[发明专利]一种基于频繁项集挖掘的移动互联网异常用户检测方法

说明书

本发明涉及一种基于频繁项集挖掘的移动互联网异常用户检测方法，属于移动互联网网络安全技术领域，本发明通过全面采集移动互联网中的各类数据，包括网络数据包、业务日志、安全设备事件等，构建大数据分析环境，利用大数据分析技术检测移动互联网内的异常用户；相比基于或依赖于客户端的静态或动态分析方法，在网络级层面进行异常用户分析，能够覆盖所有网络上的终端用户，恶意软件无法像绕过客户端安全防御那样容易来绕过网络级的监控分析，同时，这种角度的分析可以很方便的进行调整，而不需要考虑督促用户安装特定客户端、打补丁或升级。

技术领域

本发明属于移动互联网网络安全技术领域，具体涉及一种基于频繁项集挖掘的移动互联网异常用户检测方法。

背景技术

近年来，随着移动终端性能的提升和普及，移动设备的使用量已完全超过PC，依托于移动设备的上网流量大幅增长。与此同时，移动设备端恶意软件方面的感染率也在逐年递增，依据IBM Trusteer在2015年第一季度监测的结果，移动设备在恶意软件方面的感染率为1.12％。因此，需要对移动核心网业务数据进行分析，研究移动核心网络下的异常流量行为和用户行为，以了解当前网络下的异常用户状况。

当前，针对移动互联网异常用户的检测，主要实现方式是基于移动端恶意应用信息及数据关联得到异常的移动端用户，内容主要包括对移动端应用的捕获、对应用特征数据的提取、恶意应用的判定以及对恶意应用访问移动端的关联筛选。

如图1所示，可以利用多种方式获取当前网络内的应用信息，从实现机制上，可采用主动和被动两种方式获取app应用。被动方式监控网络内的app请求，对网络内的app文件流进行保存并还原为文件；主动方式有多种实现方式，如可利用爬虫针对app应用的文件链接信息，爬取后保存，较常用的为在移动端设备部署客户端应用对客户端安装的应用进行数据采集和分析。

对移动端应用的分析，相关检测技术主要包括静态样本分析和动态行为分析。静态样本分析技术通过分析应用的静态特征，如文件占用、源码依赖、特定字符串等确定应用的分类；动态行为分析技术通过对应用的行为进行监控，检测其行为是否具有恶意倾向判断是否为恶意应用。对移动端恶意应用的描述，一股需要利用静态或动态技术对特定恶意移动样本的特征进行抽取，并保存为特征向量组。利用这些特征向量数据作为训练依据，可对后续的样本进行检测。静态分析技术的输出主要包括：样本文件的相关信息，如文件大小、hash、需要的权限、文件类型和结构等；样本的函数调用，如组件间的调用关系，函数依赖序列；动态分析技术对样本的输出数据主要包括：样本的执行日志，如执行调用函数系列、样本执行输出文件、访问的外部资源、对隐私数据的访问、向外发出的数据等；样本资源的占用，如内存的使用，cpu执行事件以及电池的消耗等；基于得到的恶意应用信息，可以关联得到异常终端用户数据。如安装有恶意应用的终端、对恶意移动端应用所使用的域名进行访问的终端等。

现有的移动互联网异常用户检测方法，在部署方式上，对客户端应用和已知恶意应用依赖较多。很多检测方法的数据输入需要由部署在手机端的客户端应用进行收集，这导致依赖客户端应用的架构方式无法覆盖全部的移动端用户，且检测机制和方法的更新、恶意应用的行为变化无法快速和有效的传到到客户端，进行相对应的调整；对已知恶意应用依赖主要体现在检测方法无法对未知恶意应用进行检测，只能依赖于已捕获和分析的已知恶意样本分析数据。

发明内容

针对现有技术的不足，本发明提出一种基于频繁项集挖掘的移动互联网异常用户检测方法，本方法不需要移动设备客户端应用的支持，便于调整和部署，分析范围能够覆盖部署范围内的全部终端。

一种基于频繁项集挖掘的移动互联网异常用户检测方法，该方法在移动互联网中周期性采集各个移动终端的流量数据，按照时间顺序对各个移动终端所使用的应用进行排序并按照切分窗口进行切分，获得每个移动终端以应用对形式构成的频繁项集，当频繁项集发生改变时，则为异常用户。

具体包括以下步骤：