一种恶意软件处理方法、装置、计算设备和存储介质与流程

1.本发明涉及通信技术领域，具体涉及一种恶意软件处理方法、装置、计算设备和存储介质。


背景技术：

2.恶意软件是指任何旨在损害计算机、服务器或计算机网络的软件，其形式包括病毒、蠕虫、木马等多种。近年来，随着移动互联网的快速发展，手机恶意软件也通过恶意订购、资费消耗、窃取隐私、系统破坏等方式对用户造成重大损害，已经成为损害用户权益、导致运营商服务满意度下降的重要因素。
3.为保证手机用户利益，维护网络安全，运营商需要对恶意软件所在统一资源定位标志(uniform resource locator，url)进行定位并实施封堵，避免手机用户主动下载恶意软件或被动被恶意软件入侵。目前对已知恶意软件url封堵的方式主要有以下两种：第一种是域名系统(domain name system，dns)劫持法，删除或修改dns解析记录，当终端向dns发起恶意软件所在url的host域名解析请求，无法得到服务器ip地址，从而实现url封堵，但是由于url通常由hostname(主机名)和path(路径)两部分组成，其中hostname部分标识内容所在服务器，path部分标识内容所在具体位置，dns劫持只能针对url中的hostname部分进行封堵，无法精确识别url中的path部分，导致封堵范围过大；第二种是第三方服务器拦截法，具体将用户流量先疏导至第三方服务器，由第三方服务对包含恶意软件url的流量进行封堵，然而第三方服务器拦截法需要额外部署第三方服务器，成本高、业务上线时间长，其拦截过程需先将用户流量疏导第三方服务器，容易影响用户正常业务感知且安全风险较高。


技术实现要素：

4.鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种恶意软件处理方法、装置、计算设备和存储介质。
5.根据本发明的一个方面，提供了一种恶意软件处理方法，包括：
6.对已知的恶意软件url进行解析，构建处理策略；
7.监测目标用户发起的业务请求，解析所述业务请求的数据报文，得到报文解析结果；
8.将所述报文解析结果与所述处理策略进行匹配，若匹配成功，则对该业务请求进行阻断处理。
9.根据本发明的另一方面，提供了一种恶意软件处理装置，包括：
10.处理策略构建模块，用于对已知的恶意软件url进行解析，构建处理策略；
11.报文解析模块，用于监测目标用户发起的业务请求，解析所述业务请求的数据报文，得到报文解析结果；
12.处理模块，用于将所述报文解析结果与所述处理策略进行匹配，若匹配成功，则对
该业务请求进行阻断处理。
13.根据本发明的又一方面，提供了一种计算设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
14.所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述恶意软件处理方法对应的操作。
15.根据本发明的再一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述恶意软件处理方法对应的操作。
16.根据本发明的一种恶意软件处理方法、装置、计算设备和存储介质，通过对已知的恶意软件url进行解析，构建处理策略；监测目标用户发起的业务请求，解析业务请求的数据报文，得到报文解析结果；将报文解析结果与处理策略进行匹配，若匹配成功，则对该业务请求进行阻断处理。本发明利用核心网现有设备功能，对业务请求进行监测和解析，将报文解析结果与预先构建的处理策略进行匹配，从而将访问恶意软件url的业务请求进行阻断处理，实现了对恶意软件url的封堵，该方法无需新建第三方系统，通过灵活高效部署，精准识别目标用户，能够在用户无感知的情况下实现恶意软件封堵。
17.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
18.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
19.图1示出了本发明实施例提供的一种恶意软件处理方法流程图；
20.图2示出了本发明另一实施例提供的处理策略组成结构示意图；
21.图3示出了本发明实施例提供的一种恶意软件处理装置的结构示意图；
22.图4示出了本发明实施例提供的计算设备的结构示意图。
具体实施方式
23.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
