[发明专利]一种基于流量的自反馈恶意软件监测系统和方法

权利要求书

1.一种基于流量的自反馈恶意软件监测方法，其特征在于，包括以下步骤：

步骤1、获取HTTP流量，进行数据预处理；对良性域名的所述HTTP流量进行过滤；

步骤2、清洗过滤掉源自浏览器的所述HTTP流量；

步骤3、经过所述步骤1、2的过滤后，再提取剩下的所述HTTP流量的指纹，与指纹特征库进行对比，直接识别已知种类的所述HTTP流量；

步骤4、对不能直接识别的未知种类所述HTTP流量进行流化处理，然后对流进行聚类；

步骤5、对聚类后的所述HTTP流量进行检测分析；

步骤6、系统使用在线检测工具对检测结果中的恶意流量进行验证，计算并监测误报率，并将验证后的数据结果加入到样本库当中进行更新，同时更新所述指纹特征库；

步骤7、当监测到所述步骤6中所述误报率超过设定的阈值时，使用更新了的所述样本库对卷积神经网络检测模型进行反馈训练调整，更新所述指纹特征库；

步骤8、循环执行所述步骤1至所述步骤7；

在所述步骤1之前，利用获取的HTTP历史流量样本数据集，使用深度学习卷积神经网络CNN训练出所述卷积神经网络检测模型；在检测的初期，对所述卷积神经网络检测模型进行迁移学习调整：通过所述卷积神经网络检测模型对输入数据进行检测，识别出所述恶意软件流量后，通过引入外部指导的方式，对识别结果进行二次判断，通过该判断结果来对所述卷积神经网络检测模型进行训练调整。

2.如权利要求1所述的基于流量的自反馈恶意软件监测方法，其特征在于，在所述步骤1中，通过运行于网关的流量抓取模块来抓取所述HTTP流量。

3.如权利要求1所述的基于流量的自反馈恶意软件监测方法，其特征在于，在所述步骤1中，使用Alexa白名单对所述良性域名的所述HTTP流量进行过滤。

4.如权利要求1所述的基于流量的自反馈恶意软件监测方法，其特征在于，在所述步骤2中，通过使用网络请求图算法对HTTP请求关系图进行重构，根据浏览器HTTP流量的特性区分出所述源自浏览器的所述HTTP流量与后台软件流量。

5.如权利要求1所述的基于流量的自反馈恶意软件监测方法，其特征在于，在所述步骤4中，根据IP和User-Agent字段对流进行所述聚类。

6.如权利要求1所述的基于流量的自反馈恶意软件监测方法，其特征在于，在所述步骤5中，使用所述卷积神经网络检测模型对所述HTTP流量数据进行分析判断，获得所述恶意软件判断结果。

7.如权利要求1所述的基于流量的自反馈恶意软件监测方法，其特征在于，在所述步骤6中的所述在线检测工具为VirusTotal。

8.如权利要求1所述的基于流量的自反馈恶意软件监测方法，其特征在于，所述步骤6还包括，将结果以所述恶意软件所在的主机IP，通信端口，使用的User-Agent，对外通信的服务器IP的四元组信息的形式报告用户。

9.一种基于流量的自反馈恶意软件监测系统，其特征在于，包括数据预处理模块、检测分析模块、前期训练模块和反馈训练模块；

所述数据预处理模块包括：

a）读取从网关处抓取的流量包，使用白名单过滤部分流量；

b）还原HTTP请求关系图，通过请求行为特征识别并过滤浏览器流量；

c）通过HTTP请求的特征指纹识别不同的软件，过滤已知的良性软件或恶意软件；

d）以IP+User-Agent的对话流为单位重组流量；

e）以上一步骤中重组后的流量作为所述检测分析模块的输入；

所述检测分析模块包括：

a）使用卷积神经网络检测模型对流量数据进行分析判断，获得恶意软件判断结果；

b）使用在线检测工具对检测结果中的恶意流量进行验证，并将验证后的数据结果加入到样本库当中；

所述前期训练模块包括：

a）系统初次部署后，利用深度学习卷积神经网络CNN训练出所述卷积神经网络检测模型，通过所述卷积神经网络检测模型对实际环境中的流量进行检测，在检测出恶意对象后对所述卷积神经网络检测模型的检测结果进行判断处理，并利用处理后的结果对所述卷积神经网络检测模型进行训练调整；

所述反馈训练模块包括：

a）系统设定误报率阈值，当误报率超过所述误报率阈值时，再使用所述样本库中更新后的样本数据对所述卷积神经网络检测模型进行训练调整，同时更新指纹特征库。