[发明专利]手机恶意软件查杀方法及系统

说明书

技术领域

本发明涉及手机终端安全类软件或系统，特别涉及基于移动网络侧恶意软件监控分析系统的手机恶意软件查杀、防护的软件及产品。

背景技术

随着国内手机上网用户骤增，智能手机的开发接口日趋统一，而手机恶意软件的发展空间也陡增。手机恶意软件的危害主要包括以下几点：1、引发恶意扣费；2、窃取用户隐私；3、攻击网络或网络其他终端；4、破坏手机功能或数据。目前，手机恶意软件逐渐以移动网络和通信网络相结合的方式作为主要传播手段和盈利模式，故而高效地对手机恶意软件进行查杀处理成为一个迫切需要解决的课题。

现有手机恶意软件查杀、防护的产品，普遍使用恶意软件的物理特征匹配方式进行恶意软件的扫描。其基本原理，是通过其扫描引擎对手机上的文件、安装应用逐个扫描，将每个文件和应用的物理特征(如文件内容的MD5值等)和特征库中的所有信息进行比对，最终确定手机上恶意软件感染情况。这存在较大的缺陷，简述如下。

由于现行技术方法，都先假设所有文件都有可能是恶意软件，故而在扫描时，需要对所有文件、应用进行特征运算，并和所有已知的恶意软件特征进行比对，这会带来一个问题，即会引发大量的无效运算，效率低、耗时长，无谓消耗了手机端的资源。

此外，现行技术中的特征库是否全面，直接影响查杀结果，这样带来两个问题：其一，是特征库的更新频率较大地影响查杀的准确和全面；其二、越来越大的特征库，会严重消耗手机端的资源，增加维护和更新的难度。

由于传统手机安全产品，受限于分析能力，只能利用手机安装的病毒特征库被动防御，并且随着病毒特征库不断增大，手机客户端的负载和查杀耗时不断增加，杀毒成本急剧增加，不能满足市场的要求，因此急需提出一种新的手机恶意软件的查杀方式。

实际上，由于手机恶意软件在资费、隐私保护、网络稳定等多个方面影响移动运营商的服务质量和客户满意度，移动运营商纷纷开始构建各种手机恶意软件的监测分析类系统，以便对移动网络、通信网络中的海量数据进行挖掘和分析，全面监控和防范恶意软件的传播和爆发。目前，移动运营商已开发成功一种移动网络侧恶意软件监控分析类系统，是架设于移动互联网络、通信网络侧支撑设备、系统之上的应用系统或应用系统群组。该类系统(群组)的基本工作原理：通过对移动网络侧的数据进行分析和监控，包括对短线、彩信、wap等访问话单以及各种下载文件的数据流，按预定侦测规则进行过滤和分析(比如：一个手机终端，每小时发送短信或彩信超过一定阀值)，通过行为分析方法、文件流扫描方法等复合技术手段，监控各个手机终端的恶意软件可能感染情况，并结合人工判断，最终确认感染。

上述移动网络侧恶意软件监控分析类系统的核心能力在于最终能够输出每个手机终端的恶意软件感染记录，其中手机终端会以手机号码、IMSI(InternationalMobile Subscriber Identification Number，国际移动用户识别码)、IMEI(InternationalMobile Equipment Identity，国际移动设备身份码)等方式进行唯一标识。有鉴于此，可以充分发挥移动运营商的优势，利用近年快速发展的恶意软件监控分析能力，将运营商对恶意软件的控制能力从行为监测、来源追查、控制传播，向彻底清除、提供手机用户服务方向延伸，以便给传统手机恶意软件查杀领域注入新的活力。

发明内容

本发明的目的在于提供一种手机恶意软件查杀方法及查杀系统，可以精确高效地确定恶意软件感染情况，并根据定位结果准确提供必需的特征库，极大地提高手机恶意软件查杀效率，降低手机资源消耗。

为解决以上技术问题，本发明提供的技术方案是，一种手机恶意软件查杀方法，包括：

移动网络侧恶意软件侦测分析类系统监控网内用户手机终端恶意软件感染情况，并提供给恶意软件查杀服务系统；

恶意软件查杀服务系统根据用户手机终端实时查杀特征库请求，对移动网络侧恶意软件侦测分析类系统已分析好的海量恶意软件感染记录进行过滤，选取已感染的查杀特征库信息并返回给用户手机终端；

用户手机终端根据过滤后的精确查杀特征库，在本地做二次确认，对本地已感染的恶意软件进行查杀。

较优地，用户手机终端实时查杀特征库请求中提供用户手机终端的唯一标识信息。

较优地，用户手机终端的唯一标识信息采用手机号码、IMSI、IMEI或预约的特定标识。

较优地，用户手机终端对已感染的恶意软件执行清除、删除或隔离的查杀动作。

较优地，用户手机终端将恶意软件查杀日志返回恶意软件查杀服务系统。