[发明专利]一种手机蠕虫检测方法

权利要求书

1.一种手机蠕虫检测方法，包括以下步骤：

步骤1)在短信网关上提取含有URL的短信信息，所述短信信息包括发送短信的手机号码、接收短信的手机号码、短信中所包含的URL；

步骤2)对在步骤1)所提取的短信信息的集合中每个发送短信的手机号码统计其重复出现的次数，并且选出该次数大于第一阈值的手机号码发送的短信信息；

步骤3)对在步骤2)所选出的短信信息的集合中每个接收短信的手机号码统计其重复出现在该集合中发送短信的手机号码中的次数，并且选出该次数大于第二阈值的手机号码接收的短信信息；

步骤4)对步骤3)所选出的短信信息的集合中每个URL统计其重复出现的次数，将该次数大于第三阈值的URL标记为可疑的手机蠕虫。

2.根据权利要求1所述的手机蠕虫检测方法，其中所述第一阈值和第二阈值为200至300之间的自然数。

3.根据权利要求1所述的手机蠕虫检测方法，其中所述第三阈值为1000。

4.根据权利要求1所述的手机蠕虫检测方法，所述短信信息包括发送短信的手机号码、接收短信的手机号码、短信中所包含的URL和重复值Count，所述步骤2)包括以下步骤：

步骤2-1：如果第一个队列A未满，对新的带有URL的短信，按时间顺序进队列A，查看发送该短信的手机号码是否存在于队列A中，若存在，转入步骤2-2，若不存在转入步骤2-3；

步骤2-2：将队列A中所有该手机号码发送的短信信息中的对应的重复值Count加1，将新的短信信息存入队列，其count值与队列中已有的重复值一致；

步骤2-3：直接将新的短信信息存入队列A中，其重复值count设为1。

步骤2-4：如果队列A已满，则查看位于队列头部的短信信息中的重复值count是否大于第一阈值，若小于第一阈值，删除该短信信息，若不小于该值，将该短信信息输入到第二个队列B，删除该短信信息。

5.根据权利要求4所述的手机蠕虫检测方法，根据服务器内存或用户需求来设置所述队列A长度。

6.根据权利要求4所述的手机蠕虫检测方法，其中步骤3)包括以下步骤：

步骤3-1：查找要进入队列B的新的短信信息的发送号码是否和已存在队列B中的短信信息中的接收号码相同，若不存在，转入步骤3-2；若存在，转入步骤3-3。

步骤3-2：直接进队列，将该短信信息中的重复值count设置为-1。

步骤3-3：查看该接收号码对应的短信信息中的重复值count是否是小于0，若小于0，则将该短信信息和新的短信信息中的count都加1；若大于等于0，将队列B中与新短信信息的发送号码相同的接收号码所对应的短信信息中的重复值加1，并将其中一个重复值赋值给新短信信息的重复值；

步骤3-4：如果队列B已满，则查看位于队列头部的短信信息中的重复值count是否大于第二阈值，若小于第二阈值，删除位于该短信信息，否则，将该短信信息输入到第三个队列C，删除该短信信息。

7.根据权利要求6所述的手机蠕虫检测方法，根据服务器内存或用户需求来设置所述队列B的长度。

8.根据权利要求6所述的手机蠕虫检测方法，其中步骤4)包括以下步骤：

步骤4-1：判断要进入队列C的新的短信信息中的URL是否存在于队列C，若存在，将队列C中所有包含相同URL的对应短信信息中的重复值加1，若不存在，将新的短信信息按顺序存入队列C，其重复值设为1；

步骤4-2：如果队列C满，则查看位于队列头部的短信信息中的重复值Count是否大于第三阈值；若不大于第三阈值，直接删除该短信信息，否则，将该短信信息拷贝到线性表中，并从队列C中删除该短信信息；所述线性表中存储着可疑URL链接。

9.根据权利要求8所述的手机蠕虫检测方法，根据服务器内存或用户需求来设置所述队列C长度。