CN103139169A - 基于网络行为的病毒检测系统和方法 - Google Patents
基于网络行为的病毒检测系统和方法 Download PDFInfo
- Publication number
- CN103139169A CN103139169A CN2011103906048A CN201110390604A CN103139169A CN 103139169 A CN103139169 A CN 103139169A CN 2011103906048 A CN2011103906048 A CN 2011103906048A CN 201110390604 A CN201110390604 A CN 201110390604A CN 103139169 A CN103139169 A CN 103139169A
- Authority
- CN
- China
- Prior art keywords
- data
- network
- network behavior
- engine
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种基于网络行为的病毒检测系统和病毒检测方法。所述系统包括:捕获引擎,用于根据捕获规则,从终端用户与网络服务器之间的网络数据流中捕获与网络行为相关的数据;数据挖掘引擎,用于在系统处于训练模式的情况下,根据所述与网络行为相关的数据来确定网络行为特征;以及在系统处于检测模式的情况下,根据所确定的所述网络行为特征针对所述与网络行为相关的数据进行病毒的检测。通过本发明技术方案,无需分别考虑多样的操作系统和应用程序,可被广泛应用;同时不仅可以检测已知的移动病毒,还可以实现对未知移动病毒的检测。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种病毒检测系统和病毒检测方法。
背景技术
移动病毒(mobile virus)是指攻击目标为例如移动电话或具有无线网络功能的PDA等无线移动设备的病毒。由于无线移动设备和支持这些设备的无线网络越来越多,而且越来越复杂,因而保护它们从而使它们不受到各种病毒和其它恶意软件的电子攻击的难度也越来越大。
下面,首先介绍几种现有技术中用于进行病毒检测的常用方法。
基于特征码的病毒检测方法
在现有技术中,病毒和恶意软件对于计算机研究人员造成了极大挑战。传统的一种病毒检测方法是基于特征码(signatures-based)的,其利用从特定实例的已有病毒中所抽取出的特征码来检测今后实例中出现的相同病毒。这种主流的病毒检测方法基于特征码匹配,相应的防毒软件提供病毒特征库,随着病毒特征库的不断更新,防毒软件得以检测新的病毒。
这种方式在以前还是有效的,但是现代病毒采用例如多形性或变态机制等先进策略,使得部分病毒或其结构在每次复制时会产生随机的、不可预测的变化,因而在很多新情况下,例如面对病毒出现的多形性或变态机制时,基于特征码的病毒检测方法变得不再有效。这是因为,虽然这种基于特征码的病毒检测方法在检测现有的或先前遇到过的病毒方面具有较高的检出比率,但是在有效检测新的、未知的病毒变种方面却存在缺陷。而且,互联网时代的高速发展使得病毒的繁殖速度越来越快,这导致病毒特征库的更新速度无法跟上病毒的更新速度。
一些移动电话病毒安全系统或恶意信息过滤器检测恶意病毒的URL,然后阻止对这些网址的访问。但是和基于特征码的病毒检测方法类似,这种方法只能阻止已知的移动病毒服务器,而不能阻止对新的移动病毒服务器的访问。此外,移动病毒可以通过改变病毒服务器的地址来躲避这种检测机制。
由此可见,使用上述这种基于特征码的病毒检测方法只能用来检测先前发现的病毒,而不能检测新出现的未知病毒。
基于代码特征的病毒检测方法
现在也提出了一些使用N-Gram的病毒检测方法。此处的N-Gram是指二进制代码中固定大小的连续二进制序列。这种方法从同时包含在良性软件和恶意软件中的训练数据集中抽取最频繁出现的N-Gram,并使用最多出现的N-Gram的并发率作为特征。
基于系统行为的病毒检测方法
基于系统行为的病毒检测方法主要可以分为以下三类:启发式特征方法、静态特征方法和动态特征方法。
简单的启发式特征可以指从Win32 PE(可移植可执行文件格式)头中或可执行代码的字串中提取出的特征集。例如,入口位于最后一节、可疑的节名、可疑的节特征以及不一致的长度计算等。
静态指令序列方法基于由静态分析所得到的特征检测是否含有病毒特有的指令序列,其中一些方法基于对可执行二进制代码做反汇编而得到的汇编代码,其它方法则基于汇编代码的更高层结构如如控制流图(control flow graph,CFG)。但是,对二进制代码进行反汇编本身就是一项难题,至今也没有通用的解决方案。
2008年佛罗里达国际大学(Florida International University)的Jose Andre Morales在论文“基于行为的病毒检测方法”中提出了一种动态特征方法,基于病毒程序的复制企图来检测已知和未知的病毒,通过监测当前正在执行的进程是否有复制企图来完成病毒检测。
还有一种基于行为分析的特洛伊木马检测技术,其基于“钩子(hook)”技术。为了成功地自我隐藏,木马程序必须更改操作系统执行路径或直接更改用于存储有关处理、驱动、网络连接的操作系统信息。通过使用叫做钩子技术的系统,目的是得到木马程序的规则可执行路径,然后系统执行预定的功能,这样就可以将木马程序“钩”住。可见,基于行为的木马程序检测技术调查木马程序的行为特征,例如改变注册、注册系统服务、更改系统文件等,从而判断该程序是否可疑。但是,这种方法很难检测那些直接更改系统内核的木马程序。
虽然存在上述各种基于系统行为的病毒检测方法,但是针对移动病毒而言,由于用于无线移动设备的操作系统和应用程序具有多样性,所以针对它们对应的各类系统行为进行全面研究代价很高。
发明内容
针对上述技术问题,本发明的目的是提供一种移动病毒的检测系统和方法,能够基于更为普遍的网络行为特征来对已知和未知的移动网络病毒进行检测,同时无需分别考虑多样的操作系统和应用程序。
根据本发明的一个方面,提供一种基于网络行为的病毒检测系统,所述系统包括:捕获引擎,用于根据捕获规则,从终端用户与网络服务器之间的网络数据流中捕获与网络行为相关的数据;数据挖掘引擎,用于在系统处于训练模式的情况下,根据所述与网络行为相关的数据来确定网络行为特征;以及在系统处于检测模式的情况下,根据所确定的所述网络行为特征针对所述与网络行为相关的数据进行病毒的检测。
根据本发明的上述系统,由于直接从移动终端用户与网络服务器之间的网络数据流中捕获数据,与无线通信设备所使用的多样性的移动操作系统或应用程序无关,因而适用范围广泛;同时,由于采用数据挖掘技术来确定更为普遍的病毒网络行为特征,并基于这些网络行为特征进行病毒的检测,因而不仅可以检测已知的移动病毒,还可以实现对未知移动病毒的检测。
优选地,所述网络行为包括:通过网络进行的病毒传播行为、被病毒感染后移动设备的网络行为和被病毒感染后网络侧系统的网络行为。
优选地,所述网络行为特征包括:连接特征、地址特征、URL特征、行为相关的内容特征和流量相关特征,其中,所述连接特征包括:连接频率、连接时间、连接端口、上下行连接数及其比重、短信发送、彩信发送;所述地址特征包括:如源IP、目的IP、终端标识;所述URL特征包括:URL是否变化、URL变化频率;所述行为相关的内容特征包括:是否包含IMSI、电话号码、通讯录或SMS;流量相关特征包括:上下行包长度。
优选地,所述系统还包括专家知识库,所述专家知识库包括所述数据挖掘引擎在训练模式下所确定的所述网络行为特征,且所述数据挖掘引擎在系统处于检测模式的情况下,根据所述专家知识库来进行病毒的检测。
优选地,所述数据挖掘引擎包括预处理模块和数据挖掘模块,其中,所述预处理模块用于将所述捕获引擎所捕获的与网络行为相关的数据预处理成为可供所述数据挖掘模块处理的数据;所述数据挖掘模块用于在系统处于训练模式的情况下,根据预处理后的数据来确定网络行为特征并更新所述捕获规则;以及在系统处于检测模式的情况下,根据所确定的所述网络行为特征对预处理后的数据进行病毒的检测。
优选地,所述数据挖掘引擎还包括增量处理模块,所述增量处理模块用于基于所述数据挖掘模块的处理结果,对增加的新数据进行处理。
优选地,所述捕获引擎还包括协议解析模块,所述协议解析模块用于根据协议解析所捕获的数据。
根据本发明的另一个方面,还提供一种基于网络行为的病毒检测训练方法,所述方法包括:根据初始捕获规则,捕获引擎从终端用户与网络服务器之间的网络数据流中捕获与网络行为相关的训练数据;数据挖掘引擎使用数据挖掘技术处理所捕获的所述与网络行为相关的数据,从而确定出网络行为特征,并将数据挖掘处理的结果反馈到所述捕获引擎,来更新捕获规则。
根据本发明的上述方法,由于在训练模式下直接从移动用户与网络服务器之间的网络数据流中捕获数据,与无线通信设备所使用的多样性的移动操作系统或应用程序无关,因而适用范围广泛;同时,由于在训练模式中采用数据挖掘技术来确定更为普遍的病毒网络行为特征,并会在今后基于这些网络行为特征进行病毒的检测,因而不仅可以检测已知的移动病毒,还可以实现对未知移动病毒的检测。
优选地,所述方法还包括:当捕获到新的训练数据时,增量处理器基于所述数据挖掘引擎的已有处理结果,对新的训练数据进行处理,以更新捕获规则和所确定出的网络行为特征。
根据本发明的另一个方面,还提供一种基于网络行为的病毒检测方法,所述方法包括:根据捕获规则,捕获引擎从用户与网络服务器之间的网络数据流中捕获与网络行为相关的数据;根据所确定的网络行为特征,数据挖掘引擎针对所述与网络行为相关的数据进行病毒的检测。
根据本发明的上述方法,由于在检测模式中直接从移动终端用户与网络服务器之间的网络数据流中捕获数据,与无线通信设备所使用的多样性的移动操作系统或应用程序无关,因而适用范围广泛;同时,由于在检测模式中基于采用数据挖掘技术所确定的更为普遍的病毒网络行为特征来进行病毒的检测,因而不仅可以检测已知的移动病毒,还可以实现对未知移动病毒的检测。
优选地,所述方法还包括:当捕获到新的数据时,增量处理器基于所述数据挖掘引擎的已有检测结果,对新的数据进行处理,以更新所述检测结果。
优选地,所述方法还使用专家知识库,所述专家知识库包括所确定的所述网络行为特征,其中,所述数据挖掘引擎根据所述专家知识库来进行病毒的检测。
附图说明
下文将以明确易懂的方式通过对优选实施方式的说明并结合附图来对本发明上述特性、技术特征、优点及其实施方式予以进一步说明,其中:
图1是本发明具体实施方式中基于网络行为的病毒检测系统的系统结构示意图;
图2是本发明具体实施方式中系统在训练模式下的功能框架图;
图3是本发明具体实施方式中系统在检测模式下的功能框架图;
图4是本发明具体实施方式中的移动病毒检测系统的应用场景示意图。
附图标记列表
10捕获引擎 11协议解析模块 12捕获规则
20数据挖掘引擎 21数据挖掘模块 22预处理模块
23增量处理模块 24专家知识库
具体实施方式
在本发明具体实施方式中,提出了一种基于网络行为的移动病毒的检测系统和方法。由于该系统和方法直接从移动终端用户与网络服务器之间的网络数据流中捕获数据,与无线通信设备所使用的多样性的操作系统或应用程序无关,因而在使用中无需分别考虑多样的操作系统和应用程序,适用范围广泛;同时,由于采用数据挖掘技术确定更为普遍的病毒网络行为特征,并基于这些网络行为特征进行病毒的检测,因而不仅可以检测已知的移动病毒,还可以实现对未知移动病毒的检测。
基于网络行为的移动病毒检测系统的基本架构
图1是本发明具体实施方式中基于网络行为的病毒检测系统的系统结构示意图,该系统主要包括捕获引擎(Capture Engine)10和数据挖掘引擎(Data Mining Engine)20。
捕获引擎10监视移动终端用户与网络服务器之间的网络数据流,并根据捕获规则12来捕获与网络行为相关的数据。
在后面将会详细介绍的系统训练模式和系统检测模式中,捕获引擎10的工作原理和方式是类似的,但是在所针对的网络数据流,即捕获数据源方面是不同的。在训练模式中,用于捕获的网络数据流均被标上病毒标签,该病毒标签表明该数据是否包含病毒以及所包含病毒的类型,这样的数据称为“训练数据”,该训练数据供挖掘引擎20在训练模式下使用。而在检测模式中,捕获引擎10监视并捕获移动用户与网络服务器之间的网络数据流,这些数据是不带病毒标签的,这些数据供数据挖掘引擎20在检测模式下使用。
捕获规则12可在系统初始化阶段被预置,而在训练模式中被更新并确定,并在检测模式中用来作为捕获引擎10捕获网络数据的依据。
由于移动终端用户与网络服务器之间的网络数据在网络协议,例如GTP(GPRS Tunnelprotocol)等,中是被封装的,因而可能需要对GTP等网络协议进行解析后得到可识别的数据。因此,为了能够识别和理解网络数据流,在捕获引擎10中还优选包括一协议解析模块(Protocol Parser)11,该协议解析模块11根据协议来解析所捕获的数据。
数据挖掘引擎20处理捕获引擎10所捕获的数据。具体地,数据挖掘引擎20主要包括数据挖掘模块21,该数据挖掘模块21在系统处于训练模式的情况下,根据捕获引擎10所捕获的与网络行为相关的数据进行数据挖掘处理,从而确定出网络行为特征,该网络行为特征可写入数据挖掘引擎20中的专家知识库24中;在系统处于检测模式的情况下,数据挖掘模块21可以使用该专家知识库24,根据其中包括的网络行为特征对与网络行为相关的数据进行数据挖掘处理,从而实现对移动病毒的检测。
其中,该数据挖掘模块21执行的数据挖掘处理可以包括各种数据挖掘算法,例如关联(association)分析、分类、预测、聚类(cluster)等等。
此外,在训练模式中,数据挖掘引模块21的输出不仅可以生成包括有关移动病毒网络行为特征的专家知识库24,还可以反馈至捕获引擎10,用来更新和完善捕获规则12。
在有些情况下,捕获引擎10所捕获的与网络行为相关的数据可能不适合进行数据挖掘处理,此时,该数据挖掘引擎20优选还包括一预处理模块22。该预处理模块22可执行抽取、转换和装载(Extracting,Transforming and Loading,ETL)等功能,例如:
-从外部源(此处是捕获引擎10)接收数据;
-将所接收数据转换为适于操作需要(此处是适于进行数据挖掘)的数据;
-将转换后的数据装载到终端目标(此处可以是数据挖掘模块21等)中。
这样,通过预处理模块22的处理,捕获引擎10所捕获的数据被整理并转换为可以被数据挖掘模块21处理的数据。
在数据挖掘处理过程中,需要对大量网络数据进行处理,尤其当不断补充新捕获的数据时,需要将新捕获的数据与原有数据一起进行新的挖掘处理。如果只是不断针对累积的所有数据进行重复的数据挖掘处理,可能会耗费大量的系统资源,降低系统的工作效率。为了解决上述问题,数据挖掘引擎20中除了数据挖掘模块21之外,还可以进一步包括一增量处理模块(Incremental Processor)24。该增量处理模块24基于所述数据挖掘模块对之前已有数据的处理结果,处理所增加的捕获数据,从而提高整个数据挖掘处理的效率。
当数据挖掘引擎20包括该增量处理模块24时,在系统处于训练模式的情况下,数据挖掘模块21和增量处理模块24根据捕获引擎10所捕获的与网络行为相关的数据进行处理,从而共同确定出网络行为特征,该网络行为特征可写入专家知识库24中;在系统处于检测模式的情况下,数据挖掘模块21和增量处理模块24可以使用该专家知识库24,根据其中的网络行为特征共同对与网络行为相关的数据进行处理,从而实现对病毒的检测。
同样,在训练模式中,数据挖掘引擎20和增量处理模块24的输出不仅可以生成包括有关移动病毒网络行为特征的专家知识库24,还可以反馈至捕获引擎10,用来更新和完善捕获规则12。
网络行为特征
本发明在病毒检测中所使用的网络行为特征是实现病毒检测的重要基础。
移动病毒的网络行为包括但是不限于如下行为:
-通过网络进行的病毒传播行为;
-被感染后移动设备系统的网络行为;
-被感染后网络端系统的网络行为。
网络行为特征可以包括但不限于如下特征:
-普通连接特征,例如连接频率和时间,连接端口等连接特征;
-特殊连接特征,例如多媒体消息服务(Multimedia Message Service,MMS)发送特征,源IP、目的IP、终端标识等地址特征,目标URL、URL是否变化、URL变化频率等URL特征等;
-行为相关内容特征,例如是否包含敏感信息(IMSI,电话号码),通讯录,短信服务(Short Message Service,SMS)等;
-流量相关信息,例如上下行包长度等。
训练模式
图2是本发明具体实施方式中系统在训练模式下的功能框架图。训练模式的主要目的是挖据出移动病毒的网络行为特征来形成专家知识库,以及确定捕获规则。下面我们结合图2来说明基于网络行为的病毒检测系统在训练模式下的运行方式。
(1)首先,根据部分先验知识进行预分析,从而为系统设置初始捕获规则。
(2)捕获引擎10根据该初始捕获规则监视移动终端用户与网络服务器之间的网络数据流并捕获网络数据。
在训练模式下,捕获引擎10捕获的是预先设置的训练数据,这些数据均被标上病毒标签,该病毒标签表明该数据是否包含病毒以及所包含病毒的类型。由于网络数据封装在网络协议中,因而在捕获网络数据时,捕获引擎10中的协议解析模块11用来根据协议解析所捕获的数据。
(3)将所捕获的数据传送到数据挖掘引擎20中的预处理模块22,该预处理模块22执行ETL功能来整理这些数据,以将它们转换为能够由数据挖掘模块21和/或增量处理模块23处理的数据。
