一種離線惡意軟件日志的識(shí)別方法和裝置

基本信息

申請(qǐng)?zhí)?/td> CN201710157898.7 申請(qǐng)日 -
公開(公告)號(hào) CN107145779B 公開(公告)日 2020-01-17
申請(qǐng)公布號(hào) CN107145779B 申請(qǐng)公布日 2020-01-17
分類號(hào) G06F21/56;G06F21/53;H04L29/06 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 馬勇;周松松;張永臣 申請(qǐng)(專利權(quán))人 北京網(wǎng)康科技有限公司
代理機(jī)構(gòu) 北京市邦道律師事務(wù)所 代理人 北京網(wǎng)康科技有限公司
地址 100190 北京市海淀區(qū)中關(guān)村東路66號(hào)世紀(jì)科貿(mào)大廈B座1602室
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種離線惡意軟件日志的識(shí)別方法,基于獲取的多條網(wǎng)絡(luò)日志包含的第一目的IP及目的端口,在IP及端口反向匹配規(guī)則集合中進(jìn)行匹配查找,得到備選網(wǎng)絡(luò)日志集合和可疑惡意軟件哈希值集合;按相同源IP對(duì)備選網(wǎng)絡(luò)日志集合中的網(wǎng)絡(luò)日志進(jìn)行分組,得到網(wǎng)絡(luò)日志分組集合;根據(jù)惡意軟件識(shí)別規(guī)則集合和可疑惡意軟件哈希值集合對(duì)網(wǎng)絡(luò)日志分組進(jìn)行過濾,得到滿足第一預(yù)設(shè)條件的網(wǎng)絡(luò)日志子分組;確定網(wǎng)絡(luò)日志子分組所包含的兩條網(wǎng)絡(luò)日志的首尾時(shí)間間隔小于預(yù)設(shè)閾值時(shí),判定與所述兩條網(wǎng)絡(luò)日志具有相同源IP的網(wǎng)絡(luò)日志被惡意軟件感染、且為與所述兩條網(wǎng)絡(luò)日志相對(duì)應(yīng)的哈希值所對(duì)應(yīng)的惡意軟件。本發(fā)明還同時(shí)公開了一種離線惡意軟件日志的識(shí)別裝置。