本發明公開了一種基于流量的自反饋惡意軟件監測系統和方法，包括以下步驟：步驟1、獲取HTTP流量，對良性域名的所述HTTP流量進行過濾；步驟2、清洗過濾掉源自瀏覽器的所述HTTP流量；步驟3、與指紋特征庫進行對比，直接識別；步驟4、對不能識別的所述HTTP流量進行流化處理，對流進行聚類；步驟5、檢測分析；步驟6、對檢測結果進行驗證，計算并監測誤報率；步驟7、所述誤報率超過設定的閾值時，對模型進行反饋訓練調整；步驟8、循環執行所述步驟1至所述步驟7。本發明可以高效監測惡意軟件，并且可適應不斷變化的動態流量環境，能夠應對當前惡意軟件不斷變化發展的趨勢。

技術領域

本發明涉及計算機網絡安全領域，特別涉及一種基于流量的自反饋惡意軟件監測系統和方法。

背景技術

互聯網安全問題一直是全球范圍內的重要議題。隨著新型網絡攻擊方式的快速發展，互聯網的安全威脅正在日益激化。惡意軟件作為主要網絡威脅之一，極可能導致其所在的整個網絡系統遭受攻擊，造成敏感信息的泄露，這也使得在網絡系統中，對惡意軟件準確及時的識別與分類變得日益重要。

對于組織機構而言，一個內部人員的疏忽而引入的惡意軟件可能最終造成不可預料的損失。如何在其整個網絡系統環境中有效檢測惡意軟件已經成為了共同的話題。然而目前的惡意軟件的檢測的主要方式仍為單機檢測，即檢測系統需要部署在單個設備上進行工作。這種方式對于擁有較大網絡系統的機構來說缺乏可行性，且難以保證全面部署。而企業當中常用的網絡流量檢測方式通常是針對來自外部的一些攻擊，其對于惡意軟件的檢測往往為了確保實時性只是使用了一些黑名單、簽名匹配等機制進行判別，因此精確度和對變化的適應性不高。對于這些系統而言，需要一個在檢測范圍、實時性和精確性上做到兼備的惡意軟件檢測方案。

HTTP流量是軟件進行通信的最常用的一種方式?？ò退够鶊蟾骘@示，近年來，雖然越來越多的應用程序已經從HTTP切換到HTTPS，截至2018年1月，有近63％的應用程序正在使用HTTPS，但是其中大多數仍沒有放棄使用HTTP。據統計數據所示，目前仍有將近90％的應用程序正在使用HTTP，其中許多人的敏感數據正在被未加密地傳輸。

發明內容

本發明所要解決的技術問題是目前對于惡意軟件的檢測方法仍存在的檢測范圍有限、精確度和對變化的適應性不高的問題。本發明的目的在于提出一種基于流量的自反饋惡意軟件監測系統和方法，系統部署于網關獲取網絡流量，通過遷移學習和反饋學習提升檢測的準確率，保證其面對變化的流量環境和發展的惡意軟件而保持有效性。

為實現上述目的，本發明提供了一種基于流量的自反饋惡意軟件監測方法，包括以下步驟：

步驟1、獲取HTTP流量，進行數據預處理；對良性域名的所述HTTP流量進行過濾；

步驟2、清洗過濾掉源自瀏覽器的所述HTTP流量；

步驟3、經過所述步驟1、2的過濾后，再提取剩下的所述HTTP流量的指紋，與指紋特征庫進行對比，直接識別已知種類的所述HTTP流量；

步驟4、對不能直接識別的未知種類所述HTTP流量進行流化處理，然后對流進行聚類；

步驟5、對聚類后的所述HTTP流量進行檢測分析；

步驟6、系統使用在線檢測工具對檢測結果中的惡意流量進行驗證，計算并監測誤報率，并將驗證后的數據結果加入到樣本庫當中進行更新，同時更新所述指紋特征庫；

步驟7、當監測到所述步驟6中所述誤報率超過設定的閾值時，使用更新了的所述樣本庫對卷積神經網絡檢測模型進行反饋訓練調整，更新所述指紋特征庫；

步驟8、循環執行所述步驟1至所述步驟7。

進一步地，在所述步驟1中，通過運行于網關的流量抓取模塊來抓取所述HTTP流量。