br>[0042]流量行为分析模块中,从网络流量数据中提取出能够有效表征恶意软件网络行为的特征;
[0043]对于规则类的特征划分为一类,对于图类的特征划分为另一类,对于数值型和标称型特征划分为第三类;对于规则类的特征建立规则匹配模型,对于图类特征建立图相似匹配模型,对于数值类特征和标称型特征,训练得到机器学习模型;
[0044]更新控制功能负责完成检测模型服务器对接入路由器中各个检测模型更新的过程;
[0045]模型选择功能负责完成用户对模型的选择,同时,对具有多种特征类型的模型,还可以继续完成对指定特征类型的选择;
[0046]获取输出功能完成从模型获取输出的检测结果,检测模型将检测结果通过用户接口向用户反馈,更新接口定时将更新的检测模型推送到接入路由器的检测模型中。
[0047]基于接入路由器进行恶意软件网络行为的检测系统,包括:
[0048]具有恶意软件网络行为发现能力的无线路由器,用于识别接入的移动终端,同意其联网请求,并开始抓取该移动终端通过软件上网产生的流量,将采集的网络流量像传入流量行为分析模块,进行基于流量的安全检测;
[0049]所述流量行为分析模块包括特征提取模块,用于从网络流量数据中提取出各类特征,主要包括能够有效表征移动终端恶意软件网络行为的特征;
[0050]特征分类模块,在特征提取之后,按照不同的特征类型对提取的特征进行分类;
[0051]模型匹配模块,对每一种类型的特征,匹配与之相适应的检测模型,每种类型的特征有与之匹配的唯一的模型;
[0052]配置模块,用于实现模型选择,模型更新和获取输出功能,
[0053]更新接口与结果输出模块,接收检测模型服务器所发送的更新文件并向更新控制模块发送更新指令,与检测结果输出;
[0054]模型更新模块,通过恶意软件流量自动化采集服务,主动获取大量恶意软件流量数据集,并将采集到的数据流量传输到检测模型服务器,检测模型服务器用于对接入路由器的检测模型进行更新。
[0055]本发明的有益效果:
[0056]本发明基于具有恶意软件网络行为发现能力的无线路由器,将这个新型无线路由器部署在无线局域网里,提供了一套完整的利用移动终端的网络流量检测恶意软件的方案,包括用户的连接认证、流量的采集、流量的处理、流量的检测、检测结果的通知等内容,实现了一种利用移动终端的网络流量检测恶意软件这种技术在实际中的使用案例。达到了如下效果:(I)针对传统的静态检测方法存在的对用户依赖程度高,需要在用户移动终端安装检测程序造成的对移动终端的资源消耗大等问题,本发明在接入路由器利用移动终端的网络流量进行恶意软件的识别,对用户依赖程度较低,由路由器在接入点自动完成,不需要消耗用户移动终端的资源;(2)这款路由器可以检测通过其接入到互联网的移动终端中是否安装了恶意应用,同时以系统固件的方式应用到路由器中可以实现大规模部署,很好地解决了部署困难的问题;(3)针对移动终端的网络流量的多类特征,本发明设计了多种检测模型,用户可以根据需要实现个性化选择;(4)通过对路由器中检测模块的动态更新,增强了路由器的检测能力.
