一種用于惡意網(wǎng)絡(luò)行為檢測(cè)的方法和裝置制造方法
【專利摘要】本發(fā)明涉及一種用于惡意網(wǎng)絡(luò)行為檢測(cè)的方法和裝置��,該裝置包括:計(jì)算模塊�����,用于根據(jù)多個(gè)行為類別各自的特征參數(shù)�,計(jì)算待檢測(cè)的網(wǎng)絡(luò)行為與所述多個(gè)行為類別的每一個(gè)的相關(guān)程度值��,得到多個(gè)相關(guān)程度值��,其中�����,所述多個(gè)行為類別包括正常行為類別和至少一個(gè)惡意行為類別,所述多個(gè)行為類別各自的特征參數(shù)預(yù)先利用已知的惡意網(wǎng)絡(luò)行為和正常網(wǎng)絡(luò)行為作為訓(xùn)練樣本訓(xùn)練得到��;以及�,確定模塊,用于根據(jù)所述多個(gè)相關(guān)程度值中的最大相關(guān)程度值是所述待檢測(cè)的網(wǎng)絡(luò)行為與所述正常行為類別的相關(guān)程度值還是所述待檢測(cè)的網(wǎng)絡(luò)行為與所述至少一個(gè)惡意行為類別的其中之一的相關(guān)程度值����,確定所述待檢測(cè)的行為屬于正常網(wǎng)絡(luò)行為或惡意網(wǎng)絡(luò)行為。利用該方法和裝置����,能夠提高對(duì)惡意網(wǎng)絡(luò)行為檢測(cè)的準(zhǔn)確性。
【專利說(shuō)明】-種用于惡意網(wǎng)絡(luò)行為檢測(cè)的方法和裝置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�����,尤其涉及一種用于惡意網(wǎng)絡(luò)行為檢測(cè)的方法和裝置���。
【背景技術(shù)】
[0002] 隨著移動(dòng)通信技術(shù)的進(jìn)步��,移動(dòng)互聯(lián)網(wǎng)得到了廣泛發(fā)展��。隨之而來(lái)地��,也出現(xiàn)了許 多針對(duì)移動(dòng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊�����,這對(duì)移動(dòng)互聯(lián)網(wǎng)和移動(dòng)終端產(chǎn)生了極大的威脅��。
[0003] 傳統(tǒng)上�����,使用基于簽名的匹配技術(shù)來(lái)檢測(cè)移動(dòng)互聯(lián)網(wǎng)中的惡意網(wǎng)絡(luò)行為�����。然而�,惡 意網(wǎng)絡(luò)行為并不是固定不變的,通常攻擊者會(huì)對(duì)惡意網(wǎng)絡(luò)行為做一些小的改變從而產(chǎn)生多 態(tài)和變形的惡意網(wǎng)絡(luò)行為��,但是����,使用基于簽名的匹配技術(shù)并不能有效檢測(cè)多態(tài)和變形的 惡意網(wǎng)絡(luò)行為���。
[0004] 為此���,人們提出了許多數(shù)據(jù)挖掘技術(shù)來(lái)檢測(cè)多態(tài)和變形的惡意網(wǎng)絡(luò)行為���。雖然相 對(duì)于基于簽名的匹配技術(shù),目前的數(shù)據(jù)挖掘技術(shù)能夠更為有效地檢測(cè)多態(tài)和變形的惡意網(wǎng) 絡(luò)行為��,但是檢測(cè)的準(zhǔn)確性仍然不夠高�����,時(shí)常會(huì)出現(xiàn)誤檢的情形�。
【發(fā)明內(nèi)容】
[0005] 考慮到現(xiàn)有技術(shù)的上述問(wèn)題,本發(fā)明實(shí)施例提出一種用于惡意網(wǎng)絡(luò)行為檢測(cè)的方 法和裝置��,其能夠提高對(duì)惡意網(wǎng)絡(luò)行為檢測(cè)的準(zhǔn)確性����。
