[发明专利]一种移动终端恶意软件网络行为重构方法及其系统

说明书

本发明公开了一种移动终端恶意软件网络行为重构方法及其系统，该方法包括：在移动终端接入网络的路由器节点设置镜像端口，采集原始移动终端恶意软件网络流量；解析原始移动终端恶意软件网络流量的DNS信息，获取移动终端恶意目标列表；根据移动终端恶意目标列表，分离移动终端恶意软件恶意行为流量；提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包，构建移动终端恶意软件网络行为交互时序图；根据移动终端恶意软件网络行为交互时序图，构建移动终端恶意软件网络行为模型。该方法依据网络数据流重新构建出移动终端恶意软件与外部网络之间的交互行为。

技术领域

本发明涉及一种恶意软件网络行为重构方法及其系统，尤其涉及一种移动终端恶意软件网络行为重构方法及其系统。

背景技术

现有的移动终端恶意软件检测方法大致可以分为两类，即静态检测方法和动态检测方法。静态检测方法通过对恶意软件的反编译，在源代码中查找恶意特征代码片段来识别恶意软件；动态检测方法则主要是基于行为分析技术，行为分析技术在虚拟化的环境下动态地分析恶意软件运行时的行为，通过对恶意软件行为特征的分析识别出恶意软件，常用的行为特征有对系统的调用、对敏感API的访问等。

随着代码混淆技术、代码加密技术的发展，对恶意软件的源代码进行静态分析已经变的十分困难，而动态行为分析却很好的弥补了静态分析的这种缺点，同时，这种动态行为分析技术具有一定的发现未知恶意软件的能力。因此，动态行为分析作为一种重要的检测方法受到了业界的普遍关注。动态行为分析依赖于对恶意软件动态行为的重构，重构的内容包含文件和进程的创建过程、进程之间的通信过程等，重构的过程需要详细地表示出恶意软件行为的交互过程，这样才能更好地理解恶意软件的动态行为，帮助我们识别恶意软件。

但是，传统的移动终端网络行为分析仅仅局限于一些对网络特征的统计分析，例如对访问端口、数据包大小、访问时间等特征的统计分析，却并没有刻画移动终端与远程服务器之间的网络交互行为，这种交互行为对于理解移动终端与远程恶意服务器之间的交互过程是十分必要的，而现有的研究缺乏对网络行为的重构，尤其缺乏对网络交互过程完整性的解释。

发明内容

为了解决现有技术的缺点，本发明提供一种移动终端恶意软件网络行为重构方法及其系统。该方法首先通过自动化地方法采集到移动终端恶意软件所产生的网络流量数据，然后对采集到的流量数据进行网络数据流的提取，最后依据网络数据流重新构建出移动终端恶意软件与外部网络之间的交互行为。

本发明采用以下技术方案：

一种移动终端恶意软件网络行为重构方法，包括：

在移动终端接入网络的路由器节点设置镜像端口，采集原始移动终端恶意软件网络流量；

解析原始移动终端恶意软件网络流量的DNS信息，获取移动终端恶意目标列表；

根据移动终端恶意目标列表，分离移动终端恶意软件恶意行为流量；

提取分离后的移动终端恶意软件恶意行为流量的DNS数据包和HTTP数据包，构建移动终端恶意软件网络行为交互时序图；

根据移动终端恶意软件网络行为交互时序图，构建移动终端恶意软件网络行为模型。

分离移动终端恶意软件恶意行为流量的具体过程为：

根据流的五元组，构建获取原始移动终端恶意软件的网络数据流；

然后，在网络数据流中的HTTP数据包中提取相应的域名字符串，若该域名字符串存在于获取的移动终端恶意目标列表中，则该网络数据流为恶意软件网络行为流量，提取并保存，反之则忽略掉该数据流；

这样分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。

所述构建移动终端恶意软件网络行为交互时序图的过程为：