本发明专利技术实施例涉及网络安全技术领域,公开了一种基于日志的病毒发现方法、装置、计算设备及存储介质,该方法包括:从传输层设备获取预设时间内的访问日志,其中,每条所述访问日志中记录有源IP地址、源端口、目的IP地址、目的端口以及传输层协议;根据所述访问日志获取所述目标端口的频率和所述目的IP地址的频率;根据所述目标端口的频率和所述目的IP地址的频率计算病毒量化权重指标;根据所述病毒量化权重指标确定是否为疑似病毒。通过上述方式,本发明专利技术实施例能够及时发现网络中的计算机病毒,减少病毒的扩散感染,最大程度上保障网络环境的可用性,以及用户数据信息的完整性与保密性。性。性。
【技术实现步骤摘要】
基于日志的病毒发现方法、装置、计算设备及存储介质
[0001]本专利技术实施例涉及网络安全
,具体涉及一种基于日志的病毒发现方法、装置、计算设备及存储介质。
技术介绍
[0002]个人PC、办公终端需要安装杀毒软件以应对计算机病毒,针对于企业,企业可能会采购网络防毒墙,终端杀毒软件等应对日常的病毒。无论网络防毒墙还是终端杀毒软件都需要依赖于病毒库,病毒库的更新依赖于出现的病毒样本,对于病毒的发现有一定的延时性。
[0003]目前大部分病毒的检测方法是依据病毒特征的。反病毒软件会根据病毒的家族特性进行病毒家族的划分,往往会提取该家族的病毒都存在的特征信息作为病毒的判断依据,从而使得病毒库中的一条记录信息就可以命中该家族的全部病毒。现有的计算机病毒的检查方法通过静态分析待划分病毒文件的二进制数据,从中分析出病毒文件的可移植、可执行PE结构数据,比较待划分病毒文件的PE结构数据,将PE结构数据符合指定相似度的病毒文件划分到同一类别中。
[0004]现有的计算机病毒的检查方法需要有大量的病毒样本为支撑,需要从大量的病毒样本中提取出病毒文件的PE结构数据。对应企业来说,如果想自己建立一套病毒样本PE结构库需要耗费大量的人力、财力用于购买、研究病毒样本。这是一个从0到1的过程,中间可能由于技术人员的技术水平不能满足研究病毒样本的需要可能导致此项工作的失败。或者从其他安全公司每年花费一定的费用用于购买病毒样本PE结构库。无论哪种方法都需要投入一定的人力财力。另外,病毒的发现依赖于病毒样本PE结构数据,这就导致了如果想在现有的网络中发现该病毒,需要在病毒爆发后一定时间从其他渠道获取病毒样本或者从其他安全公司获取新的病毒PE结构库,存在一定的延时性。
技术实现思路
[0005]鉴于上述问题,本专利技术实施例提供了一种基于日志的病毒发现方法、装置、计算设备及存储介质,克服了上述问题或者至少部分地解决了上述问题。
[0006]根据本专利技术实施例的一个方面,提供了一种基于日志的病毒发现方法,所述方法包括:从传输层设备获取预设时间内的访问日志,其中,每条所述访问日志中记录有源IP地址、源端口、目的IP地址、目的端口以及传输层协议;根据所述访问日志获取所述目标端口的频率和所述目的IP地址的频率;根据所述目标端口的频率和所述目的IP地址的频率计算病毒量化权重指标;根据所述病毒量化权重指标确定是否为疑似病毒。
[0007]在一种可选的方式中,所述获取预设时间内网络安全设备生成的访问日志,包括:通过所述传输层设备记录个人终端区设备和/或服务器区设备产生的所述访问日志;采集所述传输层设备记录的所述访问日志。
[0008]在一种可选的方式中,所述获取预设时间内网络安全设备生成的访问日志,还包
括:对采集的所述访问日志进行泛化处理,形成统一格式的所述访问日志。
[0009]在一种可选的方式中,所述根据所述访问日志获取所述目标端口的频率和所述目的IP的频率,包括:对泛化处理过的所述访问日志进行存储,并建立索引;计算所述访问日志的总数量;根据所述目的端口以及所述目的IP地址对所述访问日志进行统计;根据所述总数量以及根据所述目的端口和所述目的IP地址统计的所述访问日志计算所述目标端口的频率和所述目的IP地址的频率。
[0010]在一种可选的方式中,所述目标端口的频率为所述目的端口的访问日志条数占访问日志总数量的比值,满足以下关系式:
[0011][0012]所述目的IP地址的频率为所述访问日志中相同所述目的端口的所述目的IP地址的个数取对数的值,满足以下关系式:
[0013]F
IPi
=log(count(Distinct
i,j
))
[0014]其中,F
pti
为所述目标端口为i的频率,F
IPi
为所述目标端口为i的所述目的IP地址的频率,n
ij
为所述目的端口为i,所述目的IP地址为j的所述访问日志的数量,N为所述访问日志的总数量。
