[发明专利]主动式移动终端恶意软件网络流量数据集获取方法及系统

摘要

本发明公开了主动式移动终端恶意软件网络流量数据集获取方法及系统，对移动终端恶意软件进行反编译，反编译后得到与恶意软件相对应的配置文件；从与恶意软件相对应的配置文件中提取移动终端恶意软件自动安装和运行所需要的参数；移动终端恶意软件的自动安装；利用激活优先机制实现对移动终端恶意软件激活与运行，移动终端恶意软件激活与运行后获取移动终端恶意软件网络流量；建立移动终端恶意目标列表；根据建立的移动终端恶意目标列表分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。对采集到的网络流量数据，本发明以网络数据流的方式从混合流量中提取到恶意软件所产生的恶意流量。

主权项

1.主动式移动终端恶意软件网络流量数据集获取方法，其特征是，包括以下步骤：对移动终端恶意软件进行反编译，反编译后得到与恶意软件相对应的配置文件；从与恶意软件相对应的配置文件中提取移动终端恶意软件自动安装和运行所需要的参数；根据提取的移动终端恶意软件自动安装和运行所需要的参数进行移动终端恶意软件的自动安装；利用激活优先机制实现对移动终端恶意软件激活与运行，移动终端恶意软件激活与运行后获取移动终端恶意软件网络流量；具体为：移动终端恶意软件网络流量获取，在移动终端接入网络的路由器节点部署镜像端口，通过镜像端口把所有上、下行的移动终端网络流量镜像到数据存储服务器上；根据获取的移动终端恶意软件网络流量信息建立移动终端恶意目标列表；根据建立的移动终端恶意目标列表分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量，具体为：移动终端恶意软件恶意行为流量分离，建立好的黑名单列表，根据流的五元组构建网络数据流，五元组即具有相同的源IP地址、目的IP地址、源端口号、目的端口号、协议号，然后在数据流中的HTTP数据包中提取相应的HOST字段，HOST字段是一段域名字符串，若该字段存在建立的黑名单列表中，则认为该数据流为恶意软件网络行为流量，提取并保存，反之则忽略掉该数据流，依据该方法依次完成所采集到的所有数据流，这样分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量；在移动终端恶意软件的自动安装时，将所有恶意软件的包名写入文本文件，每一行的内容为一个app的包名，调试命令每次调用文本文件中一行，完成对一个恶意软件的自动化安装，调试命令循环调用文本文件的每一行，依次实现对所有恶意软件的安装，具体为：移动终端恶意软件自动安装：通过Android平台提供的ADB调试命令，实现Android应用软件的安装，其中，Android应用软件的安装需要包名作为参数传入ADB，对于大规模移动终端恶意软件，将得到的所有恶意软件的包名写入文本文件，每一行的内容为一个app的包名，ADB每次调用文本文件中一行，完成对一个恶意软件的自动化安装，ADB循环调用文本文件的每一行，依次实现对所有恶意软件的安装；移动终端恶意目标列表建立时，在数据存储服务器上，保存了移动终端恶意软件产生的所有网络交互流量，通过解析流量数据的DNS信息，得到关于恶意软件所有的DNS请求的目标域名，再将这些目标域名依次在VirusTotal上作恶意域名检测，若是恶意目标，则将该域名加入黑名单列表即移动终端恶意目标列表。