CN110336835A

CN110336835A - 恶意行为的检测方法、用户设备、存储介质及装置

Info

Publication number: CN110336835A
Application number: CN201910720423.3A
Authority: CN
Inventors: 蒲大峰; 周运金
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2019-08-05
Filing date: 2019-08-05
Publication date: 2019-10-15
Anticipated expiration: 2039-08-05
Also published as: CN110336835B

Abstract

本发明涉及网络安全技术领域，公开了一种恶意行为的检测方法、用户设备、存储介质及装置。本发明中获取待检测流量；从所述待检测流量中提取与各预设特征类型分别对应的各流量特征，所述预设特征类型为与恶意文件下载行为对应的特征类型；通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测。明显地，本发明中将预先设置多维度的预设特征类型，通过已确定的预设特征类型来分析待监测流量所包含的文件下载行为是否为恶意文件下载行为，提高了检测出恶意文件下载行为的检测准确性，解决了无法准确地检测出恶意文件下载行为的技术问题。

Description

恶意行为的检测方法、用户设备、存储介质及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及恶意行为的检测方法、用户设备、存储介质及装置。

背景技术

鉴于恶意攻击行为越来越多，特别地，恶意攻击者多会利用一些安全漏洞来攻击某个公司服务器，并获取到被攻击服务器的某个执行命令的执行权限，后续地，可通过该执行权限去被攻击的服务器上执行下载命令，以下载预先准备好的恶意程序至被攻击服务器本地，也就完成了恶意入侵过程。

为了防范该恶意入侵过程，多会采用相应的防护手段，比如，可通过部署内网沙箱、防毒箱、防火墙以及杀毒软件等去防范该恶意入侵过程。但是，这些防护手段在检测恶意文件下载行为时的检测准确性上表现不佳，大大地降低了安全性。

所以，可认为存在着无法准确地检测出恶意文件下载行为的技术问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供恶意行为的检测方法、用户设备、存储介质及装置，旨在解决无法准确地检测出恶意文件下载行为的技术问题。

为实现上述目的，本发明提供一种恶意行为的检测方法，所述恶意行为的检测方法包括以下步骤：

获取待检测流量；

从所述待检测流量中提取与各预设特征类型分别对应的各流量特征，所述预设特征类型为与恶意文件下载行为对应的特征类型；

通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测。

优选地，所述获取待检测流量之前，所述恶意行为的检测方法还包括：

获取包含恶意文件下载行为的恶意访问流量样本；

从所述恶意访问流量样本中提取访问特征；

根据所述访问特征建立预设行为检测模型。

优选地，所述获取包含恶意文件下载行为的恶意访问流量样本之后，所述恶意行为的检测方法还包括：

从所述恶意访问流量样本中提取超文本传输协议HTTP流量；

所述从所述恶意访问流量样本中提取访问特征，具体包括：

从所述HTTP流量中提取访问特征。

优选地，所述根据所述访问特征建立预设行为检测模型，具体包括：

通过所述访问特征对第一预设决策树算法进行训练，以获得预设行为检测模型。

优选地，所述通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测，具体包括：

获取所述流量特征的预设遍历次序；

基于所述预设遍历次序遍历所述流量特征，将特征类型为目标特征类型的流量特征作为待处理流量特征，确定与所述目标特征类型对应的行为判定标准，基于所述行为判定标准对所述待处理流量特征进行恶意文件下载行为的检测。

优选地，所述获取所述流量特征的预设遍历次序之前，所述恶意行为的检测方法还包括：

基于第二预设决策树算法分别根据所述预设特征类型对应的信息增益确定与所述预设特征类型对应的优先级；

通过所述优先级构成预设遍历次序。

优选地，所述基于所述预设遍历次序遍历所述流量特征，将特征类型为目标特征类型的流量特征作为待处理流量特征，确定与所述目标特征类型对应的行为判定标准，基于所述行为判定标准对所述待处理流量特征进行恶意文件下载行为的检测，具体包括：

读取所述预设遍历次序中依次排序的下载文件格式类型，基于所述预设遍历次序遍历所述流量特征；

将特征类型为所述下载文件格式类型的流量特征作为待处理流量特征，确定与所述下载文件格式类型对应的行为判定标准，基于所述行为判定标准对所述待处理流量特征进行恶意文件下载行为的检测。

