[發(fā)明專利]一種基于流量的自反饋惡意軟件監(jiān)測系統(tǒng)和方法有效
| 申請?zhí)枺?/td> | 201911161704.6 | 申請日: | 2019-11-22 |
| 公開(公告)號: | CN110839042B | 公開(公告)日: | 2021-08-03 |
| 發(fā)明(設(shè)計)人: | 鄒福泰;王林;肖佳偉;劉運卓;尹凱濤;吳越 | 申請(專利權(quán))人: | 上海交通大學 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L29/08 |
| 代理公司: | 上海旭誠知識產(chǎn)權(quán)代理有限公司 31220 | 代理人: | 鄭立 |
| 地址: | 200240 *** | 國省代碼: | 上海;31 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 流量 反饋 惡意 軟件 監(jiān)測 系統(tǒng) 方法 | ||
1.一種基于流量的自反饋惡意軟件監(jiān)測方法,其特征在于,包括以下步驟:
步驟1、獲取HTTP流量,進行數(shù)據(jù)預處理;對良性域名的所述HTTP流量進行過濾;
步驟2、清洗過濾掉源自瀏覽器的所述HTTP流量;
步驟3、經(jīng)過所述步驟1、2的過濾后,再提取剩下的所述HTTP流量的指紋,與指紋特征庫進行對比,直接識別已知種類的所述HTTP流量;
步驟4、對不能直接識別的未知種類所述HTTP流量進行流化處理,然后對流進行聚類;
步驟5、對聚類后的所述HTTP流量進行檢測分析;
步驟6、系統(tǒng)使用在線檢測工具對檢測結(jié)果中的惡意流量進行驗證,計算并監(jiān)測誤報率,并將驗證后的數(shù)據(jù)結(jié)果加入到樣本庫當中進行更新,同時更新所述指紋特征庫;
步驟7、當監(jiān)測到所述步驟6中所述誤報率超過設(shè)定的閾值時,使用更新了的所述樣本庫對卷積神經(jīng)網(wǎng)絡(luò)檢測模型進行反饋訓練調(diào)整,更新所述指紋特征庫;
步驟8、循環(huán)執(zhí)行所述步驟1至所述步驟7;
在所述步驟1之前,利用獲取的HTTP歷史流量樣本數(shù)據(jù)集,使用深度學習卷積神經(jīng)網(wǎng)絡(luò)CNN訓練出所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型;在檢測的初期,對所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型進行遷移學習調(diào)整:通過所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型對輸入數(shù)據(jù)進行檢測,識別出所述惡意軟件流量后,通過引入外部指導的方式,對識別結(jié)果進行二次判斷,通過該判斷結(jié)果來對所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型進行訓練調(diào)整。
2.如權(quán)利要求1所述的基于流量的自反饋惡意軟件監(jiān)測方法,其特征在于,在所述步驟1中,通過運行于網(wǎng)關(guān)的流量抓取模塊來抓取所述HTTP流量。
3.如權(quán)利要求1所述的基于流量的自反饋惡意軟件監(jiān)測方法,其特征在于,在所述步驟1中,使用Alexa白名單對所述良性域名的所述HTTP流量進行過濾。
4.如權(quán)利要求1所述的基于流量的自反饋惡意軟件監(jiān)測方法,其特征在于,在所述步驟2中,通過使用網(wǎng)絡(luò)請求圖算法對HTTP請求關(guān)系圖進行重構(gòu),根據(jù)瀏覽器HTTP流量的特性區(qū)分出所述源自瀏覽器的所述HTTP流量與后臺軟件流量。
5.如權(quán)利要求1所述的基于流量的自反饋惡意軟件監(jiān)測方法,其特征在于,在所述步驟4中,根據(jù)IP和User-Agent字段對流進行所述聚類。
6.如權(quán)利要求1所述的基于流量的自反饋惡意軟件監(jiān)測方法,其特征在于,在所述步驟5中,使用所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型對所述HTTP流量數(shù)據(jù)進行分析判斷,獲得所述惡意軟件判斷結(jié)果。
7.如權(quán)利要求1所述的基于流量的自反饋惡意軟件監(jiān)測方法,其特征在于,在所述步驟6中的所述在線檢測工具為VirusTotal。
8.如權(quán)利要求1所述的基于流量的自反饋惡意軟件監(jiān)測方法,其特征在于,所述步驟6還包括,將結(jié)果以所述惡意軟件所在的主機IP,通信端口,使用的User-Agent,對外通信的服務器IP的四元組信息的形式報告用戶。
9.一種基于流量的自反饋惡意軟件監(jiān)測系統(tǒng),其特征在于,包括數(shù)據(jù)預處理模塊、檢測分析模塊、前期訓練模塊和反饋訓練模塊;
所述數(shù)據(jù)預處理模塊包括:
a)讀取從網(wǎng)關(guān)處抓取的流量包,使用白名單過濾部分流量;
b)還原HTTP請求關(guān)系圖,通過請求行為特征識別并過濾瀏覽器流量;
c)通過HTTP請求的特征指紋識別不同的軟件,過濾已知的良性軟件或惡意軟件;
d)以IP+User-Agent的對話流為單位重組流量;
e)以上一步驟中重組后的流量作為所述檢測分析模塊的輸入;
所述檢測分析模塊包括:
a)使用卷積神經(jīng)網(wǎng)絡(luò)檢測模型對流量數(shù)據(jù)進行分析判斷,獲得惡意軟件判斷結(jié)果;
b)使用在線檢測工具對檢測結(jié)果中的惡意流量進行驗證,并將驗證后的數(shù)據(jù)結(jié)果加入到樣本庫當中;
所述前期訓練模塊包括:
a)系統(tǒng)初次部署后,利用深度學習卷積神經(jīng)網(wǎng)絡(luò)CNN訓練出所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型,通過所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型對實際環(huán)境中的流量進行檢測,在檢測出惡意對象后對所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型的檢測結(jié)果進行判斷處理,并利用處理后的結(jié)果對所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型進行訓練調(diào)整;
所述反饋訓練模塊包括:
a)系統(tǒng)設(shè)定誤報率閾值,當誤報率超過所述誤報率閾值時,再使用所述樣本庫中更新后的樣本數(shù)據(jù)對所述卷積神經(jīng)網(wǎng)絡(luò)檢測模型進行訓練調(diào)整,同時更新指紋特征庫。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于上海交通大學,未經(jīng)上海交通大學許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911161704.6/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強方法、惡意程序檢測方法及對應裝置
- 惡意語音樣本的確定方法、裝置、計算機設(shè)備和存儲介質(zhì)
