主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種針對(duì)移動(dòng)終端惡意軟件的主動(dòng)式網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法，尤其涉及大規(guī)模移動(dòng)終端惡意軟件的網(wǎng)絡(luò)流量數(shù)據(jù)集的主動(dòng)式和自動(dòng)化采集方法。
【背景技術(shù)】
[0002]正常的移動(dòng)終端應(yīng)用軟件(程序)被加入惡意代碼之后便成為了移動(dòng)終端惡意軟件(應(yīng)用程序)。蔣旭憲等人在對(duì)收集到的1260個(gè)Android惡意應(yīng)用程序統(tǒng)計(jì)之后發(fā)現(xiàn)，86%的惡意應(yīng)用程序是正常應(yīng)用程序被修改源文件后重新打包后生成的，超過(guò)90%的惡意應(yīng)用程序會(huì)與遠(yuǎn)程控制服務(wù)器或者惡意應(yīng)用服務(wù)器之間建立網(wǎng)絡(luò)連接。這一統(tǒng)計(jì)發(fā)現(xiàn)一方面說(shuō)明大部分的Android惡意應(yīng)用程序會(huì)與遠(yuǎn)程控制服務(wù)器或者惡意應(yīng)用服務(wù)器之間進(jìn)行網(wǎng)絡(luò)通信，從而產(chǎn)生網(wǎng)絡(luò)流量；另一方面也說(shuō)明惡意應(yīng)用程序產(chǎn)生的網(wǎng)絡(luò)流量是一種包含了正常應(yīng)用流量與惡意行為流量的混合流量。為了獲取移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集，需要對(duì)所采集的混合網(wǎng)絡(luò)流量進(jìn)行分離，從而得到只包含有惡意應(yīng)用程序與遠(yuǎn)程控制服務(wù)器或者惡意應(yīng)用服務(wù)器之間的惡意行為流量。
[0003]網(wǎng)絡(luò)測(cè)量的分類(lèi)標(biāo)準(zhǔn)有多種，根據(jù)測(cè)量的方式，分為主動(dòng)測(cè)量和被動(dòng)測(cè)量。主動(dòng)測(cè)量是指由測(cè)量用戶(hù)主動(dòng)發(fā)起測(cè)量，將探測(cè)分組注入網(wǎng)絡(luò)，根據(jù)測(cè)量數(shù)據(jù)流的傳送情況來(lái)分析網(wǎng)絡(luò)的性能。被動(dòng)測(cè)量則通過(guò)在網(wǎng)絡(luò)中的鏈路或設(shè)備(如路由器、交換機(jī)等)上借助包捕獲數(shù)據(jù)的方式來(lái)記錄網(wǎng)絡(luò)流量，分析流量，獲知網(wǎng)絡(luò)的性能狀況。
[0004]網(wǎng)絡(luò)服務(wù)提供商由于具備面向大規(guī)模用戶(hù)的網(wǎng)絡(luò)接入能力，能夠在網(wǎng)絡(luò)核心節(jié)點(diǎn)部署流量采集設(shè)備，可以采用被動(dòng)式測(cè)量方法獲取到大規(guī)模移動(dòng)終端用戶(hù)的網(wǎng)絡(luò)流量，現(xiàn)有的移動(dòng)終端網(wǎng)絡(luò)流量數(shù)據(jù)集也大多來(lái)自于網(wǎng)絡(luò)服務(wù)提供商。但是網(wǎng)絡(luò)服務(wù)提供商所采集獲取的移動(dòng)終端網(wǎng)絡(luò)流量存在以下幾方面的問(wèn)題:(I)這種來(lái)自網(wǎng)絡(luò)服務(wù)提供商的移動(dòng)終端網(wǎng)絡(luò)流量數(shù)據(jù)中既包含了移動(dòng)終端惡意應(yīng)用程序所產(chǎn)生的流量，也包含了正常應(yīng)用程序所產(chǎn)生的流量，是一種正常應(yīng)用和惡意應(yīng)用所產(chǎn)生的混合流量，而移動(dòng)智能終端惡意軟件行為分析迫切需要分離出純的惡意應(yīng)用程序網(wǎng)絡(luò)行為流量；(2)限于隱私保護(hù)和商業(yè)機(jī)密等約束，網(wǎng)絡(luò)服務(wù)提供商所采集的移動(dòng)終端用戶(hù)網(wǎng)絡(luò)流量數(shù)據(jù)集中只能對(duì)外提供經(jīng)過(guò)隱私處理、應(yīng)用層信息被過(guò)濾的流量數(shù)據(jù)，而移動(dòng)智能終端惡意軟件行為分析需要完整的流量信息以便進(jìn)行更全面的分析；(3)網(wǎng)絡(luò)服務(wù)提供商基于被動(dòng)式的流量采集方法獲取網(wǎng)絡(luò)流量數(shù)據(jù)，需要從海量的混合流量數(shù)據(jù)中提取分離惡意行為流量，存儲(chǔ)計(jì)算開(kāi)銷(xiāo)相當(dāng)大，難于在較短的時(shí)間內(nèi)獲取足夠的惡意應(yīng)用程序流量數(shù)據(jù)。
