本發明實施例公開了一種惡意軟件的檢測方法及裝置、計算機裝置及可讀存儲介質，涉及網絡安全領域，用于提高惡意軟件檢測的準確性。本發明實施例方法包括：獲取多個惡意軟件產生的網絡流量；基于網絡流量的統計特征對多個惡意軟件粗粒度聚類，得到第一聚類結果；基于網絡流量的內容特征對第一類聚類結果中的每一類惡意軟件細粒度聚類，得到第二聚類結果；為第二聚類結果中的每一類惡意軟件生成簽名，以利用簽名進行惡意軟件檢測。

技術領域

本發明涉及網絡安全領域，具體涉及一種惡意軟件的檢測方法及裝置、計算機裝置及可讀存儲介質。

背景技術

惡意軟件是指在計算機系統上執行惡意任務的病毒、蠕蟲和特洛伊木馬的程序，通過破壞軟件進程來實施控制。當前，惡意軟件泛濫嚴重，這些惡意軟件包含各種惡意行為，引發用戶的隱私泄露、經濟損失等安全問題。

為了保障網絡安全，需要找到檢測惡意軟件的可靠方法。目前對惡意軟件的檢測方法是對惡意軟件的HTTP通信流量進行檢測，具體的，是基于URI、域名的檢測方法，通過主動收集惡意的URI、域名構成黑名單，或者通過自動化分析惡意軟件提取流量中的URI構成黑名單。

現有技術的惡意軟件檢測方法是基于URL、域名等的精確匹配，缺乏泛化能力，并且未考慮到網絡流量的其他特征，因此制約了對同一家族惡意軟件進行檢測的準確性。

發明內容

本發明提供一種惡意軟件的檢測方法及裝置、計算機裝置及可讀存儲介質，用于解決現有技術提供的惡意軟件檢測方法準確性低的問題。

本發明實施例的一方面提供了一種惡意軟件的檢測方法，包括：

獲取多個惡意軟件產生的網絡流量；

基于所述網絡流量的統計特征對所述多個惡意軟件粗粒度聚類，得到第一聚類結果；

基于所述網絡流量的內容特征對所述第一類聚類結果中的每一類惡意軟件細粒度聚類，得到第二聚類結果；

為所述第二聚類結果中的每一類惡意軟件生成簽名，以利用所述簽名進行惡意軟件檢測。

結合第一方面，在第一方面的第一種可能的實現方式中，所述統計特征包括超文本傳輸協議HTTP請求數量、目標請求方法對應的HTTP消息數量、統一資源標識符URI的平均長度和HTTP響應數量中的一個或多個；

所述目標請求方法包括獲取GET、提交POST和刪除DELETE中的一個或多個。

結合第一方面或第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，所述為所述第二聚類結果中的每一類惡意軟件生成簽名包括：

將所述第二聚類結果中的每一類惡意軟件產生的網絡流量按照相似性進行分組；

為分組結果中每個組的所述網絡流量生成簽名。

結合第一方面的第二種可能的實現方式，在第一方面的第三種可能的實現方式中，所述為分組結果中每個組的所述網絡流量生成簽名包括：

步驟1：提取當前組的所述網絡流量的特征字符串；

步驟2：選取重復次數最多的所述特征字符串，和/或，所述特征字符串的公共字符串，為所述當前組的所述網絡流量生成簽名；

步驟3：重復步驟1和步驟2，直至為分組結果中每個組的所述網絡流量生成簽名。

本發明實施例的第二方面提供了一種惡意軟件的檢測裝置，包括：

獲取模塊，用于獲取多個惡意軟件產生的網絡流量；

第一聚類模塊，用于基于所述網絡流量的統計特征對所述多個惡意軟件粗粒度聚類，得到第一聚類結果；