CN105825129B - 一种融合通信中恶意软件鉴别方法和系统 - Google Patents
一种融合通信中恶意软件鉴别方法和系统 Download PDFInfo
- Publication number
- CN105825129B CN105825129B CN201510002313.5A CN201510002313A CN105825129B CN 105825129 B CN105825129 B CN 105825129B CN 201510002313 A CN201510002313 A CN 201510002313A CN 105825129 B CN105825129 B CN 105825129B
- Authority
- CN
- China
- Prior art keywords
- malware
- doubtful
- sample
- network
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种融合通信中恶意软件鉴别方法和系统,已解决现有技术恶意软件检测效率和检测准确率低的问题,该方法为,针对原始网络数据流量进行还原,获取全部软件样本和全部网络日志;利用预存的软件样本数据库,对获取的全部软件样本进行匹配,将匹配失败的软件样本作为第一疑似恶意软件样本;基于全部网络日志提取出每一个用户的网络行为向量,并分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,进一步筛选出疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本;针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件,这样,能够快速准确地鉴别出融合通信系统中的恶意软件,进行相关的治理。
Description
技术领域
本发明涉及移动网络安全领域,尤其涉及一种融合通信中恶意软件鉴别方法和系统。
背景技术
中国移动将基于GSMA RCS标准构建下一代融合通信系统,通过升级终端上原有的通话、短/彩信和通讯录三大通信入口,在保护用户原有通信习惯、继承运营商基础上的通信业务全球可达性和电信级服务质量的前提下,形成以“新通话”、“新消息”和“新联系”为核心、功能完善、体验优良的基础通信服务。“新通话”以LTE音视频通话(Voice over LTE,VoLTE)为核心,增强用户通话质量和体验;“新消息”以富通信业务套件(RichCommunication Suite,RCS)为基础,无缝融合多种媒体和消息格式,无缝与传统短/彩信互通;“新联系”以真实手机号码为前提,构建全新的社交、公众信息服务入口。
在融合通信中,用户之间的文件传输、共享更加频繁,用户通过“新联系”的朋友圈等渠道会接收到更多的推荐的网络访问地址,增大手机恶意软件传播的风险,因此需要及时构建融合通信中的手机恶意软件监测系统。
融合通信的手机恶意软件监测系统目前还没有建设,而现网的手机恶意软件监测系统(系统架构如图1所示)不是依据融合通信的架构设计,并不能直接应用在融合通信中。
进一步的,在现网的手机恶意软件监测系统中,疑似恶意软件网络行为的筛选方法是依据疑似恶意软件网络行为筛选规则库对网络日志进行逐条过滤,效率较低。
发明内容
本发明的目的是提供一种种融合通信中恶意软件鉴别方法和系统,以解决无法针对融合通信系统进行恶意软件鉴别的问题。
本发明的目的是通过以下技术方案实现的:
一种融合通信中恶意软件鉴别方法,应用在网络侧,包括:
针对原始网络数据流量进行还原,获取全部软件样本和全部网络日志;
利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,将匹配失败的软件样本作为第一疑似恶意软件样本;
基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量,并将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为,以及将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本;
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件。
这样在融合通信系统中快速准确地鉴别出恶意软件,提高了恶意软件的检测效率和准确率,并且相比现网的疑似恶意软件网络行为的筛选,并且本发明实施中将加权明氏距离的疑似恶意软件网络行为识别算法运用到海量的网络日志的筛选过滤中,提高了系统的运行效率。
可选的,利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,包括:
计算获取的全部软件样本的MD5特征信息,将计算得到的每一个软件样本的MD5特征信息分别与数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第一疑似恶意软件样本。
可选的,基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之前,进一步包括:
利用预存的恶意软件下载URL库和恶意软件主控URL库检查所述全部网络日志;
筛选出则记载有连接恶意软件下载URL和连接全网恶意软件主控URL的网络事件的网络日志,并将剩余的网络日志作为全部网络日志。
可选的,在基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之后,在将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度之前,进一步包括:
将每一个用户的疑似恶意软件网络行为向量进行单位化处理;
将单位化后的每一个用户的疑似恶意软件网络行为向量分别与预设的行为向量计算初始相似度,筛选出初始相似度大于设定门限值的疑似恶意软件网络行为向量以进行后续相似度计算。
可选的,将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为的过程中,进一步包括:
再次筛选出对应的P个相似度均未达到相应的规则归类门限的疑似恶意软件网络行为,则将再次筛选出的疑似恶意软件网络行为向量对应的网络日志导出;
将导出的网络日志发送至指定平台进行恶意网络行为判定。
可选的,将导出的网络日志发送至指定平台进行恶意网络行为判定后,进一步包括:
根据所述指定平台返回的判定结果,筛选出网络日志中记载有恶意软件网络行为的网络日志,从记载有恶意软件网络行为的网络日志中提取新的疑似恶意软件网络行为筛选规则,并将其导入到疑似恶意软件网络行为筛选规则库中。
这样,能够实时更行疑似恶意软件网络行为筛选规则库,及时提取新的恶意行为规则加入到规则库中,使系统运行更加安全可靠。
可选的,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为后,进一步包括:
若判定任意一疑似恶意软件网络行为对应的P个相似度中仅有一个相似度达到相应的规则归类门限的,则将所述任意一疑似恶意软件网络行为归类为所述一个相似度对应的规则下的疑似恶意行为;
若判定任意一疑似恶意软件网络行为对应的P个相似度中至少两个相似度达到相应的规则归类门限,则将所述任意一疑似恶意软件网络行为归类为所述至少两个相似度中取值最小的相似度对应的规则下的疑似恶意行为。
可选的,将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本之后,针对第二疑似恶意样本中的每一个样本进行鉴别之前,进一步包括:
利用恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对所述第二疑似恶意软件样本进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第二疑似恶意软件样本。
可选的,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件,包括:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本分别进行反编译和模拟安装,获得每一个样本的静态资源信息和动态行为信息,分析每一个样本的静态资源信息和动态行为信息,依据预设的分析准则,获取每一个样本的分析结果;
