【技术实现步骤摘要】
本专利技术属于计算机
,尤其涉及一种识别程序的网络行为的方法、装置及系统。
技术介绍
众所周知,当今互联网环境中,应用最为广泛的网络结构满足DoD模型(又称TCP/IP协议族)。该DoD模型包括链路层、互联网层、传输层和应用层。一个程序若要发送或接收互联网数据,就需要让自己的数据符合TCP/IP协议标准,才能让数据在互联网中准确且有效的传输。而这四层协议中链路层、互联网层、传输层的数据结构均有一套相对严格的标准,编程者不能擅自更改其结构,所以很容易被安全软件或安全设备监控到关键数据且难于伪装。唯独应用层的数据结构,具有很高的可定制特性。允许编程人员根据自己的需求和想法任意定义其中的内容与结构。现有的对应用层的数据结构的检测方案,主要是依靠特征码进行检测——即研究人员发现了某一种已经出现的网络威胁(远控、木马、蠕虫等),通过对拿到的样本进行研究和分析,抓取其传输的网络数据包,然后提取其固定特征(如某一特定偏移量处出现某一特定字符),作为程序自动检测的依据。而入这样的传统解决方案最大的缺点在于存在滞后性,必须找到新型威胁的样本加以分析,才能做出有效拦截。由此可知,传统的识别程序的网络行为的方式对于新出现或新变种的程序的网络行为不能准确识别。
技术实现思路
鉴于上述技术问题,提出了本专利技术以便提供一种克服上述技术问题或者至少部分地解决上述技术问题的识别程序的网络行为的方法、装置及系统。依据本专利技术实施例的一个方面,提供了一种识别程序的网络行为的方法,方法包括在程序访问网络的过程中,获取程序的当前网络行为中的应用层数据;判断应用层数据中是否包括未知的协议 ...
【技术保护点】
一种识别程序的网络行为的方法,其特征在于,所述方法包括:在程序访问网络的过程中,获取程序的当前网络行为中的应用层数据;判断所述应用层数据中是否包括未知的协议;若所述应用层数据中的协议都是已知的协议,则将所述程序的当前网络行为标识为能够识别的程序的网络行为;若所述应用层数据中包括未知的协议,则将所述程序的当前网络行为标识为可疑的程序的网络行为。
【技术特征摘要】
1.一种识别程序的网络行为的方法,其特征在于,所述方法包括 在程序访问网络的过程中,获取程序的当前网络行为中的应用层数据; 判断所述应用层数据中是否包括未知的协议; 若所述应用层数据中的协议都是已知的协议,则将所述程序的当前网络行为标识为能够识别的程序的网络行为; 若所述应用层数据中包括未知的协议,则将所述程序的当前网络行为标识为可疑的程序的网络行为。2.根据权利要求1所述的方法,其特征在于,所述判断所述应用层数据中是否包括未知的协议的步骤为 根据已知的协议的格式,判断所述应用层数据中是否包括未知的协议,如果应用层数据中的协议都能识别,则判断应用层数据都是已知的协议,如果应用层数据中有至少部分协议不能识别,则判断应用层数据包括未知的协议。3.根据权利要求2所述的方法,其特征在于,所述已知的协议至少包括下列中的至少一个超文本传送协议、域名系统协议、简单邮件传输协议、文件传送协议、简单网络管理协议和邮局协议第3版协议。4.根据权利要求Γ3任一所述的方法,其特征在于,在将所述程序的当前网络行为标识为能够识别的程序的网络行为的步骤之后,所述方法还包括 判断所述能够识别的程序的网络行为是否为恶意程序的网络行为; 若是恶意程序的网络行为,则发送风险提示信息,和/或拦截所述能够识别的程序的当前网络行为; 若不是恶意程序的网络行为,则将所述能够识别的程序的当前网络行为标识为正常的网络行为。5.根据权利要求4所述的方法,其特征在于,所述判断所述能够识别的程序的网络行为是否为恶意程序的网络行为的步骤包括 获取所述能够识别的程序的网络行为中的应用层数据中的特征信息,所述特征信息包括应用层数据中的部分代码、应用层数据中的数据包、或者应用层数据中的数据包中的一段数据; 根据所述特征信息,判断所述能够识别的程序的网络行为是否为恶意程序的网络行为。6.根据权利要求4所述的方法,其特征在于,所述判断所述能够识别的程序的网络行为是否为恶意程序的网络行为的步骤包括 获取能够识别的程序的网络行为中的应用层数据中的特征信息,所述特征信息包括应用层数据中的部分代码、应用层数据中的数据包、或者应用层数据中的数据包中的一段数据; 将所述特征信息发送至云端服务器,由所述云端服务器根据所述特征信息判断所述能够识别的程序的网络行为是否为恶意程序的网络行为,并返回判断结果。7.根据权利要求Γ4任一所述的方法,其特征在于,在将所述程序的当前网络行为标识为可疑的程序的网络行为的步骤之后,所述方法还包括 判断所述可疑的程序的网络行为是否为恶意程序的网络行为;若是恶意程序的网络行为,则发送风险提示信息,和/或拦截所述可疑的程序的当前网络行为; 若不是恶意程序的网络行为,则发送风险提示信息。8.根据权利要求7所述的方法,其特征在于,所述判断所述可疑的程序的网络行为是否为恶意程序的网络行为的步骤包括 获取所述可疑的程序的网络行为中的应用层数据中的特征信息,所述特征信息包括应用层数据中的部分代码、应用层数据中的数据包、或者应用层数据中的数据包中的一段数据; 根据所述特征信息,判断所述可疑的程序的网络行为是否为恶意程序的网络行为。9.根据权利要求7所述的方法,其特征在于,所述判断所述可疑的程序的网络行为是否为恶意程序的网络行为的步骤包括 获取所述可疑的程序的网络行为中的应用层数据中的特征信息,所述特征信息包括应用层数据中的部分代码、应用层数据中的数据包、或者应用层数据中的数据包中的一段数据; 将所述特征信息发送至云端服务器,由所述云端服务器根据所述特征信息判断所述可疑的程序的网络行为是否为恶意程序的网络行为,并返回判断结果。10.一种识别程序的网络行为的装置,其特征在于,所述装置包括 获取模块,用于在程序访问网络的过程中,获取所述程序的当前网络行为中的应用层数据; 第一判断模块,用于判断所述应用层数据中是否包括未知的协议; 识别模块,用于在所述应用层数据中的协议都是已知的协议时,将所述程序的当前网络行为标识为能够识别的程序的网络行为;以及当所述应用层数据中包括未知的协议时,将所述程序的当前网络行为标识为可疑的程序的网络行为。11.根据权利要求10所述的装置,其特征在于,所述第一判断模块进一步用于根据已知的协议的格式,判断所述应用层数据中是否包括未知的协议。12.根据权利要求11所述的装置,其特征在于,所述已知的可以识别的协议至少包括下列中的至少一个超文本传送协议、域名系统协议、简单邮件...
【专利技术属性】
技术研发人员:刘海粟,张聪,熊昱之,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。