[0005]基于以上現(xiàn)狀，進(jìn)行移動(dòng)終端惡意軟件網(wǎng)絡(luò)行為分析迫切需要一種主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法，該方法能滿(mǎn)足以下幾點(diǎn)基本要求:(I)能夠在較短的時(shí)間內(nèi)盡可能多地采集到移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)；(2)所獲取的網(wǎng)絡(luò)流量數(shù)據(jù)集可以有效分離和提取，最終得到只包含惡意軟件所產(chǎn)生的純惡意行為流量；(3)所采集到的惡意行為網(wǎng)絡(luò)流量數(shù)據(jù)應(yīng)包含完整的網(wǎng)絡(luò)數(shù)據(jù)信息，即包括源MAC地址，源IP地址，目的MAC地址，目的IP地址，源端口，目的端口，協(xié)議類(lèi)型，持續(xù)時(shí)間等，尤其是應(yīng)當(dāng)包含應(yīng)用層的信息，包括DNS，HTTP以及HTTPS等應(yīng)用層協(xié)議信息。同時(shí)，對(duì)于路由信息、廣播信息等冗余流量應(yīng)當(dāng)盡可能少的出現(xiàn)在采集的網(wǎng)絡(luò)流量數(shù)據(jù)中。

【發(fā)明內(nèi)容】

[0006]為解決現(xiàn)有技術(shù)存在的不足，本發(fā)明公開(kāi)了主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)，本發(fā)明針對(duì)大規(guī)模移動(dòng)終端惡意應(yīng)用程序，采用一套自動(dòng)化的移動(dòng)終端惡意網(wǎng)絡(luò)流量采集程序，在該程序的控制下不需要人工操作即可完成大規(guī)模移動(dòng)終端惡意應(yīng)用程序的網(wǎng)絡(luò)流量的采集。最后，根據(jù)采集的網(wǎng)絡(luò)數(shù)據(jù)流量采用一種基于流的分離方法將惡意行為流量從混合流量分離出來(lái)。
[0007]為實(shí)現(xiàn)上述目的，本發(fā)明的具體方案如下:
[0008]主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法，包括以下步驟:
[0009]對(duì)移動(dòng)終端惡意軟件進(jìn)行反編譯，反編譯后得到與惡意軟件相對(duì)應(yīng)的配置文件；
[0010]從與惡意軟件相對(duì)應(yīng)的配置文件中提取移動(dòng)終端惡意軟件自動(dòng)安裝和運(yùn)行所需要的參數(shù)；
[0011]根據(jù)提取的移動(dòng)終端惡意軟件自動(dòng)安裝和運(yùn)行所需要的參數(shù)進(jìn)行移動(dòng)終端惡意軟件的自動(dòng)安裝；
[0012]利用激活優(yōu)先機(jī)制實(shí)現(xiàn)對(duì)移動(dòng)終端惡意軟件激活與運(yùn)行，移動(dòng)終端惡意軟件激活與運(yùn)行后獲取移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量；
[0013]根據(jù)獲取的移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量信息建立移動(dòng)終端惡意目標(biāo)列表；
[0014]根據(jù)建立的移動(dòng)終端惡意目標(biāo)列表分離出移動(dòng)終端惡意軟件與遠(yuǎn)程控制服務(wù)器之間或惡意服務(wù)器之間所產(chǎn)生的惡意交互流量。
[0015]進(jìn)一步的，在對(duì)移動(dòng)終端惡意軟件進(jìn)行反編譯時(shí)，對(duì)大規(guī)模惡意軟件的原文件，通過(guò)自動(dòng)化腳本程序來(lái)控制執(zhí)行反編譯工具得到所有惡意軟件反編譯后的文件，在每個(gè)惡意軟件樣本反編譯后的文件中，均有一個(gè)對(duì)應(yīng)的配置文件。
[0016]進(jìn)一步的，在提取移動(dòng)終端惡意軟件自動(dòng)安裝和運(yùn)行所需要的參數(shù)時(shí)，若反編譯成功，從配置文件中提取出該惡意軟件的包名和主activity名，作為移動(dòng)終端惡意軟件自動(dòng)安裝和運(yùn)行程序所需要的參數(shù)，對(duì)于反編譯失敗的惡意軟件，則重新選擇新的反編譯工具，直到反編譯成功。
