施例中,根据所述待测数据包的所述误报错误概率和所述漏报错误概率得到 第二阔值,使得所述待测数据包的误报错误概率和所述漏报错误概率均在第=设定范围 内。其中,第=设定范围可由用户根据实际应用环境设定,使得所述误报错误概率和所述漏 报错误概率的值都比较小。
[0078] 本实施例中,所述代码特征独立分布时,所述待测数据包的所述误报错误概率计 算公式为
[0079] 其中,Pz为所述误报错误概率;Cl为所述代码特征的集合;K为所述字节为所述代 码特征的种类数量;n为所述待测数据包的大小;V为所述待测数据包中的所述代码特征的 数量的集合;W为所述数据包中未包含的所述代码特征的数量;i'vi(n)为所述待测数据包 的大小为n时的所述代码特征i的所述误报错误概率。
[0080] 具体实施中,所述待测数据包的所述误报错误概率为待测数据包中的所述代码特 征的数量的集合V中包括至少代码特征的集合a中K种代码特征;的值可W根据前 述概率矩阵得到。
[0081] 本实施例中,所述待测数据包的所述漏报错误概率计算公式为:
其中,Pl为所述漏报错误概率。
[0082] 具体实施中,所述待测数据包的所述漏报错误概率为待测数据包中的所述代码特 征的数量的集合V中包括的代码特征种类小于代码特征的集合a中K种;I-Vi(n)的值可W 根据前述概率矩阵得到。
[0083] 本实施例中,所述代码特征具备关联关系时,统计所述代码特征的联合概率;根据 所述联合概率计算所述待测数据包的所述误报错误概率和所述漏报错误概率。在代码特征 之间有关联性的前提下,需要在样本中统计多特征联合分布的概率。如PH03}代表被特征 O和特征3同时匹配,但没有被其它特征匹配的概率。
[0084]具体实施中,所述漏报错误概率计算公式为:Pi=E#。<KPr{a};其中,PHa}为 所述联合概率;所述误报错误概率计算公式为:Pz=E?。^kPHa}。
[0085] 步骤S107,所述字节为所述恶意代码的种类数量达到第二阔值时,判定所述待测 数据包为恶意流量。
[0086] 本实施例中,采取N特征、K投票的策略。也就是如果所述待测数据包的字节匹配 了N个特征中的K个,将其认定为恶意流量。
[0087] 本实施例中,所述数据包的大小与所述误报错误概率和所述漏报错误概率成反 比。
[0088] 请参照图2,图2是本发明实施例一种数据包大小与错误概率关系示意图。
[0089] 本实施例中,曲线1为漏报错误概率与数据包的大小关系示意曲线,数据包越大, 漏报错误概率越小,在数据包大小为800B时,漏报错误概率为0 ;曲线2误报错误概率与数 据包的大小关系示意曲线,数据包越大,误报错误概率越小,在数据包大小为200B时,误报 错误概率为0。选择更大的数据包有利于侦测恶意流量。
[0090] 可W理解的是,在实际的应用环境中,可W根据所述误报错误概率和所述漏报错 误,按照用户对于错误概率的要求,选择合适的数据包大小n与匹配的代码特征数量K的 值。
[0091] 本发明实施例中,上述的流量监测是针对每个数据包进行的统计。在实际应用环 境中,恶意程序往往存在多个数据包中。所述网络流量包括至少一个所述待测数据包时,包 括所述恶意代码的所述待测数据包的数量大于设定阔值时,判定所述网络流量为所述恶意 流量。只要设定阔值的包括恶意代码的数据包被检测到,整个恶意流量就可W被正确判定。
[0092] 具体实施中,对网络流量的过滤是对一个网络流量包序列的伯努利实验 度ernoulliExperiment)。即在同样的条件下重复地、各次之间相互独立地进行的一种试 验。恶意代码的大小为N,流量包的大小为n,每个包被正确分类的概率为P,那么被正确识 别的流量包的数量满足伯努利分布:Binomial(N/n,P)。
[0093] 具体实施中,计算所述网络流量为所述恶意流量的概率,所述概率的计算公式为:
;其中,P'为所述待测数据包错误概率;N为所述 恶意代码的大小;n为所述待测数据包的大小;C为包括所述恶意代码的所述待测数据包的 数量。根据所述概率得到设定阔值,使得所述设定阔值和所述概率均在第一设定范围。则 检测到恶意程序需要最少设定阔值数量的数据包。
[0094] 图3是本发明实施例一种数据包数量与检测错误概率关系示意图。
[0095] 本发明实施例中,检测到恶意程序的错误概率与待测数据包的大小成反比。
[0096] 请参照图3,曲线1为待测数据包大小为50B时,检测的数据包数量与检测错误概 率的关系曲线;曲线2为待测数据包大小为IOOB时,检测的数据包数量与检测错误概率的 关系曲线;曲线3为待测数据包大小为200B时,检测的数据包数量与检测错误概率的关系 曲线;曲线4为待测数据包大小为400B时,检测的数据包数量与检测错误概率的关系曲线。 可W得到,检测的数据包数量越多,检测错误概率越小;待测数据包越大,检测错误概率越 小。在实际的应用中,选取检测多个数据包W及大的待测数据包有利于提高恶意程序的检 测的正确率。
【具体实施方式】 [0097] 可参考前述相应实施例,此处不再寶述。
[0098] 可W理解的是,在分析并制定实施流处理的方案后,需要对所述基于网络流量 的恶意代码检测方法的性能进行实际测试,得到需要的资源数量,W及造成的影响。本 发明实施例的基于网络流量的恶意代码检测方法对资源的消耗和对流量的延迟作用都 比较小。本发明实施例的实现方法造成的系统性能的损失,是根据数据集合中屯、值ata Concentration化it,DCU)硬件或者电表硬件来评估的。在笔记本电脑上,造成低于10% 的性能损失,在大型的物联网系统中,基于网络流量的恶意代码检测方法带来的性能损耗 将可W忽略不计。
[0099] 图4是本发明实施例一种基于网络流量的恶意代码检测装置结构示意图。
[0100] 本发明实施例中,提取的恶意代码的代码特征W及第一阔值,需要部署在企业局 域网度ack-〇fficeLAN)的系统中。
[0101] 本发明实施例的基于网络流量的恶意代码检测装置40可W配置在网络数据的上 游,接近数据产生的源头,部署在DCU或者电表上。
[0102] 请参照图4,基于网络流量的恶意代码检测装置40包括:
[0103] 初始单元401,适于根据恶意代码样本和样本数据包得到所述恶意代码的代码特 征和第一阔值。
[0104] 字节检测单元402,获取待测数据包的字节,所述字节出现频率大于所述第一阔值 时,判定所述字节为所述恶意代码。
[0105] 参数计算单元403,根据所述待测数据包的大小、所述代码特征的所述误报错误概 率、所述漏报错误概率和数量,得到第二阔值。
[0106] 流量检测单元404,在所述字节为所述恶意代码的种类数量达到第二阔值时,判定 所述待测数据包为恶意流量。
[0107] 本实施例中,所述流量检测单元404在所述网络流量