本发明涉及恶意代码分析领域,尤其涉及一种模型构建方法、apt检测方法、存储介质及终端。
背景技术:
1、近年来,随着移动端的病毒数量迅速增加,针对android端的高级持续性威胁(advancedpersistentthreat,apt)攻击变得更加多样化,研究发现,2/3的信息泄露来自apt攻击,由于apt攻击不受传统杀毒软件和防火墙的限制,并且可以基于c&c服务器长期潜伏在手机中,等待时机窃取用户隐私信息,会带来极大隐患。目前针对该领域的研究都存在一定缺陷,例如,利用动态检测技术监控恶意软件的行为和系统调用,但该方法在利用脚本重现病毒行为进行批量检测时极复杂,且消耗资源较大,性能难以支持,移植到手机上可行性不高。而基于源码分析的静态检测,如分析源码调用的关键函数,反编译或提取16进制中的特征等方式,虽然效率较快,但精准度不高,无法抵抗混淆和加密的恶意软件攻击。
技术实现思路
1、本发明实施例提供了一种模型构建方法、apt检测方法、存储介质及终端,通过选取若干样本的流量特征和动态特征进行模型训练,提升对apt攻击的检测能力。
2、第一方面,本发明实施例提供了一种模型构建方法,包括:
3、基于若干样本的域名访问信息和函数调用关系,获取所述若干样本的流量特征向量和动态特征向量;
4、将若干流量特征向量和若干动态特征向量进行组合,得到向量矩阵;
5、将所述若干样本的属性和所述向量矩阵输入机器学习模型进行训练,得到apt检测模型;所述若干样本的属性包括apt和正常。
6、第二方面,本发明实施例提供了一种apt检测方法,包括:
7、基于目标样本的域名访问信息和函数调用关系,获取所述目标样本的目标流量特征向量和目标动态特征向量;
8、将所述目标流量特征向量和所述目标动态特征向量进行拼接,得到目标特征向量;
9、将所述目标特征向量输入apt检测模型,获取所述目标样本为apt的概率;其中,所述apt检测模型根据如上述模型构建方法得到。
10、第三方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现上述第一个方面或第二个方面所述的方法步骤。
11、第四方面,本发明实施例提供一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面或第二个方面所述的方法步骤。
12、本发明实施例提供的模型构建方法、apt检测方法、存储介质及终端,具备以下技术效果:
13、本发明实施例通过若干样本的域名访问信息和函数调用关系,获取若干流量特征向量和若干动态特征向量组成向量矩阵,结合若干样本的属性和向量矩阵进行模型训练,得到apt检测模型。再通过apt检测模型识别未知样本是否为apt。应用上述方法,可基于apt攻击的特征引入流量特征和动态特征构建检测模型,优化模型对apt攻击的敏感程度,有效提升了apt检测模型的准确率,从而加快了apt攻击检测速度,对网络安全分析工作有很大的价值。
1.一种模型构建方法,其特征在于,包括:
2.根据权利要求1所述方法,其特征在于,所述域名访问信息包括如下至少一种:域名访问次数、重复请求次数、域名长度、域名结构度和访问规律性。
3.根据权利要求2所述方法,其特征在于,所述基于若干样本的域名访问信息和函数调用关系,获取所述若干样本的流量特征向量和动态特征向量,包括:
4.根据权利要求3所述方法,其特征在于,所述根据每个样本的流量特征,获取一个或多个流量特征值,将所述一个或多个流量特征值组成所述每个样本的流量特征向量,包括:
5.根据权利要求3或4所述方法,其特征在于,所述根据每个样本中函数的调用关系,获取所述每个样本的动态特征向量,包括:
6.根据权利要求1至5任一项所述方法,其特征在于,所述将若干流量特征向量和若干动态特征向量进行组合,得到向量矩阵,包括:
7.一种apt检测方法,其特征在于,包括:
8.根据权利要求7所述方法,其特征在于,所述将所述目标特征向量输入apt检测模型,获取所述目标样本为apt的概率之后,还包括:
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述方法或如权利要求7或8所述方法。
10.一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述方法或如权利要求7或8所述方法。