(4)对预处理模块22预处理过的数据进行数据挖掘处理,以确定网络行为特征。
数据挖掘模块21在系统处于训练模式的情况下,对预处理后的数据进行数据挖掘处理,从而确定出网络行为特征,该网络行为特征可被写入数据挖掘引擎20的专家知识库24中。该数据挖掘模块21执行的数据挖掘处理可以包括各种典型的数据挖掘算法,例如关联分析、分类、预测、聚类等等。
增量处理模块23基于所述数据挖掘模块21对之前已有数据的处理结果,处理所增加的捕获数据,从而提高整个数据挖掘处理的效率。具体地,当系统在训练模式下处理新数据时,数据挖掘模块21和增量处理模块23共同确定出网络行为特征并写入专家知识库24中。
(5)数据挖掘模块21的处理结果或者数据挖掘模块21与增量处理模块24共同处理的结果不仅生成包括移动病毒网络行为特征的专家知识库,同时还反馈至捕获引擎10,用来更新和完善捕获规则12。
以上我们结合图2介绍了病毒检测系统在训练模式下的工作流程。本领域技术人员应当理解,上述完整流程仅仅是一种优选实施方式。为了达到本发明目的,在上述流程中,仅步骤(2)中捕获引擎根据捕获规则捕获与网络行为相关的训练数据的操作、步骤(4)中数据挖掘模块进行数据挖掘处理以确定网络行为特征的操作以及步骤(5)中将数据挖掘处理结果反馈到所述捕获引擎以更新捕获规则的操作是必须的,其它步骤和部件操作则仅仅是为了达到更优效果的可选步骤。
检测模式
图3是本发明具体实施方式中系统在检测模式下的功能框架图。当为检测目的运行系统时,主要目的是确定网络数据流中是否存在病毒以及进一步确定所发现的病毒类型。当系统运行在病毒检测模式时,将会主要基于捕获规则来捕获网络数据,并基于专家知识库得到检测结论。下面我们就结合图3来说明基于网络行为的病毒检测系统在检测模式下的运行方式。
(1)首先,捕获引擎10根据在先前训练模式中所确定的捕获规则来监视移动终端用户与网络服务器之间的网络数据流,并捕获与网络行为相关的网络数据。
与训练模式中不同,此时捕获引擎10监视并捕获的是移动用户与网络服务器之间的实际网络数据流,是不带病毒标签的。同时与训练模式类似,由于网络数据是封装在网络协议中的,因而在捕获网络数据时,捕获引擎10中的协议解析模块11用来根据协议解析所捕获的数据。
(2)将所捕获的数据传送到数据挖掘引擎20中的预处理模块22,该预处理模块22执行ETL功能来整理这些数据,以将它们转换为能够由数据挖掘模块21和/或增量处理模块23处理的数据。
(3)对预处理模块22预处理过的数据进行数据挖掘处理,并根据专家知识库来进行移动病毒的检测。
数据挖掘模块21在系统处于检测模式的情况下,对预处理后的数据进行与训练模式下类似的数据挖掘处理,其中可以包括各种典型的数据挖掘算法,例如关联分析、分类、预测、聚类等等。在进行数据挖掘处理的同时,数据挖掘模块21根据已有的专家知识库来判断该数据是否包含移动病毒,当判断包含移动病毒的时候还进一步判断出所包含的是哪一种移动病毒。
增量处理模块23基于所述数据挖掘模块21对之前已有数据的处理结果,处理所增加的捕获数据,从而提高整个数据挖掘处理的效率。具体地,当系统在检测模式下处理新数据时,数据挖掘模块21和增量处理模块23共同进行数据挖掘处理,并根据已有的专家知识库24来判断该数据是否包含移动病毒,当判断包含移动病毒的时候还进一步判断出所包含的是哪一种移动病毒。
以上我们结合图3介绍了病毒检测系统在检测模式下的工作流程。本领域技术人员应当理解,上述完整流程仅仅是一种优选实施方式。为了达到本发明目的,在上述流程中,仅步骤(1)中捕获引擎根据捕获规则捕获与网络行为相关的数据的操作以及步骤(3)中数据挖掘模块进行数据挖掘处理以进行病毒检测的操作是必须的,其它步骤和部件操作则仅仅是为了达到更优效果的可选步骤。
移动网络中的系统构架
图4中示出了本发明具体实施方式中的移动病毒检测系统的一种具体应用场景,即将其集成在GPRS移动网络中。在该场景中,基于网络行为的移动病毒检测系统配置在GPRS的Gn接口中,如图4所示。
捕获引擎10根据其中的捕获规则监视移动终端用户与网络服务器之间的Gn网络数据流,并捕获与网络行为相关的网络数据,然后数据被送到数据挖掘引擎20。在训练模式下,数据挖掘引擎20根据所捕获的与网络行为相关的数据来确定出网络行为特征,同时以反馈数据更新捕获规则;而在检测模式下,数据挖掘引擎20根据所确定的网络行为特征,针对所述与网络行为相关的数据进行病毒检测。
