本申请公开了基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质,涉及病毒检测领域,包括:通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测,得到相应的监测结果;在实时流量监测的过程中,当捕获到相应的待检测二进制数据时,基于预先配置的Yara规则对所述待检测二进制数据进行规则匹配,得到相应的匹配结果;基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒,如果是则触发报警操作并执行相应的防御措施。本申请通过利用预先训练好的离散型朴素贝叶斯模型以及预先配置的Yara规则进行实时流量监测以及二进制数据匹配,来进行病毒检测,这样一来,有效提高了病毒检测的准确性以及可靠性。以及可靠性。以及可靠性。
【技术实现步骤摘要】
基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质
[0001]本专利技术涉及病毒检测领域,特别涉及基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质。
技术介绍
[0002]蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。
[0003]目前针对蠕虫病毒的识别的方式有很多种。现有的技术方案中往往采用基于流量特征统计并设置阈值的方法进行蠕虫病毒的识别监测,但这样一来,设置阈值过低容易导致误报,设置过高则容易漏报,且需要对大量的流量数据进行分析,对于网络流量大、分析能力有限的场景可能存在一定的局限性。也就是说此方案仅适用于一些相对简单的场景,但在复杂的网络环境下,需要结合其他的技术方案进行综合应用。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质,能够有效提高病毒检测的准确性以及可靠性。其具体方案如下:
[0005]第一方面,本申请提供了一种基于蜜罐技术的蠕虫病毒检测方法,应用于当前蜜罐系统中的蜜罐节点,包括:
[0006]通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测,得到相应的监测结果;
[0007]在实时流量监测的过程中,当捕获到相应的待检测二进制数据时,基于预先配置的Yara规则对所述待检测二进制数据进行规则匹配,得到相应的匹配结果;
[0008]基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒,如果是则触发报警操作并执行相应的防御措施。
[0009]可选的,所述通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测之前,还包括:
[0010]获取包括正常流量数据和蠕虫病毒行为数据的历史流量数据,构建数据集,以得到初始数据集;
[0011]对所述初始数据集中的所述历史流量数据进行数据预处理,得到处理后数据集;所述数据预处理包括数据清洗、特征提取以及特征筛选;
[0012]对所述处理后数据集进行划分,并基于划分后得到的目标训练集、目标验证集以及目标验证集分别对初始离散型朴素贝叶斯模型进行模型训练、模型验证以及模型测试。
[0013]可选的,所述对所述初始数据集中的所述历史流量数据进行数据预处理,得到处理后数据集,包括:
[0014]在进行特征提取时,基于预设的蠕虫病毒行为特征类型对清洗后的各所述历史流量数据进行特征提取,得到相应的待筛选特征;
[0015]通过对与各所述历史流量数据对应的所述待筛选特征进行特征筛选,以得到处理后数据集。
[0016]可选的,所述基于预设的蠕虫病毒行为特征类型对清洗后的各所述历史流量数据进行特征提取之前,还包括:
[0017]通过预先对已知的蠕虫病毒行为特征进行分析,得到相应的蠕虫病毒行为特征类型;所述蠕虫病毒行为特征类型包括流量包大小、传输协议类型以及目标传输端口。
[0018]可选的,基于划分后得到的目标训练集对初始离散型朴素贝叶斯模型进行模型训练,包括:
[0019]基于划分后得到的目标训练集并利用预设的先验概率公式以及条件概率公式对初始离散型朴素贝叶斯模型进行模型训练。
[0020]可选的,所述基于预先配置的Yara规则对所述待检测二进制数据进行规则匹配,得到相应的匹配结果,包括:
[0021]通过判断所述待检测二进制数据是否满足预先配置的Yara规则中的各匹配条件来对所述待检测二进制数据进行规则匹配,得到相应的匹配结果。
[0022]可选的,基于所述匹配结果判断当前是否存在蠕虫病毒,包括:
[0023]当所述匹配结果表明当前存在任一所述匹配条件未被满足时,确定所述待检测二进制数据为正常二进制数据。
[0024]第二方面,本申请提供了一种基于蜜罐技术的蠕虫病毒检测装置,应用于当前蜜罐系统中的蜜罐节点,包括:
[0025]流量监测模块,用于通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测,得到相应的监测结果;
[0026]二进制数据检测模块,用于在实时流量监测的过程中,当捕获到相应的待检测二进制数据时,基于预先配置的Yara规则对所述待检测二进制数据进行规则匹配,得到相应的匹配结果;
[0027]蠕虫病毒判断模块,用于基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒,如果是则触发报警操作并执行相应的防御措施。
[0028]第三方面,本申请提供了一种电子设备,包括:
[0029]存储器,用于保存计算机程序;
[0030]处理器,用于执行所述计算机程序,以实现前述的基于蜜罐技术的蠕虫病毒检测方法的步骤。
[0031]第四方面,本申请提供了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的基于蜜罐技术的蠕虫病毒检测方法的步骤。
[0032]可见,本申请中,首先当前蜜罐系统中的蜜罐节点通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测,得到相应的监测结果;然后在实时流量监测的过程中,当捕获到相应的待检测二进制数据时,基于预先配置的Yara规则对所述待检测二进制数据进行规则匹配,得到相应的匹配结果;然后基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒,如果是则触发报警操作并执行相应的防御措施。本申请通过利用预先训练好的离散型朴素贝叶斯模型以及预先配置的Yara规则进行实时流量监测以及二进制数据匹配,来进行病毒检测,这样一来,有效提高了病毒检测的准确
性以及可靠性。
附图说明
[0033]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0034]图1为本申请提供的一种基于蜜罐技术的蠕虫病毒检测方法流程图;
[0035]图2为本申请提供的一种蠕虫病毒结构示意图;
[0036]图3为本申请提供的一种蠕虫程序的工作流程示意图;
[0037]图4为本申请提供的一种具体的基于蜜罐技术的蠕虫病毒检测方法流程图;
[0038]图5为本申请提供的一种基于蜜罐技术的蠕虫病毒检测方法流程图;
[0039]图6为本申请提供的一种基于蜜罐技术的蠕虫病毒检测装置结构示意图;
[0040]图7为本申请提供的一种电子设备结构图。
具体实施方式
[0041]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于蜜罐技术的蠕虫病毒检测方法,其特征在于,应用于当前蜜罐系统中的蜜罐节点,包括:通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测,得到相应的监测结果;在实时流量监测的过程中,当捕获到相应的待检测二进制数据时,基于预先配置的Yara规则对所述待检测二进制数据进行规则匹配,得到相应的匹配结果;基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒,如果是则触发报警操作并执行相应的防御措施。2.根据权利要求1所述的基于蜜罐技术的蠕虫病毒检测方法,其特征在于,所述通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测之前,还包括:获取包括正常流量数据和蠕虫病毒行为数据的历史流量数据,构建数据集,以得到初始数据集;对所述初始数据集中的所述历史流量数据进行数据预处理,得到处理后数据集;所述数据预处理包括数据清洗、特征提取以及特征筛选;对所述处理后数据集进行划分,并基于划分后得到的目标训练集、目标验证集以及目标验证集分别对初始离散型朴素贝叶斯模型进行模型训练、模型验证以及模型测试。3.根据权利要求2所述的基于蜜罐技术的蠕虫病毒检测方法,其特征在于,所述对所述初始数据集中的所述历史流量数据进行数据预处理,得到处理后数据集,包括:在进行特征提取时,基于预设的蠕虫病毒行为特征类型对清洗后的各所述历史流量数据进行特征提取,得到相应的待筛选特征;通过对与各所述历史流量数据对应的所述待筛选特征进行特征筛选,以得到处理后数据集。4.根据权利要求3所述的基于蜜罐技术的蠕虫病毒检测方法,其特征在于,所述基于预设的蠕虫病毒行为特征类型对清洗后的各所述历史流量数据进行特征提取之前,还包括:通过预先对已知的蠕虫病毒行为特征进行分析,得到相应的蠕虫病毒行为特征类型;所述蠕虫病毒行为特征类型包括流量包大小、传输协议类型以及目标传输端口。5....
【专利技术属性】
技术研发人员:丁庆同,陈学亮,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。