• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 18
    • 下载费用:30 金币  

    重庆时时彩套利2.2骗局: 恶意程序检测方法及装置.pdf

    关 键 词:
    恶意程序 检测 方法 装置
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201710028464.7

    申请日:

    2017.01.13

    公开号:

    CN106778277A

    公开日:

    2017.05.31

    当前法律状态:

    实审

    有效性:

    审中

    法律详情: 实质审查的生效IPC(主分类):G06F 21/56申请日:20170113|||公开
    IPC分类号: G06F21/56(2013.01)I 主分类号: G06F21/56
    申请人: 北京邮电大学
    发明人: 崔宝江; 李鹏飞
    地址: 100876 北京市海淀区西土城路10号
    优先权:
    专利代理机构: 北京超凡志成知识产权代理事务所(普通合伙) 11371 代理人: 朱文杰
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201710028464.7

    授权公告号:

    |||

    法律状态公告日:

    2017.06.23|||2017.05.31

    法律状态类型:

    实质审查的生效|||公开

    摘要

    本发明提供了一种恶意程序检测方法及装置,涉及系统安全与网络安全的技术领域,该方法包括:获取待检测程序,提取所述待检测程序的特征;根据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量;利用训练好的分类器对所述特征向量进行检测,以确定所述待检测程序是否为恶意程序。本发明提供的恶意程序检测方法及装置,可以解决现有的恶意程序检测方法只能识别已知的恶意程序,无法有效地识别新型的恶意程序的技术问题。

    权利要求书

    1.一种恶意程序检测方法,其特征在于,包括:
    获取待检测程序,提取所述待检测程序的特征;
    根据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向
    量;
    利用训练好的分类器对所述特征向量进行检测,以确定所述待检测程序是否为恶意程
    序。
    2.根据权利要求1所述的方法,其特征在于,提取所述待检测程序的特征,包括:
    提取所述待检测程序的操作码,根据所述操作码确定所述待检测程序的特征。
    3.根据权利要求1所述的方法,其特征在于,根据所述待检测程序的特征和预先获得的
    特征库,确定所述待检测程序对应的特征向量,包括:
    在所述待检测程序的多个特征中,逐一查找所述特征库中的每个特征;
    当查找到所述特征库中的特征时,将所述特征库中被查找到的特征标记为第一预设
    值,否则,将所述特征库中未被查找到的特征标记为第二预设值;
    根据所述特征库中各个特征的标记结果和各个特征的排列顺序,确定所述待检测程序
    对应的特征向量。
    4.根据权利要求1至3中任一项所述的方法,其特征在于,所述特征库通过以下方法获
    得:
    获取满足预设样本要求的程序样本,提取所述程序样本的特征,其中,所述程序样本包
    括正常样本和恶意样本;
    对所述程序样本的特征进行筛选,得到分类效果满足预设分类要求的特征;
    将所述分类效果满足预设分类要求的特征进行组合,得到所述特征库。
    5.根据权利要求4所述的方法,其特征在于,所述分类器通过以下方式训练:
    根据所述程序样本的特征和所述特征库,确定所述程序样本对应的特征向量;
    根据所述程序样本对应的特征向量对所述分类器进行训练。
    6.一种恶意程序检测装置,其特征在于,包括:
    特征提取???,用于获取待检测程序,提取所述待检测程序的特征;
    特征向量确定???,用于根据所述待检测程序的特征和预先获得的特征库,确定所述
    待检测程序对应的特征向量;
    检测???,用于利用训练好的分类器对所述特征向量进行检测,以确定所述待检测程
    序是否为恶意程序。
    7.根据权利要求6所述的装置,其特征在于,所述特征提取??榫咛逵糜冢?br />提取所述待检测程序的操作码,根据所述操作码确定所述待检测程序的特征。
    8.根据权利要求6所述的装置,其特征在于,所述特征向量确定??榘ǎ?br />特征查找单元,用于在所述待检测程序的多个特征中,逐一查找所述特征库中的每个
    特征;
    标记单元,用于当所述特征查找单元查找到所述特征库中的特征时,将所述特征库中
    被查找到的特征标记为第一预设值,否则,将所述特征库中未被查找到的特征标记为第二
    预设值;
    第一确定单元,用于根据所述特征库中各个特征的标记结果和各个特征的排列顺序,
    确定所述待检测程序对应的特征向量。
    9.根据权利要求6至8中任一项所述的装置,其特征在于,所述装置还包括特征库建立
    ???,所述特征库建立??榘ǎ?br />
    特征提取单元,用于获取满足预设样本要求的程序样本,提取所述程序样本的特征,其
    中,所述程序样本包括正常样本和恶意样本;
    特征筛选单元,用于对所述程序样本的特征进行筛选,得到分类效果满足预设分类要
    求的特征;
    特征库建立单元,用于将所述分类效果满足预设分类要求的特征进行组合,得到所述
    特征库。
    10.根据权利要求9所述的装置,其特征在于,所述装置还包括训练???,所述训练???br />包括:
    第二确定单元,用于根据所述程序样本的特征和所述特征库,确定所述程序样本对应
    的特征向量;
    训练单元,用于根据所述程序样本对应的特征向量对所述分类器进行训练。

    说明书

    恶意程序检测方法及装置

    技术领域

    本发明涉及系统安全与网络安全技术领域,尤其是涉及一种恶意程序检测方法及
    装置。

    背景技术

    恶意程序通常是指带有攻击意图的一段程序,是编写者在计算机程序中插入的破
    坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程
    序代码,包括但不限于蠕虫、病毒和木马。现在计算机和通信基础设施非常容易遭受恶意程
    序的攻击,网络连接的高速发展使得恶意程序以更快的速度传播并感染主机,进而损害个
    人、商业公司和政府的利益。

    传统的恶意程序检测方法主要采用基于签名的方式,具体的检测过程如下:选取
    已知的恶意文件,从恶意文件中提取签名,其中,该签名为一些短小且唯一的字符串,然后
    将提取出的签名作为特征组成特征库;检测未知文件时,若未知文件包含特征库中的特征,
    则判定该未知文件为恶意程序;若未知文件不包含特征库中的特征,则判定该未知文件为
    正常程序。

    传统的恶意程序检测方法主要是通过检测未知文件中是否包含特征库中的特征
    来确定该未知文件是否为恶意程序,由于特征库中只存储有已知的恶意文件的特征,因此
    现有的恶意程序检测方法只能识别已知的恶意程序,无法有效地识别新型的恶意程序。

    发明内容

    有鉴于此,本发明的目的在于提供一种恶意程序检测方法及装置,以解决现有的
    恶意程序检测方法只能识别已知的恶意程序,无法有效地识别新型的恶意程序的技术问
    题。

    第一方面,本发明实施例提供了一种恶意程序检测方法,包括:获取待检测程序,
    提取所述待检测程序的特征;根据所述待检测程序的特征和预先获得的特征库,确定所述
    待检测程序对应的特征向量;利用训练好的分类器对所述特征向量进行检测,以确定所述
    待检测程序是否为恶意程序。

    结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,提
    取所述待检测程序的特征,包括:提取所述待检测程序的操作码,根据所述操作码确定所述
    待检测程序的特征。

    结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,根
    据所述待检测程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量,包
    括:在所述待检测程序的多个特征中,逐一查找所述特征库中的每个特征;当查找到所述特
    征库中的特征时,将所述特征库中被查找到的特征标记为第一预设值,否则,将所述特征库
    中未被查找到的特征标记为第二预设值;根据所述特征库中各个特征的标记结果和各个特
    征的排列顺序,确定所述待检测程序对应的特征向量。

    结合第一方面、第一方面的第一种、第一方面的第二种中任一种可能的实施方式,
    本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述特征库通过以下方法
    获得:获取满足预设样本要求的程序样本,提取所述程序样本的特征,其中,所述程序样本
    包括正常样本和恶意样本;对所述程序样本的特征进行筛选,得到分类效果满足预设分类
    要求的特征;将所述分类效果满足预设分类要求的特征进行组合,得到所述特征库。

    结合第一方面的第三种可能的实施方式,本发明实施例提供了第一方面的第四种
    可能的实施方式,其中,所述分类器通过以下方式训练:根据所述程序样本的特征和所述特
    征库,确定所述程序样本对应的特征向量;根据所述程序样本对应的特征向量对所述分类
    器进行训练。

    第二方面,本发明实施例还提供一种恶意程序检测装置,包括:特征提取???,用
    于获取待检测程序,提取所述待检测程序的特征;特征向量确定???,用于根据所述待检测
    程序的特征和预先获得的特征库,确定所述待检测程序对应的特征向量;检测???,用于利
    用训练好的分类器对所述特征向量进行检测,以确定所述待检测程序是否为恶意程序。

    结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,其中,所
    述特征提取??榫咛逵糜冢禾崛∷龃觳獬绦虻牟僮髀?,根据所述操作码确定所述待检
    测程序的特征。

    结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,其中,所
    述特征向量确定??榘ǎ禾卣鞑檎业ピ?,用于在所述待检测程序的多个特征中,逐一查找
    所述特征库中的每个特征;标记单元,用于当所述特征查找单元查找到所述特征库中的特
    征时,将所述特征库中被查找到的特征标记为第一预设值,否则,将所述特征库中未被查找
    到的特征标记为第二预设值;第一确定单元,用于根据所述特征库中各个特征的标记结果
    和各个特征的排列顺序,确定所述待检测程序对应的特征向量。

    结合第二方面、第二方面的第一种、第二方面的第二种中任一种可能的实施方式,
    本发明实施例提供了第二方面的第三种可能的实施方式,其中,所述装置还包括特征库建
    立???,所述特征库建立??榘ǎ?br />

    特征提取单元,用于获取满足预设样本要求的程序样本,提取所述程序样本的特
    征,其中,所述程序样本包括正常样本和恶意样本;特征筛选单元,用于对所述程序样本的
    特征进行筛选,得到分类效果满足预设分类要求的特征;特征库建立单元,用于将所述分类
    效果满足预设分类要求的特征进行组合,得到所述特征库。

    结合第二方面的第三种可能的实施方式,本发明实施例提供了第二方面的第四种
    可能的实施方式,其中,所述装置还包括训练???,所述训练??榘ǎ?br />

    第二确定单元,用于根据所述程序样本的特征和所述特征库,确定所述程序样本
    对应的特征向量;训练单元,用于根据所述程序样本对应的特征向量对所述分类器进行训
    练。

    本发明实施例带来了以下有益效果:

    在本发明实施例中,获取待检测程序,提取待检测程序的特征,根据待检测程序的
    特征和预先获得的特征库,确定待检测程序对应的特征向量,利用训练好的分类器对该特
    征向量进行检测,以确定该待检测程序是否为恶意程序。由于已知的恶意程序和未知的恶
    意程序具有共同的行为模式,训练好的分类器可以根据待检测程序对应的特征向量,来识
    别该待检测程序是否具有恶意程序的共同的行为模式,从而确定该待检测程序是否为恶意
    程序,因此通过本发明实施例提供的恶意程序检测方法及装置,不仅可以准确地识别已知
    的恶意程序,也可以有效地识别新型的恶意程序,从而解决现有的恶意程序检测方法只能
    识别已知的恶意程序,无法有效地识别新型的恶意程序的技术问题。

    本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变
    得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书
    以及附图中所特别指出的结构来实现和获得。

    为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合
    所附附图,作详细说明如下。

    附图说明

    为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体
    实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的
    附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前
    提下,还可以根据这些附图获得其他的附图。

    图1为本发明第一实施例提供的恶意程序检测方法的流程示意图;

    图2为本发明第一实施例提供的恶意程序检测方法中确定特征向量的流程示意
    图;

    图3为本发明第一实施例提供的建立特征库的流程示意图;

    图4为本发明第一实施例提供的训练分类器的流程示意图;

    图5a为本发明第一实施例提供的不同恶意样本占比对应的准确度的实验结果示
    意图;

    图5b为本发明第一实施例提供的不同恶意样本占比对应的召回率的实验结果示
    意图;

    图5c为本发明第一实施例提供的不同恶意样本占比对应的漏报率的实验结果示
    意图;

    图6a为本发明第一实施例提供的不同程序样本数量对应的准确度的实验结果示
    意图;

    图6b为本发明第一实施例提供的不同程序样本数量对应的召回率的实验结果示
    意图;

    图6c为本发明第一实施例提供的不同程序样本数量对应的漏报率的实验结果示
    意图;

    图7a为本发明第一实施例提供的不同特征筛选算法对应的准确度的实验结果示
    意图;

    图7b为本发明第一实施例提供的不同特征筛选算法对应的召回率的实验结果示
    意图;

    图7c为本发明第一实施例提供的不同特征筛选算法对应的漏报率的实验结果示
    意图;

    图8为本发明第二实施例提供的恶意程序检测装置的??樽槌墒疽馔?;

    图9为本发明第二实施例提供的恶意程序检测装置中特征向量确定??榈牡ピ?br />成示意图。

    具体实施方式

    为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明
    的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是
    全部的实施例?;诒痉⒚髦械氖凳├?,本领域普通技术人员在没有做出创造性劳动前提
    下所获得的所有其他实施例,都属于本发明?;さ姆段?。

    目前传统的恶意程序检测方法主要是通过检测未知文件中是否包含特征库中的
    特征来确定该未知文件是否为恶意程序,由于特征库中只存储有已知的恶意文件的特征,
    因此现有的恶意程序检测方法只能识别已知的恶意程序,无法有效地识别新型的恶意程
    序?;诖?,本发明实施例提供的一种恶意程序检测方法及装置,可以解决现有的恶意程序
    检测方法只能识别已知的恶意程序,无法有效地识别新型的恶意程序的技术问题。

    为便于对本实施例进行理解,首先对本发明实施例所公开的一种恶意程序检测方
    法进行详细介绍。

    实施例一:

    图1为本发明第一实施例提供的恶意程序检测方法的流程示意图,如图1所示,该
    方法包括以下步骤:

    步骤S110,获取待检测程序,提取待检测程序的特征。

    获取需要进行恶意程序检测的待检测程序,提取该待检测程序的操作码,根据该
    操作码确定该待检测程序的特征。

    具体地,对待检测程序进行反汇编,可以利用OD、IDA Pro、radare2、DEBUG、C32等
    反汇编工具。根据反汇编的结果对该待检测程序进行操作码的提取和解析,即提取出操作
    码后,将提取出的操作码映射成操作码数字,多个操作码数字组合形成操作码数字序列。例
    如:编写JAVA程序进行操作码的提取,再根据预设的操作码和数字对应关系进行操作码的
    解析,若预设的操作码和数字对应关系为MOV对应数字1,PUSH对应数字2,POP对应数字3,
    XCHG对应数字4,XLAT对应数字5,待检测程序包含的操作码依次为MOV、PUSH、POP、XCHG和
    XLAT,则待检测程序对应的操作码数字序列为1.2.3.4.5。

    根据上述获得的操作码数字序列,可以采用N-Gram算法对待检测程序进行特征的
    快速提取。优选地,N-Gram算法中,元操作码N的取值为1至15,该N值表示提取出的每个特征
    所包括的操作码数字的个数。例如:N取值为3,待检测程序对应的操作码数字序列为
    1.2.3.4.5,则提取出的特征为1.2.3,2.3.4,3.4.5。

    步骤S120,根据待检测程序的特征和预先获得的特征库,确定该待检测程序对应
    的特征向量。

    图2为本发明第一实施例提供的恶意程序检测方法中确定特征向量的流程示意
    图,如图2所示,步骤S120具体包括以下三个步骤:

    步骤S121,在待检测程序的多个特征中,逐一查找特征库中的每个特征。

    步骤S122,当查找到特征库中的特征时,将特征库中被查找到的特征标记为第一
    预设值,否则,将特征库中未被查找到的特征标记为第二预设值。

    步骤S123,根据特征库中各个特征的标记结果和各个特征的排列顺序,确定待检
    测程序对应的特征向量。

    具体地,特征库中包括按照一定顺序排列的多个特征,本实施例中,在待检测程序
    的多个特征中,逐一查找特征库中的每个特征,根据查找结果对特征库中的每个特征的值
    进行标记,由于特征库中的多个特征按照一定顺序排列,因此标记结束后,能够根据特征库
    中各个特征的值,得到一个向量,该向量即为待检测程序对应的特征向量,显然该特征向量
    的维度与特征库中包含的特征个数相同。

    例如,特征库中包含依次排列的5个特征,第一预设值为1,第二预设值为0,其中,
    特征库中的第一个和第三个特征在该待检测程序的多个特征中被查找到,其他特征未被查
    找到,则该待检测程序对应的特征向量为(1,0,1,0,0)。

    步骤S130,利用训练好的分类器对上述特征向量进行检测,以确定待检测程序是
    否为恶意程序。

    具体地,利用训练好的分类器对上述特征向量进行检测,可以得到待检测程序是
    否为恶意程序的检测结果,分类器的准确度、召回率和漏报率可以为检测结果的可靠性提
    供参考。

    基于上述分析可知,本发明实施例提供的恶意程序检测方法具有以下有益效果:

    在本发明实施例中,获取待检测程序,提取待检测程序的特征,根据待检测程序的
    特征和预先获得的特征库,确定待检测程序对应的特征向量,利用训练好的分类器对该特
    征向量进行检测,以确定该待检测程序是否为恶意程序。由于已知的恶意程序和未知的恶
    意程序具有共同的行为模式,训练好的分类器可以根据待检测程序对应的特征向量,来识
    别该待检测程序是否具有恶意程序的共同的行为模式,从而确定该待检测程序是否为恶意
    程序,因此通过本发明实施例提供的恶意程序检测方法,不仅可以准确地识别已知的恶意
    程序,也可以有效地识别新型的恶意程序,从而解决现有的恶意程序检测方法只能识别已
    知的恶意程序,无法有效地识别新型的恶意程序的技术问题。

    图3为本发明第一实施例提供的建立特征库的流程示意图,如图3所示,上述特征
    库可以通过步骤S210、S220和S230建立:

    步骤S210,获取满足预设样本要求的程序样本,提取该程序样本的特征,其中,该
    程序样本包括正常样本和恶意样本。

    具体地,程序样本的获取包括但不限于以下方式:从已有的病毒库中下载多个病
    毒程序作为恶意样本,从Windows XP系统内下载多个系统程序作为正常样本。利用静态分
    析软件进行样本预处理。对获取的程序样本进行批量查壳,可以采用PEiD、Detect it Easy
    或者Fast Scanner等查壳工具。对获取的程序样本进行查壳后,从该程序样本中筛选满足
    预设样本要求的程序样本,其中,满足预设样本要求的程序样本为无壳样本,无壳样本包括
    不带壳样本,还可以包括脱壳后样本。为方便处理,优选地,满足预设样本要求的程序样本
    为不带壳样本。

    提取上述满足预设样本要求的程序样本的特征,提取特征的具体过程与步骤S110
    相同,此处不再赘述。

    步骤S220,对上述程序样本的特征进行筛选,得到分类效果满足预设分类要求的
    特征。

    具体地,可以采用但不限于信息增益算法,对上述程序样本的特征进行筛选。一个
    特征的信息增益越大,分类效果越好,根据基于信息增益的特征筛选算法,可以得到按分类
    效果由好到差排序的多个特征,在该程序样本的多个特征中选取分类效果满足预设分类要
    求的特征,例如选取前50个分类效果较好的特征。

    步骤S230,将分类效果满足预设分类要求的特征进行组合,得到特征库。

    具体地,可以但不限于按照分类效果的排序,将满足预设分类要求的特征组成特
    征库,例如,按照分类效果由好到差的顺序,将满足预设分类要求的特征排序,得到特征库。

    图4为本发明第一实施例提供的训练分类器的流程示意图,如图4所示,上述训练
    好的分类器可以通过以下步骤进行训练:

    步骤S310,根据上述程序样本的特征和特征库,确定该程序样本对应的特征向量。

    根据步骤S210得到的程序样本的特征和步骤S230得到的特征库,将程序样本中的
    正常样本和恶意样本转化成分类器可以识别的向量形式,确定该程序样本对应的特征向
    量,具体过程与步骤S120相同,此处不再赘述。

    步骤S320,根据该程序样本对应的特征向量对分类器进行训练。

    具体地,将步骤S310得到的该程序样本对应的特征向量输入分类器中,可以采用
    基于网格搜索法的支持向量机分类算法对分类器进行参数调优,使得分类器获得较好的分
    类效果。

    训练好的分类器可以进行周期性的更新,以提高分类器的准确度和召回率,降低
    漏报率。

    本发明实施例提供了分类器的准确度、召回率和漏报率分别与N-Gram算法中元操
    作码N取值的关系的实验结果。

    图5a、图5b和图5c分别为不同恶意样本占比对应的准确度、召回率和漏报率的实
    验结果示意图,其中,恶意样本占比包括30%、40%、50%、60%和70%,训练分类器的程序
    样本数量为800,采用信息增益算法。

    从图5a的准确度的实验结果示意图中可以看出:恶意样本占比为50%或者60%
    时,准确度均明显高于其他占比情况的准确度,其中,当N取值为1至7中任一值时,准确度较
    高,为0.98左右,当N大于7时,准确度逐渐降低至0.88左右。恶意样本占比为30%时,整体的
    准确度较低。

    从图5b的召回率的实验结果示意图中可以看出:恶意样本占比为50%、60%或者
    70%时,召回率均明显高于其他占比情况的召回率,其中,当N取值为1至8中任一值时,召回
    率较高,为0.99左右,当N大于8时,召回率稍微降低至0.96左右。

    从图5c的漏报率的实验结果示意图中可以看出:恶意样本占比为30%、40%、50%
    以及60%时,漏报率均明显低于占比为70%的漏报率,其中当N取值为1至7时,漏报率较低,
    为0.02左右,当N大于7时,漏报率随N的增大而升高至0.18左右。

    因此,本实施例中的最佳恶意样本占比为50%,N取值为1至7。

    图6a、图6b和图6c分别为不同程序样本数量对应的准确度、召回率和漏报率的实
    验结果示意图,其中,程序样本数量包括400、600和800,恶意样本占比为50%,采用信息增
    益算法。

    从图6a的准确度的实验结果示意图中可以看出:程序样本数量为800时,准确度大
    于其他情况,其中,当N取值为1至7中任一值时,准确度较高,为0.98左右,当N大于7时,准确
    度逐渐降低至0.88左右。

    从图6b的召回率的实验结果示意图中可以看出:程序样本数量为800时,召回率高
    于其他情况,其中,当N取值为1至8中任一值时,召回率较高,为0.99左右,当N大于8时,召回
    率稍微降低至0.96左右。

    从图6c的漏报率的实验结果示意图中可以看出:当N取值为1至6中任一值时,不同
    程序样本数量的漏报率基本一致,为0.01左右。当N大于8时,漏报率显著升高,可达0.2。

    因此,本实施例中的最佳程序样本数量为800,N取值为1至7。根据本实验结果可以
    推测,程序样本数量越多,训练出的分类器的分类效果越好。

    图7a、图7b和图7c分别为不同特征筛选算法对应的准确度、召回率和漏报率的实
    验结果示意图,其中,特征筛选算法包括信息增益算法和绝对比例区分算法(CPD),恶意样
    本占比为50%,程序样本数量为800。

    从图7a、图7b和图7c中可以看出,信息增益算法在准确度、召回率、漏报率三个方
    面均明显优于绝对比例区分算法,且当N取值为1至7时,效果较好。

    综合上述实验结果可知,当元操作码N取值为1至7,恶意样本占比为50%,程序样
    本数量为800,采用信息增益算法时,获得的分类器的分类效果较好。

    实施例二:

    图8为本发明第二实施例提供的恶意程序检测装置的??樽槌墒疽馔?,如图8所
    示,该恶意程序检测装置包括:特征提取???0,用于获取待检测程序,提取待检测程序的
    特征;特征向量确定???0,用于根据待检测程序的特征和预先获得的特征库,确定待检测
    程序对应的特征向量;检测???0,用于利用训练好的分类器对该特征向量进行检测,以确
    定该待检测程序是否为恶意程序。

    其中,特征提取???0具体用于:提取待检测程序的操作码,根据该操作码确定待
    检测程序的特征。

    图9为本发明第二实施例提供的恶意程序检测装置中特征向量确定??榈牡ピ?br />成示意图,如图9所示,特征向量确定???0包括:特征查找单元21,用于在待检测程序的多
    个特征中,逐一查找特征库中的每个特征;标记单元22,用于当特征查找单元21查找到特征
    库中的特征时,将特征库中被查找到的特征标记为第一预设值,否则,将特征库中未被查找
    到的特征标记为第二预设值;第一确定单元23,用于根据特征库中各个特征的标记结果和
    各个特征的排列顺序,确定待检测程序对应的特征向量。

    基于上述分析可知,本发明实施例提供的恶意程序检测装置具有以下有益效果:

    在本发明实施例中,特征提取???0获取待检测程序,提取待检测程序的特征,特
    征向量确定???0根据待检测程序的特征和预先获得的特征库,确定待检测程序对应的特
    征向量,检测???0利用训练好的分类器对该特征向量进行检测,以确定该待检测程序是
    否为恶意程序。由于已知的恶意程序和未知的恶意程序具有共同的行为模式,训练好的分
    类器可以根据待检测程序对应的特征向量,来识别该待检测程序是否具有恶意程序的共同
    的行为模式,从而确定该待检测程序是否为恶意程序,因此通过本发明实施例提供的恶意
    程序检测装置,不仅可以准确地识别已知的恶意程序,也可以有效地识别新型的恶意程序,
    从而解决现有的恶意程序检测方法只能识别已知的恶意程序,无法有效地识别新型的恶意
    程序的技术问题。

    本发明实施例提供的装置还包括特征库建立???,该特征库建立??榘ǎ禾卣?br />提取单元,用于获取满足预设样本要求的程序样本,提取该程序样本的特征,其中,该程序
    样本包括正常样本和恶意样本;特征筛选单元,用于对程序样本的特征进行筛选,得到分类
    效果满足预设分类要求的特征;特征库建立单元,用于将分类效果满足预设分类要求的特
    征进行组合,得到特征库。

    本发明实施例提供的装置还包括训练???,该训练??榘ǎ旱诙范ǖピ?,用于
    根据程序样本的特征和特征库,确定该程序样本对应的特征向量;训练单元,用于根据程序
    样本对应的特征向量对分类器进行训练。

    本发明实施例提供的恶意程序检测装置,与上述实施例提供的恶意程序检测方法
    具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。

    本发明实施例所提供的恶意程序检测方法及装置的计算机程序产品,包括存储了
    程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中
    所述的方法,具体实现可参见方法实施例,在此不再赘述。

    所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置
    的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。

    所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以
    存储在一个计算机可读取存储介质中?;谡庋睦斫?,本发明的技术方案本质上或者说
    对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计
    算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个
    人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
    而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存
    储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

    在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、
    “水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了
    便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、
    以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、
    “第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。

    最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明
    的技术方案,而非对其限制,本发明的?;し段Р⒉痪窒抻诖?,尽管参照前述实施例对本发
    明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员
    在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻
    易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使
    相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的?;?br />范围之内。因此,本发明的?;し段вλ鲆匀ɡ蟮谋;し段?。

    关于本文
    本文标题:恶意程序检测方法及装置.pdf
    链接地址://www.4mum.com.cn/p-6021014.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 包胆毒胆 pk10预测软件破解 火龙果分分彩计划软件下载 双色球组选计算公式 现在什么计划软件好用 腾讯分分彩龙虎计划软件 11选5 任一 追号稳赚 体彩停止电子投注 飞艇冠军5码一期计划 女篮亚洲杯赛程 pk10单双稳赚技巧 江苏快3微信群稳赚 河内五分彩稳赚技巧 11选5稳赚任6 幸运28挂机稳赚 竞彩足球混合投注规则