【技术实现步骤摘要】
模型构建方法、APT检测方法、存储介质及终端
[0001]本专利技术涉及恶意代码分析领域,尤其涉及一种模型构建方法
、APT
检测方法
、
存储介质及终端
。
技术介绍
[0002]近年来,随着移动端的病毒数量迅速增加,针对
Android
端的高级持续性威胁
(AdvancedPersistentThreat
,
APT)
攻击变得更加多样化,研究发现,
2/3
的信息泄露来自
APT
攻击,由于
APT
攻击不受传统杀毒软件和防火墙的限制,并且可以基于
C&C
服务器长期潜伏在手机中,等待时机窃取用户隐私信息,会带来极大隐患
。
目前针对该领域的研究都存在一定缺陷,例如,利用动态检测技术监控恶意软件的行为和系统调用,但该方法在利用脚本重现病毒行为进行批量检测时极复杂,且消耗资源较大,性能难以支持,移植到手机上可行性不高
。
而基于源码分析的静态检测,如分析源码调用的关键函数,反编译或提取
16
进制中的特征等方式,虽然效率较快,但精准度不高,无法抵抗混淆和加密的恶意软件攻击
。
技术实现思路
[0003]本专利技术实施例提供了一种模型构建方法
、APT
检测方法
、
存储介质及终端,通过选取若干样本的流量特征和动态特征进行模型训练,提升对>APT
攻击的检测能力
。
[0004]第一方面,本专利技术实施例提供了一种模型构建方法,包括:
[0005]基于若干样本的域名访问信息和函数调用关系,获取所述若干样本的流量特征向量和动态特征向量;
[0006]将若干流量特征向量和若干动态特征向量进行组合,得到向量矩阵;
[0007]将所述若干样本的属性和所述向量矩阵输入机器学习模型进行训练,得到
APT
检测模型;所述若干样本的属性包括
APT
和正常
。
[0008]第二方面,本专利技术实施例提供了一种
APT
检测方法,包括:
[0009]基于目标样本的域名访问信息和函数调用关系,获取所述目标样本的目标流量特征向量和目标动态特征向量;
[0010]将所述目标流量特征向量和所述目标动态特征向量进行拼接,得到目标特征向量;
[0011]将所述目标特征向量输入
APT
检测模型,获取所述目标样本为
APT
的概率;其中,所述
APT
检测模型根据如上述模型构建方法得到
。
[0012]第三方面,本专利技术实施例提供一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现上述第一个方面或第二个方面所述的方法步骤
。
[0013]第四方面,本专利技术实施例提供一种终端,包括存储器
、
处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面或第二个方面所述的方法步骤
。
[0014]本专利技术实施例提供的模型构建方法
、APT
检测方法
、
存储介质及终端,具备以下技
术效果:
[0015]本专利技术实施例通过若干样本的域名访问信息和函数调用关系,获取若干流量特征向量和若干动态特征向量组成向量矩阵,结合若干样本的属性和向量矩阵进行模型训练,得到
APT
检测模型
。
再通过
APT
检测模型识别未知样本是否为
APT。
应用上述方法,可基于
APT
攻击的特征引入流量特征和动态特征构建检测模型,优化模型对
APT
攻击的敏感程度,有效提升了
APT
检测模型的准确率,从而加快了
APT
攻击检测速度,对网络安全分析工作有很大的价值
。
附图说明
[0016]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图
。
[0017]图1为本专利技术实施例提供的一种模型构建方法流程图;
[0018]图2为本专利技术实施例提供的一种
APT
检测方法流程图;
[0019]图3为本专利技术实施例提供的一种模型构建装置的结构示意图;
[0020]图4为本专利技术实施例提供的一种
APT
检测装置的结构示意图;
[0021]图5为本专利技术实施例提供的一种终端的框图
。
具体实施方式
[0022]为使本专利技术实施例的目的
、
技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例
。
基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围
。
[0023]下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素
。
以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式
。
相反,它们仅是如所附权利要求书中所详述的
、
本专利技术的一些方面相一致的装置和方法的例子
。
[0024]在本专利技术的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性
。
对于本领域的普通技术人员而言,可以具体情况理解上述术语在本专利技术中的具体含义
。
[0025]近年来,随着移动端的病毒数量迅速增加,针对
Android
端的高级持续性威胁
(AdvancedPersistentThreat
,
APT)
攻击变得更加多样化,研究发现,
2/3
的信息泄露来自
APT
攻击,由于
APT
攻击不受传统杀毒软件和防火墙的限制,并且可以基于
C&C
服务器长期潜伏在手机中,等待时机窃取用户隐私信息,会带来极大隐患
。
目前针对该领域的研究都存在一定缺陷,例如,利用动态检测技术监控恶意软件的行为和系统调用,检测复杂,且消耗资源较大,性能难以支持
。
而基于源码分析的静态检测,虽然效率较快,但精准度不高,无法抵抗混淆和加密的恶意软件攻击
本文档来自技高网...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.
一种模型构建方法,其特征在于,包括:基于若干样本的域名访问信息和函数调用关系,获取所述若干样本的流量特征向量和动态特征向量;将若干流量特征向量和若干动态特征向量进行组合,得到向量矩阵;将所述若干样本的属性和所述向量矩阵输入预设机器学习模型进行训练,得到
APT
检测模型;所述若干样本的属性包括
APT
和正常
。2.
根据权利要求1所述方法,其特征在于,所述域名访问信息包括如下至少一种:域名访问次数
、
重复请求次数
、
域名长度
、
域名结构度和访问规律性
。3.
根据权利要求2所述方法,其特征在于,所述基于若干样本的域名访问信息和函数调用关系,获取所述若干样本的流量特征向量和动态特征向量,包括:根据每个样本的域名访问信息,获取一个或多个流量特征值,将所述一个或多个流量特征值组成所述每个样本的流量特征向量,从而得到若干流量特征向量;根据每个样本中函数的调用关系,获取所述每个样本的动态特征向量,从而得到若干动态特征向量
。4.
根据权利要求3所述方法,其特征在于,所述根据每个样本的流量特征,获取一个或多个流量特征值,将所述一个或多个流量特征值组成所述每个样本的流量特征向量,包括:根据第一预设规则,对所述每个样本的域名访问次数进行计算,得到第一流量特征值;根据第二预设规则,对所述每个样本的重复请求次数进行计算,得到第二流量特征值;根据第三预设规则,对所述每个样本的域名长度进行计算,得到第三流量特征值;根据第四预设规则,对所述每个样本的域名结构度进行计算,得到第四流量特征值;根据第五预设规则,对所述每个样本的访问规律性进行计算,得到第五流量特征值;选取所述第一流量特征值
、
所述第二流量特征值
、
所述第三流量特征值
、
所述第四流量特征值和所述第五流量特征值中一个或多个,组成所述每个样本的流量特征向量
技术研发人员:陈家林,徐力斌,张传学,潘宣辰,
申请(专利权)人:武汉安天信息技术有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。