[發(fā)明專利]一種基于網(wǎng)絡(luò)流量分類的惡意軟件識別方法、系統(tǒng)及電子設(shè)備在審

申請?zhí)枺?/td>	201810342718.7	申請日：	2018-04-17
公開（公告）號：	CN110392013A	公開（公告）日：	2019-10-29
發(fā)明（設(shè)計）人：	朱明一;葉可江;須成忠	申請（專利權(quán)）人：	深圳先進(jìn)技術(shù)研究院
主分類號：	H04L29/06	分類號：	H04L29/06
代理公司：	深圳市科進(jìn)知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44316	代理人：	趙勍毅
地址：	518055 廣東省深圳***	國省代碼：	廣東;44
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	惡意軟件識別網(wǎng)絡(luò)流量分類數(shù)據(jù)流電子設(shè)備惡意軟件流量分類流量樣本異常流量分類器采樣特征值提取隱私和安全數(shù)據(jù)訓(xùn)練正常流量三元組防火墻森林申請包頭
鉆瓜網(wǎng) 技術(shù)展會專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種基于網(wǎng)絡(luò)流量分類的惡意軟件識別方法，其特征在于，包括以下步驟：

步驟a：獲取正常流量作為流量樣本數(shù)據(jù)，通過所述流量樣本數(shù)據(jù)訓(xùn)練森林分類器；

步驟b：獲取通過防火墻的數(shù)據(jù)流，用<目的IP，目的端口，傳輸層協(xié)議>三元組對獲取的數(shù)據(jù)流進(jìn)行約束形成BoF，對所述BoF中的數(shù)據(jù)流進(jìn)行采樣，并對采樣得到的數(shù)據(jù)流包頭進(jìn)行特征值提??；

步驟c：將提取的特征值輸入森林分類器中進(jìn)行流量分類，如果流量分類結(jié)果是異常流量，對該異常流量對應(yīng)的惡意軟件進(jìn)行定位識別。

2.根據(jù)權(quán)利要求1所述的基于網(wǎng)絡(luò)流量分類的惡意軟件識別方法，其特征在于，在所述步驟a中，所述獲取正常流量作為流量樣本數(shù)據(jù)，通過流量樣本數(shù)據(jù)訓(xùn)練森林分類器具體為：對通過防火墻的正常流量進(jìn)行抓包，獲取流量樣本數(shù)據(jù)，通過分析軟件對所述流量樣本數(shù)據(jù)進(jìn)行分析，將<源IP，源端口，目的IP，目的端口>四元組相同的流量數(shù)據(jù)包定義為一個數(shù)據(jù)流，并對數(shù)據(jù)流的包頭進(jìn)行特征值提取，利用提取的特征值訓(xùn)練出m棵樹，形成森林分類器。

3.根據(jù)權(quán)利要求2所述的基于網(wǎng)絡(luò)流量分類的惡意軟件識別方法，其特征在于，所述提取的特征值分別為：來回傳輸?shù)臄?shù)據(jù)包的數(shù)量、來回傳輸?shù)臄?shù)據(jù)流的大小、來回數(shù)據(jù)流中數(shù)據(jù)包大小的最大值、最小值、平均值、標(biāo)準(zhǔn)差以及來回數(shù)據(jù)流中每個數(shù)據(jù)包之間的時間差的最大值、最小值、平均值、標(biāo)準(zhǔn)差，并利用<目的IP，目的端口，傳輸層協(xié)議>三元組約束將數(shù)據(jù)流劃分成BoF。

4.根據(jù)權(quán)利要求3所述的基于網(wǎng)絡(luò)流量分類的惡意軟件識別方法，其特征在于，在所述步驟c中，所述將提取的特征值輸入森林分類器中進(jìn)行流量分類具體包括：

定義H(i)＝ln(i)+0.5772156649，n為n個流量，

定義c(n)為

c(n)＝2H(n-1)-(2(n-1)/n)

用s來判斷該流量為異常流量的可能性：

上述公式中，h(x)為流量x離根節(jié)點的距離，E(h(x))為森林分類器中h(x)每棵樹的平均值；

如果s接近1，則判定該流量為惡意軟件生成的異常流量，將約束的整個BoF中同類型流量全部攔截，分析數(shù)據(jù)包payload部分，對惡意軟件的位置進(jìn)行定位識別，并將日志發(fā)送給管理員，如果下次遇到屬于該BoF的數(shù)據(jù)包，則直接丟棄。

5.根據(jù)權(quán)利要求4所述的基于網(wǎng)絡(luò)流量分類的惡意軟件識別方法，其特征在于，在所述步驟c中，所述將提取的特征值輸入森林分類器中進(jìn)行流量分類還包括：

如果s遠(yuǎn)小于0.5，則判斷該流量是正常流量，放行該正常流量對應(yīng)的整個BOF，并將該正常流量加入白名單，下次遇到與該正常流量同一類型的流量時不再進(jìn)行流量分類；

如果s接近0.5，通過防火墻攔截應(yīng)用的數(shù)據(jù)包，并利用已有的惡意數(shù)據(jù)特征對數(shù)據(jù)包進(jìn)行分析，如果數(shù)據(jù)包里有惡意信息，則認(rèn)為該流量是惡意軟件產(chǎn)生的異常流量，按照異常流量的處理方式進(jìn)行惡意軟件的定位識別，下次遇到屬于該BoF的時直接丟棄數(shù)據(jù)包；如果數(shù)據(jù)包里沒有惡意信息，則正常放行該流量，并通過數(shù)據(jù)包內(nèi)的關(guān)鍵字搜索應(yīng)用的相關(guān)信息，判斷該應(yīng)用是否是安全應(yīng)用，在下次遇到時再次進(jìn)行流量分類。

6.一種基于網(wǎng)絡(luò)流量分類的惡意軟件識別系統(tǒng)，其特征在于，包括：

樣本獲取模塊：用于獲取正常流量作為流量樣本數(shù)據(jù)；

分類器訓(xùn)練模塊：用于通過所述流量樣本數(shù)據(jù)訓(xùn)練森林分類器；

流量獲取模塊：用于獲取通過防火墻的數(shù)據(jù)流；

流量分析模塊：用于用<目的IP，目的端口，傳輸層協(xié)議>三元組對獲取的數(shù)據(jù)流進(jìn)行約束形成BoF，對所述BoF中的數(shù)據(jù)流進(jìn)行采樣，并對采樣得到的數(shù)據(jù)流包頭進(jìn)行特征值提取；

流量分類模塊：用于將提取的特征值輸入森林分類器中進(jìn)行流量分類，如果流量分類結(jié)果是異常流量，對該異常流量對應(yīng)的惡意軟件進(jìn)行定位識別。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深圳先進(jìn)技術(shù)研究院，未經(jīng)深圳先進(jìn)技術(shù)研究院許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201810342718.7/1.html，轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。