[发明专利]一种针对移动互联网Botnet的虚拟化检测系统及检测方法

权利要求书

1.一种针对移动互联网Botnet的虚拟化检测系统，其特征在于：所述系统分别包括终端侧和网络侧两部分，终端侧部署在移动终端内，所述终端侧包括黑白名单、网络检测模块和转换网关；所述网络侧部分包括终端镜像数据库、虚拟机和监控单元；在系统运行过程中，内部需要三种报文，分别是：虚拟机交互报文，SMS(Short Messaging Service短消息服务)交互报文和GPRS交互报文(General Packet Radio Service，通用分组无线服务技术)，其中：

黑白名单：用于存储对于终端设备而言恶意和信任的网络节点信息，其中黑名单记录恶意网络节点的信息，白名单记录信任网络节点信息；

网络检测模块：实现对网络中通信内容的检测，当通信内容的源点来自于黑名单中的内容，则检测模块直接将其过滤；如果通信内容源自白名单则给予放行；当通信内容来源于未知的通信节点时，则确定为可疑通信报文，即可能为网络恶意节点发送来的SMS或者GPRS报文，并将可疑通信报文的内容发往转换网关，等待返回结果后的处理；

转换网关：负责提供终端侧和网络侧之间的通信，来自于终端侧的网络检测模块中可疑通信报文被转换成网络侧的交互报文，即SMS交互报文和GPRS交互报文，发往网络侧，网络侧对可疑通信报文的处理结果会通过转换网关通知网络检测修改黑白名单；在将可疑报文发往网络侧之前，转换网关会将其存入待测数据库；当检测结果由网络侧返回后，根据待测数据库中的消息，转换网关通知移动终端继续或终止某个通信过程；其中SMS交互报文和GPRS交互报文用于系统内部的通信，SMS交互报文用于移动侧向网络侧提交可疑SMS报文信息和网络侧向终端侧返回检测结果；其中字段源ISND和目的ISDN分别表示该可疑信息的发送和接收方；字段负载类型字段声明报文中负载区域的内容：AT命令或网络侧的检测结果；字段负载区域则记录AT命令或检测结果具体的内容；GPRS交互报文用于终端侧向网络侧提交可疑GPRS报文信息和网络侧向终端侧返回检测结果；字段源ISDN表示该可疑信息的发送方，字段源IP和目的IP分别记录内部IP数据包的信息；字段负载类型字段声明报文中负载区域的内容：AT命令或网络侧的检测结果；字段负载区域则记录具体的内容；

终端镜像数据库：负责存储待保护移动终端镜像，通过移动终端镜像在虚拟机一侧实现对需要保护的移动终端的模拟运行；

虚拟机：直接运行指定的移动终端镜像，负责观察可疑信息进入到终端侧的运行效果；所述移动终端镜像包括：移动终端的APP备份；OS文件备份，表示具体的智能移动终端的操作系统，考虑到Botnet代码中可能会在操作系统中加载rootkit，OS文件需要直接从被保护的移动终端上提取镜像，实现移动终端操作系统的复原；移动终端配属硬件资源；移动终端接入点信息；这四类信息会绑定具体的终端ISDN号，存储在终端镜像数据库中；当需要模拟某个移动终端时，虚拟机通过调用终端镜像数据库中的移动终端镜像，能够完全模拟一个真实的移动终端；虚拟机通过监控单元的启动或注销命令的虚拟机交互报文实现启动或注销，将运行的过程中产生的通信内容和日志信息作为结果，以虚拟机交互报文的形式返还给监控单元；虚拟机交互报文实现监控单元和虚拟机之间的通信，监控单元向虚拟机发送移动终端镜像启动和注销的命令，虚拟机则向监控终端发送执行过程中截获的信息或操作日志，用于监控终端的分析；虚拟机交互报文的开头为表示移动终端的终端镜像号，字段负载类型分为：启动/注销和反馈执行结果；字段负载区域则主要记录主要内容，包括虚拟机执行的AT命令、执行命令后产生的报文和操作日志；

监控单元：负责整个网络侧虚拟化平台的运行管理，包括虚拟机启动/注销模块、监控数据库、监控分析模块；虚拟机启动/注销模块用于实现对虚拟机的启动和注销，通过解析转换网关发送过来的信息，使用虚拟机交互报文完成移动终端虚拟机的启动和注销；监控数据库用于记录获取到的SMS交互报文、GPRS交互报文在进入虚拟机后产生的结果，为分析Botnet中的C&C节点提供数据；监控分析模块从监控数据库中获得分析数据，借助特征匹配、流量挖掘、关联分析甚至人工分析的方法，对从转换网关中发送过来的数据做出判断，确定信息是否属于C&C，并向终端侧的转换网关发送检测的结果。

2.一种针对移动互联网Botnet的虚拟化检测方法，其特征在于其实现步骤如下：

步骤(1)，在初始化阶段，移动终端侧设置通信的黑白名单，存储对于终端设备而言恶意和信任的网络节点信息，其中黑白名单用于存储对于终端设备而言恶意和信任的网络节点信息，白名单记录信任网络节点信息；同时制作系统的镜像文件保存到网络侧的终端镜像数据库之中；

步骤(2)，网络检测模块对网络中通信内容的检测，如果检测到通信内容的源点来自于黑名单中的内容，则直接将其过滤；如果检测到通信内容源自白名单则给予放行；如果检测到通信内容来源于未知的通信节点时，则确定为可疑通信报文即可能为网络恶意节点发送来的SMS或者GPRS报文，并将可疑通信报文的内容发往转换网关；由转换网关将可疑通信报文转换成SMS交互报文和GPRS交互报文发往网络侧监控单元；

步骤(3)，网络侧的监控单元在获得转换网关的信息之后，以虚拟机交互报文的形式控制虚拟机的启动和运行，使用虚拟机加载指定的镜像文件，并观察虚拟机在收到该信息后的变化；

步骤(4)，监控单元分析虚拟机返回的SMS交互报文和GPRS交互报文，将分析结果由转换网关返回网络检测模块，修改黑白名单的内容；同时转换网关依照分析结果和待测数据库的记录，通知移动端终止或继续与某个通信节点的通信行为。