CN112565308B - 基于网络流量的恶意应用检测方法、装置、设备及介质 - Google Patents
基于网络流量的恶意应用检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112565308B CN112565308B CN202110213433.5A CN202110213433A CN112565308B CN 112565308 B CN112565308 B CN 112565308B CN 202110213433 A CN202110213433 A CN 202110213433A CN 112565308 B CN112565308 B CN 112565308B
- Authority
- CN
- China
- Prior art keywords
- target
- traffic
- flow
- application
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种基于网络流量的恶意应用检测方法、装置、设备及存储介质。该方法包括:按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。根据本公开,不依赖于特定流量字段、静态签名和统计特征等,从局域网而非终端的宏观层面实现了整体局域网的恶意应用检测,提高了整个局域网的恶意应用检测效率和精度。
Description
技术领域
本公开涉及恶意应用检测技术领域,尤其涉及基于网络流量的恶意应用检测。
背景技术
为了更好地保障移动终端用户的个人隐私和财产安全,恶意应用(Application)的检测和识别的需求越来越迫切。目前,更多的研究开始关注恶意应用产生的网络流量,并尝试从网络流量的角度进行恶意应用检测。其中,大多数基于网络流量和机器学习算法的恶意应用检测技术过于依赖特征,这些特性可能是特定流量字段、静态签名和统计特征,而从网络流量中识别出这些有效的特征是极其困难的。基于深度神经网络的恶意应用检测,由于深度神经网络的模型一般部署在终端侧而非网络侧,所以其针对的数据大都是终端所能收集到的已知来源的流量,对于终端所收集不到的流量则无法进行恶意检测,因此导致在高速网络环境下,难以实现恶意应用的在线检测。而对于整个局域网来说,在每个终端部署深度神经网络模型则会对网络带来极大的负担,且造成网络资源的浪费。
发明内容
有鉴于此,本公开的目的在于提出一种基于网络流量的恶意应用检测方法、装置、设备及存储装置。
基于上述目的,根据本公开的第一方面,提供了一种基于网络流量的恶意应用检测方法,包括:
按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;
基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;
基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;
从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
可选地,所述预定标准包括如下至少一种:所述网络流量的域名、地址、源设备类型、或操作系统类型。
可选地,基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备,包括:
基于网络地址转换协议和/或地址解析协议对指示地址的所述标识流量进行分析,得到所述目标流量的网络地址和/或物理地址;
根据所述网络地址和/或物理地址确定所述目标流量对应的源设备。
可选地,所述方法还包括:
从所述目标流量中提取第二流量特征,并基于所述第二流量特征使用训练好的行为分类器对所述目标流量进行分类,以识别出所述目标流量对应的用户操作行为,
其中,基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用包括:
基于所述第一流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用。
可选地,所述方法还包括:
基于所述用户操作行为对所述目标流量进行过滤,得到二次目标流量;
其中,从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用,包括:
从所述二次目标流量提取第三流量特征,并基于所述第三流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
可选地,基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用包括:
基于所述第一流量特征,使用训练好的恶意应用识别模型对所述目标流量进行识别,得到所述目标应用为恶意应用的概率;
当所述目标应用为恶意应用的概率大于或等于预设值时,确定所述目标应用为恶意应用。
可选地,识别出所述目标流量对应的用户操作行为还包括得到所述用户操作行为是正常行为的概率;
其中,基于所述第一流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用,包括:
将所述用户操作行为是正常行为的概率和所述目标应用为恶意应用的概率乘以各自的权重后相加,得到综合概率;
判断所述综合概率是否大于或等于预设概率阈值;
响应于所述综合概率大于或等于所述预设概率阈值,确定所述目标应用为恶意应用。
根据本公开的第二方面,提供了一种基于网络流量的恶意应用检测装置,包括:
清洗模块,用于按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;
应用识别模块,用于基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;
源设备确定模块,用于基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;
检测模块,用于从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
根据本公开的第三方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的方法。
根据本公开的第四方面,提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行第一方面所述方法。
从上面所述可以看出,根据本公开实施例的基于网络流量的恶意应用检测方法、装置、设备及存储介质,通过从局域网而非终端的宏观层面实现了整体局域网的恶意应用检测,提高了整个局域网的恶意应用检测效率和精度,以及恶意检测的实时性,同时,不会给网络造成负担,节约了网络资源。
附图说明
为了更清楚地说明本公开或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本公开实施例的基于网络流量的恶意应用检测方法的示意性流程图;
图2为根据本公开实施例的基于网络流量的恶意应用检测装置的示意性框图;
图3为根据本公开实施例的一种更为具体的电子设备硬件结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
目前,无论是移动终端设备的杀毒产品还是服务端的软件审查机制,很多都借鉴了桌面计算机(PC端)的恶意软件检测方法,他们大多数使用基于特征码的静态检测和基于行为的动态检测,基于特征码的静态检测虽然代码覆盖率高,但是对未知新变种的恶意软件却无能为力,存在高误报率的风险。随着代码混淆技术的发展,静态检测面临着越来越大的冲击和挑战。动态检测可以有效检出恶意程序,但却面临着移动设备系统资源受限和部署困难等一系列问题。
随着移动安全研究的不断深入,可以发现绝大多数的恶意应用程序都是以获取经济利益为主要目标,很多恶意行为的发生都是在网络环境下进行的,例如隐私窃取、恶意扣费、远程连接等。所以,通过对网络流量的分析,发现恶意应用程序表现出了很明显的网络交互特征。基于网络流量的恶意应用检测技术不仅可以发现未知恶意新变种软件,同时,由于网络行为的轻量级特点,可以实现大规模的部署和实施。
但是目前基于网络流量的检测恶意应用的方法通常部署在主机终端,针对的数据大都是由主机终端收集的易溯源流量,例如从手机到主机终端,由主机终端收集流量,或者手机到wifi,再由wifi到主机终端,由主机终端收集;而主机终端是用户可以控制的,这种情况下,流量的生成等都可以进行控制和模拟,主机终端收集的任意流量都能够找到源头,例如能确定某个数据包是哪个时刻哪个应用哪个操作所对应,这中情况下基于主机终端的恶意应用检测可控。但是,主机终端不可能收集整个局域网中的所有流量,所以基于主机终端收集的数据只能对主机终端自身或与主机终端有数据传输的应用并进行恶意应用检测,而无法对整个局域网的应用进行恶意应用检测。而对于整个网络来说,基于网络中的每个终端部署恶意检测应用方法不仅仅降低了效率,还给网络带来巨大的负担,造成网络资源的浪费。
基于上述考虑,本公开实施例提供了一种基于网络流量的恶意应用检测方法。参见图1,图1示出了根据本公开实施例的基于网络流量的恶意应用检测方法的示意性流程图。如图1所示,基于网络流量的恶意应用检测方法100,包括:
步骤S110,按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;
步骤S120,基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;
步骤S130,基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;
步骤S140,从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
其中,通过对网络接入设备处可以收集得到近乎整个局域网的所有网络流量,对这些网络流量按照预定标准进行清洗,可以排除干扰的应用和用户数据,并在剩余网络流量的基础上进行恶意应用检测,可以确定整个局域网中的恶意应用。相比于传统的恶意应用检测方法,根据本公开的方法不依赖于特定流量字段、静态签名和统计特征等,从局域网而非终端的宏观层面实现了整体局域网的恶意应用检测,提高了整个局域网的恶意应用检测效率和精度,以及恶意检测的实时性,同时,不会给网络造成负担,节约了网络资源。此外,对于终端需要保密的场合,不能依靠在主机终端上安装监控程序进行恶意应用检测来防范安全风险,此时,根据本公开的方法,通过网络接入设备处的网络流量来分析,既可以检测出恶意应用,又保证了需要保密的终端以及整个网络的安全与稳定。
需要说明的是,本公开实施例的方法不受开发语言的限制,可以基于已有的计算机语言进行开发,如C语言、C++语言、C#语言、JAVA语言、Perl语言等,也可以基于未来出现的新语言进行扩充。
根据本公开实施例,在步骤S110之前,还可以包括:收集网络接入设备处的网络流量。
其中,网络接入设备可以指将终端接入局域网中的设备。终端上的应用可以通过网络接入设备向局域网内或局域网外的其他终端发送数据,和/或接收从局域网内或局域网外的其他终端接收数据,从而在网络接入设备处形成网络流量。
在一些实施例中,所述网络接入设备包括:网关、交换机或路由器。
根据本公开实施例,步骤S110,按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量。
在一些实施例中,目标流量可以形成传输控制协议(Transmission ControlProtocol,TCP)流。
其中,网络流量往往是非结构化和无组织的,因此需要进行数据清理或转换。步骤S110处对网络流量进行清洗,具体可以使用诸如OpenRefine、DataCleaner、MicrosoftExcel等数据清理工具软件对网络流量进行移除重复、空白字段和其他错误,或将数据集转换为可以被数据可视化工具读取的数据集,或通过查找、替换,拼写检查以及用于转换数据的许多公式,将其变为可远程检索的内容。然后,可以在对清理后的数据进行过滤筛选,汇成TCP流。
在一些实施例中,所述预定标准包括如下至少一种:所述网络流量的域名、地址、源设备类型、或操作系统类型。
在一些实施例中,基于所述网络流量的域名对网络流量进行清洗,可以包括:通过域名系统(Domain Name System,DNS)查询,得到网络接入流量的域名。进一步地,可以将预设域名的网络接入流量过滤掉,也可以将预设域名的网络接入流量保留。其中,预设值域名可以根据需要进行设置,在此不做限制。
在一些实施例中,基于所述网络流量的地址对网络流量进行清洗,可以包括:通过地址解析协议(Address Resolution Protocol,ARP)得到所述网络流量的地址。进一步地,可以将预设地址范围中的网络流量过滤掉,也可以将预设地址范围中的网络流量保留。其中,预设地址范围也可以根据需要进行设置,在此不做限制。
在一些实施例中,源设备类型可以包括个人计算机(PC)或移动智能设备(如,智能手机、智能可穿戴设备等)。进一步地,在一些实施例中,基于所述网络流量的源设备类型对网络流量进行清洗,可以包括:将预设源设备类型的网络流量过滤掉,也可以将预设源设备类型的网络流量保留。应了解,上述设备类型仅为示例,并不旨在对设备类进行限制,设备类型还可以根据需要设置为其他的设备类型。
在一些实施例中,操作系统类型可以包括安卓系统、IOS系统、Windows系统、Unix系统、Linux系统、或FreeBSD系统。进一步地,在一些实施例中,基于所述网络流量的操作系统类型对网络流量进行清洗,可以包括:将预设操作系统类型的网络流量过滤掉,也可以将预设操作系统类型的网络流量保留。
在一些实施例中,按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量,还可以包括:
移除所述网络流量中的干扰流量得到所述目标流量。
其中,网络流量中的干扰流量可以是指未成功完成业务的业务流量,如未成功的握手流量等。
根据本公开实施例,步骤S120,基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用。
其中,应用指纹可以是指应用所包含的特征代码。具体地,可以通过正则表达式匹配特征码或匹配文件的md5值等特殊信息作为应用指纹,基于该应用指纹即可识别目标应用的名称和版本等信息。
根据本公开实施例,步骤S130,基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备。
在一些实施例中,基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备,包括:
基于网络地址转换协议和/或地址解析协议对指示地址的所述标识流量进行分析,得到所述目标流量的网络地址和/或物理地址;
根据所述网络地址和/或物理地址确定所述目标流量对应的源设备。
其中,目标流量中的原地址在经过网络接入设备后,可能会被网络接入设备分配新的地址表示,可以基于目标流量中的这些指示地址的标识流量,通过网络地址转换协议(Network Address Translation,NET)和/或地址解析协议(Address ResolutionProtocol,ARP)进行转换和/或解析,可以得到生成该目标流量的源设备的网络地址(IP地址)或物理地址(MAC地址),这样就可以追溯并确定产生该目标流量的源设备。进一步地,结合对目标应用的识别,即可准确地确定该目标流量是由哪个源设备中的哪个应用生成,便于后续对该目标应用进行恶意应用检测。
根据本公开实施例,步骤S140,从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
其中,可以基于机器学习(如深度学习)训练恶意应用识别模型,将目标流量输入该训练好的恶意应用识别模型,该训练好的恶意应用识别模型对所述目标流量进行流量特性提取以及识别,确定所述源设备上的所述目标应用是否为恶意应用。
在一些实施例中,基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用包括:
基于所述第一流量特征,使用训练好的恶意应用识别模型对所述目标流量进行识别,得到所述目标应用为恶意应用的概率;
当所述目标应用为恶意应用的概率大于或等于预设值时,确定所述目标应用为恶意应用。
在一些实施例中,训练好的恶意应用识别模型可以输出所述目标应用的恶意检测结果。
在一些实施例中,步骤S140还可以是:确定所述源设备上的所述目标应用是否为恶意应用,包括:
将所述目标流量转换为可视化的二维图形;
基于所述二维图形进行流量特征提取,得到所述二维图形特征;
基于所述二维图形特征进行恶意检测,得到所述恶意检测结果。
其中,目标流量可以汇成TCP流,TCP流中的每个有效负载字节都在0到255之间,这与一张图片中每个像素的范围是一致的,所以,该条TCP流可以通过二维图片的形式呈现,其中,每个字节以像素表示,那么对该二维图形进行特征提取则可以得到二维图形特征,其不仅可以反映出该经过滤后的网络接入流量的流量特征,还充分利用了丰富的高维图形特征,进一步提高了恶意应用检测的准确性,从而实现从网络侧对整个局域网进行在线的恶意应用检测。
在一些实施例中,基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用,还可以包括:使用卷积神经网络(CNN)来提取所述网络接入流量的HTTP报头的抽象特征表示,将网络接入流量映射到生成所述网络接入流量的应用程序,从而识别所述网络接入流量所对应的应用。
此外,还可以使用深度信念网络为恶意应用行为生成不变的紧凑表示,从而有效地识别现有恶意应用的大多数变种。以及还可以通过多视图神经网络提取所述目标流量中的URL中的多层次特征,并通过恶意URL进一步识别恶意应用。
在一些实施例中,恶意检测结果可以包括:所述目标应用为恶意应用;或所述目标应用为非恶意应用。进一步地,在一些实施例中,恶意检测结果还可以包括:所述目标应用为恶意应用的概率或分数,或为非恶意应用的概率或分数。
根据本公开实施例,所述方法还可以包括:
步骤S150,从所述目标流量中提取第二流量特征,并基于所述第二流量特征使用训练好的行为分类器对所述目标流量进行分类,以识别出所述目标流量对应的用户操作行为。
具体地,可以将目标流量的TCP流的长度序列作为第二流量特征,训练好的行为分类器基于该第二流量特征进行分类,得到所述用户操作行为,如登录操作、转账操作、收账操作、夜间大量发送数据包等等。
在一些实施例中,识别出所述目标流量对应的用户操作行为还包括得到所述用户操作行为是正常行为的概率。
在一些实施例中,训练好的行为分类器还可以输出行为识别结果。
在一些实施例中,所述行为识别结果可以包括正常行为或非正常行为。进一步地,在一些实施例中,所述行为识别结果还可以包括:所述用户的行为是正常行为的概率或分数,或是非正常行为的概率或分数。
在一些实施例中,所述行为识别结果还可以进一步包括用户。基于对目标流量进行用户行为识别,还可以区分不同的用户。由于目标流量可以在一定程度上反映出用户的习惯,所以对所述目标流量进行用户行为识别可以识别出不同的用户,即使在同一设备上的用户也能进行区分。这样,可以从用户的角度来反映恶意应用,从而进一步提高恶意应用检测的精度。
在一些实施例中,所述行为识别结果可以包括:用户A在设备B上对应用C执行具体的操作D。
应了解,上述行为识别结果仅为举例,并不旨在对行为结果进行显示,可以根据需要设置更多不同类型的行为识别结果,在此不做限制。
在一些实施例中,所述方法还可以包括:输出所述目标应用以及对应的行为识别结果、用户行为操作、是否为恶意应用或恶意检测结果中的至少一种。
应了解,步骤S150可以在步骤S130之前执行,也可以在步骤S140之后执行。当步骤S150在步骤S130之前执行时,可以基于所述用户操作行为对所述目标流量进行过滤,有助于区分干扰的行为,从而更加精准的对恶意应用进行检测。当步骤S150在步骤S140之后执行时,可以结合恶意检测结果进一步提高恶意检测的精度。
在一些实施例中,步骤S150在步骤S130之前执行时,所述方法还可以包括:基于所述用户操作行为对所述目标流量进行过滤,得到二次目标流量;
则步骤S140中包括,从所述二次目标流量提取第三流量特征,并基于所述第三流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
进一步地,在一些实施例中,基于所述用户操作行为对所述目标流量进行过滤,得到二次目标流量,可以包括:
移除所述目标流量中行为识别结果为非正常行为(或非正常行为的概率或分数大于或等于对应的预设值)的网络流量,得到所述二次目标流量。
在一些实施例中,步骤S150在步骤S140之后执行时,基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用包括:
基于所述第一流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用。
其中,用户操作行为和第一流量特征分别从用户操作和数据传输的角度反映该应用的特性,将二者结合起来用于确定该应用是否为恶意应用可以进一步提高恶意检测的准确度,避免了从单一维度判断恶意应用的片面性,防止恶意检测的漏报和误报。
在一些实施例中,基于所述流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用,包括:
将所述用户操作行为是正常行为的概率和所述目标应用为恶意应用的概率乘以各自的权重后相加,得到综合概率;
判断所述综合概率是否大于或等于预设概率阈值;
响应于所述综合概率大于或等于所述预设概率阈值,确定所述目标应用为恶意应用。
在一些实施例中,所述方法还可以包括:响应于确定所述应用为恶意应用时,提示用户。
其中,可以向用户显示恶意应用检测的结果,进一步地,可以将其中确定为恶意应用的应用本身及其所属的源设备高亮显示。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种基于网络流量的恶意应用检测装置。
参见图2,图2示出了根据本公开实施例的基于网络流量的恶意应用检测装置的示意性框图。如图2所示,基于网络流量的恶意应用检测装置,包括:
清洗模块,用于按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;
应用识别模块,用于基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;
源设备确定模块,用于基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;
检测模块,用于从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本公开时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的基于网络流量的恶意应用检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的基于网络流量的恶意应用检测方法。
图3示出了根据本公开实施例的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器310、存储器320、输入/输出接口330、通信接口340和总线 350。其中处理器310、存储器320、输入/输出接口330和通信接口340通过总线350实现彼此之间在设备内部的通信连接。
处理器310可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器320可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器320可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器320中,并由处理器310来调用执行。
输入/输出接口330用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口340用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线350包括一通路,在设备的各个组件(例如处理器310、存储器320、输入/输出接口330和通信接口340)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器310、存储器320、输入/输出接口330、通信接口340以及总线350,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的基于流量的恶意应用检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的基于流量的恶意应用检测方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的基于流量的恶意应用检测方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
综上所述,根据本公开实施例的基于流量的恶意应用检测方法、装置、电子设备及存储介质,通过对目标对象的步态惯性数据进行特征提取得到稳定的步态周期,形成步态周期序列,再将该步态周期序列转换为可视化的二维图形,可以有效利用二维神经网络,提高身份认证的准确性和效率。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (7)
1.一种基于网络流量的恶意应用检测方法,包括:
按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;
基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;
基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;
从所述目标流量中提取第一流量特征,使用训练好的恶意应用识别模型对所述目标流量进行识别,得到所述目标应用为恶意应用的概率;
从所述目标流量中提取第二流量特征,并基于所述第二流量特征使用训练好的行为分类器对所述目标流量进行分类,以识别出所述目标流量对应的用户操作行为,得到所述用户操作行为是正常行为的概率;
基于所述第一流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用,包括:
将所述用户操作行为是正常行为的概率和所述目标应用为恶意应用的概率乘以各自的权重后相加,得到综合概率;
判断所述综合概率是否大于或等于预设概率阈值;
响应于所述综合概率大于或等于所述预设概率阈值,确定所述目标应用为恶意应用。
2.根据权利要求1所述的方法,其中,所述预定标准包括如下至少一种:所述网络流量的域名、地址、源设备类型、或操作系统类型。
3.根据权利要求1所述的方法,其中,基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备,包括:
基于网络地址转换协议和/或地址解析协议对指示地址的所述标识流量进行分析,得到所述目标流量的网络地址和/或物理地址;
根据所述网络地址和/或物理地址确定所述目标流量对应的源设备。
4.根据权利要求1所述的方法,所述方法还包括:
基于所述用户操作行为对所述目标流量进行过滤,得到二次目标流量;
其中,从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用,包括:
从所述二次目标流量提取第三流量特征,并基于所述第三流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
5.一种基于网络流量的恶意应用检测装置,包括:
清洗模块,用于按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;
应用识别模块,用于基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;
源设备确定模块,用于基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;
检测模块,用于从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用;
从所述目标流量中提取第二流量特征,并基于所述第二流量特征使用训练好的行为分类器对所述目标流量进行分类,以识别出所述目标流量对应的用户操作行为,包括得到所述用户操作行为是正常行为的概率;
基于所述第一流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用,包括:
将所述用户操作行为是正常行为的概率和所述目标应用为恶意应用的概率乘以各自的权重后相加,得到综合概率;
判断所述综合概率是否大于或等于预设概率阈值;
响应于所述综合概率大于或等于所述预设概率阈值,确定所述目标应用为恶意应用。
6.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至4任意一项所述的方法。
7.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行权利要求1至4任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110213433.5A CN112565308B (zh) | 2021-02-26 | 2021-02-26 | 基于网络流量的恶意应用检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110213433.5A CN112565308B (zh) | 2021-02-26 | 2021-02-26 | 基于网络流量的恶意应用检测方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112565308A CN112565308A (zh) | 2021-03-26 |
CN112565308B true CN112565308B (zh) | 2021-05-18 |
Family
ID=75034798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110213433.5A Active CN112565308B (zh) | 2021-02-26 | 2021-02-26 | 基于网络流量的恶意应用检测方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112565308B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113691537B (zh) * | 2021-08-25 | 2022-07-26 | 北京邮电大学 | 基于图分析的恶意加密流量检测方法 |
CN114173346B (zh) * | 2021-12-01 | 2024-04-12 | 恒安嘉新(北京)科技股份公司 | 恶意程序监测系统的覆盖检测方法、装置、设备及介质 |
CN114257553B (zh) * | 2021-12-21 | 2024-06-07 | 科大讯飞股份有限公司 | 流量检测方法、装置、电子设备和存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991637A (zh) * | 2015-06-15 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的防护方法和装置 |
CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8074277B2 (en) * | 2004-06-07 | 2011-12-06 | Check Point Software Technologies, Inc. | System and methodology for intrusion detection and prevention |
US10574681B2 (en) * | 2016-09-04 | 2020-02-25 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of known and unknown malicious domains |
-
2021
- 2021-02-26 CN CN202110213433.5A patent/CN112565308B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105991637A (zh) * | 2015-06-15 | 2016-10-05 | 杭州迪普科技有限公司 | 网络攻击的防护方法和装置 |
CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112565308A (zh) | 2021-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112565308B (zh) | 基于网络流量的恶意应用检测方法、装置、设备及介质 | |
CN109960729B (zh) | Http恶意流量的检测方法及系统 | |
CN103888490A (zh) | 一种全自动的web客户端人机识别的方法 | |
CN102984161B (zh) | 一种可信网站的识别方法和装置 | |
CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
US10462168B2 (en) | Access classifying device, access classifying method, and access classifying program | |
CN113014549B (zh) | 基于http的恶意流量分类方法及相关设备 | |
CN111008405A (zh) | 一种基于文件Hash的网站指纹识别方法 | |
JP2016091549A (ja) | マルウェアイベントとバックグラウンドイベントとを分離するためのシステム、デバイス、および方法 | |
CN111818009A (zh) | 一种针对基于mqtt协议的报文的防护方法和装置 | |
CN114528457A (zh) | Web指纹检测方法及相关设备 | |
CN112887329A (zh) | 隐藏服务溯源方法、装置及电子设备 | |
CN111400707A (zh) | 一种文件宏病毒检测方法、装置、设备及存储介质 | |
CN102984162A (zh) | 可信网站的识别方法和收集系统 | |
CN116055092A (zh) | 一种隐蔽隧道攻击行为检测方法和装置 | |
JP6813451B2 (ja) | 異常検知システム及び異常検知方法 | |
CN108881307B (zh) | 一种面向移动终端的安全性检测方法及装置 | |
CN113920398A (zh) | 异常设备识别方法、装置、计算机设备和存储介质 | |
CN114448661A (zh) | 慢速拒绝服务攻击检测方法及相关设备 | |
CN109359462B (zh) | 虚假设备识别方法、设备、存储介质及装置 | |
CN113220949A (zh) | 一种隐私数据识别系统的构建方法及装置 | |
CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 | |
CN114070581B (zh) | 域名系统隐藏信道的检测方法及装置 | |
KR101710086B1 (ko) | 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법 및 장치 | |
CN114157713B (zh) | 一种捕获隐藏服务流量的方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |