基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质与流程

本发明涉及病毒检测领域，特别涉及基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质。

背景技术：

1、蠕虫病毒是一种常见的计算机病毒，是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

2、目前针对蠕虫病毒的识别的方式有很多种。现有的技术方案中往往采用基于流量特征统计并设置阈值的方法进行蠕虫病毒的识别监测，但这样一来，设置阈值过低容易导致误报，设置过高则容易漏报，且需要对大量的流量数据进行分析，对于网络流量大、分析能力有限的场景可能存在一定的局限性。也就是说此方案仅适用于一些相对简单的场景，但在复杂的网络环境下，需要结合其他的技术方案进行综合应用。

技术实现思路

1、有鉴于此，本发明的目的在于提供基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质，能够有效提高病毒检测的准确性以及可靠性。其具体方案如下：

2、第一方面，本申请提供了一种基于蜜罐技术的蠕虫病毒检测方法，应用于当前蜜罐系统中的蜜罐节点，包括：

3、通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测，得到相应的监测结果；

4、在实时流量监测的过程中，当捕获到相应的待检测二进制数据时，基于预先配置的yara规则对所述待检测二进制数据进行规则匹配，得到相应的匹配结果；

5、基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒，如果是则触发报警操作并执行相应的防御措施。

6、可选的，所述通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测之前，还包括：

7、获取包括正常流量数据和蠕虫病毒行为数据的历史流量数据，构建数据集，以得到初始数据集；

8、对所述初始数据集中的所述历史流量数据进行数据预处理，得到处理后数据集；所述数据预处理包括数据清洗、特征提取以及特征筛选；

9、对所述处理后数据集进行划分，并基于划分后得到的目标训练集、目标验证集以及目标验证集分别对初始离散型朴素贝叶斯模型进行模型训练、模型验证以及模型测试。

10、可选的，所述对所述初始数据集中的所述历史流量数据进行数据预处理，得到处理后数据集，包括：

11、在进行特征提取时，基于预设的蠕虫病毒行为特征类型对清洗后的各所述历史流量数据进行特征提取，得到相应的待筛选特征；

12、通过对与各所述历史流量数据对应的所述待筛选特征进行特征筛选，以得到处理后数据集。

13、可选的，所述基于预设的蠕虫病毒行为特征类型对清洗后的各所述历史流量数据进行特征提取之前，还包括：

14、通过预先对已知的蠕虫病毒行为特征进行分析，得到相应的蠕虫病毒行为特征类型；所述蠕虫病毒行为特征类型包括流量包大小、传输协议类型以及目标传输端口。

15、可选的，基于划分后得到的目标训练集对初始离散型朴素贝叶斯模型进行模型训练，包括：

16、基于划分后得到的目标训练集并利用预设的先验概率公式以及条件概率公式对初始离散型朴素贝叶斯模型进行模型训练。

17、可选的，所述基于预先配置的yara规则对所述待检测二进制数据进行规则匹配，得到相应的匹配结果，包括：

18、通过判断所述待检测二进制数据是否满足预先配置的yara规则中的各匹配条件来对所述待检测二进制数据进行规则匹配，得到相应的匹配结果。

19、可选的，基于所述匹配结果判断当前是否存在蠕虫病毒，包括：

20、当所述匹配结果表明当前存在任一所述匹配条件未被满足时，确定所述待检测二进制数据为正常二进制数据。

21、第二方面，本申请提供了一种基于蜜罐技术的蠕虫病毒检测装置，应用于当前蜜罐系统中的蜜罐节点，包括：

22、流量监测模块，用于通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测，得到相应的监测结果；

23、二进制数据检测模块，用于在实时流量监测的过程中，当捕获到相应的待检测二进制数据时，基于预先配置的yara规则对所述待检测二进制数据进行规则匹配，得到相应的匹配结果；

24、蠕虫病毒判断模块，用于基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒，如果是则触发报警操作并执行相应的防御措施。

25、第三方面，本申请提供了一种电子设备，包括：

26、存储器，用于保存计算机程序；

27、处理器，用于执行所述计算机程序，以实现前述的基于蜜罐技术的蠕虫病毒检测方法的步骤。

28、第四方面，本申请提供了一种计算机可读存储介质，用于保存计算机程序，所述计算机程序被处理器执行时实现前述的基于蜜罐技术的蠕虫病毒检测方法的步骤。

29、可见，本申请中，首先当前蜜罐系统中的蜜罐节点通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测，得到相应的监测结果；然后在实时流量监测的过程中，当捕获到相应的待检测二进制数据时，基于预先配置的yara规则对所述待检测二进制数据进行规则匹配，得到相应的匹配结果；然后基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒，如果是则触发报警操作并执行相应的防御措施。本申请通过利用预先训练好的离散型朴素贝叶斯模型以及预先配置的yara规则进行实时流量监测以及二进制数据匹配，来进行病毒检测，这样一来，有效提高了病毒检测的准确性以及可靠性。

技术特征：

1.一种基于蜜罐技术的蠕虫病毒检测方法，其特征在于，应用于当前蜜罐系统中的蜜罐节点，包括：

2.根据权利要求1所述的基于蜜罐技术的蠕虫病毒检测方法，其特征在于，所述通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测之前，还包括：

3.根据权利要求2所述的基于蜜罐技术的蠕虫病毒检测方法，其特征在于，所述对所述初始数据集中的所述历史流量数据进行数据预处理，得到处理后数据集，包括：

4.根据权利要求3所述的基于蜜罐技术的蠕虫病毒检测方法，其特征在于，所述基于预设的蠕虫病毒行为特征类型对清洗后的各所述历史流量数据进行特征提取之前，还包括：

5.根据权利要求2所述的基于蜜罐技术的蠕虫病毒检测方法，其特征在于，基于划分后得到的目标训练集对初始离散型朴素贝叶斯模型进行模型训练，包括：

6.根据权利要求1至5任一项所述的基于蜜罐技术的蠕虫病毒检测方法，其特征在于，所述基于预先配置的yara规则对所述待检测二进制数据进行规则匹配，得到相应的匹配结果，包括：

7.根据权利要求6所述的基于蜜罐技术的蠕虫病毒检测方法，其特征在于，基于所述匹配结果判断当前是否存在蠕虫病毒，包括：

8.一种基于蜜罐技术的蠕虫病毒检测装置，其特征在于，应用于当前蜜罐系统中的蜜罐节点，包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，用于保存计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的基于蜜罐技术的蠕虫病毒检测方法。

技术总结
本申请公开了基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质，涉及病毒检测领域，包括：通过利用预先训练好的离散型朴素贝叶斯模型对采集到的流量数据进行实时分类和监测，得到相应的监测结果；在实时流量监测的过程中，当捕获到相应的待检测二进制数据时，基于预先配置的Yara规则对所述待检测二进制数据进行规则匹配，得到相应的匹配结果；基于所述监测结果和/或所述匹配结果判断当前是否存在蠕虫病毒，如果是则触发报警操作并执行相应的防御措施。本申请通过利用预先训练好的离散型朴素贝叶斯模型以及预先配置的Yara规则进行实时流量监测以及二进制数据匹配，来进行病毒检测，这样一来，有效提高了病毒检测的准确性以及可靠性。

技术研发人员：丁庆同,陈学亮
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：
技术公布日：2024/1/15