【技术实现步骤摘要】
一种恶意软件识别方法及装置
[0001]本申请涉及网络安全术领域,具体而言,涉及一种恶意软件识别方法及装置。
技术介绍
[0002]随着互联网的飞速发展,恶意软件也随着开始快速传播,其中很多恶意软件通过变种或者混淆技术来逃过现有安全产品的检测,从而对被攻击的设备进行破坏或进行敏感信息的收集。可见,目前的安全产品并不能够快速、有效地对恶意软件进行识别与检测。
技术实现思路
[0003]本申请实施例的目的在于提供一种恶意软件识别方法及装置,能够训练出恶意软件检测模型,并以此来快速、高效地对恶意软件进行识别与检测。
[0004]本申请实施例第一方面提供了一种恶意软件识别方法,包括:
[0005]获取恶意软件生产的流量数据包;
[0006]对所述流量数据包进行分流存储,得到tcp链表;
[0007]当所述tcp链表符合预设条件时,对所述tcp链表进行特征提取并记录,得到特征记录;
[0008]基于SVM算法和所述特征记录进行训练,得到多个不同的恶意软件检测模型;
[00...
【技术保护点】
【技术特征摘要】
1.一种恶意软件识别方法,其特征在于,包括:获取恶意软件生产的流量数据包;对所述流量数据包进行分流存储,得到tcp链表;当所述tcp链表符合预设条件时,对所述tcp链表进行特征提取并记录,得到特征记录;基于SVM算法和所述特征记录进行训练,得到多个不同的恶意软件检测模型;获取输入的待检测流量;基于所述多个不同的恶意软件检测模型对所述待检测流量进行匹配识别,得到恶意软件识别结果。2.根据权利要求1所述的恶意软件识别方法,其特征在于,所述获取恶意软件生产的流量数据包的步骤包括:通过预设抓包功能对恶意软件生产的流量进行pacp抓包,得到流量数据包。3.根据权利要求1所述的恶意软件识别方法,其特征在于,所述对所述流量数据包进行分流存储,得到tcp链表的步骤包括:获取所述流量数据包的源目的IP和源目的端口;基于所述源目的IP和所述源目的端口计算流量hash值;基于所述流量hash值和链表数据结构保存所述流量数据包,得到tcp链表。4.根据权利要求1所述的恶意软件识别方法,其特征在于,所述当所述tcp链表符合预设条件时,对所述tcp链表进行特征提取并记录,得到特征记录的步骤包括:当所述tcp链表符合预设条件时,对所述tcp链表进行解析,得到数据包负载、源目的端口和数据获取时间间隔;对所述数据包负载、所述源目的端口和所述数据获取时间间隔进行记录,得到特征记录。5.根据权利要求1所述的恶意软件识别方法,其特征在于,所述基于所述多个不同的恶意软件检测模型对所述待检测流量进行匹配识别,得到恶意软件识别结果的步骤包括:对所述待检测流量进行分流存储,得到待检测链表;对待检测链表进行特征提取并记录,得到待检测...
【专利技术属性】
技术研发人员:于海南,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。