【技术实现步骤摘要】
一种恶意软件网络入侵检测特征码的生成方法和设备
本专利技术涉及通信领域,尤其涉及一种恶意软件网络入侵检测特征码的生成方法和 设备。
技术介绍
现阶段,恶意软件的网络入侵对因特网安全已经造成了严重危险,目前,可以通过 网络入侵检测系统(Network Intrusion Detection System,简称NIDS)和网络入侵防御系 统(Network Intrusion Prevention System,简称NIPS)对恶意软件的网络通信进行检测, 但是现有技术中NIDS特征码需要通过工程师通过手工或半手工的方式对恶意软件代码样 本在单一运行设备上的网络行为进行追踪来提取,提取效率低,降低了 NIDS和NIPS系统对 新兴恶意软件的响应速度,而且仅从恶意软件代码样本在单一运行环境中的运行结果所得 到的特征码往往带有该单一运行环境的参数,故所得到的特征码不具备通用性。
技术实现思路
本专利技术的实施例提供一种恶意软件网络入侵检测特征码的生成方法和设备,实现 了在多种运行环境下自动提取恶意软件网络特征码,提高了网络特征码的提取效率、通用 性以及NIDS和NIPS系统对新兴恶意软件的响应速度。 为达到上述目的,本专利技术的实施例采用如下技术方案: 第一方面,提供了一种恶意软件网络入侵检测特征码的生成方法,包括: 在具有不同运行环境的至少两个运行设备上分别运行恶意软件程序样本,并分别 截取每个所述运行设备运行所述恶意软件程序样本产生的网络封包捕捉文件; 对每个所述网络封包捕捉文件依次进行数据流重组、通信数据 ...
【技术保护点】
一种恶意软件网络入侵检测特征码的生成方法,其特征在于,包括:在具有不同运行环境的至少两个运行设备上分别运行恶意软件程序样本,并分别截取每个所述运行设备运行所述恶意软件程序样本产生的网络封包捕捉文件;对每个所述网络封包捕捉文件依次进行数据流重组、通信数据分类、公共子串提取和特征码生成过程,得到所述恶意软件网络入侵检测特征码。
【技术特征摘要】
1. 一种恶意软件网络入侵检测特征码的生成方法,其特征在于,包括: 在具有不同运行环境的至少两个运行设备上分别运行恶意软件程序样本,并分别截取 每个所述运行设备运行所述恶意软件程序样本产生的网络封包捕捉文件; 对每个所述网络封包捕捉文件依次进行数据流重组、通信数据分类、公共子串提取和 特征码生成过程,得到所述恶意软件网络入侵检测特征码。2. 根据权利要求1所述的方法,其特征在于,所述方法还包括, 对所述恶意软件网络入侵检测特征码进行网络入侵检测系统NIDS规则有效性验证, 消除所述恶意软件网络入侵检测特征码中的无效规则。3. 根据权利要求2所述的方法,其特征在于,所述方法还包括, 根据预先截取的已知合法流量,对所述进行NIDS规则有效性验证后的恶意软件网络 入侵检测特征码进行规则验证,去除所述恶意软件网络入侵检测特征码中在实际使用中可 能产生误报的规则。4. 根据权利要求1-3任一项所述的方法,其特征在于,所述运行环境包括操作系统版 本、浏览器版本、身份权限、计算机名、用户名和IP地址中的一项或多项。5. 根据权利要求1-4任一项所述的方法,其特征在于,所述在分别具有不同的运行环 境的至少两个运行设备上分别运行恶意软件程序样本,包括, 在预设时长内,分别在具有不同运行环境的至少两个所述运行设备上运行恶意软件的 程序样本, 相应的,所述分别截取每个所述运行设备运行所述恶意软件程序样本产生的网络封包 捕捉文件包括: 分别截取每个所述运行设备在所述预设时长内运行所述恶意软件程序样本产生的网 络封包捕捉文件。6. 根据权利要求1-5任一项所述的方法,其特征在于,所述对每个所述网络封包捕捉 文件依次进行数据流重组、通信数据归类、公共子串提取和特征码生成过程,得到所述恶意 软件网络入侵检测特征码,具体包括: 对每个所述网络封包捕捉文件进行数据流重组,获得所述每个运行设备对应的通信数 据; 将所述运行设备的通信数据归总后依据服务器IP地址、传输层协议、端口号及传输方 向进行分类,得到分类后的通信数据集合; 分别从每个所述分类后的通信数据集合中提取每个所述分类后的通信数据集合的公 共子串; 根据每个所述分类后的通信数据集合的公共子串构成的公共子串序列,获得所述恶意 软件网络入侵检测特征码。7. 根据权利要求6所述方法,其特征在于, 所述根据每个所述分类后的通信数据集合的公共子串构成的公共子串序列,获到所述 恶意软件网络入侵检测特征码,包括: 针对每个分类后的通信数据集合,若所述通信数据集合中由一个或多个公共子串排列 组合构成的公共子串序列,能够匹配对应的所述通信数据集合中预设比例的通信数据,则 确定所述公共子串序列为所述...
【专利技术属性】
技术研发人员:吴晓昕,邹福泰,
申请(专利权)人:华为技术有限公司,上海交通大学,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。