[0017]進(jìn)一步的，在移動(dòng)終端惡意軟件的自動(dòng)安裝時(shí)，將所有惡意軟件的包名寫(xiě)入文本文件，每一行的內(nèi)容為一個(gè)app的包名，調(diào)試命令每次調(diào)用文本文件中一行，完成對(duì)一個(gè)惡意軟件的自動(dòng)化安裝，調(diào)試命令循環(huán)調(diào)用文本文件的每一行，依次實(shí)現(xiàn)對(duì)所有惡意軟件的安裝。
[0018]進(jìn)一步的，激活優(yōu)先機(jī)制即移動(dòng)終端操作系統(tǒng)重啟 > 系統(tǒng)事件 > 電池電量狀態(tài)>收發(fā)短信 > 網(wǎng)絡(luò)狀態(tài)改變>USB接入 > 接打電話(huà)，若重啟終端操作系統(tǒng)能夠產(chǎn)生有效流量，則表明該惡意軟件已被激活并運(yùn)行，反之，則繼續(xù)使用下一級(jí)別“系統(tǒng)事件”激活方式對(duì)惡意軟件進(jìn)行激活，按照激活優(yōu)先機(jī)制的激活方式直到能夠采集到有效網(wǎng)絡(luò)流量為止。
[0019]進(jìn)一步的，移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量獲取時(shí)，在移動(dòng)終端接入網(wǎng)絡(luò)的路由器節(jié)點(diǎn)部署鏡像端口，通過(guò)鏡像端口可以把所有上、下行的移動(dòng)終端網(wǎng)絡(luò)流量鏡像到數(shù)據(jù)存儲(chǔ)服務(wù)器上。
[0020]進(jìn)一步的，移動(dòng)終端惡意目標(biāo)列表建立時(shí)，在數(shù)據(jù)存儲(chǔ)服務(wù)器上，保存了移動(dòng)終端惡意軟件產(chǎn)生的所有網(wǎng)絡(luò)交互流量，通過(guò)解析流量數(shù)據(jù)的DNS信息，可以得到關(guān)于惡意軟件所有的DNS請(qǐng)求的目標(biāo)域名，再將這些目標(biāo)域名依次作惡意域名檢測(cè)，若是惡意目標(biāo)，則將該域名加入黑名單列表即移動(dòng)終端惡意目標(biāo)列表。
[0021]進(jìn)一步的，移動(dòng)終端惡意軟件惡意行為流量分離時(shí)，基于建立好的黑名單列表，根據(jù)流的五元組構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)流，然后在數(shù)據(jù)流中的HTTP數(shù)據(jù)包中提取相應(yīng)的HOST字段(HOST字段是一段域名字符串)，若該字段存在于建立的黑名單列表中，則認(rèn)為該數(shù)據(jù)流為惡意軟件網(wǎng)絡(luò)行為流量，提取并保存，反之則忽略掉該數(shù)據(jù)流，依次完成所采集到的所有數(shù)據(jù)流，最終分離出移動(dòng)終端惡意軟件與遠(yuǎn)程控制服務(wù)器之間或惡意服務(wù)器之間所產(chǎn)生的惡意交互流量，其中，五元組即具有相同的源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議號(hào)。
[0022]為了實(shí)施上述主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法，本發(fā)明還公開(kāi)了主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取系統(tǒng)，包括:
[0023]移動(dòng)終端惡意軟件流量產(chǎn)生裝置，用于實(shí)現(xiàn)移動(dòng)終端惡意軟件的流量產(chǎn)生；
[0024]流量收集裝置，用于收集由移動(dòng)終端惡意軟件流量生成裝置產(chǎn)生的流量，在具有流量鏡像功能的網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備上配置了鏡像端口，移動(dòng)終端惡意軟件產(chǎn)生的所有上、下行流量都被鏡像至數(shù)據(jù)存儲(chǔ)服務(wù)器。
[0025]流量分離裝置，將正常的網(wǎng)絡(luò)流量與惡意的網(wǎng)絡(luò)流量分離，在采集到流量數(shù)據(jù)之后需要進(jìn)行過(guò)濾，將惡意的網(wǎng)絡(luò)流量數(shù)據(jù)從混合流量中提取出來(lái)；
[0026]代理防火墻保護(hù)裝置，數(shù)據(jù)