一种基于行为特征知识库的软件行为识别方法及系统与流程

1.本发明涉及网络安全技术领域，尤其涉及一种基于行为特征知识库的软件行为识别方法及系统。


背景技术：

2.主流的网络安全流量检测设备主要是以检测恶意攻击与网络流量还原与解析为首要能力。但是对于一些可疑的网络行为却无法给出准确的判断，并且在实际的用户环境中，运维人员对于其管辖范围内的网络设备的具体作用、网络行为等信息掌握有限，且会出现设备使用信息更新迭代的置后性。所以在实际的运维工作中无法对设备的网络行为是否正常做出判断。


技术实现要素：

3.有鉴于此，本发明提供一种基于行为特征知识库的软件行为识别方法及系统，通过终端侧与流量侧的数据搜集，结合终端软件的行为信息边界，对终端软件的标准行为进行判断，并形成软件行为特征知识库，用以提供终端软件的网络行为基线，以此来判断终端软件的哪些行为是可信的，哪些行为是不可信的，至少部分解决现有技术中存在的问题。
4.具体发明内容为：
5.一种软件行为特征知识库构建方法，包括：
6.确定所需识别的终端侧软件，对所述终端侧软件的进程与对应流量侧的数据流量进行收集，利用端流时间线数据对齐技术将收集得到的数据时间线对齐；对齐时间线后，能够识别终端侧软件的行为信息边界；
7.结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，得到所述终端侧软件的标准行为；
8.将得到的终端侧软件的标准行为整理为行为规则，形成软件行为特征知识库。
9.所述软件行为特征库用于提供终端侧软件行为基线，包含多个软件的标准行为规则，每个软件包含多个标准行为。
10.进一步地，所述结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，具体包括：
11.根据具体涉及的网络协议，将所述对齐时间线的数据按照常见网络协议和特殊网络协议进行拆分，并过滤掉干扰数据；所述常见网络协议包括http、dns、tcp/ip等；
12.对于常见网络协议中的数据，提取其中的url访问信息，对url请求的域名的功能进行解析，并结合所述url的具体参数信息判断具体的软件行为；该过程可结合搜索引擎、直接访问等方式对域名的功能进行解析；
13.对于特殊网络协议中的数据，对其相应的流量侧的原始流量包进行解析，得到具体网络协议信息，再根据指定位置的指定字符信息判断具体的软件行为。
14.一种软件行为可信性识别方法，包括：
15.对终端侧软件进程与流量侧数据流量进行实时监测，得到终端侧软件的具体行为；
16.将所述终端侧软件的具体行为与所述软件行为特征知识库中对应软件的标准行为规则进行对比，当对比出存在不符合所述对应软件的标准规则的软件行为时，则判定相应软件行为属于不可信行为，做出预警。所述软件行为特征知识库为终端侧软件行为明确了边界，软件日常运行情况均有日志文件记录，结合预警信息可在日志记录中准确定位不可信行为情况，为未来安服人员调查取证时更好地提供异常行为数据。
17.一种软件行为特征知识库构建系统，包括：
18.数据采集模块，用于确定所需识别的终端侧软件，对所述终端侧软件的进程与对应流量侧的数据流量进行收集，利用端流时间线数据对齐技术将收集得到的数据时间线对齐，将对齐时间线的数据发送至统计分析模块；对齐时间线后，能够识别终端侧软件的行为信息边界；
19.统计分析模块，用于接收由所述数据采集模块发送的对齐时间线的数据，结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，得到所述终端侧软件的标准行为，并将得到的所述终端侧软件的标准行为信息发送至特征知识库构建模块；所述url访问信息和网络协议构成终端侧软件的行为信息边界；
20.特征知识库构建模块，用于接收由所述统计分析模块发送的终端侧软件的标准行为信息，将所述标准行为信息整理为行为规则，形成软件行为特征知识库。
21.所述软件行为特征库用于提供终端侧软件行为基线，包含多个软件的标准行为规则，每个软件包含多个标准行为。
22.进一步地，所述结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，具体包括：
23.根据具体涉及的网络协议，将所述对齐时间线的数据按照常见网络协议和特殊网络协议进行拆分，并过滤掉干扰数据；所述常见网络协议包括http、dns、tcp/ip等；
24.对于常见网络协议中的数据，提取其中的url访问信息，对url请求的域名的功能进行解析，并结合所述url的具体参数信息判断具体的软件行为；该过程可结合搜索引擎、直接访问等方式对域名的功能进行解析；
25.对于特殊网络协议中的数据，对其相应的流量侧的原始流量包进行解析，得到具体网络协议信息，再根据指定位置的指定字符信息判断具体的软件行为。
26.一种软件行为可信性识别系统，包括：
27.软件行为获取模块，用于对终端侧软件进程与流量侧数据流量进行实时监测，得到终端侧软件的具体行为，将所述终端侧软件的具体行为发送至软件行为判定模块；
28.软件行为判定模块，用于接收由所述软件行为获取模块发送的终端侧软件的具体行为，将所述终端侧软件的具体行为与所述软件行为特征知识库中对应软件的标准行为规则进行对比，当对比出存在不符合所述对应软件的标准规则的软件行为时，则判定相应软件行为属于不可信行为，做出预警。所述软件行为特征知识库为终端侧软件行为明确了边界，软件日常运行情况均有日志文件记录，结合预警信息可在日志记录中准确定位不可信行为情况，为未来安服人员调查取证时更好地提供异常行为数据。
29.一种基于行为特征知识库的软件行为识别系统，包括：
30.所述软件行为特征知识库构建系统，用于根据终端侧软件的标准行为构建软件行为特征知识库；
31.所述软件行为可信性识别系统，用于根据所述软件行为特征知识库对终端侧软件行为的可信性进行判定，当发现存在不可信的软件行为时，做出预警。
32.一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器、存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述方法。
33.一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述方法。
34.本发明的有益效果体现在：
35.本发明通过终端侧与流量侧的数据搜集，结合终端软件的行为信息边界，对终端软件的标准行为进行判断，形成软件行为特征知识库。所述软件行为特征知识库能够提供终端软件的网络行为基线，协助用户对可信软件行为和不可信软件行为进行判断。本发明能够丰富终端设备的行为画像，为资产识别与资产功能推测做数据支撑。同时，本发明能够为终端设备的网络行为明确边界，协助运维人员掌握设备网络行为情况，及时发现异常行为并处置。
附图说明
36.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
37.图1为本发明一种实施例的软件行为特征知识库构建方法流程图；
38.图2为本发明实施例一种网络协议信息内容示意图；
39.图3为本发明另一种实施例的软件行为特征知识库构建方法流程图；
40.图4为本发明实施例一种软件行为可信性识别方法流程图；
41.图5为本发明实施例一种软件行为特征知识库构建系统结构图；
42.图6为本发明实施例一种软件行为可信性识别系统结构图；
43.图7为本发明实施例一种基于行为特征知识库的软件行为识别系统结构图；
44.图8为本发明实施例一种电子设备结构示意图。
具体实施方式
45.下面结合附图对本发明实施例进行详细描述。
46.需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合；并且，基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
47.需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构
及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
48.本发明提供一种软件行为特征知识库构建方法实施例，如图1所示，包括：
49.s11：确定所需识别的终端侧软件，对所述终端侧软件的进程与对应流量侧的数据流量进行收集，利用端流时间线数据对齐技术将收集得到的数据时间线对齐；对齐时间线后，能够识别终端侧软件的行为信息边界；
50.s12：结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，得到所述终端侧软件的标准行为；
51.s13：将得到的终端侧软件的标准行为整理为行为规则，形成软件行为特征知识库。
52.所述软件行为特征库用于提供终端侧软件行为基线，包含多个软件的标准行为规则，每个软件包含多个标准行为。
53.优选地，所述结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，具体包括：
54.根据具体涉及的网络协议，将所述对齐时间线的数据按照常见网络协议和特殊网络协议进行拆分，并过滤掉干扰数据；所述常见网络协议包括http、dns、tcp/ip等；
55.对于常见网络协议中的数据，提取其中的url访问信息，对url请求的域名的功能进行解析，并结合所述url的具体参数信息得到具体的软件行为；该过程可结合搜索引擎、直接访问等方式对域名的功能进行解析；
56.对于特殊网络协议中的数据，对其相应的流量侧的原始流量包进行解析，得到具体网络协议信息，再根据指定位置的指定字符信息得到具体的软件行为。
57.所述根据指定位置的指定字符信息得到具体的软件行为，例如，如图2所示，可以根据hostname、url、http_user_agent字段得出网络行为是系统更新。
58.为了进一步对上述方法进行说明，结合上述优选方案，提供另一种软件行为特征知识库构建方法实施例，如图3所示，包括：
59.s31：确定所需识别的终端侧软件，对所述终端侧软件的进程与对应流量侧的数据流量进行收集，利用端流时间线数据对齐技术将收集得到的数据时间线对齐；
60.s32：根据具体涉及的网络协议，将所述对齐时间线的数据按照常见网络协议和特殊网络协议进行拆分，并过滤掉干扰数据；对于常见网络协议中的数据，进入s33；对于特殊网络协议中的数据，进入s34；
61.s33：对于常见网络协议中的数据，提取其中的url访问信息，对url请求的域名的功能进行解析，并结合所述url的具体参数信息得到具体的软件行为；
62.s34：对于特殊网络协议中的数据，对其相应的流量侧的原始流量包进行解析，得到具体网络协议信息，再根据指定位置的指定字符信息得到具体的软件行为；
63.s35：将得到的终端侧软件的标准行为整理为行为规则，形成软件行为特征知识库。
64.为更精确的得到软件行为特征知识库的数据，本发明在实现过程中可做如下工作，一是准备若干不同操作系统的虚拟机或虚拟设备，安装主流操作系统与软件，准备数据库及相关工具脚本。二是在虚拟机或虚拟设备中安装终端进程监测软件与网络流量监测工具，用于对终端侧软件进程与流量侧数据流量进行收集。
65.本发明提供一种软件行为可信性识别方法实施例，如图4所示，包括：
66.s41：对终端侧软件进程与流量侧数据流量进行实时监测，得到终端侧软件的具体行为；
67.s42：将所述终端侧软件的具体行为与所述软件行为特征知识库中对应软件的标准行为规则进行对比；
68.s43：判断是否存在不符合所述对应软件的标准规则的软件行为，若是，则判定相应软件行为属于不可信行为，做出预警；否则返回s42。
69.软件行为特征知识库能够提供终端软件的网络行为基线，协助用户对可信网络行为和不可信网络行为进行判断，协助运维人员掌握设备网络行为情况，及时发现异常行为并处置。软件日常运行情况均有日志文件记录，结合预警信息可在日志记录中准确定位不可信行为情况，为未来安服人员调查取证时更好地提供异常行为数据。
70.本发明提供一种软件行为特征知识库构建系统实施例，如图5所示，包括：
71.数据采集模块51，用于确定所需识别的终端侧软件，对所述终端侧软件的进程与对应流量侧的数据流量进行收集，利用端流时间线数据对齐技术将收集得到的数据时间线对齐，将对齐时间线的数据发送至统计分析模块52；对齐时间线后，能够识别终端侧软件的行为信息边界；
72.统计分析模块52，用于接收由所述数据采集模块51发送的对齐时间线的数据，结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，得到所述终端侧软件的标准行为，并将得到的所述终端侧软件的标准行为信息发送至特征知识库构建模块53；所述url访问信息和网络协议构成终端侧软件的行为信息边界；
73.特征知识库构建模块53，用于接收由所述统计分析模块发送的终端侧软件的标准行为信息，将所述标准行为信息整理为行为规则，形成软件行为特征知识库。
74.优选地，所述结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，具体包括：
75.根据具体涉及的网络协议，将所述对齐时间线的数据按照常见网络协议和特殊网络协议进行拆分，并过滤掉干扰数据；所述常见网络协议包括http、dns、tcp/ip等；
76.对于常见网络协议中的数据，提取其中的url访问信息，对url请求的域名的功能进行解析，并结合所述url的具体参数信息得到具体的软件行为；该过程可结合搜索引擎、直接访问等方式对域名的功能进行解析；
77.对于特殊网络协议中的数据，对其相应的流量侧的原始流量包进行解析，得到具体网络协议信息，再根据指定位置的指定字符信息得到具体的软件行为。
78.本发明提供一种软件行为可信性识别系统实施例，如图6所示，包括：
79.软件行为获取模块61，用于对终端侧软件进程与流量侧数据流量进行实时监测，得到终端侧软件的具体行为，将所述终端侧软件的具体行为发送至软件行为判定模块62；
80.软件行为判定模块62，用于接收由所述软件行为获取模块61发送的终端侧软件的具体行为，将所述终端侧软件的具体行为与所述软件行为特征知识库中对应软件的标准行为规则进行对比，当对比出存在不符合所述对应软件的标准规则的软件行为时，则判定相应软件行为属于不可信行为，做出预警。所述软件行为特征知识库为终端侧软件行为明确了边界，软件日常运行情况均有日志文件记录，结合预警信息可在日志记录中准确定位不可信行为情况，为未来安服人员调查取证时更好地提供异常行为数据。
81.本发明提供一种基于行为特征知识库的软件行为识别系统实施例，如图7所示，包括：
82.所述软件行为特征知识库构建系统，具体包括数据采集模块51、统计分析模块52、特征知识库构建模块53，用于根据终端侧软件的标准行为构建软件行为特征知识库；
83.所述软件行为可信性识别系统，具体包括软件行为获取模块61、软件行为判定模块62，用于根据所述软件行为特征知识库对终端侧软件行为的可信性进行判定，当发现存在不可信的软件行为时，做出预警。
84.本发明系统实施例部分过程与方法实施例相近，对于系统实施例的描述较为简单，相应部分请参照方法实施例。
85.本发明实施例还提供一种电子设备，如图8所示，可以实现本发明图1、3、4所示实施例的流程，所述电子设备包括：壳体81、处理器82、存储器83、电路板84和电源电路85，其中，电路板84安置在壳体81围成的空间内部，处理器82、存储器83设置在电路板84上；电源电路85，用于为上述电子设备的各个电路或器件供电；存储器83用于存储可执行程序代码；处理器82通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述实施例所述的方法。
86.处理器82对上述步骤的具体执行过程以及处理器82通过运行可执行程序代码来进一步执行的步骤，可以参见本发明图1、3、4所示实施例的描述，在此不再赘述。
87.该电子设备以多种形式存在，包括但不限于：
88.(1)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
89.(2)其他具有数据交互功能的电子设备。
90.本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例所述的方法。
91.本发明通过终端侧与流量侧的数据搜集，结合终端软件的行为信息边界，对终端软件的标准行为进行判断，形成软件行为特征知识库。所述软件行为特征知识库能够提供终端软件的网络行为基线，协助用户对可信软件行为和不可信软件行为进行判断。本发明能够丰富终端设备的行为画像，为资产识别与资产功能推测做数据支撑。同时，本发明能够为终端设备的网络行为明确边界，协助运维人员掌握设备网络行为情况，及时发现异常行为并处置。
92.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应
涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。