一種基于下載鏈接的僵尸網絡惡意軟件檢測方法技術

技術編號：44500729 閱讀：3 留言：0更新日期：2025-03-04 18:09

本發明專利技術涉及數據檢測技術領域，公開了一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，首先進行原始流量解析，捕獲環境中的pcap包并提取出pcap包中每個幀的IP、端口和url信息；對環境中的pcap包的數據進行數據集整理；進行訓練檢測，首先進行構建鄰接矩陣，然后進行參數初始化；對初始化的數據再進行矩陣運算，然后再進行多通道訓練，并進行圖卷積層輸入，訓練出識別模型；對訓練出的識別模型進行模型訓練調優；將訓練好的模型應用在基于下載鏈接的數據進行僵尸網絡惡意軟件的檢測。本發明專利技術檢測方法設計靈活，能夠適應不斷變化的惡意軟件攻擊手段和模式。通過動態調整檢測策略和參數，本方法能夠迅速響應和適應新出現的威脅，保持高效的檢測能力。

全部詳細技術資料下載

【技術實現步驟摘要】

本專利技術涉及數據檢測，具體為一種基于下載鏈接的僵尸網絡惡意軟件檢測方法。

技術介紹

1、僵尸網絡是由感染惡意軟件的計算機構成的網絡。

2、僵尸網絡的傳統檢測方法主要是基于惡意軟件的靜態特征和動態特征。靜態特征包括原始二進制文件的低級特征，如文件結構、原始字節碼等，以及靜態反匯編文件的高級特征，如操作碼、字符串等。動態特征包括使用cfg來表示僵尸網絡惡意軟件二進制文件，對從僵尸網絡惡意軟件中提取的圖進行分析。目前對僵尸網絡惡意軟件的檢測有以下方法：

3、方法一：基于原始二進制文件的低級特征

4、最有代表性的是使用原始的僵尸網絡惡意軟件的二進制文件的低水平特征的方法，該方法是nataraj等人提出的使用基于馬爾科夫灰色圖像，即灰度圖的方法。二進制文件被轉換為馬爾科夫灰度圖，并提取gist紋理特征用于惡意軟件分類；在物聯網環境中，jiaweisu等人從二進制文件中提取灰度圖，并使用淺層cnn(卷積神經網絡)對構成物聯網僵尸網絡的惡意軟件家族進行分類檢測。

5、方法一存在以下缺陷：在對灰度圖進行預處理的過程中，惡意軟件中的字節信息的損失將對分類的準確性產生負面影響。此外，淺層cnn和一般的機器學習算法由于層數和可訓練參數較少，學習能力不足，導致最終對未知僵尸網絡惡意軟件的分類和預測結果準確率較低。

6、方法二：基于靜態反匯編文件的高級特征

7、hamed等人使用遞歸神經網絡(rnn)分析了基于arm架構的惡意軟件的操作代碼，取得了較為理想的準確率；darabian

8、方法二存在以下缺陷：僅支持單一系統架構類別，如基于arm、基于mips或基于x86的架構。這意味著它不能同時兼容多個平臺，導致了顯著的局限性和靈活性問題。在多平臺業務環境中，這種單一架構的限制會嚴重影響系統的可擴展性和適應性。對于需要跨平臺操作或集成多種硬件環境的應用而言，限制了技術的廣泛應用和推廣。

9、方法三：基于動態拆解文件的信息

10、有關被拆解文件的其他信息(如字符串和cfg)也可以用來對物聯網僵尸網絡惡意軟件進行分類alhanahnah等人提出了一種高效的物聯網僵尸網絡惡意軟件簽名生成方法，為每個惡意軟件家族生成簽名。alasmary等人使用cfg來表示惡意軟件二進制文件，并對從物聯網僵尸網絡惡意軟件中提取的圖進行了詳細分析。他們還利用cfg和基于深度學習的模型建立了物聯網僵尸網絡惡意軟件的檢測機制，而phu等人基于動態編程的思想，提出了基于cfg特征的c500-cfg算法，用于物聯網惡意軟件檢測。

11、方法三存在以下缺陷：由于混淆技術的應用，反匯編分析在定位僵尸網絡惡意軟件的原始入口點時可能面臨極大挑戰。混淆不僅增加了代碼的復雜度，還故意制造干擾，掩蓋惡意代碼的真實邏輯。這使得安全分析人員難以準確地識別和理解惡意軟件的行為路徑，從而延長了分析時間。此外，精確提取控制流圖(cfg)是一個非常耗時的過程。cfg的提取對于理解程序的執行流程至關重要，但由于混淆技術的影響，提取過程變得更加復雜且易出錯。所有這些因素共同導致了在對抗僵尸網絡惡意軟件時，反匯編分析和提取cfg的效率和準確性大幅降低，增加了安全防護的難度和成本。

12、所以針對上述問題，提出了一種基于下載鏈接的僵尸網絡惡意軟件檢測方法。

技術實現思路

1、本專利技術的目的在于提供一種基于下載鏈接的僵尸網絡惡意軟件檢測方法。本專利技術檢測方法設計靈活，能夠適應不斷變化的惡意軟件攻擊手段和模式。通過動態調整檢測策略和參數，本方法能夠迅速響應和適應新出現的威脅，保持高效的檢測能力。

2、本專利技術是這樣實現的，本專利技術提供一種基于下載鏈接的僵尸網絡惡意軟件檢測方法具體按以下步驟執行：

3、s1:進行原始流量解析，捕獲環境中的pcap包并提取出pcap包中每個幀的ip、端口和url信息；

4、具體按以下步驟執行：

5、s1.1:對獲取到的每個幀的ip、端口和url信息創建字典并保存以上信息；

6、s1.2:進行迭代每個pcap包中的每一幀，直到確保pcap包中所有幀的信息保存完畢；

7、s1.3:創建文件，保存每個幀中的信息；

8、s1.4:使用xgboost算法按照下載鏈接的文本相似度進行分類。

9、s2:對環境中的pcap包的數據進行數據集整理；具體按以下步驟執行：

10、s2.1:從pcap文件中提取的關鍵字文本分類，并整理成csv文件格式；

11、s2.2:遍歷csv文件，重新執行步驟s1，進一步檢查是否存在空值；

12、s2.3:處理csv文件，將其轉化為鄰接矩陣前的所有文本數據；

13、s2.4:提取csv文件中的不同下載鏈接的標簽數據及五元組數據，包括源ip、目的ip和下載鏈接；

14、s2.5:使用python的第三方庫numpy，將數據轉化為指定數組格式；

15、s2.6:遍歷所有數據，提取并轉換為輸入圖神經網絡的數據格式，并與五元組數據一起存儲；

16、s2.7:生成并輸出numpy轉換后的鄰接矩陣格式的數組數據；

17、s2.8:每種鄰接矩陣的數組數據被存儲為一個單獨的文件，文件命名為存儲的鄰接矩陣類型；如"node_features.pkl"。

18、s3:進行訓練檢測，首先進行構建鄰接矩陣，然后進行參數初始化；具體按以下步驟執行：

19、s3.1:構建鄰接矩陣，確定參與預測的結點類型，包括源ip、目的ip、鏈接名稱；

20、s3.2:確定特定關系的meta-path，包括sipa—dipb—sipc，如式(1)；

21、

22、s3.3:為每個meta-path構建鄰接矩陣，如式(2)；

23、

24、其中，式(2)表示該關系中的結點連接，鄰接矩陣的數量取決于式(2)中想要的關系復雜度，atm為不同節點構成的鄰接矩陣；

25、s3.4；將所有關系的鄰接矩陣統一到相同的維度n×n；

26、s3.5:將所有結點組合在一起，形成一個n×n的矩陣a'；

27、s3.6:將三種不同的節點源ip、目的ip和鏈接名稱拼接在一起，形成長度為n本文檔來自技高網...

【技術保護點】

1.一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：具體按以下步驟執行：

2.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟S1中，具體按以下步驟執行：

3.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟S2中，具體按以下步驟執行：

4.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟S3中，具體按以下步驟執行：

5.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟S4中，參數初始化具體按以下步驟執行：

6.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟S4中，矩陣運算具體按以下步驟執行：

7.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：其中，在步驟S4中，多通道訓練具體按以下步驟執行：

8.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟S4中，圖卷

9.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟S5中，將步驟S2中得到的多種類型的鄰接矩陣分為訓練集和測試集，模型調優具體按以下步驟執行:

...

【技術特征摘要】

1.一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：具體按以下步驟執行：

2.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟s1中，具體按以下步驟執行：

3.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟s2中，具體按以下步驟執行：

4.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟s3中，具體按以下步驟執行：

5.根據權利要求1所述的一種基于下載鏈接的僵尸網絡惡意軟件檢測方法，其特征在于：在步驟s4中，參數初始化具體按以下步驟執行：

【專利技術屬性】
技術研發人員：周波，王勇，蓋偉麟，李政，高曌，王振宇，田正鑫，
申請(專利權)人：國家計算機網絡與信息安全管理中心，
類型：發明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網友詢問留言已有0條評論

還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。

發布您的意見

相關領域技術