恶意应用软件的网络流量数据;然后,分别构建正常应用软件的网络行为重构图和恶意应用软件的网络行为重构图;最后,建立图相似匹配模型。
[0144]图7为实施例用户使用图相似匹配模型检测流程图,如图7所示,该方法包括:
[0145]获取用户移动终端应用软件所产生的网络流量;
[0146]在采集到的用户移动终端应用软件所产生的网络流量中,利用网络数据流提取程序提取出该应用软件的网络数据流;
[0147]依次提取出采集到的网络流量数据中的所有的网络数据流;
[0148]根据提取出的所有的网络数据流,构建该应用软件的网络行为重构图;
[0149]分别计算该应用软件的网络行为重构图与恶意应用软件网络行为重构图和正常应用软件网络行为重构图之间的相似度;
[0150]若计算得到的与恶意应用软件网络行为重构图的相似度大于正常应用软件网络行为重构图的相似度,则该应用是恶意应用;
[0151]若计算得到的与恶意应用软件网络行为重构图的相似度小于正常应用软件网络行为重构图的相似度,则该应用是正常应用。
[0152]当用户需要使用该模型时,只需要输入用户移动终端应用软件所产生的网络流量,构建出网络行为重构图,然后分别计算其与该图相似匹配模型中的正常应用软件的网络行为重构图的相似度,以及与恶意应用软件的网络行为重构图的相似度。若计算得到的与恶意应用软件网络行为重构图的相似度大于正常应用软件网络行为重构图的相似度,则说明用户安装了恶意软件。
[0153]图8为利用机器学习的无监督学习算法和有监督学习算法构建具有发现未知恶意软件检测模型的过程图。首先,在原始特征集的基础上,采用无监督学习算法发现未知的恶意软件;其次,提取未知恶意软件的特征,建立新的特征集;最后,在新的特征集的基础上采用有监督的学习算法获得检测模型。
[0154]图9为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的流程图,如图9所示。该方法包括:
[0155]提取采集到的网络流量数据中的基本特征。这些特征类型主要是数值类型特征和标称类型特征,包括流量上传和下载比值、流的连接持续时间、流中包的平均到达时间、源端口号、目的端口号等;
[0156]以无监督学习算法中的聚类算法为主,对提取到的网络行为的基本特征进行聚类,来发现未知的恶意软件;
[0157]利用聚类算法发现了新的未知的移动终端恶意软件;
[0158]从新发现的未知恶意软件中提取出新的特征,加入到原始特征集中,形成新的特征集;
[0159]以有监督学习算法中的分类算法为主,利用新的特征集训练模型,得到模型的最优参数;
[0160]得到模型的最优参数后,获得分类模型。
[0161]图10为实施例以机器学习无监督学习算法的K均值方法对原始特征集进行聚类的流程图,该方法包括:
[0162]步骤161,输入要聚类的簇的个数为K ;
[0163]步骤162,在原始特征集上随机初始化K个聚类中心;
[0164]步骤163,计算每个样本与K个聚类中心之间的距离,并将其分配到最近距离的类中;
[0165]步骤164,分配完毕后,计算新的类的中心;
[0166]步骤165,新的类的中心是否收敛,收敛条件设置为迭代次数;
[0167]步骤166,若迭代次数达到了设定的次数,则输出聚类结果;
[0168]步骤167,若迭代次数没有达到设定的次数则返回步骤163,直到达到设定的迭代次数。
[0169]图11为实施例建立机器学习的SVM模型流程图,该方法包括:
[0170]步骤171,在发现的新的未知恶意软件样本的基础上,加上类别标签形成新的特征集;
[0171]步骤172,在新的特征集中选取其中的一部分数据作为训练集;
[0172]步骤173,在新的特征集中选取剩余部分数据作为测试集;
[0173]步骤174,对SVM模型的参数进行编码;
[0174]步骤175,初始化工作,完成对数据的预处理,包括特征的归一化,模型参数的初始化;
[0175]步骤176,在训练集提取的网络流量特征集上训练SVM模型;
[0176]步骤177,用测试集评估模型的分类效果;
[0177]步骤178,评估分类效果是否满足结束条件,结束条件可以设置为误差精度或者模型的训练次数;
[0178]步骤179,若已经达到结束条件,则获得了 SVM模型的各个参数;
[0179]步骤180,由获取的参数得到SVM模型;
[0180]步骤181,若没有达到结束条件,则继续返回到步骤176,继续训练模型,直到满足结束条件为止。
