网络恶意营销

网络恶意营销（精选7篇）

网络恶意营销 篇1

微博营销公司恶意炒作明星, 意图吸粉赚取关注, 邓超所能做的也仅仅是发声明谴责, 并要求微博官方封号。从刷爆朋友圈的“支持贩卖儿童判死刑”到“怪蜀黍”吴秀波等一众明星拒绝坐黑车, 过后都被发现是商家肆意挑逗起大众趋善避恶的情绪以从中牟利。只要以营销的名义, 事后轻巧地表示歉意, 删掉相关内容, 就可以安然炮制下一个话题。长此以往, 以营销之名恶意攻讦的弊端便不言自明, 居心叵测之人可以肆意利用这样的机制来造谣中伤, 混淆视听, 甚至颠倒黑白。

“优衣库试衣间”是恶意视频还是营销炒作

2015年7月14日晚, 名为“三里屯优衣库试衣间”的消息在微信微博疯狂转载。相关平台立即出面控制, 所有照片和视频均被删除, 优衣库试衣间事件也没有出现在新浪话题榜上。由于视频的大量点击量以及网上段子手的积极参与, 给优衣库带来了巨大的广告效应, 网友不得不提出质疑, 指出试衣间事件实际上为优衣库的营销手段。而优衣库官方在15日作出回应, 表明优衣库方面非常重视这件事, 会严肃调查, 并坚决否认所谓的自我营销说法。

1.公民处事行为要规范和谨慎。不管是恶意视频还是营销手段, 身处互联网时代, 对自己的处事行为要更加规范和谨慎。撇开优衣库不讲, 视频上传对当事人的影响也不容忽视。生活越来越透明化, 这并不是一件坏事, 然而所有的事情都有一个度, 必须把握好度, 给自己和其他人一些尊重和保护。优衣库事件并不是一个供人娱乐的饭后话题, 也不该是各大商家广告营销的话题热点。必须严肃对待, 加强法治力量, 加强对网络平台的监控, 规范网络用户的行为, 需要网络平台负责人的调控和每一位网民的配合。

2.微博就“优衣库不雅照事件”关闭恶意营销账号。截至7月15日9时, 共关闭借此诱导关注、恶意传播的账号35个。截至16时, 共接到网友举报并处理相关信息11850条, 关闭恶意营销、诱导关注账号117个。长期以来, 微博始终保持对色情信息的处理力度, 近期还重点处置了引导至第三方平台进行色情服务交易的行为。广大用户应该积极举报, 共同抵制色情信息的传播。

名人微博就“不雅视频”公开道歉

通常来说, 私人场合的东西不适合做政治定性的依据, 因为人在这种场合比较放松, 说话随意, 容易受临时性因素的影响。而政治是严肃的事情, 用于政治定性的材料应是经过深思熟虑的言行。毕福剑就“不雅视频”做出公开道歉, 称个人的言论在社会上造成了严重不良影响, 作为公众人物, 一定吸取教训, 严格要求, 严于律己。

1.互联网时代名人谨言慎行。互联网时代, 舆论对名人的窥探无孔不入, 这大大提高了名人谨言慎行的必要性。各种社会名流的私下言行被曝光到互联网上, 在全世界都已屡见不鲜。互联网时代的舆论有其自身规律和特点, 它可以截取名人言行的一个片段, 对其进行难以置信的放大, 导致不可思议的后果。毕福剑风波可谓最新殷鉴。

名人们多自重、多谨慎还是必要的。尽管无法根据已有信息下某个结论, 但上述视频降低了名人的公众形象, 让多数人感到不舒服是确定无疑的。大众明星作为公众人物, 与主流社会的价值观念保持和谐, 比嬉笑怒骂地显示“才华”更为重要。

2.搜狐网友舆论大致持平。在搜狐针对网友的调查中, 虽然54%的网友认为“言论自由过界”, 但也还有43%的网友认为是“酒桌上的调侃, 不涉及原则问题, 不必上纲上线”, 相差不多。更要紧的是关于“将私人聚会的视频发布到网上的好事者”, 有45.61%的网友认为这个行为是为了“向大众公布毕福剑真实的一面”, 但与此同时, 也有25.94%的网友认为此人“别有用心, 想对毕福剑发难”, 另有20.08%的网友认为此举涉嫌窃取他人隐私, 属于非法行为。后两者相加, 正好也与前者大致持平。特别值得一提的是, 有些法治观念强的网友一下子辨识出来谁是真问题, 认为偷拍违法, 认为发视频的人比老毕更可恨。这类说“老毕交友不慎”的网友, 和像“中国人”这样义愤填膺的网友也是势均力敌, 看来搜狐网友的舆论是大致持平的, 网友意见的分裂一以贯之。

微博寻人被疑“恶意营销”

一条由众多网友接力, 并有多位名人转发的寻人微博, 被警方证实所谓失踪女孩查无此人。网友开始怀疑, 这是一家公司的恶意营销策划, 通过透支网友信任以达到宣传的目的。

1.虚假的寻人微博。2015年6月24日, 寻找失踪儿童的民间公益组织“宝贝回家”发布的微博称, 6月1日一位名叫刘艾菲的10岁小女孩在南京雨花区红山动物园走失, 对于小女孩的特征描述是有酒窝, 双眼皮, 穿一条安奈儿的连衣裙。微博中还附上了这名女孩和她所穿衣物的照片。6月25日经警方证实, 失踪的10岁女孩查无此人, 而且警方及红山动物园均未接到报警。众多转发这条微博的名人和网友们, 要求警方介入调查。

