一种恶意软件网络入侵检测特征码的生成方法和设备技术

本发明专利技术的实施例提供一种恶意软件网络入侵检测特征码的生成方法和设备，实现了在多种运行环境下自动提取恶意软件网络特征码，提高了网络特征码的提取效率、通用性以及NIDS和NIPS系统对新兴恶意软件的响应速度。本发明专利技术实施例提供的方法包括：在具有不同运行环境的至少两个运行设备上分别运行恶意软件程序样本，并分别截取每个所述运行设备运行所述恶意软件程序样本产生的网络封包捕捉文件；对每个所述网络封包捕捉文件依次进行数据流重组、通信数据分类、公共子串提取和特征码生成过程，得到所述恶意软件网络入侵检测特征码。

【技术实现步骤摘要】
一种恶意软件网络入侵检测特征码的生成方法和设备
本专利技术涉及通信领域，尤其涉及一种恶意软件网络入侵检测特征码的生成方法和 设备。
技术介绍
现阶段，恶意软件的网络入侵对因特网安全已经造成了严重危险，目前，可以通过 网络入侵检测系统（Network Intrusion Detection System，简称NIDS)和网络入侵防御系 统（Network Intrusion Prevention System,简称NIPS)对恶意软件的网络通信进行检测， 但是现有技术中NIDS特征码需要通过工程师通过手工或半手工的方式对恶意软件代码样 本在单一运行设备上的网络行为进行追踪来提取，提取效率低，降低了 NIDS和NIPS系统对 新兴恶意软件的响应速度，而且仅从恶意软件代码样本在单一运行环境中的运行结果所得 到的特征码往往带有该单一运行环境的参数，故所得到的特征码不具备通用性。
技术实现思路
本专利技术的实施例提供一种恶意软件网络入侵检测特征码的生成方法和设备，实现 了在多种运行环境下自动提取恶意软件网络特征码，提高了网络特征码的提取效率、通用 性以及NIDS和NIPS系统对新兴恶意软件的响应速度。 为达到上述目的，本专利技术的实施例采用如下技术方案： 第一方面，提供了一种恶意软件网络入侵检测特征码的生成方法，包括： 在具有不同运行环境的至少两个运行设备上分别运行恶意软件程序样本，并分别 截取每个所述运行设备运行所述恶意软件程序样本产生的网络封包捕捉文件； 对每个所述网络封包捕捉文件依次进行数据流重组、通信数据分类、公共子串提 取和特征码生成过程，得到所述恶意软件网络入侵检测特征码。 在第一种可能的实现方式中，根据第一方面，所述方法还包括， 对所述恶意软件网络入侵检测特征码进行NIDS规则有效性验证，消除所述恶意 软件网络入侵检测特征码中的无效规则。 在第二种可能的实现方式中，结合第一种可能的实现方式，所述方法还包括， 根据预先截取的已知合法流量，对所述进行NIDS规则有效性验证后的恶意软件 网络入侵检测特征码进行规则验证，去除所述恶意软件网络入侵检测特征码中在实际使用 中可能产生误报的规则。 在第三种可能的实现方式中，结合第一方面或者第一种可能的实现方式或者第二 种可能的实现方式，所述运行环境包括操作系统版本、浏览器版本、身份权限、计算机名、用 户名和IP地址中的一项或多项。 在第四种可能的实现方式中，结合第一方面，第一种至第三种可能的实现方式中 的任一项，所述在分别具有不同的运行环境的至少两个运行设备上分别运行恶意软件程序 样本，包括， 在预设时长内，分别在具有不同运行环境的至少两个所述运行设备上运行恶意软 件的程序样本， 相应的，所述分别截取每个所述运行设备运行所述恶意软件程序样本产生的网络 封包捕捉文件包括： 分别截取每个所述运行设备在所述预设时长内运行所述恶意软件程序样本产生 的网络封包捕捉文件。 在第五种可能的实现方式中，结合第一方面，第一种至第四种可能的实现方式中 的任一项，所述对每个所述网络封包捕捉文件依次进行数据流重组、通信数据归类、公共子 串提取和特征码生成过程，得到所述恶意软件网络入侵检测特征码，具体包括： 对每个所述网络封包捕捉文件进行数据流重组，获得所述每个运行设备对应的通 信数据； 将所述运行设备的通信数据归总后依据服务器IP地址、传输层协议、端口号及传 输方向进行分类，得到分类后的通信数据集合； 分别从每个所述分类后的通信数据集合中提取每个所述分类后的通信数据集合 的公共子串； 根据每个所述分类后的通信数据集合的公共子串构成的公共子串序列，获得所述 恶意软件网络入侵检测特征码。 在第六种可能的实现方式中，结合第五种可能的实现方式，所述根据每个所述分 类后的通信数据集合的公共子串构成的公共子串序列，获到所述恶意软件网络入侵检测特 征码，包括： 针对每一个分类后的通信数据集合，若所述通信数据集合中由一个或多个公共子 串排列组合构成的公共子串序列，能够匹配对应的所述通信数据集合中预设比例的通信数 据，则确定所述公共子串序列为所述恶意软件网络入侵检测特征码。 第二方面，提供了一种恶意软件网络入侵检测特征码的生成设备，与具有不同运 行环境的至少两个运行设备连接，所述设备包括： 监视单元，用于开启和关闭具有不同运行环境的至少两个运行设备以及控制各个 运行设备运行恶意软件程序样本； 截取单元，用于分别截取每个所述运行设备运行所述恶意软件程序样本产生的网 络封包捕捉文件； 恶意软件网络入侵检测特征码生成单元，用于对每个所述网络封包捕捉文件依次 进行数据流重组、通信数据分类、公共子串提取和特征码生成过程，得到所述恶意软件网络 入侵检测特征码。 在第一种可能的实现方式中，根据第二方面，所述设备还包括， 有效性验证单元，用于对所述恶意软件网络入侵检测特征码进行NIDS规则有效 性验证，消除所述恶意软件网络入侵检测特征码中的无效规则。 在第二种可能的实现方式中，结合第一种可能的实现方式，所述的设备还包括， 合法流量误报验证单元，用于根据预先截取的已知合法流量，对所述进行NIDS规 则有效性验证后的恶意软件网络入侵检测特征码进行规则验证，去除所述恶意软件网络入 侵检测特征码中在实际使用中可能产生误报的规则。 在第三种可能的实现方式中，结合第二方面或者第一种可能的实现方式或者第二 种可能的实现方式，所述运行环境包括操作系统版本、浏览器版本、身份权限、计算机名、用 户名和IP地址中的一项或多项。 在第四种可能的实现方式中，结合第二方面，第一种至第三种可能的实现方式中 的任一项，所述监视单元用于 ： 在预设时长内，分别在具有不同运行环境的至少两个所述运行设备上运行恶意软 件的程序样本， 相应的，所述截取单元还用于：分别截取每个所述运行设备在所述预设时长内运 行所述恶意软件程序样本产生的网络封包捕捉文件。 在第五种可能的实现方式中，结合第二方面，第一种至第四种可能的实现方式中 的任一项，所述恶意软件网络入侵检测特征码生成单元，包括 ： 数据流重组模块，用于对每个所述网络封包捕捉文件进行数据流重组，获得所述 每个运行设备对应的通信数据； 分类模块，用于将所述运行设备的通信数据归总后依据服务器IP地址、传输层协 议、端口号及传输方向进行分类，得到分类后的通信数据集合； 公共子串提取模块，用于分别从每个所述分类后的通信数据集合中提取每个所述 分类后的通信数据集合的公共子串； 特征码获得模块，用于根据每个所述分类后的通信数据集合的公共子串构成的公 共子串序列，获得所述恶意软件网络入侵检测特征码。 在第六种可能的实现方式中，结合第五种可能的实现方式，所述特征码获得模块， 用于针对每一个分类后的通信数据集合，若所述通信数据集合中由一个或多个公共子串排 列组合构成的公共子串序列，能够匹配对应的所述通信数据集合中预设比例的通信数据， 则确定所述公共子串序列为所述恶意软件网络入侵检测特征码。 第三方面，提供了一种恶意软件网络入侵检测特征码本文档来自技高网...

【技术保护点】
一种恶意软件网络入侵检测特征码的生成方法，其特征在于，包括：在具有不同运行环境的至少两个运行设备上分别运行恶意软件程序样本，并分别截取每个所述运行设备运行所述恶意软件程序样本产生的网络封包捕捉文件；对每个所述网络封包捕捉文件依次进行数据流重组、通信数据分类、公共子串提取和特征码生成过程，得到所述恶意软件网络入侵检测特征码。

【技术特征摘要】
1. 一种恶意软件网络入侵检测特征码的生成方法，其特征在于，包括： 在具有不同运行环境的至少两个运行设备上分别运行恶意软件程序样本，并分别截取 每个所述运行设备运行所述恶意软件程序样本产生的网络封包捕捉文件； 对每个所述网络封包捕捉文件依次进行数据流重组、通信数据分类、公共子串提取和 特征码生成过程，得到所述恶意软件网络入侵检测特征码。2. 根据权利要求1所述的方法，其特征在于，所述方法还包括， 对所述恶意软件网络入侵检测特征码进行网络入侵检测系统NIDS规则有效性验证， 消除所述恶意软件网络入侵检测特征码中的无效规则。3. 根据权利要求2所述的方法，其特征在于，所述方法还包括， 根据预先截取的已知合法流量，对所述进行NIDS规则有效性验证后的恶意软件网络 入侵检测特征码进行规则验证，去除所述恶意软件网络入侵检测特征码中在实际使用中可 能产生误报的规则。4. 根据权利要求1-3任一项所述的方法，其特征在于，所述运行环境包括操作系统版 本、浏览器版本、身份权限、计算机名、用户名和IP地址中的一项或多项。5. 根据权利要求1-4任一项所述的方法，其特征在于，所述在分别具有不同的运行环 境的至少两个运行设备上分别运行恶意软件程序样本，包括， 在预设时长内，分别在具有不同运行环境的至少两个所述运行设备上运行恶意软件的 程序样本， 相应的，所述分别截取每个所述运行设备运行所述恶意软件程序样本产生的网络封包 捕捉文件包括： 分别截取每个所述运行设备在所述预设时长内运行所述恶意软件程序样本产生的网 络封包捕捉文件。6. 根据权利要求1-5任一项所述的方法，其特征在于，所述对每个所述网络封包捕捉 文件依次进行数据流重组、通信数据归类、公共子串提取和特征码生成过程，得到所述恶意 软件网络入侵检测特征码，具体包括： 对每个所述网络封包捕捉文件进行数据流重组，获得所述每个运行设备对应的通信数 据； 将所述运行设备的通信数据归总后依据服务器IP地址、传输层协议、端口号及传输方 向进行分类，得到分类后的通信数据集合； 分别从每个所述分类后的通信数据集合中提取每个所述分类后的通信数据集合的公 共子串； 根据每个所述分类后的通信数据集合的公共子串构成的公共子串序列，获得所述恶意 软件网络入侵检测特征码。7. 根据权利要求6所述方法，其特征在于， 所述根据每个所述分类后的通信数据集合的公共子串构成的公共子串序列，获到所述 恶意软件网络入侵检测特征码，包括： 针对每个分类后的通信数据集合，若所述通信数据集合中由一个或多个公共子串排列 组合构成的公共子串序列，能够匹配对应的所述通信数据集合中预设比例的通信数据，则 确定所述公共子串序列为所述...

【专利技术属性】
技术研发人员：吴晓昕，邹福泰，
申请(专利权)人：华为技术有限公司，上海交通大学，
类型：发明
国别省市：广东;44