本发明公开了一种恶意网络流量词库的建立方法及建立系统;获取正常流量的内容,对获取到的正常流量的内容进行分词,得到正常流量的正常词集;获取恶意流量的内容,对获取到的恶意流量的内容进行分词,得到恶意流量的恶意词集;对正常流量的正常词集进行单词过滤,按照自定义的过滤规则过滤掉与恶意软件的检测无关的单词;对恶意流量的恶意词集进行单词过滤,按照自定义的过滤规则过滤掉与恶意软件的检测无关的单词;将正常词集和恶意词集进行汇总得到第一汇总词集,利用每个单词在正常词集和恶意词集中出现的频率,计算卡方值;利用卡方检验对第一汇总词集进行单词过滤,利用卡方值从第一汇总词集中挑选出恶意单词,组成恶意网络流量词库。