24.策略控制和计费(policy control and charging，pcc)可根据运营商的计费策略实现服务数据流层级的计费功能，能够提供灵活的策略模型，从使用量、用户位置、时间段、漫游状态、消费额度、用户接入点名称(access point name，apn)、用户等级、用户终端类型和用户终端网络接入类型等维度，为用户提供服务质量(quality of service，qos)、重定向、短信/邮件通知、阻塞业务和费率改变等策略控制。本发明通过pcc下发针对恶意软件的处理策略，结合系统结构演进网关(system architecture evolution gate way，saegw)网元的业务感知功能，对访问恶意软件url的数据报文进行丢弃，实现恶意软件url的技术封
堵效果。
25.图1示出了本发明一种恶意软件处理方法实施例的流程图，如图1所示，该方法包括以下步骤：
26.步骤s110：对已知的恶意软件url进行解析，构建处理策略。
27.在一种可选的方式中，步骤s110进一步包括：将每个已知的恶意软件url按照三四层信息、协议类型和七层信息的方式进行解析，得到url解析结果；根据url解析结果，构建多个过滤器；将多个过滤器和动作组进行组合，构建处理策略。
28.在一种可选的方式中，三四层信息至少包括以下信息的一项或多项：源ip地址、目的ip地址、源端口号和目的端口号；七层信息至少包括以下信息的一项或多项：域名信息、url、方法和响应码。
29.具体地，图2为本步骤的处理策略组成结构示意图，如图2所示，处理策略rule(r)由过滤器filter(f)和动作组action(a)组成；通过过滤器(f)将已知的恶意软件url通过三四层信息(l3)、协议类型protocol(p)和七层信息(l7)的方式进行拆解，其中，l3可包括：源ip地址、目的ip地址、源端口号和目的端口号，即l3＝(ip
src
，ip
dst
，port
src
，port
dst
)；l7包括域名信息host、url、方法method、响应码，即l7＝(h，u，m，rsp)，每个过滤器filter通过一组l3、p、l7完成定义，即f1＝[l31，p1，l71]，f2＝[l32，p2，l72]，
……
，fn＝[l3n，pn，l7n]。其中，ip
src
和ip
dst
分别代表源ip地址和目的ip地址，port
src
和port
dst
分别代表源端口号和目的端口号；h代表域名信息host，u代表url，m代表方法method，rsp代表响应码。
[0030]
动作组action为对与处理策略rule中过滤器filter信息一致的报文解析结果的处理动作，本实施例中action可以设置为门控阻断，如对数据报文进行丢弃等处理。需要特别说明的是，一个处理策略rule可以包含多个过滤器filter，即rule＝{(f1，f2
……
fn)，a}。
[0031]
步骤s120：获取用户终端上报的用户信息，根据用户信息筛选出目标用户。
[0032]
在本步骤中，用户注册网络后，获取用户终端上报的用户信息，将用户信息按照运营商预先定义的用户筛选条件进行筛选，筛选出目标用户。在一种可选的方式中，用户信息至少包括以下信息的一项或多项：用户终端网络接入类型、用户终端当前接入的apn、用户终端类型、用户终端手机号码、用户终端所在的位置以及当前时刻等；表1为用户信息筛选示意表，如表1所示，在本实施例中，将用户信息按照信息类型分为：用户终端网络接入类型、用户终端当前接入的apn、用户终端类型、用户终端手机号码、用户终端所在的位置以及当前时刻等维度，通过以上维度对用户进行筛选，多个维度可组合使用，从而筛选出目标用户，其中，用户终端网络接入类型包括2g和/或4g；用户终端当前接入的apn包括cmwap和/或cmnet；用户终端手机号码为数字格式；用户终端类型、用户终端所在的位置以及当前时刻通过系统自定义决定取值范围；用户终端网络接入类型、用户终端当前接入的apn、用户终端类型和用户终端所在的位置由saegw网元整理上报；用户终端手机号码由pcc架构下的策略与计费规则功能单元(policy and charging rules function，pcrf)定义或由saegw网元整理上报；当前时刻则由pcrf定义。需要特别说明的是，由于上报实时位置对核心网的性能有较大影响，因此用户终端所在的位置一般指的是用户终端所在的初始位置，由pcc架构下的策略及计费执行功能单元(policy and charging enforcement function，pcef)上报。