根据每一个样本的分析结果,筛选出符合预设的恶意行为条件的疑似恶意样本,作为恶意软件。
可选的,进一步包括:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,若其中的任意一个疑似恶意样本不能获得鉴别结果,将所述任意一个疑似恶意样本进行导出;
将导出的所述任意一个疑似恶意样本发送至指定平台进行恶意软件判定。
根据所述指定平台返回的判定结果,筛选出恶意软件和非恶意软件;
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将所述恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将所述恶意软件对应的下载URL添加至恶意软件下载URL库中、将所述恶意软件对应的主控URL添加至恶意软件主控URL库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件软件样本MD5特征库。
这样,通过其他平台的及时检测并获取相关检测结果,能够实时更新疑似恶意软件相关的软件样本特征库,及时提取新的MD5特征信息加入到相应的特征库中,使系统运行更加安全可靠,进一步提升恶意软件的检测效率。
可选的,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件之后,进一步包括:
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将所述恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将所述恶意软件对应的下载URL添加至恶意软件下载URL库中、将所述恶意软件对应的主控URL添加至恶意软件主控URL库中;
分析恶意软件的发作行为特征,提取新的疑似恶意软件网络行为筛选规则,并将其更新到疑似恶意软件网络行为筛选规则库中;
获取恶意软件对应的网络日志,并将添加至染毒用户日志数据库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件样本MD5特征库。
这样通过中央管理平台获得疑似恶意软件样本的检测结果,能够实时更新疑似恶意软件相关的软件样本特征库,及时提取新的MD5特征信息加入到相应的特征库中,使系统运行更加安全可靠,进一步提升恶意软件的检测效率。
一种融合通信中恶意软件鉴别系统,应用在网络侧,包括:
接入网关,用于针对原始网络数据流量进行还原,获取全部软件样本和全部网络日志;
软件监测装置,用于利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,将匹配失败的软件样本作为第一疑似恶意软件样本;
软件监测装置,还用于基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量,并将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为,以及将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本;
中央管理平台,用于针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件。
这样在融合通信系统中快速准确地鉴别出恶意软件,提高了恶意软件的检测效率和准确率,并且相比现网的疑似恶意软件网络行为的筛选,并且本发明实施中将加权明氏距离的疑似恶意软件网络行为识别算法运用到海量的网络日志的筛选过滤中,提高了系统的运行效率。
可选的,利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配时,所述软件监测装置用于:
计算获取的全部软件样本的MD5特征信息,将计算得到的每一个软件样本的MD5特征信息分别与数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第一疑似恶意软件样本。
可选的,基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之前,所述软件监测装置进一步用于:
利用预存的恶意软件下载URL库和恶意软件主控URL库检查所述全部网络日志;
筛选出则记载有连接恶意软件下载URL和连接全网恶意软件主控URL的网络事件的网络日志,并将剩余的网络日志作为全部网络日志。
可选的,在基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之后,在将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度之前,所述软件监测装置进一步用于:
将每一个用户的疑似恶意软件网络行为向量进行单位化处理;
将单位化后的每一个用户的疑似恶意软件网络行为向量分别与预设的行为向量计算初始相似度,筛选出初始相似度大于设定门限值的疑似恶意软件网络行为向量以进行后续相似度计算。
可选的,将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为的过程中,所述软件监测装置进一步用于:
再次筛选出对应的P个相似度均未达到相应的规则归类门限的疑似恶意软件网络行为,则将再次筛选出的疑似恶意软件网络行为向量对应的网络日志导出;
将导出的网络日志发送至指定平台进行恶意网络行为判定。
可选的,将导出的网络日志发送至指定平台进行恶意网络行为判定后,所述中央管理平台进一步用于:
根据所述指定平台返回的判定结果,筛选出网络日志中记载有恶意软件网络行为的网络日志,从记载有恶意软件网络行为的网络日志中提取新的疑似恶意软件网络行为筛选规则,并将其导入到疑似恶意软件网络行为筛选规则库中。
可选的,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为后,所述软件监测装置进一步用于:
若判定任意一疑似恶意软件网络行为对应的P个相似度中仅有一个相似度达到相应的规则归类门限的,则将所述任意一疑似恶意软件网络行为归类为所述一个相似度对应的规则下的疑似恶意行为;
若判定任意一疑似恶意软件网络行为对应的P个相似度中至少两个相似度达到相应的规则归类门限,则将所述任意一疑似恶意软件网络行为归类为所述至少两个相似度中取值最小的相似度对应的规则下的疑似恶意行为。
可选的,将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本之后,针对第二疑似恶意样本中的每一个样本进行鉴别之前,所述软件监测装置进一步用于:
利用恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对所述第二疑似恶意软件样本进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第二疑似恶意软件样本。
可选的,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件时,所述中央管理平台用于:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本分别进行反编译和模拟安装,获得每一个样本的静态资源信息和动态行为信息,分析每一个样本的静态资源信息和动态行为信息,依据预设的分析准则,获取每一个样本的分析结果;
根据每一个样本的分析结果,筛选出符合预设的恶意行为条件的疑似恶意样本,作为恶意软件。
可选的,所述中央管理平台进一步用于:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,若其中的任意一个疑似恶意样本不能获得鉴别结果,将所述任意一个疑似恶意样本进行导出;
将导出的所述任意一个疑似恶意样本发送至指定平台进行恶意软件判定。
根据所述指定平台返回的判定结果,筛选出恶意软件和非恶意软件;
