[发明专利]基于用户的移动互联网恶意程序URL智能分析挖掘方法

摘要

本发明涉及互联网络技术领域，具体涉及一种基于用户的移动互联网恶意程序URL智能分析挖掘方法，它采用如下方法步骤：步骤一；订购模式匹配：步骤二；第一次智能分析：步骤三；根据步骤二得到的第一次输出数据，进行分析得出黑白名单URL；步骤四：根据步骤三的数据进行第二次智能分析：步骤五；针对第二次输出数据，进行第三次智能分析：它具有速度快，定位准确，能够提前发现疑似URL的时间，针对目前通过用户投诉才能发现恶意扣费移动互联网恶意程序，能够在发现移动互联网恶意程序样本之前侦测得到到移动互联网恶意程序主控地址，保护了手机用户的安全使用移动互联网络，减少损失。

主权项

1.基于用户的移动互联网恶意程序URL智能分析挖掘方法，其特征在于：它采用如下方法步骤:步骤一：订购模式匹配:输入：用户每天访问的url列表；输出:订购业务的疑似URL，判断是可疑的业务订购；1)根据业务订购关键筛选有关URL，通过IO操作与URL数据库进行数据交换；2)按时间顺序依此扫描用户访问的URL地址，根据关键字匹配判断用户订购的业务类型，根据订购类型gameOrder，确定需要匹配的业务流程节点，然后提取出相应的URL段进行业务流程节点匹配，打印出匹配到的业务流程节点，所有业务流程节点构成一个业务流程节点链；3)根据用户访问的流程节点链条，通过订购模式库，进行分析判断；其中:URL数据库，现在生产环境的数据库为ORACLE数据库，程序以一天的数据为单位进行分析；其中：IO操作，支持两种数据库操作方式，包括原生数据库读取和Hibernate面向对象，进行数据读取，使用原生数据库操作；IO操作是根据关键词匹配，关键词为cmgame、mmGo、cmread或10086，过滤掉无关的用户数据；其中：订购模式库：人工提取移动的标准订购流程，定义为规范，xml定义存储；步骤二：第一次智能分析:1)以每个用户一天的数据为单位，根据用户想要订购的业务而选取对应的标准订购模式进行匹配，并打印相应的信息，经过的流程节点，到日志；2)得出结论，输出：这是一个完整/不完整的订购业务，如果完整，则判断，输出：是一次可疑/可信的业务订购行为，并且打印出相应的用户id，形成第一次输出数据；第一次输出数据根据订购模式匹配，把可疑的订购行为的用户访问URL记录输出和相应的用户信息输出；第一次输出数据包括可疑订购的URL分析和可疑用户的URL列表；步骤三：根据步骤二得到的第一次输出数据，进行分析得出黑白名单URL；输入：可疑的URL列表输出：匹配到的URL黑名单；建立了两种列表：移动互联网恶意程序黑名单URL列表和URL白名单；URL列表为已知的移动互联网恶意程序主控地址，URL白名单为主流网站新浪、百度；在程序开始运行把相应的黑白名单信息写入到缓存，然后通过对url进行匹配，命中到黑名单则输出，命中到白名单的URL则对在url列表中移除相应的url信息；步骤四:根据步骤三的数据进行第二次智能分析:1)步骤三中所得到的黑名单、白名单；2)URL痕迹匹配：输入：可疑的url列表输出：相似度高的URL；实现步骤：是加载白名单的列表，然后对每个url一一跟白名单的URL进行相似度匹配，但相似度达到权值则输出；3)余弦相似性判断：输入：可疑的url列表输出：相似度高的URL实现方法：是加载白名单的列表，然后对每个url一一跟白名单的URL进行相似度匹配，但相似度达到权值则输出；URL相似度分析用编辑距离算法，编辑距离算法又名Levenshtein距离：Levenshtein距离，是指两个字串之间，由一个转成另一个所需的最少编辑操作次数；许可的编辑操作包括将一个字符替换成另一个字符，插入一个字符，删除一个字符；通过距离的大小，就可以很好的代表两个的字符串的相似度匹配；4)进行第二次智能分析后得到第二次输出数据；第二次输出数据：输出有两种：1)可疑URL主控地址；2)可疑URL传播地址；可疑的URL传播地址，可以通过程序爬去直接获得移动互联网恶意程序样本；而主控地址则可以通过MMDS分析而获取相应的移动互联网恶意程序样本可疑URL传播主控；步骤五：针对第二次输出数据，进行第三次智能分析:将可疑URL进行主控特征提取，然后从用户上网日志的下载链接中进行疑似主控特征过滤，将过滤获取到的移动互联网恶意程序样本提交给人工进行分析，提取移动互联网恶意程序特征，加入移动互联网恶意程序特征库，改善杀毒效果；1)将第二次输出数据中的可疑URL主控地址，进行系统分析，然后输入至病毒样本智能分析中，同时将可疑URL主控地址输入至URL特征库备存；2)将第二次输出数据中可疑的URL传播主控直接输送至病毒样本智能分析，并输送至URL特征库备存；3)方便下次进行第二次智能分析时，根据URL特征库进行比对。