技術領域

本發(fā)明涉及網(wǎng)絡安全領域，尤其涉及一種用于惡意網(wǎng)絡行為檢測的方法和裝置。

背景技術

隨著移動通信技術的進步，移動互聯(lián)網(wǎng)得到了廣泛發(fā)展。隨之而來地，也出現(xiàn)了許多針對移動互聯(lián)網(wǎng)的網(wǎng)絡攻擊，這對移動互聯(lián)網(wǎng)和移動終端產(chǎn)生了極大的威脅。

傳統(tǒng)上，使用基于簽名的匹配技術來檢測移動互聯(lián)網(wǎng)中的惡意網(wǎng)絡行為。然而，惡意網(wǎng)絡行為并不是固定不變的，通常攻擊者會對惡意網(wǎng)絡行為做一些小的改變從而產(chǎn)生多態(tài)和變形的惡意網(wǎng)絡行為，但是，使用基于簽名的匹配技術并不能有效檢測多態(tài)和變形的惡意網(wǎng)絡行為。

為此，人們提出了許多數(shù)據(jù)挖掘技術來檢測多態(tài)和變形的惡意網(wǎng)絡行為。雖然相對于基于簽名的匹配技術，目前的數(shù)據(jù)挖掘技術能夠更為有效地檢測多態(tài)和變形的惡意網(wǎng)絡行為，但是檢測的準確性仍然不夠高，時常會出現(xiàn)誤檢的情形。

發(fā)明內容

考慮到現(xiàn)有技術的上述問題，本發(fā)明實施例提出一種用于惡意網(wǎng)絡行為檢測的方法和裝置，其能夠提高對惡意網(wǎng)絡行為檢測的準確性。

按照本發(fā)明實施例的一種用于惡意網(wǎng)絡行為檢測的方法，包括：根據(jù)多個行為類別各自的特征參數(shù)，計算待檢測的網(wǎng)絡行為與所述多個行為類別的每一個的相關程度值，得到多個相關程度值，其中，所述多個行為類別包括正常行為類別和至少一個惡意行為類別，所述多個行為類別各自的特征參數(shù)預先利用已知的惡意網(wǎng)絡行為和正常網(wǎng)絡行為作為訓練樣本訓練得到；以及，根據(jù)所述多個相關程度值中的最大相關程度值是所述待檢測的網(wǎng)絡行為與所述正常行為類別的相關程度值還是所述待檢測的網(wǎng)絡行為與所述至少一個惡意行為類別的其中之一的相關程度值，確定所述待檢測的行為屬于正常網(wǎng)絡行為或惡意網(wǎng)絡行為。

其中，所述方法還包括：根據(jù)所述待檢測的網(wǎng)絡行為的行為特點，判定所述待檢測的網(wǎng)絡行為所屬的行為種類；以及，從分別對應于不同的行為種類的多個行為識別模型中，選擇與所判定的行為種類對應的行為識別模型，其中，所述多個行為識別模型的每一個包括所述多個行為類別各自的特征參數(shù)，其中，所述計算進一步包括：根據(jù)所選擇的行為識別模型所包括的所述多個行為類別各自的特征參數(shù)，計算所述待檢測的行為與所述多個行為類別的每一個的相關程度值，得到所述多個相關程度值。

其中，所述方法還包括：將作為所述訓練樣本的所述已知的惡意網(wǎng)絡行為和正常網(wǎng)絡行為劃分為多個行為組，其中每一個行為組中的網(wǎng)絡行為屬于相同的行為種類；利用聚類算法將所述多個行為組中的每一個行為組所包括的網(wǎng)絡行為聚類為多個子行為組，每一個子行為組所包括的網(wǎng)絡行為屬于所述多個行為類別的其中一個；以及，利用多分類器訓練算法分別對所述多個行為組中的每一個行為組所包括的各個子行為組中的網(wǎng)絡行為進行訓練，得到所述多個行為識別模型。

其中，所述待檢測的網(wǎng)絡行為被確定所屬的行為與所述待檢測的網(wǎng)絡行為實際所屬的行為不相同，以及，所述方法還包括：計算所述多個相關程度值中除了所述最大相關程度值之外的其它相關程度值的乘積；檢查所述最大相關程度值與所計算的乘積的比值是否大于指定閾值；以及，如果檢查結果為肯定，則利用增量學習算法使用所述待檢測的網(wǎng)絡行為進行自學習訓練，以更新所述多個行為識別模型。

其中，所述行為種類包括傳播行為、遠程控制行為、攻擊行為。

按照本發(fā)明實施例的一種用于惡意網(wǎng)絡行為檢測的裝置，包括：計算模塊，用于根據(jù)多個行為類別各自的特征參數(shù)，計算待檢測的網(wǎng)絡行為與所述多個行為類別的每一個的相關程度值，得到多個相關程度值，其中，所述多個行為類別包括正常行為類別和至少一個惡意行為類別，所述多個行為類別各自的特征參數(shù)預先利用已知的惡意網(wǎng)絡行為和正常網(wǎng)絡行為作為訓練樣本訓練得到；以及，確定模塊，用于根據(jù)所述多個相關程度值中的最大相關程度值是所述待檢測的網(wǎng)絡行為與所述正常行為類別的相關程度值還是所述待檢測的網(wǎng)絡行為與所述至少一個惡意行為類別的其中之一的相關程度值，確定所述待檢測的行為屬于正常網(wǎng)絡行為或惡意網(wǎng)絡行為。

其中，所述裝置還包括：判定模塊，用于根據(jù)所述待檢測的網(wǎng)絡行為的行為特點，判定所述待檢測的網(wǎng)絡行為所屬的行為種類；以及，選擇模塊，用于從分別對應于不同的行為種類的多個行為識別模型中，選擇與所判定的行為種類對應的行為識別模型，其中，所述多個行為識別模型的每一個包括所述多個行為類別各自的特征參數(shù)，其中，所述計算模塊進一步用于：根據(jù)所選擇的行為識別模型所包括的所述多個行為類別各自的特征參數(shù)，計算所述待檢測的行為與所述多個行為類別的每一個的相關程度值，得到所述多個相關程度值。