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将所述恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将所述恶意软件对应的下载URL添加至恶意软件下载URL库中、将所述恶意软件对应的主控URL添加至恶意软件主控URL库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件软件样本MD5特征库。
这样,通过其他平台的及时检测并获取相关检测结果,能够实时更新疑似恶意软件相关的软件样本特征库,及时提取新的MD5特征信息加入到相应的特征库中,使系统运行更加安全可靠,进一步提升恶意软件的检测效率。
可选的,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件之后,所述中央管理平台进一步用于:
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将所述恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将所述恶意软件对应的下载URL添加至恶意软件下载URL库中、将所述恶意软件对应的主控URL添加至恶意软件主控URL库中;
分析恶意软件的发作行为特征,提取新的疑似恶意软件网络行为筛选规则,并将其更新到疑似恶意软件网络行为筛选规则库中;
获取恶意软件对应的网络日志,并将添加至染毒用户日志数据库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件样本MD5特征库。
这样通过中央管理平台获得疑似恶意软件样本的检测结果,能够实时更新疑似恶意软件相关的软件样本特征库,及时提取新的MD5特征信息加入到相应的特征库中,使系统运行更加安全可靠,进一步提升恶意软件的检测效率。
附图说明
图1为现网手机恶意软件监测系统架构;
图2为本发明实施例中融合通信恶意软件监测系统架构;
图3为本发明实施融合通信中恶意软件鉴别方法流程示意图;
图4为本发明实施疑似恶意软件网络行为识别算法流程图;
图5为本发明实施融合通信中恶意软件鉴别系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图2所示,本发明的融合通信恶意软件监测系统整体架构包括三部分,接入网关、南北大区融合通信恶意软件监控系统、融合通信恶意软件中央管理平台。其中,接入网关用于对原始网络数据流量进行还原,得到全部样本文件和网络日志;南北大区融合通信恶意软件监控系统主要用于已知恶意软件检测、疑似恶意软件上报、疑似恶意软件网络行为日志上报和恶意软件事件上报;融合通信恶意软件中央管理平台主要用于自动研判、人工审核、策略管理、一键封堵、统计分析等。
各功能模块及其功能介绍如下:
接入网关,用于对原始网络数据流量进行还原,得到全部样本文件和网络日志。
南北大区融合通信恶意软件监控系统,负责接收中央平台定期更新下发的恶意软件样本消息摘要算法第五版(Message Digest Algorithm5,MD5)特征库、非恶意软件软件样本MD5特征库、已入库未研判疑似样本MD5特征库、疑似恶意软件网络行为筛选规则库、全网恶意软件下载URL库、全网恶意软件主控URL库。负责利用全网手机恶意软件特征库、非恶意软件软件样本MD5特征库和已入库未研判疑似样本MD5特征库对样本文件进行过滤,将剩余的疑似恶意软件样本及其相关网络日志上报给中央平台。负责利用疑似恶意软件网络行为筛选规则库对海量网络日志进行筛选,将疑似恶意软件网络行为日志上报中央平台。负责利用全网恶意软件下载URL库和全网恶意软件主控URL库对获得的网络日志进行检测,发现用户连接恶意软件的主控URL和下载URL相关的网络日志,汇总后上报给中央平台。
融合通信手机恶意软件中央管理平台,负责管理以下数据库:恶意软件样本MD5特征库、疑似恶意软件网络行为筛选规则库、非恶意软件样本MD5特征库、疑似恶意软件样本MD5特征库、待封堵URL地址库、恶意软件下载URL库、恶意软件主控URL库、染毒用户日志数据库;负责数据库更新包的定期下发;负责定期收集和整理南北大区融合通信恶意软件监控系统上报的疑似恶意软件样本及相关网络日志和利用疑似恶意软件网络行为筛选规则检测到的相关疑似恶意软件的网络日志,并对疑似恶意软件的网络日志中的URL进行爬取获得疑似软件样本;负责对获得的全部疑似恶意软件样本进行研判,根据判断结果及时更新相关数据库;负责定期将待封堵URL地址发送给相关系统进行封堵;负责对全网恶意软件相关的各类数据进行统计分析、趋势预测和报表呈现。
其中各个数据库功能描述如下:
恶意软件样本MD5特征库:用于存储恶意软件的特征码信息,并存储相关恶意软件名称、ID、危险级别、危害类别、主控URL地址、恶意软件概述及恶意软件详细描述信息等,同时对恶意软件样本进行存储。
恶意软件下载URL库:用于存储与手机恶意软件相关的网络下载地址信息,对于同一恶意软件,其下载地址都有可能存在多个。
恶意软件主控URL库:用于存储与手机恶意软件相关的主控URL地址信息,对于同一恶意软件,其主控URL地址有可能存在多个,在对疑似恶意软件进行研判后,其主控URL信息会存入该数据库。
非恶意软件样本MD5特征库:用于中央平台在对疑似恶意软件样本进行研判后确认为非恶意软件的软件样本MD5摘要信息,此特征库中的信息包括:样本ID、样本MD5值、样本的简单描述信息等。中央平台定期将本特征库的更新信息下发给南北大区融合通信手机恶意软件监控系统进行非恶意软件过滤。
疑似恶意软件样本MD5特征库:用于存储中央平台爬取获得的或者南北大区融合通信恶意软件监控系统上报的疑似恶意软件样本文件中尚未来得及进行研判的疑似恶意软件样本MD5特征值。中央平台定期将本特征库更新信息下发给南北大区融合通信恶意软件监控系统,使其在上传疑似恶意软件样本前须匹配本特征库去除中央平台已经获得的恶意恶意软件样本,以减少上传样本量。
待封堵URL地址库:用于存储需要进行封堵操作的恶意软件相关URL信息。
疑似恶意软件网络行为筛选规则库:用于存储筛选疑似恶意软件网络行为的规则。筛选规则包括网络日志中的任意单项或多项的逻辑表达式方式、按时间段汇总后与阈值比较的规则、自定义的关键字、阈值等作为筛选规则项,并且筛选规则项可以组合设定。中央平台定期将本特征库的更新信息下发给南北大区融合通信恶意软件监控系统,用于过滤疑似恶意软件网络行为日志。
染毒用户日志数据库:用于存储南北大区融合通信恶意软件监控系统上传的所有染毒用户网络日志信息,若同时具有相关联的样本文件也应在此数据库中进行存储;设置专门的数据表用于汇总存储确认染毒和后期研判确认为染毒用户的相关信息。
上文提到的MD5是计算机广泛使用的杂凑算法之一(又译摘要算法、哈希算法),MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest),以防止被篡改。与之类似,MD5就可以为任何文件(不管其大小、格式、数量)产生一个同样独一无二的MD5“数字指纹”,如果任何人对文件做了任何改动,其MD5值也就是对应的“数字指纹”都会发生变化。我们常常在某些软件下载站点的某软件信息中看到其MD5值,它的作用就在于我们可以在下载该软件后,对下载回来的文件用专门的软件(如Windows MD5Check等)做一次MD5校验,以确保我们获得的文件与该站点提供的文件为同一文件。利用MD5算法来进行文件校验的方案被大量应用到软件下载站、论坛数据库、系统文件安全等方面。
基于上述系统架构,参阅图3所示,本发明实施例提供一种融合通信中恶意软件鉴别方法,具体流程如下:
步骤300:针对原始网络数据流量进行还原,获取全部软件样本和全部网络日志。
步骤301:利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,将匹配失败的软件样本作为第一疑似恶意软件样本。
具体的,利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,具体过程为:计算获取的全部软件样本的MD5特征信息,将计算得到的每一个软件样本的MD5特征信息分别与数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库进行匹配,包括以下两种情形:
第一种情形为:若任意一个样本的的MD5特征信息和上述三个数据中的某一个数据库匹配成功,这时判断匹配成功的数据库类型,若匹配成功的数据库为全网恶意软件软件样本MD5特征库,则将匹配成功的软件样本标记为恶意软件,若匹配成功的数据库为非恶意软件软件样本MD5特征库,则将匹配成功的软件样本标记为非恶意软件。
第二种情形为:若任意一个样本的的MD5特征信息和上述三个数据中都匹配失败,此时,筛选出均匹配失败的软件样本;将均匹配失败的软件样本作为第一疑似恶意样本。
步骤302:基于该全部网络日志提取出每一个用户的疑似恶意软件网络行为向量,并将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为,以及将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本。
进一步的,基于该全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之前,利用预存的恶意软件下载URL库和恶意软件主控URL库检查获取到的全部网络日志;筛选出则记载有连接恶意软件下载URL和连接全网恶意软件主控URL的网络事件的网络日志,并将剩余的网络日志作为全部网络日志。
例如,基于得到的全部网络日志进行分组,并在每一个分组的网络日志中提取出每一个用户的疑似恶意软件网络行为向量,假设一个用户的疑似恶意软件网络行为向量为U=(u1,u2,...,un),该疑似恶意软件网络行为向量中涉及以下参数:
行为向量中的第一个参数u1来自于用户的HTTP请求分析,若该用户HTTP请求中包括该用户的国际移动设备识别码(International Mobile Equipment IdentityIMEI)、用户的国际移动用户识别码(International Mobile Subscriber Identity,IMSI)、手机型号、操作系统、手机号码、GPS的经纬度、短信记录、通话记录等一个或多个信息时,将行为向量中的第一个参数u1置为相应的值。
行为向量中的第二个参数u2来自于用户连接网络频率统计分析值,若该用户在一定的时间内同类网络行为的用户超过预设的阈值或者该同一用户在一定的时间内访问某URL地址超过预设的阈值或同一用户连接不同网络的行为具有一定周期性时,将将行为向量中的第一个参数u1置为相应的值。
行为向量中的第三个参数u3来自于用户文件传播数量统计分析值,若用户A在一定的时间内传播的同一软件数量超过设定的阈值或者该同一用户在一定的时间内彩信附件中包含同一软件的数量超过阈值时,将将行为向量中的第三个参数u3置为相应的值。;
行为向量中的第四个参数u4来自于用户用户终端的类型分析,若该用户在一定的时间内HTTP请求中用户手机终端类型具有相似性时,将将行为向量中的第四个参数u4置为相应的值。
其他信息分析:其他可能用于疑似恶意软件网络行为分析的参数,对应于行为向量中的相应参数,可以灵活设置。
进一步的,基于获取到的全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之后,在将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个(P为预设的正整数)规则向量计算相似度之前,将每一个用户的疑似恶意软件网络行为向量进行单位化处理;将单位化后的每一个用户的疑似恶意软件网络行为向量分别与预设的行为向量计算初始相似度,筛选出初始相似度大于设定门限值的疑似恶意软件网络行为向量以进行后续相似度计算。
例如,设某用户的疑似恶意软件网络行为向量为n维向量(u1,u2,...,un),首先需要对该向量进行单位化(归一化),得到单位化化的行为向量X=(x1,x2,...,xn):其中公式如下所示:
其中相似度定义如下:
Lxy表示X向量与Y向量的相似度,X向量与Y向量分别用(x1,x2,...,xn)和(y1,y2,...,yn)表示,wi(i=1,2,.....n)是权重,可以根据每个参数的具体情况,进行设置。
基于某用户的疑似恶意软件网络行为单位化向量X=(x1,x2,...,xn)和预设的行为向量Z=(z1,z2,...,zn),该向量也是单位化设置,根据定义的相似度,计算初始相似度Lxz,若Lxz达到预先设置的疑似恶意软件网络行为设定门限M,则认为该用户行为是疑似恶意软件网络行为,进行后续计算;若Lxz没有达到设定门限M,则认为该用户行为是正常行为。
其中疑似恶意软件网络行为筛选规则库,是恶意软件研判人员通过对已知恶意软件网络行为分析总结而制定的规则。每项规则的存储内容都为特定的n维单位化向量(y1,y2,...,yn),假设疑似恶意软件网络行为筛选规则库已有Y1,Y2,…,Yp,共P个规则,针对筛选出的初始相似度大于设定门限值的某用户的疑似恶意软件网络行为向量,根据定义的相似度,依次计算其与疑似恶意软件网络行为筛选规则库已有的Y1,Y2,…,Yp项规则的相似度,得出P个相似度。
进一步的,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为后,若判定任意一疑似恶意软件网络行为对应的P个相似度中仅有一个相似度达到相应的规则归类门限的,则将该任意一疑似恶意软件网络行为归类为该一个相似度对应的规则下的恶意行为;若判定任意一疑似恶意软件网络行为对应的P个相似度中至少两个相似度达到相应的规则归类门限,则将该任意一疑似恶意软件网络行为归类为该至少两个相似度中取值最小的相似度对应的规则下的恶意行为。
进一步的,将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为的过程中,再次筛选出对应的P个相似度均未达到相应的规则归类门限的疑似恶意软件网络行为,则将再次筛选出的疑似恶意软件网络行为向量对应的网络日志导出;将导出的网络日志发送至指定平台进行恶意网络行为判定。
进一步的,将导出的网络日志发送至指定平台进行恶意网络行为判定后,根据该指定平台返回的判定结果,筛选出网络日志中记载有恶意软件网络行为的网络日志,从记载有恶意软件网络行为的网络日志中提取新的疑似恶意软件网络行为筛选规则,并将其导入到疑似恶意软件网络行为筛选规则库中。
获取到全部网络日志后,进行疑似恶意网络行为的识别算法流程,参阅图4所示:
S400:将获取到得全部网络日志进行分组。
S401:从各自的分组中提取不同用户的疑似恶意软件网络行为向量。
S402:针对用户的行为向量进行单位化得到单位化的行为向量X。
S403:单位化的行为向量X与预设的行为向量Z计算相似度Lxz。
S404:判断Lxz是否达到预设的疑似恶意软件网络行为门限M,若是,则执行步骤S405,否则,执行步骤S401。
S405:单位化的行为向量X依次与疑似恶意软件网络行为筛选规则库中的P个行为向量计算相似度。
S406:判断P个相似度是否达到各自预设的归类门限值,若是,则执行步骤S407,否则,执行步骤S410。
S407:针对该用户的网络行为进行归类,属于现有规则库中的某一类疑似恶意行为。
S408:判断该分组是否存在未处理的用户,若是,则执行步骤401,否则执行步骤409。
S409:将不同分组中的分析结果进行总结并上报。
S410:导出到指定平台进行判断,将判断结果上报。
这样,能够从海量的网络日志中筛选出疑似恶意软件网络行为对应的网络日志,进而根据网络日志中对应的URL下载疑似恶意样本,作为第二疑似恶意样本。
步骤303:针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件。
进一步的,将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本之后,利用恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对该第二疑似恶意软件样本进行匹配,包括以下两种情形:
第一种情形为:若任意一个样本的的MD5特征信息和上述三个数据中的某一个数据库匹配成功,这时判断匹配成功的数据库类型,若匹配成功的数据库为全网恶意软件软件样本MD5特征库,则将匹配成功的软件样本标记为恶意软件,若匹配成功的数据库为非恶意软件软件样本MD5特征库,则将匹配成功的软件样本标记为非恶意软件。
第二种情形为:若任意一个样本的的MD5特征信息和上述三个数据中均匹配失败,此时,筛选出均匹配失败的软件样本;将均匹配失败的软件样本作为第二疑似恶意样本。