[0181]图12为实施例用户使用SVM模型检测流程图,如图12所示,该方法包括:
[0182]步骤190,获取用户移动终端应用软件所产生的网络流量;
[0183]步骤191,在采集到的用户移动终端应用软件所产生的网络流量中;提取出数值型特征和标称型特征;
[0184]步骤192,对提取到的数值型特征和标称型特征进行归一化等预处理;
[0185]步骤193,对归一化后的特征,使用训练好的SVM模型进行检测。
[0186]因此,检测模型服务器主要负责对模型的训练以及模型参数的优化。检测模型服务器针对多种类型的流量特征,分别设计了对应的不同类型的检测模型,用户可以根据实际需要自主选择所需要的模型。同时,检测模型服务器通过不断的训练,对检测服务器中的检测模型进行扩充,并使检测模型参数达到最优,保证检测结果更加准确。
[0187]为了实现本发明的检测系统,如图2所示,该检测系统中各个单元之间的协调管理需采用逻辑管理模块进行对各个处理单元的合理调度。逻辑管理模块由下面4个模块构成:
[0188]用户管理模块:由于只有注册并通过认证的用户才可以接入检测服务系统,所以需要对用户移动终端进行认证。用户管理模块主要实现与用户之间的交互功能,基本功能包括用户的注册和认证。
[0189]流量管理模块:本发明通过分析移动终端产生的网络流量来检测移动终端中是否安装了恶意软件,所以需要获取到移动终端产生的网络流量。流量管理模块主要负责实现对移动终端流量的采集、处理和存储。
[0190]特征管理模块:此模块主要负责从采集到的原始网络流量中提取出有效的特征。在采集到移动终端产生的网络流量数据后,采用特征提取和特征聚合的方法,从网络流量数据中提取出有效特征并建立特征集。
[0191]模型管理模块:主要负责读取从特征管理模块提取出的特征集,此外,该模块还负责连接检测模型服务器,实现对检测模型的更新。
[0192]为了实现基于接入点的恶意软件检测系统的基本功能,还设有底层管理模块,它主要包括3个模块:
[0193]通信服务模块:主要负责各个模块之间,各个单元之间的通信,实现信息流的传递;
[0194]日志记录模块:主要负责记录系统的运行,包括运行日志和异常日志;
[0195]系统监测模块:主要负责监控系统的运行和处理系统异常。
[0196]如图2所示,本发明的基于接入点的恶意软件网络行为检测模型检测原理为:
[0197]步骤110,用户管理模块接收到用户的检测服务请求;
[0198]步骤111,用户交互单元认证用户及移动终端设备信息;
[0199]认证的内容主要包括国际移动设备识别码頂EI,终端设备的MAC地址,国际移动设备标识码頂EI具有唯一性,相当于移动设备的身份证;
[0200]步骤112,流量管理模块为用户移动终端分配流量镜像端口 ;
[0201]认证通过后,交由流量管理模块处理;流量管理模块为用户移动终端分配流量镜像端口 ;该端口是检测服务系统动态分配给每个用户的,按照一定的调度机制,检测服务系统对端口进行分配管理;
[0202]步骤113,流量镜像单元开始采集用户移动终端产生的网络流量数据;
[0203]步骤114,流量缓存单元将采集到的用户移动终端产生的网络流量数据暂时存储起来;
[0204]步骤115,流量识别单元对采集到的流量数据进行识别,经过识别后的流量数据带有具体软件名称的标签,通过此标签可以识别出具体的软件;
[0205]步骤116,隐私处理单元对识别后的流量数据的隐私内容做加密处理,例如:用户的银行账号密码、支付宝账号密码、私人信息等内容都属于隐私内容。针对隐私内容的主要的处理方法是使用加密算法对流量数据进行加密处理,来达到保护数据不被非法窃取、阅读的目的;
[0206]步骤117,流量存储单元将存储流量数据。此时的流量数据都是经过识别、隐私加密处理以后的流量数据;
[0207]步骤118,特征管理模块读取流量存储单元里的网络流量数据;
[0208]步骤119,特征提取单元中的特征提取程序从流量数据中提取出网络流量基本特征;
[0209]步骤120,特征聚合单元对基本网络流量特征进行聚合;特征聚合单元主要完成多个特征之间的相互聚合,使其成为一个或几个新的有效的特征;
[0210]步骤121,在步骤118和步骤119的基础上建立网络流量数据的特征集;
[0211]步骤122,模型管理模块读取网络流量的特征集,并将其输入到检测服务器中;
[0212]步骤123,检测服务器中的检测模型对特征集计算处理,并输出检