本發明公開了基于網絡流量多視圖融合的惡意軟件檢測方法及系統，包括：獲取網絡流量樣本數據，建立神經網絡模型；將網絡流量樣本數據的HTTP網絡流量請求頭、HTTP網絡流量URL字段和TCP網絡流量統計特征作為神經網絡模型的輸入值，輸入到神經網絡模型中，對神經網絡模型進行訓練，得到訓練好的神經網絡模型；獲取待測網絡流量數據，待測網絡流量數據，包括：HTTP網絡流量請求頭、HTTP網絡流量URL字段和TCP網絡流量統計特征；將待測網絡流量數據的HTTP網絡流量請求頭、HTTP網絡流量URL字段和TCP網絡流量統計特征輸入到訓練好的神經網絡模型中，輸出檢測結果是惡意軟件還是正常軟件。

技術領域

本發明涉及基于網絡流量多視圖融合的惡意軟件檢測方法及系統。

背景技術

近年來，隨著移動網絡惡意軟件的規模和多樣性不斷增加，給用戶的財產和個人隱私帶來了相當大的威脅。根據對各種惡意軟件的惡意行為研究，將現有的移動惡意軟件檢測方法分為三類，分別是基于惡意代碼的靜態檢測、基于系統惡意調用的動態檢測、基于網絡行為的流量檢測。基于惡意代碼的靜態檢測通過反編譯apk文件提取靜態代碼特征與特征庫進行匹配；基于系統惡意調用的動態檢測通過運行應用程序并利用污點方式記錄系統調用行為以達到檢測惡意應用的目的；基于網絡行為的流量檢測通過分析網絡流量特征結合機器學習來發現未知的惡意應用。然而，這三種方法都存在著不足之處，靜態檢測對未知的惡意應用的發現能力不足；動態檢測方法部署困難，工程繁瑣并且消耗大量資源；流量檢測相比另外兩種檢測方法具有輕量級結構、可大規模部署等特點。

根據網絡行為特征，流量檢測又可以分為三類。基于網絡簽名的方法根據預先確定的網絡簽名來評估惡意軟件，但是對于未知的惡意攻擊發現能力不足；基于統計特征的方法根據平均數據包大小，平均流量持續時間，傳入到傳出字節的字節等特征建模以識別惡意應用，因為統計特征的方法僅以粗略的方式表征網絡流量，因此可能會導致比較高的誤判率；基于詞匯特征的方法則利用有效且豐富的文本特征來檢測惡意應用。

一般來說，大多數基于網絡流量和機器學習算法的惡意軟件識別方法都會過分依賴于特征，而從網絡流量中提取表征惡意行為的有效特征是非常困難的。流量特征的代表性不夠，訓練出的模型就可能存在識別效率低、惡意應用發現能力差、誤判率高等問題。

發明內容

為了解決現有技術的不足，本發明提供了基于網絡流量多視圖融合的惡意軟件檢測方法及系統，利用深度學習框架的特征自動發現和網絡流量特征的多視圖融合，充分改善惡意流量檢測特征選擇困難、識別率低等問題；

為了解決上述技術問題，本發明采用如下技術方案：

作為本發明的第一方面，提供了基于網絡流量多視圖融合的惡意軟件檢測方法；

基于網絡流量多視圖融合的惡意軟件檢測方法，包括：

獲取網絡流量樣本數據，從網絡流量樣本數據中提取HTTP網絡流量請求頭、HTTP網絡流量URL字段和TCP網絡流量統計特征；

建立神經網絡模型；

將網絡流量樣本數據的HTTP網絡流量請求頭、HTTP網絡流量URL字段和TCP網絡流量統計特征作為神經網絡模型的輸入值，輸入到神經網絡模型中，對神經網絡模型進行訓練，得到訓練好的神經網絡模型；

獲取待測網絡流量數據，待測網絡流量數據，包括：HTTP網絡流量請求頭、HTTP網絡流量URL字段和TCP網絡流量統計特征；

將待測網絡流量數據的HTTP網絡流量請求頭、HTTP網絡流量URL字段和TCP網絡流量統計特征輸入到訓練好的神經網絡模型中，輸出檢測結果是惡意軟件還是正常軟件。

進一步的，所述神經網絡模型，是卷積神經網絡CNN、GRU神經網絡、循環神經網絡RNN或長短期記憶網絡LSTM。