具体的,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件,具体过程为:针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本分别进行反编译和模拟安装,获得每一个样本的静态资源信息和动态行为信息,分析每一个样本的静态资源信息和动态行为信息,依据预设的分析准则,获取每一个样本的分析结果;根据每一个样本的分析结果,筛选出符合预设的恶意行为条件的疑似恶意样本,作为恶意软件。
例如,针对某一个疑似恶意软件A,进行反编译,获得该软件A的静态资源信息,包括软件A的应用许可信息、软件A的应用认证信息,软件A的调用系统API信息等,针对该软件A进行模拟安装,获取软件A相关的动态行为信息,包括短彩信收发行为、数据收发内容、连接IP或端口等动态行为信息,根据预设的分析准则,分析准则可以设置为评为标准,假设软件A的静态资源信息中软件A的应用许可信息是禁止或违法的,这种情形设定相应的分数,假设模拟安装软件A后自动发送私密信息到指定用户时,这种情形设定相应的分数,依据软件A的静态资源信息和动态行为信息进行综合评分,若软件A符合预设的恶意行为条件,将软件A作为恶意软件,可以设置为依据上述分析准则计算得到软件A的总分数高于设定阈值时,将软件A作为恶意软件,否则为非恶意软件。
进一步的,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,包括以下两种情形:
第一种情形为:能够成功鉴别并筛选出恶意软件,这时在筛选出恶意软件之后,提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将该恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将该恶意软件对应的下载URL添加至恶意软件下载URL库中、将该恶意软件对应的主控URL添加至恶意软件主控URL库中;分析恶意软件的发作行为特征,提取新的疑似恶意软件网络行为筛选规则,并将其更新到疑似恶意软件网络行为筛选规则库中;获取恶意软件对应的网络日志,并将添加至染毒用户日志数据库中;提取非恶意软件的MD5特征信息将其添加至非恶意软件样本MD5特征库。
第二种情形为:不能够成功鉴别并筛选出恶意软件,此时针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别时,若其中的任意一个疑似恶意样本不能获得鉴别结果,将该任意一个疑似恶意样本进行导出;将导出的该任意一个疑似恶意样本发送至指定平台进行恶意软件判定。根据该指定平台返回的判定结果,筛选出恶意软件和非恶意软件;提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将该恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将该恶意软件对应的下载URL添加至恶意软件下载URL库中、将该恶意软件对应的主控URL添加至恶意软件主控URL库中;提取非恶意软件的MD5特征信息将其添加至非恶意软件软件样本MD5特征库。
基于上述技术方案,参阅图5所示,本发明实施例中提供一种融合通信中恶意软件鉴别系统,包括接入网关50,软件监测装置51,中央管理平台52,其中:
接入网关50,用于针对原始网络数据流量进行还原,获取全部软件样本和全部网络日志。
软件监测装置51,用于利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,将匹配失败的软件样本作为第一疑似恶意软件样本;
软件监测装置51,还用于基于该全部网络日志提取出每一个用户的疑似恶意软件网络行为向量,并将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为,以及将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本;
中央管理平台52,用于针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件。
可选的,利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配时,软件监测装置51用于:
计算获取的全部软件样本的MD5特征信息,将计算得到的每一个软件样本的MD5特征信息分别与数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第一疑似恶意软件样本。
可选的,基于该全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之前,利用预存的恶意软件下载URL库和恶意软件主控URL库检查该全部网络日志时;软件监测装置51进一步用于:
筛选出则记载有连接恶意软件下载URL和连接全网恶意软件主控URL的网络事件的网络日志,并将剩余的网络日志作为全部网络日志。
可选的,在基于该全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之后,在将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度之前,所述软件监测装置51进一步用于:
将每一个用户的疑似恶意软件网络行为向量进行单位化处理;
将单位化后的每一个用户的疑似恶意软件网络行为向量分别与预设的行为向量计算初始相似度,筛选出初始相似度大于设定门限值的疑似恶意软件网络行为向量以进行后续相似度计算。
可选的,将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为的过程中,所述软件监测装置51进一步用于:
再次筛选出对应的P个相似度均未达到相应的规则归类门限的疑似恶意软件网络行为,则将再次筛选出的疑似恶意软件网络行为向量对应的网络日志导出;
将导出的网络日志发送至指定平台进行恶意网络行为判定。
可选的,将导出的网络日志发送至指定平台进行恶意网络行为判定后,中央管理平台52进一步用于:
根据该指定平台返回的判定结果,筛选出网络日志中记载有恶意软件网络行为的网络日志,从记载有恶意软件网络行为的网络日志中提取新的疑似恶意软件网络行为筛选规则,并将其导入到疑似恶意软件网络行为筛选规则库中。
可选的,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为后,软件监测装置51进一步用于:
若判定任意一疑似恶意软件网络行为对应的P个相似度中仅有一个相似度达到相应的规则归类门限的,则将该任意一疑似恶意软件网络行为归类为该一个相似度对应的规则下的疑似恶意行为;
若判定任意一疑似恶意软件网络行为对应的P个相似度中至少两个相似度达到相应的规则归类门限,则将该任意一疑似恶意软件网络行为归类为该至少两个相似度中取值最小的相似度对应的规则下的疑似恶意行为。
可选的,将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本之后,针对第二疑似恶意样本中的每一个样本进行鉴别之前,软件监测装置51进一步用于:
利用恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对该第二疑似恶意软件样本进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第二疑似恶意软件样本。
可选的,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件时,中央管理平台52用于:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本分别进行反编译和模拟安装,获得每一个样本的静态资源信息和动态行为信息,分析每一个样本的静态资源信息和动态行为信息,依据预设的分析准则,获取每一个样本的分析结果;
根据每一个样本的分析结果,筛选出符合预设的恶意行为条件的疑似恶意样本,作为恶意软件。
可选的,中央管理平台52进一步用于针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,若其中的任意一个疑似恶意样本不能获得鉴别结果,将该任意一个疑似恶意样本进行导出;