[0006] 按照本發(fā)明實(shí)施例的一種用于惡意網(wǎng)絡(luò)行為檢測(cè)的方法,包括:根據(jù)多個(gè)行為類 別各自的特征參數(shù)��,計(jì)算待檢測(cè)的網(wǎng)絡(luò)行為與所述多個(gè)行為類別的每一個(gè)的相關(guān)程度值����, 得到多個(gè)相關(guān)程度值,其中�����,所述多個(gè)行為類別包括正常行為類別和至少一個(gè)惡意行為類 另IJ,所述多個(gè)行為類別各自的特征參數(shù)預(yù)先利用已知的惡意網(wǎng)絡(luò)行為和正常網(wǎng)絡(luò)行為作為 訓(xùn)練樣本訓(xùn)練得到�����;以及���,根據(jù)所述多個(gè)相關(guān)程度值中的最大相關(guān)程度值是所述待檢測(cè)的 網(wǎng)絡(luò)行為與所述正常行為類別的相關(guān)程度值還是所述待檢測(cè)的網(wǎng)絡(luò)行為與所述至少一個(gè) 惡意行為類別的其中之一的相關(guān)程度值��,確定所述待檢測(cè)的行為屬于正常網(wǎng)絡(luò)行為或惡意 網(wǎng)絡(luò)行為��。
[0007] 其中�,所述方法還包括:根據(jù)所述待檢測(cè)的網(wǎng)絡(luò)行為的行為特點(diǎn)�,判定所述待檢測(cè) 的網(wǎng)絡(luò)行為所屬的行為種類;以及����,從分別對(duì)應(yīng)于不同的行為種類的多個(gè)行為識(shí)別模型中, 選擇與所判定的行為種類對(duì)應(yīng)的行為識(shí)別模型�����,其中���,所述多個(gè)行為識(shí)別模型的每一個(gè)包 括所述多個(gè)行為類別各自的特征參數(shù)���,其中,所述計(jì)算進(jìn)一步包括:根據(jù)所選擇的行為識(shí)別 模型所包括的所述多個(gè)行為類別各自的特征參數(shù)�����,計(jì)算所述待檢測(cè)的行為與所述多個(gè)行為 類別的每一個(gè)的相關(guān)程度值���,得到所述多個(gè)相關(guān)程度值�����。
[0008] 其中����,所述方法還包括:將作為所述訓(xùn)練樣本的所述已知的惡意網(wǎng)絡(luò)行為和正常 網(wǎng)絡(luò)行為劃分為多個(gè)行為組�,其中每一個(gè)行為組中的網(wǎng)絡(luò)行為屬于相同的行為種類;利用 聚類算法將所述多個(gè)行為組中的每一個(gè)行為組所包括的網(wǎng)絡(luò)行為聚類為多個(gè)子行為組����,每 一個(gè)子行為組所包括的網(wǎng)絡(luò)行為屬于所述多個(gè)行為類別的其中一個(gè);以及����,利用多分類器 訓(xùn)練算法分別對(duì)所述多個(gè)行為組中的每一個(gè)行為組所包括的各個(gè)子行為組中的網(wǎng)絡(luò)行為 進(jìn)行訓(xùn)練����,得到所述多個(gè)行為識(shí)別模型��。
[0009] 其中�,所述待檢測(cè)的網(wǎng)絡(luò)行為被確定所屬的行為與所述待檢測(cè)的網(wǎng)絡(luò)行為實(shí)際所 屬的行為不相同,以及����,所述方法還包括:計(jì)算所述多個(gè)相關(guān)程度值中除了所述最大相關(guān)程 度值之外的其它相關(guān)程度值的乘積;檢查所述最大相關(guān)程度值與所計(jì)算的乘積的比值是否 大于指定閾值�����;以及����,如果檢查結(jié)果為肯定,則利用增量學(xué)習(xí)算法使用所述待檢測(cè)的網(wǎng)絡(luò)行 為進(jìn)行自學(xué)習(xí)訓(xùn)練��,以更新所述多個(gè)行為識(shí)別模型�。
[0010] 其中,所述行為種類包括傳播行為、遠(yuǎn)程控制行為�����、攻擊行為�。
[0011] 按照本發(fā)明實(shí)施例的一種用于惡意網(wǎng)絡(luò)行為檢測(cè)的裝置�����,包括:計(jì)算模塊���,用于根 據(jù)多個(gè)行為類別各自的特征參數(shù)���,計(jì)算待檢測(cè)的網(wǎng)絡(luò)行為與所述多個(gè)行為類別的每一個(gè)的 相關(guān)程度值,得到多個(gè)相關(guān)程度值�����,其中�����,所述多個(gè)行為類別包括正常行為類別和至少一個(gè) 惡意行為類別����,所述多個(gè)行為類別各自的特征參數(shù)預(yù)先利用已知的惡意網(wǎng)絡(luò)行為和正常網(wǎng) 絡(luò)行為作為訓(xùn)練樣本訓(xùn)練得到����;以及���,確定模塊����,用于根據(jù)所述多個(gè)相關(guān)程度值中的最大相 關(guān)程度值是所述待檢測(cè)的網(wǎng)絡(luò)行為與所述正常行為類別的相關(guān)程度值還是所述待檢測(cè)的 網(wǎng)絡(luò)行為與所述至少一個(gè)惡意行為類別的其中之一的相關(guān)程度值��,確定所述待檢測(cè)的行為 屬于正常網(wǎng)絡(luò)行為或惡意網(wǎng)絡(luò)行為��。
[0012] 其中��,所述裝置還包括:判定模塊���,用于根據(jù)所述待檢測(cè)的網(wǎng)絡(luò)行為的行為特點(diǎn)�, 判定所述待檢測(cè)的網(wǎng)絡(luò)行為所屬的行為種類��;以及��,選擇模塊����,用于從分別對(duì)應(yīng)于不同的行 為種類的多個(gè)行為識(shí)別模型中�,選擇與所判定的行為種類對(duì)應(yīng)的行為識(shí)別模型����,其中,所述 多個(gè)行為識(shí)別模型的每一個(gè)包括所述多個(gè)行為類別各自的特征參數(shù)�����,其中��,所述計(jì)算模塊 進(jìn)一步用于:根據(jù)所選擇的行為識(shí)別模型所包括的所述多個(gè)行為類別各自的特征參數(shù)���,計(jì) 算所述待檢測(cè)的行為與所述多個(gè)行為類別的每一個(gè)的相關(guān)程度值,得到所述多個(gè)相關(guān)程度 值���。
[0013] 其中����,所述裝置還包括:劃分模塊����,用于將作為所述訓(xùn)練樣本的所述已知的惡意網(wǎng) 絡(luò)行為和正常網(wǎng)絡(luò)行為劃分為多個(gè)行為組,其中每一個(gè)行為組中的網(wǎng)絡(luò)行為屬于相同的行 為種類;聚類模塊���,用于利用聚類算法將所述多個(gè)行為組中的每一個(gè)行為組所包括的網(wǎng)絡(luò) 行為聚類為多個(gè)子行為組����,每一個(gè)子行為組所包括的網(wǎng)絡(luò)行為屬于所述多個(gè)行為類別的其 中一個(gè)�;以及,訓(xùn)練模塊�,用于利用多分類器訓(xùn)練算法分別對(duì)所述多個(gè)行為組中的每一個(gè)行 為組所包括的各個(gè)子行為組中的網(wǎng)絡(luò)行為進(jìn)行訓(xùn)練,得到所述多個(gè)行為識(shí)別模型�。
[0014] 其中,所述待檢測(cè)的網(wǎng)絡(luò)行為被確定所屬的行為與所述待檢測(cè)的網(wǎng)絡(luò)行為實(shí)際所 屬的行為不相同����,以及,所述裝置還包括:
[0015] 相乘模塊��,用于計(jì)算所述多個(gè)相關(guān)程度值中除了所述最大相關(guān)程度值之外的其它 相關(guān)程度值的乘積���;檢查模塊��,用于檢查所述最大相關(guān)程度值與所計(jì)算的乘積的比值是否 大于指定閾值�����;以及�����,更新模塊���,用于如果檢查結(jié)果為肯定�,則利用增量學(xué)習(xí)算法使用所述 待檢測(cè)的網(wǎng)絡(luò)行為進(jìn)行自學(xué)習(xí)訓(xùn)練�����,以更新所述多個(gè)行為識(shí)別模型���。
[0016] 從上面的描述可以看出,本發(fā)明實(shí)施例的方案將網(wǎng)絡(luò)行為的類別劃分為包括正常 行為類別和若干惡意行為類別在內(nèi)的兩個(gè)以上行為類別�����,而不是如現(xiàn)有技術(shù)那樣的將網(wǎng)絡(luò) 行為的類別僅劃分為正常行為類別和惡意行為類別的兩個(gè)行為類別�。網(wǎng)絡(luò)行為類別劃分越 細(xì),就能減少不同類別的行為之間的干擾��,對(duì)待檢測(cè)的行為的檢測(cè)越準(zhǔn)確���,因此����,與現(xiàn)有技 術(shù)相比,本發(fā)明實(shí)施例的方案能夠提高對(duì)惡意網(wǎng)絡(luò)行為檢測(cè)的準(zhǔn)確性�。
【專利附圖】
【附圖說(shuō)明】
[0017] 本發(fā)明的其它特征、特點(diǎn)����、優(yōu)點(diǎn)和益處通過(guò)以下結(jié)合附圖的詳細(xì)描述將變得更加 顯而易見。
[0018] 圖1示出了按照本發(fā)明一個(gè)實(shí)施例的多分類器訓(xùn)練過(guò)程的示意圖�。
[0019] 圖2示出了按照本發(fā)明一個(gè)實(shí)施例的行為分析過(guò)程的示意圖。
[0020] 圖3示出了按照本發(fā)明一個(gè)實(shí)施例的自學(xué)習(xí)過(guò)程的示意圖���。
[0021] 圖4示出了按照本發(fā)明一個(gè)實(shí)施例的用于惡意網(wǎng)絡(luò)行為檢測(cè)的裝置的示意圖�����。
[0022] 圖5示出了按照本發(fā)明一個(gè)實(shí)施例的用于惡意網(wǎng)絡(luò)行為檢測(cè)的設(shè)備的示意圖�。
【具體實(shí)施方式】
[0023] 下面���,將結(jié)合附圖詳細(xì)本發(fā)明的各個(gè)實(shí)施例���。
[0024]在本發(fā)明的實(shí)施例中����,使用數(shù)據(jù)元組X={Xl�,x2,. . .,xk} (k為整數(shù))來(lái)表征網(wǎng)絡(luò)行 為�,其中,Xl�,x2, ...,xk分別用于描述網(wǎng)絡(luò)行為的不同特征屬性��,其可以基于與網(wǎng)絡(luò)行為相 關(guān)的分組取得���。例如���,Xl,x2, ...�����,xk可以是與網(wǎng)絡(luò)行為相關(guān)的分組的TCP/IP頭和應(yīng)用層協(xié) 議頭中的關(guān)鍵字段�、與網(wǎng)絡(luò)行為相關(guān)的分組的統(tǒng)計(jì)學(xué)信息(例如�����,頻次)和與網(wǎng)絡(luò)行為相關(guān) 的分組的主體部分中的關(guān)鍵字等。與網(wǎng)絡(luò)行為相關(guān)的分組可以從移動(dòng)終端���、移動(dòng)互聯(lián)網(wǎng)中 的網(wǎng)關(guān)設(shè)備(例如����,通用分組無(wú)線服務(wù)技術(shù)(GPRS)系統(tǒng)中的網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)或 GPRS服務(wù)支持節(jié)點(diǎn)(SGSN)等)或移動(dòng)互聯(lián)網(wǎng)中的數(shù)據(jù)傳輸接口(例如����,GGSN與SGSN之間的 Gn接口等)等處捕獲。每一個(gè)網(wǎng)絡(luò)行為使用一個(gè)數(shù)據(jù)元組X來(lái)表示�����。
[0025] 按照本發(fā)明一個(gè)實(shí)施例的用于惡意網(wǎng)絡(luò)行為檢測(cè)的方法包括多分類器訓(xùn)練過(guò)程����、 行為分析過(guò)程和自學(xué)習(xí)過(guò)程,這些過(guò)程可以在任何設(shè)備上實(shí)現(xiàn)�����。
[0026] 現(xiàn)在參見圖1�����,其示出了按照本發(fā)明一個(gè)實(shí)施例的多分類器訓(xùn)練過(guò)程的示意圖。在 執(zhí)行本實(shí)施例的多分類器訓(xùn)練過(guò)程之前�,需要收集足夠數(shù)量的已知的惡意網(wǎng)絡(luò)行為和正常 網(wǎng)絡(luò)行為作為訓(xùn)練樣本D。
[0027] 如圖1所示�,在方框100,根據(jù)網(wǎng)絡(luò)行為的不同行為特點(diǎn),將訓(xùn)練樣本D劃分為三個(gè) 行為組01�、02、03��。其中�����,行為組01�、02、03各自所包括的行為分別屬于傳播行為��、遠(yuǎn)程控制 行為和攻擊行為這三種行為種類����。
[0028] 其中,傳播行為是指但不局限于以下行為:惡意或合法的程序被放置在網(wǎng)站上�����,包 含有指向該惡意或合法的程序的網(wǎng)絡(luò)鏈接的短消息被發(fā)送給移動(dòng)終端以使得用戶使用該 網(wǎng)絡(luò)鏈接(例如經(jīng)由HTTP協(xié)議�、FTP協(xié)議或電子郵件)從網(wǎng)站上下載該惡意或合法的軟件, 以及通過(guò)彩信主動(dòng)向目標(biāo)用戶發(fā)送惡意程序等���。
[0029] 遠(yuǎn)程控制行為是指但不局限于以下行為:移動(dòng)終端連接移動(dòng)互聯(lián)網(wǎng)中的服務(wù)器以 更新或下載合法或惡意的程序��、下載攻擊目標(biāo)信息及攻擊指令等�����。
[0030] 攻擊行為是指但不局限于以下行為:移動(dòng)終端經(jīng)由例如SMS��、麗S�、藍(lán)牙或移動(dòng)互 聯(lián)網(wǎng)等各種通信通道訪問(wèn)其它移動(dòng)終端�����。惡意的攻擊行為包括隱私盜竊�、隱私傳播、訪問(wèn)收 費(fèi)的增值業(yè)務(wù)���、自動(dòng)聯(lián)系其他移動(dòng)終端�、消費(fèi)�����、針對(duì)其它終端或網(wǎng)絡(luò)的DoS或DDoS攻擊等。
[0031] 在方框110,使用聚類算法將行為組D1�、D2、D3的每一個(gè)行為組所包括的行為聚類 為m+1 (m為大于零的整數(shù))個(gè)子行為組,每一個(gè)子行為組所包括的行為屬于m+1個(gè)行為類 別的其中一個(gè)��。該m+1個(gè)行為類別包括正常行為類別Q和m個(gè)惡意行為類別Q�、C2、...��、Cm�。這里,每一個(gè)惡意行為類別例如可以是屬于相似惡意程序的行為或?qū)儆谕粣阂獬绦?家族的相似惡意行為等�。
[0032] 在聚類之后,行為組D1包括子行為組D^����、D/、D/.....D�;1,它們各自所包括的行 為分別屬于行為類別〇!����、CpC2、. . .��、Cm ;行為組D2包括子行為組D2°、D2\D22����、. . .��、D2m��,它們 各自所包括的行為分別屬于行為類別CpCpQ.....Cm ;以及���,行為組D3包括子行為組D3°����、 D/�、D32.....D3m,它們各自所包括的行為分別屬于行為類別CpCpQ.....Cm���。這里��,每一個(gè) 行為種類所包括的行為都被劃分為相同數(shù)量的行為類別����,即m+1個(gè)行為類別��,然而,本發(fā)明 并不局限于此��,在本發(fā)明的其它一些實(shí)施例中����,各個(gè)行為種類所包括的行為被劃分的行為 類別的數(shù)量可以各不相同。
[0033] 這里����,聚類算法可以是但不局限于利用代表點(diǎn)聚類算法(⑶RE:Clusteringusing R印resentatives)、平衡迭代削減聚類算法法(BIRCH)�����、基于密度的聚類算法(DBSCAN)��、 K-means聚類算法�����、K-medoidsHFC聚類算法�、K-pototypes算法、隨機(jī)搜索聚類算法 (CLARANS)�����、自動(dòng)子空間聚類算法(CLIQUE9)等。
[0034] 在方框120,使用多分類器訓(xùn)練算法來(lái)對(duì)行為組D1����、D2、D3的每一個(gè)行為組中的各 個(gè)子行為組所包括的行為進(jìn)行訓(xùn)練�,得到三個(gè)分別對(duì)應(yīng)于傳播行為、遠(yuǎn)程控制行為和攻擊 行為的行為識(shí)別模型M1��、M2和M3,其中��,行為識(shí)別模型M1��、M2和M3中的每一個(gè)包括行為類 別.....Cm各自的特征參數(shù)����。其中��,每一個(gè)行為類型的特征參數(shù)用于描述屬于該行 為類型的行為的特性�。這里,多分類器訓(xùn)練算法可以是但不局限于多分類器樸素貝葉斯算 法���、多類型支持向量機(jī)(SVM:SupportVectorMachine)算法�、決策樹���、K最近鄰算法(KNN)����、 向量空間模型法(VSM)、神經(jīng)網(wǎng)絡(luò)分類算法等����。
[0035] 下面,以多分類器樸素貝葉斯算法為例詳細(xì)說(shuō)明如何取得行為識(shí)別模型Ml�、M2和 M3。
[0036]多分類器樸素貝葉斯算法利用以下等式(1)來(lái)計(jì)算待檢測(cè)的網(wǎng)絡(luò)行為 XD={XlD���,x2D����,…�,xkD}屬于行為類別Q(i=0, 1,2,? ? ?�,m)的概率P(Ci|XD)。
【權(quán)利要求】
1. 一種用于惡意網(wǎng)絡(luò)行為檢測(cè)的方法�����,包括: 根據(jù)多個(gè)行為類別各自的特征參數(shù)���,計(jì)算待檢測(cè)的網(wǎng)絡(luò)行為與所述多個(gè)行為類別的每 一個(gè)的相關(guān)程度值�����,得到多個(gè)相關(guān)程度值����,其中,所述多個(gè)行為類別包括正常行為類別和至 少一個(gè)惡意行為類別��,所述多個(gè)行為類別各自的特征參數(shù)預(yù)先利用已知的惡意網(wǎng)絡(luò)行為和 正常網(wǎng)絡(luò)行為作為訓(xùn)練樣本訓(xùn)練得到�;以及 根據(jù)所述多個(gè)相關(guān)程度值中的最大相關(guān)程度值是所述待檢測(cè)的網(wǎng)絡(luò)行為與所述正常 行為類別的相關(guān)程度值還是所述待檢測(cè)的網(wǎng)絡(luò)行為與所述至少一個(gè)惡意行為類別的其中 之一的相關(guān)程度值����,確定所述待檢測(cè)的行為屬于正常網(wǎng)絡(luò)行為或惡意網(wǎng)絡(luò)行為。
2. 如權(quán)利要求1所述的方法����,其中,還包括: 根據(jù)所述待檢測(cè)的網(wǎng)絡(luò)行為的行為特點(diǎn)���,判定所述待檢測(cè)的網(wǎng)絡(luò)行為所屬的行為種 類��;以及 從分別對(duì)應(yīng)于不同的行為種類的多個(gè)行為識(shí)別模型中��,選擇與所判定的行為種類對(duì)應(yīng) 的行為識(shí)別模型��,其中��,所述多個(gè)行為識(shí)別模型的每一個(gè)包括所述多個(gè)行為類別各自的特 征參數(shù)�����, 其中����,所述計(jì)算進(jìn)一步包括:根據(jù)所選擇的行為識(shí)別模型所包括的所述多個(gè)行為類別 各自的特征參數(shù),計(jì)算所述待檢測(cè)的行為與所述多個(gè)行為類別的每一個(gè)的相關(guān)程度值��,得 到所述多個(gè)相關(guān)程度值����。
3. 如權(quán)利要求2所述的方法,其中�,還包括: 將作為所述訓(xùn)練樣本的所述已知的惡意網(wǎng)絡(luò)行為和正常網(wǎng)絡(luò)行為劃分為多個(gè)行為組, 其中每一個(gè)行為組中的網(wǎng)絡(luò)行為屬于相同的行為種類����; 利用聚類算法將所述多個(gè)行為組中的每一個(gè)行為組所包括的網(wǎng)絡(luò)行為聚類為多個(gè)子 行為組,每一個(gè)子行為組所包括的網(wǎng)絡(luò)行為屬于所述多個(gè)行為類別的其中一個(gè);以及 利用多分類器訓(xùn)練算法分別對(duì)所述多個(gè)行為組中的每一個(gè)行為組所包括的各個(gè)子行 為組中的網(wǎng)絡(luò)行為進(jìn)行訓(xùn)練�����,得到所述多個(gè)行為識(shí)別模型��。
4. 如權(quán)利要求3所述的方法����,其中, 所述待檢測(cè)的網(wǎng)絡(luò)行為被確定所屬的行為與所述待檢測(cè)的網(wǎng)絡(luò)行為實(shí)際所屬的行為 不相同�����,以及 所述方法還包括: 計(jì)算所述多個(gè)相關(guān)程度值中除了所述最大相關(guān)程度值之外的其它相關(guān)程度值的乘 積����; 檢查所述最大相關(guān)程度值與所計(jì)算的乘積的比值是否大于指定閾值�;以及 如果檢查結(jié)果為肯定,則利用增量學(xué)習(xí)算法使用所述待檢測(cè)的網(wǎng)絡(luò)行為進(jìn)行自學(xué)習(xí)訓(xùn) 練�����,以更新所述多個(gè)行為識(shí)別模型����。
5. 如權(quán)利要求2所述的方法,其中�,所述行為種類包括傳播行為���、遠(yuǎn)程控制行為�、攻擊 行為�����。
6. -種用于惡意網(wǎng)絡(luò)行為檢測(cè)的裝置��,包括: 計(jì)算模塊�,用于根據(jù)多個(gè)行為類別各自的特征參數(shù),計(jì)算待檢測(cè)的網(wǎng)絡(luò)行為與所述多 個(gè)行為類別的每一個(gè)的相關(guān)程度值��,得到多個(gè)相關(guān)程度值����,其中,所述多個(gè)行為類別包括正 常行為類別和至少一個(gè)惡意行為類別�,所述多個(gè)行為類別各自的特征參數(shù)預(yù)先利用已知的 惡意網(wǎng)絡(luò)行為和正常網(wǎng)絡(luò)行為作為訓(xùn)練樣本訓(xùn)練得到;以及 確定模塊���,用于根據(jù)所述多個(gè)相關(guān)程度值中的最大相關(guān)程度值是所述待檢測(cè)的網(wǎng)絡(luò)行 為與所述正常行為類別的相關(guān)程度值還是所述待檢測(cè)的網(wǎng)絡(luò)行為與所述至少一個(gè)惡意行 為類別的其中之一的相關(guān)程度值���,確定所述待檢測(cè)的行為屬于正常網(wǎng)絡(luò)行為或惡意網(wǎng)絡(luò)行 為�����。
7. 如權(quán)利要求6所述的裝置���,其中,還包括: 判定模塊�����,用于根據(jù)所述待檢測(cè)的網(wǎng)絡(luò)行為的行為特點(diǎn)��,判定所述待檢測(cè)的網(wǎng)絡(luò)行為 所屬的行為種類�;以及 選擇模塊,用于從分別對(duì)應(yīng)于不同的行為種類的多個(gè)行為識(shí)別模型中����,選擇與所判定 的行為種類對(duì)應(yīng)的行為識(shí)別模型,其中��,所述多個(gè)行為識(shí)別模型的每一個(gè)包括所述多個(gè)行 為類別各自的特征參數(shù)��, 其中���,所述計(jì)算模塊進(jìn)一步用于:根據(jù)所選擇的行為識(shí)別模型所包括的所述多個(gè)行為 類別各自的特征參數(shù),計(jì)算所述待檢測(cè)的行為與所述多個(gè)行為類別的每一個(gè)的相關(guān)程度 值,得到所述多個(gè)相關(guān)程度值�。
8. 如權(quán)利要求7所述的裝置,其中���,還包括: 劃分模塊����,用于將作為所述訓(xùn)練樣本的所述已知的惡意網(wǎng)絡(luò)行為和正常網(wǎng)絡(luò)行為劃分 為多個(gè)行為組����,其中每一個(gè)行為組中的網(wǎng)絡(luò)行為屬于相同的行為種類; 聚類模塊����,用于利用聚類算法將所述多個(gè)行為組中的每一個(gè)行為組所包括的網(wǎng)絡(luò)行為 聚類為多個(gè)子行為組,每一個(gè)子行為組所包括的網(wǎng)絡(luò)行為屬于所述多個(gè)行為類別的其中一 個(gè)����;以及 訓(xùn)練模塊,用于利用多分類器訓(xùn)練算法分別對(duì)所述多個(gè)行為組中的每一個(gè)行為組所包 括的各個(gè)子行為組中的網(wǎng)絡(luò)行為進(jìn)行訓(xùn)練�,得到所述多個(gè)行為識(shí)別模型。
9. 如權(quán)利要求8所述的裝置�,其中�, 所述待檢測(cè)的網(wǎng)絡(luò)行為被確定所屬的行為與所述待檢測(cè)的網(wǎng)絡(luò)行為實(shí)際所屬的行為 不相同�����,以及 所述裝置還包括: 相乘模塊���,用于計(jì)算所述多個(gè)相關(guān)程度值中除了所述最大相關(guān)程度值之外的其它相關(guān) 程度值的乘積���; 檢查模塊,用于檢查所述最大相關(guān)程度值與所計(jì)算的乘積的比值是否大于指定閾值����; 以及 更新模塊,用于如果檢查結(jié)果為肯定�,則利用增量學(xué)習(xí)算法使用所述待檢測(cè)的網(wǎng)絡(luò)行 為進(jìn)行自學(xué)習(xí)訓(xùn)練,以更新所述多個(gè)行為識(shí)別模型�。
10. -種用于惡意網(wǎng)絡(luò)行為檢測(cè)的設(shè)備,包括: 存儲(chǔ)器�����;以及 與所述存儲(chǔ)器連接的處理器����,用于執(zhí)行權(quán)利要求1-5中的任意一個(gè)所包括的操作。
11. 一種機(jī)器可讀介質(zhì)����,其上存儲(chǔ)有可執(zhí)行指令,當(dāng)該可執(zhí)行指令被執(zhí)行時(shí)�����,使得機(jī)器 執(zhí)行權(quán)利要求10中的處理器所執(zhí)行的操作�����。
【文檔編號(hào)】G06F17/30GK104519031SQ201310461795
【公開日】2015年4月15日 申請(qǐng)日期:2013年9月30日 優(yōu)先權(quán)日:2013年9月30日
【發(fā)明者】郭代飛, 隋愛芬, 林冠洲, 郭濤 申請(qǐng)人:西門子公司