惡意應(yīng)用軟件的網(wǎng)絡(luò)流量數(shù)據(jù);然后,分別構(gòu)建正常應(yīng)用軟件的網(wǎng)絡(luò)行為重構(gòu)圖和惡意應(yīng)用軟件的網(wǎng)絡(luò)行為重構(gòu)圖;最后,建立圖相似匹配模型。
[0144]圖7為實(shí)施例用戶使用圖相似匹配模型檢測(cè)流程圖,如圖7所示,該方法包括:
[0145]獲取用戶移動(dòng)終端應(yīng)用軟件所產(chǎn)生的網(wǎng)絡(luò)流量;
[0146]在采集到的用戶移動(dòng)終端應(yīng)用軟件所產(chǎn)生的網(wǎng)絡(luò)流量中,利用網(wǎng)絡(luò)數(shù)據(jù)流提取程序提取出該應(yīng)用軟件的網(wǎng)絡(luò)數(shù)據(jù)流;
[0147]依次提取出采集到的網(wǎng)絡(luò)流量數(shù)據(jù)中的所有的網(wǎng)絡(luò)數(shù)據(jù)流;
[0148]根據(jù)提取出的所有的網(wǎng)絡(luò)數(shù)據(jù)流,構(gòu)建該應(yīng)用軟件的網(wǎng)絡(luò)行為重構(gòu)圖;
[0149]分別計(jì)算該應(yīng)用軟件的網(wǎng)絡(luò)行為重構(gòu)圖與惡意應(yīng)用軟件網(wǎng)絡(luò)行為重構(gòu)圖和正常應(yīng)用軟件網(wǎng)絡(luò)行為重構(gòu)圖之間的相似度;
[0150]若計(jì)算得到的與惡意應(yīng)用軟件網(wǎng)絡(luò)行為重構(gòu)圖的相似度大于正常應(yīng)用軟件網(wǎng)絡(luò)行為重構(gòu)圖的相似度,則該應(yīng)用是惡意應(yīng)用;
[0151]若計(jì)算得到的與惡意應(yīng)用軟件網(wǎng)絡(luò)行為重構(gòu)圖的相似度小于正常應(yīng)用軟件網(wǎng)絡(luò)行為重構(gòu)圖的相似度,則該應(yīng)用是正常應(yīng)用。
[0152]當(dāng)用戶需要使用該模型時(shí),只需要輸入用戶移動(dòng)終端應(yīng)用軟件所產(chǎn)生的網(wǎng)絡(luò)流量,構(gòu)建出網(wǎng)絡(luò)行為重構(gòu)圖,然后分別計(jì)算其與該圖相似匹配模型中的正常應(yīng)用軟件的網(wǎng)絡(luò)行為重構(gòu)圖的相似度,以及與惡意應(yīng)用軟件的網(wǎng)絡(luò)行為重構(gòu)圖的相似度。若計(jì)算得到的與惡意應(yīng)用軟件網(wǎng)絡(luò)行為重構(gòu)圖的相似度大于正常應(yīng)用軟件網(wǎng)絡(luò)行為重構(gòu)圖的相似度,則說明用戶安裝了惡意軟件。
[0153]圖8為利用機(jī)器學(xué)習(xí)的無監(jiān)督學(xué)習(xí)算法和有監(jiān)督學(xué)習(xí)算法構(gòu)建具有發(fā)現(xiàn)未知惡意軟件檢測(cè)模型的過程圖。首先,在原始特征集的基礎(chǔ)上,采用無監(jiān)督學(xué)習(xí)算法發(fā)現(xiàn)未知的惡意軟件;其次,提取未知惡意軟件的特征,建立新的特征集;最后,在新的特征集的基礎(chǔ)上采用有監(jiān)督的學(xué)習(xí)算法獲得檢測(cè)模型。
[0154]圖9為利用機(jī)器學(xué)習(xí)的無監(jiān)督學(xué)習(xí)算法和有監(jiān)督學(xué)習(xí)算法建立具有發(fā)現(xiàn)未知惡意軟件檢測(cè)模型的流程圖,如圖9所示。該方法包括:
[0155]提取采集到的網(wǎng)絡(luò)流量數(shù)據(jù)中的基本特征。這些特征類型主要是數(shù)值類型特征和標(biāo)稱類型特征,包括流量上傳和下載比值、流的連接持續(xù)時(shí)間、流中包的平均到達(dá)時(shí)間、源端口號(hào)、目的端口號(hào)等;
[0156]以無監(jiān)督學(xué)習(xí)算法中的聚類算法為主,對(duì)提取到的網(wǎng)絡(luò)行為的基本特征進(jìn)行聚類,來發(fā)現(xiàn)未知的惡意軟件;
[0157]利用聚類算法發(fā)現(xiàn)了新的未知的移動(dòng)終端惡意軟件;
[0158]從新發(fā)現(xiàn)的未知惡意軟件中提取出新的特征,加入到原始特征集中,形成新的特征集;
[0159]以有監(jiān)督學(xué)習(xí)算法中的分類算法為主,利用新的特征集訓(xùn)練模型,得到模型的最優(yōu)參數(shù);
[0160]得到模型的最優(yōu)參數(shù)后,獲得分類模型。
[0161]圖10為實(shí)施例以機(jī)器學(xué)習(xí)無監(jiān)督學(xué)習(xí)算法的K均值方法對(duì)原始特征集進(jìn)行聚類的流程圖,該方法包括:
[0162]步驟161,輸入要聚類的簇的個(gè)數(shù)為K ;
[0163]步驟162,在原始特征集上隨機(jī)初始化K個(gè)聚類中心;
[0164]步驟163,計(jì)算每個(gè)樣本與K個(gè)聚類中心之間的距離,并將其分配到最近距離的類中;
[0165]步驟164,分配完畢后,計(jì)算新的類的中心;
[0166]步驟165,新的類的中心是否收斂,收斂條件設(shè)置為迭代次數(shù);
[0167]步驟166,若迭代次數(shù)達(dá)到了設(shè)定的次數(shù),則輸出聚類結(jié)果;
[0168]步驟167,若迭代次數(shù)沒有達(dá)到設(shè)定的次數(shù)則返回步驟163,直到達(dá)到設(shè)定的迭代次數(shù)。
[0169]圖11為實(shí)施例建立機(jī)器學(xué)習(xí)的SVM模型流程圖,該方法包括:
[0170]步驟171,在發(fā)現(xiàn)的新的未知惡意軟件樣本的基礎(chǔ)上,加上類別標(biāo)簽形成新的特征集;
[0171]步驟172,在新的特征集中選取其中的一部分?jǐn)?shù)據(jù)作為訓(xùn)練集;
[0172]步驟173,在新的特征集中選取剩余部分?jǐn)?shù)據(jù)作為測(cè)試集;
[0173]步驟174,對(duì)SVM模型的參數(shù)進(jìn)行編碼;
[0174]步驟175,初始化工作,完成對(duì)數(shù)據(jù)的預(yù)處理,包括特征的歸一化,模型參數(shù)的初始化;
[0175]步驟176,在訓(xùn)練集提取的網(wǎng)絡(luò)流量特征集上訓(xùn)練SVM模型;
[0176]步驟177,用測(cè)試集評(píng)估模型的分類效果;
[0177]步驟178,評(píng)估分類效果是否滿足結(jié)束條件,結(jié)束條件可以設(shè)置為誤差精度或者模型的訓(xùn)練次數(shù);
[0178]步驟179,若已經(jīng)達(dá)到結(jié)束條件,則獲得了 SVM模型的各個(gè)參數(shù);
[0179]步驟180,由獲取的參數(shù)得到SVM模型;
[0180]步驟181,若沒有達(dá)到結(jié)束條件,則繼續(xù)返回到步驟176,繼續(xù)訓(xùn)練模型,直到滿足結(jié)束條件為止。
[0181]圖12為實(shí)施例用戶使用SVM模型檢測(cè)流程圖,如圖12所示,該方法包括:
[0182]步驟190,獲取用戶移動(dòng)終端應(yīng)用軟件所產(chǎn)生的網(wǎng)絡(luò)流量;
[0183]步驟191,在采集到的用戶移動(dòng)終端應(yīng)用軟件所產(chǎn)生的網(wǎng)絡(luò)流量中;提取出數(shù)值型特征和標(biāo)稱型特征;
[0184]步驟192,對(duì)提取到的數(shù)值型特征和標(biāo)稱型特征進(jìn)行歸一化等預(yù)處理;
[0185]步驟193,對(duì)歸一化后的特征,使用訓(xùn)練好的SVM模型進(jìn)行檢測(cè)。
[0186]因此,檢測(cè)模型服務(wù)器主要負(fù)責(zé)對(duì)模型的訓(xùn)練以及模型參數(shù)的優(yōu)化。檢測(cè)模型服務(wù)器針對(duì)多種類型的流量特征,分別設(shè)計(jì)了對(duì)應(yīng)的不同類型的檢測(cè)模型,用戶可以根據(jù)實(shí)際需要自主選擇所需要的模型。同時(shí),檢測(cè)模型服務(wù)器通過不斷的訓(xùn)練,對(duì)檢測(cè)服務(wù)器中的檢測(cè)模型進(jìn)行擴(kuò)充,并使檢測(cè)模型參數(shù)達(dá)到最優(yōu),保證檢測(cè)結(jié)果更加準(zhǔn)確。
[0187]為了實(shí)現(xiàn)本發(fā)明的檢測(cè)系統(tǒng),如圖2所示,該檢測(cè)系統(tǒng)中各個(gè)單元之間的協(xié)調(diào)管理需采用邏輯管理模塊進(jìn)行對(duì)各個(gè)處理單元的合理調(diào)度。邏輯管理模塊由下面4個(gè)模塊構(gòu)成:
[0188]用戶管理模塊:由于只有注冊(cè)并通過認(rèn)證的用戶才可以接入檢測(cè)服務(wù)系統(tǒng),所以需要對(duì)用戶移動(dòng)終端進(jìn)行認(rèn)證。用戶管理模塊主要實(shí)現(xiàn)與用戶之間的交互功能,基本功能包括用戶的注冊(cè)和認(rèn)證。
[0189]流量管理模塊:本發(fā)明通過分析移動(dòng)終端產(chǎn)生的網(wǎng)絡(luò)流量來檢測(cè)移動(dòng)終端中是否安裝了惡意軟件,所以需要獲取到移動(dòng)終端產(chǎn)生的網(wǎng)絡(luò)流量。流量管理模塊主要負(fù)責(zé)實(shí)現(xiàn)對(duì)移動(dòng)終端流量的采集、處理和存儲(chǔ)。
[0190]特征管理模塊:此模塊主要負(fù)責(zé)從采集到的原始網(wǎng)絡(luò)流量中提取出有效的特征。在采集到移動(dòng)終端產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)后,采用特征提取和特征聚合的方法,從網(wǎng)絡(luò)流量數(shù)據(jù)中提取出有效特征并建立特征集。
[0191]模型管理模塊:主要負(fù)責(zé)讀取從特征管理模塊提取出的特征集,此外,該模塊還負(fù)責(zé)連接檢測(cè)模型服務(wù)器,實(shí)現(xiàn)對(duì)檢測(cè)模型的更新。
[0192]為了實(shí)現(xiàn)基于接入點(diǎn)的惡意軟件檢測(cè)系統(tǒng)的基本功能,還設(shè)有底層管理模塊,它主要包括3個(gè)模塊:
[0193]通信服務(wù)模塊:主要負(fù)責(zé)各個(gè)模塊之間,各個(gè)單元之間的通信,實(shí)現(xiàn)信息流的傳遞;
[0194]日志記錄模塊:主要負(fù)責(zé)記錄系統(tǒng)的運(yùn)行,包括運(yùn)行日志和異常日志;
[0195]系統(tǒng)監(jiān)測(cè)模塊:主要負(fù)責(zé)監(jiān)控系統(tǒng)的運(yùn)行和處理系統(tǒng)異常。
[0196]如圖2所示,本發(fā)明的基于接入點(diǎn)的惡意軟件網(wǎng)絡(luò)行為檢測(cè)模型檢測(cè)原理為:
[0197]步驟110,用戶管理模塊接收到用戶的檢測(cè)服務(wù)請(qǐng)求;
[0198]步驟111,用戶交互單元認(rèn)證用戶及移動(dòng)終端設(shè)備信息;
[0199]認(rèn)證的內(nèi)容主要包括國際移動(dòng)設(shè)備識(shí)別碼頂EI,終端設(shè)備的MAC地址,國際移動(dòng)設(shè)備標(biāo)識(shí)碼頂EI具有唯一性,相當(dāng)于移動(dòng)設(shè)備的身份證;
[0200]步驟112,流量管理模塊為用戶移動(dòng)終端分配流量鏡像端口 ;
[0201]認(rèn)證通過后,交由流量管理模塊處理;流量管理模塊為用戶移動(dòng)終端分配流量鏡像端口 ;該端口是檢測(cè)服務(wù)系統(tǒng)動(dòng)態(tài)分配給每個(gè)用戶的,按照一定的調(diào)度機(jī)制,檢測(cè)服務(wù)系統(tǒng)對(duì)端口進(jìn)行分配管理;
[0202]步驟113,流量鏡像單元開始采集用戶移動(dòng)終端產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù);
[0203]步驟114,流量緩存單元將采集到的用戶移動(dòng)終端產(chǎn)生的網(wǎng)絡(luò)流量數(shù)據(jù)暫時(shí)存儲(chǔ)起來;
[0204]步驟115,流量識(shí)別單元對(duì)采集到的流量數(shù)據(jù)進(jìn)行識(shí)別,經(jīng)過識(shí)別后的流量數(shù)據(jù)帶有具體軟件名稱的標(biāo)簽,通過此標(biāo)簽可以識(shí)別出具體的軟件;
[0205]步驟116,隱私處理單元對(duì)識(shí)別后的流量數(shù)據(jù)的隱私內(nèi)容做加密處理,例如:用戶的銀行賬號(hào)密碼、支付寶賬號(hào)密碼、私人信息等內(nèi)容都屬于隱私內(nèi)容。針對(duì)隱私內(nèi)容的主要的處理方法是使用加密算法對(duì)流量數(shù)據(jù)進(jìn)行加密處理,來達(dá)到保護(hù)數(shù)據(jù)不被非法竊取、閱讀的目的;
[0206]步驟117,流量存儲(chǔ)單元將存儲(chǔ)流量數(shù)據(jù)。此時(shí)的流量數(shù)據(jù)都是經(jīng)過識(shí)別、隱私加密處理以后的流量數(shù)據(jù);
[0207]步驟118,特征管理模塊讀取流量存儲(chǔ)單元里的網(wǎng)絡(luò)流量數(shù)據(jù);
[0208]步驟119,特征提取單元中的特征提取程序從流量數(shù)據(jù)中提取出網(wǎng)絡(luò)流量基本特征;
[0209]步驟120,特征聚合單元對(duì)基本網(wǎng)絡(luò)流量特征進(jìn)行聚合;特征聚合單元主要完成多個(gè)特征之間的相互聚合,使其成為一個(gè)或幾個(gè)新的有效的特征;
[0210]步驟121,在步驟118和步驟119的基礎(chǔ)上建立網(wǎng)絡(luò)流量數(shù)據(jù)的特征集;
[0211]步驟122,模型管理模塊讀取網(wǎng)絡(luò)流量的特征集,并將其輸入到檢測(cè)服務(wù)器中;
[0212]步驟123,檢測(cè)服務(wù)器中的檢測(cè)模型對(duì)特征集計(jì)算處理,并輸出檢