本申請涉及一種基于網絡流量分類的惡意軟件識別方法、系統及電子設備。所述基于網絡流量分類的惡意軟件識別方法包括：步驟a：獲取正常流量作為流量樣本數據，通過所述流量樣本數據訓練森林分類器；步驟b：獲取通過防火墻的數據流，用<目的IP，目的端口，傳輸層協議>三元組對獲取的數據流進行約束形成BoF，對所述BoF中的數據流進行采樣，并對采樣得到的數據流包頭進行特征值提取；步驟c：將提取的特征值輸入森林分類器中進行流量分類，如果流量分類結果是異常流量，對該異常流量對應的惡意軟件進行定位識別。本申請能夠有效的提高基于網絡流量分類的惡意軟件識別的速度和精確度，同時在識別和定位惡意軟件之前預先保護了用戶的隱私和安全。

技術領域

本申請屬于惡意軟件識別技術領域，特別涉及一種基于網絡流量分類的惡意軟件識別方法、系統及電子設備。

背景技術

隨著互聯網的高速發展，人類進入了信息化時代，網絡的傳播速度最近幾年有了巨大的提升，每時每刻都有大量的數據在網絡上傳播，每個人每天都會產生大量的流量，人們的生活因為互聯網的發展得到了巨大的進步。企業也得益于網絡的快速發展，可以異地辦公，獲取更多有用的信息，從而獲得巨大的收益。但是隨著傳播的數據量的增加，同樣也誕生了許多惡意軟件，危害著廣大互聯網用戶的安全。尤其對于企業來說，如果企業數據遭到惡意軟件的破壞或因為惡意軟件推遲了工作，會對企業造成巨大的損失。

惡意軟件(俗稱“流氓軟件”)是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權益的軟件。惡意軟件會惡意收集用戶信息(指未明確提示用戶或未經用戶許可，惡意收集用戶信息的行為；a)收集用戶信息時，未提示用戶有收集信息的行為；b)未提供用戶選擇是否允許收集信息的選項；c)用戶無法查看自己被收集的信息)，這些惡意收集的用戶信息中可能包含了機密信息，一旦泄露出去會對用戶造成巨大的損失。惡意軟件還可能會捆綁一些軟件，強制在后臺安裝垃圾應用，使用戶的計算機運行十分緩慢，拖慢工作的進度，或者惡意刪除用戶的數據，破壞用戶的計算機。

網絡流量分類是指按照網絡的應用類型，將基于TCP/IP協議的網絡通信產生的雙向UDP(User Datagram Protocol，用戶數據報協議)流或TCP(Transmission ControlProtocol，傳輸控制協議)流進行分類，能夠有效的處理很多網絡安全問題，包括合法截取和入侵檢測等。例如，網絡流量分類可以用作檢測服務攻擊、蠕蟲病毒傳播、網站入侵、垃圾郵件傳播等。此外，網絡流量分類在現代網絡管理體系中同樣扮演著極其重要的作用，如服務質量控制(QoS)。

袁振龍提出了《一種基于深度學習的Android平臺惡意應用檢測方法及裝置》，在該方法中將機器學習應用到了惡意應用的檢測中去。張庚提出了《一種網絡流量分類方法》，將機器學習應用到了流量分類中去。易運輝提出了《基于網絡流量分析的安卓惡意軟件實時檢測方法》將流量分析應用到安卓惡意軟件的檢測上去。

然而，現有技術中對于惡意軟件的檢測只停留在對軟件本身進行分類，大多是對軟件文件實體、軟件安裝文件進行反匯編，對惡意代碼提取特征值。這樣大大加深了檢測的技術難度和工作量，而且只有在獲得該惡意軟件的二進制文件時才可以判斷，而不能主動發現新的惡意軟件。

同樣也有對于網絡流量分析的檢測方法，但是主要對特定端口的流量進行分析，對于隨機端口或者端口加密的應用效果不好，并且對于每個包的payload部分也進行提取特征值，使得計算量大大增加，降低了運行速度，實時性無法保障，同時也因為獲取用戶傳輸的數據而侵犯了用戶的隱私。

還有對于DNS(Domain Name System，域名系統)請求的域名特征，使用第三方的域名檢測服務器進行檢測，這種模型完全依賴于第三方域名檢測服務器的準確性。

發明內容

本申請提供了一種基于網絡流量分類的惡意軟件識別方法、系統及電子設備，旨在至少在一定程度上解決現有技術中的上述技術問題之一。