[发明专利]一种针对移动互联网Botnet的虚拟化检测系统及检测方法

说明书

技术领域

本发明涉及一种针对移动互联网Botnet的虚拟化检测系统及检测方法，属于移动互联网的安全范畴，主要用于实现针对日益严重的互联网Botnet(僵尸网络)的检测与防范。

背景技术

移动互联网的快速发展使得智能移动终端的普及率迅速上升，同时也带来了相应的安全问题的出现。与传统网络相比，移动互联网体现出一些不同的特点：智能移动终端作为主要载体，受CPU和存储空间的影响，其计算能力较弱，运行在此之上的系统相对传统计算机系统结构简单，因而较少有远程攻击的产生，取而代之的则是各种恶意代码产生的危害；智能移动终端的通信渠道较多，和传统网络相比，SMS、GPRS等多种传播渠道使得智能移动终端的恶意代码更容易接收远程终端的控制，其防范难度更大。

在此基础上，传统的病毒、木马等恶意代码开始在移动互联网出现，而目前对传统网络威胁最大的Botnet(僵尸网络)也出现在该领域。从2009第一个移动僵尸网络SymbOS.Exy.C出现后，已经陆续在Andorid、IOS和WinCE等系统中出现。大量研究发现，移动僵尸网络的出现会对传统意义上相对安全的电信网络造成极大的威胁，攻击者只需使用最简单的DDOS攻击即可对目前的移动通信网络造成大面积的瘫痪。

针对移动互联网的Botnet防御技术主要源自传统互联网防御技术，移动互联网相比传统互联网而言具有其独特性，主要表现在：移动终端资源的有限性，由于目前普遍使用的移动终端需要以电池为主要能源，在计算和通信量较大的情况下，电池的能源消耗就成为一个严峻的问题，针对移动互联网Botnet的检测技术不能单纯依靠移动终端实施，否则将会面临严重的能耗问题。

传统互联网可以采用对固定主机进行长期流量、日志监控的方式从中发现可疑的网络行为，进而分析Botnet的特征；但移动互联网中的终端由于其移动的特点，很难对其进行这种传统的网络监控和保护。

同传统互联网相比，移动互联网主要借助于2G/3G/4G等移动网络的通信架构，在这种情况下Botnet的C&C可以借助SMS、GPRS等多种途径实现对僵尸主机的控制。

通过以上分析可以得知，对移动互联网之上的Botnet防御不能将检测监控设备直接部署在移动终端之上，SMS和GPRS通信在移动互联僵尸网络中充当重要的通信途径，通过对其进行重点监测，分析隐藏的C&C(控制和通信)主机，掌握Botnet网络结构，为防治Botnet网络提供准确的信息是目前防治移动Botnet的一种可行方法。

发明内容

本发明技术解决问题：克服现有技术不足，提供一种针对移动互联网Botnet的虚拟化检测系统及检测方法，有效的解决移动终端因为计算资源不足所带来问题，通过移动终端和后台服务器资源的结合，可以有效的检测植入在移动终端的Botnet代码，同时又可以将Botnet的影响程度控制在虚拟化的范围之内，有效的保证移动网络的正常进行。

本发明技术解决方案：一种针对移动互联网Botnet的虚拟化检测系统，分别包括终端侧和网络侧两部分，终端侧部署在移动终端内，所述终端侧包括黑白名单、网络检测模块和转换网关；所述网络侧部分包括终端镜像数据库、虚拟机和监控单元；在系统运行过程中，内部需要三种报文，分别是：虚拟机交互报文，SMS(Short Messaging Service短消息服务)交互报文和GPRS交互报文(General Packet Radio Service，通用分组无线服务技术)，其中：黑白名单：用于存储对于终端设备而言恶意和信任的网络节点信息，其中黑名单记录恶意网络节点的信息，白名单记录信任网络节点信息；

网络检测模块：实现对网络中通信内容的检测，当通信内容的源点来自于黑名单中的内容，则检测模块直接将其过滤；如果通信内容源自白名单则给予放行；当通信内容来源于未知的通信节点时，则确定为可疑通信报文，即可能为网络恶意节点发送来的SMS或者GPRS报文，并将可疑通信报文的内容发往转换网关，等待返回结果后的处理；