[发明专利]基于恶意网络流量词库的恶意软件检测可视化方法及系统

说明书

本发明公开了基于恶意网络流量词库的恶意软件检测可视化方法及系统；包括如下步骤：对HTTP网络流的内容进行单词分割，并建立恶意网络流量词库；训练恶意软件检测模型；对待检测的HTTP网络流的流内容进行单词分割，分割成单词集合；利用得到的词库将单词集合进行向量化处理；将词向量输入到训练得到的恶意软件检测模型中，恶意软件检测模型通过计算给出检测结果；如果待检测HTTP网络流被预测为恶意流量，找到所述恶意流量的HTTP网络流的源头app，将源头app标记为恶意app；计算恶意网络流中单词的权重；恶意网络流的流内容可视化。本发明的有益效果：充分解决了恶意流量检测过程对用户的透明性问题。

技术领域

本发明涉及基于恶意网络流量词库的恶意软件检测可视化方法及系统。

背景技术

如今，安卓恶意软件日趋猖狂，对用户造成各种危害的恶意应用层出不穷。现在对恶意应用的检测主要分为三大主流方向。第一种是基于静态代码扫描的方式。它需要维持一个恶意的代码库，因为它是将待检测应用的所有代码与恶意库里面的恶意代码片段进行比对，一旦比对成功就认为此应用为恶意应用。第二种是基于动态系统调用的方法。它深入到安卓应用的内部，观察应用在运行时的函数调用情况。第三种是基于网络流量的检测方法，它是从安卓应用产生的流量角度考虑，探索恶意流量的特征进行恶意流量的识别，通过将恶意流量与应用联系起来进而检测出恶意应用。

然而，这三种方法都存在着不足之处，静态检测的恶意代码库需要不断更新，很难发现新产生的恶意应用；动态检测方法部署起来十分困难，甚至要更改安卓系统内核，工程繁杂并且消耗大量资源；流量检测的方法是最近比较受关注的一种方法，这种方法一般与机器学习算法结合，只需要向算法提供大量的恶意流量特征和正常流量特征，它就能自动地训练出一个区分正常流量和恶意流量的模型。然而大部分的流量监测方法都需要人为挑选能够区分正常和恶意的特征，特征的选择很困难。同时这些检测方法都仅仅是提供了最终的检测结果，即待测的流量是正常的或者是恶意的，对于这种决策是如何做出的，哪些特征表明它是恶意的都没有明确的指示，所以这个结果对于用户来说很难具有很强的说服力。

发明内容

本发明的目的就是为了解决上述问题，提供一种基于恶意网络流量词库的恶意软件检测可视化方法及系统，充分解决了恶意流量检测过程对用户的透明性问题。

为了实现上述目的，本发明采用如下技术方案：

基于恶意网络流量词库的恶意软件检测可视化方法，包括如下步骤：

步骤(1)：对HTTP网络流的内容进行单词分割，并建立恶意网络流量词库；

步骤(2)：训练恶意软件检测模型；

步骤(3)：对待检测的HTTP网络流的流内容进行单词分割，分割成单词集合；

步骤(4)：利用步骤(1)得到的词库将步骤(3)的单词集合进行向量化处理；

步骤(5)：将步骤(4)的词向量输入到步骤(2)训练得到的恶意软件检测模型中，恶意软件检测模型通过计算给出检测结果；如果待检测HTTP网络流被预测为恶意流量，找到所述恶意流量的HTTP网络流的源头app，将源头app标记为恶意app；进入步骤(6)；

步骤(6)：计算恶意网络流中单词的权重；

步骤(7)：恶意网络流的流内容可视化。

所述步骤(1)的步骤为：

步骤(1-1)：获取正常的HTTP网络流量的内容，对获取到的正常的HTTP网络流量的内容进行分词，得到正常的HTTP网络流量的正常词集；进入步骤(1-3)；

步骤(1-2)：获取恶意的HTTP网络流量的内容，对获取到的恶意的HTTP网络流量的内容进行分词，得到恶意的HTTP网络流量的恶意词集；进入步骤(1-4)；