CN105022960A - 基于网络流量的多特征移动终端恶意软件检测方法及系统 - Google Patents
基于网络流量的多特征移动终端恶意软件检测方法及系统 Download PDFInfo
- Publication number
- CN105022960A CN105022960A CN201510486986.2A CN201510486986A CN105022960A CN 105022960 A CN105022960 A CN 105022960A CN 201510486986 A CN201510486986 A CN 201510486986A CN 105022960 A CN105022960 A CN 105022960A
- Authority
- CN
- China
- Prior art keywords
- feature
- mobile terminal
- network
- model
- malicious software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于网络流量的多特征移动终端恶意软件检测方法及系统,从网络流量数据中提取出能够有效表征移动终端恶意软件网络行为的特征;按照不同的特征类型对提取的能够有效表征移动终端恶意软件网络行为的特征进行分类;对分类后的特征建立与之相适应的检测模型,每种类型的特征有与之对应的唯一的检测模型;每种类型的特征选择对应的检测模型并输出相应的检测结果。针对移动终端网络流量的不同特征类型,本发明设计了适应于不同的特征类型的检测模型,用户可以根据需要自主选择所需要的模型,针对不同的特征类型设计的不同的检测模型可以在一定程度上提高了检测的准确度,满足了用户的个性化需求。
Description
技术领域
本发明涉及一种利用移动终端网络流量来检测恶意软件网络行为的方法,尤其涉及一种针对移动终端网络流量的多类特征,分别设计相应的不同检测模型的检测方法及系统。
背景技术
随着移动终端的广泛使用,尤其是智能手机的迅速普及,移动智能终端给现代社会巨大的变革,进入21世纪以来,我们已经迅速步入了移动时代。而手机已不再局限于传统意义上的通信业务,已经成为集电子商务、个人支付、社交娱乐等功能于一体的强大终端。据Gartner报告统计,2014年,全球手机市场已经达35亿台(其中Android系统27亿台),已经超过PC数量,预测到2015年将超过50亿台。然而随着移动应用的普及和用户数量爆发式增长,移动智能终端的安全也面临着巨大挑战。据国家互联网应急中心发布的2013年中国互联网网络安全报告的一项统计,恶意扣费类的恶意程序数量居首位,达到了502481个,显示了黑客制作恶意程序带有明显的趋利性,而针对Android平台的恶意联网程序达到了699514个,占总数99%以上;据网秦公司发布的2013上半年全球手机安全报告,2013年上半年查杀到手机恶意软件51084款,同比2012年上半年增长189%,2013年上半年感染手机2102万部,同比2012年上半年增长63.8%,在全球范围内,中国大陆地区以31.71%的感染比例位居首位,俄罗斯(17.15%)、印度(13.8%)、美国(6.53%)位居其后,其中中国大陆地区增幅最快,相比2013年第一季度增长5.31%,比2012年上半年增长6.01%;Cheetah Mobile发布2014上半年全球移动安全报告指出2014年上半年病毒数量为2013全年的2.5倍。
传统的移动终端恶意软件检测方法根据检测方式的不同大致可以分为两类,即静态检测和动态检测。(1)对于静态检测技术,是利用反编译工具和逆向工程技术对移动终端的恶意软件进行反编译和反汇编,再从源代码中找出恶意代码。这种静态检测技术最大的优点是实施简单,用户只需在终端上安装检测程序即可,而各大安全公司的移动终端的安全产品也大都采用这种模式。但是随着代码混淆、加壳等技术的出现,反编译和对恶意代码的特征匹配已经变成了一件非常困难的事情,同时,这种静态检测技术非常依赖于已有恶意代码的特征,对未知恶意软件的发现能力极其不足。(2)对于动态检测技术,则是利用“沙盒”机制,通过在沙盒内运行应用软件,监控应用软件对系统敏感资源的调用来达到识别的目的。这种动态的方法对未知的恶意应用具有一定的发现能力,但是对用户终端的资源消耗巨大,并且难以大规模部署实施,所以相关研究仅停留在学术研究阶段。
通过网络流量来发现移动终端的恶意软件网络行为是近年新兴的一种恶意软件检测技术,并取得了一些初步的研究成果。通过网络流量来检测恶意软件不需要用户在终端设备上安装检测程序,极大地降低了用户终端设备的计算资源,但是,现有的基于移动终端网络流量的检测技术存在以下几个缺点:
(1)现有的基于移动终端的网络流量检测恶意软件的方法也仅仅局限于某一类特征,例如仅仅利用DNS特征作恶意软件的检测,缺乏对移动终端网络流量特征进行系统性的总结和针对不同类型的网络流量特征的检测方法。
(2)现有的基于移动终端的网络流量行为特征,往往只集中在对端口、数据包大小、开始时间、结束时间等特征的统计分析,缺少移动终端恶意软件网络交互行为特征。
(3)由于现有的基于移动终端网络流量检测恶意软件技术相关研究尚处于起步阶段,往往借鉴于传统PC端的检测方法,而传统的PC端的恶意软件检测也面临着发现未知恶意软件能力不足的问题。
发明内容
为解决现有技术存在的不足,本发明公开了基于网络流量的多特征移动终端恶意软件检测方法及系统,以针对移动终端网络流量的不同特征类型,本发明分别设计了适应于不同的特征类型的检测模型,用户可以根据需要自主选择所需要的模型,提高了检测的准确度,满足了用户的个性化需求。
为实现上述目的,本发明的具体方案如下:
基于网络流量的多特征移动终端恶意软件检测方法,包括以下步骤:
从网络流量数据中提取出能够有效表征移动终端恶意软件网络行为的特征;
按照不同的特征类型对提取的能够有效表征移动终端恶意软件网络行为的特征进行分类;
对分类后的特征建立与之相适应的检测模型,每种类型的特征有与之对应的唯一的检测模型;
每种类型的特征选择对应的检测模型并输出相应的检测结果。
进一步的,对特征进行分类时,分为规则类的特征、图类特征、数值型特征和标称型特征。
进一步的,对分类后的特征建立与之相适应的检测模型,对于规则类的特征,建立适应于基于规则的检测模型,对于图类的特征,建立适应于基于图相似的匹配模型,对于数值型特征和标称型特征,利用机器学习模型处理这些类型的数据。
更进一步的,对于规则类的特征建立规则匹配模型并进行检测时,采用的步骤为:
1-1)基于采集的网络流量数据集,从中提取出所有的请求的域名;
1-2)将提取到的请求的域名在第三方域名检测服务上做域名检测,建立恶意URL列表;
1-3)把恶意URL列表上的恶意URL作为规则加入到规则匹配模型;
1-4)用户终端接入网络后,通过对用户移动终端网络流量的采集,从采集到的网络流量中提取请求的域名,与规则匹配模板库中规则进行匹配,若发现有恶意请求的域名存在,规则匹配模型输出发现恶意软件的检测结果。
更进一步的,对于图类特征建立图相似匹配模型并进行检测时,采用的步骤为:
2-1)在采集到的网络流量数据集中,按照五元组特征提取出恶意的网络行为数据流;其中,五元组特征是指具有相同的源IP,目的IP,源端口,目的端口和协议类型;
2-2)基于恶意的网络行为数据流,做出恶意网络行为重构图;
2-3)基于正常的网络行为数据流,做出正常网络行为重构图;
2-4)获取用户移动终端应用软件所产生的网络流量,做出用户移动终端应用软件的网络行为重构图,分别计算其与恶意网络行为重构图的相似性和与正常网络行为重构图的相似度,若与前者的相似度大于后者的相似度,则说明该应用软件是恶意软件。
更进一步的,对于数值型和标称型特征,基于机器学习的无监督和有监督学习来建立检测模型,其中,无监督学习主要以聚类算法为主,有监督学习主要以分类算法为主,具体包括:
3-1)在采集到的网络流量数据集中,提取出数值型特征和标称型特征,建立原始特征集;
3-2)在原始特征集上移除类别标签(该类别标签用于区分该应用软件是否恶意,例如,对于恶意软件,该标签可以设置为“1”,对于正常软件,该标签可以设置为“0”),使用聚类算法,将具有相似特征的软件样本聚为一类,便于发现未知的恶意软件;
3-3)对先发现的未知恶意软件,重新提取特征,加入到原始特征集中形成新的特征集;
3-4)在加上类别标签的新特征集上使用分类算法,建立分类检测模型,便于提高准确度。
实施例,以机器学习无监督学习算法的K均值方法对原始特征集进行聚类,具体方法为:
4-1)输入要聚类的簇的个数为K;
4-2)在原始特征集上随机初始化K个聚类中心;
4-3)计算每个样本与K个聚类中心之间的距离,并将其分配到最近距离的类中;
4-4)分配完毕后,计算新的类的中心;
4-5)新的类的中心是否收敛,收敛条件设置为迭代次数;
4-6)若迭代次数达到了设定的次数,则输出聚类结果;
4-7)若迭代次数没有达到设定的次数则返回步骤4-3),直到达到设定的迭代次数。
实施例,建立机器学习的SVM模型,具体步骤为:
5-1)在发现的新的未知恶意软件样本的基础上,加上类别标签形成新的特征集;
5-2)在新特征集中,选取其中的部分数据作为训练集,另一部分数据作为测试集;
5-3)对SVM模型的参数进行编码;
5-4)初始化工作,完成对数据的预处理,模型参数的初始化;
5-5)在训练集提取的网络流量特征集上训练SVM模型;
5-6)用测试集评估模型的分类效果;
5-7)评估分类效果是否满足结束条件;
5-8)若已经达到结束条件,则获得了SVM模型的各个参数;
5-9)由获取的参数得到SVM模型;
5-10)若没有达到结束条件,则继续返回到步骤5-5),继续训练模型,直到满足结束条件为止。
更进一步的,对于数值型和标称型进行检测时,采用的步骤为:
3-1)在采集到的用户移动终端应用软件所产生的网络流量中,提取出数值型和标称型特征;
3-2)对提取出的数值型特征和标称型特征进行归一化等预处理;
3-3)将处理好的数值型特征和标称型特征输入到训练好的机器学习模型中,以上述获取到的SVM模型为例;
3-4)根据输入的特征,使用SVM模型做检测。
所述基于网络流量的多特征移动终端恶意软件检测方法在检测模型服务器中完成。
为了更好的实施上述基于网络流量的多特征移动终端恶意软件检测方法,本申请还公开了基于网络流量的多特征移动终端恶意软件检测系统,包括:
特征提取模块,用于从网络流量数据中提取出各类特征,获取能够有效表征移动终端恶意软件网络行为的特征;
特征分类模块,在特征提取之后,按照不同的特征类型对提取的特征进行分类,划分为:规则类的特征、图类的特征、数值类型和标称类型特征;
模型建立模块,对每一种类型的特征,建立与之相适应的检测模型,不同的特征类型适用于不同的模型,每种类型的特征有与之对应的唯一的检测模型,分别为规则匹配模型、图相似匹配模型以及机器学习模型;
模型选择及输出模块,用于实现模型选择和获取输出。
本发明的有益效果:
本发明针对传统的静态检测和动态检测方法的不足,本发明设计了一种基于网络流量的多特征移动终端恶意软件检测方法,第一,由于移动终端的网络流量特征具有不同的类型,各种特征类型所适用的检测模型也不尽相同,所以针对移动终端网络流量的不同特征类型,本发明分别设计了适应于不同的特征类型的检测模型,用户可以根据需要自主选择所需要的模型,同时,对于某些选定的模型,可以根据用户个性化的需求选择特定的特征类型。这种针对不同的特征类型设计的不同的检测模型可以在一定程度上提高了检测的准确度,满足了用户的个性化需求;第二,本发明在特征种类中加入了一种图类特征,这种图类特征基于移动终端网络交互行为的重构图,并依据图类特征设计了相适应的图相似检测模型,该模型基于计算图之间的相似度;第三,在机器学习模型中,本发明利用无监督学习技术和有监督学习技术,设计了一种具有发现未知恶意软件能力的检测模型,弥补了现有的基于移动终端网络流量检测技术对未知的恶意软件发现能力不足的问题。
附图说明
图1为本发明的网络体系结构图;
图2为本发明设计的检测系统的体系结构图;
图3为实施例建立规则匹配模型流程图;
图4为实施例用户使用规则匹配模型检测流程图;
图5为实施例建立图相似匹配模型流程图;
图6为实施例用户使用图相似匹配模型检测流程图;
图7为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的过程图;
图8为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的流程图;
图9为实施例以机器学习无监督学习算法的K均值方法对原始特征集进行聚类的流程图;
图10为实施例建立机器学习的SVM模型流程图;
图11为实施例用户使用SVM模型检测流程图。
具体实施方式:
下面结合附图对本发明进行详细说明:
一种基于网络流量的多特征移动终端恶意软件检测方法,结合实施例,具体工作过程为:
1、特征提取并对特征进行分类。首先,根据能够有效表征移动终端恶意软件的网络行为的特征,设计相应的特征提取程序,完成从原始的网络流量数据中提取特征;其次,按照不同的特征类型,对特征进行分类。例如,对于DNS请求的域名查询,流量上传和下载比值,连接持续时间,端口号,行为序列图等能够有效表征移动终端恶意软件行为的特征,分别设计相应的特征提取程序;然后,对这些特征按照不同的类型进行分类,DNS请求的域名查询作为规则类的特征,流量上传和下载比值、连接持续时间作为数值型类特征,端口号作为标称型类特征,行为序列图作为图类特征。
2、建立检测模型。首先,按照不同的特征类型,选择适合于该特征类型的检测模型;其次,基于采集到的网络流量数据集,通过训练得到适合于不同特征类型的检测模型。
以规则类的DNS请求的域名特征为例,第一步,需要选择与规则类特征相适合的规则匹配模型;第二步,基于采集的网络流量数据集,从中提取出所有的DNS请求的域名;第三步,将提取到的DNS请求的域名在第三方域名检测服务VirusTotal上做域名检测,建立恶意URL列表;第四步,把这个列表上的恶意URL作为规则加入到规则匹配模型;第五步,用户终端接入网络后,通过对用户移动终端网络流量的采集,从采集到的网络流量中提取DNS请求的域名,与规则匹配模型中规则进行匹配,若发现有恶意DNS请求的域名存在,规则匹配模型输出发现恶意软件的检测结果。
以图类的网络行为重构图特征为例,第一步,选择相应的图相似匹配模型;第二步,在采集到的网络流量数据集中,按照五元组特征(具有相同的源IP,目的IP,源端口,目的端口和协议类型)提取出恶意的网络行为数据流;第三步,基于恶意的网络行为数据流,构建恶意网络行为重构图;第四步,基于正常的网络行为数据流,构建正常网络行为重构图;第五步,获取用户移动终端应用软件所产生的网络流量,构建用户移动终端应用软件的网络行为重构图,分别计算其与恶意网络行为重构图的相似性和与正常网络行为重构图的相似度,若与前者的相似度大于后者的相似度,则说明该应用软件是恶意软件。
以机器学习模型为例,本发明设计了一种具有发现未知恶意软件能力的检测模型,该方法基于机器学习的无监督和有监督学习。其中,无监督学习主要以聚类算法为主,有监督学习主要以分类算法为主。第一步,在采集到的网络流量数据集中,提取出数值型类特征和标称型类特征,建立原始特征集;第二步,我们在原始特征集上使用聚类算法,将具有相似特征的软件样本聚为一类,这种聚类的好处是能够发现未知的恶意软件;第三步,对先发现的未知恶意软件,重新提取特征,加入到原始特征集中形成新的特征集;第四步,在新的特征集上使用分类算法,建立分类检测模型,使用分类算法的好处是分类具有比聚类更高的准确度。
3、用户自主选择所需要的模型。通过上述步骤,完成了每种类型特征所对应的检测模型的构建,用户此时可以根据自己的需要,通过模型控制器的模型选择功能同时选择一种或是几种检测模型,并选择对应的特征类型,确定完毕后,检测模型开始对输入的流量数据进行处理和计算,并输出检测结果。例如,首先,用户选定机器学习模型和图类匹配模型;其次,会提示机器学习模型可选的特征类型-数值型和标称型,用户选择数值型特征;再次,输入移动终端应用软件产生的流量数据;然后,特征处理程序根据选定的特征类型-数值型类特征和图类特征,分别提取出数值型的特征,例如流量上传和下载比值、流的连接持续时间、流中包的平均到达时等输入到机器学习模型,同时,将图类特征,例如网络行为重构图输入到图相似匹配模型,分别计算与恶意网络行为重构图和正常网络行为重构图之间的相似度,依据相似度来识别出恶意软件;最后,模型检测的结果经过模型控制器的获取输出功能显示给用户。
一种基于网络流量的多特征移动终端恶意软件检测系统,它包括:
特征提取模块,主要负责从网络流量数据中提取出各类特征。它的实现主要依赖于能够获取到的有效表征移动终端恶意软件网络行为的特征。对于已经确定的每一种网络行为特征,例如流量的上传和下载比值,流的持续时间,流的目的端口号,流中包的平均到达时间等传统的流量特征,特征提取模块都设计了与之对应的提取程序。
特征分类模块,主要负责在特征提取之后,按照不同的特征类型对提取的特征进行分类。由于网络流量的行为特征是具有多种类型的,而且对于每一种类型的特征,应当有与之相适应的检测模型。所以,按照不同的特征类型将特征进行分类,每一类的特征有对应的一种检测模型,这种多模型的检测方法可以更加使检测结果更加准确。例如,对于规则类的特征,适应于基于规则的检测模型,而对于图类的特征,适应于基于图相似的匹配模型,对于数值类型和标称类型特征,机器学习模型则更加擅长处理这些类型的数据。
模型建立模块,对每一种类型的特征,设置与之相适应的检测模型。不同的特征类型适用于不同的模型,一种类型的特征有与之对应的唯一的模型,这种设计主要基于不同类型的特征所适用的模型不同。本发明设计了三种检测模型,分别为规则匹配模型、图相似匹配模型以及机器学习模型,这三种模型分别针对不同的特征类型而设计。
模型选择及输出模块,主要负责实现模型选择和获取输出功能。模型选择功能主要是为用户完成模型的选择而设计,由于在系统的模型模块中,设计了基于多种不同特征类型的检测模型,用户可能不需要其中的某一种,所以设计的模型选择功能可以实现选择其中的一种或者多种模型。获取输出主要负责对模型输出的检测结果的获取。
为了更好的理解本申请的内容,以下给出了更为详细的实施例子:
图1为本发明的网络体系结构图,如图1所示。一种基于移动终端网络流量多类特征检测恶意软件的方法在检测模型服务器中完成,检测模型中的数据主要来自于移动终端恶意软件网络流量数据集制作方法及系统,该系统主要包括流量产生装置,流量采集装置以及代理防火墙保护装置:流量产生装置既有来自真实的移动终端软件所产生的网络流量,也包含来自移动终端模拟器上安装的移动应用所产生的网络流量;流量采集装置主要基于流量镜像技术,通过对流量的镜像将数据存入数据存储服务器上;代理防火墙保护装置保护由于安装恶意软件所带来的外部网络攻击的危害。存储到数据存储服务器上的流量数据被送入到检测模型服务器中,通过对流量数据的预处理以及特征提取,从而实现本发明所设计的一种基于移动终端网络流量检测恶意软件的方法。
检测模型中的数据集获取及图类的网络行为重构图方法包括:
1)移动终端恶意软件反编译。对大规模Android恶意软件的原文件,通过自动化脚本程序来控制执行反编译工具APKTool,可以得到所有恶意软件反编译后的文件。同时,在每个恶意软件样本反编译后的文件中,都有一个Android系统的配置文件AndroidManifest.xml。
2)提取移动终端恶意软件自动安装和运行所需要的参数。对于每一个Android恶意软件,若反编译成功,都可以从它的AndroidManifest.xml文件中提取出该恶意软件的包名和主activity名,作为移动终端恶意软件自动安装和运行程序所需要的参数。对于反编译失败的恶意软件,则重复步骤1),重新选择新的反编译工具,直到反编译成功。
3)移动终端恶意软件自动安装。通过Android平台提供的ADB调试命令,可以实现Android应用软件的安装。其中,Android应用软件的安装需要包名作为参数传入ADB。对于大规模移动终端恶意软件,将步骤2)得到的所有恶意软件的包名写入文本文件,每一行的内容为一个app的包名。ADB每次调用文本文件中一行,完成对一个恶意软件的自动化安装。ADB循环调用文本文件的每一行,依次实现对所有恶意软件的安装。
4)移动终端恶意软件激活与运行。不同的Android恶意软件所依赖于的激活方式不尽相同,目前已知的激活方式主要包括移动终端操作系统重启、收发短信、接打电话、系统事件、电池电量状态、网络状态改变、USB接入。不同的激活方式所能激活的恶意软件的数量不等,据统计超过80%的Android恶意软件依赖手机操作系统的重启来实现激活。本发明依据各种激活方式所能激活的恶意软件数量排序设计了一种激活优先机制,即移动终端操作系统重启>系统事件>电池电量状态>收发短信>网络状态改变>USB接入>接打电话。若重启终端操作系统能够产生有效流量,则表明该恶意软件已被激活并运行,反之,则继续使用下一级别“系统事件”激活方式对恶意软件进行激活,以此类推,直到能够采集到有效网络流量为止。若使用所有的激活方式仍然没有采集到有效流量,则对该恶意软件的流量采集失败。
5)移动终端恶意软件网络流量获取。在移动终端接入网络的路由器节点部署镜像端口,通过镜像端口可以把所有上、下行的移动终端网络流量镜像到数据存储服务器上。
6)移动终端恶意目标列表建立。在数据存储服务器上,保存了移动终端恶意软件产生的所有网络交互流量。通过解析流量数据的DNS信息,可以得到关于恶意软件所有的DNS请求的目标域名,再将这些目标域名依次在VirusTotal上作恶意域名检测,若是恶意目标,则将该域名加入黑名单列表。
7)移动终端恶意软件恶意行为流量分离。基于6)建立好的黑名单,根据流的五元组(即具有相同的源IP地址、目的IP地址、源端口号、目的端口号、协议号)构建网络数据流,然后在数据流中的HTTP数据包中提取相应的HOST字段(HOST字段是一段域名字符串),若该字段存在于6)建立的黑名单中,则认为该数据流为恶意软件网络行为流量,提取并保存,反之则忽略掉该数据流。依据该原则依次完成所采集到的所有数据流。这样分离出移动终端恶意软件与远程控制服务器之间或恶意服务器之间所产生的恶意交互流量。
8)移动终端恶意软件网络行为交互时序图建立。在7)分离出恶意的网络数据流后,提取出相应的DNS数据包和HTTP数据包。首先,依次读取恶意的网络数据流中的每一个流,提取出流中的HTTP数据包,记录下HTTP数据包的发送时间和HTTP数据包中的HOST字段(这个字段记载着HTTP数据包传输的服务器域名);然后,根据HTTP数据包中HOST字段的域名,从原始网络流量数据包中提取出与HOST字段具有相同域名的DNS协议数据包,并记录下数据包的发送时间,以及DNS应答数据包中的CNAME内容和解析到的IP地址;最后,按照数据包的发送时间,构建从源IP地址到DNS以及向目标域名服务器发送HTTP数据包的网络交互时序图。
9)移动终端恶意软件网络行为重构。在8)建立的网络交互时序图的基础上构建网络行为的重构图。首先,将源IP地址、目标服务器域名以及HTTP数据包定义为图的节点,将DNS应答数据包的内容定义为目标服务器域名节点的属性节点;其次,在图中用实线连接目标服务器域名节点与各个属性节点,用以表示目标服务器所相关的CNAME信息和解析到的IP地址信息;再次,用虚线连接HTTP数据包节点与目标服务器域名节点,用以表示向该目标服务器发送HTTP数据包的对应关系;然后,用实线连接源IP地址节点与目标服务器域名节点,表示从源IP地址向目标服务器发出的请求,并以目标服务器域名的请求次数作为该段实线的权重;最后,用实线连接源IP地址节点与HTTP数据包节点,表示从源IP地址向目标服务器发出的HTTP数据包,并以向目标服务器发出的HTTP数据包数量作为该段实线的权重。正常网络行为重构图及用户移动终端应用软件的网络行为重构图的做法与恶意网络行为重构图相同。
图2为本发明设计的检测系统的体系结构图,如图2所示,该方法包括:
步骤100,特征提取程序从网络流量数据中提取出能够有效表征恶意软件网络行为的特征。
步骤101,对于规则类的特征划分为一类,例如DNS请求的域名特征。
步骤102,对于图类的特征划分为另一类,例如行为序列图特征。
步骤103,对于数值型和标称型特征划分为第三类,例如流的持续时间,目的端口号等特征。
步骤104,对于规则类的特征建立规则匹配模型。
步骤105,对于图类特征建立图相似匹配模型。
步骤106,对于数值类特征和标称型特征,训练得到机器学习模型。
步骤107,模型选择功能完成用户对模型的选择。同时,对具有多种特征类型的模型,用户还可以继续完成对指定特征类型的选择。
步骤108,获取输出功能完成从模型获取输出的检测结果。
图3为实施例建立规则匹配模型流程图,如图3所示,该方法包括:
步骤110,DNS特征提取程序从恶意的网络流量数据集中提取出所有的DNS请求的域名。
步骤111,提取出所有的移动终端恶意软件产生的DNS请求的域名后,建立DNS请求的域名集合。
步骤112,依次将DNS请求的域名集合中的每一个域名放在第三方域名检测服务VirusTotal上做域名检测。
步骤113,若VirusTotal的检测结果是恶意URL,则将该域名加入到恶意列表中。
步骤114,若VirusTotal检测结果是正常URL,则不做处理。
步骤115,对DNS请求的域名集合中的所有域名检测完毕后,将得到的恶意列表加入到规则匹配模型,获得规则匹配模型。
由于移动终端的网络流量具有多类特征,规则类特征作为一种重要特征之一,在一定程度上能够帮助识别出恶意软件,例如DNS请求的域名信息,恶意软件请求的DNS域名通常是恶意的远程控制服务器域名,所以,可以依据DNS域名来建立规则匹配模型,每一条规则对应于一条恶意的DNS域名。首先,我们依据已有的恶意软件样本,通过主动式的方法采集恶意软件样本的网络流量;然后,从采集到的网络流量中提取出所有的DNS请求域名;最后,使用第三方的域名检测服务例如VirusTotal来验证恶意的DNS请求域名,依据恶意的DNS请求域名来建立规则匹配模型。
图4实施例用户使用规则匹配模型检测流程图,如图4所示,该方法包括:
步骤120,获取用户移动终端的应用软件所产生的网络流量。
步骤121,DNS提取程序从流量数据中提取出DNS请求的域名。
步骤122,将提取出的所有的DNS请求的域名输入到建立的规则匹配模型中。
步骤123,规则匹配模型对所提取出来的DNS请求的域名做规则匹配。
步骤124,若存在任意一个DNS请求的域名,在规则匹配模型中有与之相匹配的域名,则该应用是恶意应用。
步骤125,若所有的DNS请求的域名均不存在于规则匹配模型中,则该应用是正常应用。
当用户需要使用该规则匹配模型时,只需要采集用户流量,若发现用户流量中的某一条DNS请求的域名与规则匹配模型中的某一条规则相匹配,证明用户安装了恶意软件。
图5为实施例建立图相似匹配模型流程图,如图5所示,该方法包括:
步骤130,分别采集到恶意应用软件和正常应用软件的网络流量数据集。
步骤131,在采集到的网络流量数据集上,按照五元组特征(源IP,目的IP,源端口,目的端口,协议),设计网络数据流提取程序。
步骤132,根据步骤131设计的网络数据流提取程序,分别在采集到的恶意应用软件的网络流量数据集和正常应用软件的网络流量数据集中,提取出恶意应用软件的网络行为数据流和正常应用软件的网络行为数据流。
步骤133,根据提取出的恶意应用软件的网络行为数据流和正常应用软件的网络行为数据流,分别重构出恶意应用软件的网络行为重构图和正常应用软件的网络行为重构图。
步骤134,根据正常应用的网络行为序列图和恶意应用的网络行为序列图获得图相似匹配模型,该模型主要基于图之间的相似度来识别恶意软件。
图类特征主要是指移动终端应用软件的网络行为重构图,网络行为重构图在一定程度上反映了应用软件与外部网络之间的完整的交互过程,因为正常应用软件的网络交互行为与恶意应用软件的网络交互行为存在很大的不同,所以,正常应用软件的网络行为重构图与恶意应用软件的网络行为重构图也有很大的不同。首先,分别采集正常应用软件和恶意应用软件的网络流量数据;然后,分别构建正常应用软件的网络行为重构图和恶意应用软件的网络行为重构图;最后,建立图相似匹配模型。
图6为实施例用户使用图相似匹配模型检测流程图,如图6所示,该方法包括:
步骤140,获取用户移动终端应用软件所产生的网络流量。
步骤141,在采集到的用户移动终端应用软件所产生的网络流量中,利用网络数据流提取程序提取出该应用软件的网络数据流。
步骤142,依次提取出采集到的网络流量数据中的所有的网络数据流。
步骤143,根据提取出的所有的网络数据流,构建该应用软件的网络行为重构图。
步骤144,分别计算该应用软件的网络行为重构图与恶意应用软件网络行为重构图和正常应用软件网络行为重构图之间的相似度。
步骤145,若计算得到的与恶意应用软件网络行为重构图的相似度大于正常应用软件网络行为重构图的相似度,则该应用是恶意应用。
步骤146,若计算得到的与恶意应用软件网络行为重构图的相似度小于正常应用软件网络行为重构图的相似度,则该应用是正常应用。
当用户需要使用该模型时,只需要输入用户移动终端应用软件所产生的网络流量,构建出网络行为重构图,然后分别计算其与该图相似匹配模型中的正常应用软件的网络行为重构图的相似度,以及与恶意应用软件的网络行为重构图的相似度。若计算得到的与恶意应用软件网络行为重构图的相似度大于正常应用软件网络行为重构图的相似度,则说明用户安装了恶意软件。
图7为利用机器学习的无监督学习算法和有监督学习算法构建具有发现未知恶意软件检测模型的过程图(如图7所示)。首先,在原始特征集的基础上,采用无监督学习算法发现未知的恶意软件;其次,提取未知恶意软件的特征,建立新的特征集;最后,在新的特征集的基础上采用有监督的学习算法获得检测模型。
图8为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的流程图,如图8所示。该方法包括:
步骤150,提取采集到的网络流量数据中的基本特征。这些特征类型主要是数值类型特征和标称类型特征,包括流量上传和下载比值、流的连接持续时间、流中包的平均到达时间、源端口号、目的端口号等。
步骤151,以无监督学习算法中的聚类算法为主,对提取到的网络行为的基本特征进行聚类,来发现未知的恶意软件。
步骤152,利用聚类算法发现了新的未知的移动终端恶意软件。
步骤153,从新发现的未知恶意软件中提取出新的特征,加入到原始特征集中,形成新的特征集。
步骤154,以有监督学习算法中的分类算法为主,利用新的特征集训练模型,得到模型的最优参数。
步骤155,得到模型的最优参数后,获得分类模型。
图9为实施例以机器学习无监督学习算法的K均值方法对原始特征集进行聚类的流程图,如图9所示,该方法包括:
步骤161,输入要聚类的簇的个数为K。
步骤162,在原始特征集上随机初始化K个聚类中心。
步骤163,计算每个样本与K个聚类中心之间的距离,并将其分配到最近距离的类中。
步骤164,分配完毕后,计算新的类的中心。
步骤165,新的类的中心是否收敛,收敛条件设置为迭代次数。
步骤166,若迭代次数达到了设定的次数,则输出聚类结果。
步骤167,若迭代次数没有达到设定的次数则返回步骤163。直到达到设定的迭代次数。
图10为实施例建立机器学习的SVM模型流程图,如图10所示,该方法包括:
步骤171,在发现的新的未知恶意软件样本的基础上,加上类别标签形成新的特征集。
步骤172,在新的特征集中选取其中的一部分数据作为训练集。
步骤173,在新的特征集中选取剩余部分数据作为测试集。
步骤174,对SVM模型的参数进行编码。
步骤175,初始化工作,完成对数据的预处理,包括特征的归一化等,模型参数的初始化。
步骤176,在训练集提取的网络流量特征集上训练SVM模型。
步骤177,用测试集评估模型的分类效果。
步骤178,评估分类效果是否满足结束条件。结束条件可以设置为误差精度或者模型的训练次数等。
步骤179,若已经达到结束条件,则获得了SVM模型的各个参数。
步骤180,由获取的参数得到SVM模型。
步骤181,若没有达到结束条件,则继续返回到步骤176,继续训练模型,直到满足结束条件为止。
图11为实施例用户使用SVM模型检测流程图,如图11所示,该方法包括:
步骤190,获取用户移动终端应用软件所产生的网络流量。
步骤191,在采集到的用户移动终端应用软件所产生的网络流量中,提取出数值型特征和标称型特征。
步骤192,对提取到的数值型特征和标称型特征进行归一化等预处理。
步骤193,对归一化后的特征,使用训练好的SVM模型进行检测。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (10)
1.基于网络流量的多特征移动终端恶意软件检测方法,其特征是,包括以下步骤:
从网络流量数据中提取出能够有效表征移动终端恶意软件网络行为的特征;
按照不同的特征类型对提取的能够有效表征移动终端恶意软件网络行为的特征进行分类;
对分类后的特征建立与之相适应的检测模型,每种类型的特征有与之对应的唯一的检测模型;
每种类型的特征选择对应的检测模型并输出相应的检测结果。
2.如权利要求1所述的基于网络流量的多特征移动终端恶意软件检测方法,其特征是,对特征进行分类时,分为规则类的特征,图类特征、数值型类特征和标称型类特征。
3.如权利要求2所述的基于网络流量的多特征移动终端恶意软件检测方法,其特征是,对分类后的特征建立与之相适应的检测模型,对于规则类的特征,建立适应于基于规则的检测模型,对于图类的特征,建立适应于基于图相似的匹配模型,对于数值型类特征和标称型类特征,利用机器学习模型处理这些类型的数据。
4.如权利要求3所述的基于网络流量的多特征移动终端恶意软件检测方法,其特征是,对于规则类的特征进行检测时,采用的步骤为:
1-1)基于采集的网络流量数据集,从中提取出所有的请求的域名;
1-2)将提取到的请求的域名在第三方域名检测服务上做域名检测,建立恶意URL列表;
1-3)把恶意URL列表上的恶意URL作为规则加入到规则匹配模型;
1-4)用户终端接入网络后,通过对用户移动终端网络流量的采集,从采集到的网络流量中提取请求的域名,与规则匹配模型中规则进行匹配,若发现有恶意请求的域名存在,规则匹配模型输出发现恶意软件的检测结果。
5.如权利要求3所述的基于网络流量的多特征移动终端恶意软件检测方法,其特征是,对于图类特征进行检测时,采用的步骤为:
2-1)在采集到的网络流量数据集中,按照五元组特征提取出恶意的网络行为数据流;其中,五元组特征是指具有相同的源IP,目的IP,源端口,目的端口和协议类型;
2-2)基于恶意的网络行为数据流,构建恶意网络行为重构图;
2-3)基于正常的网络行为数据流,构建正常网络行为重构图;
2-4)获取用户移动终端应用软件所产生的网络流量,构建用户移动终端应用软件的网络行为重构图,分别计算其与恶意网络行为重构图的相似性和与正常网络行为重构图的相似度,若与前者的相似度大于后者的相似度,则说明该应用软件是恶意软件。
6.如权利要求3所述的基于网络流量的多特征移动终端恶意软件检测方法,其特征是,对于数值型特征和标称型特征,进行检测时基于机器学习的无监督和有监督学习,其中,无监督学习主要以聚类算法为主,有监督学习主要以分类算法为主,具体包括:
3-1)在采集到的网络流量数据集中,提取出数值型类特征和标称型类特征,建立原始特征集;
3-2)在原始特征集上移除类别标签,该类别标签用于区分该应用软件是否恶意,使用聚类算法,将具有相似特征的软件样本聚为一类,便于发现未知的恶意软件;
3-3)对先发现的未知恶意软件,重新提取特征,加入到原始特征集中形成新的特征集;
3-4)在加上类别标签的新特征集上使用分类算法,建立分类检测模型,便于提高准确度。
7.如权利要求6所述的基于网络流量的多特征移动终端恶意软件检测方法,其特征是,以机器学习无监督学习算法的K均值方法对原始特征集进行聚类,具体方法为:
4-1)输入要聚类的簇的个数为K;
4-2)在原始特征集上随机初始化K个聚类中心;
4-3)计算每个样本与K个聚类中心之间的距离,并将其分配到最近距离的类中;
4-4)分配完毕后,计算新的类的中心;
4-5)新的类的中心是否收敛,收敛条件设置为迭代次数;
4-6)若迭代次数达到了设定的次数,则输出聚类结果;
4-7)若迭代次数没有达到设定的次数则返回步骤4-3),直到达到设定的迭代次数。
8.如权利要求7所述的基于网络流量的多特征移动终端恶意软件检测方法,其特征是,建立机器学习的SVM模型,具体步骤为:
5-1)在发现的新的未知恶意软件样本的基础上,加上类别标签形成新的特征集;
5-2)在新特征集中,选取其中的部分数据作为训练集,另一部分数据作为测试集;
5-3)对SVM模型的参数进行编码;
5-4)初始化工作,完成对数据的预处理,模型参数的初始化;
5-5)在训练集提取的网络流量特征集上训练SVM模型;
5-6)用测试集评估模型的分类效果;
5-7)评估分类效果是否满足结束条件;
5-8)若已经达到结束条件,则获得了SVM模型的各个参数;
5-9)由获取的参数得到SVM模型;
5-10)若没有达到结束条件,则继续返回到步骤5-5),继续训练模型,直到满足结束条件为止。
9.如权利要求1所述的基于网络流量的多特征移动终端恶意软件检测方法,其特征是,所述基于网络流量的多特征移动终端恶意软件检测方法在检测模型服务器中完成。
10.基于网络流量的多特征移动终端恶意软件检测系统,其特征是,包括:
特征提取模块,用于从网络流量数据中提取出各类特征,获取能够有效表征移动终端恶意软件网络行为的特征;
特征分类模块,在特征提取之后,按照不同的特征类型对提取的特征进行分类,划分为:规则类的特征、图类的特征、数值类型和标称类型特征;
模型建立模块,对每一种类型的特征,建立与之相适应的检测模型,不同的特征类型适用于不同的模型,每种类型的特征有与之对应的唯一的检测模型,分别为规则匹配模型、图相似匹配模型以及机器学习模型;
模型选择及输出模块,用于实现模型选择和获取输出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510486986.2A CN105022960B (zh) | 2015-08-10 | 2015-08-10 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510486986.2A CN105022960B (zh) | 2015-08-10 | 2015-08-10 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105022960A true CN105022960A (zh) | 2015-11-04 |
| CN105022960B CN105022960B (zh) | 2017-11-21 |
Family
ID=54412922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510486986.2A Active CN105022960B (zh) | 2015-08-10 | 2015-08-10 | 基于网络流量的多特征移动终端恶意软件检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105022960B (zh) |
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN106330599A (zh) * | 2016-08-16 | 2017-01-11 | 济南大学 | Android应用程序网络流量多线程采集系统及方法 |
| CN106529580A (zh) * | 2016-10-24 | 2017-03-22 | 浙江工业大学 | 结合edsvm的软件缺陷数据关联分类方法 |
| CN106845230A (zh) * | 2016-12-29 | 2017-06-13 | 济南大学 | 基于恶意网络流量词库的恶意软件检测可视化方法及系统 |
| CN107046534A (zh) * | 2017-03-24 | 2017-08-15 | 厦门卓讯信息技术有限公司 | 一种网络安全态势模型训练方法、识别方法及识别装置 |
| CN107124410A (zh) * | 2017-04-25 | 2017-09-01 | 厦门卓讯信息技术有限公司 | 基于机器深度学习的网络安全态势特征聚类方法 |
