[发明专利]一种基于流量的自反馈恶意软件监测系统和方法

说明书

本发明公开了一种基于流量的自反馈恶意软件监测系统和方法，包括以下步骤：步骤1、获取HTTP流量，对良性域名的所述HTTP流量进行过滤；步骤2、清洗过滤掉源自浏览器的所述HTTP流量；步骤3、与指纹特征库进行对比，直接识别；步骤4、对不能识别的所述HTTP流量进行流化处理，对流进行聚类；步骤5、检测分析；步骤6、对检测结果进行验证，计算并监测误报率；步骤7、所述误报率超过设定的阈值时，对模型进行反馈训练调整；步骤8、循环执行所述步骤1至所述步骤7。本发明可以高效监测恶意软件，并且可适应不断变化的动态流量环境，能够应对当前恶意软件不断变化发展的趋势。

技术领域

本发明涉及计算机网络安全领域，特别涉及一种基于流量的自反馈恶意软件监测系统和方法。

背景技术

互联网安全问题一直是全球范围内的重要议题。随着新型网络攻击方式的快速发展，互联网的安全威胁正在日益激化。恶意软件作为主要网络威胁之一，极可能导致其所在的整个网络系统遭受攻击，造成敏感信息的泄露，这也使得在网络系统中，对恶意软件准确及时的识别与分类变得日益重要。

对于组织机构而言，一个内部人员的疏忽而引入的恶意软件可能最终造成不可预料的损失。如何在其整个网络系统环境中有效检测恶意软件已经成为了共同的话题。然而目前的恶意软件的检测的主要方式仍为单机检测，即检测系统需要部署在单个设备上进行工作。这种方式对于拥有较大网络系统的机构来说缺乏可行性，且难以保证全面部署。而企业当中常用的网络流量检测方式通常是针对来自外部的一些攻击，其对于恶意软件的检测往往为了确保实时性只是使用了一些黑名单、签名匹配等机制进行判别，因此精确度和对变化的适应性不高。对于这些系统而言，需要一个在检测范围、实时性和精确性上做到兼备的恶意软件检测方案。

HTTP流量是软件进行通信的最常用的一种方式。卡巴斯基报告显示，近年来，虽然越来越多的应用程序已经从HTTP切换到HTTPS，截至2018年1月，有近63％的应用程序正在使用HTTPS，但是其中大多数仍没有放弃使用HTTP。据统计数据所示，目前仍有将近90％的应用程序正在使用HTTP，其中许多人的敏感数据正在被未加密地传输。

发明内容

本发明所要解决的技术问题是目前对于恶意软件的检测方法仍存在的检测范围有限、精确度和对变化的适应性不高的问题。本发明的目的在于提出一种基于流量的自反馈恶意软件监测系统和方法，系统部署于网关获取网络流量，通过迁移学习和反馈学习提升检测的准确率，保证其面对变化的流量环境和发展的恶意软件而保持有效性。

为实现上述目的，本发明提供了一种基于流量的自反馈恶意软件监测方法，包括以下步骤：

步骤1、获取HTTP流量，进行数据预处理；对良性域名的所述HTTP流量进行过滤；

步骤2、清洗过滤掉源自浏览器的所述HTTP流量；

步骤3、经过所述步骤1、2的过滤后，再提取剩下的所述HTTP流量的指纹，与指纹特征库进行对比，直接识别已知种类的所述HTTP流量；

步骤4、对不能直接识别的未知种类所述HTTP流量进行流化处理，然后对流进行聚类；

步骤5、对聚类后的所述HTTP流量进行检测分析；

步骤6、系统使用在线检测工具对检测结果中的恶意流量进行验证，计算并监测误报率，并将验证后的数据结果加入到样本库当中进行更新，同时更新所述指纹特征库；

步骤7、当监测到所述步骤6中所述误报率超过设定的阈值时，使用更新了的所述样本库对卷积神经网络检测模型进行反馈训练调整，更新所述指纹特征库；

步骤8、循环执行所述步骤1至所述步骤7。

进一步地，在所述步骤1中，通过运行于网关的流量抓取模块来抓取所述HTTP流量。