2.安奈儿品牌是否策划微博营销。网友怀疑, 这条微博的背后其实是安奈儿服装公司的恶意营销策划。因为在微博配图中, 除了女孩照片外, 还附上了占比例较大的安奈儿童装图片。“宝贝回家”负责人称, 一般来寻人的求助者, 对于失踪者穿着方面的描述都是关于颜色、样式、图案等, 从来没见过一上来就说穿什么牌子的。安奈儿在其官方微博发表郑重声明:安奈儿对于此事, 事先并不知情, 绝非企业蓄意炒作, 坚决支持相关部门彻查。而“宝贝回家”负责人也认为, 此事可能属于个人恶意登记虚假信息, 企业都有自己的企业文化, 一般不会通过公益的方式进行炒作和营销。

3.企业文化不会自毁品牌和声誉。博瑞艾科品牌营销机构总经理梅峰, 在接受《国际金融报》采访时表示, 网友愤怒是因为他们认为这条微博滥用了人们的同情心。利用公益方式进行营销并没有什么错, 但是如果发布虚假信息或者超越道德底线, 这样的行为便是可耻的。微博营销一般出于商业目的, 虚假信息通过公益营销风险过大, 拆穿之后负面影响远大于正面影响。虽然有时候没名声不如坏名声, 但一般是基于个人而言, 对于企业来说, 通常不会拿自己的品牌和声誉开玩笑。

微信对恶意营销账号限制人数

2015年5月20日, 武汉“太美人才”董事长方奕的微信接连收到消息, 被告知“你的微信人数已达上限, 请删除部分后再添加”。方总在朋友圈中吐槽:关注好友已达上限, 加不了新朋友, 这是要逼着我们辞旧迎新吗?有朋友在“评论”中问方总有多少个朋友, 方奕回答有6000多个。

1.微信朋友圈不是营销平台。5月16日开始, 腾讯掀起了新一轮“净化行动”, 大力打击微信公众号和朋友圈假货、代购营销。微信团队的官方微博上称, 微信朋友圈是由熟人关系链构成的小众、私密的圈子, 它不是营销平台。不鼓励利用个人微信号进行营销, 为了保护用户体验, 净化平台环境, 微信对部分通过大量添加好友, 从事商业营销的个人微信号进行联系人数量限制, 并对用户举报较多、涉及假货及商业侵权的微信号, 依据有关法律法规进行处理。

2.个人通讯录好友上限5000。每人微信的“个人好友数量、关注的公众账号数量、所在群内成员的数量将不能超过5000个, 一旦满员将无法添加”。对于这种说法, 腾讯方面表示:“微博上传言的5000人上限包括群和公众号, 这种说法不对。5000人的上限是指通讯录好友数量, 不包括群和公众号。其实绝大多数人都达不到5000的上限, 有这么多好友数量的, 十有八九是营销账号。”对于分享到朋友圈里的信息不少朋友看不到的问题, 腾讯方解释说, 由于在朋友圈里分享的内容是以随机的形式发送给“圈内人”的, 并不是每个“圈内人”都能看到。据一位业内人士透露, 随机转发的现象较早之前就已经存在, 转发的比例大概在七成左右, 其目的“大概也是为了限制恶意营销吧”。

3.打击恶意营销, 别限制正常用户。随机对63名微信用户进行调查, 发现11%的用户通讯录联系人少于50人;78%的用户通讯录联系人数量在50—200人之间;10%的用户通讯录联系人数量多于200人。像方奕这样好友人数超过5000的微信用户, 不到百分之一。“腾讯‘净化’朋友圈的行为我举双手赞成。但打击那‘十有八九’的恶意营销, 把‘十之一二’的正常用户也一刀切有些不妥。”一位微信达人说。现在网络技术较为发达, 总有办法区分恶意营销和正常扩散, 随机转发这种方式容易导致朋友之间的误会。

在互联网新媒体生态下, 在人人都能做舆论监督者之时, 去伪存真、辨谣止谤的机制设置便显得更为重要。而且, 这个机制不能全部寄望于监管部门, 媒体平台服务商和媒体工具使用者也应该参与进来, 共同净化风闻中的谣言。不忌惮舆论场中的恶意, 对于那些确有其事的明星名人丑闻, 让这些丑恶阴暗无处遁形;至于那些以营销名义炮制的恶意, 也应当有雷霆举措, 令其如风闻奏事般“百僚震恐”。

“智商充值”实为恶意营销 篇2

点评:“你的智商余额不足, 请充值”, 本来是个用来调侃的话, 谁知道“万能的淘宝”上, 竟煞有介事地出现了如此多的卖家, 且十分火爆, 以至于卖家发公告:“智商充值, 订单量大, 掌柜的施法要时间!不要急!都会充上!”那么, 这款声称“智商直充, 一秒到账, 瞬间完爆爱因斯坦”的商品究竟是啥玩意呢。说来真是好笑, 这个价格为0.2元的商品实际是卖家发给买家的一条信息:一张写着“IQ”两字的图片。

但凡智力正常的人看到这里, 应是边喷饭边认定此系恶搞了。从买家多为学生的情形来看, 这些人在收到“智商充值”的“商品”后, 不但不觉得上当受骗, 反而忙不迭地点赞, “果然我更机智了”“我觉得我的智商有了明显提高”、“我没挂科会来追加评论”等。从这些“好评”中不难看出, 很多买家是带着娱乐和减压的心态来看待所谓的“智商充值”服务的。而这款“商品”之所以火爆, 还要拜网络流行的“病毒式营销”所赐, 它充分利用了年轻人的猎奇和搞怪心理, 从而在朋友圈病毒式转发和扩散。

网络恶意流量检测技术研究 篇3

1 互联网恶意流量安全检测技术研究

1.1 高效“僵木蠕”流量高速识别技术

1.1.1 提取文件特征

分析的基本案例就是Android程序, 一般来说, 会对Android程序内部权限构成文件的特征向量进行提取, 如, 应用Android程序权限的时候, 主要就是依据Android程序提出了134个划分权限列表特征, 例如, 读取手机短信、手机状态、读取通讯录、读取地理位置、读取通话记录、拦截普通短信、发送短信、修改系统设置、访问网络、结束后台程序、获得IMEI密码等[1]。

1.1.2 构造特征向量空间

构造特征向量空间的时候, 可以把特征提出的Android程序描述串合理变为{0, 1}取值向量[2]。计算特征向量的时候, 因为会占据很大空间, 主要应用的形式是索引向量, 如, 依据特征索引方式来合理提取高危权限网络恶意程序特征。假设已知样本A, B以及病毒X提出特征数据结果分别是文件带有病毒X的提出特征描述串:

{READ_SMS, ACCESS_NETWORK_STATE, R EAD_CONTACTS, CALL_PHONE, WRITE_SMS}:

提出B文件样本特征描述串:

{WRITE_EXTERNAL_STORAGE, READ_MSM, ACCESS_NETWORK_STATE, READ_CONTACTS, CALL_PHONE, WRITE_SMS};

提出A文件样本特征描述串:

{READ_PHONE_STATE, SEND_SMS, WRITE_EXTERNAL_STORAGE, READ_MSM, , WRITE_SMS}。病毒X和样本A, B向量基本形式为X00011111, B00111111, A11110001。病毒X以及样本A, B索引基本形式是X{3, 4, 5, 6, 7}, B{2, 3, 4, 5, 6, 7}, A{0, 1, 2, 3, 7}。

1.1.3 快速聚类分析

最邻近样本特征向量以及每个样本特征向量之间具备比较大概率的同类文件, 所以, 需要在已知聚类样本中对新增样本邻近查询, 合理计算最近邻近样本和新增样本之间距离, 如果具备超过定阀值的最短距离会在邻近聚类中归纳新增样本, 反之就建立新聚类。构造特征向量空间的时候, 一般都是对原始向量取值为{0, 1}, 所以, 建立快速聚类分析的时候主要应用臭氧散列函数, 是随机选择的一组D维向量特征中K维自向量, 依据实际索引情况进行适当索引, 原始向量对应的结果中适当选取0或1, 形成子向量[3]。每次计算一种随机向量结果的时候, 就会出现与之对应的子向量K, 如果具备相同的2个向量结果, 属于同一聚类。依据上述实际情况对病毒X和样本A, B随机选择L为4的索引作为子向量, 索引{4, 5, 7, 8}, 可以得到向量子集X是1111, 向量子集B是1111, 向量子集A是1001, 可以发现X的最邻近是B, 而不是A。因此, 不再检测正常A文件, 二次确认检查疑似恶意程序的B样本。

1.2 自适应动态沙箱智能研判技术

国内外运行商首先提出处理网络疑似病毒的模型——基于平行沙箱的智能研判模型, 可以在一定程度上安全检测流量环境中的程序应用情况[4]。基于此模型, 建立了自然对数危险函数序列的深度等级量化智能研判技术, 也就是说可以对安全等级进行判断, 智能化分析未知恶意程序, 计算未知恶意程序等级基本公式为:

其中, α是多维度特征运算扫描结果, γ是自适应动态沙箱运算结果;β是是扫描未知病毒结果, ε是扫描敏感字结果, δ是动态沙箱Android运算结果。上述值都属于[0, 10], 四舍五入处理是Round{}, 保留1位小数。特征库映射以及计算恶意程危险函数序列之间关系如表1所示。

2 互联网恶意流量安全检测技术应用

2.1 系统设计架构

网络恶意流量检测系统包括集中管理模块、恶意程序处置模块、恶意程序分析模块、流量采集模块[5]。设计系统结构的基本理念就是依据监测恶意程序引擎的方式来适当监测网络恶意流量, 并以智能方式多重过滤和研究检测引擎依据上报恶意未知程序, 健全网络流量恶意程序特征库, 依据特征库实际情况建立恶意程序处理模块, CE路由器网络需要主动拦截以及预防恶意程序, 系统可以研制和捕获典型网络恶意程序, 统一发布和管理封堵, 集中角度封堵资源等。设计此系统的时候, 采集原始流量利用PI口, 访问镜像用户互联网和流量数据的还原文件、重组报文等, 检测恶意程序的时候合理应用恶意程序搜索引擎, 对集中管理模块提供检测结果, 系统核心就是集中管理模块, 可以达到运行管理、恶意URL管理、警告管理、报表展示、管理特征库等功能, 并且对处置模块输送合理的封堵策略。

2.2 流量采集模块

流量采集模块根本作用就是可以收集网络中类似恶意程序的软件样本、传播地址源、行为特征以及受害用户信息, 可以分析恶意软件。流量采集模块可以存在多种实现形式, 包括检测业务平台异动方式、检测蜜罐被动方式、光路器选择方式、镜像方式、分光方式等[6]。

2.3 恶意程序分析模块

恶意程序分析模块应用根本作用实际上就是可以对镜像用户网络流量进行流量分析, 获得RADIUS流量数据以及访问网络数据, 合理连接集中管理模块, 可以对结果进行上报, 并且集中分配管理配置策略[7]。

2.4 恶意程序处置模块

恶意程序处置模块根本作用就是能够达到处置恶意程序的目的, 依据查杀恶意执行程序的软件、阻断网络恶意软件传播源等方式阻断网络恶意传播行为和上下行流量网络恶意程序。处置恶意程序的时候需要单独应用物理接口, 可以对管理信息进行传递[8]。

