一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法和設(shè)備的制作方法
【專利摘要】本發(fā)明的實(shí)施例提供一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法和設(shè)備,實(shí)現(xiàn)了在多種運(yùn)行環(huán)境下自動(dòng)提取惡意軟件網(wǎng)絡(luò)特征碼�,提高了網(wǎng)絡(luò)特征碼的提取效率、通用性以及NIDS和NIPS系統(tǒng)對(duì)新興惡意軟件的響應(yīng)速度����。本發(fā)明實(shí)施例提供的方法包括:在具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備上分別運(yùn)行惡意軟件程序樣本�,并分別截取每個(gè)所述運(yùn)行設(shè)備運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件;對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件依次進(jìn)行數(shù)據(jù)流重組���、通信數(shù)據(jù)分類��、公共子串提取和特征碼生成過(guò)程�,得到所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼。
【專利說(shuō)明】一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法和設(shè)備
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信領(lǐng)域��,尤其涉及一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法和 設(shè)備���。
【背景技術(shù)】
[0002] 現(xiàn)階段���,惡意軟件的網(wǎng)絡(luò)入侵對(duì)因特網(wǎng)安全已經(jīng)造成了嚴(yán)重危險(xiǎn),目前���,可以通過(guò) 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Network Intrusion Detection System����,簡(jiǎn)稱NIDS)和網(wǎng)絡(luò)入侵防御系 統(tǒng)(Network Intrusion Prevention System,簡(jiǎn)稱NIPS)對(duì)惡意軟件的網(wǎng)絡(luò)通信進(jìn)行檢測(cè)��, 但是現(xiàn)有技術(shù)中NIDS特征碼需要通過(guò)工程師通過(guò)手工或半手工的方式對(duì)惡意軟件代碼樣 本在單一運(yùn)行設(shè)備上的網(wǎng)絡(luò)行為進(jìn)行追蹤來(lái)提取�����,提取效率低���,降低了 NIDS和NIPS系統(tǒng)對(duì) 新興惡意軟件的響應(yīng)速度����,而且僅從惡意軟件代碼樣本在單一運(yùn)行環(huán)境中的運(yùn)行結(jié)果所得 到的特征碼往往帶有該單一運(yùn)行環(huán)境的參數(shù),故所得到的特征碼不具備通用性�。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明的實(shí)施例提供一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法和設(shè)備,實(shí)現(xiàn) 了在多種運(yùn)行環(huán)境下自動(dòng)提取惡意軟件網(wǎng)絡(luò)特征碼����,提高了網(wǎng)絡(luò)特征碼的提取效率、通用 性以及NIDS和NIPS系統(tǒng)對(duì)新興惡意軟件的響應(yīng)速度�����。
[0004] 為達(dá)到上述目的�,本發(fā)明的實(shí)施例采用如下技術(shù)方案:
[0005] 第一方面,提供了一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法��,包括:
[0006] 在具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備上分別運(yùn)行惡意軟件程序樣本�����,并分別 截取每個(gè)所述運(yùn)行設(shè)備運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件�����;
[0007] 對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件依次進(jìn)行數(shù)據(jù)流重組���、通信數(shù)據(jù)分類����、公共子串提 取和特征碼生成過(guò)程��,得到所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼��。
[0008] 在第一種可能的實(shí)現(xiàn)方式中�����,根據(jù)第一方面���,所述方法還包括�����,
[0009] 對(duì)所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行NIDS規(guī)則有效性驗(yàn)證����,消除所述惡意 軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼中的無(wú)效規(guī)則�。
[0010] 在第二種可能的實(shí)現(xiàn)方式中,結(jié)合第一種可能的實(shí)現(xiàn)方式���,所述方法還包括��,