由此,该移动病毒检测系统从网络侧集中地拦截依赖于网络进行传播的病毒,而无需为每一个移动用户安装或设置病毒检测系统,进而无需为多种移动操作系统或应用程序花费研究成本。此外,该移动病毒检测系统利用普遍的网络行为特征作为检测依据,从而有可能实现对未知移动病毒的检测。
综上所述,本发明技术方案中基于网络行为的移动病毒检测系统和方法借助对网络行为特征的分析,能够从网络侧拦截依赖于网络进行传播的病毒,其相比基于特征码的病毒检测方法而言,能够检测未知的病毒,并且对检测现代病毒更有把握;同时相比基于系统行为的病毒检测方法而言,其不依赖于移动设备的操作系统和应用程序,无需对不同的操作系统和应用程序进行分析,因而能够应用于不同系统中,适用范围更广。
上文通过附图和优选实施方式对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施方式,本领域技术人员从中推导出来的其它方案也在本发明的保护范围之内。
Claims (12)
1.一种基于网络行为的病毒检测系统,其特征在于,所述系统包括:
捕获引擎(10),用于根据捕获规则(12),从终端用户与网络服务器之间的网络数据流中捕获与网络行为相关的数据;
数据挖掘引擎(20),用于在系统处于训练模式的情况下,根据所述与网络行为相关的数据来确定网络行为特征;以及在系统处于检测模式的情况下,根据所确定的所述网络行为特征针对所述与网络行为相关的数据进行病毒的检测。
2.根据权利要求1所述的系统,其特征在于,
所述网络行为包括:通过网络进行的病毒传播行为、被病毒感染后移动设备的网络行为和被病毒感染后网络侧系统的网络行为。
3.根据权利要求1所述的系统,其特征在于,
所述网络行为特征包括:连接特征、地址特征、URL特征、行为相关的内容特征和流量相关特征,
其中,所述连接特征包括:连接频率、连接时间、连接端口、上下行连接数及其比重、短信发送、彩信发送;
所述地址特征包括:如源IP、目的IP、终端标识;
所述URL特征包括:URL是否变化、URL变化频率;
所述行为相关的内容特征包括:是否包含IMSI、电话号码、通讯录或SMS;
所述流量相关特征包括:上下行包长度。
4.根据权利要求1所述的系统,其特征在于,
所述系统还包括专家知识库(24),所述专家知识库(24)包括所述数据挖掘引擎(20)在训练模式下所确定的所述网络行为特征,且所述数据挖掘引擎(20)在系统处于检测模式的情况下,根据所述专家知识库(24)来进行病毒的检测。
5.根据权利要求1所述的系统,其特征在于,
所述数据挖掘引擎(20)包括预处理模块(22)和数据挖掘模块(21),其中,
所述预处理模块(22)用于将所述捕获引擎(10)所捕获的与网络行为相关的数据预处理成为可供所述数据挖掘模块(21)处理的数据;
所述数据挖掘模块(21)用于在系统处于训练模式的情况下,根据预处理后的数据来确定网络行为特征并更新所述捕获规则(12);以及在系统处于检测模式的情况下,根据所确定的所述网络行为特征对预处理后的数据进行病毒的检测。
6.根据权利要求5所述的系统,其特征在于,
所述数据挖掘引擎(20)还包括增量处理模块(23),所述增量处理模块(23)用于基于所述数据挖掘模块(21)的处理结果,对增加的新数据进行处理。
7.根据权利要求1所述的系统,其特征在于,
所述捕获引擎(10)还包括协议解析模块(11),所述协议解析模块(11)用于根据协议解析所捕获的数据。
8.一种基于网络行为的病毒检测训练方法,其特征在于,所述方法包括:
根据初始捕获规则,捕获引擎从终端用户与网络服务器之间的网络数据流中捕获与网络行为相关的训练数据;
数据挖掘引擎使用数据挖掘技术处理所捕获的所述与网络行为相关的数据,从而确定出网络行为特征,并将数据挖掘处理的结果反馈到所述捕获引擎,来更新捕获规则。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
当捕获到新的训练数据时,增量处理器基于所述数据挖掘引擎的已有处理结果,对新的训练数据进行处理,以更新捕获规则和所确定出的网络行为特征。
10.一种基于网络行为的病毒检测方法,其特征在于,所述方法包括:
根据捕获规则,捕获引擎从用户与网络服务器之间的网络数据流中捕获与网络行为相关的数据;