[0033][0034][0035]
表1用户信息筛选示意表
[0036]
步骤s130：监测目标用户发起的业务请求，解析业务请求的数据报文，得到报文解析结果。
[0037]
在一种可选的方式中，步骤s130进一步包括：通过业务感知功能将业务请求的数据报文按照三四层信息、协议类型和七层信息的方式进行解析，得到报文解析结果。
[0038]
具体地说，监测目标用户发起的业务请求，解析业务请求的数据报文，通过saegw网元的业务感知功能(service awareness，sa)对业务请求的数据报文进行解析，具体地，对数据报文进行协议识别和内容识别，获得目的url等有价值的信息，在本步骤中，sa对业务请求的数据报文的解析同样按照三四层信息、协议类型、七层信息的方式实现，具体包括：
[0039]
1、三四层信息解析：其中，三层为网络层，用于处理数据报文的ip路由，在三层可以监控到数据报文的源ip地址和目的ip地址，四层为传输层，不同的应用层协议在传输层用不同的端口号来定义，在四层可以监控到数据报文的协议端口号(包括源端口号和目的端口号)。
[0040]
2.协议类型识别：协议类型识别包括知名端口协议识别和特征字协议识别。
[0041]
3、七层信息解析：七层信息解析用于在三四层信息解析和协议类型识别后对数据报文进行进一步精确的业务感知，对每一个业务请求的数据报文解析出相应的关键字信息，包括域名信息host、url、方法method、响应码等。
[0042]
通过步骤s130解析业务请求的数据报文，得到的报文解析结果格式如下：
[0043]
flow＝[l3u(ip
src
，ip
dst
，port
src
，port
dst
)，pu，l7u＝(h，u，m，
[0044]
rsp)]；
[0045]
其中，l3u(ip
src
，ip
dst
，port
src
，port
dst
)表示数据报文的三四层信息解析结果，ip
src
和ip
dst
分别代表源ip地址和目的ip地址，port
src
和port
dst
分别代表源端口号和目的端口号；pu代表数据报文的协议类型；l7u＝(h，u，m，rsp)代表数据报文的七层信息解析结果，h代表域名信息host，u代表url，m代表方法method，rsp代表响应码。
[0046]
步骤s140：将报文解析结果与处理策略进行匹配，若匹配成功，则对该业务请求进行阻断处理。
[0047]
具体地说，将步骤s130对业务请求的数据报文解析得到的报文解析结果flow与步骤s110处理策略rule中的每个过滤器filter进行匹配，若flow与任一个filter存在交集，即flow∩filter为true，则对该业务请求进行阻断处理，例如可将业务请求的数据报文进行丢弃。
[0048]
具体地说，pcc的策略控制包含门控、重定向和qos更新等，其中，门控功能(gate)可以对具体的业务请求进行阻断和/或放行的门控动作，包括业务请求的整体阻断或者单方向(上行/下行)阻断，在本实施例中动作组action采用pcc的门控技术，将识别到的恶意软件url对应的业务请求的数据报文进行丢弃。
[0049]
采用本实施例的方法，利用核心网现有设备pcc策略以及saegw网元，通过pcc的策略控制功能及saegw的业务感知功能筛选出目标用户，对目标用户发起的业务请求中可能带有的恶意软件url的数据报文进行丢弃，从而实现对恶意软件url的自动封堵，且该监测方法能够覆盖所有用户终端，能够灵活高效部署，无需新建第三方系统即可精准识别目标用户，能够在目标用户无感知的情况下实现恶意软件封堵。
[0050]
图3示出了本发明一种恶意软件处理装置实施例的结构示意图。如图3所示，该装置包括：处理策略构建模块310、目标用户筛选模块320、报文解析模块330和处理模块340。
[0051]
处理策略构建模块310，用于对已知的恶意软件url进行解析，构建处理策略。
[0052]
在一种可选的方式中，处理策略构建模块310进一步用于：将每个已知的恶意软件url按照三四层信息、协议类型和七层信息的方式进行解析，得到url解析结果；根据url解析结果，构建多个过滤器；将多个过滤器和动作组进行组合，构建处理策略。
[0053]
在一种可选的方式中，三四层信息至少包括以下信息的一项或多项：源ip地址、目的ip地址、源端口号和目的端口号；七层信息至少包括以下信息的一项或多项：域名信息、url、方法和响应码。
[0054]
目标用户筛选模块320，用于获取用户终端上报的用户信息，根据用户信息筛选出目标用户。
[0055]
在一种可选的方式中，用户信息至少包括以下信息的一项或多项：用户终端网络接入类型、用户终端当前接入的apn、用户终端类型、用户终端手机号码、用户终端所在的位置以及当前时刻。
[0056]
报文解析模块330，用于监测目标用户发起的业务请求，解析业务请求的数据报文，得到报文解析结果。
[0057]
在一种可选的方式中，报文解析模块330进一步用于：通过业务感知功能将业务请求的数据报文按照三四层信息、协议类型和七层信息的方式进行解析，得到报文解析结果。
[0058]
处理模块340，用于将报文解析结果与处理策略进行匹配，若匹配成功，则对该业务请求进行阻断处理。
[0059]
在一种可选的方式中，处理模块340进一步用于：将业务请求的数据报文进行丢弃。
[0060]
采用本实施例的装置，利用核心网现有设备pcc策略以及saegw网元，通过pcc的策略控制功能及saegw的业务感知功能筛选出目标用户，对目标用户发起的业务请求中可能带有的恶意软件url的数据报文进行丢弃，从而实现对恶意软件url的自动封堵，且该监测方法能够覆盖所有用户终端，能够灵活高效部署，无需新建第三方系统即可精准识别目标
用户，能够在目标用户无感知的情况下实现恶意软件封堵。
[0061]
本发明实施例提供了一种非易失性计算机存储介质，计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的恶意软件处理方法。
[0062]
可执行指令具体可以用于使得处理器执行以下操作：
[0063]
对已知的恶意软件url进行解析，构建处理策略；
[0064]
监测目标用户发起的业务请求，解析业务请求的数据报文，得到报文解析结果；
[0065]
将报文解析结果与处理策略进行匹配，若匹配成功，则对该业务请求进行阻断处理。
[0066]
图4示出了本发明计算设备实施例的结构示意图，本发明具体实施例并不对计算设备的具体实现做限定。
[0067]
如图4所示，该计算设备可以包括：
[0068]
处理器(processor)、通信接口(communications interface)、存储器(memory)、以及通信总线。
[0069]
其中：处理器、通信接口、以及存储器通过通信总线完成相互间的通信。通信接口，用于与其它设备比如客户端或其它服务器等的网元通信。处理器，用于执行程序，具体可以执行上述恶意软件处理方法实施例中的相关步骤。
[0070]
具体地，程序可以包括程序代码，该程序代码包括计算机操作指令。
[0071]
处理器可能是中央处理器cpu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。服务器包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。
[0072]
存储器，用于存放程序。存储器可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
[0073]
程序具体可以用于使得处理器执行以下操作：
[0074]
对已知的恶意软件url进行解析，构建处理策略；
[0075]
监测目标用户发起的业务请求，解析业务请求的数据报文，得到报文解析结果；
[0076]
将报文解析结果与处理策略进行匹配，若匹配成功，则对该业务请求进行阻断处理。
[0077]
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0078]
在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0079]
类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要
求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。
[0080]
本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0081]
此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0082]
本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0083]
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。