[发明专利]异常流量检验方法和装置

说明书

本发明提出一种异常流量检验方法和装置，涉及信息安全领域。其中，本发明的异常流量检验方法包括：监控移动终端的网络程序对系统日志的操作行为；根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序；确定异常网络程序发送异常流量。通过这样的方法能够监控网络程序对于系统日志的操作行为，通过分析异常的操作行为，识别通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录的网络程序，从而确定该网络程序发送异常流量。

技术领域

本发明涉及信息安全领域，特别是一种异常流量检验方法和装置。

背景技术

目前，随着移动宽带技术快速发展，移动智能终端用户快速增长，恶意程序发送的异常流量成为网络运营面临的重大安全风险。但是，现有技术主要通过在终端设置发送流量的阈值进行检测，只有在发送的流量达到一定程度时才能够提供流量告警，难以快速的发现恶意程序发送异常流量的行为，为用户造成一定的流量损失，同时也容易发生数据失窃。另外，由于只对流量使用情况进行监测，容易发生误报的情况，准确性有限。

发明内容

本发明的一个目的在于提高终端异常流量检测的精度和准确度。

根据本发明的一个方面，提出一种异常流量检验方法，包括：监控移动终端的网络程序对系统日志的操作行为；根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序；确定异常网络程序发送异常流量。

可选地，异常操作包括：反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置。

可选地，还包括：监控移动终端的进程，根据应用程序的网络连接权限获取网络程序列表；监控移动终端的网络程序对系统日志的操作行为包括：监控网络程序列表中应用程序对系统日志的操作行为。

可选地，还包括：如果检测到网络程序发送异常流量则进行告警，并向用户提供发送异常流量的网络程序的名称。

可选地，还包括：如果检测到网络程序发送异常流量，则取消发送异常流量的网络程序的网络连接权限。

通过这样的方法能够监控网络程序对于系统日志的操作行为，通过分析异常的操作行为，发现程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录，从而确定该网络程序发送异常流量，提高了检验网络程序发送异常流量的速度和准确度。

根据本发明的另一个方面，提出一种异常流量检验装置，包括：日志操作监控模块，用于监控移动终端的网络程序对系统日志的操作行为；异常程序识别模块，用于根据网络程序对系统日志的操作行为确定对系统日志进行异常操作的异常网络程序；异常确定模块，用于确定异常网络程序发送异常流量。

可选地，异常操作包括：反复操作系统日志、清除行为记录、将日志文件指向空位置后又恢复到正常位置。

可选地，还包括：筛选模块，用于监控移动终端的进程，根据应用程序的网络连接权限获取网络程序列表；日志操作监控模块，还用于监控网络程序列表中应用程序对系统日志的操作行为。

可选地，还包括：告警模块，用于当检测到网络程序发送异常流量时进行告警，并向用户提供发送异常流量的网络程序的名称。

可选地，还包括：权限操作模块，用于当检测到网络程序发送异常流量时，取消发送异常流量的网络程序的网络连接权限。

这样的装置能够监控网络程序对于系统日志的操作行为，通过分析异常的操作行为，判断程序通过修改系统日志文件避免留下或清除发送恶意流量时的系统记录，从而确定该网络程序发送异常流量，提高了检验网络程序发送异常流量的速度和准确度。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：