[0011] 根據(jù)預(yù)先截取的已知合法流量�,對(duì)所述進(jìn)行NIDS規(guī)則有效性驗(yàn)證后的惡意軟件 網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行規(guī)則驗(yàn)證,去除所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼中在實(shí)際使用 中可能產(chǎn)生誤報(bào)的規(guī)則�。
[0012] 在第三種可能的實(shí)現(xiàn)方式中,結(jié)合第一方面或者第一種可能的實(shí)現(xiàn)方式或者第二 種可能的實(shí)現(xiàn)方式���,所述運(yùn)行環(huán)境包括操作系統(tǒng)版本�、瀏覽器版本�、身份權(quán)限、計(jì)算機(jī)名��、用 戶名和IP地址中的一項(xiàng)或多項(xiàng)���。
[0013] 在第四種可能的實(shí)現(xiàn)方式中�����,結(jié)合第一方面��,第一種至第三種可能的實(shí)現(xiàn)方式中 的任一項(xiàng)�,所述在分別具有不同的運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備上分別運(yùn)行惡意軟件程序 樣本�����,包括��,
[0014] 在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)����,分別在具有不同運(yùn)行環(huán)境的至少兩個(gè)所述運(yùn)行設(shè)備上運(yùn)行惡意軟 件的程序樣本,
[0015] 相應(yīng)的���,所述分別截取每個(gè)所述運(yùn)行設(shè)備運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò) 封包捕捉文件包括:
[0016] 分別截取每個(gè)所述運(yùn)行設(shè)備在所述預(yù)設(shè)時(shí)長(zhǎng)內(nèi)運(yùn)行所述惡意軟件程序樣本產(chǎn)生 的網(wǎng)絡(luò)封包捕捉文件���。
[0017] 在第五種可能的實(shí)現(xiàn)方式中,結(jié)合第一方面����,第一種至第四種可能的實(shí)現(xiàn)方式中 的任一項(xiàng),所述對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件依次進(jìn)行數(shù)據(jù)流重組����、通信數(shù)據(jù)歸類、公共子 串提取和特征碼生成過(guò)程����,得到所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼���,具體包括:
[0018] 對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件進(jìn)行數(shù)據(jù)流重組,獲得所述每個(gè)運(yùn)行設(shè)備對(duì)應(yīng)的通 信數(shù)據(jù)��;
[0019] 將所述運(yùn)行設(shè)備的通信數(shù)據(jù)歸總后依據(jù)服務(wù)器IP地址����、傳輸層協(xié)議、端口號(hào)及傳 輸方向進(jìn)行分類��,得到分類后的通信數(shù)據(jù)集合����;
[0020] 分別從每個(gè)所述分類后的通信數(shù)據(jù)集合中提取每個(gè)所述分類后的通信數(shù)據(jù)集合 的公共子串;
[0021] 根據(jù)每個(gè)所述分類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公共子串序列�����,獲得所述 惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼�����。
[0022] 在第六種可能的實(shí)現(xiàn)方式中�����,結(jié)合第五種可能的實(shí)現(xiàn)方式,所述根據(jù)每個(gè)所述分 類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公共子串序列�,獲到所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特 征碼,包括:
[0023] 針對(duì)每一個(gè)分類后的通信數(shù)據(jù)集合����,若所述通信數(shù)據(jù)集合中由一個(gè)或多個(gè)公共子 串排列組合構(gòu)成的公共子串序列�����,能夠匹配對(duì)應(yīng)的所述通信數(shù)據(jù)集合中預(yù)設(shè)比例的通信數(shù) 據(jù)���,則確定所述公共子串序列為所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼��。
[0024] 第二方面��,提供了一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成設(shè)備�����,與具有不同運(yùn) 行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備連接��,所述設(shè)備包括:
[0025] 監(jiān)視單元���,用于開啟和關(guān)閉具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備以及控制各個(gè) 運(yùn)行設(shè)備運(yùn)行惡意軟件程序樣本�����;
[0026] 截取單元����,用于分別截取每個(gè)所述運(yùn)行設(shè)備運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng) 絡(luò)封包捕捉文件����;
