恶意软件的检测方法及装置、计算机装置及可读存储介质制造方法及图纸

本发明专利技术实施例公开了一种恶意软件的检测方法及装置、计算机装置及可读存储介质，涉及网络安全领域，用于提高恶意软件检测的准确性。本发明专利技术实施例方法包括：获取多个恶意软件产生的网络流量；基于网络流量的统计特征对多个恶意软件粗粒度聚类，得到第一聚类结果；基于网络流量的内容特征对第一类聚类结果中的每一类恶意软件细粒度聚类，得到第二聚类结果；为第二聚类结果中的每一类恶意软件生成签名，以利用签名进行恶意软件检测。

【技术实现步骤摘要】
恶意软件的检测方法及装置、计算机装置及可读存储介质
本专利技术涉及网络安全领域，具体涉及一种恶意软件的检测方法及装置、计算机装置及可读存储介质。
技术介绍
恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。当前，恶意软件泛滥严重，这些恶意软件包含各种恶意行为，引发用户的隐私泄露、经济损失等安全问题。为了保障网络安全，需要找到检测恶意软件的可靠方法。目前对恶意软件的检测方法是对恶意软件的HTTP通信流量进行检测，具体的，是基于URI、域名的检测方法，通过主动收集恶意的URI、域名构成黑名单，或者通过自动化分析恶意软件提取流量中的URI构成黑名单。现有技术的恶意软件检测方法是基于URL、域名等的精确匹配，缺乏泛化能力，并且未考虑到网络流量的其他特征，因此制约了对同一家族恶意软件进行检测的准确性。
技术实现思路
本专利技术提供一种恶意软件的检测方法及装置、计算机装置及可读存储介质，用于解决现有技术提供的恶意软件检测方法准确性低的问题。本专利技术实施例的一方面提供了一种恶意软件的检测方法，包括：获取多个恶意软件产生的网络流量；基于所述网络流量的统计本文档来自技高网...

【技术保护点】
一种恶意软件的检测方法，其特征在于，包括：获取多个恶意软件产生的网络流量；基于所述网络流量的统计特征对所述多个恶意软件粗粒度聚类，得到第一聚类结果；基于所述网络流量的内容特征对所述第一类聚类结果中的每一类恶意软件细粒度聚类，得到第二聚类结果；为所述第二聚类结果中的每一类恶意软件生成签名，以利用所述签名进行恶意软件检测。

【技术特征摘要】
1.一种恶意软件的检测方法，其特征在于，包括：获取多个恶意软件产生的网络流量；基于所述网络流量的统计特征对所述多个恶意软件粗粒度聚类，得到第一聚类结果；基于所述网络流量的内容特征对所述第一类聚类结果中的每一类恶意软件细粒度聚类，得到第二聚类结果；为所述第二聚类结果中的每一类恶意软件生成签名，以利用所述签名进行恶意软件检测。2.根据权利要求1所述的恶意软件的检测方法，其特征在于，所述统计特征包括超文本传输协议HTTP请求数量、目标请求方法对应的HTTP消息数量、统一资源标识符URI的平均长度和HTTP响应数量中的一个或多个；所述目标请求方法包括获取GET、提交POST和删除DELETE中的一个或多个。3.根据权利要求1或2所述的恶意软件的检测方法，其特征在于，所述为所述第二聚类结果中的每一类恶意软件生成签名包括：将所述第二聚类结果中的每一类恶意软件产生的网络流量按照相似性进行分组；为分组结果中每个组的所述网络流量生成签名。4.根据权利要求3所述的恶意软件的检测方法，其特征在于，所述为分组结果中每个组的所述网络流量生成签名包括：步骤1：提取当前组的所述网络流量的特征字符串；步骤2：选取重复次数最多的所述特征字符串，和/或，所述特征字符串的公共字符串，为所述当前组的所述网络流量生成签名；步骤3：重复步骤1和步骤2，直至为分组结果中每个组的所述网络流量生成签名。5.一种恶意软件的检测装置，其特征在于，包括：获取模块，用于获取多个恶意软件产生的网络流量；第一聚类模块，用于基于所述网络流量的统计特征...

【专利技术属性】
技术研发人员：梁玉，余文毅，赵振洋，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44