[发明专利]恶意软件的识别方法及装置

说明书

本发明公开了一种恶意软件的识别方法及装置，采用本申请文件中的技术方案，预先采集大量恶意软件的网络行为，从网络行为中提取URL特征，在建立好预先规则之后，采集待检测安全的指定软件的网络行为的URL特征，将二者的URL特征进行比较，以确定待检测的指定软件是否为恶意软件。采用上述技术方案，实现了迅速准确的识别恶意软件，进而解决了相关技术中缺乏便捷有效的识别恶意软件的技术问题。

技术领域

本发明涉及单片机领域，具体而言，涉及一种恶意软件的识别方法及装置。

背景技术

在相关技术中，恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制被感染主机。恶意软件由多种威胁组成，受感染的主机往往会受控于黑客的命令控制服务器，形成僵尸网络(英文名称叫BotNet)，僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客获取。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。

被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就像傀儡一样。僵尸网络的核心是命令与控制(CommandControl)机制。受控主机和黑客之间存在着不为主机用户所知的通讯渠道。黑客通过这个渠道向受控主机发送命令，上传文件，发起攻击等等。CC的通讯机制有多种,HTTP是主要的通讯协议。

基于大量恶意软件的网络行为的分析，技术人员可以建立有效的模型来识别受控主机与僵尸网络的通讯，从而发现被恶意软件感染的主机。通过网络行为发现感染主机，可以及时进行隔离，清理，减少威胁带来的损失。这是一个富有挑战性的领域，有多种技术用于解决这个难题。

在相关技术中，大约有以下两种方式来解决上述难题：

第一种是建立CC连接网址的黑名单数据库。采用统一资源定位符(UniformResource Locator，简称为URL)过滤的方法控制和报告主机的网路使用，从而检测出被感染的主机。该技术建立已知CC连接的特征字段库。通过与实际连接网址参数的匹配来确定是否是CC连接。该技术的优点是简单，精准，误报率低。但是，第一种方式存在以下缺点：特征字段库是静态的特征，对于连接的网址参数的些微变化就束手无策。如果全部的特征字段都搜罗进来，库会变得很大而效率会比较低。特征库需要及时的更新以保证其时效性。特征字段虽然来源于恶意软件样本的网络行为，但并不是所有的连接都是恶意连接。有些连接特征和正常无害的连接很接近。这样需要对特征进行甄别和挑选，以减少误报。因此维护和更新特征库的工作量比较大。

第二种是通过恶意软件样本的网络行为和正常无害的网络行为，采用监督机器学习的方法建立模型。在收集大量的正负样本的基础上，对样本进行标记。然后采用监督机器学习的方法，如回归，随机森林等方法建立模型。模型可以对连接的网址参数做判断。该技术采用机器学习，具有一定的动态适应性。对没有遇见过，但具有相似性的恶意软件有一定的识别能力。但是该种技术方式存在以下问题：1)，有效的监督机器学习的模型需要大量的具有代表性的正常样本进行学习。由于正常样本数量过于巨大，形态多样而复杂，很难有全面且有代表性的采样。而恶意样本数目偏小，这样建立的模型会有较大误报。2)，监督机器学习对样本标签的准确性要求很高。如果正性样本有不准确标签，会很严重影响机器学习模型的准确性。

针对相关技术中，缺乏便捷有效的识别恶意软件的技术问题，目前还没有有效的解决方案。

发明内容

本发明实施例提供了一种恶意软件的识别方法及装置，以至少解决相关技术中缺乏便捷有效的识别恶意软件的技术问题。