專利名稱：一種收集移動(dòng)終端惡意代碼的方法
技術(shù)領(lǐng)域：
本發(fā)明屬于信息安全技術(shù)領(lǐng)域領(lǐng)域，涉及一種惡意代碼的收集，具體涉及一種收集移動(dòng)終端惡意代碼的方法。
背景技術(shù)：
隨著移動(dòng)通信與嵌入式計(jì)算平臺(tái)技術(shù)的迅猛發(fā)展與融合，移動(dòng)終端的功能越來(lái)越 強(qiáng)大，業(yè)務(wù)應(yīng)用日趨廣泛，以智能手機(jī)為主的移動(dòng)終端在人們的日常生活中已經(jīng)得到了普 遍應(yīng)用。智能手機(jī)與個(gè)人PC相比，不僅具備通訊功能，還整合了 IEEE802. 11、藍(lán)牙等多種傳 輸方式，并擁有SymbiaruWindows Mobile、Palm等成熟的操作系統(tǒng)平臺(tái)。智能手機(jī)已經(jīng)具 備惡意代碼存活的硬件條件和軟件環(huán)境。作為一種私人物品，手機(jī)上保存著大量個(gè)人信息 和隱私數(shù)據(jù)，直接與經(jīng)濟(jì)利益、個(gè)人信用相關(guān)。龐大的用戶規(guī)模、多樣化傳播途徑、可造成直 接經(jīng)濟(jì)損失等因素都使得移動(dòng)終端病毒將可能成為繼PC平臺(tái)惡意代碼之后的又一嚴(yán)重安 全威脅。近年來(lái)，移動(dòng)終端病毒傳播形式呈現(xiàn)多樣化，數(shù)量增加迅速。2004年6月出現(xiàn)的 Cabir病毒，使被感染手機(jī)不停地進(jìn)行藍(lán)牙搜索，發(fā)送藍(lán)牙請(qǐng)求，致使手機(jī)電能耗盡。該病 毒于2005年在世界田徑錦標(biāo)賽期間有較大規(guī)模爆發(fā)。其后出現(xiàn)的Commwarrior、Skulls、 Mquito、Cardtrap, Doomboot等病毒威力更加強(qiáng)大，傳播途徑也更加多樣化。隨著3G時(shí)代 的來(lái)臨，移動(dòng)終端病毒危害也將隨之增長(zhǎng)。目前在移動(dòng)終端惡意代碼收集領(lǐng)域，主要是以用戶上報(bào)的方式。用戶上報(bào)方式是 指用戶在下載或通過(guò)別的途徑得到惡意代碼后，對(duì)惡意代碼的行為有所懷疑，并將該惡意 代碼通過(guò)電子郵件或其他方式上報(bào)給殺毒軟件廠商。這種方式形式單一，并且具有一定的 滯后性，當(dāng)移動(dòng)終端惡意代碼大規(guī)模爆發(fā)的時(shí)候并不能進(jìn)行實(shí)時(shí)的捕獲和監(jiān)控。所以在移 動(dòng)終端惡意代碼數(shù)量增長(zhǎng)迅速的時(shí)候，急需一種能高效自動(dòng)的收集移動(dòng)終端惡意代碼的方 法或裝置。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種能高效自動(dòng)的收集移動(dòng)終端惡意代碼的方法。本發(fā)明的技術(shù)方案概述如下—種收集移動(dòng)終端惡意代碼的方法，其步驟包括1)模擬移動(dòng)終端通信設(shè)備漏洞信息，并將該漏洞信息植入移動(dòng)終端通信設(shè)備；2)通過(guò)移動(dòng)終端通信設(shè)備與外界進(jìn)行通訊；3)對(duì)接收到的外界信息進(jìn)行識(shí)別，得到惡意代碼；4)通過(guò)移動(dòng)終端通信設(shè)備與惡意代碼來(lái)源進(jìn)行交互，提取惡意代碼傳播場(chǎng)景信 息；5)將收集到的惡意代碼信息和傳播場(chǎng)景信息分別存入樣本庫(kù)和場(chǎng)景庫(kù)。所述步驟1)移動(dòng)終端通信設(shè)備安裝于一帶編程平臺(tái)的裝置上，通過(guò)編程平臺(tái)模擬移動(dòng)終端漏洞信息。所述步驟3)根據(jù)漏洞信息提取惡意代碼的特征，按照惡意代碼特征對(duì)外界信息進(jìn)行惡意代碼識(shí)別。所述步驟3)根據(jù)已有的惡意代碼數(shù)據(jù)庫(kù)對(duì)外界信息進(jìn)行惡意代碼識(shí)別。所述步驟4)移動(dòng)終端通信設(shè)備與惡意代碼來(lái)源通過(guò)藍(lán)牙、彩信或WIFI方式進(jìn)行 交互。所述步驟4)提取的惡意代碼場(chǎng)景信息包括傳播時(shí)間、傳播源設(shè)備信息、傳播使用 的方式和傳播使用的端口。