[发明专利]一种基于网络流量分类的恶意软件识别方法、系统及电子设备

说明书

本申请涉及一种基于网络流量分类的恶意软件识别方法、系统及电子设备。所述基于网络流量分类的恶意软件识别方法包括：步骤a：获取正常流量作为流量样本数据，通过所述流量样本数据训练森林分类器；步骤b：获取通过防火墙的数据流，用<目的IP，目的端口，传输层协议>三元组对获取的数据流进行约束形成BoF，对所述BoF中的数据流进行采样，并对采样得到的数据流包头进行特征值提取；步骤c：将提取的特征值输入森林分类器中进行流量分类，如果流量分类结果是异常流量，对该异常流量对应的恶意软件进行定位识别。本申请能够有效的提高基于网络流量分类的恶意软件识别的速度和精确度，同时在识别和定位恶意软件之前预先保护了用户的隐私和安全。

技术领域

本申请属于恶意软件识别技术领域，特别涉及一种基于网络流量分类的恶意软件识别方法、系统及电子设备。

背景技术

随着互联网的高速发展，人类进入了信息化时代，网络的传播速度最近几年有了巨大的提升，每时每刻都有大量的数据在网络上传播，每个人每天都会产生大量的流量，人们的生活因为互联网的发展得到了巨大的进步。企业也得益于网络的快速发展，可以异地办公，获取更多有用的信息，从而获得巨大的收益。但是随着传播的数据量的增加，同样也诞生了许多恶意软件，危害着广大互联网用户的安全。尤其对于企业来说，如果企业数据遭到恶意软件的破坏或因为恶意软件推迟了工作，会对企业造成巨大的损失。

恶意软件(俗称“流氓软件”)是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。恶意软件会恶意收集用户信息(指未明确提示用户或未经用户许可，恶意收集用户信息的行为；a)收集用户信息时，未提示用户有收集信息的行为；b)未提供用户选择是否允许收集信息的选项；c)用户无法查看自己被收集的信息)，这些恶意收集的用户信息中可能包含了机密信息，一旦泄露出去会对用户造成巨大的损失。恶意软件还可能会捆绑一些软件，强制在后台安装垃圾应用，使用户的计算机运行十分缓慢，拖慢工作的进度，或者恶意删除用户的数据，破坏用户的计算机。

网络流量分类是指按照网络的应用类型，将基于TCP/IP协议的网络通信产生的双向UDP(User Datagram Protocol，用户数据报协议)流或TCP(Transmission ControlProtocol，传输控制协议)流进行分类，能够有效的处理很多网络安全问题，包括合法截取和入侵检测等。例如，网络流量分类可以用作检测服务攻击、蠕虫病毒传播、网站入侵、垃圾邮件传播等。此外，网络流量分类在现代网络管理体系中同样扮演着极其重要的作用，如服务质量控制(QoS)。

袁振龙提出了《一种基于深度学习的Android平台恶意应用检测方法及装置》，在该方法中将机器学习应用到了恶意应用的检测中去。张庚提出了《一种网络流量分类方法》，将机器学习应用到了流量分类中去。易运辉提出了《基于网络流量分析的安卓恶意软件实时检测方法》将流量分析应用到安卓恶意软件的检测上去。

然而，现有技术中对于恶意软件的检测只停留在对软件本身进行分类，大多是对软件文件实体、软件安装文件进行反汇编，对恶意代码提取特征值。这样大大加深了检测的技术难度和工作量，而且只有在获得该恶意软件的二进制文件时才可以判断，而不能主动发现新的恶意软件。

同样也有对于网络流量分析的检测方法，但是主要对特定端口的流量进行分析，对于随机端口或者端口加密的应用效果不好，并且对于每个包的payload部分也进行提取特征值，使得计算量大大增加，降低了运行速度，实时性无法保障，同时也因为获取用户传输的数据而侵犯了用户的隐私。

还有对于DNS(Domain Name System，域名系统)请求的域名特征，使用第三方的域名检测服务器进行检测，这种模型完全依赖于第三方域名检测服务器的准确性。

发明内容

本申请提供了一种基于网络流量分类的恶意软件识别方法、系统及电子设备，旨在至少在一定程度上解决现有技术中的上述技术问题之一。