本發(fā)明公開了一種離線惡意軟件日志的識別方法，基于獲取的多條網(wǎng)絡(luò)日志包含的第一目的IP及目的端口，在IP及端口反向匹配規(guī)則集合中進行匹配查找，得到備選網(wǎng)絡(luò)日志集合和可疑惡意軟件哈希值集合；按相同源IP對備選網(wǎng)絡(luò)日志集合中的網(wǎng)絡(luò)日志進行分組，得到網(wǎng)絡(luò)日志分組集合；根據(jù)惡意軟件識別規(guī)則集合和可疑惡意軟件哈希值集合對網(wǎng)絡(luò)日志分組進行過濾，得到滿足第一預(yù)設(shè)條件的網(wǎng)絡(luò)日志子分組；確定網(wǎng)絡(luò)日志子分組所包含的兩條網(wǎng)絡(luò)日志的首尾時間間隔小于預(yù)設(shè)閾值時，判定與所述兩條網(wǎng)絡(luò)日志具有相同源IP的網(wǎng)絡(luò)日志被惡意軟件感染、且為與所述兩條網(wǎng)絡(luò)日志相對應(yīng)的哈希值所對應(yīng)的惡意軟件。本發(fā)明還同時公開了一種離線惡意軟件日志的識別裝置。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)，尤其涉及一種離線惡意軟件日志的識別方法和裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全問題逐步凸顯，其中以木馬、病毒、后門程序、廣告軟件等為代表的惡意軟件在數(shù)量、更新速度、使用技術(shù)等方面較之前都有了突飛猛進的發(fā)展，并且給互聯(lián)網(wǎng)用戶造成的影響和損失也在逐年增加。上述情況使得傳統(tǒng)的以文件哈希等靜態(tài)分析方法為代表的惡意軟件檢測方法越來越難以滿足要求，建立可以有效地對新型惡意軟件進行識別和控制的體系成為當前網(wǎng)絡(luò)安全最迫切的工作之一。

威脅情報是面向新的威脅形式，防御思路從過去的基于漏洞為中心的方法，進化成基于威脅為中心的方法的必然結(jié)果。威脅情報和大數(shù)據(jù)安全分析、基于攻擊鏈的縱深防御等思想一起正在形成新一代防御體系的基石。目前，基本威脅情報主要是針對互聯(lián)網(wǎng)協(xié)議(IP，Internet Protocol)地址、域名、統(tǒng)一資源定位符(URL，Uniform ResourceLocator)及軟件哈希等安全觀察對象的情報信息，比如軟件的靜態(tài)分析信息和運行信息等。此外，與惡意軟件關(guān)聯(lián)的IP地址、域名、URL等觀察對象也包含特有的威脅情報。例如，IP的威脅情報中包含有以下信息：1)IP地址的地理信息和自治系統(tǒng)(AS，Autonomous System)信息；2)IP地址關(guān)聯(lián)過的域名歷史；3)與IP地址通信過的惡意軟件及正常軟件的文件哈希列表；4)IP地址關(guān)聯(lián)的惡意網(wǎng)頁地址。而域名的威脅情報中包含有以下信息：1)域名的whois信息；2)域名的工信部備案信息；3)域名的關(guān)聯(lián)IP信息等。

針對惡意軟件網(wǎng)絡(luò)流量的識別，傳統(tǒng)的惡意軟件網(wǎng)絡(luò)流量的識別特征方法主要有以下兩種：

一是針對惡意軟件文件的靜態(tài)及沙盒分析識別方法，即通過反向工程分析惡意軟件的軟件運行邏輯，并通過沙盒運行獲取實際的惡意軟件網(wǎng)絡(luò)行為和可用的簽名特征；

二是采用傳統(tǒng)的IP、端口及深度包檢測(DPI，Deep Packet Inspection)技術(shù)的識別方法，即通過對惡意軟件網(wǎng)絡(luò)流量的抓包樣本進行分析，以提取簽名特征。

然而，以上兩種傳統(tǒng)的惡意軟件網(wǎng)絡(luò)流量識別方法存在以下共同的問題：

1)需要能夠獲取到惡意軟件樣本進行分析，然而惡意軟件樣本及變種數(shù)量龐大，更新迅速；

2)需要投入大量的人力進行樣本分析，對資源需求量大，且效率較低；

3)當惡意軟件綁定在正常軟件上時，流量樣本中包含大量正常流量，造成區(qū)分困難；

4)惡意軟件變種較多且更新較快，以上方案不能滿足及時性需求。

現(xiàn)有技術(shù)中，基于威脅情報的惡意軟件識別方法主要是針對收集到的IP、域名等觀察對象進行統(tǒng)計、過濾，形成IP和/或域名的黑名單，并根據(jù)黑名單進行實時或離線的威脅檢測。這種方法通過對僵尸網(wǎng)絡(luò)及惡意軟件基礎(chǔ)設(shè)施的識別，發(fā)揮了威脅情報的高效性及時效性的優(yōu)勢，但是同時存在以下問題：一方面，同一IP上可能同時關(guān)聯(lián)有多個網(wǎng)站及服務(wù)，此IP的部分流量為惡意流量，而另一部分流量則為正常流量，需要區(qū)分識別，單以一個IP或域名作為識別標準容易產(chǎn)生誤識別及假陽性(False Positive)的問題；另一方面，目前的僵尸網(wǎng)絡(luò)及惡意軟件網(wǎng)絡(luò)設(shè)施變化很快，單一IP及域名的情報可能失效，從而易產(chǎn)生誤識別及假陽性的問題。