一种离线恶意软件日志的识别方法和装置制造方法及图纸

技术编号:16175964 阅读:15 留言:0更新日期:2017-09-09 03:13
本发明专利技术公开了一种离线恶意软件日志的识别方法,基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找,得到备选网络日志集合和可疑恶意软件哈希值集合;按相同源IP对备选网络日志集合中的网络日志进行分组,得到网络日志分组集合;根据恶意软件识别规则集合和可疑恶意软件哈希值集合对网络日志分组进行过滤,得到满足第一预设条件的网络日志子分组;确定网络日志子分组所包含的两条网络日志的首尾时间间隔小于预设阈值时,判定与所述两条网络日志具有相同源IP的网络日志被恶意软件感染、且为与所述两条网络日志相对应的哈希值所对应的恶意软件。本发明专利技术还同时公开了一种离线恶意软件日志的识别装置。

【技术实现步骤摘要】
一种离线恶意软件日志的识别方法和装置
本专利技术涉及网络安全技术,尤其涉及一种离线恶意软件日志的识别方法和装置。
技术介绍
随着互联网的快速发展,网络安全问题逐步凸显,其中以木马、病毒、后门程序、广告软件等为代表的恶意软件在数量、更新速度、使用技术等方面较之前都有了突飞猛进的发展,并且给互联网用户造成的影响和损失也在逐年增加。上述情况使得传统的以文件哈希等静态分析方法为代表的恶意软件检测方法越来越难以满足要求,建立可以有效地对新型恶意软件进行识别和控制的体系成为当前网络安全最迫切的工作之一。威胁情报是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法,进化成基于威胁为中心的方法的必然结果。威胁情报和大数据安全分析、基于攻击链的纵深防御等思想一起正在形成新一代防御体系的基石。目前,基本威胁情报主要是针对互联网协议(IP,InternetProtocol)地址、域名、统一资源定位符(URL,UniformResourceLocator)及软件哈希等安全观察对象的情报信息,比如软件的静态分析信息和运行信息等。此外,与恶意软件关联的IP地址、域名、URL等观察对象也包含特有的威胁情报。例如,IP的威胁情报中包含有以下信息:1)IP地址的地理信息和自治系统(AS,AutonomousSystem)信息;2)IP地址关联过的域名历史;3)与IP地址通信过的恶意软件及正常软件的文件哈希列表;4)IP地址关联的恶意网页地址。而域名的威胁情报中包含有以下信息:1)域名的whois信息;2)域名的工信部备案信息;3)域名的关联IP信息等。针对恶意软件网络流量的识别,传统的恶意软件网络流量的识别特征方法主要有以下两种:一是针对恶意软件文件的静态及沙盒分析识别方法,即通过反向工程分析恶意软件的软件运行逻辑,并通过沙盒运行获取实际的恶意软件网络行为和可用的签名特征;二是采用传统的IP、端口及深度包检测(DPI,DeepPacketInspection)技术的识别方法,即通过对恶意软件网络流量的抓包样本进行分析,以提取签名特征。然而,以上两种传统的恶意软件网络流量识别方法存在以下共同的问题:1)需要能够获取到恶意软件样本进行分析,然而恶意软件样本及变种数量庞大,更新迅速;2)需要投入大量的人力进行样本分析,对资源需求量大,且效率较低;3)当恶意软件绑定在正常软件上时,流量样本中包含大量正常流量,造成区分困难;4)恶意软件变种较多且更新较快,以上方案不能满足及时性需求。现有技术中,基于威胁情报的恶意软件识别方法主要是针对收集到的IP、域名等观察对象进行统计、过滤,形成IP和/或域名的黑名单,并根据黑名单进行实时或离线的威胁检测。这种方法通过对僵尸网络及恶意软件基础设施的识别,发挥了威胁情报的高效性及时效性的优势,但是同时存在以下问题:一方面,同一IP上可能同时关联有多个网站及服务,此IP的部分流量为恶意流量,而另一部分流量则为正常流量,需要区分识别,单以一个IP或域名作为识别标准容易产生误识别及假阳性(FalsePositive)的问题;另一方面,目前的僵尸网络及恶意软件网络设施变化很快,单一IP及域名的情报可能失效,从而易产生误识别及假阳性的问题。
技术实现思路