[0027] 惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼生成單元,用于對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件依次 進(jìn)行數(shù)據(jù)流重組�����、通信數(shù)據(jù)分類����、公共子串提取和特征碼生成過(guò)程,得到所述惡意軟件網(wǎng)絡(luò) 入侵檢測(cè)特征碼�����。
[0028] 在第一種可能的實(shí)現(xiàn)方式中�����,根據(jù)第二方面,所述設(shè)備還包括�,
[0029] 有效性驗(yàn)證單元,用于對(duì)所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行NIDS規(guī)則有效 性驗(yàn)證�,消除所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼中的無(wú)效規(guī)則。
[0030] 在第二種可能的實(shí)現(xiàn)方式中�,結(jié)合第一種可能的實(shí)現(xiàn)方式,所述的設(shè)備還包括�����,
[0031] 合法流量誤報(bào)驗(yàn)證單元�����,用于根據(jù)預(yù)先截取的已知合法流量�,對(duì)所述進(jìn)行NIDS規(guī) 則有效性驗(yàn)證后的惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行規(guī)則驗(yàn)證�����,去除所述惡意軟件網(wǎng)絡(luò)入 侵檢測(cè)特征碼中在實(shí)際使用中可能產(chǎn)生誤報(bào)的規(guī)則�。
[0032] 在第三種可能的實(shí)現(xiàn)方式中,結(jié)合第二方面或者第一種可能的實(shí)現(xiàn)方式或者第二 種可能的實(shí)現(xiàn)方式�����,所述運(yùn)行環(huán)境包括操作系統(tǒng)版本、瀏覽器版本�、身份權(quán)限、計(jì)算機(jī)名��、用 戶名和IP地址中的一項(xiàng)或多項(xiàng)����。
[0033] 在第四種可能的實(shí)現(xiàn)方式中,結(jié)合第二方面�����,第一種至第三種可能的實(shí)現(xiàn)方式中 的任一項(xiàng)��,所述監(jiān)視單元用于 :
[0034] 在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)�,分別在具有不同運(yùn)行環(huán)境的至少兩個(gè)所述運(yùn)行設(shè)備上運(yùn)行惡意軟 件的程序樣本,
[0035] 相應(yīng)的����,所述截取單元還用于:分別截取每個(gè)所述運(yùn)行設(shè)備在所述預(yù)設(shè)時(shí)長(zhǎng)內(nèi)運(yùn) 行所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件。
[0036] 在第五種可能的實(shí)現(xiàn)方式中����,結(jié)合第二方面��,第一種至第四種可能的實(shí)現(xiàn)方式中 的任一項(xiàng)����,所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼生成單元��,包括 :
[0037] 數(shù)據(jù)流重組模塊�,用于對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件進(jìn)行數(shù)據(jù)流重組,獲得所述 每個(gè)運(yùn)行設(shè)備對(duì)應(yīng)的通信數(shù)據(jù)����;
[0038] 分類模塊,用于將所述運(yùn)行設(shè)備的通信數(shù)據(jù)歸總后依據(jù)服務(wù)器IP地址��、傳輸層協(xié) 議����、端口號(hào)及傳輸方向進(jìn)行分類���,得到分類后的通信數(shù)據(jù)集合�;
[0039] 公共子串提取模塊����,用于分別從每個(gè)所述分類后的通信數(shù)據(jù)集合中提取每個(gè)所述 分類后的通信數(shù)據(jù)集合的公共子串���;
[0040] 特征碼獲得模塊,用于根據(jù)每個(gè)所述分類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公 共子串序列��,獲得所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼�����。
[0041] 在第六種可能的實(shí)現(xiàn)方式中��,結(jié)合第五種可能的實(shí)現(xiàn)方式�����,所述特征碼獲得模塊����, 用于針對(duì)每一個(gè)分類后的通信數(shù)據(jù)集合,若所述通信數(shù)據(jù)集合中由一個(gè)或多個(gè)公共子串排 列組合構(gòu)成的公共子串序列���,能夠匹配對(duì)應(yīng)的所述通信數(shù)據(jù)集合中預(yù)設(shè)比例的通信數(shù)據(jù)�, 則確定所述公共子串序列為所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼�����。
[0042] 第三方面,提供了一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成設(shè)備�����,與具有不同運(yùn) 行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備連接�����,包括:
[0043] 與運(yùn)行設(shè)備數(shù)量相同的通信接口�,用于進(jìn)行所述生成設(shè)備與運(yùn)行設(shè)備之間的連 接;
[0044] 處理器���,用于控制所述運(yùn)行設(shè)備分別運(yùn)行惡意軟件程序樣本��;
[0045] 以及分別截取每個(gè)所述運(yùn)行設(shè)備運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕 捉文件�;
[0046] 以及對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件依次進(jìn)行數(shù)據(jù)流重組��、通信數(shù)據(jù)分類�、公共子 串提取和特征碼生成過(guò)程���,得到所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼���。
[0047] 在第一種可能的實(shí)現(xiàn)方式中�����,根據(jù)第三方面����,所述處理器還用于��,對(duì)所述惡意軟件 網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行NIDS規(guī)則有效性驗(yàn)證�����,消除所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼 中的無(wú)效規(guī)則�����。
[0048] 在第二種可能的實(shí)現(xiàn)方式中����,結(jié)合第一種可能的實(shí)現(xiàn)方式,所述處理器還用于�����,根 據(jù)預(yù)先截取的已知合法流量����,對(duì)所述進(jìn)行NIDS規(guī)則有效性驗(yàn)證后的惡意軟件網(wǎng)絡(luò)入侵檢 測(cè)特征碼進(jìn)行規(guī)則驗(yàn)證��,去除所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼中在實(shí)際使用中可能產(chǎn)生 誤報(bào)的規(guī)則�����。
[0049] 在第三種可能的實(shí)現(xiàn)方式中����,結(jié)合第三方面或者第一種可能的實(shí)現(xiàn)方式或者第二 種可能的實(shí)現(xiàn)方式����,所述運(yùn)行環(huán)境包括操作系統(tǒng)版本、瀏覽器版本�、身份權(quán)限、計(jì)算機(jī)名���、用 戶名和IP地址中的一項(xiàng)或多項(xiàng)�。
[0050] 在第四種可能的實(shí)現(xiàn)方式中��,結(jié)合第三方面��,第一種至第三種可能的實(shí)現(xiàn)方式中 的任一項(xiàng)�����,所述運(yùn)行設(shè)備用于�����,在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)��,分別在具有不同運(yùn)行環(huán)境的至少兩個(gè)所述運(yùn) 行設(shè)備上運(yùn)行惡意軟件的程序樣本���,
[0051] 相應(yīng)的�����,所述處理器還用于�,分別截取每個(gè)所述運(yùn)行設(shè)備在所述預(yù)設(shè)時(shí)長(zhǎng)內(nèi)運(yùn)行 所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件��。
[0052] 在第五種可能的實(shí)現(xiàn)方式中��,結(jié)合第三方面�����,第一種至第四種可能的實(shí)現(xiàn)方式中 的任一項(xiàng),所述處理器用于�,
[0053] 對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件進(jìn)行數(shù)據(jù)流重組,獲得所述每個(gè)運(yùn)行設(shè)備對(duì)應(yīng)的通 信數(shù)據(jù)���;
[0054] 將所述運(yùn)行設(shè)備的通信數(shù)據(jù)歸總后依據(jù)服務(wù)器IP地址�、傳輸層協(xié)議����、端口號(hào)及傳 輸方向進(jìn)行分類,得到分類后的通信數(shù)據(jù)集合�����;
[0055] 分別從每個(gè)所述分類后的通信數(shù)據(jù)集合中提取每個(gè)所述分類后的通信數(shù)據(jù)集合 的公共子串�����;
[0056] 根據(jù)每個(gè)所述分類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公共子串序列����,獲得所述 惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼。
[0057] 在第六種可能的實(shí)現(xiàn)方式中����,結(jié)合第五種可能的實(shí)現(xiàn)方式���,所述處理器用于,針對(duì) 每一個(gè)分類后的通信數(shù)據(jù)集合�����,若所述通信數(shù)據(jù)集合中由一個(gè)或多個(gè)公共子串排列組合構(gòu) 成的公共子串序列��,能夠匹配對(duì)應(yīng)的所述通信數(shù)據(jù)集合中預(yù)設(shè)比例的通信數(shù)據(jù)����,則確定所 述公共子串序列為所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼�����。
