[发明专利]移动终端恶意软件感知方法及装置

说明书

本发明提供一种移动终端恶意软件感知方法及装置，其中方法包括：每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据，并根据其建立用于识别疑似受害用户和正常用户的分类器；若检测到对分类器的触发操作，则获取移动通信运营商当前收集的移动终端用户的特征并输入分类器，提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。本发明解决了现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题，能快速感知移动终端恶意软件问题的发生，充分利用移动通信运营商内外部的各类数据资源，提高恶意软件疑似受害用户的发现精度和识别范围。

技术领域

本发明涉及移动通信及信息安全技术领域，尤其涉及一种移动终端恶意软件感知方法及装置。

背景技术

恶意软件用来统称包括病毒、蠕虫、木马和间谍软件在内的各种恶意程序。近年来，随着宽带网络和移动通信的高速发展，移动终端及其应用越来越普遍，并且在日常生活的各个领域中发挥重要的作用。越来越多的不法分子通过恶意软件入侵用户的移动终端，实现盈利、窃取信息等目的。因此，恶意软件常被归结为多种威胁的源头，是当前比较严重的威胁之一。

目前，现有移动通信运营商对移动终端恶意软件的监控主要基于软件样本检测，监控的前提是获取恶意软件样本，通过静态、动态的研判确定是否是恶意软件，进而提取恶意软件特征加入病毒库，当已知的软件样本在网络中传播时就可以通过特征匹配实现监控。手机恶意软件整治工作以发现新型恶意软件为基点一分为二，如图1所示，基点之前为新型恶意软件的的研判阶段，基点之后为对已知恶意软件的整治阶段。

但是，现有技术中恶意软件从样本获取、研判、提取特征到制定策略实施具体网络监控措施需要很长的周期，从一个恶意软件问题爆发到实施恶意软件封堵这段时间内，恶意软件问题造成的损失无法挽回；现有方法非常依赖于捕获的软件样本，所有的监控特征均基于已捕获的软件样本，一旦恶意软件出现变体可能造成监控策略失效，恶意软件变体成本很低，不法分子只需采取简单修改代码、软件重打包加壳或主控地址变更等手段即可引起监控策略失效；而且现有技术仅限于通过用户终端在运营商PS域内的上网行为制定监控策略发现恶意事件，未做到结合上网行为以外的各类数据制定监控策略，实际恶意软件爆发带来的问题不仅仅在PS域的上网行为中呈现，恶意软件发作引起的其他用户行为特征并未被关注，因此现有技术对已知恶意软件监控策略具有局限性。

鉴于此，如何解决现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题成为目前需要解决的技术问题。

发明内容

为解决上述的技术问题，本发明提供一种移动终端恶意软件感知方法及装置，解决了现有技术中对移动终端恶意软件感知周期较长、依赖性较高且局限性较高的问题，能够快速感知移动终端恶意软件问题的发生，充分利用移动通信运营商内部及外部的各类数据资源，提高恶意软件疑似受害用户的发现精度和识别范围。

第一方面，本发明提供一种移动终端恶意软件感知方法，包括：

每隔预设时间段获取移动终端用户的多维度全量数据和已知恶意软件受害用户数据，并根据所述多维度全量数据和已知恶意软件受害用户数据，建立用于识别疑似受害用户和正常用户的分类器；

若检测到对所述分类器的触发操作，则获取移动通信运营商当前收集的移动终端用户的特征并输入所述分类器，提取移动通信运营商当前收集的移动终端用户中的疑似受害用户。

可选地，所述多维度全量数据，包括：移动通信运营商内部数据和移动通信运营商外部数据；

所述移动通信运营商内部数据，包括但不限于：用户上网日志；短信话单、彩信话单；语音通话话单；投诉数据；举报数据；信息安全监控结果数据；用户通信详单、计费情况、用户订购业务情况；用户信用等级、用户习惯；用户移动终端的操作系统版本和安装的软件；

所述信息安全监控结果数据，包括但不限于：垃圾短信、垃圾彩信、骚扰电话和不良信息；