基于網(wǎng)絡流量的惡意代碼檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設及網(wǎng)絡安全技術(shù)領(lǐng)域，尤其設及一種基于網(wǎng)絡流量的惡意代碼檢測方法 及裝置。
【背景技術(shù)】
[0002] 基礎(chǔ)網(wǎng)絡設施的保護，如智能電網(wǎng)，由于關(guān)系到國家安全與重大社會經(jīng)濟利益，在 過去的幾年里持續(xù)受到世界范圍內(nèi)的重視。在中國的十二五規(guī)劃明確了物聯(lián)網(wǎng)技術(shù)的重點 應用領(lǐng)域，首要的便是智能電網(wǎng)。智能電網(wǎng)是電網(wǎng)的智能化，也被稱為"電網(wǎng)2. 0"，建立在 集成的、高速雙向通信網(wǎng)絡的基礎(chǔ)上，通過先進的傳感和測量、設備技術(shù)、控制方法W及決 策支持系統(tǒng)技術(shù)的應用，實現(xiàn)電網(wǎng)的可靠、安全、經(jīng)濟、高效、環(huán)境友好和使用安全。在從傳 統(tǒng)的運作模式向網(wǎng)絡模式轉(zhuǎn)變的過程中，電力網(wǎng)絡面對著大量的安全問題。與其他的網(wǎng)絡 類型相比，智能電網(wǎng)規(guī)模大、協(xié)議復雜、架構(gòu)多樣、技術(shù)不成熟、入侵承受損失大。
[0003] 現(xiàn)有的技術(shù)，智能電網(wǎng)的使用安全包括自愈、激勵和抵御攻擊，提供滿足用戶需求 的電能、容許各種不同發(fā)電形式的接入、啟動電力的優(yōu)化高效運行。而對智能電網(wǎng)、物聯(lián)網(wǎng) 等基礎(chǔ)網(wǎng)絡架構(gòu)的安全防護，采用的安全技術(shù)是從其他行業(yè)移植而來，比如對網(wǎng)絡病毒的 檢測、防入侵系統(tǒng)的構(gòu)建、對權(quán)限的控制、物理上的保護等，可W在一定程度上有效的防止 物理入侵和網(wǎng)絡病毒。
[0004] 但是，現(xiàn)有技術(shù)安全防護方法不能適應不同規(guī)模、協(xié)議W及架構(gòu)的智能電網(wǎng)，適用 范圍有限；且對網(wǎng)絡病毒不能有效的檢測和判定，容易錯判和誤判，降低了智能電網(wǎng)的安全 性。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明解決的技術(shù)問題是如何提高智能電網(wǎng)安全防護方法的適用范圍。
[0006] 為解決上述技術(shù)問題，本發(fā)明實施例提供一種基于網(wǎng)絡流量的惡意代碼檢測方 法，所述基于網(wǎng)絡流量的惡意代碼檢測方法包括：
[0007] 根據(jù)惡意代碼樣本，提取所述惡意代碼的代碼特征；
[0008] 根據(jù)所述代碼特征提取樣本數(shù)據(jù)包中的所述惡意代碼；
[0009] 根據(jù)所述樣本數(shù)據(jù)包統(tǒng)計所述惡意代碼的誤報錯誤概率和漏報錯誤概率；
[0010] 根據(jù)所述誤報錯誤概率和所述漏報錯誤概率確定第一闊值；
[0011] 獲取待測數(shù)據(jù)包的字節(jié)，所述字節(jié)出現(xiàn)頻率大于所述第一闊值時，判定所述字節(jié) 為所述惡意代碼；
[0012] 根據(jù)所述待測數(shù)據(jù)包的大小、所述代碼特征的所述誤報錯誤概率、所述漏報錯誤 概率和數(shù)量，得到第二闊值；
[0013] 所述字節(jié)為所述惡意代碼的種類數(shù)量達到第二闊值時，判定所述待測數(shù)據(jù)包為惡 意流量。
[0014] 可選的，所述網(wǎng)絡流量包括至少一個所述待測數(shù)據(jù)包時，包括所述惡意代碼的所 述待測數(shù)據(jù)包的數(shù)量大于設定闊值時，判定所述網(wǎng)絡流量為所述惡意流量。
[0015]可選的，計算所述網(wǎng)絡流量為所述惡意流量的概率，并根據(jù)所述概率得到設 定闊值，使得所述設定闊值和所述概率均在第一設定范圍；所述概率的計算公式為：
;其中，P'為所述待測數(shù)據(jù)包錯誤概率；N為所述 惡意代碼的大??；n為所述待測數(shù)據(jù)包的大??；C為包括所述惡意代碼的所述待測數(shù)據(jù)包的 數(shù)量。
[0016]可選的，所述根據(jù)所述樣本數(shù)據(jù)包統(tǒng)計所述惡意代碼的誤報錯誤概率和漏報錯誤 概率包括：統(tǒng)計所述樣本數(shù)據(jù)包的大小，根據(jù)選取的分界闊值計算所述惡意代碼在所述樣 本數(shù)據(jù)包中的所述誤報錯誤概率和所述漏報錯誤概率分布，形成概率矩陣。
[0017]可選的，所述根據(jù)所述誤報錯誤概率和所述漏報錯誤概率確定第一闊值包括：根 據(jù)所述概率矩陣，得到第一闊值，使得所述誤報錯誤概率和所述漏報錯誤概率均在第二設 定范圍內(nèi)。
[0018]可選的，所述根據(jù)所述待測數(shù)據(jù)包的大小、所述代碼特征的所述誤報錯誤概率、所 述漏報錯誤概率和種類，得到第二闊值，包括：根據(jù)所述待測數(shù)據(jù)包的所述誤報錯誤概率和 所述漏報錯誤概率得到第二闊值，使得所述待測數(shù)據(jù)包的誤報錯誤概率和所述漏報錯誤概 率均在第=設定范圍內(nèi)。
[0019]可選的，所述代碼特征獨立分布時，所述待測數(shù)據(jù)包的所述誤報錯誤概率計算公 式為：
[0020]
其中，Pz為所述誤報錯誤概 率；a為所述代碼特征的集合；K為所述字節(jié)為所述代碼特征的種類數(shù)量；n為所述待測數(shù) 據(jù)包的大?。籚為所述待測數(shù)據(jù)包中的所述代碼特征的數(shù)量的集合;W為所述數(shù)據(jù)包中未包 含的所述代碼特征的數(shù)量；IVi(n)為所述待測數(shù)據(jù)包的大小為n時的所述代碼特征i的所 述誤報錯誤概率；
[0021] 所述待測數(shù)據(jù)包的所述漏報錯誤概率計算公式為：
其中，Pl為所述漏報錯誤概率。
[0022] 可選的，所述代碼特征具備關(guān)聯(lián)關(guān)系時，統(tǒng)計所述代碼特征的聯(lián)合概率；根據(jù)所述 聯(lián)合概率計算所述待測數(shù)據(jù)包的所述誤報錯誤概率和所述漏報錯誤概率；所述漏報錯誤概 率計算公式為：
[0023]Pi=E#。<kPHa};其中，PHa}為所述聯(lián)合概率；所述誤報錯誤概率計算公式 為：Pz=E占kPH日}。
[0024]可選的，所述數(shù)據(jù)包的大小與所述誤報錯誤概率和所述漏報錯誤概率成反比。
[00巧]可選的，所述代碼特征為字符串。
[0026]為解決上述技術(shù)問題，本發(fā)明實施例還公開了一種基于網(wǎng)絡流量的惡意代碼檢測 裝置，基于網(wǎng)絡流量的惡意代碼檢測裝置包括：
[0027] 初始單元，適于根據(jù)惡意代碼樣本和樣本數(shù)據(jù)包得到所述惡意代碼的代碼特征和 第一闊值；
[0028]字節(jié)檢測單元，獲取待測數(shù)據(jù)包的字節(jié)，所述字節(jié)出現(xiàn)頻率大于所述第一闊值時， 判定所述字節(jié)為所述惡意代碼；
[0029] 參數(shù)計算單元，根據(jù)所述待測數(shù)據(jù)包的大小、所述代碼特征的所述誤報錯誤概率、 所述漏報錯誤概率和數(shù)量，得到第二闊值；
[0030] 流量檢測單元，在所述字節(jié)為所述惡意代碼的種類數(shù)量達到第二闊值時，判定所 述待測數(shù)據(jù)包為惡意流量。
[0031] 可選的，所述流量檢測單元在所述網(wǎng)絡流量包括至少一個所述待測數(shù)據(jù)包時，包 括所述惡意代碼的所述待測數(shù)據(jù)包的數(shù)量大于設定闊值時，判定所述網(wǎng)絡流量為所述惡意 流量。
[0032] 可選的，所述初始單元包括：
[0033] 特征提取單元，根據(jù)惡意代碼樣本，提取所述惡意代碼的代碼特征；
[0034] 代碼提取單元，根據(jù)所述代碼特征提取樣本數(shù)據(jù)包中的所述惡意代碼；
[0035] 計算單元，根據(jù)所述樣本數(shù)據(jù)包統(tǒng)計所述惡意代碼的誤報錯誤概率和漏報錯誤概 率.
[0036] 闊值判定單元，根據(jù)所述誤報錯誤概率和所述漏報錯誤概率確定第一闊值。
[0037]與現(xiàn)有技術(shù)相比，本發(fā)明實施例的技術(shù)方案具有W下有益效果：
[0038] 本發(fā)明實施例根據(jù)惡意代碼樣本，提取所述惡意代碼的代碼特征，根據(jù)所述代碼 特征提取樣本數(shù)據(jù)包中的所述惡意代碼；根據(jù)所述惡意代碼的誤報錯誤概率和所述漏報錯 誤概率確定第一闊值；獲取待測數(shù)據(jù)包的字節(jié)，所述字節(jié)包括的所述代碼特征的數(shù)量大于 所述第一闊值時，判定所述字節(jié)