一种软件识别特征的获取方法和装置制造方法及图纸

技术编号:14636226 阅读:132 留言:0更新日期:2017-02-15 10:20
本发明专利技术公开了一种软件识别特征的获取方法,根据预设合法网络标识样本和非法网络标识样本,确定所述各合法网络标识和各非法网络标识各自对应的网络标识关联信息的向量值;根据各待检测网络标识关联信息的向量值,以及所述各合法网络标识和各非法网络标识分别对应的网络标识关联信息的向量值,确定所述各待检测网络标识的合法性;获取所述确定合法性的网络标识与关联软件之间的预设通信信息,将不同合法性网络标识对应的所述预设通信信息确定为不同合法性软件对应的识别特征。本发明专利技术还公开了一种软件识别特征的获取装置。

【技术实现步骤摘要】

本专利技术涉及网络安全
,尤其涉及一种软件识别特征的获取方法和装置
技术介绍
随着互联网的快速发展,网络安全问题逐步凸显,以木马、病毒、后门程序、广告软件等为代表的非法软件,即恶意软件,在数量、更新速度和使用技术等方面较之前也有了突飞猛进的发展,恶意软件给互联网用户造成的影响和损失逐年增加。目前,主要采用的对恶意软件网络流量中识别特征进行鉴别的方法识别恶意软件,针对恶意软件网络流量的识别特征获取方法主要有两种:1)针对恶意软件文件的静态及沙盒分析识别方法,如文件软件哈希等;通过反向工程分析恶意软件运行逻辑,并通过沙盒运行获取实际的恶意软件网络行为,获取可用的识别特征;2)采用传统的互联网协议(IP,InternetProtocol)地址、端口及深度包检测(DPI,DeepPacketInspection)技术的识别方法,通过对恶意软件网络流量抓包样本进行分析,提取识别特征。以上两种传统的识别方法存在共同的问题:1)需要获取到恶意软件样本进行分析,而样本及变种数量庞大,更新迅速;2)需要投入大量的人力进行样本分析,资源需求量大,效率较低;3)恶意软件如绑定在正常软件上,流量样本中的包含大量正常流量,造成区分困难;4)恶意软件变种较多较快,现有方案不能满足及时性需求。以上情况使得传统的以软件文件哈希及其他静态分析方法为代表的恶意软件检测方法越来越难以应对,建立可以有效识别新型恶意软件的识别和控制体系成为当前网络安全最迫切的工作。因此,如何在没有非法软件样本的情况下,获取非法软件的识别特征,适应非法软件及其变种过多、变化过快带来的无法及时获取非法软件识别特征的问题,是亟待解决的问题。
技术实现思路
有鉴于此,本专利技术实施例期望提供一种软件识别特征的获取方法和装置,能在没有非法软件样本的情况下,获取非法软件的识别特征,适应非法软件及其变种过多、变化过快带来的无法及时获取非法软件识别特征的问题。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种软件识别特征的获取方法,所述方法包括:根据预设合法网络标识样本和非法网络标识样本,确定所述各合法网络标识和各非法网络标识各自对应的网络标识关联信息的向量值;根据各待检测网络标识关联信息的向量值,以及所述各合法网络标识和各非法网络标识分别对应的网络标识关联信息的向量值,确定所述各待检测网络标识的合法性;获取所述确定合法性的网络标识与关联软件之间的指定通信信息,将不同合法性网络标识对应的所述指定通信信息确定为不同合法性软件对应的识别特征。上述方案中,所述网络标识,包括:互联网协议IP地址;所述网络标识关联信息的向量值,包括:IP地址关联信息的向量值。上述方案中,所述IP地址关联信息的向量值,包括:IP地址关联域名生成算法(DGA,DomainGenerationAlgorithm)域名所占比例、和/或IP地址关联DGA主域名所占比例、和/或IP地址关联域名集中度、和/或IP地址关联域名数量、和/或IP地址关联主域名数量、和/或IP地址关联统一资源定位器(URL,UniformResourceLocator)数量、和/或IP地址关联URL类型均值、和/或IP地址关联URL类型方差、和/或已检测为非法的URL检测结果均值;和/或已检测为非法的URL检测结果方差、和/或与所述IP地址通信的样本数量、和/或与所述IP地址通信的样本杀毒软件识别结果均值、和/或与所述IP地址通信的样本杀毒软件识别结果均方差;和/或从所述IP地址下载的样本数量、和/或从所述IP地址下载的样本杀毒软件识别结果均值、和/或从所述IP地址下载的样本杀毒软件识别结果方差。上述方案中,所述确定所述各待检测网络标识的合法性之前,所述方法还包括,不检测满足预设筛选规则的所述待检测网络标识;所述筛选规则包括:无关联信息的IP地址;无域名关联的IP地址;无软件关联的IP地址;关联知名网站的IP地址。上述方案中,所述获取所述确定合法性的网络标识与关联软件之间的预设通信信息,包括:获取所述确定合法性的网络标识与关联软件之间的网络通信协议、和/或网络通信端口、和/或超文本传输协议(HTTP,HyperTextTransferProtocol)请求URL、和/或域名、和/或用户代理(UserAgent)。上述方案中,所述确定所述各待检测网络标识的合法性,包括:采用分类器确定所述各待检测网络标识的合法性。上述方案中,所述采用分类器确定所述各待检测网络标识的合法性,包括:采用支持向量机(SVM,SupportVectorMachine)分类器、和/或随机森林、和/或决策树确定所述各待检测网络标识的合法性。本专利技术实施例还提供了一种软件识别特征的获取装置,所述装置包括:确定模块、检测模块和获取模块;其中,所述确定模块,用于根据预设合法网络标识样本和非法网络标识样本,确定所述各合法网络标识和各非法网络标识各自对应的网络标识关联信息的向量值;所述检测模块,用于根据各待检测网络标识关联信息的向量值,以及所述各合法网络标识和各非法网络标识分别对应的网络标识关联信息的向量值,确定所述各待检测网络标识的合法性;所述获取模块,用于获取所述确定合法性的网络标识与关联软件之间的指定通信信息,将不同合法性网络标识对应的所述指定通信信息确定为不同合法性软件对应的识别特征。上述方案中,所述网络标识,包括:IP地址。所述网络标识关联信息的向量值,包括:IP地址关联信息的向量值。上述方案中,所述IP地址关联信息的向量值,包括:IP地址关联DGA域名所占比例、和/或IP地址关联DGA主域名所占比例、和/或IP地址关联域名集中度、和/或IP地址关联域名数量、和/或IP地址关联主域名数量、和/或IP地址关联URL数量、和/或IP地址关联URL类型均值、和/或IP地址关联URL类型方差、和/或已检测为非法的URL检测结果均值;和/或已检测为非法的URL检测结果方差、和/或与所述IP地址通信的样本数量、和/或与所述IP地址通信的样本杀毒软件识别结果均值、和/或与所述IP地址通信的样本杀毒软件识别结果均方差;和/或从所述IP地址下载的样本数量、和/或从所述IP地址下载的样本杀毒软件识别结果均值、和/或从所述IP地址下载的样本杀毒软件识别结果方差。上述方案中,所述检测模块,还用于:不检测满足预设筛选规则的所述待检测网络标识;所述筛选规则包括:无关联信息的IP地址;无域名关联的IP地址;无软件关联的IP地址;关联知名网站的IP地址。上述方案中,所述获取模块,具体用于:获取所述确定合法性的网络标识与关联软件之间的网络通信协议、和/或网络通信端口、和/或HTTP请求URL、和/或域名、和/或UserAgent。上述方案中,所述检测模块,具体用于:采用分类器确定所述各待检测网络标识的合法性.上述方案中,所述检测模块,具体用于:采用SVM分类器、和/或随机森林、和/或决策树确定所述各待检测网络标识的合法性。本专利技术实施例所提供的软件识别特征的获取方法和装置,根据预设合法网络标识样本和非法网络标识样本,确定所述各合法网络标识和各非法网络标识各自对应的网络标识关联信息的向量值;根据本文档来自技高网
...
一种软件识别特征的获取方法和装置