有鉴于此,本专利技术实施例提供了一种离线恶意软件日志的识别方法和装置,能够对离线恶意软件日志进行准确、快速的识别。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种离线恶意软件日志的识别方法,所述方法包括:基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找,得到备选网络日志集合和可疑恶意软件哈希值集合;按相同源IP对所述备选网络日志集合中的网络日志进行分组,得到网络日志分组集合;根据恶意软件识别规则集合和所述可疑恶意软件哈希值集合对网络日志分组进行过滤,得到所述网络日志分组中满足第一预设条件的网络日志子分组;确定所述网络日志子分组所包含的两条网络日志的首尾时间间隔小于预设阈值时,判定与所述两条网络日志具有相同源IP的网络日志被恶意软件感染、且所述恶意软件为与所述两条网络日志相对应的哈希值所对应的恶意软件。上述方案中,所述基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找,得到备选网络日志集合和可疑恶意软件哈希值集合,包括:基于每条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找;当所述网络日志包含的第一目的IP及目的端口与所述IP及端口反向匹配规则集合中的IP及端口反向匹配规则匹配时,将所述网络日志加入备选网络日志集合,并将所述IP及端口反向匹配规则包含的恶意软件哈希值加入可疑恶意软件哈希值集合。上述方案中,所述根据恶意软件识别规则集合和所述可疑恶意软件哈希值集合对网络日志分组进行过滤,得到所述网络日志分组中满足第一预设条件的网络日志子分组,包括:对于所述可疑恶意软件哈希值集合中的每个哈希值,获取所述哈希值在恶意软件识别规则集合中对应的第二目的IP及目的端口集合;确定所述第二目的IP及目的端口集合中的所有第二目的IP及目的端口均包含在同一个网络日志分组中时,提取所述同一个网络日志分组中具有最短时间间隔的两个网络日志组成网络日志子分组。上述方案中,所述基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中对所述获取的多条网络日志进行匹配查找之前,所述方法还包括:获取至少一个恶意软件的威胁情报;针对每个恶意软件的威胁情报,获取所述每个恶意软件的威胁情报对应的第一规则以及所有恶意软件的威胁情报对应的第一规则集;根据第二预设条件对所述第一规则集进行挖掘,得到第二规则集;所述第二规则集包含每个恶意软件的威胁情报对应的第二规则;根据预设域名白名单和第三预设条件对所述第二规则集进行过滤,得到第三规则集;根据第四预设条件对所述第三规则集进行更新,得到由至少一个恶意软件识别规则组成的恶意软件识别规则集合;基于所述恶意软件识别规则集合,获取由至少一个IP及端口反向匹配规则组成的IP及端口反向匹配规则集合。上述方案中,所述第二规则至少包含恶意软件所属家族信息和访问域名集合;所述根据第二预设条件对所述第一规则集进行挖掘,得到第二规则集,包括:根据第一规则包含的杀毒软件查杀结果,获取恶意软件所属家族信息;根据第一规则包含的HTTP访问集合,获取访问域名集合。上述方案中,所述根据预设域名白名单和第三预设条件对所述第二规则集进行过滤,得到第三规则集,包括:确定第二规则包含的第二目的IP及目的端口集合中的所有第二目的IP均关联过预设域名白名单中的域名时,删除所述第二规则;或,确定第二规则包含的访问域名集合中的所有域名都包含在预设域名白名单中时,删除所述第二规则。本专利技术实施例提供了一种离线恶意软件日志的识别装置,所述装置包括:第一识别单元、第二识别单元、第三识别单元、第四识别单元;其中,所述第一识别单元,用于基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找,得到备选网络日志集合和可疑恶意软件哈希值集合;所述第二识别单元,用于按相同源IP对所述备选网络日志集合中的网络日志进行分组,得到网络日本文档来自技高网
...
一种离线恶意软件日志的识别方法和装置

【技术保护点】
一种离线恶意软件日志的识别方法,其特征在于,所述方法包括:基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找,得到备选网络日志集合和可疑恶意软件哈希值集合;按相同源IP对所述备选网络日志集合中的网络日志进行分组,得到网络日志分组集合;根据恶意软件识别规则集合和所述可疑恶意软件哈希值集合对网络日志分组进行过滤,得到所述网络日志分组中满足第一预设条件的网络日志子分组;确定所述网络日志子分组所包含的两条网络日志的首尾时间间隔小于预设阈值时,判定与所述两条网络日志具有相同源IP的网络日志被恶意软件感染、且所述恶意软件为与所述两条网络日志相对应的哈希值所对应的恶意软件。

【技术特征摘要】
1.一种离线恶意软件日志的识别方法,其特征在于,所述方法包括:基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找,得到备选网络日志集合和可疑恶意软件哈希值集合;按相同源IP对所述备选网络日志集合中的网络日志进行分组,得到网络日志分组集合;根据恶意软件识别规则集合和所述可疑恶意软件哈希值集合对网络日志分组进行过滤,得到所述网络日志分组中满足第一预设条件的网络日志子分组;确定所述网络日志子分组所包含的两条网络日志的首尾时间间隔小于预设阈值时,判定与所述两条网络日志具有相同源IP的网络日志被恶意软件感染、且所述恶意软件为与所述两条网络日志相对应的哈希值所对应的恶意软件。2.根据权利要求1所述的方法,其特征在于,所述基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找,得到备选网络日志集合和可疑恶意软件哈希值集合,包括:基于每条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中进行匹配查找;当所述网络日志包含的第一目的IP及目的端口与所述IP及端口反向匹配规则集合中的IP及端口反向匹配规则匹配时,将所述网络日志加入备选网络日志集合,并将所述IP及端口反向匹配规则包含的恶意软件哈希值加入可疑恶意软件哈希值集合。3.根据权利要求1所述的方法,其特征在于,所述根据恶意软件识别规则集合和所述可疑恶意软件哈希值集合对网络日志分组进行过滤,得到所述网络日志分组中满足第一预设条件的网络日志子分组,包括:对于所述可疑恶意软件哈希值集合中的每个哈希值,获取所述哈希值在恶意软件识别规则集合中对应的第二目的IP及目的端口集合;确定所述第二目的IP及目的端口集合中的所有第二目的IP及目的端口均包含在同一个网络日志分组中时,提取所述同一个网络日志分组中具有最短时间间隔的两个网络日志组成网络日志子分组。4.根据权利要求1至3任一项所述的方法,其特征在于,所述基于获取的多条网络日志包含的第一目的IP及目的端口,在IP及端口反向匹配规则集合中对所述获取的多条网络日志进行匹配查找之前,所述方法还包括:获取至少一个恶意软件的威胁情报;针对每个恶意软件的威胁情报,获取所述每个恶意软件的威胁情报对应的第一规则以及所有恶意软件的威胁情报对应的第一规则集;根据第二预设条件对所述第一规则集进行挖掘,得到第二规则集;所述第二规则集包含每个恶意软件的威胁情报对应的第二规则;根据预设域名白名单和第三预设条件对所述第二规则集进行过滤,得到第三规则集;根据第四预设条件对所述第三规则集进行更新,得到由至少一个恶意软件识别规则组成的恶意软件识别规则集合;基于所述恶意软件识别规则集合,获取由至少一个IP及端口反向匹配规则组成的IP及端口反向匹配规则集合。5.根据权利要求4所述的方法,其特征在于,所述第二规则至少包含恶意软件所属家族信息和访问域名集合;所述根据第二预设条件对所述第一规则集进行挖掘,得到第二规则集,包括:根据第一规则包含的杀毒软件查杀结果,获取恶意软件所属家族信息;根据第一规则包含的HTTP访问集合,获取访问域名集合。6.根据权利要求4所述的方法,其特征在于,所述根据预设域名白名单和第三预设条件对所述第二规则集进行过滤,得到第三规则集,包括:确定第二规则包含的第二目的IP及目的端口集合中的所有第二目的IP均关联过预设域名白名单中的域名时,删除所述第二规则;或,确定第二规则包含的访问域名集合中的所有域名都包含在预设域名白名单中时,删除所...

【专利技术属性】
技术研发人员:马勇周松松张永臣
申请(专利权)人:北京网康科技有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1