【技术实现步骤摘要】
本专利技术涉及设备网络安全,尤其是涉及一种基于wifi热点流量分析的间谍软件检测方法、装置、计算设备及存储介质。
技术介绍
1、移动设备在为用户提供便捷服务的同时,也面临日益严峻的安全威胁,尤其是恶意软件的侵害。其中,间谍软件作为一种隐蔽性极强且具有潜在危险的恶意软件成为网络安全领域研究的热点问题。
2、间谍软件是一种能够在未经用户许可的情况下,在用户设备上偷偷运行的恶意程序。它的主要功能是监控用户的活动,窃取敏感信息(如位置信息、通讯记录、私人文件与照片、浏览记录等),并将这些信息发送到攻击者的远程服务器。这种恶意行为对于个人隐私和企业机密信息构成了极大的威胁。
3、传统的移动安全软件主要依赖于特征签名检测和异常行为分析来识别恶意软件。其中,特征签名检测只能识别特定的ip地址、端口号、数据包内容等已知的恶意行为模式,对于新的、未被发现的间谍软件或变种程序,无法提供有效的防护。且恶意行为可以通过加密流量、混淆或伪装等手段绕过特征签名的检测。为了提高检测能力,签名库需要不断更新,这增加了运维成本和工作量。基于异常行为的流量分析通过学习网络环境中的正常行为模式,将其作为基准,来检测偏离该基准的异常流量,该方法不依赖于已知的特征签名,能够检测未知攻击,但是当网络环境变化较大时,容易出现误报,且需要大量的历史数据来训练和调整基准模型。
技术实现思路
1、为了解决现有技术中存在的问题,本方案提出了一种基于wifi热点流量分析的间谍软件检测方法,能够不依赖于软件本身的特
2、根据本专利技术的第一方面,提供了一种基于wifi热点流量分析的间谍软件检测方法,包括:捕获所有连接到wifi热点的设备流量数据,将设备流量数据按照时间戳存储在时序数据库中;基于时序数据库对设备流量数据进行数据包分类和时间序列分析,得到流量分析结果;基于预设规则集对流量分析结果进行综合判断,生成间谍软件检测报告。
3、通过采用上述技术方案,在wi-fi热点设备上实现对所有连接设备的网络流量实时捕获,包括数据包的大小、方向、协议和时间间隔等特征信息,能够在不影响用户体验的情况下高效、无感地捕获流量数据。基于多维度规则(方向性、大小、频率等)对间谍软件的流量特征进行建模,能够减少误报率。
4、可选地,在本专利技术提供的基于wifi热点流量分析的间谍软件检测方法中,基于深度包检测工具实时捕获连接到wifi热点的所有设备的网络流量数据;从网络流量数据中筛选出设备信息、会话信息和数据包特征信息,会话信息包括源ip、目标ip、源端口、目标端口和协议类型,数据包特征信息包括时间戳、数据包大小、传输方向和传输频率;将网络流量数据按照时间戳存储在时序数据库中,每条记录包括时间戳、数据包大小、数据包传输方向和传输频率。
5、可选地,在本专利技术提供的基于wifi热点流量分析的间谍软件检测方法中,根据数据包特征信息,将数据包分为正常通信流量和恶意通信流量;对正常通信流量和恶意通信流量进行时间序列分析,根据数据包的时间戳、传输频率、数据包大小和传输方向检测异常流量的突发,标记偏离正常通信流量基线的异常流量。
6、上述技术方案,通过提取数据包的特征(如源ip、目标ip、端口、协议类型等),可以有效区分正常流量与恶意流量。通过建立正常通信流量的“基线”模型,可以识别出偏离此基线的异常流量,有助于及时发现潜在的间谍软件行为。
7、可选地,在本专利技术提供的基于wifi热点流量分析的间谍软件检测方法中,将流量数据的数据包按照协议类型分类;对每种协议类型的数据包,根据ip地址与端口,标记数据包为上行或下行,在固定时间窗口内统计发送或接收的数据包数量,统计每个数据包的大小分布;通过对比正常应用的流量特征,找出不符合正常通信行为的异常流量特征,将数据包分为正常通信流量和恶意通信流量,正常应用的流量特征为数据包大小呈多样化、通信频率与应用场景一致,异常流量特征为数据包大小固定且为小型数据包、上行频率高于下行频率或通信端口为非标准端口。
8、可选地,在本专利技术提供的基于wifi热点流量分析的间谍软件检测方法中,预设规则集包括:若预设时间内小型包占比超过预设阈值,标记为可疑流量;将固定间隔的上传数据标记为异常流量;将上行流量多于下行流量的不对称流量标记为异常流量;将特定端口的通信标记为可疑流量,预设规则集中每个规则有一个对应的优先级。
9、可选地,在本专利技术提供的基于wifi热点流量分析的间谍软件检测方法中,对符合预设规则集的异常流量和可疑流量基于规则的优先级进行加权评分,将评分高于阈值的流量标记为高风险行为;当检测到高风险行为时,对设备进行通信隔离;基于检测到的可疑流量或异常流量,生成检测报告,检测报告包括设备的ip地址、端口号、协议类型、流量特征、行为描述和操作建议。
10、上述技术方案,通过基于流量分析的规则加权评分、动态隔离响应和详尽的检测报告生成,能够在发现恶意行为的初期迅速做出反应,减少对设备的潜在损害。
11、可选地,在本专利技术提供的基于wifi热点流量分析的间谍软件检测方法中,收集历史流量数据;基于历史流量数据和已知的正常通信模式对基于流量分析的检测模型进行训练,得到训练后的检测模型;基于训练后的检测模型对实时流量数据进行异常行为预测。
12、根据本专利技术的第二方面,提供了基于wifi热点流量分析的间谍软件检测装置,包括:捕获模块、分析模块和生成模块,
13、其中,捕获模块,用于捕获所有连接到wifi热点的设备流量数据,将设备流量数据按照时间戳存储在时序数据库中;分析模块,用于基于时序数据库对设备流量数据进行数据包分类和时间序列分析,得到流量分析结果;生成模块,用于基于预设规则集对流量分析结果进行综合判断,生成间谍软件检测报告。
14、根据本专利技术的第三方面,提供一种计算设备,包括:至少一个处理器;和存储有程序指令的存储器,其中,程序指令被配置为适于由至少一个处理器执行,程序指令包括用于执行上述基于wifi热点流量分析的间谍软件检测方法的指令。
15、根据本专利技术的第四方面,提供一种存储有程序指令的可读存储介质,当程序指令被计算设备读取并执行时,使得计算设备执行上述的基于wifi热点流量分析的间谍软件检测方法。
16、综上所述,本专利技术提供的基于wifi热点流量分析的间谍软件检测方法和装置,至少可以达到以下技术效果:
17、1.通过对设备流量数据进行异常行为检测并对不同类型的流量进行分层次处理,能够实时识别高风险间谍软件行为,并对潜在风险持续监控,及时发现并阻止间谍软件活动;
18、2.通过wifi热点进行流量捕获和分析,用户无需额外安装软件或配置,不用影响用户设备的使用体验,能够通用于多种设备和操作系统,并在不同的wifi网络环境中部署。
19、上述说明仅是本专利技术技术方案的概本文档来自技高网...
【技术保护点】
1.一种基于WiFi热点流量分析的间谍软件检测方法,其特征在于,包括:
2.根据权利要求1所述的基于WiFi热点流量分析的间谍软件检测方法,其特征在于,所述捕获所有连接到WiFi热点的设备流量数据,将所述设备流量数据按照时间戳存储在时序数据库中的步骤包括:
3.根据权利要求2所述的基于WiFi热点流量分析的间谍软件检测方法,其特征在于,所述基于所述时序数据库对所述设备流量数据进行数据包分类和时间序列分析,得到流量分析结果的步骤包括:
4.根据权利要求3所述的基于WiFi热点流量分析的间谍软件检测方法,其特征在于,所述根据所述数据包特征信息,将数据包分为正常通信流量和恶意通信流量的步骤包括:
5.根据权利要求1所述的基于WiFi热点流量分析的间谍软件检测方法,其特征在于,所述预设规则集包括:若预设时间内小型包占比超过预设阈值,标记为可疑流量;将固定间隔的上传数据标记为异常流量;将上行流量多于下行流量的不对称流量标记为异常流量;将特定端口的通信标记为可疑流量,所述预设规则集中每个规则有一个对应的优先级。
6.根据权利要求5所
7.根据权利要求5所述的基于WiFi热点流量分析的间谍软件检测方法,其特征在于,所述方法还包括:
8.一种基于WiFi热点流量分析的间谍软件检测装置,其特征在于,包括:
9.一种计算设备,其特征在于,包括:
10.一种存储有程序指令的可读存储介质,其特征在于,当所述程序指令被计算设备读取并执行时,使得所述计算设备执行如权利要求1-7任意一项中所述的基于WiFi热点流量分析的间谍软件检测方法。
...【技术特征摘要】
1.一种基于wifi热点流量分析的间谍软件检测方法,其特征在于,包括:
2.根据权利要求1所述的基于wifi热点流量分析的间谍软件检测方法,其特征在于,所述捕获所有连接到wifi热点的设备流量数据,将所述设备流量数据按照时间戳存储在时序数据库中的步骤包括:
3.根据权利要求2所述的基于wifi热点流量分析的间谍软件检测方法,其特征在于,所述基于所述时序数据库对所述设备流量数据进行数据包分类和时间序列分析,得到流量分析结果的步骤包括:
4.根据权利要求3所述的基于wifi热点流量分析的间谍软件检测方法,其特征在于,所述根据所述数据包特征信息,将数据包分为正常通信流量和恶意通信流量的步骤包括:
5.根据权利要求1所述的基于wifi热点流量分析的间谍软件检测方法,其特征在于,所述预设规则集包括:若预设时间内小型包占比超过预设阈值,标记为可...
【专利技术属性】
技术研发人员:刘庆林,吕宗辉,张帆,刘刚,李勇,郭猛善,樊超,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。