所述帶編程平臺(tái)的裝置為PC或服務(wù)器或裝有操作系統(tǒng)的移動(dòng)終端。所述編程平臺(tái)為L(zhǎng)inux平臺(tái)或者Windows平臺(tái)。所述移動(dòng)終端通信設(shè)備包括藍(lán)牙適配器、GSM/CDMA模塊、無(wú)線Wifi模塊和3G模 塊。與現(xiàn)有技術(shù)中的方法相比，且本發(fā)明中所描述的方法針對(duì)的移動(dòng)終端惡意代碼普 適性較強(qiáng)，針對(duì)各種接入方式(接入方式是指移動(dòng)終端與其它終端或設(shè)備的連接和通信方 式有多種，例如藍(lán)牙、彩信、WIFI等等，這也就給惡意代碼提供了多種傳播手段)從根本上 進(jìn)行攔截，因此能有效的收集移動(dòng)終端惡意代碼；使用了本發(fā)明方法的裝置可部署于移動(dòng) 終端惡意代碼多發(fā)地帶，實(shí)時(shí)收集移動(dòng)終端惡意代碼，并獲取傳播場(chǎng)景信息確定傳染源以 盡快采取行動(dòng)。


圖1是本發(fā)明的收集移動(dòng)終端惡意代碼的方法的流程圖。圖2是本發(fā)明的收集移動(dòng)終端惡意代碼的裝置的方框圖。
具體實(shí)施例方式以下參照附圖對(duì)本發(fā)明的收集移動(dòng)終端惡意代碼的方法及裝置進(jìn)行詳細(xì)說(shuō)明。本發(fā)明的具體實(shí)施步驟按照?qǐng)D1中所示的流程圖實(shí)施，如圖1所示，首先要模擬 移動(dòng)終端通信設(shè)備漏洞信息，并將該漏洞信息植入移動(dòng)終端通信設(shè)備，具體實(shí)現(xiàn)方法是在 架設(shè)了可編程平臺(tái)的設(shè)備上安裝移動(dòng)終端通信設(shè)備(如藍(lán)牙適配器、GSM/CDMA模塊、無(wú)線 Wifi模塊和3G模塊)，并對(duì)移動(dòng)終端通信設(shè)備進(jìn)行初始化；之后啟移動(dòng)終端動(dòng)通信設(shè)備控 制程序(利用可編程平臺(tái)編程實(shí)現(xiàn))以模擬移動(dòng)終端通信設(shè)備上的服務(wù)漏洞；然后將通 信設(shè)備放到移動(dòng)終端惡意代碼多發(fā)地帶，通過(guò)移動(dòng)終端通信設(shè)備與外界進(jìn)行通訊，被動(dòng)的 接受外界連接，對(duì)接收到的外界信息進(jìn)行識(shí)別；如果有新的連接，通過(guò)該連接發(fā)送的數(shù)據(jù) 判斷是否為惡意代碼攻擊(惡意代碼攻擊時(shí)會(huì)有一些特征，這些特征可以從漏洞的分析中 獲取，也可以從已知的惡意代碼分析中獲取，例如會(huì)發(fā)送某些特定的字符串，或者采取某種 順序的協(xié)議命令序列)，如果非攻擊則繼續(xù)接受連接；如果是惡意代碼攻擊，則繼續(xù)與惡意 代碼源進(jìn)行交互(通過(guò)藍(lán)牙、彩信或WIFI等方式)；在交互過(guò)程中獲取惡意代碼和惡意代 碼傳播場(chǎng)景信息；并最終將捕獲到的文件和信息分別匯集到惡意代碼樣本庫(kù)和傳播場(chǎng)景庫(kù) 中。樣本庫(kù)中保存了收集到的惡意代碼樣本，場(chǎng)景庫(kù)中保存了樣本傳播時(shí)的場(chǎng)景信息，場(chǎng)景 信息包括有傳播時(shí)間、傳播源設(shè)備信息、傳播使用的方式、傳播使用的端口等等。
圖2中具體說(shuō)明了一個(gè)使用了本發(fā)明方法的收集移動(dòng)終端惡意代碼的裝置。如圖 2所示，該裝置包括了三個(gè)部分，架設(shè)了 Linux系統(tǒng)的PC設(shè)備，在PC設(shè)備上安裝藍(lán)牙適配器 等移動(dòng)終端通信設(shè)備；惡意代碼樣本庫(kù)和場(chǎng)景信息庫(kù)。在PC中實(shí)現(xiàn)了移動(dòng)終端通信設(shè)備控 制和服務(wù)漏洞模擬程序。惡意代碼可運(yùn)行于智能手機(jī)或普通手機(jī)上，通過(guò)藍(lán)牙設(shè)備(當(dāng)然 也可以通過(guò)彩信等其他方式)向外傳播，傳播過(guò)程中遇到了本發(fā)明裝置中的帶漏洞的藍(lán)牙 設(shè)備，就會(huì)向該藍(lán)牙設(shè)備發(fā)起連接，并進(jìn)行攻擊，在攻擊過(guò)程中會(huì)發(fā)送惡意代碼文件，該裝 置通過(guò)與惡意代碼傳播源的交互捕獲到了惡意代碼(傳播所利用協(xié)議中會(huì)有各種請(qǐng)求和 回應(yīng)，交互就是指針對(duì)惡意代碼傳播時(shí)的請(qǐng)求發(fā)出促進(jìn)相應(yīng)的回應(yīng))，提取惡意代碼傳播場(chǎng)景信息；將收集到的惡意代碼信息和傳播場(chǎng)景信息分別存入樣本庫(kù)和場(chǎng)景庫(kù)。
權(quán)利要求
一種收集移動(dòng)終端惡意代碼的方法，其步驟包括1)模擬移動(dòng)終端通信設(shè)備漏洞信息，并將該漏洞信息植入移動(dòng)終端通信設(shè)備；2)通過(guò)移動(dòng)終端通信設(shè)備與外界進(jìn)行通訊；3)對(duì)接收到的外界信息進(jìn)行識(shí)別，得到惡意代碼；4)通過(guò)移動(dòng)終端通信設(shè)備與惡意代碼來(lái)源進(jìn)行交互，提取惡意代碼傳播場(chǎng)景信息；5)將收集到的惡意代碼信息和傳播場(chǎng)景信息分別存入樣本庫(kù)和場(chǎng)景庫(kù)。
2.如權(quán)利要求1所述的移動(dòng)終端惡意代碼收集方法，所述步驟1)移動(dòng)終端通信設(shè)備安 裝于一帶編程平臺(tái)的裝置上，通過(guò)編程平臺(tái)模擬移動(dòng)終端漏洞信息。
3.如權(quán)利要求1所述的移動(dòng)終端惡意代碼收集方法，其特征在于，所述步驟3)根據(jù)漏 洞信息提取惡意代碼的特征，按照惡意代碼特征對(duì)外界信息進(jìn)行惡意代碼識(shí)別。
4.如權(quán)利要求1所述的移動(dòng)終端惡意代碼收集方法，其特征在于，所述步驟3)根據(jù)已 有的惡意代碼數(shù)據(jù)庫(kù)對(duì)外界信息進(jìn)行惡意代碼識(shí)別。
5.如權(quán)利要求1所述的移動(dòng)終端惡意代碼收集方法，其特征在于，所述步驟4)移動(dòng)終 端通信設(shè)備與惡意代碼來(lái)源通過(guò)藍(lán)牙、彩信或WIFI方式進(jìn)行交互。
6.如權(quán)利要求1所述的移動(dòng)終端惡意代碼收集方法，其特征在于，所述步驟4)提取的 惡意代碼場(chǎng)景信息包括傳播時(shí)間、傳播源設(shè)備信息、傳播使用的方式和傳播使用的端口。
7.如權(quán)利要求2所述的移動(dòng)終端惡意代碼收集方法，其特征在于，所述帶編程平臺(tái)的 裝置為PC或服務(wù)器或裝有操作系統(tǒng)的移動(dòng)終端。
8.如權(quán)利要求2或7所述的移動(dòng)終端惡意代碼收集方法，其特征在于，所述編程平臺(tái)為 Linux平臺(tái)或者Windows平臺(tái)。
9.如權(quán)利要求1所述的移動(dòng)終端惡意代碼收集方法，其特征在于，所述移動(dòng)終端通信 設(shè)備包括藍(lán)牙適配器、GSM/CDMA模塊、無(wú)線Wifi模塊和3G模塊。
全文摘要
本發(fā)明公開了一種收集移動(dòng)終端惡意代碼的方法及裝置，本發(fā)明方法步驟包括1)模擬移動(dòng)終端通信設(shè)備漏洞信息，并將該漏洞信息植入移動(dòng)終端通信設(shè)備；2)通過(guò)移動(dòng)終端通信設(shè)備與外界進(jìn)行通訊；3)對(duì)接收到的外界信息進(jìn)行識(shí)別，得到惡意代碼；4)通過(guò)移動(dòng)終端通信設(shè)備與惡意代碼來(lái)源進(jìn)行交互，提取惡意代碼傳播場(chǎng)景信息；5)將收集到的惡意代碼信息和傳播場(chǎng)景信息分別存入樣本庫(kù)和場(chǎng)景庫(kù)。本發(fā)明方法能夠?qū)崟r(shí)收集移動(dòng)終端惡意代碼，并獲取傳播場(chǎng)景信息確定傳播源以盡快采取行動(dòng)；本發(fā)明針對(duì)各種接入方式(例如藍(lán)牙、彩信、WIFI等等)從根本上進(jìn)行攔截，因此能有效的收集移動(dòng)終端惡意代碼。
文檔編號(hào)H04W12/00GK101990200SQ200910090180
公開日2011年3月23日 申請(qǐng)日期2009年7月31日 優(yōu)先權(quán)日2009年7月31日
發(fā)明者戴帥夫, 柳亞鑫, 王峰, 諸葛建偉 申請(qǐng)人:北京大學(xué)