亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種融合通信中惡意軟件鑒別方法和系統(tǒng)的制作方法

文檔序號:10471416閱讀:507來源:國知局
一種融合通信中惡意軟件鑒別方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種融合通信中惡意軟件鑒別方法和系統(tǒng),以解決現(xiàn)有技術(shù)惡意軟件檢測效率和檢測準(zhǔn)確率低的問題,該方法為,針對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,獲取全部軟件樣本和全部網(wǎng)絡(luò)日志;利用預(yù)存的軟件樣本數(shù)據(jù)庫,對獲取的全部軟件樣本進(jìn)行匹配,將匹配失敗的軟件樣本作為第一疑似惡意軟件樣本;基于全部網(wǎng)絡(luò)日志提取出每一個用戶的網(wǎng)絡(luò)行為向量,并分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī)則向量計算相似度,進(jìn)一步篩選出疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為第二疑似惡意軟件樣本;針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,篩選出惡意軟件,這樣,能夠快速準(zhǔn)確地鑒別出融合通信系統(tǒng)中的惡意軟件,進(jìn)行相關(guān)的治理。
【專利說明】
-種融合通信中惡意軟件鑒別方法和系統(tǒng)
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及移動網(wǎng)絡(luò)安全領(lǐng)域,尤其設(shè)及一種融合通信中惡意軟件鑒別方法和系 統(tǒng)。
【背景技術(shù)】
[0002] 中國移動將基于GSMA RCS標(biāo)準(zhǔn)構(gòu)建下一代融合通信系統(tǒng),通過升級終端上原有 的通話、短/彩信和通訊錄Ξ大通信入口,在保護(hù)用戶原有通信習(xí)慣、繼承運(yùn)營商基礎(chǔ)上 的通信業(yè)務(wù)全球可達(dá)性和電信級服務(wù)質(zhì)量的前提下,形成新通話"、"新消息"和"新 聯(lián)系"為核屯、、功能完善、體驗(yàn)優(yōu)良的基礎(chǔ)通信服務(wù)。"新通話"WLTE音視頻通話(Voice over LTE,VoLTC)為核屯、,增強(qiáng)用戶通話質(zhì)量和體驗(yàn);"新消息"W富通信業(yè)務(wù)套件巧ich Communication Suite, RC巧為基礎(chǔ),無縫融合多種媒體和消息格式,無縫與傳統(tǒng)短/彩信 互通;"新聯(lián)系"W真實(shí)手機(jī)號碼為前提,構(gòu)建全新的社交、公眾信息服務(wù)入口。
[0003] 在融合通信中,用戶之間的文件傳輸、共享更加頻繁,用戶通過"新聯(lián)系"的朋友圈 等渠道會接收到更多的推薦的網(wǎng)絡(luò)訪問地址,增大手機(jī)惡意軟件傳播的風(fēng)險,因此需要及 時構(gòu)建融合通信中的手機(jī)惡意軟件監(jiān)測系統(tǒng)。
[0004] 融合通信的手機(jī)惡意軟件監(jiān)測系統(tǒng)目前還沒有建設(shè),而現(xiàn)網(wǎng)的手機(jī)惡意軟件監(jiān)測 系統(tǒng)(系統(tǒng)架構(gòu)如圖1所示)不是依據(jù)融合通信的架構(gòu)設(shè)計,并不能直接應(yīng)用在融合通信 中。
[0005] 進(jìn)一步的,在現(xiàn)網(wǎng)的手機(jī)惡意軟件監(jiān)測系統(tǒng)中,疑似惡意軟件網(wǎng)絡(luò)行為的篩選方 法是依據(jù)疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫對網(wǎng)絡(luò)日志進(jìn)行逐條過濾,效率較低。

【發(fā)明內(nèi)容】

[0006] 本發(fā)明的目的是提供一種種融合通信中惡意軟件鑒別方法和系統(tǒng),W解決無法針 對融合通信系統(tǒng)進(jìn)行惡意軟件鑒別的問題。 陽007] 本發(fā)明的目的是通過W下技術(shù)方案實(shí)現(xiàn)的:
[0008] 一種融合通信中惡意軟件鑒別方法,應(yīng)用在網(wǎng)絡(luò)側(cè),包括:
[0009] 針對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,獲取全部軟件樣本和全部網(wǎng)絡(luò)日志;
[0010] 利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑 似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,將匹配失敗的軟件樣本作 為第一疑似惡意軟件樣本;
[0011] 基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量,并將每 一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī)則向量計算 相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類口限的疑似惡意 軟件網(wǎng)絡(luò)行為,W及將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為第二疑似惡意軟 件樣本;
[0012] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,篩選出惡 意軟件。
[0013] 運(yùn)樣在融合通信系統(tǒng)中快速準(zhǔn)確地鑒別出惡意軟件,提高了惡意軟件的檢測效率 和準(zhǔn)確率,并且相比現(xiàn)網(wǎng)的疑似惡意軟件網(wǎng)絡(luò)行為的篩選,并且本發(fā)明實(shí)施中將加權(quán)明氏 距離的疑似惡意軟件網(wǎng)絡(luò)行為識別算法運(yùn)用到海量的網(wǎng)絡(luò)日志的篩選過濾中,提高了系統(tǒng) 的運(yùn)行效率。
[0014] 可選的,利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征 庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,包括:
[0015] 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5 特征信息分別與數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和 疑似惡意軟件樣本MD5特征庫進(jìn)行匹配,篩選出均匹配失敗的軟件樣本;
[0016] 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。
[0017] 可選的,基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量 之前,進(jìn)一步包括:
[0018] 利用預(yù)存的惡意軟件下載U化庫和惡意軟件主控U化庫檢查所述全部網(wǎng)絡(luò)日志;
[0019] 篩選出則記載有連接惡意軟件下載U化和連接全網(wǎng)惡意軟件主控U化的網(wǎng)絡(luò)事件 的網(wǎng)絡(luò)日志,并將剩余的網(wǎng)絡(luò)日志作為全部網(wǎng)絡(luò)日志。
[0020] 可選的,在基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向 量之后,在將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個 規(guī)則向量計算相似度之前,進(jìn)一步包括:
[0021] 將每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量進(jìn)行單位化處理;
[0022] 將單位化后的每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量分別與預(yù)設(shè)的行為向量 計算初始相似度,篩選出初始相似度大于設(shè)定口限值的疑似惡意軟件網(wǎng)絡(luò)行為向量W進(jìn)行 后續(xù)相似度計算。
[0023] 可選的,將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中 的P個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則 歸類口限的疑似惡意軟件網(wǎng)絡(luò)行為的過程中,進(jìn)一步包括:
[0024] 再次篩選出對應(yīng)的P個相似度均未達(dá)到相應(yīng)的規(guī)則歸類口限的疑似惡意軟件網(wǎng) 絡(luò)行為,則將再次篩選出的疑似惡意軟件網(wǎng)絡(luò)行為向量對應(yīng)的網(wǎng)絡(luò)日志導(dǎo)出;
[0025] 將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定。
[00%] 可選的,將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定后,進(jìn)一步包 括:
[0027] 根據(jù)所述指定平臺返回的判定結(jié)果,篩選出網(wǎng)絡(luò)日志中記載有惡意軟件網(wǎng)絡(luò)行為 的網(wǎng)絡(luò)日志,從記載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng)絡(luò)日志中提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩 選規(guī)則,并將其導(dǎo)入到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中。
[0028] 運(yùn)樣,能夠?qū)崟r更行疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫,及時提取新的惡意行為 規(guī)則加入到規(guī)則庫中,使系統(tǒng)運(yùn)行更加安全可靠。
[0029] 可選的,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類口限的 疑似惡意軟件網(wǎng)絡(luò)行為后,進(jìn)一步包括:
[0030] 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中僅有一個相似度達(dá)到 相應(yīng)的規(guī)則歸類口限的,則將所述任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為所述一個相似度對 應(yīng)的規(guī)則下的疑似惡意行為;
[0031] 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中至少兩個相似度達(dá)到 相應(yīng)的規(guī)則歸類口限,則將所述任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為所述至少兩個相似度 中取值最小的相似度對應(yīng)的規(guī)則下的疑似惡意行為。
[0032] 可選的,將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為第二疑似惡意軟件 樣本之后,針對第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別之前,進(jìn)一步包括:
[0033] 利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本 MD5特征庫,對所述第二疑似惡意軟件樣本進(jìn)行匹配,篩選出均匹配失敗的軟件樣本;
[0034] 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。
[0035] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別, 篩選出惡意軟件,包括:
[0036] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進(jìn)行反編譯和 模擬安裝,獲得每一個樣本的靜態(tài)資源信息和動態(tài)行為信息,分析每一個樣本的靜態(tài)資源 信息和動態(tài)行為信息,依據(jù)預(yù)設(shè)的分析準(zhǔn)則,獲取每一個樣本的分析結(jié)果;
[0037] 根據(jù)每一個樣本的分析結(jié)果,篩選出符合預(yù)設(shè)的惡意行為條件的疑似惡意樣本, 作為惡意軟件。
[0038] 可選的,進(jìn)一步包括:
[0039] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,若其中的 任意一個疑似惡意樣本不能獲得鑒別結(jié)果,將所述任意一個疑似惡意樣本進(jìn)行導(dǎo)出;
[0040] 將導(dǎo)出的所述任意一個疑似惡意樣本發(fā)送至指定平臺進(jìn)行惡意軟件判定。
[0041] 根據(jù)所述指定平臺返回的判定結(jié)果,篩選出惡意軟件和非惡意軟件;
[0042] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡 意軟件對應(yīng)的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將所述惡意軟件 對應(yīng)的下載U化添加至惡意軟件下載U化庫中、將所述惡意軟件對應(yīng)的主控U化添加至惡 意軟件主控U化庫中;
[0043] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。
[0044] 運(yùn)樣,通過其他平臺的及時檢測并獲取相關(guān)檢測結(jié)果,能夠?qū)崟r更新疑似惡意軟 件相關(guān)的軟件樣本特征庫,及時提取新的MD5特征信息加入到相應(yīng)的特征庫中,使系統(tǒng)運(yùn) 行更加安全可靠,進(jìn)一步提升惡意軟件的檢測效率。
[0045] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別, 篩選出惡意軟件之后,進(jìn)一步包括:
[0046] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡 意軟件對應(yīng)的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將所述惡意軟件 對應(yīng)的下載U化添加至惡意軟件下載U化庫中、將所述惡意軟件對應(yīng)的主控U化添加至惡 意軟件主控U化庫中;
[0047] 分析惡意軟件的發(fā)作行為特征,提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則,并將 其更新到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中;
[0048] 獲取惡意軟件對應(yīng)的網(wǎng)絡(luò)日志,并將添加至染毒用戶日志數(shù)據(jù)庫中;
[0049] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。
[0050] 運(yùn)樣通過中央管理平臺獲得疑似惡意軟件樣本的檢測結(jié)果,能夠?qū)崟r更新疑似惡 意軟件相關(guān)的軟件樣本特征庫,及時提取新的MD5特征信息加入到相應(yīng)的特征庫中,使系 統(tǒng)運(yùn)行更加安全可靠,進(jìn)一步提升惡意軟件的檢測效率。
[0051] 一種融合通信中惡意軟件鑒別系統(tǒng),應(yīng)用在網(wǎng)絡(luò)側(cè),包括:
[0052] 接入網(wǎng)關(guān),用于針對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,獲取全部軟件樣本和全部網(wǎng)絡(luò) 日志;
[0053] 軟件監(jiān)測裝置,用于利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件 樣本MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,將匹配 失敗的軟件樣本作為第一疑似惡意軟件樣本;
[0054] 軟件監(jiān)測裝置,還用于基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件 網(wǎng)絡(luò)行為向量,并將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中 的P個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則 歸類口限的疑似惡意軟件網(wǎng)絡(luò)行為,W及將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件 作為第二疑似惡意軟件樣本; 陽化5] 中央管理平臺,用于針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本 進(jìn)行鑒別,篩選出惡意軟件。
[0056] 運(yùn)樣在融合通信系統(tǒng)中快速準(zhǔn)確地鑒別出惡意軟件,提高了惡意軟件的檢測效率 和準(zhǔn)確率,并且相比現(xiàn)網(wǎng)的疑似惡意軟件網(wǎng)絡(luò)行為的篩選,并且本發(fā)明實(shí)施中將加權(quán)明氏 距離的疑似惡意軟件網(wǎng)絡(luò)行為識別算法運(yùn)用到海量的網(wǎng)絡(luò)日志的篩選過濾中,提高了系統(tǒng) 的運(yùn)行效率。
[0057] 可選的,利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征 庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配時,所述軟件監(jiān)測裝 置用于:
[0058] 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5 特征信息分別與數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和 疑似惡意軟件樣本MD5特征庫進(jìn)行匹配,篩選出均匹配失敗的軟件樣本;
[0059] 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。
[0060] 可選的,基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量 之前,所述軟件監(jiān)測裝置進(jìn)一步用于:
[0061] 利用預(yù)存的惡意軟件下載U化庫和惡意軟件主控U化庫檢查所述全部網(wǎng)絡(luò)日志;
[0062] 篩選出則記載有連接惡意軟件下載U化和連接全網(wǎng)惡意軟件主控U化的網(wǎng)絡(luò)事件 的網(wǎng)絡(luò)日志,并將剩余的網(wǎng)絡(luò)日志作為全部網(wǎng)絡(luò)日志。
[0063] 可選的,在基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向 量之后,在將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個 規(guī)則向量計算相似度之前,所述軟件監(jiān)測裝置進(jìn)一步用于:
[0064] 將每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量進(jìn)行單位化處理;
[0065] 將單位化后的每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量分別與預(yù)設(shè)的行為向量 計算初始相似度,篩選出初始相似度大于設(shè)定口限值的疑似惡意軟件網(wǎng)絡(luò)行為向量W進(jìn)行 后續(xù)相似度計算。
[0066] 可選的,將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中 的P個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則 歸類口限的疑似惡意軟件網(wǎng)絡(luò)行為的過程中,所述軟件監(jiān)測裝置進(jìn)一步用于:
[0067] 再次篩選出對應(yīng)的P個相似度均未達(dá)到相應(yīng)的規(guī)則歸類口限的疑似惡意軟件網(wǎng) 絡(luò)行為,則將再次篩選出的疑似惡意軟件網(wǎng)絡(luò)行為向量對應(yīng)的網(wǎng)絡(luò)日志導(dǎo)出; W側(cè)將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定。
[0069] 可選的,將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定后,所述中央 管理平臺進(jìn)一步用于:
[0070] 根據(jù)所述指定平臺返回的判定結(jié)果,篩選出網(wǎng)絡(luò)日志中記載有惡意軟件網(wǎng)絡(luò)行為 的網(wǎng)絡(luò)日志,從記載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng)絡(luò)日志中提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩 選規(guī)則,并將其導(dǎo)入到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中。
[0071] 可選的,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類口限的 疑似惡意軟件網(wǎng)絡(luò)行為后,所述軟件監(jiān)測裝置進(jìn)一步用于:
[0072] 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中僅有一個相似度達(dá)到 相應(yīng)的規(guī)則歸類口限的,則將所述任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為所述一個相似度對 應(yīng)的規(guī)則下的疑似惡意行為;
[0073] 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中至少兩個相似度達(dá)到 相應(yīng)的規(guī)則歸類口限,則將所述任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為所述至少兩個相似度 中取值最小的相似度對應(yīng)的規(guī)則下的疑似惡意行為。
[0074] 可選的,將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為第二疑似惡意軟件 樣本之后,針對第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別之前,所述軟件監(jiān)測裝置進(jìn)一 步用于:
[00巧]利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本 MD5特征庫,對所述第二疑似惡意軟件樣本進(jìn)行匹配,篩選出均匹配失敗的軟件樣本;
[0076] 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。
[0077] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別, 篩選出惡意軟件時,所述中央管理平臺用于:
[0078] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進(jìn)行反編譯和 模擬安裝,獲得每一個樣本的靜態(tài)資源信息和動態(tài)行為信息,分析每一個樣本的靜態(tài)資源 信息和動態(tài)行為信息,依據(jù)預(yù)設(shè)的分析準(zhǔn)則,獲取每一個樣本的分析結(jié)果;
[0079] 根據(jù)每一個樣本的分析結(jié)果,篩選出符合預(yù)設(shè)的惡意行為條件的疑似惡意樣本, 作為惡意軟件。
[0080] 可選的,所述中央管理平臺進(jìn)一步用于:
[0081] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,若其中的 任意一個疑似惡意樣本不能獲得鑒別結(jié)果,將所述任意一個疑似惡意樣本進(jìn)行導(dǎo)出;
[0082] 將導(dǎo)出的所述任意一個疑似惡意樣本發(fā)送至指定平臺進(jìn)行惡意軟件判定。
[0083] 根據(jù)所述指定平臺返回的判定結(jié)果,篩選出惡意軟件和非惡意軟件;
[0084] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡 意軟件對應(yīng)的下載u化和主控u化添加至惡意軟件待封堵u化庫中,W及將所述惡意軟件 對應(yīng)的下載U化添加至惡意軟件下載U化庫中、將所述惡意軟件對應(yīng)的主控U化添加至惡 意軟件主控U化庫中;
[00化]提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。
[0086] 運(yùn)樣,通過其他平臺的及時檢測并獲取相關(guān)檢測結(jié)果,能夠?qū)崟r更新疑似惡意軟 件相關(guān)的軟件樣本特征庫,及時提取新的MD5特征信息加入到相應(yīng)的特征庫中,使系統(tǒng)運(yùn) 行更加安全可靠,進(jìn)一步提升惡意軟件的檢測效率。
[0087] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別, 篩選出惡意軟件之后,所述中央管理平臺進(jìn)一步用于:
[0088] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡 意軟件對應(yīng)的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將所述惡意軟件 對應(yīng)的下載U化添加至惡意軟件下載U化庫中、將所述惡意軟件對應(yīng)的主控U化添加至惡 意軟件主控U化庫中;
[0089] 分析惡意軟件的發(fā)作行為特征,提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則,并將 其更新到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中;
[0090] 獲取惡意軟件對應(yīng)的網(wǎng)絡(luò)日志,并將添加至染毒用戶日志數(shù)據(jù)庫中;
[0091] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。
[0092] 運(yùn)樣通過中央管理平臺獲得疑似惡意軟件樣本的檢測結(jié)果,能夠?qū)崟r更新疑似惡 意軟件相關(guān)的軟件樣本特征庫,及時提取新的MD5特征信息加入到相應(yīng)的特征庫中,使系 統(tǒng)運(yùn)行更加安全可靠,進(jìn)一步提升惡意軟件的檢測效率。
【附圖說明】
[0093] 圖1為現(xiàn)網(wǎng)手機(jī)惡意軟件監(jiān)測系統(tǒng)架構(gòu);
[0094] 圖2為本發(fā)明實(shí)施例中融合通信惡意軟件監(jiān)測系統(tǒng)架構(gòu);
[0095] 圖3為本發(fā)明實(shí)施融合通信中惡意軟件鑒別方法流程示意圖;
[0096] 圖4為本發(fā)明實(shí)施疑似惡意軟件網(wǎng)絡(luò)行為識別算法流程圖;
[0097] 圖5為本發(fā)明實(shí)施融合通信中惡意軟件鑒別系統(tǒng)結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0098] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,并不是全部的實(shí)施例。基于 本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0099] 如圖2所示,本發(fā)明的融合通信惡意軟件監(jiān)測系統(tǒng)整體架構(gòu)包括Ξ部分,接入網(wǎng) 關(guān)、南北大區(qū)融合通信惡意軟件監(jiān)控系統(tǒng)、融合通信惡意軟件中央管理平臺。其中,接入網(wǎng) 關(guān)用于對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,得到全部樣本文件和網(wǎng)絡(luò)日志;南北大區(qū)融合通信 惡意軟件監(jiān)控系統(tǒng)主要用于已知惡意軟件檢測、疑似惡意軟件上報、疑似惡意軟件網(wǎng)絡(luò)行 為日志上報和惡意軟件事件上報;融合通信惡意軟件中央管理平臺主要用于自動研判、人 工審核、策略管理、一鍵封堵、統(tǒng)計分析等。 陽100]各功能模塊及其功能介紹如下: 陽101] 接入網(wǎng)關(guān),用于對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,得到全部樣本文件和網(wǎng)絡(luò)日志。 陽102] 南北大區(qū)融合通信惡意軟件監(jiān)控系統(tǒng),負(fù)責(zé)接收中央平臺定期更新下發(fā)的惡意軟 件樣本消息摘要算法第五版(Message Digest Algorithms, MD5)特征庫、非惡意軟件軟件 樣本MD5特征庫、已入庫未研判疑似樣本MD5特征庫、疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫、 全網(wǎng)惡意軟件下載U化庫、全網(wǎng)惡意軟件主控U化庫。負(fù)責(zé)利用全網(wǎng)手機(jī)惡意軟件特征庫、 非惡意軟件軟件樣本MD5特征庫和已入庫未研判疑似樣本MD5特征庫對樣本文件進(jìn)行過 濾,將剩余的疑似惡意軟件樣本及其相關(guān)網(wǎng)絡(luò)日志上報給中央平臺。負(fù)責(zé)利用疑似惡意軟 件網(wǎng)絡(luò)行為篩選規(guī)則庫對海量網(wǎng)絡(luò)日志進(jìn)行篩選,將疑似惡意軟件網(wǎng)絡(luò)行為日志上報中央 平臺。負(fù)責(zé)利用全網(wǎng)惡意軟件下載U化庫和全網(wǎng)惡意軟件主控U化庫對獲得的網(wǎng)絡(luò)日志進(jìn) 行檢測,發(fā)現(xiàn)用戶連接惡意軟件的主控U化和下載U化相關(guān)的網(wǎng)絡(luò)日志,匯總后上報給中央 平臺。
[0103] 融合通信手機(jī)惡意軟件中央管理平臺,負(fù)責(zé)管理W下數(shù)據(jù)庫:惡意軟件樣本MD5 特征庫、疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫、非惡意軟件樣本MD5特征庫、疑似惡意軟件樣 本MD5特征庫、待封堵U化地址庫、惡意軟件下載U化庫、惡意軟件主控U化庫、染毒用戶日 志數(shù)據(jù)庫;負(fù)責(zé)數(shù)據(jù)庫更新包的定期下發(fā);負(fù)責(zé)定期收集和整理南北大區(qū)融合通信惡意軟 件監(jiān)控系統(tǒng)上報的疑似惡意軟件樣本及相關(guān)網(wǎng)絡(luò)日志和利用疑似惡意軟件網(wǎng)絡(luò)行為篩選 規(guī)則檢測到的相關(guān)疑似惡意軟件的網(wǎng)絡(luò)日志,并對疑似惡意軟件的網(wǎng)絡(luò)日志中的U化進(jìn)行 爬取獲得疑似軟件樣本;負(fù)責(zé)對獲得的全部疑似惡意軟件樣本進(jìn)行研判,根據(jù)判斷結(jié)果及 時更新相關(guān)數(shù)據(jù)庫;負(fù)責(zé)定期將待封堵U化地址發(fā)送給相關(guān)系統(tǒng)進(jìn)行封堵;負(fù)責(zé)對全網(wǎng)惡 意軟件相關(guān)的各類數(shù)據(jù)進(jìn)行統(tǒng)計分析、趨勢預(yù)測和報表呈現(xiàn)。 陽104] 其中各個數(shù)據(jù)庫功能描述如下:
[01化]惡意軟件樣本MD5特征庫:用于存儲惡意軟件的特征碼信息,并存儲相關(guān)惡意軟 件名稱、ID、危險級別、危害類別、主控U化地址、惡意軟件概述及惡意軟件詳細(xì)描述信息 等,同時對惡意軟件樣本進(jìn)行存儲。
[0106] 惡意軟件下載U化庫:用于存儲與手機(jī)惡意軟件相關(guān)的網(wǎng)絡(luò)下載地址信息,對于 同一惡意軟件,其下載地址都有可能存在多個。 陽107] 惡意軟件主控U化庫:用于存儲與手機(jī)惡意軟件相關(guān)的主控U化地址信息,對于同 一惡意軟件,其主控U化地址有可能存在多個,在對疑似惡意軟件進(jìn)行研判后,其主控U化 信息會存入該數(shù)據(jù)庫。
[0108] 非惡意軟件樣本MD5特征庫:用于中央平臺在對疑似惡意軟件樣本進(jìn)行研判后確 認(rèn)為非惡意軟件的軟件樣本MD5摘要信息,此特征庫中的信息包括:樣本ID、樣本MD5值、 樣本的簡單描述信息等。中央平臺定期將本特征庫的更新信息下發(fā)給南北大區(qū)融合通信手 機(jī)惡意軟件監(jiān)控系統(tǒng)進(jìn)行非惡意軟件過濾。 陽109] 疑似惡意軟件樣本MD5特征庫:用于存儲中央平臺爬取獲得的或者南北大區(qū)融合 通信惡意軟件監(jiān)控系統(tǒng)上報的疑似惡意軟件樣本文件中尚未來得及進(jìn)行研判的疑似惡意 軟件樣本MD5特征值。中央平臺定期將本特征庫更新信息下發(fā)給南北大區(qū)融合通信惡意軟 件監(jiān)控系統(tǒng),使其在上傳疑似惡意軟件樣本前須匹配本特征庫去除中央平臺已經(jīng)獲得的惡 意惡意軟件樣本,W減少上傳樣本量。
[0110] 待封堵u化地址庫:用于存儲需要進(jìn)行封堵操作的惡意軟件相關(guān)u化信息。 陽111] 疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫:用于存儲篩選疑似惡意軟件網(wǎng)絡(luò)行為的規(guī) 貝1J。篩選規(guī)則包括網(wǎng)絡(luò)日志中的任意單項(xiàng)或多項(xiàng)的邏輯表達(dá)式方式、按時間段匯總后與闊 值比較的規(guī)則、自定義的關(guān)鍵字、闊值等作為篩選規(guī)則項(xiàng),并且篩選規(guī)則項(xiàng)可W組合設(shè)定。 中央平臺定期將本特征庫的更新信息下發(fā)給南北大區(qū)融合通信惡意軟件監(jiān)控系統(tǒng),用于過 濾疑似惡意軟件網(wǎng)絡(luò)行為日志。
[0112] 染毒用戶日志數(shù)據(jù)庫:用于存儲南北大區(qū)融合通信惡意軟件監(jiān)控系統(tǒng)上傳的所有 染毒用戶網(wǎng)絡(luò)日志信息,若同時具有相關(guān)聯(lián)的樣本文件也應(yīng)在此數(shù)據(jù)庫中進(jìn)行存儲;設(shè)置 ??诘臄?shù)據(jù)表用于匯總存儲確認(rèn)染毒和后期研判確認(rèn)為染毒用戶的相關(guān)信息。
[0113] 上文提到的MD5是計算機(jī)廣泛使用的雜湊算法之一(又譯摘要算法、哈希算法), MD5的典型應(yīng)用是對一段信息(Message)產(chǎn)生信息摘要(Message-Digest),W防止被篡 改。與之類似,MD5就可W為任何文件(不管其大小、格式、數(shù)量)產(chǎn)生一個同樣獨(dú)一無二的 MD5 "數(shù)字指紋",如果任何人對文件做了任何改動,其MD5值也就是對應(yīng)的"數(shù)字指紋"都 會發(fā)生變化。我們常常在某些軟件下載站點(diǎn)的某軟件信息中看到其MD5值,它的作用就在 于我們可W在下載該軟件后,對下載回來的文件用??诘能浖ㄈ鏦indows MD5化eck等) 做一次MD5校驗(yàn),W確保我們獲得的文件與該站點(diǎn)提供的文件為同一文件。利用MD5算法 來進(jìn)行文件校驗(yàn)的方案被大量應(yīng)用到軟件下載站、論壇數(shù)據(jù)庫、系統(tǒng)文件安全等方面。
[0114] 基于上述系統(tǒng)架構(gòu),參閱圖3所示,本發(fā)明實(shí)施例提供一種融合通信中惡意軟件 鑒別方法,具體流程如下:
[0115] 步驟300 :針對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,獲取全部軟件樣本和全部網(wǎng)絡(luò)日志。
[0116] 步驟301 :利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特 征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,將匹配失敗的軟 件樣本作為第一疑似惡意軟件樣本。
[0117] 具體的,利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征 庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,具體過程為:計算獲 取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5特征信息分別與 數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣 本MD5特征庫進(jìn)行匹配,包括W下兩種情形:
[0118] 第一種情形為:若任意一個樣本的的MD5特征信息和上述Ξ個數(shù)據(jù)中的某一個數(shù) 據(jù)庫匹配成功,運(yùn)時判斷匹配成功的數(shù)據(jù)庫類型,若匹配成功的數(shù)據(jù)庫為全網(wǎng)惡意軟件軟 件樣本MD5特征庫,則將匹配成功的軟件樣本標(biāo)記為惡意軟件,若匹配成功的數(shù)據(jù)庫為非 惡意軟件軟件樣本MD5特征庫,則將匹配成功的軟件樣本標(biāo)記為非惡意軟件。
[0119] 第二種情形為:若任意一個樣本的的MD5特征信息和上述Ξ個數(shù)據(jù)中都匹配失 敗,此時,篩選出均匹配失敗的軟件樣本;將均匹配失敗的軟件樣本作為第一疑似惡意樣 本。
[0120] 步驟302:基于該全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向 量,并將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī)則 向量計算相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類口限的 疑似惡意軟件網(wǎng)絡(luò)行為,W及將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為第二疑 似惡意軟件樣本。 陽121] 進(jìn)一步的,基于該全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量 之前,利用預(yù)存的惡意軟件下載U化庫和惡意軟件主控U化庫檢查獲取到的全部網(wǎng)絡(luò)日志; 篩選出則記載有連接惡意軟件下載U化和連接全網(wǎng)惡意軟件主控U化的網(wǎng)絡(luò)事件的網(wǎng)絡(luò)日 志,并將剩余的網(wǎng)絡(luò)日志作為全部網(wǎng)絡(luò)日志。
[0122] 例如,基于得到的全部網(wǎng)絡(luò)日志進(jìn)行分組,并在每一個分組的網(wǎng)絡(luò)日志中提取出 每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量,假設(shè)一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量為 U =(叫,U2,. . .,U。),該疑似惡意軟件網(wǎng)絡(luò)行為向量中設(shè)及W下參數(shù):
[0123] 行為向量中的第一個參數(shù)ui來自于用戶的HTTP請求分析,若該用戶HTTP請求中 包括該用戶的國際移動設(shè)備識別碼(International Mobile Equipment IdentitWMEI)、 用戶的國際移動用戶識別碼(International Mobile Subscriber Identity, IMSI)、手機(jī) 型號、操作系統(tǒng)、手機(jī)號碼、GPS的經(jīng)締度、短信記錄、通話記錄等一個或多個信息時,將行為 向量中的第一個參數(shù)U置為相應(yīng)的值。
[0124] 行為向量中的第二個參數(shù)U2來自于用戶連接網(wǎng)絡(luò)頻率統(tǒng)計分析值,若該用戶在一 定的時間內(nèi)同類網(wǎng)絡(luò)行為的用戶超過預(yù)設(shè)的闊值或者該同一用戶在一定的時間內(nèi)訪問某 U化地址超過預(yù)設(shè)的闊值或同一用戶連接不同網(wǎng)絡(luò)的行為具有一定周期性時,將將行為向 量中的第一個參數(shù)Ui置為相應(yīng)的值。
[0125] 行為向量中的第Ξ個參數(shù)U3來自于用戶文件傳播數(shù)量統(tǒng)計分析值,若用戶A在一 定的時間內(nèi)傳播的同一軟件數(shù)量超過設(shè)定的闊值或者該同一用戶在一定的時間內(nèi)彩信附 件中包含同一軟件的數(shù)量超過闊值時,將將行為向量中的第Ξ個參數(shù)U3置為相應(yīng)的值。; 陽126] 行為向量中的第四個參數(shù)U4來自于用戶用戶終端的類型分析,若該用戶在一定的 時間內(nèi)HTTP請求中用戶手機(jī)終端類型具有相似性時,將將行為向量中的第四個參數(shù)U4置 為相應(yīng)的值。
[0127] 其他信息分析:其他可能用于疑似惡意軟件網(wǎng)絡(luò)行為分析的參數(shù),對應(yīng)于行為向 量中的相應(yīng)參數(shù),可W靈活設(shè)置。
[0128] 進(jìn)一步的,基于獲取到的全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行 為向量之后,在將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的 P個(P為預(yù)設(shè)的正整數(shù))規(guī)則向量計算相似度之前,將每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行 為向量進(jìn)行單位化處理;將單位化后的每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量分別與預(yù) 設(shè)的行為向量計算初始相似度,篩選出初始相似度大于設(shè)定口限值的疑似惡意軟件網(wǎng)絡(luò)行 為向量W進(jìn)行后續(xù)相似度計算。
[0129] 例如,設(shè)某用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量為η維向量(叫,U2, ...,U。),首先需 要對該向量進(jìn)行單位化(歸一化),得到單位化化的行為向量Χ= (Xl,X2,...,X。):其中公 式如下所示: 陽 130]
陽131] 其中相似度定義如下: 陽m]
陽13引 L巧表示X向量與Y向量的相似度,X向量與Y向量分別用(Xi,而,...,xj和 (yi,72, . . .,y。)表示,α = 1,2, ..... η)是權(quán)重,可w根據(jù)每個參數(shù)的具體情況,進(jìn)行設(shè) 置。
[0134] 基于某用戶的疑似惡意軟件網(wǎng)絡(luò)行為單位化向量X = (XI,X2, ...,X。)和預(yù)設(shè)的行 為向量Z = (Zi,Z2, . . .,Z。),該向量也是單位化設(shè)置,根據(jù)定義的相似度,計算初始相似度 Lxz,若Lxz達(dá)到預(yù)先設(shè)置的疑似惡意軟件網(wǎng)絡(luò)行為設(shè)定口限M,則認(rèn)為該用戶行為是疑似 惡意軟件網(wǎng)絡(luò)行為,進(jìn)行后續(xù)計算;若Lxz沒有達(dá)到設(shè)定口限M,則認(rèn)為該用戶行為是正常 行為。
[0135] 其中疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫,是惡意軟件研判人員通過對已知惡意 軟件網(wǎng)絡(luò)行為分析總結(jié)而制定的規(guī)則。每項(xiàng)規(guī)則的存儲內(nèi)容都為特定的η維單位化向量 柄,72,...,y。),假設(shè)疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫已有Υι,Υ2, ···,Υρ,共Ρ個規(guī)則,針 對篩選出的初始相似度大于設(shè)定口限值的某用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量,根據(jù)定義 的相似度,依次計算其與疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫已有的Yi,Υ2,…,Υρ項(xiàng)規(guī)則的 相似度,得出Ρ個相似度。
[0136] 進(jìn)一步的,篩選出對應(yīng)的Ρ個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類口限 的疑似惡意軟件網(wǎng)絡(luò)行為后,若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的Ρ個相似度中僅 有一個相似度達(dá)到相應(yīng)的規(guī)則歸類口限的,則將該任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為該 一個相似度對應(yīng)的規(guī)則下的惡意行為;若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的Ρ個相 似度中至少兩個相似度達(dá)到相應(yīng)的規(guī)則歸類口限,則將該任意一疑似惡意軟件網(wǎng)絡(luò)行為歸 類為該至少兩個相似度中取值最小的相似度對應(yīng)的規(guī)則下的惡意行為。
[0137] 進(jìn)一步的,將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫 中的Ρ個規(guī)則向量計算相似度,篩選出對應(yīng)的Ρ個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī) 則歸類口限的疑似惡意軟件網(wǎng)絡(luò)行為的過程中,再次篩選出對應(yīng)的Ρ個相似度均未達(dá)到相 應(yīng)的規(guī)則歸類口限的疑似惡意軟件網(wǎng)絡(luò)行為,則將再次篩選出的疑似惡意軟件網(wǎng)絡(luò)行為向 量對應(yīng)的網(wǎng)絡(luò)日志導(dǎo)出;將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定。
[0138] 進(jìn)一步的,將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定后,根據(jù)該 指定平臺返回的判定結(jié)果,篩選出網(wǎng)絡(luò)日志中記載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng)絡(luò)日志,從記 載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng)絡(luò)日志中提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則,并將其導(dǎo) 入到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中。
[0139] 獲取到全部網(wǎng)絡(luò)日志后,進(jìn)行疑似惡意網(wǎng)絡(luò)行為的識別算法流程,參閱圖4所示:
[0140] S400 :將獲取到得全部網(wǎng)絡(luò)日志進(jìn)行分組。 陽141] S401 :從各自的分組中提取不同用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量。 陽142] S402 :針對用戶的行為向量進(jìn)行單位化得到單位化的行為向量X。
[0143] S403 :單位化的行為向量X與預(yù)設(shè)的行為向量Ζ計算相似度Lxz。
[0144] S404 :判斷Lxz是否達(dá)到預(yù)設(shè)的疑似惡意軟件網(wǎng)絡(luò)行為口限M,若是,則執(zhí)行步驟 S405,否則,執(zhí)行步驟S401。
[0145] S405 :單位化的行為向量X依次與疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中的P個行 為向量計算相似度。
[0146] S406:判斷P個相似度是否達(dá)到各自預(yù)設(shè)的歸類口限值,若是,則執(zhí)行步驟S407, 否則,執(zhí)行步驟S410。 陽147] S407:針對該用戶的網(wǎng)絡(luò)行為進(jìn)行歸類,屬于現(xiàn)有規(guī)則庫中的某一類疑似惡意行 為。
[0148] S408:判斷該分組是否存在未處理的用戶,若是,則執(zhí)行步驟401,否則執(zhí)行步驟 409。
[0149] S409 :將不同分組中的分析結(jié)果進(jìn)行總結(jié)并上報。
[0150] S410 :導(dǎo)出到指定平臺進(jìn)行判斷,將判斷結(jié)果上報。 陽151] 運(yùn)樣,能夠從海量的網(wǎng)絡(luò)日志中篩選出疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的網(wǎng)絡(luò)日志, 進(jìn)而根據(jù)網(wǎng)絡(luò)日志中對應(yīng)的U化下載疑似惡意樣本,作為第二疑似惡意樣本。
[0152] 步驟303:針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒 另IJ,篩選出惡意軟件。 陽153] 進(jìn)一步的,將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為第二疑似惡意軟 件樣本之后,利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣 本MD5特征庫,對該第二疑似惡意軟件樣本進(jìn)行匹配,包括W下兩種情形:
[0154] 第一種情形為:若任意一個樣本的的MD5特征信息和上述Ξ個數(shù)據(jù)中的某一個數(shù) 據(jù)庫匹配成功,運(yùn)時判斷匹配成功的數(shù)據(jù)庫類型,若匹配成功的數(shù)據(jù)庫為全網(wǎng)惡意軟件軟 件樣本MD5特征庫,則將匹配成功的軟件樣本標(biāo)記為惡意軟件,若匹配成功的數(shù)據(jù)庫為非 惡意軟件軟件樣本MD5特征庫,則將匹配成功的軟件樣本標(biāo)記為非惡意軟件。
[0K5] 第二種情形為:若任意一個樣本的的MD5特征信息和上述Ξ個數(shù)據(jù)中均匹配失 敗,此時,篩選出均匹配失敗的軟件樣本;將均匹配失敗的軟件樣本作為第二疑似惡意樣 本。 陽156] 具體的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別, 篩選出惡意軟件,具體過程為:針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣 本分別進(jìn)行反編譯和模擬安裝,獲得每一個樣本的靜態(tài)資源信息和動態(tài)行為信息,分析每 一個樣本的靜態(tài)資源信息和動態(tài)行為信息,依據(jù)預(yù)設(shè)的分析準(zhǔn)則,獲取每一個樣本的分析 結(jié)果;根據(jù)每一個樣本的分析結(jié)果,篩選出符合預(yù)設(shè)的惡意行為條件的疑似惡意樣本,作為 惡意軟件。 陽157] 例如,針對某一個疑似惡意軟件A,進(jìn)行反編譯,獲得該軟件A的靜態(tài)資源信息,包 括軟件A的應(yīng)用許可信息、軟件A的應(yīng)用認(rèn)證信息,軟件A的調(diào)用系統(tǒng)API信息等,針對該 軟件A進(jìn)行模擬安裝,獲取軟件A相關(guān)的動態(tài)行為信息,包括短彩信收發(fā)行為、數(shù)據(jù)收發(fā)內(nèi) 容、連接IP或端口等動態(tài)行為信息,根據(jù)預(yù)設(shè)的分析準(zhǔn)則,分析準(zhǔn)則可W設(shè)置為評為標(biāo)準(zhǔn), 假設(shè)軟件A的靜態(tài)資源信息中軟件A的應(yīng)用許可信息是禁止或違法的,運(yùn)種情形設(shè)定相應(yīng) 的分?jǐn)?shù),假設(shè)模擬安裝軟件A后自動發(fā)送私密信息到指定用戶時,運(yùn)種情形設(shè)定相應(yīng)的分 數(shù),依據(jù)軟件A的靜態(tài)資源信息和動態(tài)行為信息進(jìn)行綜合評分,若軟件A符合預(yù)設(shè)的惡意行 為條件,將軟件A作為惡意軟件,可W設(shè)置為依據(jù)上述分析準(zhǔn)則計算得到軟件A的總分?jǐn)?shù)高 于設(shè)定闊值時,將軟件A作為惡意軟件,否則為非惡意軟件。
[0158] 進(jìn)一步的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒 另IJ,包括W下兩種情形:
[0159] 第一種情形為:能夠成功鑒別并篩選出惡意軟件,運(yùn)時在篩選出惡意軟件之后,提 取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將該惡意軟件對應(yīng)的 下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將該惡意軟件對應(yīng)的下載U化 添加至惡意軟件下載U化庫中、將該惡意軟件對應(yīng)的主控U化添加至惡意軟件主控U化庫 中;分析惡意軟件的發(fā)作行為特征,提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則,并將其更新 到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中;獲取惡意軟件對應(yīng)的網(wǎng)絡(luò)日志,并將添加至染毒 用戶日志數(shù)據(jù)庫中;提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征 庫。
[0160] 第二種情形為:不能夠成功鑒別并篩選出惡意軟件,此時針對第一疑似惡意樣本 和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別時,若其中的任意一個疑似惡意樣本不能獲 得鑒別結(jié)果,將該任意一個疑似惡意樣本進(jìn)行導(dǎo)出;將導(dǎo)出的該任意一個疑似惡意樣本發(fā) 送至指定平臺進(jìn)行惡意軟件判定。根據(jù)該指定平臺返回的判定結(jié)果,篩選出惡意軟件和非 惡意軟件;提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將該惡意 軟件對應(yīng)的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將該惡意軟件對應(yīng) 的下載U化添加至惡意軟件下載U化庫中、將該惡意軟件對應(yīng)的主控U化添加至惡意軟件 主控U化庫中;提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征 庫。 陽161] 基于上述技術(shù)方案,參閱圖5所示,本發(fā)明實(shí)施例中提供一種融合通信中惡意軟 件鑒別系統(tǒng),包括接入網(wǎng)關(guān)50,軟件監(jiān)測裝置51,中央管理平臺52,其中:
[0162] 接入網(wǎng)關(guān)50,用于針對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,獲取全部軟件樣本和全部網(wǎng) 絡(luò)日志。
[0163] 軟件監(jiān)測裝置51,用于利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟 件樣本MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,將匹 配失敗的軟件樣本作為第一疑似惡意軟件樣本;
[0164] 軟件監(jiān)測裝置51,還用于基于該全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件 網(wǎng)絡(luò)行為向量,并將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中 的P個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則 歸類口限的疑似惡意軟件網(wǎng)絡(luò)行為,W及將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件 作為第二疑似惡意軟件樣本;
[01化]中央管理平臺52,用于針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣 本進(jìn)行鑒別,篩選出惡意軟件。
[0166] 可選的,利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征 庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配時,軟件監(jiān)測裝置51 用于:
[0167] 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5 特征信息分別與數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和 疑似惡意軟件樣本MD5特征庫進(jìn)行匹配,篩選出均匹配失敗的軟件樣本;
[0168] 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。
[0169] 可選的,基于該全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量之 前,利用預(yù)存的惡意軟件下載U化庫和惡意軟件主控U化庫檢查該全部網(wǎng)絡(luò)日志時;軟件監(jiān) 測裝置51進(jìn)一步用于:
[0170] 篩選出則記載有連接惡意軟件下載U化和連接全網(wǎng)惡意軟件主控U化的網(wǎng)絡(luò)事件 的網(wǎng)絡(luò)日志,并將剩余的網(wǎng)絡(luò)日志作為全部網(wǎng)絡(luò)日志。 陽171] 可選的,在基于該全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量 之后,在將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī) 則向量計算相似度之前,所述軟件監(jiān)測裝置51進(jìn)一步用于:
[0172] 將每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量進(jìn)行單位化處理;
[0173] 將單位化后的每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量分別與預(yù)設(shè)的行為向量 計算初始相似度,篩選出初始相似度大于設(shè)定口限值的疑似惡意軟件網(wǎng)絡(luò)行為向量W進(jìn)行 后續(xù)相似度計算。
[0174] 可選的,將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中 的P個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則 歸類口限的疑似惡意軟件網(wǎng)絡(luò)行為的過程中,所述軟件監(jiān)測裝置51進(jìn)一步用于:
[0175] 再次篩選出對應(yīng)的P個相似度均未達(dá)到相應(yīng)的規(guī)則歸類口限的疑似惡意軟件網(wǎng) 絡(luò)行為,則將再次篩選出的疑似惡意軟件網(wǎng)絡(luò)行為向量對應(yīng)的網(wǎng)絡(luò)日志導(dǎo)出; 陽176] 將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定。
[0177] 可選的,將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定后,中央管理 平臺52進(jìn)一步用于:
[0178] 根據(jù)該指定平臺返回的判定結(jié)果,篩選出網(wǎng)絡(luò)日志中記載有惡意軟件網(wǎng)絡(luò)行為的 網(wǎng)絡(luò)日志,從記載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng)絡(luò)日志中提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選 規(guī)則,并將其導(dǎo)入到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中。
[0179] 可選的,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類口限的 疑似惡意軟件網(wǎng)絡(luò)行為后,軟件監(jiān)測裝置51進(jìn)一步用于:
[0180] 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中僅有一個相似度達(dá)到 相應(yīng)的規(guī)則歸類口限的,則將該任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為該一個相似度對應(yīng)的 規(guī)則下的疑似惡意行為; 陽181] 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中至少兩個相似度達(dá)到 相應(yīng)的規(guī)則歸類口限,則將該任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為該至少兩個相似度中取 值最小的相似度對應(yīng)的規(guī)則下的疑似惡意行為。 陽182] 可選的,將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為第二疑似惡意軟件 樣本之后,針對第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別之前,軟件監(jiān)測裝置51進(jìn)一步 用于: 陽183] 利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本 MD5特征庫,對該第二疑似惡意軟件樣本進(jìn)行匹配,篩選出均匹配失敗的軟件樣本;
[0184] 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。
[01化]可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別, 篩選出惡意軟件時,中央管理平臺52用于: 陽186] 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進(jìn)行反編譯和 模擬安裝,獲得每一個樣本的靜態(tài)資源信息和動態(tài)行為信息,分析每一個樣本的靜態(tài)資源 信息和動態(tài)行為信息,依據(jù)預(yù)設(shè)的分析準(zhǔn)則,獲取每一個樣本的分析結(jié)果;
[0187] 根據(jù)每一個樣本的分析結(jié)果,篩選出符合預(yù)設(shè)的惡意行為條件的疑似惡意樣本, 作為惡意軟件。
[0188] 可選的,中央管理平臺52進(jìn)一步用于針對第一疑似惡意樣本和第二疑似惡意樣 本中的每一個樣本進(jìn)行鑒別,若其中的任意一個疑似惡意樣本不能獲得鑒別結(jié)果,將該任 意一個疑似惡意樣本進(jìn)行導(dǎo)出;
[0189] 將導(dǎo)出的該任意一個疑似惡意樣本發(fā)送至指定平臺進(jìn)行惡意軟件判定。 陽190] 根據(jù)該指定平臺返回的判定結(jié)果,篩選出惡意軟件和非惡意軟件; 陽191] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將該惡意 軟件對應(yīng)的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將該惡意軟件對應(yīng) 的下載U化添加至惡意軟件下載U化庫中、將該惡意軟件對應(yīng)的主控U化添加至惡意軟件 主控U化庫中; 陽192] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。 陽193] 可選的,針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別, 篩選出惡意軟件之后,中央管理平臺52進(jìn)一步用于:
[0194] 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將該惡意 軟件對應(yīng)的下載U化和主控U化添加至惡意軟件待封堵U化庫中,W及將該惡意軟件對應(yīng) 的下載U化添加至惡意軟件下載U化庫中、將該惡意軟件對應(yīng)的主控U化添加至惡意軟件 主控U化庫中;
[0195] 分析惡意軟件的發(fā)作行為特征,提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則,并將 其更新到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中; 陽196] 獲取惡意軟件對應(yīng)的網(wǎng)絡(luò)日志,并將添加至染毒用戶日志數(shù)據(jù)庫中; 陽197] 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。
[0198] 綜上所述,本發(fā)明實(shí)施例中,針對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,獲取全部軟件樣本 和全部網(wǎng)絡(luò)日志;用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫 和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,將匹配失敗的軟件樣 本作為第一疑似惡意軟件樣本;基于該全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng) 絡(luò)行為向量,并將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的 P個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸 類口限的疑似惡意軟件網(wǎng)絡(luò)行為,W及將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作 為第二疑似惡意軟件樣本;針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn) 行鑒別,篩選出惡意軟件。運(yùn)樣在融合通信系統(tǒng)中快速準(zhǔn)確地鑒別出惡意軟件,提高了惡意 軟件的檢測效率和準(zhǔn)確率,并且相比現(xiàn)網(wǎng)的疑似惡意軟件網(wǎng)絡(luò)行為的篩選,并且本發(fā)明實(shí) 施中將加權(quán)明氏距離的疑似惡意軟件網(wǎng)絡(luò)行為識別算法運(yùn)用到海量的網(wǎng)絡(luò)日志的篩選過 濾中,提高了系統(tǒng)的運(yùn)行效率,還能夠?qū)崟r更行相關(guān)數(shù)據(jù)庫和篩選規(guī)則庫,運(yùn)行更加可靠安 全。
[0199] 本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計算機(jī)程序 產(chǎn)品。因此,本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí) 施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機(jī)可用程序代碼的計算機(jī) 可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實(shí)施的計算機(jī)程序產(chǎn) 品的形式。 陽200] 本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計算機(jī)程序產(chǎn)品的流程 圖和/或方框圖來描述的。應(yīng)理解可由計算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一 流程和/或方框、W及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供運(yùn)些計算 機(jī)程序指令到通用計算機(jī)、專用計算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理 器W產(chǎn)生一個機(jī)器,使得通過計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生 用于實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能 的裝置。 陽201] 運(yùn)些計算機(jī)程序指令也可存儲在能引導(dǎo)計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備W特 定方式工作的計算機(jī)可讀存儲器中,使得存儲在該計算機(jī)可讀存儲器中的指令產(chǎn)生包括指 令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或 多個方框中指定的功能。 陽202] 運(yùn)些計算機(jī)程序指令也可裝載到計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計 算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟W產(chǎn)生計算機(jī)實(shí)現(xiàn)的處理,從而在計算機(jī)或 其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖 一個方框或多個方框中指定的功能的步驟。 陽203] 盡管已描述了本發(fā)明的優(yōu)選實(shí)施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造 性概念,則可對運(yùn)些實(shí)施例作出另外的變更和修改。所W,所附權(quán)利要求意欲解釋為包括優(yōu) 選實(shí)施例W及落入本發(fā)明范圍的所有變更和修改。 陽204] 顯然,本領(lǐng)域的技術(shù)人員可W對本發(fā)明實(shí)施例進(jìn)行各種改動和變型而不脫離本發(fā) 明實(shí)施例的精神和范圍。運(yùn)樣,倘若本發(fā)明實(shí)施例的運(yùn)些修改和變型屬于本發(fā)明權(quán)利要求 及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含運(yùn)些改動和變型在內(nèi)。
【主權(quán)項(xiàng)】
1. 一種融合通信中惡意軟件鑒別方法,應(yīng)用在網(wǎng)絡(luò)側(cè),其特征在于,包括: 針對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,獲取全部軟件樣本和全部網(wǎng)絡(luò)日志; 利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡 意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,將匹配失敗的軟件樣本作為第 一疑似惡意軟件樣本; 基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量,并將每一條 疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī)則向量計算相似 度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類門限的疑似惡意軟件 網(wǎng)絡(luò)行為,以及將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為第二疑似惡意軟件樣 本,P為設(shè)置的正整數(shù); 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,篩選出惡意軟 件。2. 如權(quán)利要求1所述的方法,其特征在于,利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征 庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn) 行匹配,包括: 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5特征 信息分別與數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似 惡意軟件樣本MD5特征庫進(jìn)行匹配,篩選出均匹配失敗的軟件樣本; 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。3. 如權(quán)利要求1所述的方法,其特征在于,基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶 的疑似惡意軟件網(wǎng)絡(luò)行為向量之前,進(jìn)一步包括: 利用預(yù)存的惡意軟件下載統(tǒng)一資源定位器URL庫和惡意軟件主控URL庫檢查所述全部 網(wǎng)絡(luò)日志; 篩選出則記載有連接惡意軟件下載URL和連接全網(wǎng)惡意軟件主控URL的網(wǎng)絡(luò)事件的網(wǎng) 絡(luò)日志,并將剩余的網(wǎng)絡(luò)日志作為全部網(wǎng)絡(luò)日志。4. 如權(quán)利要求1、2或3所述的方法,其特征在于,在基于所述全部網(wǎng)絡(luò)日志提取出每一 個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量之后,在將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與 疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī)則向量計算相似度之前,進(jìn)一步包括: 將每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量進(jìn)行單位化處理; 將單位化后的每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量分別與預(yù)設(shè)的行為向量計算 初始相似度,篩選出初始相似度大于設(shè)定門限值的疑似惡意軟件網(wǎng)絡(luò)行為向量以進(jìn)行后續(xù) 相似度計算。5. 如權(quán)利要求1所述的方法,其特征在于,將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別 與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中至 少一個相似度達(dá)到相應(yīng)的規(guī)則歸類門限的疑似惡意軟件網(wǎng)絡(luò)行為的過程中,進(jìn)一步包括: 再次篩選出對應(yīng)的P個相似度均未達(dá)到相應(yīng)的規(guī)則歸類門限的疑似惡意軟件網(wǎng)絡(luò)行 為,則將再次篩選出的疑似惡意軟件網(wǎng)絡(luò)行為向量對應(yīng)的網(wǎng)絡(luò)日志導(dǎo)出; 將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定。6. 如權(quán)利要求5所述的方法,其特征在于,將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡 意網(wǎng)絡(luò)彳丁為判定后,進(jìn)一步包括: 根據(jù)所述指定平臺返回的判定結(jié)果,篩選出網(wǎng)絡(luò)日志中記載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng) 絡(luò)日志,從記載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng)絡(luò)日志中提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī) 貝1J,并將其導(dǎo)入到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中。7. 如權(quán)利要求1、2或3所述的方法,其特征在于,篩選出對應(yīng)的P個相似度中至少一個 相似度達(dá)到相應(yīng)的規(guī)則歸類門限的疑似惡意軟件網(wǎng)絡(luò)行為后,進(jìn)一步包括: 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中僅有一個相似度達(dá)到相應(yīng) 的規(guī)則歸類門限的,則將所述任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為所述一個相似度對應(yīng)的 規(guī)則下的疑似惡意行為; 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中至少兩個相似度達(dá)到相應(yīng) 的規(guī)則歸類門限,則將所述任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為所述至少兩個相似度中取 值最小的相似度對應(yīng)的規(guī)則下的疑似惡意行為。8. 如權(quán)利要求1所述的方法,其特征在于,將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng) 的軟件作為第二疑似惡意軟件樣本之后,針對第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別 之前,進(jìn)一步包括: 利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本MD5 特征庫,對所述第二疑似惡意軟件樣本進(jìn)行匹配,篩選出均匹配失敗的軟件樣本; 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。9. 如權(quán)利要求1 一 8任一項(xiàng)所述的方法,其特征在于,針對第一疑似惡意樣本和第二疑 似惡意樣本中的每一個樣本進(jìn)行鑒別,篩選出惡意軟件,包括: 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進(jìn)行反編譯和模擬 安裝,獲得每一個樣本的靜態(tài)資源信息和動態(tài)行為信息,分析每一個樣本的靜態(tài)資源信息 和動態(tài)行為信息,依據(jù)預(yù)設(shè)的分析準(zhǔn)則,獲取每一個樣本的分析結(jié)果; 根據(jù)每一個樣本的分析結(jié)果,篩選出符合預(yù)設(shè)的惡意行為條件的疑似惡意樣本,作為 惡意軟件。10. 如權(quán)利要求9所述的方法,其特征在于,進(jìn)一步包括: 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,若其中的任意 一個疑似惡意樣本不能獲得鑒別結(jié)果,將所述任意一個疑似惡意樣本進(jìn)行導(dǎo)出; 將導(dǎo)出的所述任意一個疑似惡意樣本發(fā)送至指定平臺進(jìn)行惡意軟件判定。 根據(jù)所述指定平臺返回的判定結(jié)果,篩選出惡意軟件和非惡意軟件; 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡意軟 件對應(yīng)的下載URL和主控URL添加至惡意軟件待封堵URL庫中,以及將所述惡意軟件對應(yīng) 的下載URL添加至惡意軟件下載URL庫中、將所述惡意軟件對應(yīng)的主控URL添加至惡意軟 件主控URL庫中; 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。11. 如權(quán)利要求1 一 9任一項(xiàng)所述的方法,其特征在于,針對第一疑似惡意樣本和第二 疑似惡意樣本中的每一個樣本進(jìn)行鑒別,篩選出惡意軟件之后,進(jìn)一步包括: 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡意軟 件對應(yīng)的下載URL和主控URL添加至惡意軟件待封堵URL庫中,以及將所述惡意軟件對應(yīng) 的下載URL添加至惡意軟件下載URL庫中、將所述惡意軟件對應(yīng)的主控URL添加至惡意軟 件主控URL庫中; 分析惡意軟件的發(fā)作行為特征,提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則,并將其更 新到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中; 獲取惡意軟件對應(yīng)的網(wǎng)絡(luò)日志,并將添加至染毒用戶日志數(shù)據(jù)庫中; 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。12. -種融合通信中惡意軟件鑒別系統(tǒng),應(yīng)用在網(wǎng)絡(luò)側(cè),其特征在于,包括: 接入網(wǎng)關(guān),用于針對原始網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行還原,獲取全部軟件樣本和全部網(wǎng)絡(luò)日 志; 軟件監(jiān)測裝置,用于利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本 MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本進(jìn)行匹配,將匹配失敗 的軟件樣本作為第一疑似惡意軟件樣本; 軟件監(jiān)測裝置,還用于基于所述全部網(wǎng)絡(luò)日志提取出每一個用戶的疑似惡意軟件網(wǎng)絡(luò) 行為向量,并將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P 個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類 門限的疑似惡意軟件網(wǎng)絡(luò)行為,以及將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對應(yīng)的軟件作為 第二疑似惡意軟件樣本; 中央管理平臺,用于針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行 鑒別,篩選出惡意軟件。13. 如權(quán)利要求12所述的系統(tǒng),其特征在于,利用數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特 征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本MD5特征庫,對獲取的全部軟件樣本 進(jìn)行匹配時,所述軟件監(jiān)測裝置用于: 計算獲取的全部軟件樣本的MD5特征信息,將計算得到的每一個軟件樣本的MD5特征 信息分別與數(shù)據(jù)庫中預(yù)存的惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似 惡意軟件樣本MD5特征庫進(jìn)行匹配,篩選出均匹配失敗的軟件樣本; 將均匹配失敗的軟件樣本作為第一疑似惡意軟件樣本。14. 如權(quán)利要求12所述的系統(tǒng),其特征在于,基于所述全部網(wǎng)絡(luò)日志提取出每一個用 戶的疑似惡意軟件網(wǎng)絡(luò)行為向量之前,所述軟件監(jiān)測裝置進(jìn)一步用于: 利用預(yù)存的惡意軟件下載URL庫和惡意軟件主控URL庫檢查所述全部網(wǎng)絡(luò)日志; 篩選出則記載有連接惡意軟件下載URL和連接全網(wǎng)惡意軟件主控URL的網(wǎng)絡(luò)事件的網(wǎng) 絡(luò)日志,并將剩余的網(wǎng)絡(luò)日志作為全部網(wǎng)絡(luò)日志。15. 如權(quán)利要求12、13或14所述的系統(tǒng),其特征在于,在基于所述全部網(wǎng)絡(luò)日志提取出 每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量之后,在將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分 別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī)則向量計算相似度之前,所述軟件監(jiān)測裝置進(jìn)一 步用于: 將每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量進(jìn)行單位化處理; 將單位化后的每一個用戶的疑似惡意軟件網(wǎng)絡(luò)行為向量分別與預(yù)設(shè)的行為向量計算 初始相似度,篩選出初始相似度大于設(shè)定門限值的疑似惡意軟件網(wǎng)絡(luò)行為向量以進(jìn)行后續(xù) 相似度計算。16. 如權(quán)利要求12所述的系統(tǒng),其特征在于,將每一條疑似惡意軟件網(wǎng)絡(luò)行為向量分 別與疑似惡意軟件網(wǎng)絡(luò)行為庫中的P個規(guī)則向量計算相似度,篩選出對應(yīng)的P個相似度中 至少一個相似度達(dá)到相應(yīng)的規(guī)則歸類門限的疑似惡意軟件網(wǎng)絡(luò)行為的過程中,所述軟件監(jiān) 測裝置進(jìn)一步用于: 再次篩選出對應(yīng)的P個相似度均未達(dá)到相應(yīng)的規(guī)則歸類門限的疑似惡意軟件網(wǎng)絡(luò)行 為,則將再次篩選出的疑似惡意軟件網(wǎng)絡(luò)行為向量對應(yīng)的網(wǎng)絡(luò)日志導(dǎo)出; 將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行惡意網(wǎng)絡(luò)行為判定。17. 如權(quán)利要求16所述的系統(tǒng),其特征在于,將導(dǎo)出的網(wǎng)絡(luò)日志發(fā)送至指定平臺進(jìn)行 惡意網(wǎng)絡(luò)行為判定后,所述中央管理平臺進(jìn)一步用于: 根據(jù)所述指定平臺返回的判定結(jié)果,篩選出網(wǎng)絡(luò)日志中記載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng) 絡(luò)日志,從記載有惡意軟件網(wǎng)絡(luò)行為的網(wǎng)絡(luò)日志中提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī) 貝1J,并將其導(dǎo)入到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中。18. 如權(quán)利要求12、13或14所述的系統(tǒng),其特征在于,篩選出對應(yīng)的P個相似度中至少 一個相似度達(dá)到相應(yīng)的規(guī)則歸類門限的疑似惡意軟件網(wǎng)絡(luò)行為后,所述軟件監(jiān)測裝置進(jìn)一 步用于: 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中僅有一個相似度達(dá)到相應(yīng) 的規(guī)則歸類門限的,則將所述任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為所述一個相似度對應(yīng)的 規(guī)則下的疑似惡意行為; 若判定任意一疑似惡意軟件網(wǎng)絡(luò)行為對應(yīng)的P個相似度中至少兩個相似度達(dá)到相應(yīng) 的規(guī)則歸類門限,則將所述任意一疑似惡意軟件網(wǎng)絡(luò)行為歸類為所述至少兩個相似度中取 值最小的相似度對應(yīng)的規(guī)則下的疑似惡意行為。19. 如權(quán)利要求12所述的系統(tǒng),其特征在于,將篩選出的疑似惡意軟件網(wǎng)絡(luò)行為所對 應(yīng)的軟件作為第二疑似惡意軟件樣本之后,針對第二疑似惡意樣本中的每一個樣本進(jìn)行鑒 別之前,所述軟件監(jiān)測裝置進(jìn)一步用于: 利用惡意軟件樣本MD5特征庫、非惡意軟件樣本MD5特征庫和疑似惡意軟件樣本MD5 特征庫,對所述第二疑似惡意軟件樣本進(jìn)行匹配,篩選出均匹配失敗的軟件樣本; 將均匹配失敗的軟件樣本作為第二疑似惡意軟件樣本。20. 如權(quán)利要求12 - 19任一項(xiàng)所述的系統(tǒng),其特征在于,針對第一疑似惡意樣本和第 二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,篩選出惡意軟件時,所述中央管理平臺用于: 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本分別進(jìn)行反編譯和模擬 安裝,獲得每一個樣本的靜態(tài)資源信息和動態(tài)行為信息,分析每一個樣本的靜態(tài)資源信息 和動態(tài)行為信息,依據(jù)預(yù)設(shè)的分析準(zhǔn)則,獲取每一個樣本的分析結(jié)果; 根據(jù)每一個樣本的分析結(jié)果,篩選出符合預(yù)設(shè)的惡意行為條件的疑似惡意樣本,作為 惡意軟件。21. 如權(quán)利要求20所述的系統(tǒng),其特征在于,所述中央管理平臺進(jìn)一步用于: 針對第一疑似惡意樣本和第二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,若其中的任意 一個疑似惡意樣本不能獲得鑒別結(jié)果,將所述任意一個疑似惡意樣本進(jìn)行導(dǎo)出; 將導(dǎo)出的所述任意一個疑似惡意樣本發(fā)送至指定平臺進(jìn)行惡意軟件判定。 根據(jù)所述指定平臺返回的判定結(jié)果,篩選出惡意軟件和非惡意軟件; 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡意軟 件對應(yīng)的下載URL和主控URL添加至惡意軟件待封堵URL庫中,以及將所述惡意軟件對應(yīng) 的下載URL添加至惡意軟件下載URL庫中、將所述惡意軟件對應(yīng)的主控URL添加至惡意軟 件主控URL庫中; 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件軟件樣本MD5特征庫。22.如權(quán)利要求12 - 20任一項(xiàng)所述的系統(tǒng),其特征在于,針對第一疑似惡意樣本和第 二疑似惡意樣本中的每一個樣本進(jìn)行鑒別,篩選出惡意軟件之后,所述中央管理平臺進(jìn)一 步用于: 提取惡意軟件的MD5特征信息將其添加至惡意軟件樣本MD5特征庫,并將所述惡意軟 件對應(yīng)的下載URL和主控URL添加至惡意軟件待封堵URL庫中,以及將所述惡意軟件對應(yīng) 的下載URL添加至惡意軟件下載URL庫中、將所述惡意軟件對應(yīng)的主控URL添加至惡意軟 件主控URL庫中; 分析惡意軟件的發(fā)作行為特征,提取新的疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則,并將其更 新到疑似惡意軟件網(wǎng)絡(luò)行為篩選規(guī)則庫中; 獲取惡意軟件對應(yīng)的網(wǎng)絡(luò)日志,并將添加至染毒用戶日志數(shù)據(jù)庫中; 提取非惡意軟件的MD5特征信息將其添加至非惡意軟件樣本MD5特征庫。
【文檔編號】G06F21/56GK105825129SQ201510002313
【公開日】2016年8月3日
【申請日】2015年1月4日
【發(fā)明人】常玲, 趙蓓, 杜雪濤, 陳濤, 劉佳, 張琳, 張高山, 馬力鵬, 薛姍, 洪東, 吳日切夫, 張艋, 杜剛, 冀文, 婁濤, 林華生, 陳云超
【申請人】中國移動通信集團(tuán)設(shè)計院有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1