dòng)終端上發(fā)送短信到本地終端，然后，本地終端發(fā)送短信到另一部移動(dòng)終端；
[0095]步驟147，若選擇激活機(jī)制-改變網(wǎng)絡(luò)狀態(tài)，選擇切換移動(dòng)終端的網(wǎng)絡(luò)接入方式，由2G依次切換到3G和4G網(wǎng)絡(luò)，最后切換到WIFI網(wǎng)絡(luò)；
[0096]步驟148，若選擇激活機(jī)制-USB接入，選擇移動(dòng)終端接入U(xiǎn)SB設(shè)備；
[0097]步驟149，若選擇選擇激活機(jī)制-接打電話，在另一部移動(dòng)終端上撥打電話給本地終端，然后，本地終端撥打電話給另一部移動(dòng)終端，直至結(jié)束。
[0098]其中，系統(tǒng)事件包括用戶喚醒移動(dòng)終端、用戶切換輸入法和移動(dòng)終端信號(hào)強(qiáng)度。
[0099]電池電量狀態(tài)包括連接電源處于充電狀態(tài)、電池電量低、電池處于充滿狀態(tài)。
[0100]收發(fā)短信包括移動(dòng)終端接收外部終端的短信和發(fā)送短信到外部終端。
[0101]改變網(wǎng)絡(luò)狀態(tài)包括移動(dòng)終端接入網(wǎng)絡(luò)模式的改變、接入到WIFI網(wǎng)絡(luò)。
[0102]USB接入包括移動(dòng)終端通過(guò)USB連接到外部設(shè)備。
[0103]接打電話包括移動(dòng)終端接受其它移動(dòng)終端的電話和向其它移動(dòng)終端撥打電話。
[0104]圖4從網(wǎng)絡(luò)流量數(shù)據(jù)的DNS請(qǐng)求域名建立惡意列表流程圖，如圖4所示:
[0105]步驟151，從數(shù)據(jù)存儲(chǔ)服務(wù)器的網(wǎng)絡(luò)流量數(shù)據(jù)中提取出DNS請(qǐng)求域名。
[0106]步驟152，將提取出的DNS請(qǐng)求域名在VirusTotal上做惡意域名檢測(cè)。
[0107]步驟153，若檢測(cè)結(jié)果為惡意域名，則將該域名添加至惡意列表。
[0108]步驟154，若檢測(cè)結(jié)果為正常域名，則結(jié)束。
[0109]為了能夠從采集到的混合流量中提取出純的惡意流量，首先需要知道哪一部分是惡意流量。本發(fā)明采用了一種基于網(wǎng)絡(luò)數(shù)據(jù)流的方式從混合流量中將惡意的網(wǎng)絡(luò)數(shù)據(jù)流提取出來(lái)，所使用的方法便是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流中HTTP數(shù)據(jù)包的HOST字段，而這段HOST字段是一段域名，它與DNS所請(qǐng)求的域名是一致的。所以，只需要判斷DNS數(shù)據(jù)包中的請(qǐng)求域名是否惡意，便可以判斷出該段網(wǎng)絡(luò)數(shù)據(jù)流是否惡意。在實(shí)施例中，首先從采集到的網(wǎng)絡(luò)流量數(shù)據(jù)中提取DNS請(qǐng)求的域名，然后在第三方URL檢測(cè)服務(wù)引擎VirusTotal上做惡意域名檢測(cè)，建立惡意列表即黑名單。如圖5所示，分離移動(dòng)終端惡意軟件惡意行為流量的具體過(guò)程為:
[0110]步驟161，讀取采集到的網(wǎng)絡(luò)流量數(shù)據(jù)，將具有相同五元組內(nèi)容的數(shù)據(jù)包作為一個(gè)網(wǎng)絡(luò)數(shù)據(jù)流。
[0111]步驟162，以建立的惡意列表為依據(jù)，依次對(duì)每一個(gè)網(wǎng)絡(luò)數(shù)據(jù)流中的HTTP數(shù)據(jù)包的HOST字段做檢查。
[0112]步驟163，若HOST字段存在于惡意列表中，則保存該HTTP數(shù)據(jù)包所在的網(wǎng)絡(luò)數(shù)據(jù)流并標(biāo)記為惡意的網(wǎng)絡(luò)數(shù)據(jù)流，返回到步驟162，檢查下一個(gè)網(wǎng)絡(luò)數(shù)據(jù)流。
[0113]步驟164，若HOST字段域名在惡意列表中不存在，則忽略該數(shù)據(jù)流，返回步驟162，直到檢查完所有的網(wǎng)絡(luò)數(shù)據(jù)流；
[0114]其中，五元組包括具有相同的源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)和協(xié)議號(hào)。
[0115]為了從采集到的網(wǎng)絡(luò)流量數(shù)據(jù)中提取出純的惡意流量，本發(fā)明采用了一種基于網(wǎng)絡(luò)數(shù)據(jù)流的方式從混合流量中將惡意的網(wǎng)絡(luò)數(shù)據(jù)流提取出來(lái)，所以，首先需要對(duì)采集到的網(wǎng)絡(luò)流量數(shù)據(jù)按照五元組特征提取出網(wǎng)絡(luò)數(shù)據(jù)流；然后，對(duì)于每一段網(wǎng)絡(luò)數(shù)據(jù)流，從中提取出HTTP數(shù)據(jù)包的HOST字段，將該HO