[0058] 本發(fā)明實(shí)施例提供了一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法和設(shè)備���,通過(guò) 截取具有不同運(yùn)行環(huán)境的運(yùn)行設(shè)備運(yùn)行惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件�,并對(duì) 網(wǎng)絡(luò)封包捕捉文件經(jīng)過(guò)數(shù)據(jù)流重組���、通信數(shù)據(jù)歸類���、公共子串提取和特征碼生成等步驟自 動(dòng)產(chǎn)生該惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼,提高了網(wǎng)絡(luò)特征碼的提取效率、通用性以及NIDS 和NIPS系統(tǒng)對(duì)新興惡意軟件的響應(yīng)速度�。
【專利附圖】
【附圖說(shuō)明】
[0059] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見地,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講��,在不付出創(chuàng)造性勞動(dòng)的前提下�����,還可以 根據(jù)這些附圖獲得其他的附圖�。
[0060] 圖1為本發(fā)明實(shí)施例提供的一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法流程 示意圖;
[0061] 圖2為本發(fā)明實(shí)施例提供的一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼生成的詳細(xì)過(guò)程 示意圖�;
[0062] 圖3為本發(fā)明實(shí)施例提供的一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成設(shè)備示意 圖;
[0063] 圖4為本發(fā)明實(shí)施例提供的另一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成設(shè)備示 意圖���;
[0064] 圖5為本發(fā)明實(shí)施例提供的一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成設(shè)備的硬 件裝置圖�����。
【具體實(shí)施方式】
[0065] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整地描述����,顯然��,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例����?;?本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�����。
[0066] 參見圖1����,為本發(fā)明實(shí)施例提供的一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法 流程示意圖�����,可以包括以下步驟:
[0067] S101 :在具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備上分別運(yùn)行惡意軟件程序樣本����, 并分別截取每個(gè)運(yùn)行設(shè)備運(yùn)行惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件����;
[0068] 示例性的,運(yùn)行環(huán)境可以包括操作系統(tǒng)版本�����、瀏覽器版本�、身份權(quán)限、計(jì)算機(jī)名���、用 戶名和IP地址中的一項(xiàng)或多項(xiàng)��。
[0069] 示例性的����,在分別具有不同的運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備上分別運(yùn)行惡意軟件 程序樣本��,可以包括,
[0070] 在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)����,分別在具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備上運(yùn)行惡意軟件的 程序樣本,
[0071] 相應(yīng)的���,上述的分別截取每個(gè)運(yùn)行設(shè)備運(yùn)行惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕 捉文件包括:可以分別截取每個(gè)運(yùn)行設(shè)備在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)運(yùn)行惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò) 封包捕捉文件����。
[0072] S102:對(duì)每個(gè)網(wǎng)絡(luò)封包捕捉文件依次進(jìn)行數(shù)據(jù)流重組�、通信數(shù)據(jù)分類��、公共子串提 取和特征碼生成過(guò)程�����,得到惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼���;
[0073] 示例性的��,具體可以包括:
[0074] 對(duì)每個(gè)網(wǎng)絡(luò)封包捕捉文件進(jìn)行數(shù)據(jù)流重組����,獲得每個(gè)運(yùn)行設(shè)備對(duì)應(yīng)的通信數(shù)據(jù);
[0075] 將運(yùn)行設(shè)備的通信數(shù)據(jù)歸總后依據(jù)服務(wù)器IP地址��、傳輸層協(xié)議�、端口號(hào)及傳輸方 向進(jìn)行分類,得到分類后的通信數(shù)據(jù)集合��;
[0076] 分別從每個(gè)分類后的通信數(shù)據(jù)集合中提取每個(gè)分類后的通信數(shù)據(jù)集合的公共子 串��;
[0077] 根據(jù)每個(gè)分類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公共子串序列�����,獲得惡意軟件 網(wǎng)絡(luò)入侵檢測(cè)特征碼��。
[0078] 進(jìn)一步的��,根據(jù)每個(gè)分類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公共子串序列����,獲 到惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼,包括:
[0079] 針對(duì)每一個(gè)分類后的通信數(shù)據(jù)集合����,若通信數(shù)據(jù)集合中由一個(gè)或多個(gè)公共子串排 列組合構(gòu)成的公共子串序列,能夠匹配對(duì)應(yīng)的通信數(shù)據(jù)集合中預(yù)設(shè)比例的通信數(shù)據(jù)�����,則確 定公共子串序列為惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼。
[0080] 示例性的���,在得到惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼之后�����,還可以包括對(duì)惡意軟件網(wǎng) 絡(luò)入侵檢測(cè)特征碼進(jìn)行NIDS規(guī)則有效性驗(yàn)證���,消除惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼中的無(wú) 效規(guī)則;
[0081] 進(jìn)一步的還可以包括���,根據(jù)預(yù)先截取的已知合法流量�,對(duì)所述進(jìn)行NIDS規(guī)則有效 性驗(yàn)證后的惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行規(guī)則驗(yàn)證�,去除所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè) 特征碼中在實(shí)際使用中可能產(chǎn)生誤報(bào)的規(guī)則�。
[0082] 本實(shí)施例提供了一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法,通過(guò)截取具有不 同運(yùn)行環(huán)境的運(yùn)行設(shè)備運(yùn)行惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件�����,并對(duì)網(wǎng)絡(luò)封包捕 捉文件經(jīng)過(guò)數(shù)據(jù)流重組��、通信數(shù)據(jù)歸類、公共子串提取和特征碼生成等步驟自動(dòng)產(chǎn)生該惡 意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼����,提高了網(wǎng)絡(luò)特征碼的提取效率、通用性以及NIDS和NIPS系統(tǒng) 對(duì)新興惡意軟件的響應(yīng)速度���。
[0083] 下面通過(guò)具體的實(shí)施例進(jìn)行說(shuō)明�����,參見圖2,為本發(fā)明實(shí)施例提供的一種惡意軟件 網(wǎng)絡(luò)入侵檢測(cè)特征碼生成的詳細(xì)過(guò)程�,具體包括:
[0084] S201 :在分別具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備上運(yùn)行惡意軟件程序樣本��;
[0085] 示例性的��,惡意軟件程序樣本可以通過(guò)主動(dòng)和被動(dòng)蜜罐技術(shù)����,比如網(wǎng)頁(yè)掛馬檢測(cè) 之類的方式獲取�����;或者用戶上報(bào)樣本獲取,本發(fā)明實(shí)施例對(duì)此不做任何限定���;
[0086] 示例性的����,運(yùn)行設(shè)備的具體形式可以包括虛擬機(jī)����、沙箱(Sandbox)和真實(shí)的物理 機(jī)器這些能夠運(yùn)行惡意軟件程序樣本的設(shè)備,對(duì)本發(fā)明的目的實(shí)現(xiàn)不構(gòu)成影響��,所以�����,本發(fā) 明實(shí)施例對(duì)此不做任何限定�,示例性的,在本實(shí)施例中����,僅以運(yùn)行設(shè)備為虛擬機(jī)進(jìn)行說(shuō)明。 [0087] 示例性的�,虛擬機(jī)的數(shù)量至少為兩個(gè)�,且每個(gè)虛擬機(jī)的運(yùn)行環(huán)境不同,運(yùn)行環(huán)境可 以包括操作系統(tǒng)版本、瀏覽器版本���、身份權(quán)限���、計(jì)算機(jī)名、用戶名和IP地址中的一項(xiàng)或多 項(xiàng)�����?���?紤]到虛擬機(jī)的運(yùn)行環(huán)境的多樣性、處理能力以及配置模塊的數(shù)量等因素����,本實(shí)施例中 虛擬機(jī)的數(shù)量?jī)?yōu)選為3, 3個(gè)虛擬機(jī)的運(yùn)行環(huán)境各不相同,虛擬機(jī)1��、虛擬機(jī)2�、虛擬機(jī)3的運(yùn) 行環(huán)境如表1所示:
[0088] 表 1
[0089]
【權(quán)利要求】
1. 一種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成方法,其特征在于�,包括: 在具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備上分別運(yùn)行惡意軟件程序樣本,并分別截取 每個(gè)所述運(yùn)行設(shè)備運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件���; 對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件依次進(jìn)行數(shù)據(jù)流重組��、通信數(shù)據(jù)分類��、公共子串提取和 特征碼生成過(guò)程����,得到所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼。
2. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述方法還包括���, 對(duì)所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS規(guī)則有效性驗(yàn)證��, 消除所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼中的無(wú)效規(guī)則���。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于��,所述方法還包括����, 根據(jù)預(yù)先截取的已知合法流量,對(duì)所述進(jìn)行NIDS規(guī)則有效性驗(yàn)證后的惡意軟件網(wǎng)絡(luò) 入侵檢測(cè)特征碼進(jìn)行規(guī)則驗(yàn)證�����,去除所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼中在實(shí)際使用中可 能產(chǎn)生誤報(bào)的規(guī)則���。
4. 根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法��,其特征在于�,所述運(yùn)行環(huán)境包括操作系統(tǒng)版 本�����、瀏覽器版本�����、身份權(quán)限�����、計(jì)算機(jī)名、用戶名和IP地址中的一項(xiàng)或多項(xiàng)�����。
5. 根據(jù)權(quán)利要求1-4任一項(xiàng)所述的方法�����,其特征在于���,所述在分別具有不同的運(yùn)行環(huán) 境的至少兩個(gè)運(yùn)行設(shè)備上分別運(yùn)行惡意軟件程序樣本���,包括, 在預(yù)設(shè)時(shí)長(zhǎng)內(nèi)�,分別在具有不同運(yùn)行環(huán)境的至少兩個(gè)所述運(yùn)行設(shè)備上運(yùn)行惡意軟件的 程序樣本, 相應(yīng)的�����,所述分別截取每個(gè)所述運(yùn)行設(shè)備運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包 捕捉文件包括: 分別截取每個(gè)所述運(yùn)行設(shè)備在所述預(yù)設(shè)時(shí)長(zhǎng)內(nèi)運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng) 絡(luò)封包捕捉文件�����。
6. 根據(jù)權(quán)利要求1-5任一項(xiàng)所述的方法�����,其特征在于,所述對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉 文件依次進(jìn)行數(shù)據(jù)流重組�����、通信數(shù)據(jù)歸類�����、公共子串提取和特征碼生成過(guò)程���,得到所述惡意 軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼,具體包括: 對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件進(jìn)行數(shù)據(jù)流重組����,獲得所述每個(gè)運(yùn)行設(shè)備對(duì)應(yīng)的通信數(shù) 據(jù); 將所述運(yùn)行設(shè)備的通信數(shù)據(jù)歸總后依據(jù)服務(wù)器IP地址�����、傳輸層協(xié)議���、端口號(hào)及傳輸方 向進(jìn)行分類�,得到分類后的通信數(shù)據(jù)集合; 分別從每個(gè)所述分類后的通信數(shù)據(jù)集合中提取每個(gè)所述分類后的通信數(shù)據(jù)集合的公 共子串���; 根據(jù)每個(gè)所述分類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公共子串序列���,獲得所述惡意 軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼。
7. 根據(jù)權(quán)利要求6所述方法���,其特征在于�, 所述根據(jù)每個(gè)所述分類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公共子串序列�,獲到所述 惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼,包括: 針對(duì)每個(gè)分類后的通信數(shù)據(jù)集合���,若所述通信數(shù)據(jù)集合中由一個(gè)或多個(gè)公共子串排列 組合構(gòu)成的公共子串序列����,能夠匹配對(duì)應(yīng)的所述通信數(shù)據(jù)集合中預(yù)設(shè)比例的通信數(shù)據(jù)�����,則 確定所述公共子串序列為所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼�。
8. -種惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼的生成設(shè)備,與具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn) 行設(shè)備連接,其特征在于����,包括: 監(jiān)視單元,用于開啟和關(guān)閉具有不同運(yùn)行環(huán)境的至少兩個(gè)運(yùn)行設(shè)備以及指示各個(gè)運(yùn)行 設(shè)備運(yùn)行惡意軟件程序樣本���; 截取單元�,用于分別截取每個(gè)所述運(yùn)行設(shè)備運(yùn)行所述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封 包捕捉文件���; 惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼生成單元,用于對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件依次進(jìn)行 數(shù)據(jù)流重組�、通信數(shù)據(jù)分類、公共子串提取和特征碼生成過(guò)程���,得到所述惡意軟件網(wǎng)絡(luò)入侵 檢測(cè)特征碼��。
9. 根據(jù)權(quán)利要求8所述的設(shè)備�����,其特征在于�����,還包括�����, 有效性驗(yàn)證單元�����,用于對(duì)所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) NIDS規(guī)則有效性驗(yàn)證�����,消除所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼中的無(wú)效規(guī)則��。
10. 根據(jù)權(quán)利要求9所述的設(shè)備�����,其特征在于��,還包括�, 合法流量誤報(bào)驗(yàn)證單元,用于根據(jù)預(yù)先截取的已知合法流量����,對(duì)所述進(jìn)行NIDS規(guī)則有 效性驗(yàn)證后的惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼進(jìn)行規(guī)則驗(yàn)證,去除所述惡意軟件網(wǎng)絡(luò)入侵檢 測(cè)特征碼中在實(shí)際使用中可能產(chǎn)生誤報(bào)的規(guī)則。
11. 根據(jù)權(quán)利要求8-10任一項(xiàng)所述的設(shè)備�����,其特征在于��,所述運(yùn)行環(huán)境包括操作系統(tǒng) 版本����、瀏覽器版本、身份權(quán)限��、計(jì)算機(jī)名�、用戶名和IP地址中的一項(xiàng)或多項(xiàng)。
12. 根據(jù)權(quán)利要求8-11任一項(xiàng)所述的設(shè)備����,其特征在于��,所述監(jiān)視單元用于:在預(yù)設(shè)時(shí) 長(zhǎng)內(nèi)�,分別在具有不同運(yùn)行環(huán)境的至少兩個(gè)所述運(yùn)行設(shè)備上運(yùn)行惡意軟件的程序樣本, 相應(yīng)的��,所述截取單元還用于:分別截取每個(gè)所述運(yùn)行設(shè)備在所述預(yù)設(shè)時(shí)長(zhǎng)內(nèi)運(yùn)行所 述惡意軟件程序樣本產(chǎn)生的網(wǎng)絡(luò)封包捕捉文件���。
13. 根據(jù)權(quán)利要求8-12任一項(xiàng)所述的設(shè)備�����,其特征在于�����,所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè) 特征碼生成單元����,包括: 數(shù)據(jù)流重組模塊,用于對(duì)每個(gè)所述網(wǎng)絡(luò)封包捕捉文件進(jìn)行數(shù)據(jù)流重組��,獲得所述每個(gè) 運(yùn)行設(shè)備對(duì)應(yīng)的通信數(shù)據(jù)����; 分類模塊,用于將所述運(yùn)行設(shè)備的通信數(shù)據(jù)歸總后依據(jù)服務(wù)器IP地址����、傳輸層協(xié)議、 端口號(hào)及傳輸方向進(jìn)行分類��,得到分類后的通信數(shù)據(jù)集合���; 公共子串提取模塊�����,用于分別從每個(gè)所述分類后的通信數(shù)據(jù)集合中提取每個(gè)所述分類 后的通信數(shù)據(jù)集合的公共子串���; 特征碼獲得模塊�,用于根據(jù)每個(gè)所述分類后的通信數(shù)據(jù)集合的公共子串構(gòu)成的公共子 串序列�,獲得所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼。
14. 根據(jù)權(quán)利要求13所述的設(shè)備�����,其特征在于��,所述特征碼獲得模塊�,用于針對(duì)每一個(gè) 分類后的通信數(shù)據(jù)集合,若所述通信數(shù)據(jù)集合中由一個(gè)或多個(gè)公共子串排列組合構(gòu)成的公 共子串序列�,能夠匹配對(duì)應(yīng)的所述通信數(shù)據(jù)集合中預(yù)設(shè)比例的通信數(shù)據(jù)�����,則確定所述公共 子串序列為所述惡意軟件網(wǎng)絡(luò)入侵檢測(cè)特征碼�。
【文檔編號(hào)】H04L29/06GK104243407SQ201310233820
【公開日】2014年12月24日 申請(qǐng)日期:2013年6月13日 優(yōu)先權(quán)日:2013年6月13日
【發(fā)明者】吳曉昕, 鄒福泰 申請(qǐng)人:華為技術(shù)有限公司, 上海交通大學(xué)