2.5 集中管理模块

集中管理模块根本作用就是可以为集中数据和分析数据提供基础, 为系统运行提供分析和检测未知恶意程序基本功能, 对下发病毒数据库和病毒统计信息进行收集, 依据收集的实际信息来认定恶意软件, 以此发现新软件, 对恶意软件进行查杀, 并且提出同步特征信息, 为系统管理系统和分析报表等提供依据, 为进一步研究和管理网络流量提供基础和保证[9]。

3 结语

本文深入分析和研究了网络恶意流量检测系统实现机制、构架设计等, 把僵木蠕恶意流量监控技术合理应用在计算特征向量距离汇总, 达到精确阻断以及高速识别恶意流量的目的, 基于自适应动态砂箱技术来对其进行分析, 研究智能化云端系统, 进一步分析网络恶意流量检测技术, 对于整体提高网络安全具备很大作用。

摘要：随着社会的发展以及互联网技术的进步, 越来越重视网络安全问题。文章主要分析了网络中日渐明显的恶意流量安全检测问题, 着重研究了一些恶意流量安全检测技术, 如自适应动态沙箱智能研判技术、僵木蠕流量高速识别技术等, 最后依据集中管理全网监测, 协同发展控制策略的理念, 建立了云端一体化安全检测恶意流量技术体系。

关键词：互联网,恶意流量,安全检测

参考文献

[1]李军利, 卜晓燕, 张根耀, 等.恶意DNS流量攻击研究[J].计算机应用与软件, 2011 (9) :200-202.

[2]魏为, 李芝棠, 涂浩, 等.基于被动流量监控的恶意网站检测[A].中国教育和科研计算机网CERNET第十七届学术年会论文集[C].2010.

[3]柴智, 陈谦.移动互联网恶意程序监测系统的研究与应用[J].电信技术, 2014 (9) :115-120.

[4]冯薇薇.移动互联网恶意程序监控防治系统部署方案及关键技术[J].广东通信技术, 2013 (11) :18-21.

[5]林信达.一种移动互联网恶意程序监测分析与处置[J].江苏通信, 2014 (6) :57-58.

[6]陈耿, 林鹏, 胡先桃, 等.基于DNS的恶意软件追踪与监测[A].第二十二届全国信息保密学术会议 (IS2012) 论文集[C].2012.

[7]张俊权.移动互联网异常流量和恶意代码识别与管控研究[J].甘肃科技, 2015 (19) :15-18.

[8]张玉兰, 陆松, 陆玲, 等.移动互联网恶意程序分析与管控系统研究[J].网络安全技术与应用, 2015 (5) :114, 116.

网络恶意营销 篇4

1 恶意呼叫现象分析

选定的BSC位于城乡结合部, 城中村较多, 恶意呼叫现象非常明显, 统计数据见表1, 该BSC的小区基本处于拥塞状态, 而且接通率低, 掉话率比较高。

通常定义15分钟内向MSC发起断连大于40次的IMSI为恶意呼叫号码。

通过INTERQUEST仪表对A口数据采集, 统计早忙时1个小时的呼叫情况如表2, 总呼叫次数中有64%是属于恶意呼叫的软件拨号, 冲击BSC负荷和性能指标。表2恶意呼叫次数占BSC总呼叫次数比例

软件拨号的被叫号码特征是固定手机号码前面7位, 以步长为1对后4位进行迭代, 用7.3秒做呼叫的时间间隔, 所以受恶意呼叫异常用户行为影响的小区T保持时长一般是5至10秒。

2 对网络性能的影响

恶意呼叫异常用户行为占用大量网络资源, 主要是对T和C信道的占用, 对网络的接入和掉话性能造成影响, 同时也对无线环境形成了干扰。

2.1 对接入的影响

由于现网开通了动态SDCCH, 把TCH信道临时转换为SDCCH信道使用, 而且优先于T信道的使用, 所以C信道资源相对比较充足。下面我们重点分析恶意呼叫用户行为对T信道的接入影响。T信道的接入影响分为T拥塞和T接通。T拥塞主要频繁发起呼叫过程, 话务量增长, 导致T拥塞上升, 同时导致T接通率下降, 以测试小区为例, 如图2所示, 受恶意呼叫异常用户行为影响后, 话务增长一倍, T拥塞从0.64%上升到80.59%, T接通率从99.24%下降到20.06%, T保持时长从40.2秒下降到9.3秒。然而这些增长话务量是恶意呼叫导致的“假”话务量, 实际不产生任何话费收益。对A接口信令进行分析, 首先列出相关信令说明, 见表3。

对比正常呼叫信令过程和恶意呼叫信令过程发现:正常呼叫信令过程在ALERT (回铃音) 以后发起CON (连接) , 实现通话;然而恶意呼叫在ALERT (回铃音) 或PEOGRS (等待回铃音) 以后直接DISC (挂断) , 没有通话过程 (即没有CON信令) 就被主动挂断线路。从信令可以看出与一次正常的通话过程相比, 该通话过程中从未出现真实的通话过程 (即没有CON信令) , 而当出现回铃音或系统音时, 即被主动挂断线路。从分析可以看到, 恶意呼叫用7.3秒做呼叫的时间间隔。目前, T保持时间从ASGREQ (分配T信道) 开始计算。T话务增长是恶意呼叫导致的“假”话务量, 包含振铃时间, 没有CON (连接) 过程, 实际不产生任何话费收益。

2.2 对掉话的影响

对比分析受恶意呼叫影响前后的数据, 从T保持时长的减小和T拥塞率的增长看, 恶意呼叫用户行为现象明显。该BSC的C申请数增长3倍多, C掉话数增长5万余次, T掉话数增长1千余次。随着T从恶意呼叫的过程来看, 恶意呼叫在ALERT (回铃音) 或PEOGRS (等待回铃音) 以后直接DISC (挂断) , 不会产生大幅掉话, 只会影响T拥塞率和T接通率。随着周围邻区T拥塞都增长, 切换发生T掉话概率加大。但是现网开通了动态SDCCH, 把TCH信道临时转换为SDCCH信道使用, C信道资源充足, C掉话大幅增长的原因又是什么呢?所以恶意呼叫的频率过快, 重复发起呼叫是导致C掉话增加的原因。掉话过程按照Layer3主要事件分析, 主要是呼出 (CM Service Request) 引起的掉话, 占总掉话的74.1%, 共5432次, 其中恶意呼叫用户行为号码则占到了5120次。所以正常用户受C掉话的影响较小。

