本公开提供一种基于网络流量的恶意应用检测方法、装置、设备及存储介质。该方法包括:按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。根据本公开,不依赖于特定流量字段、静态签名和统计特征等,从局域网而非终端的宏观层面实现了整体局域网的恶意应用检测,提高了整个局域网的恶意应用检测效率和精度。度。度。
【技术实现步骤摘要】
基于网络流量的恶意应用检测方法、装置、设备及介质
[0001]本公开涉及恶意应用检测
,尤其涉及基于网络流量的恶意应用检测。
技术介绍
[0002]为了更好地保障移动终端用户的个人隐私和财产安全,恶意应用(Application)的检测和识别的需求越来越迫切。目前,更多的研究开始关注恶意应用产生的网络流量,并尝试从网络流量的角度进行恶意应用检测。其中,大多数基于网络流量和机器学习算法的恶意应用检测技术过于依赖特征,这些特性可能是特定流量字段、静态签名和统计特征,而从网络流量中识别出这些有效的特征是极其困难的。基于深度神经网络的恶意应用检测,由于深度神经网络的模型一般部署在终端侧而非网络侧,所以其针对的数据大都是终端所能收集到的已知来源的流量,对于终端所收集不到的流量则无法进行恶意检测,因此导致在高速网络环境下,难以实现恶意应用的在线检测。而对于整个局域网来说,在每个终端部署深度神经网络模型则会对网络带来极大的负担,且造成网络资源的浪费。
技术实现思路
[0003]有鉴于此,本公开的目的在于提出一种基于网络流量的恶意应用检测方法、装置、设备及存储装置。
[0004]基于上述目的,根据本公开的第一方面,提供了一种基于网络流量的恶意应用检测方法,包括:按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
[0005]可选地,所述预定标准包括如下至少一种:所述网络流量的域名、地址、源设备类型、或操作系统类型。
[0006]可选地,基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备,包括:基于网络地址转换协议和/或地址解析协议对指示地址的所述标识流量进行分析,得到所述目标流量的网络地址和/或物理地址;根据所述网络地址和/或物理地址确定所述目标流量对应的源设备。
[0007]可选地,所述方法还包括:从所述目标流量中提取第二流量特征,并基于所述第二流量特征使用训练好的行为分类器对所述目标流量进行分类,以识别出所述目标流量对应的用户操作行为,其中,基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用包括:
基于所述第一流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用。
[0008]可选地,所述方法还包括:基于所述用户操作行为对所述目标流量进行过滤,得到二次目标流量;其中,从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用,包括:从所述二次目标流量提取第三流量特征,并基于所述第三流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
[0009]可选地,基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用包括:基于所述第一流量特征,使用训练好的恶意应用识别模型对所述目标流量进行识别,得到所述目标应用为恶意应用的概率;当所述目标应用为恶意应用的概率大于或等于预设值时,确定所述目标应用为恶意应用。
[0010]可选地,识别出所述目标流量对应的用户操作行为还包括得到所述用户操作行为是正常行为的概率;其中,基于所述第一流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用,包括:将所述用户操作行为是正常行为的概率和所述目标应用为恶意应用的概率乘以各自的权重后相加,得到综合概率;判断所述综合概率是否大于或等于预设概率阈值;响应于所述综合概率大于或等于所述预设概率阈值,确定所述目标应用为恶意应用。
[0011]根据本公开的第二方面,提供了一种基于网络流量的恶意应用检测装置,包括:清洗模块,用于按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;应用识别模块,用于基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;源设备确定模块,用于基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;检测模块,用于从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。
[0012]根据本公开的第三方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的方法。
[0013]根据本公开的第四方面,提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行第一方面所述方法。
[0014]从上面所述可以看出,根据本公开实施例的基于网络流量的恶意应用检测方法、
装置、设备及存储介质,通过从局域网而非终端的宏观层面实现了整体局域网的恶意应用检测,提高了整个局域网的恶意应用检测效率和精度,以及恶意检测的实时性,同时,不会给网络造成负担,节约了网络资源。
附图说明
[0015]为了更清楚地说明本公开或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为根据本公开实施例的基于网络流量的恶意应用检测方法的示意性流程图;图2为根据本公开实施例的基于网络流量的恶意应用检测装置的示意性框图;图3为根据本公开实施例的一种更为具体的电子设备硬件结构示意图。
具体实施方式
[0017]为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
[0018]需要说明的是,除非另外定义,本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
[0019]目前,无论是移动终端设备的杀毒产品还是服务端的软件审查机制,很多都借鉴了桌面计算机(PC端)的恶意软件检测方法,他们大多数使用基于特征码的静态检测和基于行为的动态检测,基于特征码的静态检测虽然代码覆盖率高,但是对未知新变种的恶意软件却无能为力,存在高误报率的风险。随着代码混淆技术的发展,静态检测面临着越来越大的冲击和挑战。动态检测可以有效检出恶意程序,但却面临着移动设备系统资源受限和部署困难等一系列问题。
[0020]随着移动安全研究的不断深入,可以发现绝大多数的恶意应用程序都是以获取经济利益为主要目标,很多恶意行为的发生都是在网络环境下进行的,例如隐私窃取、恶意扣费、远程连接本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于网络流量的恶意应用检测方法,包括:按照预定标准对在网络接入设备收集的网络流量进行清洗,以获得目标流量;基于所述目标流量的应用指纹,识别出所述目标流量对应的目标应用;基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备;从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用。2.根据权利要求1所述的方法,其中,所述预定标准包括如下至少一种:所述网络流量的域名、地址、源设备类型、或操作系统类型。3.根据权利要求1所述的方法,其中,基于所述目标流量中指示地址的标识流量,确定所述目标流量对应的源设备,包括:基于网络地址转换协议和/或地址解析协议对指示地址的所述标识流量进行分析,得到所述目标流量的网络地址和/或物理地址;根据所述网络地址和/或物理地址确定所述目标流量对应的源设备。4.根据权利要求1
‑
3中任一项所述的方法,所述方法还包括:从所述目标流量中提取第二流量特征,并基于所述第二流量特征使用训练好的行为分类器对所述目标流量进行分类,以识别出所述目标流量对应的用户操作行为,其中,基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用包括:基于所述第一流量特征和所述用户操作行为,确定所述源设备上的所述目标应用是否为恶意应用。5.根据权利要求4所述的方法,所述方法还包括:基于所述用户操作行为对所述目标流量进行过滤,得到二次目标流量;其中,从所述目标流量中提取第一流量特征,并基于所述第一流量特征而确定所述源设备上的所述目标应用是否为恶意应用,包括:从所述二次目标流量提取第三流量特征,并基于所述第三流量特征而确定所述源设备上的所述目标应用是...
【专利技术属性】
技术研发人员:张淼,徐国爱,郭燕慧,徐国胜,王俊森,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。