将导出的该任意一个疑似恶意样本发送至指定平台进行恶意软件判定。
根据该指定平台返回的判定结果,筛选出恶意软件和非恶意软件;
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将该恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将该恶意软件对应的下载URL添加至恶意软件下载URL库中、将该恶意软件对应的主控URL添加至恶意软件主控URL库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件软件样本MD5特征库。
可选的,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件之后,中央管理平台52进一步用于:
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将该恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将该恶意软件对应的下载URL添加至恶意软件下载URL库中、将该恶意软件对应的主控URL添加至恶意软件主控URL库中;
分析恶意软件的发作行为特征,提取新的疑似恶意软件网络行为筛选规则,并将其更新到疑似恶意软件网络行为筛选规则库中;
获取恶意软件对应的网络日志,并将添加至染毒用户日志数据库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件样本MD5特征库。
综上所述,本发明实施例中,针对原始网络数据流量进行还原,获取全部软件样本和全部网络日志;用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,将匹配失败的软件样本作为第一疑似恶意软件样本;基于该全部网络日志提取出每一个用户的疑似恶意软件网络行为向量,并将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为,以及将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本;针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件。这样在融合通信系统中快速准确地鉴别出恶意软件,提高了恶意软件的检测效率和准确率,并且相比现网的疑似恶意软件网络行为的筛选,并且本发明实施中将加权明氏距离的疑似恶意软件网络行为识别算法运用到海量的网络日志的筛选过滤中,提高了系统的运行效率,还能够实时更行相关数据库和筛选规则库,运行更加可靠安全。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (20)
1.一种融合通信中恶意软件鉴别方法,应用在网络侧,其特征在于,包括:
针对原始网络数据流量进行还原,获取全部软件样本和全部网络日志;
利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,将匹配失败的软件样本作为第一疑似恶意软件样本;
其中,利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,包括:
计算获取的全部软件样本的MD5特征信息,将计算得到的每一个软件样本的MD5特征信息分别与数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第一疑似恶意软件样本;
基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量,并将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为,以及将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本,P为设置的正整数;
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件。
2.如权利要求1所述的方法,其特征在于,基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之前,进一步包括:
利用预存的恶意软件下载统一资源定位器URL库和恶意软件主控URL库检查所述全部网络日志;
筛选出则记载有连接恶意软件下载URL和连接全网恶意软件主控URL的网络事件的网络日志,并将剩余的网络日志作为全部网络日志。
3.如权利要求1或2所述的方法,其特征在于,在基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之后,在将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度之前,进一步包括:
将每一个用户的疑似恶意软件网络行为向量进行单位化处理;
将单位化后的每一个用户的疑似恶意软件网络行为向量分别与预设的行为向量计算初始相似度,筛选出初始相似度大于设定门限值的疑似恶意软件网络行为向量以进行后续相似度计算。
4.如权利要求1所述的方法,其特征在于,将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为的过程中,进一步包括:
再次筛选出对应的P个相似度均未达到相应的规则归类门限的疑似恶意软件网络行为,则将再次筛选出的疑似恶意软件网络行为向量对应的网络日志导出;
将导出的网络日志发送至指定平台进行恶意网络行为判定。
5.如权利要求4所述的方法,其特征在于,将导出的网络日志发送至指定平台进行恶意网络行为判定后,进一步包括:
根据所述指定平台返回的判定结果,筛选出网络日志中记载有恶意软件网络行为的网络日志,从记载有恶意软件网络行为的网络日志中提取新的疑似恶意软件网络行为筛选规则,并将其导入到疑似恶意软件网络行为筛选规则库中。
6.如权利要求1或2所述的方法,其特征在于,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为后,进一步包括:
若判定任意一疑似恶意软件网络行为对应的P个相似度中仅有一个相似度达到相应的规则归类门限的,则将所述任意一疑似恶意软件网络行为归类为所述一个相似度对应的规则下的疑似恶意行为;
若判定任意一疑似恶意软件网络行为对应的P个相似度中至少两个相似度达到相应的规则归类门限,则将所述任意一疑似恶意软件网络行为归类为所述至少两个相似度中取值最小的相似度对应的规则下的疑似恶意行为。
7.如权利要求1所述的方法,其特征在于,将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本之后,针对第二疑似恶意样本中的每一个样本进行鉴别之前,进一步包括:
利用恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对所述第二疑似恶意软件样本进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第二疑似恶意软件样本。
8.如权利要求1、2、4、5或7所述的方法,其特征在于,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件,包括:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本分别进行反编译和模拟安装,获得每一个样本的静态资源信息和动态行为信息,分析每一个样本的静态资源信息和动态行为信息,依据预设的分析准则,获取每一个样本的分析结果;
根据每一个样本的分析结果,筛选出符合预设的恶意行为条件的疑似恶意样本,作为恶意软件。
9.如权利要求8所述的方法,其特征在于,进一步包括:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,若其中的任意一个疑似恶意样本不能获得鉴别结果,将所述任意一个疑似恶意样本进行导出;
将导出的所述任意一个疑似恶意样本发送至指定平台进行恶意软件判定;
根据所述指定平台返回的判定结果,筛选出恶意软件和非恶意软件;
