[发明专利]程序网络行为识别方法及系统

说明书

技术领域

本发明属于计算机技术领域，尤其涉及一种程序网络行为识别方法及系统。

背景技术

众所周知，当今互联网环境中，应用最为广泛的网络结构满足DoD模型（又称TCP/IP协议族）。该DoD模型包括：链路层、互联网层、传输层和应用层。一个程序若要发送或接收互联网数据，就需要让自己的数据符合TCP/IP协议标准，才能让数据在互联网中准确且有效的传输。而这四层协议中：链路层、互联网层、传输层的数据结构均有一套相对严格的标准，编程者不能擅自更改其结构，所以很容易被安全软件或安全设备监控到关键数据且难于伪装。唯独应用层的数据结构，具有很高的可定制特性。允许编程人员根据自己的需求和想法任意定义其中的内容与结构。

现有的对应用层的数据结构的检测方案，主要是依靠特征码进行检测——即：研究人员发现了某一种已经出现的网络威胁（远控、木马、蠕虫等），通过对拿到的样本进行研究和分析，抓取其传输的网络数据包，然后提取其固定特征（如某一特定偏移量处出现某一特定字符），作为程序自动检测的依据。而入这样的传统解决方案最大的缺点在于存在滞后性，必须找到新型威胁的样本加以分析，才能做出有效拦截。

由此可知，传统的程序网络行为识别方式对于新出现或新变种的程序的网络行为不能准确识别。

发明内容

鉴于上述技术问题，提出了本发明以便提供一种克服上述技术问题或者至少部分地解决上述技术问题的程序网络行为识别方法及系统。

依据本发明实施例的一个方面，提供了一种程序网络行为识别方法，方法包括：在程序访问网络的过程中，获取程序的当前网络行为中的应用层数据；判断应用层数据中是否包括未知的协议；若应用层数据中的协议都是已知的协议，则将程序的当前网络行为标识为能够识别的程序的网络行为；若应用层数据中包括未知的协议，则将程序的当前网络行为标识为可疑的程序的网络行为；其中，在将所述程序的当前网络行为标识为能够识别的程序的网络行为的步骤之后，所述方法还包括：判断所述能够识别的程序的网络行为是否为恶意程序的网络行为；若是恶意程序的网络行为，则发送风险提示信息，和/或拦截所述能够识别的程序的当前网络行为；若不是恶意程序的网络行为，则将所述能够识别的程序的当前网络行为标识为正常的网络行为。

根据本发明实施例的又一方面，提供了一种程序网络行为识别系统，包括：客户端和云端服务器，其中客户端，用于在程序访问网络的过程中，获取程序的当前网络行为中的数据包，数据包包括：应用层数据，以及接收云端服务器返回的识别结果；云端服务端，用于接收客户端获取的程序的当前网络行为中数据包，判断应用层数据中是否包括未知的协议；若应用层数据中的协议都是已知的协议，则将程序的当前网络行为标识为能够识别的程序的网络行为；若应用层数据中包括未知的协议，则将程序的当前网络行为标识为可疑的程序的网络行为，向客户端发送识别结果；云端服务器包括程序网络行为识别装置，该装置包括：获取模块，用于在程序访问网络的过程中，获取程序的当前网络行为中的应用层数据；第一判断模块，用于判断应用层数据中是否包括未知的协议；识别模块，用于在应用层数据中的协议都是已知的协议时，将程序的当前网络行为标识为能够识别的程序的网络行为；以及当应用层数据中包括未知的协议时，将程序的当前网络行为标识为可疑的程序的网络行为。

根据本发明实施例的程序网络行为识别方法及系统，当程序的当前网络行为中的应用层数据都是已知的协议时，将程序的当前网络行为标识为能够识别的程序的网络行为；当程序的当前网络行为中的应用层数据中包括未知的协议时，将程序的当前网络行为标识为可疑的程序的网络行为，由此实现对程序的网络行为的准确识别，将包括未知的协议的程序的网络行为标识为可疑的程序的网络行为，并可向用户发送风险提示信息，由用户进行最终的选择，由此解决了传统的程序网络行为识别方案对于新出现或新变种的程序的网络行为不能准确识别的问题，进一步解决了传统的程序网络行为识别方案中不对未知的网络协议进行拦截的问题，提高用户的网络安全性。

而且，在将程序的当前网络行为标识为能够识别的程序的网络行为之后，或者将程序的当前网络行为标识为可疑的程序的网络行为之后，客户端可以将应用层数据中的特征信息发送至云端服务器，由云端服务器根据黑白名单库中的黑白名单，判断程序的网络行为是否为恶意程序的网络行为，通过将数据量较大、变动比较频繁的一些黑白名单存储在云端服务器上，由云端服务器来识别恶意程序的网络行为，可有效节约客户端本地资源和降低客户端本地机器的性能开销，同时也可加快识别网络行为的响应速度。