根据所确定的网络行为特征,数据挖掘引擎针对所述与网络行为相关的数据进行病毒的检测。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
当捕获到新的数据时,增量处理器基于所述数据挖掘引擎的已有检测结果,对新的数据进行处理,以更新所述检测结果。
12.根据权利要求10或11所述的方法,其特征在于,
所述方法还使用专家知识库,所述专家知识库包括所确定的所述网络行为特征,其中,所述数据挖掘引擎根据所述专家知识库来进行病毒的检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011103906048A CN103139169A (zh) | 2011-11-30 | 2011-11-30 | 基于网络行为的病毒检测系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011103906048A CN103139169A (zh) | 2011-11-30 | 2011-11-30 | 基于网络行为的病毒检测系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103139169A true CN103139169A (zh) | 2013-06-05 |
Family
ID=48498479
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011103906048A Pending CN103139169A (zh) | 2011-11-30 | 2011-11-30 | 基于网络行为的病毒检测系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103139169A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105072045A (zh) * | 2015-08-10 | 2015-11-18 | 济南大学 | 一种具有恶意软件网络行为发现能力的无线路由器 |
CN105117647A (zh) * | 2015-08-18 | 2015-12-02 | 国家计算机网络与信息安全管理中心广东分中心 | 一种木马行为还原方法 |
CN105187392A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于网络接入点的移动终端恶意软件检测方法及其系统 |
CN105187395A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于接入路由器进行恶意软件网络行为检测的方法及系统 |
CN111310179A (zh) * | 2020-01-22 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 计算机病毒变种的分析方法、装置和计算机设备 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101686239A (zh) * | 2009-05-26 | 2010-03-31 | 中山大学 | 一种木马发现系统 |
CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
-
2011
- 2011-11-30 CN CN2011103906048A patent/CN103139169A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101686239A (zh) * | 2009-05-26 | 2010-03-31 | 中山大学 | 一种木马发现系统 |
CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105072045A (zh) * | 2015-08-10 | 2015-11-18 | 济南大学 | 一种具有恶意软件网络行为发现能力的无线路由器 |
CN105187392A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于网络接入点的移动终端恶意软件检测方法及其系统 |
