• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 16
    • 下载费用:20 金币  

    重庆时时彩龙虎合走势: 用于检测恶意程序的判定模型及恶意程序的检测方法.pdf

    摘要
    申请专利号:

    重庆时时彩单双窍门 www.4mum.com.cn CN201410137169.1

    申请日:

    2014.04.04

    公开号:

    CN103927483A

    公开日:

    2014.07.16

    当前法律状态:

    授权

    有效性:

    有权

    法律详情: 授权|||实质审查的生效IPC(主分类):G06F 21/56申请日:20140404|||公开
    IPC分类号: G06F21/56(2013.01)I 主分类号: G06F21/56
    申请人: 西安电子科技大学
    发明人: 宋建锋; 苗启广; 刘家辰; 曹莹; 王维炜; 张浩; 杨晔; 汪梁
    地址: 710071 陕西省西安市太白南路2号
    优先权:
    专利代理机构: 西安恒泰知识产权代理事务所 61216 代理人: 史玫
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201410137169.1

    授权公告号:

    ||||||

    法律状态公告日:

    2016.11.16|||2014.08.13|||2014.07.16

    法律状态类型:

    授权|||实质审查的生效|||公开

    摘要

    本发明涉及用于检测恶意程序的判定模型及恶意程序的检测方法。所涉及的用于检测恶意程序的判定模型的建立方法包括规则生成和机器学习算法训练,其中规则生成是将由“恶意程序”样本集和“非恶意程序”样本集组成的训练样本集在API调用层、基本抽象行为层和业务抽象行为层生成判定规则集合,所述判定规则集合包括API调用层判定规则、基本抽象行为层判定规则和业务抽象行为层判定规则;机器学习算法训练是使用OCSVM算法训练模型,得到OCSVM算法模型。所涉及的恶意程序的检测方法是利用所涉及的判定模型对待检测程序进行判定。本发明的技术方案具有多层次和系统化的特点,在各步骤有效控制误检,提高了恶意程序行为检测在实际计算机安全问题中应用的可行性。

    权利要求书

    权利要求书
    1.  一种用于监测恶意程序的判定模型,其特征在于,该判定模型包括判定规则集合和训练模型,该判定模型建立方法包括: 
    步骤一,判定规则生成: 
    将由“恶意程序”样本集和“非恶意程序”样本集组成的训练样本集在API调用层、基本抽象行为层和业务抽象行为层生成判定规则集合,所述判定规则集合包括API调用层判定规则、基本抽象行为层判定规则和业务抽象行为层判定规则: 
    (1.1)将训练样本集在API调用层生成API调用层判定规则,该API调用层判定规则包括API调用层独立规则、API调用层敏感规则和API调用层可疑规则: 
    ①统计训练样本集中出现的API调用,得到所有出现过的API调用; 
    ②针对每一个出现过的API调用,分别进行如下处理: 
    分别计算当前API调用在“恶意程序”样本集中出现的概率和“非恶意程序”样本集中出现的概率,并计算该API调用的误检风险比率: 
    当前API调用在“恶意程序”样本集中出现的概率=当前API调用在“恶意程序”样本集中出现的次数÷“恶意程序”样本集中的总样本数, 
    当前API调用在“非恶意程序”样本集中出现的概率=当前API调用在“非恶意程序”样本集中出现的次数÷“非恶意程序”样本集中的总样本数, 
    当前API调用的误检风险比率=当前API调用在“非恶意程序”样本集中出现的次数÷当前API调用在“恶意程序”样本集中出现的次数, 
    如当前API调用的误检风险比率为r1,且当前API调用在“恶意程序”样本集中出现的概率大于d1,则该当前API调用定义为API调用层独立规则,其中:0≤r1≤0.05,0.2≤d1≤0.4; 
    如当前API调用的误检风险比率为r2,且当前API调用在“恶意程序”样本集中出现的概率大于d2,则该当前API调用定义为API调用层敏感规则,其中:0≤r2≤0.05,0.15≤d2≤0.35; 
    如当前API调用的误检风险比率为r3,且当前API调用在“恶意程序”样本集中出现的概率大于d3,则该当前API调用定义为API调用层可疑规则,其中:0≤r3≤0.05,0.1≤d3≤0.3; 
    (1.2)将训练样本集在基本抽象行为层生成基本抽象行为层判定规则,该基本抽象行为层判定规则包括独立基本抽象行为判定规则、敏感基本抽象行为判定规则和可疑基本抽象行为判定规则: 
    ①统计训练样本集中出现的基本抽象行为,得到所有出现过的基本抽象行为; 
    ②针对每一个出现过的基本抽象行为分别进行如下处理: 
    分别计算当前基本抽象行为在“恶意程序”样本集中出现的概率和“非恶意程序”样本集中出现的概率,并计算该基本抽象行为的误检风险比率: 
    当前基本抽象行为在“恶意程序”样本集中出现的概率=当前基本抽象行为在“恶意程序”样本集中出现的次数÷“恶意程序”样本集中的总样本数, 
    当前基本抽象行为在“非恶意程序”样本集中出现的概率=当前基本抽象行为在“非恶意程序”样本集中出现的次数÷“非恶意程序”样本集中的总样本数, 
    当前基本抽象行为的误检风险比率=当前基本抽象行为在“非恶意程序”样本集中出现的次数÷当前基本抽象行为在“恶意程序”样本集中出现的次数, 
    如当前基本抽象行为的误检风险比率为r4,且当前基本抽象行为在“恶意程序”样本集中出现的概率大于d4,则该当前基本抽象行为定义为独立基本抽象行为判定规则,其中:0≤r4≤0.05,0.2≤d4≤0.4; 
    如当前基本抽象行为的误检风险比率为r5,且当前基本抽象行为在“恶意程序” 样本集中出现的概率大于d5,则该当前基本抽象行为定义为敏感基本抽象行为判定规则,其中:0≤r5≤0.05,0.15≤d5≤0.35; 
    如当前基本抽象行为的误检风险比率为r6,且当前基本抽象行为在“恶意程序”样本集中出现的概率大于d6,则该当前基本抽象行为定义为可疑基本抽象行为判定规则,其中:0≤r6≤0.05,0.1≤d6≤0.3; 
    (1.3)将训练样本集在基本抽象行为层生成业务抽象行为层判定规则,该业务抽象行为层判定规则包括独立业务抽象行为判定规则、敏感业务抽象行为判定规则和可疑业务抽象行为判定规则: 
    ①统计训练样本集中出现的业务抽象行为,得到所有出现过的业务抽象行为; 
    ②针对每一个出现过的业务抽象行为分别进行如下处理: 
    分别计算当前业务抽象行为在“恶意程序”样本集和“非恶意程序”样本集中出现的概率,并计算该业务抽象行为的误检风险比率: 
    当前业务抽象行为在“恶意程序”样本集中出现的概率=当前业务抽象行为在“恶意程序”样本集中出现的次数÷“恶意程序”样本集中的总样本数, 
    当前业务抽象行为在“非恶意程序”样本集中出现的概率=当前业务抽象行为在“非恶意程序”样本集中出现的次数÷“非恶意程序”样本集中的总样本数, 
    当前业务抽象行为的误检风险比率=当前业务抽象行为在“非恶意程序”样本集中出现的次数÷当前业务抽象行为在“恶意程序”样本集中出现的次数, 
    如当前业务抽象行为的误检风险比率为r7,且当前业务抽象行为在“恶意程序”样本集中出现的概率大于d7,则该当前业务抽象行为定义为独立业务抽象行为判定规则,其中:0≤r7≤0.05,0.2≤d7≤0.4; 
    如当前业务抽象行为的误检风险比率为r8,且当前业务抽象行为在“恶意程序”样本集中出现的概率大于d8,则该当前业务抽象行为定义为敏感业务抽象行为判定 规则,其中:0≤r8≤0.05,0.15≤d8≤0.35; 
    如当前业务抽象行为的误检风险比率为r9,且当前业务抽象行为在“恶意程序”样本集中出现的概率大于d9,则该当前业务抽象行为定义为可疑业务抽象行为判定规则,其中:0≤r9≤0.05,0.1≤d9≤0.3。 
    步骤二,机器学习算法训练 
    (2.1)样本整理:将训练样本集中的样本数据整理为OCSVM算法能够处理的特征串格式; 
    (2.2)参数选择:对OCSVM模型中RBF核函数的核带宽进行参数选择,RBF核函数的核带宽选择范围是{2k},其中k的取值范围是[-m,m]内的整数,5≤m≤30; 
    (2.3)模型训练:基于步骤(2.2)选出的RBF核参数,将样本特征从原空间映射到特征空间,并使用超平面模型区分特征空间点与特征空间原点,通过解优化得到超平面与原点距离最大的位置,得到函数(Ⅰ): 
    f(x)=sgn((ω·Φ(x))-ρ)  (Ⅰ) 
    其中: 
    x是样本对应的特征向量, 
    Φ(x)是RBF核函数对应的映射函数,用于将原空间的特征点映射至高维的RKHS中, 
    ω是OCSVM核心优化问题求解得到的参数, 
    ρ为RKHS中原点到决策平面的距离,用于确定正类与负类间决策边界的位置,其中正类指的是恶意程序类,负类指的是非恶意程序类。 

    2.  如权利要求1所述的用于监测恶意程序的判定模型,其特征在于,所述判定 模型建立方法包括: 
    测试步骤一的误检率,若误检率不符合要求,则调整r1、r2、r3、r4、r5、r6、r7、r8、r9、d1、d2、d3、d4、d5、d6、d7、d8和d9的取值,执行步骤一,直至误检率符合要求。 

    3.  如权利要求1所述的用于监测恶意程序的判定模型,其特征在于,所述判定模型建立方法包括: 
    测试步骤二的误检率,若误检率不符合要求,则调整m的取值,执行步骤二,直至误检率符合要求。 

    4.  如权利要求1所述的用于监测恶意程序的判定模型,其特征在于,使用2迭、5迭或10迭交叉验证流程,对OCSVM模型中RBF核函数的核带宽进行参数选择。 

    5.  一种恶意程序行为检测方法,其特征在于,方法包括: 
    (1)测试一,规则判定: 
    测试a、API调用层判定: 
    将待检测样本API调用层中的API调用与已经生成的API调用规则进行比对,至少满足以下任一条件则可以判为恶意程序: 
    (a1)待检测样本API调用层中的1个或以上的API调用属于独立API层判定规则; 
    (a2)待检测样本API调用层中的4个或以上的API调用属于敏感API层判定规则; 
    (a3)待检测样本API调用层中的8个或以上的API调用属于可疑API层判定规则; 
    测试b、基本抽象行为层判定: 
    将待检测样本的基本抽象行为与已经生成的基本抽象行为层规则进行比对,至少满足以下任一条件则可以判为恶意程序: 
    (b1)待检测样本的基本抽象行为中的1个或以上的基本抽象行为属于独立基本抽象行为判定规则; 
    (b2)待检测样本的基本抽象行为中的3个或以上的基本抽象行为属于敏感基本抽象行为判定规则; 
    (b3)待检测样本的基本抽象行为中的7个或以上的基本抽象行为属于可疑基本抽象行为判定规则; 
    测试c、业务抽象行为层判定: 
    将待检测样本的业务抽象行为与已经生成的业务抽象行为层规则进行比对,至少满足以下任一条件则可以判为恶意程序: 
    (c1)将待检测样本的业务抽象行为中的1个或以上的业务抽象行为属于独立业务抽象行为判定规则; 
    (c2)将待检测样本的业务抽象行为中的3个或以上的业务抽象行为属于敏感业务抽象行为判定规则; 
    (c3)将待检测样本的业务抽象行为中的5个或以上的业务抽象行为属于可疑业务抽象行为判定规则; 
    所述测试a、测试b和测试c三个测试中至少一个测试得出待检测样本为恶意程序,则测试一的测试结果为:待检测样本为恶意程序; 
    (2)测试二,使用函数(Ⅰ)对待检测样本进行判定,f(x)>0时,则测 试二的测试结果为:待检测样本属于恶意程序,f(x)<0时,则测试二的测试结果为:待检测样本属于非恶意程序; 
    (3)如测试一的测试结果是待检测样本为恶意程序,不执行测试二,直接判定待检测样本属于恶意程序;如测试一的测试结果是待检测样本为非恶意程序,则最终判定以测试二的测试结果为准。 

    6.  一种恶意程序行为检测方法,其特征在于,权利要求5所述的恶意程序行为检测方法中步骤(3)用以下步骤代替: 
    如测试一和测试二的测试结果均是待检测样本为恶意程序,则判定待检测样本为恶意程序,否则判定待检测样本为非恶意程序。 

    7.  如权利要求5或6所述的恶意程序行为检测方法,其特征在于,按照测试c,测试b、测试a的顺序对待检测样本进行测试。 

    关 键 词:
    用于 检测 恶意程序 判定 模型 方法
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    0条评论

    还可以输入200字符

    暂无评论,赶快抢占沙发吧。

    关于本文
    本文标题:用于检测恶意程序的判定模型及恶意程序的检测方法.pdf
    链接地址://www.4mum.com.cn/p-6117128.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03