此外，为实现上述目的，本发明还提出一种用户设备，所述用户设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意行为的检测程序，所述恶意行为的检测程序配置为实现如上文所述的恶意行为的检测方法的步骤。

此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有恶意行为的检测程序，所述恶意行为的检测程序被处理器执行时实现如上文所述的恶意行为的检测方法的步骤。

此外，为实现上述目的，本发明还提出一种恶意行为的检测装置，所述恶意行为的检测装置包括：

流量检测模块，用于获取待检测流量；

特征提取模块，用于从所述待检测流量中提取与各预设特征类型分别对应的各流量特征，所述预设特征类型为与恶意文件下载行为对应的特征类型；

行为检测模块，用于通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测。

本发明中获取待检测流量；从所述待检测流量中提取与各预设特征类型分别对应的各流量特征，所述预设特征类型为与恶意文件下载行为对应的特征类型；通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测。明显地，本发明中将预先设置多维度的预设特征类型，通过已确定的预设特征类型来分析待监测流量所包含的文件下载行为是否为恶意文件下载行为，提高了检测出恶意文件下载行为的检测准确性，解决了无法准确地检测出恶意文件下载行为的技术问题。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的用户设备结构示意图；

图2为本发明恶意行为的检测方法第一实施例的流程示意图；

图3为本发明恶意行为的检测方法第二实施例的流程示意图；

图4为本发明恶意行为的检测方法第三实施例的流程示意图；

图5为本发明恶意行为的检测方法第三实施例的行为检测流程图；

图6为本发明恶意行为的检测装置第一实施例的结构框图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的用户设备结构示意图。

如图1所示，该用户设备可以包括：处理器1001，例如中央处理器(CentralProcessing Unit，CPU)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)，可选用户接口1003还可以包括标准的有线接口以及无线接口，而用户接口1003的有线接口在本发明中可为通用串行总线(Universal Serial Bus，USB)接口。网络接口1004可选的可以包括标准的有线接口以及无线接口(如WI-FI接口)。存储器1005可以是高速随机存取存储器(Random Access Memory，RAM)；也可以是稳定的存储器，比如，非易失存储器(Non-volatile Memory)，具体可为，磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对用户设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及恶意行为的检测程序。

在图1所示的用户设备中，网络接口1004主要用于连接后台服务器，与所述后台服务器进行数据通信；用户接口1003主要用于连接外设；所述用户设备通过处理器1001调用存储器1005中存储的恶意行为的检测程序，并执行以下操作：

获取待检测流量；

进一步地，处理器1001可以调用存储器1005中存储的恶意行为的检测程序，还执行以下操作：

获取包含恶意文件下载行为的恶意访问流量样本；

从所述恶意访问流量样本中提取访问特征；

根据所述访问特征建立预设行为检测模型。

从所述恶意访问流量样本中提取超文本传输协议HTTP流量；

相应地，还执行以下操作：

从所述HTTP流量中提取访问特征。

获取所述流量特征的预设遍历次序；

通过所述优先级构成预设遍历次序。

本实施例中获取待检测流量；从所述待检测流量中提取与各预设特征类型分别对应的各流量特征，所述预设特征类型为与恶意文件下载行为对应的特征类型；通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测。明显地，本实施例中将预先设置多维度的预设特征类型，通过已确定的预设特征类型来分析待监测流量所包含的文件下载行为是否为恶意文件下载行为，提高了检测出恶意文件下载行为的检测准确性，解决了无法准确地检测出恶意文件下载行为的技术问题。

基于上述硬件结构，提出本发明恶意行为的检测方法的实施例。

参照图2，图2为本发明恶意行为的检测方法第一实施例的流程示意图。

在第一实施例中，所述恶意行为的检测方法包括以下步骤：

步骤S10：获取待检测流量。

应当理解的是，可对常规防护手段进行分析，比如，若采用部署内网沙箱、防毒箱以及防火墙等组件的方式去防范恶意入侵过程，多会监控网络下载的文件，再对监测到的文件进行选择性查杀；若采用部署杀毒软件的方式去防范恶意入侵过程，多会等恶意程序下载到被攻击服务器本地后再采用直接查杀的手段。但是，常规防护手段在查杀恶意程序时，可能误查杀或者漏查杀，而且，部分病毒可能具备反查杀的功能，所以，无法达到较高的查杀成功率。

在具体实现中，本实施例中可通过提高检测出恶意文件下载行为的检测准确性来保证查杀成功率维持在一个较高的水平，同时，也降低了误查杀或者漏查杀的机率。

可以理解的是，本实施例的执行主体为用户设备，用户设备可为服务器或者个人电脑。若用户设备为服务器A，可先截取服务器A与接入网络或者其他设备之间的交互信息，该交互信息中可能为数据请求与请求反馈之间的过程信息，该交互信息为此处的待检测流量。

步骤S20：从所述待检测流量中提取与各预设特征类型分别对应的各流量特征，所述预设特征类型为与恶意文件下载行为对应的特征类型。

可以理解的是，在截取到该待检测流量后，该待检测流量中的数据请求的请求类型可能为文件下载请求，至于该文件下载请求欲下载的文件可能为恶意文件也可能为正常文件。该待检测流量中可包括有该欲下载的文件，也可不包括该欲下载的文件。

在具体实现中，为了更加准确地判断该待检测流量中是否已存在恶意文件下载行为，换言之，是否已存在欲下载恶意文件的数据请求以及该数据请求对应的请求反馈等，可预先规定预设特征类型，该预设特征类型可有效地判定出恶意文件下载行为。所述预设特征类型包括下载文件格式类型、下载文件名长度、下载路径深度、超文本传输协议(HyperText Transfer Protocol，HTTP)头部字段数、下载互联网协议(Internet ProtocolAddress，IP)地址归属地、下载文件名类型以及HTTP头部引用(referer)字段中的至少一项。

应当说明的是，若此时的预设特征类型为下载文件格式类型与下载文件名长度，提取出的流量特征将包括与下载文件格式类型对应的流量特征、与下载文件名长度对应的流量特征。

步骤S30：通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测。

在具体实现中，在提取出流量特征后，可通过预设行为检测模型来判断该流量特征所包含的文件下载行为欲下载的文件为恶意文件还是为正常文件。若为恶意文件，则可认定该文件下载行为为恶意文件下载行为；若为正常文件，则可认定该文件下载行为为正常文件下载行为。

参照图3，图3为本发明恶意行为的检测方法第二实施例的流程示意图，基于上述图2所示的第一实施例，提出本发明恶意行为的检测方法的第二实施例。

第二实施例中，所述步骤S10之前，所述恶意行为的检测方法还包括：

步骤S01：获取包含恶意文件下载行为的恶意访问流量样本。

可以理解的是，可预先准备恶意访问流量样本，该恶意访问流量样本可事先搜集，也可由测试用例自动生成，以作模型建立之用。

步骤S02：从所述恶意访问流量样本中提取访问特征。

应当理解的是，可从确定具有恶意文件下载行为的恶意访问流量样本中提取出与各预设特征类型分别对应的各访问特征。

步骤S03：根据所述访问特征建立预设行为检测模型。

可以理解的是，在获取到恶意访问流量样本中实际包含的访问特征后，可基于该访问特征建立出可准确判定文件下载行为是否为恶意文件下载行为的预设行为检测模型。

进一步地，所述步骤S01之后，所述恶意行为的检测方法还包括：

从所述恶意访问流量样本中提取HTTP流量；

所述从所述恶意访问流量样本中提取访问特征，具体包括：

从所述HTTP流量中提取访问特征。

在具体实现中，为了提高模型的建立效率，可先从恶意攻击者发起的恶意访问流量样本中筛选出HTTP流量，用于建立模型的访问特征将从该HTTP流量中提取。

进一步地，所述根据所述访问特征建立预设行为检测模型，具体包括：

应当理解的是，至于预设行为检测模型的模型建立过程将由第一预设决策树算法来实现，该第一预设决策树算法为监督学习的决策树(Decision Tree)算法。该第一预设决策树算法将把访问特征作为输入样本进行训练，归纳访问特征中的规律性，确定发生恶意文件下载行为时的数据特性，训练后的结果将为一类似于二叉树的可使用模型，该可使用模型即为此处的预设行为检测模型。

在具体实现中，比如，若预设特征类型包括下载文件格式类型、下载文件名长度、下载路径深度、HTTP头部字段数、下载IP地址归属地、下载文件名类型以及HTTP头部referer字段中的至少一项，则预设行为检测模型中含有这些预设特征类型的规定范围，可一一确定待检测流量中的各流量特征是否符合这些预设特征类型的规定范围，根据符合与否来判定文件下载行为是否为恶意文件下载行为。

本实施例中将采用决策树算法来训练出待使用的预设行为检测模型，通过训练后的预设行为检测模型来进行恶意文件下载行为的检测，大大提高了该判定结果的准确性。

参照图4，图4为本发明恶意行为的检测方法第三实施例的流程示意图，可基于上述图2所示的第一实施例或者上述图3所示的第二实施例，此处基于上述图2所示的第一实施例提出本发明恶意行为的检测方法的第三实施例。

第三实施例中，所述步骤S30，具体包括：

步骤S301：获取所述流量特征的预设遍历次序。

可以理解的是，预设特征类型包括下载文件格式类型、下载文件名长度、下载路径深度、HTTP头部字段数、下载IP地址归属地、下载文件名类型以及HTTP头部referer字段中的至少一项，而预设遍历次序由预设特征类型构成，而且，将基于一定的排列顺序构成。

步骤S302：基于所述预设遍历次序遍历所述流量特征，将特征类型为目标特征类型的流量特征作为待处理流量特征，确定与所述目标特征类型对应的行为判定标准，基于所述行为判定标准对所述待处理流量特征进行恶意文件下载行为的检测。

应当理解的是，若预设遍历次序中预设特征类型的排列顺序从首至尾分别为“下载文件格式类型、下载文件名长度、下载路径深度、HTTP头部字段数、下载IP地址归属地、下载文件名类型以及HTTP头部referer字段”，下载文件格式类型可为目标特征类型，则将先遍历到该下载文件格式类型对应的流量特征，读取该下载文件格式类型对应的行为判定标准，判断该流量特征是否符合该行为判定标准；然后，将遍历该下载文件名长度对应的流量特征，读取该下载文件名长度对应的行为判定标准，判断该流量特征是否符合该行为判定标准等等。将获得多个判断结果，可基于这些判断结果来确定是否存在着恶意文件下载行为。

此外，所述预设特征类型包括下载文件格式类型、下载文件名长度、下载路径深度、HTTP头部字段数、下载IP地址归属地、下载文件名类型以及HTTP头部referer字段中的至少一项。

在具体实现中，下载文件格式类型是指下载文件的格式类型，若下载文件为恶意文件，也可称为病毒文件，该病毒文件的格式类型常见为可移植可执行(PortableExecutable，PE)格式以及脚本格式；下载文件名长度是指下载文件的文件名长度，比如，若下载文件为“www.abcd.com/1.exe”，可先去除下载文件的文件名中的域名，即去除域名后的文件名为“1.exe”，可认为该下载文件名长度为1；下载路径深度是指下载路径中的路径文件夹深度，比如，若有下载路径为“www.abcd.com/1.exe”，可其路径文件夹深度为1层，若有下载路径为“www.abcd.com/down/1.exe”，可其路径文件夹深度为2层。

可以理解的是，引入HTTP头部字段数进行恶意文件下载行为的检测操作，是考虑到标准HTTP头包含的字段往往较多，而恶意程序下载的字段往往较少。引入下载IP地址归属地，是考虑到归属地为国外较为可疑。下载文件名类型是指“判断下载文件的文件名中是否存在单词”，比如，若下载文件的文件名为“www.abcd.com/word.exe”，则可发现其中存在单词“word”。引入HTTP头部referer字段，是考虑到恶意下载的脚本文件中中往往没有referer字段。

进一步地，所述步骤S301之前，所述恶意行为的检测方法还包括：

通过所述优先级构成预设遍历次序。

需要说明的是，此处的第二预设决策树算法与之前的第一预设决策树算法可为相同的决策树算法。

应当理解的是，至于预设遍历次序中预设特征类型的排列顺序可由信息增益来决定。熵可表示随机变量的不确定性，条件熵可表示在某个条件下该随机变量的不确定性，而信息增益则为熵与条件熵的差值，可表示在某个条件下信息不确定性减少的程度。可见，信息增益可表征某个预设特征类型对检测结果的直接影响程度或者间接影响程度，所以，可依据某个预设特征类型的信息增益来确定该预设特征类型对应的优先级。

在具体实现中，比如，若下载文件格式类型的信息增益较大，可将下载文件格式类型的优先级列为一级，即将下载文件格式类型列为预设遍历次序中第一项；若下载文件名长度的信息增益次之，可将下载文件名长度的优先级列为二级，即将下载文件名长度列为预设遍历次序中第二项。

进一步地，所述基于所述预设遍历次序遍历所述流量特征，将特征类型为目标特征类型的流量特征作为待处理流量特征，确定与所述目标特征类型对应的行为判定标准，基于所述行为判定标准对所述待处理流量特征进行恶意文件下载行为的检测，具体包括：

在具体实现中，若预设遍历次序中的第一项为下载文件格式类型，则可先遍历下载文件格式类型对应的流量特征，该流量特征可为“脚本格式”，与下载文件格式类型对应的行为判定标准中的标准格式中不包含有“脚本格式”，则可将待检测流量对应的文件下载行为认定为恶意文件下载行为。

当然，若该流量特征为“Word格式”，对应的行为判定标准中的标准格式中包含有“Word格式”，则可将待检测流量对应的文件下载行为认定为正常文件下载行为。

进一步地，还可参见图5，图5中给出一种通过7个维度的预设特征类型来全面地检测文件下载行为的检测方式。在图5中，下载文件格式类型对应的行为判定标准记为第一行为判定标准、下载文件名长度对应的行为判定标准记为第二行为判定标准、下载路径深度对应的行为判定标准记为第三行为判定标准、HTTP头部字段数对应的行为判定标准记为第四行为判定标准、下载IP地址归属地对应的行为判定标准记为第五行为判定标准、下载文件名类型(即下载文件名是否单词)对应的行为判定标准记为第六行为判定标准以及HTTP头部referer字段对应的行为判定标准记为第七行为判定标准。

若下载文件格式类型对应的流量特征符合第一行为判定标准，将待检测流量对应的文件下载行为认定为正常文件下载行为；若下载文件格式类型对应的流量特征不符合第一行为判定标准，将判断下载文件名长度对应的流量特征是否符合第二行为判定标准。若下载文件名长度对应的流量特征符合第二行为判定标准，将判断下载路径深度对应的流量特征是否符合第三行为判定标准；若下载文件名长度对应的流量特征不符合第二行为判定标准，将判断下载文件名类型对应的流量特征是否符合第六行为判定标准等。其中，图5中的Y表示符合标准，N表示不符合标准；图5中的“正常”表示判定为正常文件下载行为，“恶意”表示判定为恶意文件下载行为。

本实施例中将基于信息增益来确定每个预设特征类型的遍历优先级，通过运用该遍历优先级来进行行为检测，进一步地提高了检测效率与检测准确性。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有恶意行为的检测程序，所述恶意行为的检测程序被处理器执行时实现如下操作：

获取待检测流量；

进一步地，所述恶意行为的检测程序被处理器执行时还实现如下操作：

获取包含恶意文件下载行为的恶意访问流量样本；

从所述恶意访问流量样本中提取访问特征；

根据所述访问特征建立预设行为检测模型。

从所述恶意访问流量样本中提取超文本传输协议HTTP流量；

相应地，还实现如下操作：

从所述HTTP流量中提取访问特征。

获取所述流量特征的预设遍历次序；

通过所述优先级构成预设遍历次序。

此外，参照图6，本发明实施例还提出一种恶意行为的检测装置，所述恶意行为的检测装置包括：

流量检测模块10，用于获取待检测流量。

可以理解的是，可先截取服务器与接入网络或者其他设备之间的交互信息，该交互信息中可能为数据请求与请求反馈之间的过程信息，该交互信息为此处的待检测流量。

特征提取模块20，用于从所述待检测流量中提取与各预设特征类型分别对应的各流量特征，所述预设特征类型为与恶意文件下载行为对应的特征类型。

行为检测模块30，用于通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测。

本实施例中获取待检测流量；从所述待检测流量中提取与各预设特征类型分别对应的各流量特征，所述预设特征类型为与恶意文件下载行为对应的特征类型；用于通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测。明显地，本实施例中将预先设置多维度的预设特征类型，通过已确定的预设特征类型来分析待监测流量所包含的文件下载行为是否为恶意文件下载行为，提高了检测出恶意文件下载行为的检测准确性，解决了无法准确地检测出恶意文件下载行为的技术问题。

在一实施例中，所述恶意行为的检测装置还包括：

模型建立模块，用于获取包含恶意文件下载行为的恶意访问流量样本；从所述恶意访问流量样本中提取访问特征；根据所述访问特征建立预设行为检测模型。

在一实施例中，所述模型建立模块，还用于从所述恶意访问流量样本中提取超文本传输协议HTTP流量；

所述模型建立模块，还用于从所述HTTP流量中提取访问特征。

在一实施例中，所述模型建立模块，还用于通过所述访问特征对第一预设决策树算法进行训练，以获得预设行为检测模型。

在一实施例中，所述行为检测模块30，还用于获取所述流量特征的预设遍历次序；基于所述预设遍历次序遍历所述流量特征，将特征类型为目标特征类型的流量特征作为待处理流量特征，确定与所述目标特征类型对应的行为判定标准，基于所述行为判定标准对所述待处理流量特征进行恶意文件下载行为的检测。

在一实施例中，所述恶意行为的检测装置还包括：

次序建立模块，用于基于第二预设决策树算法分别根据所述预设特征类型对应的信息增益确定与所述预设特征类型对应的优先级；通过所述优先级构成预设遍历次序。

在一实施例中，所述行为检测模块30，还用于读取所述预设遍历次序中依次排序的下载文件格式类型，基于所述预设遍历次序遍历所述流量特征；将特征类型为所述下载文件格式类型的流量特征作为待处理流量特征，确定与所述下载文件格式类型对应的行为判定标准，基于所述行为判定标准对所述待处理流量特征进行恶意文件下载行为的检测。

本发明所述恶意行为的检测装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者***不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者***所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者***中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序，可将这些词语解释为名称。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器、RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种恶意行为的检测方法，其特征在于，所述恶意行为的检测方法包括以下步骤：

获取待检测流量；

2.如权利要求1所述的恶意行为的检测方法，其特征在于，所述获取待检测流量之前，所述恶意行为的检测方法还包括：

获取包含恶意文件下载行为的恶意访问流量样本；

从所述恶意访问流量样本中提取访问特征；

根据所述访问特征建立预设行为检测模型。

3.如权利要求2所述的恶意行为的检测方法，其特征在于，所述获取包含恶意文件下载行为的恶意访问流量样本之后，所述恶意行为的检测方法还包括：

从所述恶意访问流量样本中提取超文本传输协议HTTP流量；

所述从所述恶意访问流量样本中提取访问特征，具体包括：

从所述HTTP流量中提取访问特征。

4.如权利要求2所述的恶意行为的检测方法，其特征在于，所述根据所述访问特征建立预设行为检测模型，具体包括：

5.如权利要求1至4中任一项所述的恶意行为的检测方法，其特征在于，所述通过预设行为检测模型对所述流量特征进行恶意文件下载行为的检测，具体包括：

获取所述流量特征的预设遍历次序；

6.如权利要求5所述的恶意行为的检测方法，其特征在于，所述获取所述流量特征的预设遍历次序之前，所述恶意行为的检测方法还包括：

通过所述优先级构成预设遍历次序。

7.如权利要求5所述的恶意行为的检测方法，其特征在于，所述基于所述预设遍历次序遍历所述流量特征，将特征类型为目标特征类型的流量特征作为待处理流量特征，确定与所述目标特征类型对应的行为判定标准，基于所述行为判定标准对所述待处理流量特征进行恶意文件下载行为的检测，具体包括：

8.一种用户设备，其特征在于，所述用户设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行恶意行为的检测程序，所述恶意行为的检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的恶意行为的检测方法的步骤。

9.一种存储介质，其特征在于，所述存储介质上存储有恶意行为的检测程序，所述恶意行为的检测程序被处理器执行时实现如权利要求1至7中任一项所述的恶意行为的检测方法的步骤。

10.一种恶意行为的检测装置，其特征在于，所述恶意行为的检测装置包括：

流量检测模块，用于获取待检测流量；