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将所述恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将所述恶意软件对应的下载URL添加至恶意软件下载URL库中、将所述恶意软件对应的主控URL添加至恶意软件主控URL库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件软件样本MD5特征库。
10.如权利要求1、2、4、5、7或9所述的方法,其特征在于,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件之后,进一步包括:
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将所述恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将所述恶意软件对应的下载URL添加至恶意软件下载URL库中、将所述恶意软件对应的主控URL添加至恶意软件主控URL库中;
分析恶意软件的发作行为特征,提取新的疑似恶意软件网络行为筛选规则,并将其更新到疑似恶意软件网络行为筛选规则库中;
获取恶意软件对应的网络日志,并将添加至染毒用户日志数据库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件样本MD5特征库。
11.一种融合通信中恶意软件鉴别系统,应用在网络侧,其特征在于,包括:
接入网关,用于针对原始网络数据流量进行还原,获取全部软件样本和全部网络日志;
软件监测装置,用于利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配,将匹配失败的软件样本作为第一疑似恶意软件样本;
其中,利用数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对获取的全部软件样本进行匹配时,所述软件监测装置用于:
计算获取的全部软件样本的MD5特征信息,将计算得到的每一个软件样本的MD5特征信息分别与数据库中预存的恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第一疑似恶意软件样本;
软件监测装置,还用于基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量,并将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为,以及将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本;
中央管理平台,用于针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件。
12.如权利要求11所述的系统,其特征在于,基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之前,所述软件监测装置进一步用于:
利用预存的恶意软件下载URL库和恶意软件主控URL库检查所述全部网络日志;
筛选出则记载有连接恶意软件下载URL和连接全网恶意软件主控URL的网络事件的网络日志,并将剩余的网络日志作为全部网络日志。
13.如权利要求11或12所述的系统,其特征在于,在基于所述全部网络日志提取出每一个用户的疑似恶意软件网络行为向量之后,在将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度之前,所述软件监测装置进一步用于:
将每一个用户的疑似恶意软件网络行为向量进行单位化处理;
将单位化后的每一个用户的疑似恶意软件网络行为向量分别与预设的行为向量计算初始相似度,筛选出初始相似度大于设定门限值的疑似恶意软件网络行为向量以进行后续相似度计算。
14.如权利要求11所述的系统,其特征在于,将每一条疑似恶意软件网络行为向量分别与疑似恶意软件网络行为库中的P个规则向量计算相似度,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为的过程中,所述软件监测装置进一步用于:
再次筛选出对应的P个相似度均未达到相应的规则归类门限的疑似恶意软件网络行为,则将再次筛选出的疑似恶意软件网络行为向量对应的网络日志导出;
将导出的网络日志发送至指定平台进行恶意网络行为判定。
15.如权利要求14所述的系统,其特征在于,将导出的网络日志发送至指定平台进行恶意网络行为判定后,所述中央管理平台进一步用于:
根据所述指定平台返回的判定结果,筛选出网络日志中记载有恶意软件网络行为的网络日志,从记载有恶意软件网络行为的网络日志中提取新的疑似恶意软件网络行为筛选规则,并将其导入到疑似恶意软件网络行为筛选规则库中。
16.如权利要求11或12所述的系统,其特征在于,筛选出对应的P个相似度中至少一个相似度达到相应的规则归类门限的疑似恶意软件网络行为后,所述软件监测装置进一步用于:
若判定任意一疑似恶意软件网络行为对应的P个相似度中仅有一个相似度达到相应的规则归类门限的,则将所述任意一疑似恶意软件网络行为归类为所述一个相似度对应的规则下的疑似恶意行为;
若判定任意一疑似恶意软件网络行为对应的P个相似度中至少两个相似度达到相应的规则归类门限,则将所述任意一疑似恶意软件网络行为归类为所述至少两个相似度中取值最小的相似度对应的规则下的疑似恶意行为。
17.如权利要求11所述的系统,其特征在于,将筛选出的疑似恶意软件网络行为所对应的软件作为第二疑似恶意软件样本之后,针对第二疑似恶意样本中的每一个样本进行鉴别之前,所述软件监测装置进一步用于:
利用恶意软件样本MD5特征库、非恶意软件样本MD5特征库和疑似恶意软件样本MD5特征库,对所述第二疑似恶意软件样本进行匹配,筛选出均匹配失败的软件样本;
将均匹配失败的软件样本作为第二疑似恶意软件样本。
18.如权利要求11、12、14、15或17所述的系统,其特征在于,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件时,所述中央管理平台用于:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本分别进行反编译和模拟安装,获得每一个样本的静态资源信息和动态行为信息,分析每一个样本的静态资源信息和动态行为信息,依据预设的分析准则,获取每一个样本的分析结果;
根据每一个样本的分析结果,筛选出符合预设的恶意行为条件的疑似恶意样本,作为恶意软件。
19.如权利要求18所述的系统,其特征在于,所述中央管理平台进一步用于:
针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,若其中的任意一个疑似恶意样本不能获得鉴别结果,将所述任意一个疑似恶意样本进行导出;
将导出的所述任意一个疑似恶意样本发送至指定平台进行恶意软件判定;
根据所述指定平台返回的判定结果,筛选出恶意软件和非恶意软件;
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将所述恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将所述恶意软件对应的下载URL添加至恶意软件下载URL库中、将所述恶意软件对应的主控URL添加至恶意软件主控URL库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件软件样本MD5特征库。
20.如权利要求11、12、14、15、17或19所述的系统,其特征在于,针对第一疑似恶意样本和第二疑似恶意样本中的每一个样本进行鉴别,筛选出恶意软件之后,所述中央管理平台进一步用于:
提取恶意软件的MD5特征信息将其添加至恶意软件样本MD5特征库,并将所述恶意软件对应的下载URL和主控URL添加至恶意软件待封堵URL库中,以及将所述恶意软件对应的下载URL添加至恶意软件下载URL库中、将所述恶意软件对应的主控URL添加至恶意软件主控URL库中;
分析恶意软件的发作行为特征,提取新的疑似恶意软件网络行为筛选规则,并将其更新到疑似恶意软件网络行为筛选规则库中;
获取恶意软件对应的网络日志,并将添加至染毒用户日志数据库中;