2.3 对无线环境的影响

恶意呼叫用户行为大量发起, 随着恶意呼叫的增长, 无线环境受到影响, 用户之间的干扰加大, 低噪增加。

3 厂家对策

对待恶意呼叫行为各家厂家有各自的办法, 下面介绍华为和爱立信厂家方案。华为:据华为的核心网GENEX CN Nastar系统设计方案, 通过全网的信令采集, 以及后台数据库处理, 可以实现全网“响一声”电话识别, 需要进行资产投资, 现网基本上还未部署此系统。所以在华为设备现无法实现自动识别, 只能采取手动采集信令方式。爱立信:据现在所知, 已经有相关补丁出台, 但需要购买。比较经济实用办法是使用TEST SYSTEM进行追踪, 对LOG文件进行分析, 涉及到LOG文件处理。次之, 进行手动信令采集分析。

4 优化方法

分析T保持时长是最有效监控和识别恶意呼叫异常用户行为的办法, 受恶意呼叫用户行为影响的小区凌晨闲时T保持时长一般4-6秒;忙时受正常用户通话时长的均衡, T保持时长一般7-13秒。临时的优化办法是控制受恶意呼叫影响严重小区的覆盖, 调整天线和基站发射功率, 重选参数CRO和ACCMIN, 控制恶意呼叫号码较均衡的接入各个小区, 从而改善性能指标。

结语

恶意呼叫行为主要影响T接通和T拥塞, 占用大量通信资源, 影响正常客户的接入。掉话数增加, 尤其是C掉话数, 从掉话类型分析, 主要是恶意呼叫号码C掉话数量大大增加, 对正常用户C掉话的影响较小。从MRR上下行质量分析, 恶意呼叫恶化了无线网络环境。有效的解决办法是需要在核心网实施监控, 甄别恶意呼叫号码, 更进一步可以对高频呼叫用户设置语音“验证码”, 彻底阻断恶意呼叫行为, 减少移动用户损失。

参考文献

[1]张威.GSM网络优化[M].北京:人民邮电出版社, 2003.

网络恶意营销 篇5

当前,移动互联网发展迅速,在不久的将来有望超过固定宽带上网用户。这一成功的原因不仅仅因为移动通信网络基础设施的大量建设以及智能手机的快速发展,而且与一站式的应用程序商店(Google Play,Apple store(i OS),等)发展必不可分。这些应用商店允许用户购买所需要的应用程序并且直接安装在他们的智能手机上。这些商店在发布应用程序前,通过技术手段来检查来发现软件可能的恶意活动。虽然用户信任应用APP商店和他们的安全检测方法,但是任何应用商店都无法保证给用户提供的是100%安全的应用程序。例如,有技术就能绕过谷歌的安全检测技术检查。同样,苹果商店也面临类似的问题。

这些安全威胁引起了广泛的关注,因为当前智能手机安装的应用程序所携带的个人隐私信息越来越多。如LBS(基于位置的服务)地理信息服务将越来越多的和各类移动应用程序相结合,这样造成携带个人隐私信息的应用也就越来越多。这些隐私信息使智能手机成为攻击者的宝贵目标。例如,监视应用程序可以收集用户的位置或窃取个人资料并将其卖给营销公司。另外,一个移动应用App可能要求过多系统权限。这意味着它比它实际需要完成任务要求更多的权限。比如某视频APP要求拨打电话、发送短信等权限就没有必要。因此,这些应用程序可能利用这些权限做恶意的事情。比如吸费电话、短信等等。这些事实表明,应用商店的机制存在安全性问题,并不能保证用户的隐私、个人资料等不被窃取。

1 手机应用程序检测一般方法

我们把吸费应用、偷跑流量应用、病毒木马应用、系统预装软件、山寨应用等可以统一称为恶意软件(Malwares)。当前对恶意软件的分析方法主要有:静态分析法与动态分析析法两种。

静态分析法的一大特点就是应用程序不被执行,而只对二进制代码进行分析。静态分析法包含反向编译技术、逆向分析、模式匹配以及静态系统调用分析等等技术方法。静态分析的优点是简单并且快速,但是静态分析法也有较大的缺点。就是其在检测恶意软件前需要知道已知恶意软件信息,如签名、行为模式、权限申请等。所以,它不能实现自动扫描,并适应未知的恶意程序[1]。

动态检测技术的核心是将应用程序运行在一个封闭的环境并进行监测,通过运行情况来分析应用程序的行为特征。因此,动态检测方法需要应用程序运行,而且检测的时间比较长。

当前恶意代码检测两种技术都有广泛的应用。在实际应用中,大多数恶意代码检测方法都的同时包含静态与动态检测技术。

2 安卓系统简介

2.1 安卓系统概述

Android(安卓),是一个以Linux为基础的开源移动设备操作系统,主要用于智能手机和平板电脑,由Google成立的Open Handset Alliance(OHA,开放手持设备联盟)持续领导与开发中。Android已发布的最新版本为Android 5.0(Lollipop)。

根据Net Market Share调查网站2015 年9 月份智能手机操作系统的市场份额排名,表明:Android继续保持领先,市场占比在53.54%.与此同时,安卓系统也是恶意软件的高发区,一项调查表明,每五个安卓应用程序就有一个是恶意软件。图1 表明2015 年第三季度安卓平台恶意程序新增量和感染量。