【附图说明】
[0057]图1为基于接入路由器进行恶意软件网络行为检测的方法及系统的网络结构图;
[0058]图2为实施例一种具有恶意软件网络行为发现能力的无线路由器;
[0059]图3为实施例建立规则匹配模型流程图;
[0060]图4为实施例用户使用规则匹配模型检测流程图;
[0061]图5为实施例建立图相似匹配模型流程图;
[0062]图6为实施例用户使用图相似匹配模型检测流程图;
[0063]图7为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的过程图;
[0064]图8为利用机器学习的无监督学习算法和有监督学习算法建立具有发现未知恶意软件检测模型的流程图;
[0065]图9为实施例以机器学习无监督学习算法的K均值方法对原始特征集进行聚类的流程图;
[0066]图10为实施例以机器学习有监督学习算法的SVM方法对新特征集进行分类的流程图;
[0067]图11为实施例用户使用SVM模型检测流程图;
[0068]图12为实施例流量检测服务器结构图。
【具体实施方式】
:
[0069]下面结合附图对本发明进行详细说明:
[0070]本发明基于已有的具有恶意软件网络行为发现能力的无线路由器,将这种新型路由器部署在局域网网络环境下,实现利用移动终端的网络流量来检测恶意软件。首先,用户通过无线方式连接到具有恶意软件网络行为发现能力的无线路由器,并通过安全验证;其次,当用户的移动终端通过该路由器接入外部网络时,使用路由器系统中安装的tcpdump工具采集到用户的移动终端设备与外部网络间的交互流量;然后,该路由器的行为分析模块读取采集到的网络流量并进行分析,如果检测分析到恶意流量,说明用户的移动终端设备上安装了恶意应用,通过提示消息将检测结果反馈给用户;最后,该路由器还可以通过远程的检测模型服务器对自身的检测模型进行更新。
[0071]一种基于接入路由器进行恶意软件网络行为检测系统,它包括:
[0072](I)移动终端,主要实现与用户和接入路由器之间的交互,基本功能包括用户的连接接入路由器时的登陆和验证,以及接入路由器通过安装在移动终端的信息反馈APP,反馈检测结果给用户。
[0073](2)路由器,主要负责实现对流量的采集、处理和检测,从而判断用户是否安装了恶意软件。
[0074](3)检测模型服务器,主要负责对接入路由器的检测模型进行更新。
[0075]一种在小型网络检测移动终端恶意软件的方法,具体工作过程为:
[0076]1.用户接入。用户发现接入路由器的SSID,连接后提示输入验证口令,验证成功后,由接入路由器分配IP地址等信息。
[0077]2.移动终端应用软件网络流量的采集。首先,用户使用移动终端,通过无线的方式接入无线路由器;其次,基于Linux的开源操作中的tcpdump工具,执行tcpdump命令采集到用户移动终端产生的网络流量;最后,流量行为分析模块读取采集到的网络流量进行下一部的处理。
[0078]3.设计特征提取程序并对特征进行分类。首先,根据能够有效表征移动终端恶意软件的网络行为的特征,设计相应的特征提取程序,完成从原始的网络流量数据中提取特征;其次,按照不同的特征类型,对特征进行分类。例如,对于DNS请求的域名查询,流量上传和下载比值,连接持续时间,端口号,行为序列图等能够有效表征移动终端恶意软件行为的特征,分别设计相应的特征提取程序;然后,对这些特征按照不同的类型进行分类,DNS请求的域名查询作为规则类的特征,流量上传和下载比值、连接持续时间作为数值型类特征,端口号作为标称型类特征,行为序列图作为图类特征。
[0079]4.用户自主选择所需要的模型。通过上述步骤,完成了每种类型特征所对应的检测模型的构建,用户此时可以根据自己的需要,通过模型控制器的模型选择功能同时选择一种或是几种检测模型,并选择对应的特征类型。
[0080]5.流量检测。检测模型开始对输入的流量数据进行处理和计算。例如,首先,用户选定机器学习模型和图类匹配模型;其次,会提示机器学习模型可选的特征类型-数值型和标称型,用户选择数值型特征;再次,输入移动终端应用软件产生的流量数据;然后,特征处理程序根据选定的特征类型-数值型类特征和图类特征,分别提取出数值型的特征,例如流量上传和下载比值、流的连接持续时间、流中包的平均到达时间等输入到机器学习模型,同时,将图类特征,例如网络行为重构图输入到图相似匹配模型,分别计算与恶意网络行为重构图和正常网络行为重构图之间的相似度,依据相似度来识别出恶意软件。
[0081]6.结果输出。流量检测结果通过结果输出接口,将检测结果发送到用户移动终端所安装的信息反馈APP上。
[0082]所述信息反馈APP的主要功能是让手机与无线路由器之间维持一个长连接,使得无线路由器的检测结果可以及时的推送到手机,从而将结果反馈给用户。以Android系统为例,采用XMPP协议可以实现无线路由器与Android手机端的消息推送,AndroidPn项目便是利用XMPP协议实现Android手机的消息推送。
[0083]7.检测模型服务器端建立检测模型。首先,按照不同的特征类型,选择适合于该特征类型的检测模型;其次,基于采集到的网络流量数据集,通过训练得到适合于不同特征类型的检测模型。
[0084]以规则类的DNS请求的域名特征为例,首先,需要选择与规则类特征相适合的规则匹配模型;其次,基于采集的网络流量数据集,从中提取出所有的DNS请求的域名;然后,将提取到的DNS请求的域名在第三方域名检测服务VirusTotal上做域名检测,建立恶意URL列表;最后,把这个列表上的恶意URL作为规则加入到规则匹配模型。<