一种终端异常判定方法、系统、存储介质及电子设备与流程

所属的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式（包括固件、微代码等），或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述至少一个处理器、上述至少一个储存器、连接不同系统组件（包括储存器和处理器）的总线。其中，储存器存储有程序代码，程序代码可以被处理器执行，使得处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器（ram）和/或高速缓存储存器，还可以进一步包括只读储存器（rom）。储存器还可以包括具有一组（至少一个）程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。电子设备也可以与一个或多个外部设备（例如键盘、指向设备、蓝牙设备等）通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备（例如路由器、调制解调器等等）通信。这种通信可以通过输入/输出（i/o）接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络（例如局域网（lan），广域网（wan）和/或公共网络，例如因特网）通信。网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是cd-rom，u盘，移动硬盘等）中或网络上，包括若干指令以使得一台计算设备（可以是个人计算机、服务器、终端装置、或者网络设备等）执行根据本公开实施方式的方法。在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在终端设备上运行时，程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子（非穷举的列表）包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网（lan）或广域网（wan），连接到用户计算设备，或者，可以连接到外部计算设备（例如利用因特网服务提供商来通过因特网连接）。此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

背景技术：

1、随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。同时在网络中还存在很多的敏感信息，甚至是机密信息。由于上述有价值信息的存在，也使得各种网络攻击更加频繁。例如信息窃取、数据篡改、数据删添及放置计算机病毒等恶意攻击。为了保证网络的安全可靠，各种恶意攻击检测方法及恶意攻击防御方法被提出。但是，由于恶意攻击的不断更新，通常已有的恶意攻击检测方法及恶意攻击防御方法，对于新出现的恶意攻击的检测防御能力较差。

2、目前，对于一些新出现的恶意攻击，由于相关技术中缺乏对其引发的异常行为的有效识别方法，导致对新的恶意程序引发的异常行为的识别准确率较低。

技术实现思路

1、针对上述对新的恶意程序引发的异常行为的识别准确率较低的技术问题，本发明采用的技术方案为：

2、根据本发明的一个方面，提供了一种终端异常判定方法，该方法包括如下步骤：

3、获取待检测终端每一端口接收到历史信息；

4、根据每一端口接收到历史信息，生成待检测终端的端口状态向量；

5、根据每一端口接收到历史信息，生成待检测终端的待测行为特征集；

6、获取端口状态向量与每一聚类族群对应的中心向量的相似度；一种异常扩展程序对应一个聚类族群，聚类族群中包括多个端口状态向量及多个端口行为集；端口状态向量用于表示在由异常扩展程序引发的异常行为中，被攻击终端中端口的状态特征；中心向量为多个端口状态向量的聚类中心；端口行为集用于表示在由异常扩展程序引发的异常行为中，被攻击终端中端口的行为特征；

7、根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集，判定所述待检测终端是否出现异常。

8、进一步的，在获取端口状态向量与每一聚类族群对应的中心向量的相似度之前，方法还包括：

9、获取多个采集终端；每一采集终端分别安装有一个基于chromium浏览器开发的采集浏览器，一个采集浏览器中仅包含一种异常扩展程序；获取每一采集终端采集到的端口状态向量及端口行为集；其中，bj为第j个采集终端采集到的端口状态向量，bj=（bj1、bj2、…、bjn、…、bjy）；bjn为第j个采集终端中第n个端口的状态值；y为每一采集终端中端口的数量，n=1、2、…、y；其中，cj为第j个采集终端采集到的端口行为集，cj=（cj1、cj2、…、cjn、…、cjy），cjn为第j个采集终端中第n个端口对应的行为特征向量，cjn=（cjn1、cjn2、…、cjnm、…、cjnx）；其中，cjnm为第j个采集终端采集到的信息中完成一次异常行为时，第n个端口中接收到第m个预设指令类型的指令数量；x为预设指令类型的总数量，m=1、2、…、x；

10、对所有的端口状态向量进行聚类，生成多个聚类族群；

11、获取每一聚类族群对应的中心向量；

12、将每一聚类族群中包括的所有端口状态向量对应的端口行为集，分别加入对应的特征集中，生成每一聚类族群对应的异常行为特征集；

13、根据每一聚类族群对应的中心向量及异常行为特征集，生成每一异常扩展程序对应的判定特征集。

14、进一步的，获取每一采集终端采集到的端口状态向量，包括：

15、获取采集终端在一个采集周期中，每一端口的状态值；采集周期为异常扩展程序完成一次异常行为对应的周期；

16、若在一个采集周期中端口存在处于开启的状态，则为端口配置第一状态值；

17、若在一个采集周期中端口一直处于关闭的状态，则为端口配置第二状态值。

18、进一步的，获取每一采集终端采集到的端口行为集，包括：

19、获取采集终端在一个采集周期中，每一端口接收到的目标ip地址发来的指令信息；

20、根据指令信息，确定每一指令对应的预设指令类型；

21、根据已采集到的所有指令信息，确定每一预设指令类型的出现次数。

22、进一步的，根据指令信息，确定每一指令对应的预设指令类型，包括：

23、获取指令映射表，指令映射表包括每一预设指令类型与指令关键词之间的对应关系；

24、根据指令信息及指令映射表，获取每一指令对应的预设指令类型。

25、进一步的，根据每一聚类族群对应的中心向量及异常行为特征集，生成每一异常扩展程序对应的判定特征集，包括：

26、获取异常扩展程序的异常标签；

27、将异常扩展程序对应的聚类族群的中心向量，分别与异常扩展程序对应的聚类族群中的每一端口行为集，组合成异常扩展程序对应的多个初级判定特征；

28、将异常标签作为每一初级判定特征的判定标签。

29、进一步的，根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集，判定所述待检测终端是否出现异常，包括：

30、若存在中心向量与端口状态向量的相似度大于第一相似度阈值，则计算中心向量对应的异常行为特征集中每一端口行为集与待测行为特征集的相似度f1、f2、…、fp、…、ff(s)；其中，fp为待测行为特征集与中心向量对应的异常行为特征集中第p个端口行为集之间的相似度；f（s）为中心向量对应的异常行为特征集中端口行为集的总数量，p=1、2、…、f（s）；

31、fp满足如下条件：

32、

33、gpn为en与对应的异常行为特征集中第p个端口行为集中的第n个端口对应的行为特征向量之间的相似度；en为待测行为特征集中第n个端口对应的行为特征向量；

34、若max（f1、f2、…、fp、…、ff(s)）>y2时，则判定待检测终端出现异常；y2为第二相似度阈值。

35、根据本发明的第二个方面，还提供了一种终端异常判定装置，该装置包括：

36、终端信息获取模块，用于获取待检测终端每一端口接收到历史信息；

37、状态特征获取模块，用于根据每一端口接收到历史信息，生成待检测终端的端口状态向量；

38、行为特征获取模块，用于根据每一端口接收到历史信息，生成待检测终端的待测行为特征集；

39、相似度获取模块，用于获取端口状态向量与每一聚类族群对应的中心向量的相似度；一种异常扩展程序对应一个聚类族群，聚类族群中包括多个端口状态向量及多个端口行为集；端口状态向量用于表示在由异常扩展程序引发的异常行为中，被攻击终端中端口的状态特征；中心向量为多个端口状态向量的聚类中心；端口行为集用于表示在由异常扩展程序引发的异常行为中，被攻击终端中端口的行为特征；

40、异常判定模块，用于根据端口状态向量与每一聚类族群对应的中心向量的相似度及待测行为特征集，判定待检测终端是否出现异常。

41、根据本发明的第三个方面，还提供了一种非瞬时性计算机可读存储介质，非瞬时性计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现一种终端异常判定方法。

42、根据本发明的第四个方面，还提供了一种电子设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现一种终端异常判定方法。

43、本发明至少具有以下有益效果：

44、本发明中基于chromium浏览器扩展程序的恶意攻击即为一种新的攻击行为。其具体的攻击过程如下：异常扩展程序通常被隐藏部署在chromium浏览器的插件或扩展程序列表中，在chromium浏览器启动对应的插件时，异常扩展程序被激活，进而开展对应的攻击行为。异常扩展程序主要是将某一种病毒文件下载至本地，再由病毒文件发起攻击。由于同一种病毒在发起攻击时，其与被攻击终端之间进行通信的端口是大致相同的。由此通过先对端口状态向量与每一聚类族群对应的中心向量的相似度进行比较，可以快速确定出待检测终端是否存在病毒感染的情况，以及感染的是哪一种病毒。然后，再计算对应的异常行为特征集中每一端口行为集与待测行为特征集e的相似度，可以进一步的对病毒发起的攻击行为进行比对，由于同一种病毒在发起攻击时其大致的攻击行为也是一致的，由此，可以通过计算行为之间的相似度，进一步的确认对应的待检测终端是否被感染被攻击，进而可以提高异常检测的精确度。