2.2安卓核心模块体系

安卓系统的核心建立在Linux内核之上。这使它能够对用户数据,系统资源,避免冲突提供强大的隔离保护。每个应用程序在安装时都分配有一个用户标志(UID)以区别于其他应用程序,保护自己的数据不被其他应用获取。Android根据不同的用户和组,分配不同权限,比如访问网络,访问GPS数据等,这些Android权限在底层映射为Linux的用户与组权限。

3 基于SVM的安卓恶意软件检测系统设计

3.1 SVM概述

Support Vector Machines(支持向量机)的主要思想是针对两部分问题,即寻找一个超平面作为两类训练样本点的分割,以保证最小的分类错误率。在线性可分的情况下,存在一个或多个超平面使得训练样本完全分开,SVM的目标是找到其中的最优超平面,最优超平面是使得每一类数据与超平面距离最近的向量与超平面之间的距离最大的这样的平面。

超平面W是h值最大的最优超平面;对于线性不可分的情况,通过使用核函数(一种非线性映射算法)将低维输入空间线性不可分的样本转化为高维特征空间使其线性可分。

SVM的基本模型设输入模式集合{x[i]} ∈ Rn由两类点组成,如果x[i]属于第1 类,则y[i] = 1,如果x[i]属于第2 类,则y[i] = -1,那么有训练样本集合{ x[i],y[i]},i = 1,2,3,..n},求最优分类面wx-b=0,满足:y[i](w·x[i] - b)>= 1;并使2*h=2/‖w‖最大,即min‖w‖*‖w‖/2;根据对偶理论,可以通过解该问题的对偶问得到最优解,对偶问题为:

其中x[i] ·x[j]表示这两个向量的内积,当对于线性不可分的情况,用核内积K(x[i],x[j])(通过核函数映射到高维空间中对应向量的内积)代替x[i] ·x[j]。根据对偶问题的解 α,求得w,b,从而得到最优分类面。

3.2 安卓系统特征集的分类

为安卓开发的每一个应用程序必须包括清单文件叫做Android Manifest.xml。它位于整个项目的根目录,描述了package中暴露的组件(activities,services,等等),它们各自的实现类,各种能被处理的数据和启动位置。 除了能声明程序中的Activities,Content Providers,Services,和Intent Receivers,还能指定permissions和instrumentation(安全控制和测试)。通过相应的工具软件,我们能从该文件里提取到以下数据集:

S1 硬件组成集:这一特征集包含程序所要求的硬件组件信息。如果应用程序请求获取手机相机、触摸屏或GPS模块。这些功能需要在清单文件中声明。请求访问特定的硬件有明确的安全影响,使用某些硬件功能的组合往往反映有害行为。例如,一个应用程序如果访问GPS模块和网络模块,该程序就能够收集位置数据并将其发送给攻击者网络。

S2 请求的权限集:在安卓系统中引入的机制是权限系统。权限被授予用户在安装时允许应用程序访问安全相关资源。如前所示述,恶意软件倾向于要求某些权限往往比无害的应用程序更为频繁。例如,恶意软件发送吸费短信,从而要求发送短信权限。

S3 应用程序组件集:在应用程序中存在四种不同的类型组件,每一个定义不同的系统的接口:活动、服务、内容供应商和广播接收器。每一个应用可以声明每个类型的几个组件。

S4 过滤意图集:在安卓系统中,进程间通信和进程内部通信主要表现为通过意图进行:不同的组件和应用通过被动的数据结构进行异步信息交换。所以意图被作为我们手机的一项功能集合。比如,作为恶意软件意图比较典型例子是BOOT_COMPLETED这个恶意软件。它的意图信息就是每当重启智能手机后就出发某些恶意行为。

S5 限制API调用集:Android许可制度限制访问一系列的关键接口调用。比如,某些软件要求使用受限的应用接口,而不是要求所需的权限。这可能表明,该恶意软件可能是使用根漏洞,用来超越的安卓平台所施加的限制。

S6 应用程序已经使用的权限集:对应用程序的多个API调用的权限保护(例如,send Multipart Textmessage()和send Text Message()都需要SEND_ SMS权限)。

S7 网络地址集:恶意软件经常建立网络连接来检索命令或从设备收集数据。因此,在反编译中发现的所有的IP地址,主机名和URL我们都认为它是网络的特征。这些地址可能参与僵尸网络攻击。通过收集网络地址信息有助于提高检测模式学习效率。

通过特征集合的提取,现在我们可以定义一个S维向量空间,其中每个维度的取值是0 或1。如包含该特征,其值为1。一个应用程序通过构建一个S维向量映射到这个空间 φ(x)。

现在我们就可以采用机器学习技术,自动学习恶意和良性的应用程序之间的特征。SVM可以实现对应用是否为恶意软件进行划分。通过收集大量良性应用、恶意应用两类向量作为训练数据,并进行训练SVM得到超平面从而分开两类应用。这些类中的一个是与恶意软件,而其他类对应于良性应用。当有未知应用程序被映射到向量空间后,即可确定是否属于恶意分类(x)或良性(。)的超平面的一侧。

4 结语

当前移动终端数量发展迅速,各种操作系统的恶意软件也都层出不穷,如果不能进行行之有效的检测,将会极大的影响移动通信网络的安全、普通个人用户隐私信息的安全。本文将机器学习的SVM方法引入到智能手机恶意软件检测当中,通过大量数据的训练,该方法可以实现对未知恶意软件的检测。

参考文献

[1]汪欢.安卓移动智能终端的恶意软件检测与分析方法.[D],2014.

[2]360公司.2015年第三季度中国手机安全状况报告[EB/OL],2015.

网络恶意营销 篇6

计算机病毒是利用计算机软、硬件所固有的脆弱性而编写的具有特殊功能的程序, 达到某种条件时即被激活, 从而感染并对计算机资源进行破坏。现今计算机病毒已经成为威胁网络安全的重要因素, 它带给社会的破坏和损失难以估量的, 爆发性的计算机病毒数量给计算机用户带来灾难性的损失。

由于病毒的不断更新, 新的病毒技术不断迸发, 同时也推动了查毒杀毒技术的不断变化, 但是, 国内病毒技术资料落后于现有病毒技术的实际水平。另外, 国内反病毒技术水平低于杀毒公司的广告水平, 某些夸大的不切实际的广告只会让广大用户对其产生毫无安全保证的依赖性。这些对于普及计算机病毒防范知识、提高我国的计算机病毒对抗能力和技术水平是极其不利的。虽然现今对病毒的防范措施和软件不断更新, 但是病毒的变异和加密也使得杀毒软件无能为力。在实际应用中, 一个新的计算机病毒产生后, 分析人员会立即分析该新病毒的运行机制和感染的原理, 并且编制程序对其进行查杀, 最后加入到反病毒库中, 供查杀新病毒使用, 为了更加有效地对计算机病毒进行防范, 我们进行计算机病毒技术和反病毒技术的的研究就非常有必要。

2 病毒的新特点

2.1 种类更模糊

恶意代码的传播可能依赖系统软件的漏洞, 也可能用社会工程学中的中的某一种感染方式, 也有可能是前面所说两者的混合。

2.2 使用销售技术

目前, 有很多的恶意代码都使用到了销售技术, 它目的不仅在于利用受害者的邮箱实现最大数量的转发, 更重要的是让受害者进一步对恶意程序进行操作, 并且使用网络探测技术来达到自己获利的目的。恶意软件的制造者可能将一些常用的攻击方法与新的漏系统洞结合起来, 制造出新的病毒。

2.3 服务器和客户机遭受相同攻击

对恶意代码而言, 服务器端和客户机的区别日渐模糊, 客户计算机和服务器如果运行相同的应用程序, 客户计算机也会受到恶意代码的攻击。

2.4 Windows操作系统遭受的网络攻击最多

在日常应用中, Windows操作系统更容易遭受恶意代码的攻击, 而且, 它也是病毒攻击最集中的平台, 计算机病毒总是选择配置不严密的网络共享和开启的服务作为注入点, 完成入侵操作, 非法获取利润。

3 计算机病毒的行为分析和代码解析

在分析病毒程序时, 我们已经知道在Windows操作系统下病毒程序的运行机制就是调用API函数, 所以我们编写了一个相似的病毒程序, 来进行更加深入的分析。

我们设置API指针和内存指针, 代码如下所示:

完成了API指针设置后, 进行代码调试, 主函数如下:

对上述病毒代码进行编译后生成DLL文件, 如下图所示:

病毒代码运行后, 进行手动注入, 系统资源管理器中没有发现任何恶意程序, 如下图所示:

但是通过工具, 我们可疑查看到已经注入成功, 如下图所示:

针对上面注入成功的可疑程序, 我们需要通过反调试技术来完成对病毒的检测和清除工作。

4 恶意程序的前沿分析

对恶意程序的前沿分析方法进行研究, 我们知道反调试技术是一种常见的反检测技术。恶意软件通过监视其代码的运行情况码来检测自己是否正在被调试, 同时, 恶意软件也可以检查自己的代码是否被设置了断点, 同样, 恶意软件也可以直接通过系统调用来检测调试器的运行情况。

4.1 断点

恶意程序为了检测代码中是否被设置了断点, 它可以查找其指令操作码0xcc也就是说, 调试器会使用0xcc在断点处取得恶意软件的控制权, 如果恶意程序本身建立了单独的处理程序, 那么恶意软件也可以设置伪断点, 也就是说, 用这种方法恶意软件可以在被设置断点的情况下继续执行其指令。

4.2 计算校验和

恶意程序也可以计算自身的校验和, 如果校验和发生改变, 那么计算机病毒会假定恶意程序正在被调试, 并且该恶意代码内部已被放置了断点。VAMPi RE是一个抗反调试的工具, 可用来逃避断点的检测。

4.3 检测调试器

在Windows系统中, 如果程序当前处于被调试状态, 系统调用is Debugger Present的返回值为1, 否则返回0。当调试器正在运行时, 该标志位被置1, 通过进程环境块的第二个字节就可以完成检测, 示例代码如下:

从上面的代码可以看出, eax被设置为PEB, 即进程环境块, 然后再访问PEB的第二个字节, 并将该字节的内容移入eax, 通过查看eax是否为零, 即可完成检测, 如果eax值为零, 则不存在调试器;否则, 说明存在调试器。

4.4 检测单步执行

恶意软件还能通过检测单步执行来检测调试器。如果要检测单步执行, 只需把一个值放进堆栈指针, 然后检查该值是否存在。如果该值仍然存在, 则说明恶意代码正在被单步执行, 因此, 如果该值仍然存在, 则说明其它正在运行的进程已经在使用堆栈。恶意软件通过堆栈状态来检测单步执行的示例代码如下:

从代码的注释可以看出, 一个值被压入堆栈, 然后又被弹出, 如果有调试器存在, 那么堆栈指针–2位置上的值就会跟刚才弹出堆栈的值不同。

下面给出我自己编写的部分源代码来检测恶意程序的检测过程, 以下是部分源代码:

编译完成后, 在不载入OD的情况下, 代码可以正常运行, 我们可以看到以下活动窗口信息:

如果载入OD后, 程序运行出错, 无法正常运行, 该异常被终止, 如下图所示:

通过反调试技术, 我们可以完成恶意代码的检测, 检测到恶意代码后, 我们通过手动的形式清除恶意代码。

5 小结

当前, 人们对计算机安全及网络安全的要求越来越高, 计算机病毒作为计算机安全及网络安全的主要威胁, 也正在受到人们广泛的关注。本文在此背景下, 结合用户实际应用的情况, 对计算机病毒的概念进行了总体纵向分析, 阐述了计算机病毒的概念和新的特点, 对流行的Windows病毒进行较为全面的行为分析与代码分析, 对当前的反调试技术病毒也进行了研究, 以自己编写的恶意代码为例, 具体描述了恶意代码的编译、手动注入、到手动检测和清除的全过程, 从本文可以看出, 研究计算机病毒技术对于病毒的防范和编写更加安全的应用系统具有十分重要的意义。

摘要：文章首先对计算机病毒的概念和新特点进行了纵向阐述, 其次通过分析自己编写的恶意代码对流行的Windows病毒进行较为全面的行为分析与代码分析, 并对目前流行的反调试技术进行深入研究, 提出恶意程序的防范方法。

关键词：计算机病毒,恶意程序,OD

参考文献

[1]范文庆, 周彬彬, 安靖.精通Windows API-函数、接口、编程实例[M].北京:人民邮电出版社, 2009.

[2]罗云彬.Windows环境下32位汇编语言程序设计 (第2版) [M].北京:电子工业出版社, 2008.

[3]向波.浅议计算机病毒及防范策略[J].计算机光盘软件与应用, 2012 (2) .

网络恶意营销 篇7

1 网络与攻击模型假设

本文研究的信息型光伏发电站系统包括一个中心服务器,L个ARM网关,协调器,M个路由组件,N个节点组件,1个PC客户端和1个移动客户端[3],如图1所示。

信息型光伏系统用于检测光伏板的实时电压、电流、温度、场强。传感器节点被固定在太阳板上,网络拓扑结构稳定后,节点之间的通信是通过多跳完成的[4],将节点1记作S1,节点2记作S2,依次类推,如图2所示。

2 问题描述

如图2所示数据流向是Sensor-to-Sink,S1将数据包转发给S2,S2再将数据包转发给S3,依次到Sink节点。发送的总数据包减去收到的数据包[5]从而测试出丢包率。

3 基于Ada Boosting算法的恶意节点识别与隔离

3.1 节点属性建模

基于上面的研究,将WSN中的节点属性建立一个样本空间S,样本空间里包括节点的四个属性:节点参与度Sc,丢包率Sd,数据包转发率Sz和数据包转发延时Sy,记作S={Sc,Sd,Sz,Sy}。

3.2 Ada Boosting算法过程

Ada Boosting作为集成学习的典型代表,为了便于描述,做如下定义:令S={(xi,yi)|i=1,2,…,m}为样本训练集,其中xi∈X,yi∈Y,Y={-1,+1}。初始化Dt(i)=1 m。当t从1~T进行取值时:

(1)给定一个弱学习算法Dt;

(2)得到一个弱分类器ht:X→Y,并且有误差εt=Pri-Di[ht(xi)≠yi]。

(3)令αt=1 2ln[(1-εt)/εt],更新每个样本的权值:

(4)形成一个强分类器:

上述描述过程,可以用图3进行概括说明。

3.3 算法流程图

将Ada Boosting应用于恶意节点的识别与隔离,确立了如图4所示的研究思路:创建节点属性集-提取特征-训练-测试-评价。

4 实验仿真和结果

本文中的实验工作是在Matlab上实现的。

4.1 仿真模式

将300个节点随机均匀地放置在300 m×300 m的区域上。同时,将区域分为30个事件区域,如图5所示。

4.2 仿真结果

在Matlab上的仿真结果如图6所示,迭代次数越多时误测率越低。

5 结语

针对节点遭遇选择性攻击时,恶意节点显现出来的通信行为特征,建立以节点参与度Sc,丢包率Sd,数据包转发率Sz和数据包转发延时Sy为属性的四维样本空间,利用Ada Boosting算法对恶意节点进行识别与隔离。在Matlab上的仿真结果表明,迭代次数越多时误测率越低。

参考文献

[1]何娣.太阳能光伏并网发电系统的研究[D].西安:长安大学,2013:66-67.

[2]李嫒嫒.基于分簇的无线传感器网络拓扑控制算法研究[D].南京:南京理工大学,2013:144-145.

[3]黄芬,陈名松.水下无线传感器网络DBR路由协议研究[J].电视技术,2012(13):74-77.

[4]刘华博,崔建明,戴鸿君.基于多元分类的无线传感器网络恶意节点检测算法[J].传感技术学报,2011,24(5):771-777.

[5]周兴锋.基于信任度Ad Hoc网络入侵检测系统模型研究[D].南京:南京理工大学,2006.

[6]BOLLINO G.Malicious AODV:implementation and analysis of routing attacks in MANETs[C]//Proceedings of 2012 IEEE Conference on Trust,Security and Privacy in Computing and Communications.Liverpool:IEEE,2012:1181-1187.

[7]LIU Fang,CHENG Xiuzhen,CHEN Dechang.Insider attacker detection in wireless sensor networks[C]//Proceedings of 2007IEEE International Conference on Computer Communications.Anchorage:IEEE,2007:1937-1945.

[8]SUN B,OSBORNE L,YANG X,et al.Intrusion detection techniques in mobile Ad Hoc and wireless sensor networks[J].IEEE wireless communications,2007,14(5):56-63.

[9]GONG Xudong,XIONG Yan,LU Qiwei.A trusted Ad Hoc routing protocol based on fuzzy mathematics[J].Chinese journal of electronics,2013,22(1):155-159.