[发明专利]一种手机蠕虫检测方法

说明书

技术领域

本发明属于移动互联网安全领域，尤其涉及移动终端智能手机蠕虫检测方法。

背景技术

随着移动互联网技术的发展，智能手机数量以及性能的提高，伴随而来是的更加丰富的手机应用程序，同时手机厂商提供了手机平台开发接口。这为手机蠕虫的发展提供了基础。手机蠕虫对用户的危害越来越大，比如2010年2月爆发的“手机骷髅”感染了10万多部智能手机，造成直接经济损失超过2000万元。又如2010年6月，上百万用户成为手机蠕虫“僵尸网络”的“肉鸡”。手机蠕虫从起初的系统破坏、恶意扣费，扩展到隐私窃取、金融盗号和窃听监控等，给用户带来巨大的经济损失。而2010年6月出现的“安卓短信卧底”作为世界上首款安卓(Android)平台的手机蠕虫，也预示着手机蠕虫全面向新平台扩展。

从2004年Cabir的出现至今手机蠕虫已经经过了7年时间的发展。据统计网上可供下载的手机应用程序中有6％都是手机蠕虫或含有恶意插件，蠕虫传播范围逐渐扩大，且变种速度越来越快，手机安全问题日趋严重。

因此，对手机蠕虫检测已成为当下手机安全的一个重要问题。尤其是针对利用短信息进行攻击的手机蠕虫(例如‘手机骷髅’)，这种手机蠕虫不依赖于手机漏洞，对所有操作系统都适用，只需要用户点击就可以进行传播。这类手机蠕虫的特征如下：当用户收到一条带有URL的短信，只有用户点击URL就自动下载蠕虫样本并运行，蠕虫样本将会搜寻该用户手机的通讯录，然后群发该条包含URL的短信。由于接收者是发送者的好友，接收者用户很容易去点击该短信的URL，按同理将会被下载蠕虫样本并运行之，然后再会群发该条短信，以此类推，将造成大量蠕虫的传播。如图1所示，发件人A把短信群发给B、C、D而B、C、D收到A的短信之后，因为A是自己的好友，所以看到URL并点击之。随后B、C、D手机被感染，在B、C、D上的蠕虫样本会自动搜索其通讯录，包含URL的该短信将自动转发给自己的好友。

现有的检测手机蠕虫的技术大多是针对利用手机漏洞来攻击手机的蠕虫病毒，通过提取手机蠕虫的特征码建成特征码库，这些技术虽能成功的检测已知攻击，但攻击者稍稍改变特征，便可绕过特征码的匹配检测，对未知的手机蠕虫检测效果不太明显。而且一般这些手机反病毒软件运行在手机上消耗资源，且手机一般具有电池有限的缺点，所以实际效果不明显。一般用户也不太会以浪费电池作为代价来使用这些反病毒软件来保证手机安全，而且也不能解决上述利用包含URL短信传播的蠕虫所带来的安全问题。

发明内容

因此，本发明的目的在于克服上述现有技术的缺陷，提供在短信网关上进行检测包含URL短信传播的手机蠕虫的方法。

为了实现上述发明目的，本发明提供了一种手机蠕虫检测方法，包括以下步骤：

步骤1)在短信网关上提取含有URL的短信信息，所述短信信息包括发送短信的手机号码、接收短信的手机号码、短信中所包含的URL；

步骤2)对在步骤1)所提取的短信信息的集合中每个发送短信的手机号码统计其重复出现的次数，并且选出该次数大于第一阈值的手机号码发送的短信信息；

步骤3)对在步骤2)所选出的短信信息的集合中每个接收短信的手机号码统计其重复出现在该集合中发送短信的手机号码中的次数，并且选出该次数大于第二阈值的手机号码接收的短信信息；

步骤4)对步骤3)所选出的短信信息的集合中每个URL统计其重复出现的次数，将该次数大于第三阈值的URL标记为可疑的手机蠕虫。

根据本发明实施例的手机蠕虫检测方法，其中所述第一阈值和第二阈值为200至300之间的自然数。

根据本发明实施例的手机蠕虫检测方法，其中所述第三阈值为1000。

根据本发明实施例的手机蠕虫检测方法，所述短信信息包括发送短信的手机号码、接收短信的手机号码、短信中所包含的URL和重复值Count，所述步骤2)包括以下步骤：

步骤2-1：如果第一个队列A未满，对新的带有URL的短信，按时间顺序进队列A，查看发送该短信的手机号码是否存在于队列A中，若存在，转入步骤2-2，若不存在转入步骤2-3；

步骤2-2：将队列A中所有该手机号码发送的短信信息中的对应的重复值Count加1，将新的短信信息存入队列，其count值与队列中已有的重复值一致；

步骤2-3：直接将新的短信信息存入队列A中，其重复值count设为1。