一种基于发送行为和网址特征识别病毒短信的方法
阅读说明:本技术 一种基于发送行为和网址特征识别病毒短信的方法 (Method for identifying virus short message based on sending behavior and website characteristics ) 是由 郭利荣 刘赵昌 梁晓丹 于 2021-07-21 设计创作,主要内容包括:一种基于发送行为和网址特征识别病毒短信的方法,据网址正则表达式检测短信内容中是否含有网址信息,对短信内容中的网址进行提取,跟踪网址的发送行为特征(发送主叫号码数量、发送数量、发送时间分布、发送离散度等),并通过网络爬虫技术对网址进行访问,获取网址所承载的特征信息,并结合病毒短信的应用特征,计算出识别模型的综合得分,作为判断短信是否为病毒短信的依据。(A method for identifying virus short messages based on sending behaviors and website characteristics comprises the steps of detecting whether website information is contained in short message contents or not according to a website regular expression, extracting websites in the short message contents, tracking the sending behavior characteristics (the number of sending calling numbers, the sending number, the sending time distribution, the sending dispersion and the like) of the websites, accessing the websites through a web crawler technology, obtaining characteristic information borne by the websites, and calculating the comprehensive score of an identification model by combining the application characteristics of the virus short messages to serve as a basis for judging whether the short messages are the virus short messages or not.)
技术领域
本发明属于网络与信息安全领域,特别涉及一种基于发送行为和网址特征识别病毒短信的方法。
背景技术
手机病毒通过带有病毒网址的短信推送伪装引诱信息,使得目标用户被动接收,由于年龄及受教育程度等因素,不乏部分人群上当受骗,从而触发病毒下载以及通讯录接力扩散传播,因此其危害面大。鉴于这一特点,目前病毒短信防治方法多在用户终端施行:一是提醒手机用户提高警惕性,如不点击打开不明网址、不下载安装不明手机应用等;二是建议手机用户安装杀毒软件。这些防治方法均属于被动防治,而且对手机用户要求较高,因此局限性大,也难以有效遏止病毒短信传播。
现有技术通常只对网址进行分析,识别出短信是否含有病毒网址,但因为病毒网址的特征变化多样,单靠网址特征识别无法快速识别出病毒网址,而短信发送传播便捷快速,识别滞后会造成更多用户信息泄露和财产损失,有必要对病毒短信进行快速识别和拦截响应,保障用户安全。
发明内容
本发明的主要目的在于提供一种基于发送行为和网址特征识别病毒短信的方法,为了实现主动防范病毒短信,及时发现病毒短信并从源头有效遏止其传播与扩散,从运营商网络侧着手研制针对病毒短信的防治方法,并在网络侧实行拦截防治,本发明采取的技术方案为:
一种基于发送行为和网址特征识别病毒短信的方法,其特征在于:包括以下步骤:
(1)运营商网络实时接收短信内容;
(2)根据网址正则表达式检测短信内容中是否含有网址信息,如果不含网址信息则读取下一条短信;
(3)如果含有网址信息则分析含有该网址的短信发送行为特征,包括发送主叫号码数量、发送数量、发送时间分布、发送离散度;
(4)通过网络爬虫技术对网址进行访问,获取网址所承载的特征信息;
(5)结合病毒短信网页的应用特征,计算出识别模型的综合得分,作为判断短信是否为病毒短信的依据。
病毒短信网页的应用特征包括静态特征和动态特征两种,静态特征包括:网址正则表达式、网址长度特征、网址词汇特征、网址相似特征、顶级域名特征、短网址特征;动态特征包括:浏览器特征、页面跳转特征、IP地理位置的特征、安装程序下载特征、文件属性特征和程序行为特征。
各网址特征的含义及取值说明如下:
网址正则表达式
为了识别短信中是否含有网址,并准确提取网址信息,通过正则表达式描述出网址的特征并进行提取,若提取成功,则进行下一步的网址特征分析工作,否则识别提取下一条短信。
网址长度
由于短信长度有140个字节的限制,病毒短信通过较为简短的语言描述和便捷的网址点击访问方式,诱导用户访问链接笛子,经统计,病毒短信的 URL长度主要集中在[11,14]范围。
网址词汇特征
经统计发现,病毒网址中使用的词随意性较大,无特别含义。针对该特征,通过利用英文词汇语法检测方法,对网址的词进行语法检测,如语法检测不正常,则网址词汇特征值为1,否则为0,作为判断病毒网址的决策因素之一。
网址相似特征
