一种基于行为特征知识库的软件行为识别方法及系统与流程

技术特征：
1.一种软件行为特征知识库构建方法，其特征在于，包括：确定所需识别的终端侧软件，对所述终端侧软件的进程与对应流量侧的数据流量进行收集，利用端流时间线数据对齐技术将收集得到的数据时间线对齐；结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，得到所述终端侧软件的标准行为；将得到的终端侧软件的标准行为整理为行为规则，形成软件行为特征知识库。2.根据权利要求1所述的方法，其特征在于，所述结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，具体包括：根据具体涉及的网络协议，将所述对齐时间线的数据按照常见网络协议和特殊网络协议进行拆分，并过滤掉干扰数据；对于常见网络协议中的数据，提取其中的url访问信息，对url请求的域名的功能进行解析，并结合所述url的具体参数信息得到具体的软件行为；对于特殊网络协议中的数据，对其相应的流量侧的原始流量包进行解析，得到具体网络协议信息，再根据指定位置的指定字符信息得到具体的软件行为。3.一种软件行为可信性识别方法，其特征在于，包括：对终端侧软件进程与流量侧数据流量进行实时监测，得到终端侧软件的具体行为；将所述终端侧软件的具体行为与所述软件行为特征知识库中对应软件的标准行为规则进行对比，当对比出存在不符合所述对应软件的标准规则的软件行为时，则判定相应软件行为属于不可信行为，做出预警。4.一种软件行为特征知识库构建系统，其特征在于，包括：数据采集模块，用于确定所需识别的终端侧软件，对所述终端侧软件的进程与对应流量侧的数据流量进行收集，利用端流时间线数据对齐技术将收集得到的数据时间线对齐，将对齐时间线的数据发送至统计分析模块；统计分析模块，用于接收由所述数据采集模块发送的对齐时间线的数据，结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，得到所述终端侧软件的标准行为，并将得到的所述终端侧软件的标准行为信息发送至特征知识库构建模块；特征知识库构建模块，用于接收由所述统计分析模块发送的终端侧软件的标准行为信息，将所述标准行为信息整理为行为规则，形成软件行为特征知识库。5.根据权利要求4所述的系统，其特征在于，所述结合所述对齐时间线的数据中的url访问信息和网络协议，对所述对齐时间线的数据进行统计分析，具体包括：根据具体涉及的网络协议，将所述对齐时间线的数据按照常见网络协议和特殊网络协议进行拆分，并过滤掉干扰数据；对于常见网络协议中的数据，提取其中的url访问信息，对url请求的域名的功能进行解析，并结合所述url的具体参数信息得到具体的软件行为；对于特殊网络协议中的数据，对其相应的流量侧的原始流量包进行解析，得到具体网络协议信息，再根据指定位置的指定字符信息得到具体的软件行为。6.一种软件行为可信性识别系统，其特征在于，包括：软件行为获取模块，用于对终端侧软件进程与流量侧数据流量进行实时监测，得到终
端侧软件的具体行为，将所述终端侧软件的具体行为发送至软件行为判定模块；软件行为判定模块，用于接收由所述软件行为获取模块发送的终端侧软件的具体行为，将所述终端侧软件的具体行为与所述软件行为特征知识库中对应软件的标准行为规则进行对比，当对比出存在不符合所述对应软件的标准规则的软件行为时，则判定相应软件行为属于不可信行为，做出预警。7.一种基于行为特征知识库的软件行为识别系统，其特征在于，包括：所述软件行为特征知识库构建系统，用于根据终端侧软件的标准行为构建软件行为特征知识库；所述软件行为可信性识别系统，用于根据所述软件行为特征知识库对终端侧软件行为的可信性进行判定，当发现存在不可信的软件行为时，做出预警。8.一种电子设备，其特征在于，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器、存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行权利要求1-3项任一所述的方法。9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现权利要求1-3项任一所述的方法。

技术总结
本发明涉及一种基于行为特征知识库的软件行为识别方法及系统，包括：确定所需识别的终端侧软件，对所述终端侧软件的进程与对应流量侧的数据流量进行收集，利用端流时间线数据对齐技术将收集得到的数据时间线对齐；结合所述对齐时间线的数据中的URL访问信息和网络协议，对所述对齐时间线的数据进行统计分析，得到所述终端侧软件的标准行为；将得到的终端侧软件的标准行为整理为行为规则，形成软件行为特征知识库。利用软件行为特征库对终端侧实际运行软件的具体行为可信性进行识别。本发明能够提供终端软件的网络行为基线，协助用户对可信软件行为和不可信软件行为进行判断，协助运维人员掌握设备网络行为情况，及时发现异常行为并处置。为并处置。为并处置。


技术研发人员：田国新 孙晋超
受保护的技术使用者：安天科技集团股份有限公司
技术研发日：2021.10.18
技术公布日：2022/1/18