| CN107330326A (zh) * | 2017-05-12 | 2017-11-07 | 中国科学院信息工程研究所 | 一种恶意木马检测处理方法及装置 |
| CN107368856A (zh) * | 2017-07-25 | 2017-11-21 | 深信服科技股份有限公司 | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 |
| CN107483386A (zh) * | 2016-06-08 | 2017-12-15 | 阿里巴巴集团控股有限公司 | 分析网络数据的方法及装置 |
| CN107632931A (zh) * | 2017-09-08 | 2018-01-26 | 中国农业银行股份有限公司 | 一种软件缺陷描述的规范化系统及方法 |
| CN108173704A (zh) * | 2017-11-24 | 2018-06-15 | 中国科学院声学研究所 | 一种基于表征学习的网络流量分类的方法及装置 |
| CN108197664A (zh) * | 2018-01-24 | 2018-06-22 | 北京墨丘科技有限公司 | 模型获取方法、装置、电子设备及计算机可读存储介质 |
| CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
| CN108768921A (zh) * | 2018-03-28 | 2018-11-06 | 中国科学院信息工程研究所 | 一种基于特征检测的恶意网页发现方法及系统 |
| CN109033836A (zh) * | 2018-07-24 | 2018-12-18 | 南开大学 | 基于统计学习的恶意代码多模型交叉检测方法 |
| CN109144999A (zh) * | 2018-08-02 | 2019-01-04 | 东软集团股份有限公司 | 一种数据定位方法、装置及存储介质、程序产品 |
| CN109274677A (zh) * | 2018-10-11 | 2019-01-25 | 四川长虹电器股份有限公司 | 基于机器学习的ip分类方法及系统 |
| CN109525577A (zh) * | 2018-11-09 | 2019-03-26 | 四川大学 | 基于http行为图的恶意软件检测方法 |
| CN109858239A (zh) * | 2019-01-16 | 2019-06-07 | 四川大学 | 一种动静态结合的容器内cpu漏洞攻击程序检测方法 |
| CN110012000A (zh) * | 2019-03-29 | 2019-07-12 | 深圳市腾讯计算机系统有限公司 | 命令检测方法、装置、计算机设备以及存储介质 |
| TWI674514B (zh) * | 2018-10-19 | 2019-10-11 | 財團法人資訊工業策進會 | 惡意軟體辨識裝置及方法 |
| CN110460611A (zh) * | 2019-08-16 | 2019-11-15 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
| CN110674861A (zh) * | 2019-09-19 | 2020-01-10 | 国网山东省电力公司电力科学研究院 | 一种输变电巡检图像智能分析方法及装置 |
| CN110839042A (zh) * | 2019-11-22 | 2020-02-25 | 上海交通大学 | 一种基于流量的自反馈恶意软件监测系统和方法 |
| CN110858837A (zh) * | 2018-08-24 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 一种网络管控方法、装置以及电子设备 |
| CN110891030A (zh) * | 2019-12-26 | 2020-03-17 | 南京烽火星空通信发展有限公司 | 一种基于机器学习的http流量特征识别与提取方法 |
| CN110955890A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
| CN111191767A (zh) * | 2019-12-17 | 2020-05-22 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
| CN111245784A (zh) * | 2019-12-30 | 2020-06-05 | 杭州安恒信息技术股份有限公司 | 多维度检测恶意域名的方法 |
| CN111259219A (zh) * | 2020-01-10 | 2020-06-09 | 北京金睛云华科技有限公司 | 恶意网页识别模型、识别模型建立方法、识别方法及系统 |
| CN111340112A (zh) * | 2020-02-26 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 分类方法、装置、服务器 |
| CN111901282A (zh) * | 2019-05-05 | 2020-11-06 | 四川大学 | 一种生成恶意代码流量行为检测结构的方法 |
| CN112688897A (zh) * | 2019-10-17 | 2021-04-20 | 北京观成科技有限公司 | 一种流量识别的方法、装置、存储介质及电子设备 |
| CN113452581A (zh) * | 2021-08-30 | 2021-09-28 | 上海观安信息技术股份有限公司 | 流式数据的特征提取方法及装置、存储介质、计算机设备 |
| CN113794731A (zh) * | 2021-09-17 | 2021-12-14 | 工银科技有限公司 | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 |
| CN114095284A (zh) * | 2022-01-24 | 2022-02-25 | 军事科学院系统工程研究院网络信息研究所 | 一种智能流量调度保护方法和系统 |
| CN114268465A (zh) * | 2021-12-02 | 2022-04-01 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
| CN114301631A (zh) * | 2021-12-02 | 2022-04-08 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
| CN116155535A (zh) * | 2022-11-30 | 2023-05-23 | 云南电网有限责任公司 | 基于电网采集终端业务的动态防御机制方法和装置 |
| CN118070850A (zh) * | 2024-04-18 | 2024-05-24 | 清华大学 | 数据中心网络流量生成方法、装置、介质及计算机程序 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| CN102299863A (zh) * | 2011-09-27 | 2011-12-28 | 北京网康科技有限公司 | 一种网络流量聚类的方法及其设备 |
| CN104767692A (zh) * | 2015-04-15 | 2015-07-08 | 中国电力科学研究院 | 一种网络流量分类方法 |
-
2015
- 2015-08-10 CN CN201510486986.2A patent/CN105022960B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| CN102299863A (zh) * | 2011-09-27 | 2011-12-28 | 北京网康科技有限公司 | 一种网络流量聚类的方法及其设备 |
| CN104767692A (zh) * | 2015-04-15 | 2015-07-08 | 中国电力科学研究院 | 一种网络流量分类方法 |
Non-Patent Citations (2)
| Title |
|---|
| 于孝美等: "基于决策树的网络流量分类方法", 《济南大学学报(自然科学版)》 * |
| 王金光等: "基于Web的网络流量分类管理系统", 《济南大学学报(自然科学版)》 * |
Cited By (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483386A (zh) * | 2016-06-08 | 2017-12-15 | 阿里巴巴集团控股有限公司 | 分析网络数据的方法及装置 |
| CN106330599A (zh) * | 2016-08-16 | 2017-01-11 | 济南大学 | Android应用程序网络流量多线程采集系统及方法 |
| CN106330599B (zh) * | 2016-08-16 | 2019-07-19 | 济南大学 | Android应用程序网络流量多线程采集系统及方法 |
| CN106230867A (zh) * | 2016-09-29 | 2016-12-14 | 北京知道创宇信息技术有限公司 | 预测域名是否恶意的方法、系统及其模型训练方法、系统 |
| CN106529580A (zh) * | 2016-10-24 | 2017-03-22 | 浙江工业大学 | 结合edsvm的软件缺陷数据关联分类方法 |
| CN106845230B (zh) * | 2016-12-29 | 2019-05-14 | 济南大学 | 基于恶意网络流量词库的恶意软件检测可视化方法及系统 |
| CN106845230A (zh) * | 2016-12-29 | 2017-06-13 | 济南大学 | 基于恶意网络流量词库的恶意软件检测可视化方法及系统 |
| CN107046534A (zh) * | 2017-03-24 | 2017-08-15 | 厦门卓讯信息技术有限公司 | 一种网络安全态势模型训练方法、识别方法及识别装置 |
| CN107124410A (zh) * | 2017-04-25 | 2017-09-01 | 厦门卓讯信息技术有限公司 | 基于机器深度学习的网络安全态势特征聚类方法 |
| CN107330326A (zh) * | 2017-05-12 | 2017-11-07 | 中国科学院信息工程研究所 | 一种恶意木马检测处理方法及装置 |
| CN107368856A (zh) * | 2017-07-25 | 2017-11-21 | 深信服科技股份有限公司 | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 |
| CN107368856B (zh) * | 2017-07-25 | 2021-10-19 | 深信服科技股份有限公司 | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 |
| CN107632931A (zh) * | 2017-09-08 | 2018-01-26 | 中国农业银行股份有限公司 | 一种软件缺陷描述的规范化系统及方法 |
| CN108173704A (zh) * | 2017-11-24 | 2018-06-15 | 中国科学院声学研究所 | 一种基于表征学习的网络流量分类的方法及装置 |
| CN108234472A (zh) * | 2017-12-28 | 2018-06-29 | 北京百度网讯科技有限公司 | 挑战黑洞攻击的检测方法及装置、计算机设备及可读介质 |
| CN108197664A (zh) * | 2018-01-24 | 2018-06-22 | 北京墨丘科技有限公司 | 模型获取方法、装置、电子设备及计算机可读存储介质 |
| CN108768921A (zh) * | 2018-03-28 | 2018-11-06 | 中国科学院信息工程研究所 | 一种基于特征检测的恶意网页发现方法及系统 |
| CN108768921B (zh) * | 2018-03-28 | 2021-03-09 | 中国科学院信息工程研究所 | 一种基于特征检测的恶意网页发现方法及系统 |
| CN109033836A (zh) * | 2018-07-24 | 2018-12-18 | 南开大学 | 基于统计学习的恶意代码多模型交叉检测方法 |
| CN109033836B (zh) * | 2018-07-24 | 2021-07-20 | 南开大学 | 基于统计学习的恶意代码多模型交叉检测方法 |
| CN109144999B (zh) * | 2018-08-02 | 2021-06-08 | 东软集团股份有限公司 | 一种数据定位方法、装置及存储介质、程序产品 |
| CN109144999A (zh) * | 2018-08-02 | 2019-01-04 | 东软集团股份有限公司 | 一种数据定位方法、装置及存储介质、程序产品 |
| CN110858837A (zh) * | 2018-08-24 | 2020-03-03 | 阿里巴巴集团控股有限公司 | 一种网络管控方法、装置以及电子设备 |
| CN110955890A (zh) * | 2018-09-26 | 2020-04-03 | 瑞数信息技术(上海)有限公司 | 恶意批量访问行为的检测方法、装置和计算机存储介质 |
| CN109274677A (zh) * | 2018-10-11 | 2019-01-25 | 四川长虹电器股份有限公司 | 基于机器学习的ip分类方法及系统 |
| CN109274677B (zh) * | 2018-10-11 | 2021-04-27 | 四川长虹电器股份有限公司 | 基于机器学习的ip分类方法及系统 |
| CN111079141A (zh) * | 2018-10-19 | 2020-04-28 | 财团法人资讯工业策进会 | 恶意软件辨识装置及方法 |
| TWI674514B (zh) * | 2018-10-19 | 2019-10-11 | 財團法人資訊工業策進會 | 惡意軟體辨識裝置及方法 |
| CN111079141B (zh) * | 2018-10-19 | 2022-05-27 | 财团法人资讯工业策进会 | 恶意软件辨识装置及方法 |
| US10984288B2 (en) | 2018-10-19 | 2021-04-20 | Institute For Information Industry | Malicious software recognition apparatus and method |
| CN109525577A (zh) * | 2018-11-09 | 2019-03-26 | 四川大学 | 基于http行为图的恶意软件检测方法 |
| CN109525577B (zh) * | 2018-11-09 | 2021-08-20 | 四川大学 | 基于http行为图的恶意软件检测方法 |
| CN109858239A (zh) * | 2019-01-16 | 2019-06-07 | 四川大学 | 一种动静态结合的容器内cpu漏洞攻击程序检测方法 |
| CN110012000A (zh) * | 2019-03-29 | 2019-07-12 | 深圳市腾讯计算机系统有限公司 | 命令检测方法、装置、计算机设备以及存储介质 |
| CN111901282A (zh) * | 2019-05-05 | 2020-11-06 | 四川大学 | 一种生成恶意代码流量行为检测结构的方法 |
| CN110460611B (zh) * | 2019-08-16 | 2022-01-11 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
| CN110460611A (zh) * | 2019-08-16 | 2019-11-15 | 国家计算机网络与信息安全管理中心 | 基于机器学习的全流量攻击检测技术 |
| CN110674861B (zh) * | 2019-09-19 | 2022-03-18 | 国网智能科技股份有限公司 | 一种输变电巡检图像智能分析方法及装置 |
| CN110674861A (zh) * | 2019-09-19 | 2020-01-10 | 国网山东省电力公司电力科学研究院 | 一种输变电巡检图像智能分析方法及装置 |
| CN112688897A (zh) * | 2019-10-17 | 2021-04-20 | 北京观成科技有限公司 | 一种流量识别的方法、装置、存储介质及电子设备 |
| CN110839042A (zh) * | 2019-11-22 | 2020-02-25 | 上海交通大学 | 一种基于流量的自反馈恶意软件监测系统和方法 |
| CN111191767B (zh) * | 2019-12-17 | 2023-06-06 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
| CN111191767A (zh) * | 2019-12-17 | 2020-05-22 | 博雅信安科技(北京)有限公司 | 一种基于向量化的恶意流量攻击类型的判断方法 |
| CN110891030B (zh) * | 2019-12-26 | 2021-03-16 | 南京烽火星空通信发展有限公司 | 一种基于机器学习的http流量特征识别与提取方法 |
| CN110891030A (zh) * | 2019-12-26 | 2020-03-17 | 南京烽火星空通信发展有限公司 | 一种基于机器学习的http流量特征识别与提取方法 |
| CN111245784A (zh) * | 2019-12-30 | 2020-06-05 | 杭州安恒信息技术股份有限公司 | 多维度检测恶意域名的方法 |
| CN111259219A (zh) * | 2020-01-10 | 2020-06-09 | 北京金睛云华科技有限公司 | 恶意网页识别模型、识别模型建立方法、识别方法及系统 |
| CN111259219B (zh) * | 2020-01-10 | 2023-04-21 | 北京金睛云华科技有限公司 | 恶意网页识别模型建立方法、识别方法及系统 |
| CN111340112A (zh) * | 2020-02-26 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 分类方法、装置、服务器 |
| CN111340112B (zh) * | 2020-02-26 | 2023-09-26 | 腾讯科技(深圳)有限公司 | 分类方法、装置、服务器 |
| CN113452581A (zh) * | 2021-08-30 | 2021-09-28 | 上海观安信息技术股份有限公司 | 流式数据的特征提取方法及装置、存储介质、计算机设备 |
| CN113452581B (zh) * | 2021-08-30 | 2021-12-14 | 上海观安信息技术股份有限公司 | 流式数据的特征提取方法及装置、存储介质、计算机设备 |
| CN113794731A (zh) * | 2021-09-17 | 2021-12-14 | 工银科技有限公司 | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 |
| CN114301631A (zh) * | 2021-12-02 | 2022-04-08 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
| CN114268465A (zh) * | 2021-12-02 | 2022-04-01 | 北京安天网络安全技术有限公司 | 一种dns恶意数据检测方法、装置、设备及介质 |
| CN114095284B (zh) * | 2022-01-24 | 2022-04-15 | 军事科学院系统工程研究院网络信息研究所 | 一种智能流量调度保护方法和系统 |
| CN114095284A (zh) * | 2022-01-24 | 2022-02-25 | 军事科学院系统工程研究院网络信息研究所 | 一种智能流量调度保护方法和系统 |
| CN116155535A (zh) * | 2022-11-30 | 2023-05-23 | 云南电网有限责任公司 | 基于电网采集终端业务的动态防御机制方法和装置 |
| CN118070850A (zh) * | 2024-04-18 | 2024-05-24 | 清华大学 | 数据中心网络流量生成方法、装置、介质及计算机程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105022960B (zh) | 2017-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105022960A (zh) | 基于网络流量的多特征移动终端恶意软件检测方法及系统 | |
| CN105072045A (zh) | 一种具有恶意软件网络行为发现能力的无线路由器 | |
| CN105007282B (zh) | 面向网络服务提供商的恶意软件网络行为检测方法及系统 | |
| CN105187395A (zh) | 基于接入路由器进行恶意软件网络行为检测的方法及系统 | |
| CN105187392B (zh) | 基于网络接入点的移动终端恶意软件检测方法及其系统 | |
| CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
| CN105187394A (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
| KR102387725B1 (ko) | 멀웨어 호스트 넷플로우 분석 시스템 및 방법 | |
| CN109361643B (zh) | 一种恶意样本的深度溯源方法 | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| CN107623754B (zh) | 基于真伪MAC识别的WiFi采集系统及其方法 | |
| CN102469117B (zh) | 一种异常访问行为的识别方法及装置 | |
| CN107222511B (zh) | 恶意软件的检测方法及装置、计算机装置及可读存储介质 | |
| CN101854275A (zh) | 一种通过分析网络行为检测木马程序的方法及装置 | |
| CN110798426A (zh) | 一种洪水类DoS攻击行为的检测方法、系统及相关组件 | |
| CN112818352B (zh) | 数据库的检测方法及装置、存储介质及电子装置 | |
| CN113572752A (zh) | 异常流量的检测方法和装置、电子设备、存储介质 | |
| CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
| CN101605132A (zh) | 一种网络数据流识别方法 | |
| He et al. | AppFA: a novel approach to detect malicious android applications on the network | |
| CN111385309A (zh) | 在线办公设备的安全检测方法、系统及终端 | |
| CN112733045A (zh) | 用户行为的分析方法、装置及电子设备 | |
| CN110493235A (zh) | 一种基于网络流量特征的移动终端恶意软件同步检测方法 | |
| CN110519228B (zh) | 一种黑产场景下恶意云机器人的识别方法及系统 | |
| CN110333990A (zh) | 数据处理方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |