CN115310088A - 一种恶意程序检测方法、装置、设备及介质 - Google Patents
一种恶意程序检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115310088A CN115310088A CN202210956424.XA CN202210956424A CN115310088A CN 115310088 A CN115310088 A CN 115310088A CN 202210956424 A CN202210956424 A CN 202210956424A CN 115310088 A CN115310088 A CN 115310088A
- Authority
- CN
- China
- Prior art keywords
- target
- program
- file
- modal data
- target communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种恶意程序检测方法、装置、设备及介质,可应用于网络安全领域或金融领域。该方法通过获取目标程序的目标通信流量文件,将目标通信流量文件划分为多个会话流,根据会话流提取目标通信流量文件的模态数据,然后通过神经网络模型根据该目标通信流量文件的模态数据判断目标程序是否为恶意程序。如此,基于会话流提取目标通信流量文件的模态数据,然后通过神经网络模型基于对模态数据的判断实现对于目标程序的检测,提高了检测的准确度。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种恶意程序检测方法、装置、设备、介质。
背景技术
随着互联网技术的高速发展,互联网技术在方便人们生活的同时,也促进了恶意程序的传播和扩散。在工作或生活中,面对数量庞大、危害广泛的恶意程序,无论个人、企业的数据安全都受到了严重的威胁。
恶意程序大量采用混淆、变形等技术来规避检测,传统检测方法越来越难以跟上恶意程序发展的速度。
因此,业界亟需一种能够准确对恶意程序进行检测的恶意程序检测方法。
发明内容
本申请提供了一种恶意程序检测方法,该方法能够准确识别恶意程序,以便及时进行处理。本申请还提供了该方法对应的装置、设备、介质以及程序产品。
第一方面,本申请提供了一种恶意程序检测方法,所述方法包括:
获取目标程序的目标通信流量文件;
将所述目标通信流量文件划分为多个会话流;
基于所述会话流提取所述目标通信流量文件的模态数据;
通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括流量统计信息;
所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过深度学习神经网络模型根据所述目标通信流量文件的流量统计信息判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括原始流量载荷;
所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过卷积神经网络模型根据所述目标通信流量文件的原始流量载荷判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括通信行为序列;
所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过长短期记忆网络模型根据所述目标通信流量文件的通信行为序列判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过神经网络模型根据所述目标通信流量文件的模态数据对所述目标通信流量文件进行检测,获得检测结果;
根据所述检测结果判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述目标通信流量文件为命令控制C&C通信流量文件。
在一些可能的实现方式中,所述模态数据包括流量统计信息、原始流量载荷以及通信行为序列。
第二方面,本申请提供了一种恶意程序检测装置,所述装置包括:
获取模块,用于获取目标程序的目标通信流量文件;
划分模块,用于将所述目标通信流量文件划分为多个会话流;
提取模块,用于基于所述会话流提取所述目标通信流量文件的模态数据;
判断模块,用于通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括流量统计信息;
所述判断模块具体用于:
通过深度学习神经网络模型根据所述目标通信流量文件的流量统计信息判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括原始流量载荷;
所述判断模块具体用于:
通过卷积神经网络模型根据所述目标通信流量文件的原始流量载荷判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括通信行为序列;
所述判断模块具体用于:
通过长短期记忆网络模型根据所述目标通信流量文件的通信行为序列判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述判断模块具体用于:
通过神经网络模型根据所述目标通信流量文件的模态数据对所述目标通信流量文件进行检测,获得检测结果;
根据所述检测结果判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述目标通信流量文件为命令控制C&C通信流量文件。
在一些可能的实现方式中,所述模态数据包括流量统计信息、原始流量载荷以及通信行为序列。
第三方面,本申请提供一种设备,设备包括处理器和存储器。处理器、存储器进行相互的通信。处理器用于执行存储器中存储的指令,以使得设备执行如第一方面或第一方面的任一种实现方式中的恶意程序检测方法。
第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,指令指示设备执行上述第一方面或第一方面的任一种实现方式所述的恶意程序检测方法。
第五方面,本申请提供了一种包含指令的计算机程序产品,当其在设备上运行时,使得设备执行上述第一方面或第一方面的任一种实现方式所述的恶意程序检测方法。
本申请在上述各方面提供的实现方式的基础上,还可以进行进一步组合以提供更多实现方式。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请实施例提供了一种恶意程序检测方法,该方法通过获取目标程序的目标通信流量文件,将目标通信流量文件划分为多个会话流,根据会话流提取目标通信流量文件的模态数据,然后通过神经网络模型根据该目标通信流量文件的模态数据判断目标程序是否为恶意程序。如此,基于会话流提取目标通信流量文件的模态数据,然后通过神经网络模型基于对模态数据的判断实现对于目标程序的检测,提高了检测的准确度。
附图说明
为了更清楚地说明本申请实施例的技术方法,下面将对实施例中所需使用的附图作以简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种恶意程序检测方法的流程示意图;
图2为本申请实施例提供的一种全连接神经网络模型的示意图;
图3为本申请实施例提供的一种卷积神经网络模型的示意图;
图4为本申请实施例提供的一种长短期记忆网络模型的示意图;
图5为本申请实施例提供的一种综合神经网络模型的示意图;
图6为本申请实施例提供的一种检测目标通信流量文件的示意图;
图7为本申请实施例提供的一种恶意程序检测装置的结构示意图。
具体实施方式
下面将结合本申请中的附图,对本申请提供的实施例中的方案进行描述。
本申请实施例中的术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。
需要说明的是,本发明提供的基于网点的业务办理方法可用于数据安全领域或金融领域。上述仅为示例,并不对本发明提供的恶意程序检测方法的应用领域进行限定。
随着互联网技术的高速发展,互联网技术在方便人们生活的同时,也促进了恶意程序的传播和扩散。在工作或生活中,面对数量庞大、危害广泛的恶意程序,无论个人、企业的数据安全都受到了严重的威胁。
相关技术中的恶意程序检测方法,需要对恶意程序的运行环境进行全面的调查分析,深入到操作系统底层获取程序的运行轨迹,操作复杂。并且,恶意程序可以绕过上述系统不断更新。并且,由于恶意程序开发语言、投递环境的不同,同种类型的恶意程序往往具有多种不同的形态,导致这种恶意程序检测方法难以跟上恶意程序的发展速度。
申请人通过分析恶意程序网络行为的特点,结合经典网络攻击模型的思想,将恶意程序的整个网络活动划分为四个阶段:感染阶段、探测阶段、命令控制阶段和破坏阶段,并结合实例对不同阶段的网络流量特点进行分析,发现在恶意程序网络行为链的命令控制(Command and Control,C&C)阶段,攻击者主要与入侵受害者主机的恶意程序进行通信交互,以进一步发起破坏阶段的网络攻击行为,因此可以根据恶意程序的目标通信流量文件对恶意程序进行检测。
有鉴于此,本申请提供恶意程序检测方法。该方法应用于电子设备。其中,电子设备是指具有数据处理能力的设备,例如可以是服务器,或者是台式机、笔记本电脑或者智能手机等终端设备。
具体地,电子设备获取目标程序的目标通信流量文件,将目标通信流量文件划分为多个会话流,根据会话流提取目标通信流量文件的模态数据,然后通过神经网络模型根据该目标通信流量文件的模态数据判断目标程序是否为恶意程序。如此,基于会话流提取目标通信流量文件的模态数据,然后通过神经网络模型基于对模态数据的判断实现对于目标程序的检测,提高了检测的准确度。
为了便于理解本申请的技术方案,下面结合图1对本申请提供的恶意程序检测办理方法进行介绍。
参见图1所示的恶意程序检测方法的流程图,该方法的具体步骤如下所示:
S102:电子设备获取目标程序的目标通信流量文件。
其中,目标通信流量文件为命令控制(Command&Control,C&C)通信流量文件。其中C&C节点分为两种,C&C Server和C&C Client。Server为黑客手里的遥控器,Client就是被控制的电脑,也就是受害者。C&C通信就是Client和Server之间的通信。攻击者主要与入侵受害者主机的恶意程序进行通信交互,以进一步发起破坏阶段的网络攻击行为,因此C&C通信流量的准确检测有助于及时发现恶意代码、中断网络攻击行为。
C&C通信过程主要可以分为:命令交互阶段和保持连接阶段。在命令交互阶段,C&C信道主要用来控制感染主机进行信息窃取等恶意行为,在保持连接阶段,C&C服务器为与感染主机维持会话连接,可能存在互发心跳包等行为。
本方案中,可以通过C&C通信过程中的C&C通信流量文件判断目标程序是否为恶意程序。
S104:电子设备将所述目标通信流量文件划分为多个会话流。
本方案中,电子设备需要对C&C通信流量文件的模态数据进行判断,因此需要先将C&C通信流量文件划分为多个会话流,然后根据多个会话流获取分别对应的模态数据。
S106:电子设备基于所述会话流提取所述目标通信流量文件的模态数据。
其中,模态数据包括流量统计信息、原始流量载荷以及通信行为序列。
流量统计信息可以包括上下行流量相关统计特征、PSH数据包比例、数据包大小、数据包间隔时间相关统计特征、会话持续时间、会话数据包总数相关统计特征以及心跳行为检测中的一个或多个。
C&C通信流量与正常通信流量之间存在着显著的差异,这种差异不仅体现在流量统计信息和原始流量载荷这些静态的内容上,也体现在C&C通信交互的动态流程上。统计信息和载荷信息虽然能够对C&C通信流量进行良好的刻画,但无法反映C&C通信过程的动态变化情况。例如,当C&C服务器开始发送控制指令,一个处于静默连接状态的C&C信道会突然变得活跃起来。因此,需要通信行为序列刻画C&C通信的动态过程。
通信行为序列包括会话流中每个数据包的三个特征:数据包方向、数据包长度和数据包到达时间间隔。具体地,可以按照数据包方向将会话流中的数据包分为从源到目的和从目的到源2种情况,再将数据包长度和数据包到达间隔时间按照各自阈值进行离散化,其中数据包长度按阈值区分了4种情况,数据包到达时间间隔按阈值区分了5种情况,再加上无数据包传输这1种特殊情况,从而获取到通信行为序列。
S108:电子设备通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序。
当模态数据包括流量统计信息时,所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过深度学习神经网络(Deep-Learning Neural Network,DNN)模型根据所述目标通信流量文件的流量统计信息判断所述目标程序是否为恶意程序。
如图2所示为一种DNN模型,考虑DNN高维空间下效率较低、容易过拟合等问题,该模型包括3个隐含层,分别为全连接(128)、全连接(64)以及全连接(30),最终形成30维的向量输出。
当模态数据包括原始流量载荷时,所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过卷积神经网络(Convolutional Neural Network,CNN)模型根据所述目标通信流量文件的原始流量载荷判断所述目标程序是否为恶意程序。
CNN模型是一种具有局部连接、权重共享等特性的神经网络模型,在计算机视觉和自然语言处理等领域取具有良好的效果。
在获取原始流量载荷时,可以将原始流量载荷转化为模型输入张量,以便进行特征提取。
具体地,将原始PCAP文件按照会话流进行分割,考虑到一次完整的TCP连接至少包含3个握手包和4个挥手包,剔除了所有数据包总数小于7的会话流,去除以太网包头、IP地址等干扰信息,截取每条会话流前N个数据包的前M个字节,超出部分进行截断,不足则用0填充。经过以上步骤,我们将会话流量数据转化为N×M维的矩阵数据,便于使用卷积神经网络进行特征提取。
为了不破坏网络流量自身的结构特征,本方案可以使用一维卷积对预处理得到的N×M维的流量原始数据进行处理。
如图3所示为一种CNN模型的结构示意图。包括两个卷积层、池化层、压平(flatten)层和全连接层。其中,两个卷积层提取流量原始载荷的特征信息,池化层过滤低置信度的特征,Flatten层将多维输入一维化,最终通过全连接层得到40维的向量输出。
当模态数据包括通信行为序列时,所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过长短期记忆(Long Short-Term Memory,LSTM)网络模型根据所述目标通信流量文件的通信行为序列判断所述目标程序是否为恶意程序。
LSTM能够处理输入之间前后关联的问题,可以解决循环神经网络(RecurrentNeural Network,RNN)的梯度爆炸和梯度消失问题,相比于RNN,LSTM更适合挖掘通信行为序列中的特征。
如图4为一种LSTM网络模型的示意图。该LSTM网络模型包括嵌入层、双向长短时记忆网络、拼接层、池化层以及全连接层。具体地,可以通过嵌入层将通信行为序列中的每一个符号转换成21维的向量,然后采用双向LSTM对嵌入层输出的向量序列进行正、反2个方向的扫描,并使用跳连结构对嵌入层和双向LSTM的输出结果进行拼接,池化层使用最大池化将拼接后的结果转化为一维向量,最后通过全连接层得到10维的向量输出。
在模型的训练时,需要定义损失函数,以便通过反向传播优化参数。损失函数可以如公式(1)所示:
其中,q表示预测概率值分布,p表示正确的概率分布。
本方案中的激活函数可以采用ReLU函数作为激活函数,函数表达式如公式(2)所示:
f(x)=max(0,x) (2)
本方案中的优化器可以采用Adam算法来更新模型参数,以达到快速收敛的目的。为了避免过拟合,本方案中可以采用Dropout。Dropout的原理是在训练时随机丢弃神经网络部分节点数据,而在模型测试时再使用全部节点,本发明Dropout的值为0.5,即随机丢弃一半的节点。
当模态数据包括流量统计信息、原始流量载荷以及通信行为序列时,通过上述三个神经网络模型判断该目标程序是否为恶意程序。
在判断之前,还可以对通过上述三个模型获得的特征进行聚合。如图5所示为一种包括上述三个模型的示意图。具体地,将DNN子模型输出的30维特征向量、CNN子模型输出的40维特征向量和LSTM子模型输出的10维特征向量进行聚合拼接,构成一个80维的特征向量,再使用多层神经网络对该特征向量进行处理。
在一些可能的实现方式中,通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过神经网络模型根据所述目标通信流量文件的模态数据对所述目标通信流量文件进行检测,获得检测结果;
根据所述检测结果判断所述目标程序是否为恶意程序。
其中,可以通过分类器对所述目标通信流量文件进行检测,获得检测结果,检测结果包括该流量为正常流量还是异常流量。
具体地,可以使用Softmax分类器来进行检测。Softmax会将多个神经元的输出映射到(0,1)内,各个输出之和等于1。该元素的Softmax值如公式(3)所示:
其中oi为向量的第i个元素。
如此,可以基于三种模态数据,对目标通信流量文件进行测试,以判断对应的目标程序是否为恶意程序。如图6所示,对于目标程序的网络通信流量进行多模态信息提取(流量统计信息、原始流量载荷以及通信行为序列),然后通过分类模型获取测试结果,根据测试结果判断目标程序是否为恶意程序。
基于以上内容的描述,本申请实施例提供了一种恶意程序检测方法,该方法通过获取目标程序的目标通信流量文件,将目标通信流量文件划分为多个会话流,根据会话流提取目标通信流量文件的模态数据,然后通过神经网络模型根据该目标通信流量文件的模态数据判断目标程序是否为恶意程序。如此,基于会话流提取目标通信流量文件的模态数据,然后通过神经网络模型基于对模态数据的判断实现对于目标程序的检测,提高了检测的准确度。
与上述方法实施例相对应的,本申请还提供了一种恶意程序检测装置,该装置参见图7,该装置700包括:获取模块702、划分模块704、提取模块706和判断模块708。
获取模块,用于获取目标程序的目标通信流量文件;
划分模块,用于将所述目标通信流量文件划分为多个会话流;
提取模块,用于基于所述会话流提取所述目标通信流量文件的模态数据;
判断模块,用于通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括流量统计信息;
所述判断模块具体用于:
通过深度学习神经网络模型根据所述目标通信流量文件的流量统计信息判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括原始流量载荷;
所述判断模块具体用于:
通过卷积神经网络模型根据所述目标通信流量文件的原始流量载荷判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述模态数据包括通信行为序列;
所述判断模块具体用于:
通过长短期记忆网络模型根据所述目标通信流量文件的通信行为序列判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述判断模块具体用于:
通过神经网络模型根据所述目标通信流量文件的模态数据对所述目标通信流量文件进行检测,获得检测结果;
根据所述检测结果判断所述目标程序是否为恶意程序。
在一些可能的实现方式中,所述目标通信流量文件为命令控制C&C通信流量文件。
在一些可能的实现方式中,所述模态数据包括流量统计信息、原始流量载荷以及通信行为序列。
本申请提供一种设备,用于实现恶意程序检测方法。该设备包括处理器和存储器。处理器、存储器进行相互的通信。该处理器用于执行存储器中存储的指令,以使得设备执行上述恶意程序检测方法。
本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在设备上运行时,使得设备执行上述恶意程序检测方法。
本申请提供了一种包含指令的计算机程序产品,当其在设备上运行时,使得设备执行上述恶意程序检测方法。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本申请提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,训练设备,或者网络设备等)执行本申请各个实施例所述的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、训练设备或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、训练设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的训练设备、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
Claims (10)
1.一种恶意程序检测方法,其特征在于,所述方法包括:
获取目标程序的目标通信流量文件;
将所述目标通信流量文件划分为多个会话流;
基于所述会话流提取所述目标通信流量文件的模态数据;
通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序。
2.根据权利要求1所述的方法,其特征在于,所述模态数据包括流量统计信息;
所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过深度学习神经网络模型根据所述目标通信流量文件的流量统计信息判断所述目标程序是否为恶意程序。
3.根据权利要求1所述的方法,其特征在于,所述模态数据包括原始流量载荷;
所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过卷积神经网络模型根据所述目标通信流量文件的原始流量载荷判断所述目标程序是否为恶意程序。
4.根据权利要求1所述的方法,其特征在于,所述模态数据包括通信行为序列;
所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过长短期记忆网络模型根据所述目标通信流量文件的通信行为序列判断所述目标程序是否为恶意程序。
5.根据权利要求1所述的方法,其特征在于,所述通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序,包括:
通过神经网络模型根据所述目标通信流量文件的模态数据对所述目标通信流量文件进行检测,获得检测结果;
根据所述检测结果判断所述目标程序是否为恶意程序。
6.根据权利要求1至5任意一项所述的方法,其特征在于,所述目标通信流量文件为命令控制服务器C&C通信流量文件。
7.根据权利要求1所述的方法,其特征在于,所述模态数据包括流量统计信息、原始流量载荷以及通信行为序列。
8.一种恶意程序检测装置,其特征在于,所述装置包括:
获取模块,用于获取目标程序的目标通信流量文件;
划分模块,用于将所述目标通信流量文件划分为多个会话流;
提取模块,用于基于所述会话流提取所述目标通信流量文件的模态数据;
判断模块,用于通过神经网络模型根据所述目标通信流量文件的模态数据判断所述目标程序是否为恶意程序。
9.一种设备,其特征在于,所述设备包括处理器和存储器;
所述处理器用于执行所述存储器中存储的指令,以使得所述设备执行如权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,包括指令,所述指令指示设备执行如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210956424.XA CN115310088A (zh) | 2022-08-10 | 2022-08-10 | 一种恶意程序检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210956424.XA CN115310088A (zh) | 2022-08-10 | 2022-08-10 | 一种恶意程序检测方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115310088A true CN115310088A (zh) | 2022-11-08 |
Family
ID=83861717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210956424.XA Pending CN115310088A (zh) | 2022-08-10 | 2022-08-10 | 一种恶意程序检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115310088A (zh) |
-
2022
- 2022-08-10 CN CN202210956424.XA patent/CN115310088A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Sun et al. | DL‐IDS: Extracting Features Using CNN‐LSTM Hybrid Network for Intrusion Detection System | |
| CN113037687B (zh) | 一种流量识别方法及电子设备 | |
| CN112165485A (zh) | 一种大规模网络安全态势智能预测方法 | |
| Ortet Lopes et al. | Towards effective detection of recent DDoS attacks: A deep learning approach | |
| CN112948578B (zh) | 一种dga域名开集分类方法、装置、电子设备及介质 | |
| CN113660196A (zh) | 一种基于深度学习的网络流量入侵检测方法及装置 | |
| US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| Wang et al. | Res-TranBiLSTM: An intelligent approach for intrusion detection in the Internet of Things | |
| CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN114863226A (zh) | 一种网络物理系统入侵检测方法 | |
| CN110798463A (zh) | 基于信息熵的网络隐蔽信道的检测方法及装置 | |
| Gulghane et al. | A survey on intrusion detection system using machine learning algorithms | |
| Yujie et al. | End-to-end android malware classification based on pure traffic images | |
| CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| CN115589339B (zh) | 网络攻击类型识别方法、装置、设备以及存储介质 | |
| CN116962047A (zh) | 一种可解释的威胁情报生成方法、系统及装置 | |
| CN111797997A (zh) | 网络入侵检测方法、模型构建方法、装置及电子设备 | |
| CN115310088A (zh) | 一种恶意程序检测方法、装置、设备及介质 | |
| CN114422207A (zh) | 基于多模态的c&c通信流量检测方法及装置 | |
| CN115314239A (zh) | 基于多模型融合的隐匿恶意行为的分析方法和相关设备 | |
| CN115086021A (zh) | 校园网入侵检测方法、装置、设备及存储介质 | |
| KR20220102706A (ko) | 사이버 공격 탐지 장치 및 방법 | |
| CN112651422A (zh) | 一种时空感知的网络流量异常行为检测方法及电子装置 | |
| CN113868660B (zh) | 恶意软件检测模型的训练方法、装置以及设备 | |
| Rezaei | Detecting botnet on IoT by using unsupervised learning techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |