本发明公开了一种识别木马病毒的方法及装置,包括:采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据;对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。
一种识别木马病毒的方法及装置
技术领域
[0001] 本发明涉及移动通信领域,尤其涉及一种通过网络上的用户行为识别手机木马病毒的方法及装置。
背景技术
[0002] 随着移动互联网的发展,移动终端特别是智能终端的普及,手机病毒或者手机恶意程序即将甚至已经造成很多危害。在所有病毒种类中,以消耗资费、窃取用户身份信息、交易信息、支付信息为目的的木马类病毒占比超过75%,成为影响用户信息安全、经济安全的最重要方面。
[0003] 手机病毒起源于计算机病毒。沿用计算机木马的定义,手机木马可以定义为:木马是有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对手机产生危害,而是以控制为主。
[0004] 目前,木马病毒的发现和处理主要是通过移动终端主动安装安全类应用(App)如QQ安全卫士、360安全卫士、金山卫士等完成,同时需要移动终端用户对移动支付、网页浏览等联网应用树立防范意识。
[0005] 由于中老年用户群、女性用户群等广大用户群体的相关防范意识和主动性较弱,基于现有方案,手机木马较难进行遏制。手机木马造成的危害也与日俱增。
[0006] 此外,因为手机木马程序都带有明显的趋利性,危害更大。主要危害有以下几种:
[0007] 1、通过发送垃圾短信,推送广告。
[0008] 2、窃取用户信息,进行敲诈欺骗。
[0009] 3、非法定制各种服务提供商(sp,service provider)服务。
[0010] 4、利用各种陷阱吸费。
[0011] 在手机用户无法进行主动防御、查杀木马的情况下,木马病毒涉及的另一主体——运营商也会受到较大影响。由手机木马造成的吸费、消耗流量等危害一般会通过用户的投诉、离网间接对运营商造成不良影响。若运营商无法及时查明原因,就需要对用户关于资费损失的投诉进行补偿处理,造成经济和品牌满意度损失。针对此类问题,现有方案较难解决。
发明内容
[0012] 为解决上述技术问题,本发明实施例提供了一种识别木马病毒的方法及装置。
[0013] 本发明实施例提供的识别木马病毒的方法,包括:
[0014] 采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据;
[0015] 对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;
[0016] 判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;
[0017] 判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;
[0018] 对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。
[0019] 本发明实施例中,所述判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中,包括:
[0020] 判断所述业务数据对应的业务信息是否属于白名单库;
[0021] 当判定出所述业务数据对应的业务信息属于白名单库时,不作处理;
[0022] 当判定出所述业务数据对应的业务信息不属于白名单库时,判断所述业务数据对应的业务信息是否属于黑名单库;
[0023] 当判定出所述业务数据对应的业务信息属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中。
[0024] 本发明实施例中,所述筛选策略,包括:第一筛选规则、第二筛选规则、第三筛选规则;其中,
[0025] 所述第一筛选规则是指:根据所述信令数据和所述业务数据,确定出联网行为和业务行为的时间差;根据所述时间差,判断联网后是否立即产生流量;是时,则所述业务数据满足筛选策略;
[0026] 所述第二筛选规则是指:根据所述业务数据,确定出上传事件和下载事件;判断产生上传事件后是否紧接着产生下载事件;是时,则所述业务数据满足筛选策略;
[0027] 所述第三筛选规则是指:判断所述业务数据是否属于疑似感染木马用户名单,所述疑似感染木马用户名单由所述疑似感染木马用户组成;是时,则所述业务数据满足筛选策略。
[0028] 本发明实施例中,所述对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库,包括:
[0029] 对所述疑似木马行为事件表中的业务数据,进行周期性或非周期性的进行集中性分析,以判断所述疑似木马行为事件表中的业务数据是否收敛;
[0030] 对于收敛的业务数据,根据获得的验证操作进一步判断所述业务数据是否属于木马;
[0031] 当判定出所述业务数据属于木马时,将所述属于木马的业务数据的业务信息添加至所述黑名单库。
[0032] 本发明实施例中,所述方法还包括:
[0033] 当判定出所述业务数据属于木马时,将所述属于木马的业务数据的相关用户添加至所述疑似感染木马用户名单;
[0034] 当判定出所述业务数据不属于木马时,将所述不属于木马的业务数据的业务信息添加至所述白名单库。
[0035] 本发明实施例中,所述对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户,包括:
[0036] 对历史周期业务数据分别进行流量习惯分析、业务习惯分析以及时间习惯分析,得到历史分析结果;
[0037] 根据当前周期业务数据,得到基于流量、业务以及时间的与历史周期业务数据相关的数据,作为当前分析结果;
[0038] 将所述当前分析结果与所述历史分析结果进行比对,当所述当前分析结果与所述历史分析结果不符时,将所述当前分析结果与所述计费数据进行比对,当所述当前分析结果与所述计费数据不符时,则识别出疑似感染木马用户。
[0039] 本发明实施例提供的识别木马病毒的装置,包括:
[0040] 数据模块,用于采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据;
[0041] 周期行为分群模块,用于对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;
[0042] 实时行为筛选模块,用于判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。
[0043] 本发明实施例中,所述实时行为筛选模块包括:
[0044] 白名单判断模块,用于判断所述业务数据对应的业务信息是否属于白名单库;当判定出所述业务数据对应的业务信息属于白名单库时,不作处理;
[0045] 黑名单判断模块,用于当判定出所述业务数据对应的业务信息不属于白名 单库时,判断所述业务数据对应的业务信息是否属于黑名单库;当判定出所述业务数据对应的业务信息属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中。
[0046] 本发明实施例中,所述实时行为筛选模块包括:
[0047] 筛选策略模块,用于判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;
[0048] 其中,所述筛选策略,包括:第一筛选规则、第二筛选规则、第三筛选规则;其中,[0049] 所述第一筛选规则是指:根据所述信令数据和所述业务数据,确定出联网行为和业务行为的时间差;根据所述时间差,判断联网后是否立即产生流量;是时,则所述业务数据满足筛选策略;
[0050] 所述第二筛选规则是指:根据所述业务数据,确定出上传事件和下载事件;判断产生上传事件后是否紧接着产生下载事件;是时,则所述业务数据满足筛选策略;
[0051] 所述第三筛选规则是指:判断所述业务数据是否属于疑似感染木马用户名单,所述疑似感染木马用户名单由所述疑似感染木马用户组成;是时,则所述业务数据满足筛选策略。
[0052] 本发明实施例中,所述实时行为筛选模块包括:
[0053] 集中性分析模块,用于对所述疑似木马行为事件表中的业务数据,进行周期性或非周期性的进行集中性分析,以判断所述疑似木马行为事件表中的业务数据是否收敛;对于收敛的业务数据,根据获得的验证操作进一步判断所述业务数据是否属于木马;当判定出所述业务数据属于木马时,将所述属于木马的业务数据的业务信息添加至所述黑名单库。
[0054] 本发明实施例中,所述集中性分析模块,还用于当判定出所述业务数据属于木马时,将所述属于木马的业务数据的相关用户添加至所述疑似感染木马用 户名单;当判定出所述业务数据不属于木马时,将所述不属于木马的业务数据的业务信息添加至所述白名单库。
[0055] 本发明实施例中,所述周期行为分群模块包括:
[0056] 历史习惯分析模块,用于对历史周期业务数据分别进行流量习惯分析、业务习惯分析以及时间习惯分析,得到历史分析结果;
[0057] 周期行为分析模块,用于根据当前周期业务数据,得到基于流量、业务以及时间的与历史周期业务数据相关的数据,作为当前分析结果;
[0058] 比对模块,用于将所述当前分析结果与所述历史分析结果进行比对,当所述当前分析结果与所述历史分析结果不符时,将所述当前分析结果与所述计费数据进行比对,当所述当前分析结果与所述计费数据不符时,则识别出疑似感染木马用户。
[0059] 本发明实施例的技术方案中,采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据;对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。可见,本发明实施例通过在网络中对用户的行为进行监测识别出用户是否感染了木马病毒。为安全意识薄弱的中老年、女性群体提供了重要的安全保护措施,保障了用户信息的安全。此外,对运营商使用大数据、提升用户感知、维护网络安全环境也具有重要意义。
附图说明
[0060] 图1为本发明实施例的识别木马病毒的方法的流程示意图;
[0061] 图2为2/3/G和LTE等网络的核心网接口示意图;
[0062] 图3为本发明实施例的识别木马病毒的装置的结构组成示意图,如图3所示;
[0063] 图4为本发明实施例的识别木马病毒的装置中各个模块的流程交互示意图;
[0064] 图5为本发明实施例的识别木马病毒的装置中各个模块关系示意图。
具体实施方式
[0065] 为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
[0066] 本发明实施例的技术方案主要基于移动通信网络中采集的用户业务行为数据、计费系统数据、用户套餐数据等信息,通过用户的行为识别其手机是否受到木马病毒的侵袭。
[0067] 图1为本发明实施例的识别木马病毒的方法的流程示意图,如图1所示,所述识别木马病毒的方法包括以下步骤:
[0068] 步骤101:采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据。
[0069] 本发明实施例中,基于核心网接口的数据采集系统进行数据的采集。如图2所示,图2为2/3/G和LTE等网络的核心网接口示意图。这里,针对核心网接口,在通用分组无线服务(GPRS,General Packet Radio Service)、时分同步码分多址(TD-SCDMA,Time Division-Synchronous Code Division Multiple Access)、宽带码分多址(WCDMA,Wideband Code Division Multiple Access)、时分双工LTE(TDD-LTE)、频分双工LTE(FDD-LTE)网络中都是适用的。
[0070] 步骤102:对所述周期业务数据进行历史习惯分析和周期行为分析,并结 合所述计费数据识别出疑似感染木马用户。
[0071] 具体地,对历史周期业务数据分别进行流量习惯分析、业务习惯分析以及时间习惯分析,得到历史分析结果;
[0072] 根据当前周期业务数据,得到基于流量、业务以及时间的与历史周期业务数据相关的数据,作为当前分析结果;
[0073] 将所述当前分析结果与所述历史分析结果进行比对,当所述当前分析结果与所述历史分析结果不符时,将所述当前分析结果与所述计费数据进行比对,当所述当前分析结果与所述计费数据不符时,则识别出疑似感染木马用户。
[0074] 步骤103:判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中。
[0075] 具体地,判断所述业务数据对应的业务信息是否属于白名单库;
[0076] 当判定出所述业务数据对应的业务信息属于白名单库时,不作处理;
[0077] 当判定出所述业务数据对应的业务信息不属于白名单库时,判断所述业务数据对应的业务信息是否属于黑名单库;
[0078] 当判定出所述业务数据对应的业务信息属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中。
[0079] 步骤104:判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关。
[0080] 所述筛选策略,包括:第一筛选规则、第二筛选规则、第三筛选规则;其中,[0081] 所述第一筛选规则是指:根据所述信令数据和所述业务数据,确定出联网行为和业务行为的时间差;根据所述时间差,判断联网后是否立即产生流量;是时,则所述业务数据满足筛选策略;
[0082] 所述第二筛选规则是指:根据所述业务数据,确定出上传事件和下载事件;判断产生上传事件后是否紧接着产生下载事件;是时,则所述业务数据满足筛 选策略;
[0083] 所述第三筛选规则是指:判断所述业务数据是否属于疑似感染木马用户名单,所述疑似感染木马用户名单由所述疑似感染木马用户组成;是时,则所述业务数据满足筛选策略。
[0084] 步骤105:对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。
[0085] 具体地,对所述疑似木马行为事件表中的业务数据,进行周期性或非周期性的进行集中性分析,以判断所述疑似木马行为事件表中的业务数据是否收敛;
[0086] 对于收敛的业务数据,根据获得的验证操作进一步判断所述业务数据是否属于木马;
[0087] 当判定出所述业务数据属于木马时,将所述属于木马的业务数据的业务信息添加至所述黑名单库。
[0088] 本发明实施例中,当判定出所述业务数据属于木马时,将所述属于木马的业务数据的相关用户添加至所述疑似感染木马用户名单;
[0089] 当判定出所述业务数据不属于木马时,将所述不属于木马的业务数据的业务信息添加至所述白名单库。
[0090] 图3为本发明实施例的识别木马病毒的装置的结构组成示意图,如图3所示,所述装置包括:
[0091] 数据模块31,用于采集核心网数据和计费数据,所述核心网数据包括信令数据和业务数据,对所述业务数据进行周期性统计,得到周期业务数据;
[0092] 周期行为分群模块32,用于对所述周期业务数据进行历史习惯分析和周期行为分析,并结合所述计费数据识别出疑似感染木马用户;
[0093] 实时行为筛选模块33,用于判定出所述业务数据对应的业务信息不属于白名单库且属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中;判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑 似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;对所述疑似木马行为事件表中的业务数据进行集中性分析,确定出属于木马的业务数据,并将所述属于木马的业务数据的业务信息添加至所述黑名单库。
[0094] 所述实时行为筛选模块33包括:
[0095] 白名单判断模块331,用于判断所述业务数据对应的业务信息是否属于白名单库;当判定出所述业务数据对应的业务信息属于白名单库时,不作处理;
[0096] 黑名单判断模块332,用于当判定出所述业务数据对应的业务信息不属于白名单库时,判断所述业务数据对应的业务信息是否属于黑名单库;当判定出所述业务数据对应的业务信息属于黑名单库时,将所述业务数据添加至疑似木马行为事件表中。
[0097] 所述实时行为筛选模块33包括:
[0098] 筛选策略模块333,用于判定出所述业务数据对应的业务信息不属于白名单库且不属于黑名单库时,按照筛选策略对所述业务数据进行过滤,将满足所述筛选策略的业务数据添加至疑似木马行为事件表中;所述筛选策略与所述信令数据和所述疑似感染木马用户相关;
[0099] 其中,所述筛选策略,包括:第一筛选规则、第二筛选规则、第三筛选规则;其中,[0100] 所述第一筛选规则是指:根据所述信令数据和所述业务数据,确定出联网行为和业务行为的时间差;根据所述时间差,判断联网后是否立即产生流量;是时,则所述业务数据满足筛选策略;
[0101] 所述第二筛选规则是指:根据所述业务数据,确定出上传事件和下载事件;判断产生上传事件后是否紧接着产生下载事件;是时,则所述业务数据满足筛选策略;
[0102] 所述第三筛选规则是指:判断所述业务数据是否属于疑似感染木马用户名单,所述疑似感染木马用户名单由所述疑似感染木马用户组成;是时,则所述业务数据满足筛选策略。
[0103] 所述实时行为筛选模块33包括:
[0104] 集中性分析模块334,用于对所述疑似木马行为事件表中的业务数据,进行周期性或非周期性的进行集中性分析,以判断所述疑似木马行为事件表中的业务数据是否收敛;对于收敛的业务数据,根据获得的验证操作进一步判断所述业务数据是否属于木马;当判定出所述业务数据属于木马时,将所述属于木马的业务数据的业务信息添加至所述黑名单库。
[0105] 所述集中性分析模块334,还用于当判定出所述业务数据属于木马时,将所述属于木马的业务数据的相关用户添加至所述疑似感染木马用户名单;当判定出所述业务数据不属于木马时,将所述不属于木马的业务数据的业务信息添加至所述白名单库。
[0106] 所述周期行为分群模块32包括:
[0107] 历史习惯分析模块321,用于对历史周期业务数据分别进行流量习惯分析、业务习惯分析以及时间习惯分析,得到历史分析结果;
[0108] 周期行为分析模块322,用于根据当前周期业务数据,得到基于流量、业务以及时间的与历史周期业务数据相关的数据,作为当前分析结果;
[0109] 比对模块323,用于将所述当前分析结果与所述历史分析结果进行比对,当所述当前分析结果与所述历史分析结果不符时,将所述当前分析结果与所述计费数据进行比对,当所述当前分析结果与所述计费数据不符时,则识别出疑似感染木马用户。
[0110] 图4为本发明实施例的识别木马病毒的装置中各个模块的流程交互示意图,如图4所示:
[0111] 1)、数据模块
[0112] 该模块主要提供方案所需的数据,主要分为核心网采集系统数据和计费系统数据两部分。
[0113] 而核心网采集系统的数据又分为信令数据和业务数据两类。
[0114] 信令数据指的是2/3G的用户建立分组数据协议(PDP,Packet Data Protocol)上下文,与4G的附着(Attach)、承载建立等过程,主要体现了用户连接网络 的行为和时间。
[0115] 业务数据指的是用户访问了哪些网站、产生的流量是多少、业务的持续时间多长等数据,主要体现了用户使用业务的行为和时间。
[0116] 在业务数据的基础上,通过划定周期进行统计,可以得到用户的业务数据的周期性统计,即周期业务数据,主要体现了用户的周期性业务行为。
[0117] 计费系统数据主要提供用户的套餐情况,特别是数据业务套餐的订购、变更情况等。
[0118] 2)实时行为筛选模块
[0119] 该模块主要是基于实时数据,完成准实时的疑似木马记录的筛选和周期性的疑似木马记录的集中性分析工作。
[0120] 该模块的主要流程描述如下。
[0121] 实时的用户的业务数据输入之后,由白名单判断模块根据此次业务行为的业务名称、目的IP等信息,与白名单库进行比对,判断该次业务的业务名称、目的IP是否正常。
[0122] 若是该次业务的业务名称、目的IP属于白名单库,则不做任何处理继续下一条记录的处理工作。
[0123] 若是该次业务的业务名称、目的IP不属于白名单库,则进入黑名单判断模块进行比对工作。需要完成该次业务的业务名称、目的IP是否属于黑名单库的判断操作。
[0124] 若是该次业务的业务名称、目的IP属于黑名单库,则把该条记录添加至疑似木马行为事件表中,留待后续的集中性分析工作。
[0125] 若是该次业务的业务名称、目的IP不属于黑名单库,则需通过筛选策略完成过滤工作,把满足筛选策略的记录添加至疑似木马行为事件表中。
[0126] 筛选策略是基于手机收到木马类病毒侵袭后产生的行为而定义的,现在主要有以下三点。
[0127] 第一筛选规则:联网即产生流量。主要是很多木马病毒通过控制(或者监测)受侵袭手机进行联网的行为,并接着上传窃取的数据或下载更多的病毒插 件操作的情况设计。主要通过用户的联网行为和业务行为的时间差进行筛选。时间差的设定可以通过经验或者统计得到。根据经验用时间差为500~1000ms,需要短于用户的操作时间。统计用时间差通过分析该值的分布范围得到,一般通过十分位数得到。
[0128] 第二筛选规则:产生上传行为后紧跟着下载行为。这也是根据很多木马病毒的行为定义的。很多木马病毒不仅会手机用户的隐私信息,还会自动更新、自动下载更多恶意程序,且一般顺序是先上传再下载。该规则通过用户的业务行为数据进行判断,通过HTTP POST/GET信息、上下行包大小比例来判断上传和下载行为。
[0129] 第三筛选规则:用户属于疑似感染木马用户名单。疑似感染木马用户名单通过周期行为分析模块,即第三个主要模块产生。
[0130] 这些筛选规则对单条或多条记录产生作用,把满足规则的单条或多条记录添加至疑似木马行为事件表。
[0131] 基于疑似木马行为事件数据,可以通过周期或不定期(满足一定记录量)的进行集中性分析,分析这些记录在业务名称、目的IP方面的收敛情况。
[0132] 若是发现具有集中性的业务名称或目的IP,则接着进行手动验证操作,以便确认是否与木马有关。经过前面的一些流程,需要手动确认的工作量并不大,一般在100个/天这样的数量级。
[0133] 最后,把经过手动确认,属于木马业务、目的IP的添加入黑名单库,相关的用户添加入疑似感染木马用户名单;把与木马无关的业务名称、目的IP添加入白名单库。从而,完成该模块的一次循环。
[0134] 3)周期行为分群模块
[0135] 该模块主要通过对周期业务数据进行历史习惯分析、周期行为分析、以及两者之间的比对等操作,完成对疑似感染木马用户的识别和输出任务。
[0136] 历史习惯分析模块:主要通过历史周期业务数据(与当前周期进行区分),通过流量、业务、时间等三个方面的上网习惯进行分析。这些习惯均来自于木马病毒侵袭用户手机后,产生用户行为变化的几个方面。
[0137] 1>流量习惯:指的是用户在分析周期中的上、下行流量的平均值、标准差、变异系数等统计指标,体现了用户使用流量的高低、流量变化幅度的大小等习惯。可以基于该习惯把用户分为稳定型高流量用户、稳定性低流量用户、波动性流量用户等。该分析角度来自于木马病毒对用户流量的影响方面。
[0138] 2>业务习惯:指的是用户在分析周期中流量较高的TOPN业务的名称和排序情况,一般选用10个业务作为考察对象。也可以根据正常用户的业务个数的分布情况来确定具体使用几个业务作为考察对象。该分析过程的数据组织形式是向量,并通过向量间的重心、距离来表现用户的业务稳定性。可以把用户分成稳定型、波动型两种。该分析角度来自于广告类、自动下载类木马病毒对用户的影响。
[0139] 3>时间习惯:指的是用户上网时间的分布情况。一般通过把一个周期内的时间按工作日/非工作日、业务忙时/业务闲时、按相同的时间间隔等方式进行分组,从而把连续的时间变量变为离散变量。在此基础上,统计用户的流量、时长等指标的平均值、标准差、变异系数等指标,得出用户的时间习惯。该分析角度来自于窃取隐私类、广告类、自动下载类木马进行或者定时,或者非常随机的上网控制对用户的影响。
[0140] 周期行为分析模块:该模块主要是获得当前周期的数据,得出流量、业务、时间等维度与历史习惯分析模块相关的数据结构。
[0141] 比对模块:主要进行当前周期行为与习惯的比对,当前周期异于习惯时与套餐变化情况的比对两方面的工作。
[0142] 1>当前周期行为与习惯的比对:通过当前周期数据与习惯数据的比对,发现用户当前周期的行为是否发生变化、变化幅度、变化时间点等情况和数据。
[0143] 2>当前周期异于习惯时与套餐的比对:在用户当前周期行为与习惯不符时,通过用户套餐特别是数据业务套餐在当前周期所属自然月的变化情况来进行检验。若套餐也发生了与用户业务行为相似的变化,如用户流量突增且流量套餐也相应增大,则认为用户的行为异常是由套餐引起,故不做处理。若套餐没有变化或与用户行为变化不符,则把该用户添加至疑似感染木马用户名单,供实 时行为筛选模块使用。
[0144] 图5为本发明实施例的识别木马病毒的装置中各个模块关系示意图,如图5所示:1、2表示:提供数据。3表示:提供疑似感染木马用户名单,即疑似感染木马用户名单。
[0145] 本发明实施例中涉及到的文件的具体内容如下:
[0146] 白名单库:业务名称和目的IP的集合,集合内的代表与木马病毒无关。
[0147] 黑名单库:业务名称和目的IP的集合,集合内的代表与木马病毒有关,是木马病毒的分发站点、控制IP、受感染的应用、赚取点击率的广告发布站点等。
[0148] 疑似感染木马用户名单:较大概率受到木马病毒侵袭的用户名单,可以用于客户服务、业务支撑等部门,进行客户服务、业务封堵等工作时参考使用。
[0149] 感染木马用户名单:确认受到木马病毒侵袭的用户名单。可以支持主动关怀、网络管理、业务管理、网络优化等工作。
[0150] 本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
[0151] 在本发明所提供的几个实施例中,应该理解到,所揭露的方法和智能设备,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
[0152] 上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
[0153] 另外,在本发明各实施例中的各功能单元可以全部集成在一个第二处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬 件加软件功能单元的形式实现。
[0154] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