为了避开因网址被设置为关键词而无法正常下发,部分病毒网址通过调整网址中的路径信息,引申出一个新的网址,但实际上这些网址都具有相同的前缀结构。
通过对短信中的网址与病毒网址库中的网址进行相似比较,如果存在相同前缀结构、路径信息不同的,则网址相似特征值为1,否则为0,作为判断病毒网址的决策因素之一。
顶级域名特征
经统计发现,网址使用不常见的顶级域名时,如:pw、me,网址为病毒网址的可能性提高30%。
通过定义常见顶级域名列表,当网址的顶级域名不在常见顶级域名列表中,标识该网址的顶级域名特征为1,标识顶级域名不常见,否则为0,标识顶级域名为常见域名。顶级域名不常见的情况下,网址为病毒网址的可能性越高,作为判断病毒网址的决策因素之一。
短网址特征
为了使病毒网址更普通,跟普通网址类似,病毒网址通常借助于知名的第三方平台生成短网址,缩短地址的同时隐藏了真实的病毒网址域名。
对网址进行是否为第三方平台的短网址检测,若是,短网址特征为1,否则为0,作为判断病毒网址的决策因素之一。
浏览器特征
病毒短信中的网址攻击对象主要为手机,通过在手机端点击网址自动下载安装文件并安装,利用病毒程序扩散病毒短信和窃取用户手机上的信息。为了防止病毒网址被PC端浏览器或爬虫服务访问,病毒网址通常限制只能手机浏览器才能访问,对访问网址的浏览器进行检测和类型限制。
通过检测网址是否存在访问浏览器类型的限制,若存在,浏览器特征为 1,否则为0,作为判断病毒网址的决策因素之一。
页面跳转特征
正常情况下,通过爬虫服务访问病毒网址即可爬取病毒网址提供的病毒程序安装文件,对病毒安装程序进行程序行为分析。但实际中,病毒短信制造者为了防止病毒网址被爬虫服务访问,在访问网址上通过window. location.href、window.loction.replace、window.navigate、 self.location、meta配置等方式设置页面跳转,实现反爬虫访问处理。通过检测网址是否存在页面跳转处理,若存在跳转,浏览器特征为1,否则为0,作为判断病毒网址的决策因素之一。
IP地理位置特征
病毒网址归属的服务器IP所在地,通过都相对集中,另外为了避开公安部门的侦查追踪,约60%的病毒网址服务器IP来自包括中国香港、美国、亚太地区等国家和地区。
定义病毒网址常出现的归属地列表,通过获取网址对应服务器IP的归属地信息,并在常出现病毒网址的归属列表中查找,若查找到,IP地理位置特征为1,否则为0,作为判断病毒网址的决策因素之一。
安装程序下载特征
病毒短信为了实现病毒扩散和窃取用户手机上的信息,必须通过病毒短信中的网址提供病毒安装程序的下载,有别于普通网址提供的网页信息内容服务。
对网址是否提供安装程序下载安装的行为,若是,安装程序下载特征为1,否则为0,作为判断病毒网址的决策因素之一。
文件属性特征
病毒网址提供下载的病毒安装程序,经统计分析,文件一定为Android安装包(apk),60%的文件名为中文,80%的文件大小在[200,330]KB范围。通过病毒网址提供的病毒安装文件的属性,作为判断病毒网址的决策因素之一。
程序行为特征
病毒网址提供下载安装的病毒程序,为了能继续扩散病毒和窃取用户信息,该安装文件所要获取的系统权限和动作行为会包含以下特征:读取通讯录中的手机号码和姓名信息,对病毒短信模板更新姓名信息,并往该通讯录好友发送病毒短信;读取手机终端信息、用户的通讯录、通话记录和短信等信息,通过邮件方式往指定邮箱发送。
通过检测病毒程序的行为特征,发现存在泄露隐私的行为或存在恶意行为,若存在,程序行为特征为1,否则为0,作为判断病毒网址的决策因素之一。
附图说明
图1为本发明流程图
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
实施例1
如图1所示,一种基于发送行为和网址特征识别病毒短信的方法,包括以下步骤:
(1)运营商网络实时接收短信内容;
(2)根据网址正则表达式检测短信内容中是否含有网址信息,如果不含网址信息则读取下一条短信;
(3)如果含有网址信息则分析含有该网址的短信发送行为特征,包括发送主叫号码数量、发送数量、发送时间分布、发送离散度;
(4)通过网络爬虫技术对网址进行访问,获取网址所承载的特征信息;
(5)结合病毒短信网页的应用特征,计算出识别模型的综合得分,作为判断短信是否为病毒短信的依据。
识别模型为通过对静态特征和动态特征12个特征值,使用决策树方法,根据涉及判断病毒短信的关键因素建立决策模型,分析出各个特征值在决策模型中所占的权重比例,提取出的12个特征值表示为:
T={t_1,t_2,...,t_12}
对12个特征值在决策是否为病毒短信过程中所占比重即百分比表示为:
K={k_1,k_2,...,k_12}
通过t_1*k_1+t_2*k_2+…+t_12*k_12计算出病毒短信网页特征模型的综合得分,按以下映射关系f,通过实时分析通信网络上实际传输的短信St,可标注出病毒短信Sv:
f:St,T,K->Sv
基于上述标注识别病毒短信时所用到的特征参数值,可以计算出相应病毒短信的综合得分:
0<=f(St,T,K)<=1
根据病毒短信网页特征模型的综合得分,判断短信是否为病毒短信,实现精准拦截。
病毒短信网页的应用特征包括静态特征和动态特征两种,静态特征包括:网址正则表达式、网址长度特征、网址词汇特征、网址相似特征、顶级域名特征、短网址特征;动态特征包括:浏览器特征、页面跳转特征、IP地理位置的特征、安装程序下载特征、文件属性特征和程序行为特征。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:业务处理的方法、装置、系统及计算设备