【技术保护点】
一种软件识别特征的获取方法,其特征在于,所述方法包括:根据预设合法网络标识样本和非法网络标识样本,确定所述各合法网络标识和各非法网络标识各自对应的网络标识关联信息的向量值;根据各待检测网络标识关联信息的向量值,以及所述各合法网络标识和各非法网络标识分别对应的网络标识关联信息的向量值,确定所述各待检测网络标识的合法性;获取所述确定合法性的网络标识与关联软件之间的指定通信信息,将不同合法性网络标识对应的所述指定通信信息确定为不同合法性软件对应的识别特征。

【技术特征摘要】
1.一种软件识别特征的获取方法,其特征在于,所述方法包括:根据预设合法网络标识样本和非法网络标识样本,确定所述各合法网络标识和各非法网络标识各自对应的网络标识关联信息的向量值;根据各待检测网络标识关联信息的向量值,以及所述各合法网络标识和各非法网络标识分别对应的网络标识关联信息的向量值,确定所述各待检测网络标识的合法性;获取所述确定合法性的网络标识与关联软件之间的指定通信信息,将不同合法性网络标识对应的所述指定通信信息确定为不同合法性软件对应的识别特征。2.根据权利要求1所述的方法,其特征在于,所述网络标识,包括:互联网协议IP地址;所述网络标识关联信息的向量值,包括:IP地址关联信息的向量值。3.根据权利要求2所述的方法,其特征在于,所述IP地址关联信息的向量值,包括:IP地址关联域名生成算法DGA域名所占比例、和/或IP地址关联DGA主域名所占比例、和/或IP地址关联域名集中度、和/或IP地址关联域名数量、和/或IP地址关联主域名数量、和/或IP地址关联统一资源定位器URL数量、和/或IP地址关联URL类型均值、和/或IP地址关联URL类型方差、和/或已检测为非法的URL检测结果均值;和/或已检测为非法的URL检测结果方差、和/或与所述IP地址通信的样本数量、和/或与所述IP地址通信的样本杀毒软件识别结果均值、和/或与所述IP地址通信的样本杀毒软件识别结果均方差;和/或从所述IP地址下载的样本数量、和/或从所述IP地址下载的样本杀毒软件识别结果均值、和/或从所述IP地址下载的样本杀毒软件识别结果方差。4.根据权利要求2所述的方法,其特征在于,所述确定所述各待检测网络标识的合法性之前,所述方法还包括,不检测满足预设筛选规则的所述待检测网络标识;所述筛选规则包括:无关联信息的IP地址;无域名关联的IP地址;无软件关联的IP地址;关联知名网站的IP地址。5.根据权利要求1所述的方法,其特征在于,所述获取所述确定合法性的网络标识与关联软件之间的预设通信信息,包括:获取所述确定合法性的网络标识与关联软件之间的网络通信协议、和/或网络通信端口、和/或超文本传输协议HTTP请求URL、和/或域名、和/或用户代理UserAgent。6.根据权利要求1至5任一项所述的方法,其特征在于,所述确定所述各待检测网络标识的合法性,包括:采用分类器确定所述各待检测网络标识的合法性。7.根据权利要求6所述的方法,其特征在于,所述采用分类器确定所述各待检测网络标识的合法性,包括:采用支持向量机SVM分类器、和/或随机森林、...

【专利技术属性】
技术研发人员:马勇周松松张永臣
申请(专利权)人:北京网康科技有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1