[0015]在一种可选的方式中,所述根据所述目标端口的频率和所述目的IP地址的频率计算病毒量化权重指标,包括:计算所述目标端口的频率与所述目的IP地址的频率的乘积,得到所述病毒量化权重指标。
[0016]在一种可选的方式中,所述根据所述病毒量化权重指标确定是否为疑似病毒,包括:将所述病毒量化权重指标与预设值进行比较;如果所述病毒量化权重指标大于所述预设值,则进行疑似病毒告警。
[0017]根据本专利技术实施例的另一个方面,提供了一种基于日志的病毒发现装置,所述装置包括:日志获取单元,用于从传输层设备获取预设时间内的访问日志,其中,每条所述访问日志中记录有源IP地址、源端口、目的IP地址、目的端口以及传输层协议;频率计算单元,用于根据所述访问日志获取所述目标端口的频率和所述目的IP地址的频率;指标计算单元,用于根据所述目标端口的频率和所述目的IP地址的频率计算病毒量化权重指标;判断单元,用于根据所述病毒量化权重指标确定是否为疑似病毒。
[0018]根据本专利技术实施例的另一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
[0019]所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述基于日志的病毒发现方法的步骤。
[0020]根据本专利技术实施例的又一方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使所述处理器执行上述基于日志的病毒发现方法的步骤。
[0021]本专利技术实施例通过从传输层设备获取预设时间内的访问日志,其中,每条所述访问日志中记录有源IP地址、源端口、目的IP地址、目的端口以及传输层协议;根据所述访问
日志获取所述目标端口的频率和所述目的IP地址的频率;根据所述目标端口的频率和所述目的IP地址的频率计算病毒量化权重指标;根据所述病毒量化权重指标确定是否为疑似病毒,能够及时发现网络中的计算机病毒,减少病毒的扩散感染,最大程度上保障网络环境的可用性,以及用户数据信息的完整性与保密性。
[0022]上述说明仅是本专利技术实施例技术方案的概述,为了能够更清楚了解本专利技术实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0023]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0024]图1示出了本专利技术实施例提供的基于日志的病毒发现方法的发现示意图;
[0025]图2示出了本专利技术实施例提供的基于日志的病毒发现方法的流程示意图;
[0026]图3示出了本专利技术实施例提本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于日志的病毒发现方法,其特征在于,所述方法包括:从传输层设备获取预设时间内的访问日志,其中,每条所述访问日志中记录有源IP地址、源端口、目的IP地址、目的端口以及传输层协议;根据所述访问日志获取所述目标端口的频率和所述目的IP地址的频率;根据所述目标端口的频率和所述目的IP地址的频率计算病毒量化权重指标;根据所述病毒量化权重指标确定是否为疑似病毒。2.根据权利要求1所述的方法,其特征在于,所述获取预设时间内网络安全设备生成的访问日志,包括:通过所述传输层设备记录个人终端区设备和/或服务器区设备产生的所述访问日志;采集所述传输层设备记录的所述访问日志。3.根据权利要求2所述的方法,其特征在于,所述获取预设时间内网络安全设备生成的访问日志,还包括:对采集的所述访问日志进行泛化处理,形成统一格式的所述访问日志。4.根据权利要求1所述的方法,其特征在于,所述根据所述访问日志获取所述目标端口的频率和所述目的IP的频率,包括:对泛化处理过的所述访问日志进行存储,并建立索引;计算所述访问日志的总数量;根据所述目的端口以及所述目的IP地址对所述访问日志进行统计;根据所述总数量以及根据所述目的端口和所述目的IP地址统计的所述访问日志计算所述目标端口的频率和所述目的IP地址的频率。5.根据权利要求4所述的方法,其特征在于,所述目标端口的频率为所述目的端口的访问日志条数占访问日志总数量的比值,满足以下关系式:所述目的IP地址的频率为所述访问日志中相同所述目的端口的所述目的IP地址的个数取对数的值,满足以下关系式:F
IPi
=log(count(Distinct n
i,j
))其中,F
pti
...
【专利技术属性】
技术研发人员:李秀清,李佩瑞,王森,陈峰,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。