CN105187395A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于接入路由器进行恶意软件网络行为检测的方法及系统 |
CN105187392B (zh) * | 2015-08-10 | 2018-01-02 | 济南大学 | 基于网络接入点的移动终端恶意软件检测方法及其系统 |
CN105187395B (zh) * | 2015-08-10 | 2018-10-23 | 济南大学 | 基于接入路由器进行恶意软件网络行为检测的方法及系统 |
CN105072045B (zh) * | 2015-08-10 | 2018-12-18 | 济南大学 | 一种具有恶意软件网络行为发现能力的无线路由器 |
CN105117647A (zh) * | 2015-08-18 | 2015-12-02 | 国家计算机网络与信息安全管理中心广东分中心 | 一种木马行为还原方法 |
CN111310179A (zh) * | 2020-01-22 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 计算机病毒变种的分析方法、装置和计算机设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
Bayer et al. | Scalable, behavior-based malware clustering. | |
CN105814577B (zh) | 隔离表现网络活动的可执行文件 | |
US10192052B1 (en) | System, apparatus and method for classifying a file as malicious using static scanning | |
CN102254111B (zh) | 恶意网站检测方法及装置 | |
US9832211B2 (en) | Computing device to detect malware | |
CN111600850B (zh) | 一种检测挖矿虚拟货币的方法、设备及存储介质 | |
WO2015056885A1 (ko) | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 | |
CN111737696A (zh) | 一种恶意文件检测的方法、系统、设备及可读存储介质 | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
Shabtai et al. | F-sign: Automatic, function-based signature generation for malware | |
US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
CN103839003A (zh) | 恶意文件检测方法及装置 | |
WO2017185827A1 (zh) | 用于确定应用程序可疑行为的方法和装置 | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
CN110086811B (zh) | 一种恶意脚本检测方法及相关装置 | |
WO2017071148A1 (zh) | 基于云计算平台的智能防御系统 | |
CN104580133A (zh) | 恶意程序防护方法与系统及其过滤表格更新方法 | |
CN102708309A (zh) | 恶意代码自动分析方法及系统 | |
CN103139169A (zh) | 基于网络行为的病毒检测系统和方法 | |
EP3340097B1 (en) | Analysis device, analysis method, and analysis program | |
EP3531329A1 (en) | Anomaly-based-malicious-behavior detection | |
CN102547710B (zh) | 在移动通信系统中探测病毒的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130605 |
|
RJ01 | Rejection of invention patent application after publication |