基于网络流量的恶意代码检测方法及装置的制造方法
【技术领域】
[0001] 本发明设及网络安全技术领域,尤其设及一种基于网络流量的恶意代码检测方法 及装置。
【背景技术】
[0002] 基础网络设施的保护,如智能电网,由于关系到国家安全与重大社会经济利益,在 过去的几年里持续受到世界范围内的重视。在中国的十二五规划明确了物联网技术的重点 应用领域,首要的便是智能电网。智能电网是电网的智能化,也被称为"电网2. 0",建立在 集成的、高速双向通信网络的基础上,通过先进的传感和测量、设备技术、控制方法W及决 策支持系统技术的应用,实现电网的可靠、安全、经济、高效、环境友好和使用安全。在从传 统的运作模式向网络模式转变的过程中,电力网络面对着大量的安全问题。与其他的网络 类型相比,智能电网规模大、协议复杂、架构多样、技术不成熟、入侵承受损失大。
[0003] 现有的技术,智能电网的使用安全包括自愈、激励和抵御攻击,提供满足用户需求 的电能、容许各种不同发电形式的接入、启动电力的优化高效运行。而对智能电网、物联网 等基础网络架构的安全防护,采用的安全技术是从其他行业移植而来,比如对网络病毒的 检测、防入侵系统的构建、对权限的控制、物理上的保护等,可W在一定程度上有效的防止 物理入侵和网络病毒。
[0004] 但是,现有技术安全防护方法不能适应不同规模、协议W及架构的智能电网,适用 范围有限;且对网络病毒不能有效的检测和判定,容易错判和误判,降低了智能电网的安全 性。
【发明内容】
[0005] 本发明解决的技术问题是如何提高智能电网安全防护方法的适用范围。
[0006] 为解决上述技术问题,本发明实施例提供一种基于网络流量的恶意代码检测方 法,所述基于网络流量的恶意代码检测方法包括:
[0007] 根据恶意代码样本,提取所述恶意代码的代码特征;
[0008] 根据所述代码特征提取样本数据包中的所述恶意代码;
[0009] 根据所述样本数据包统计所述恶意代码的误报错误概率和漏报错误概率;
[0010] 根据所述误报错误概率和所述漏报错误概率确定第一阔值;
[0011] 获取待测数据包的字节,所述字节出现频率大于所述第一阔值时,判定所述字节 为所述恶意代码;
[0012] 根据所述待测数据包的大小、所述代码特征的所述误报错误概率、所述漏报错误 概率和数量,得到第二阔值;
[0013] 所述字节为所述恶意代码的种类数量达到第二阔值时,判定所述待测数据包为恶 意流量。
[0014] 可选的,所述网络流量包括至少一个所述待测数据包时,包括所述恶意代码的所 述待测数据包的数量大于设定阔值时,判定所述网络流量为所述恶意流量。
[0015]可选的,计算所述网络流量为所述恶意流量的概率,并根据所述概率得到设 定阔值,使得所述设定阔值和所述概率均在第一设定范围;所述概率的计算公式为:
;其中,P'为所述待测数据包错误概率;N为所述 恶意代码的大小;n为所述待测数据包的大小;C为包括所述恶意代码的所述待测数据包的 数量。
[0016]可选的,所述根据所述样本数据包统计所述恶意代码的误报错误概率和漏报错误 概率包括:统计所述样本数据包的大小,根据选取的分界阔值计算所述恶意代码在所述样 本数据包中的所述误报错误概率和所述漏报错误概率分布,形成概率矩阵。
[0017]可选的,所述根据所述误报错误概率和所述漏报错误概率确定第一阔值包括:根 据所述概率矩阵,得到第一阔值,使得所述误报错误概率和所述漏报错误概率均在第二设 定范围内。
[0018]可选的,所述根据所述待测数据包的大小、所述代码特征的所述误报错误概率、所 述漏报错误概率和种类,得到第二阔值,包括:根据所述待测数据包的所述误报错误概率和 所述漏报错误概率得到第二阔值,使得所述待测数据包的误报错误概率和所述漏报错误概 率均在第=设定范围内。
[0019]可选的,所述代码特征独立分布时,所述待测数据包的所述误报错误概率计算公 式为:
[0020]
其中,Pz为所述误报错误概 率;a为所述代码特征的集合;K为所述字节为所述代码特征的种类数量;n为所述待测数 据包的大小;V为所述待测数据包中的所述代码特征的数量的集合;W为所述数据包中未包 含的所述代码特征的数量;IVi(n)为所述待测数据包的大小为n时的所述代码特征i的所 述误报错误概率;
[0021] 所述待测数据包的所述漏报错误概率计算公式为:
其中,Pl为所述漏报错误概率。
[0022] 可选的,所述代码特征具备关联关系时,统计所述代码特征的联合概率;根据所述 联合概率计算所述待测数据包的所述误报错误概率和所述漏报错误概率;所述漏报错误概 率计算公式为:
[0023]Pi=E#。<kPHa};其中,PHa}为所述联合概率;所述误报错误概率计算公式 为:Pz=E占kPH日}。
[0024]可选的,所述数据包的大小与所述误报错误概率和所述漏报错误概率成反比。
[00巧]可选的,所述代码特征为字符串。
[0026]为解决上述技术问题,本发明实施例还公开了一种基于网络流量的恶意代码检测 装置,基于网络流量的恶意代码检测装置包括:
[0027] 初始单元,适于根据恶意代码样本和样本数据包得到所述恶意代码的代码特征和 第一阔值;
[0028]字节检测单元,获取待测数据包的字节,所述字节出现频率大于所述第一阔值时, 判定所述字节为所述恶意代码;
[0029] 参数计算单元,根据所述待测数据包的大小、所述代码特征的所述误报错误概率、 所述漏报错误概率和数量,得到第二阔值;
[0030] 流量检测单元,在所述字节为所述恶意代码的种类数量达到第二阔值时,判定所 述待测数据包为恶意流量。
[0031] 可选的,所述流量检测单元在所述网络流量包括至少一个所述待测数据包时,包 括所述恶意代码的所述待测数据包的数量大于设定阔值时,判定所述网络流量为所述恶意 流量。
[0032] 可选的,所述初始单元包括:
[0033] 特征提取单元,根据恶意代码样本,提取所述恶意代码的代码特征;
[0034] 代码提取单元,根据所述代码特征提取样本数据包中的所述恶意代码;
[0035] 计算单元,根据所述样本数据包统计所述恶意代码的误报错误概率和漏报错误概 率.
[0036] 阔值判定单元,根据所述误报错误概率和所述漏报错误概率确定第一阔值。
[0037]与现有技术相比,本发明实施例的技术方案具有W下有益效果:
[0038] 本发明实施例根据恶意代码样本,提取所述恶意代码的代码特征,根据所述代码 特征提取样本数据包中的所述恶意代码;根据所述恶意代码的误报错误概率和所述漏报错 误概率确定第一阔值;获取待测数据包的字节,所述字节包括的所述代码特征的数量大于 所述第一阔值时,判定所述字节