提取非恶意软件的MD5特征信息将其添加至非恶意软件样本MD5特征库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510002313.5A CN105825129B (zh) | 2015-01-04 | 2015-01-04 | 一种融合通信中恶意软件鉴别方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510002313.5A CN105825129B (zh) | 2015-01-04 | 2015-01-04 | 一种融合通信中恶意软件鉴别方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105825129A CN105825129A (zh) | 2016-08-03 |
CN105825129B true CN105825129B (zh) | 2019-03-12 |
Family
ID=56513311
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510002313.5A Active CN105825129B (zh) | 2015-01-04 | 2015-01-04 | 一种融合通信中恶意软件鉴别方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105825129B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106502879A (zh) * | 2015-09-07 | 2017-03-15 | 中国移动通信集团公司 | 一种实现应用程序安全性检测的方法及装置 |
CN106713335B (zh) * | 2016-12-30 | 2020-10-30 | 山石网科通信技术股份有限公司 | 恶意软件的识别方法及装置 |
CN107145779B (zh) * | 2017-03-16 | 2020-01-17 | 北京网康科技有限公司 | 一种离线恶意软件日志的识别方法和装置 |
CN108171053B (zh) * | 2017-12-28 | 2020-06-12 | 北京奇虎科技有限公司 | 一种规则发现的方法以及系统 |
CN109284610B (zh) * | 2018-09-11 | 2023-02-28 | 腾讯科技(深圳)有限公司 | 一种病毒程序检测方法、装置及检测服务器 |
CN112131259B (zh) * | 2020-09-28 | 2024-03-15 | 绿盟科技集团股份有限公司 | 一种相似恶意软件推荐方法、装置、介质和设备 |
CN112580027A (zh) * | 2020-12-15 | 2021-03-30 | 北京天融信网络安全技术有限公司 | 恶意样本的确定方法、装置、存储介质及电子设备 |
CN113032785A (zh) * | 2021-03-26 | 2021-06-25 | 深信服科技股份有限公司 | 一种文档检测方法、装置、设备及存储介质 |
CN114969741A (zh) * | 2022-06-07 | 2022-08-30 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 恶意软件检测与分析方法、装置、设备和可读存储介质 |
CN117040909B (zh) * | 2023-09-11 | 2024-05-10 | 江南信安(北京)科技有限公司 | 一种对网络设备进行安全防护的方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102510563A (zh) * | 2011-10-21 | 2012-06-20 | 北京西塔网络科技股份有限公司 | 一种移动互联网恶意软件检测的方法及系统 |
CN102571812A (zh) * | 2011-12-31 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 一种网络威胁的跟踪识别方法及装置 |
CN103581909A (zh) * | 2012-07-31 | 2014-02-12 | 华为技术有限公司 | 一种疑似手机恶意软件的定位方法及其装置 |
-
2015
- 2015-01-04 CN CN201510002313.5A patent/CN105825129B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102510563A (zh) * | 2011-10-21 | 2012-06-20 | 北京西塔网络科技股份有限公司 | 一种移动互联网恶意软件检测的方法及系统 |
CN102571812A (zh) * | 2011-12-31 | 2012-07-11 | 成都市华为赛门铁克科技有限公司 | 一种网络威胁的跟踪识别方法及装置 |
CN103581909A (zh) * | 2012-07-31 | 2014-02-12 | 华为技术有限公司 | 一种疑似手机恶意软件的定位方法及其装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105825129A (zh) | 2016-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105825129B (zh) | 一种融合通信中恶意软件鉴别方法和系统 | |
CN104376266B (zh) | 应用软件安全级别的确定方法及装置 | |
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
CN105007282B (zh) | 面向网络服务提供商的恶意软件网络行为检测方法及系统 | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
CN105049592B (zh) | 移动智能终端语音安全防护方法及系统 | |
CN108471429A (zh) | 一种网络攻击告警方法及系统 | |
CN106845240A (zh) | 一种基于随机森林的Android恶意软件静态检测方法 | |
CN110337059B (zh) | 一种用户家庭关系的分析算法、服务器及网络系统 | |
CN103875003A (zh) | 用于在移动网络环境中把应用列入白名单的系统和方法 | |
CN104462973B (zh) | 移动终端中应用程序的动态恶意行为检测系统及方法 | |
CN103581909B (zh) | 一种疑似手机恶意软件的定位方法及其装置 | |
CN105069354A (zh) | 基于攻击树模型的Android软件混合检测方法 | |
CN106899948B (zh) | 伪基站发现方法、系统、终端及服务器 | |
CN107330326A (zh) | 一种恶意木马检测处理方法及装置 | |
CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
CN108965251B (zh) | 一种云端结合的安全手机防护系统 | |
CN110716973A (zh) | 基于大数据的安全事件上报平台及方法 | |
CN105577472A (zh) | 一种数据采集测试方法和装置 | |
CN113572757A (zh) | 服务器访问风险监测方法及装置 | |
CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
CN106331060B (zh) | 一种基于wifi进行布控的方法和系统 | |
CN108345793A (zh) | 一种软件检测特征的提取方法及装置 | |
CN113098852A (zh) | 一种日志处理方法及装置 | |
CN105050091B (zh) | 窃听行为侦测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |