[发明专利]用于检测恶意程序的判定模型及恶意程序的检测方法有效

专利信息
申请号: 201410137169.1 申请日: 2014-04-04
公开(公告)号: CN103927483B 公开(公告)日: 2016-11-16
发明(设计)人: 宋建锋;苗启广;刘家辰;曹莹;王维炜;张浩;杨晔;汪梁 申请(专利权)人: 西安电子科技大学
主分类号: G06F21/56 分类号: G06F21/56
代理公司: 西安恒泰知识产权代理事务所 61216 代理人: 史玫
地址: 710071*** 国省代码: 陕西;61
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 用于 检测 恶意程序 判定 模型 方法
【说明书】:

技术领域

本发明属于系统安全与网络安全相关领域,更进一步涉及恶意程序自动化分析和检测的方法。本发明利用已知少量恶意程序采样样本,自动建立规则库和机器学习算法判定模块,以多层次和严格控制误检的判定流程对未知恶意程序进行高准确度检测。

背景技术

在恶意程序分析和检测领域,为了解决静态特征码更新速度慢、无法应对变种和混淆恶意程序的问题,可采用规则判定或模式识别算法完成恶意程序检测。

腾讯科技(深圳)有限公司的专利申请“恶意文件检测的方法及装置”(专利号:201210222822,申请日:2012.11.07)中恶意文件检测的方法及装置。该方法可包括:获取被检测文件的文件属性;将获取的文件属性与预设的恶意文件属性类别库进行匹配,验证文件属性是否异常;当文件属性异常时,判定被检测文件为恶意文件并告警。该方法针对恶意文件,根据被检测文件自身的文件属性信息并结合预先建立的恶意文件属性类别库,对被检测文件体进行启发式的判断,准确及时的识别出恶意文件。该方法的恶意程序检测逻辑基于文件静态分析和预设的恶意文件属性类别库,不仅难以应对数目庞大的变种恶意程序,而且无法检测未知恶意程序。

张一驰等人在文献“张一弛,庞建民,赵荣彩.基于证据推理的程序恶意性判定方法[J].软件学报,23(12),3149-3160(2012)”中提出了一种采用证据推理完成程序恶意性判定的方法,是一种使用规则判定程序恶意性的方法。虽然该方法采用模糊推理取得了对变种和混淆恶意程序的判定能力,但规则判定方法本身的限制,以及该方法中采用的7个程序特征过于简单,其泛化能力依然无法得到有效保证。

彭宏等人在文献“彭宏,王军.基于支持向量机的病毒程序检测方法[J].电子学报,33(2),276-278(2005).”中提出了一种使用支持向量机检测恶意程序的方法,该方法虽然能够通过使用机器学习算法提高对未知恶意程序的检测能力,但实验结果表明其误检率较高,难以满足实际应用中对低误检率的严格要求。

综上所述,单纯基于特征码、基于规则或基于机器学习算法的恶意程序方法均存在各自的不足,如泛化检测能力的不足和误检控制能力的不足等。

发明内容

针对现有技术的缺陷或不足,本发明的目的之一是提供一种用于监测恶意程序的判定模型。

为此,本发明提供的用于监测恶意程序的判定模型,该判定模型包括判定规则集合和训练模型,该该判定模型建立方法包括:

步骤一,判定规则生成:

将由“恶意程序”样本集和“非恶意程序”样本集组成的训练样本集在API调用层、基本抽象行为层和业务抽象行为层生成判定规则集合,所述判定规则集合包括API调用层判定规则、基本抽象行为层判定规则和业务抽象行为层判定规则:

(1.1)将训练样本集在API调用层生成API调用层判定规则,该API调用层判定规则包括API调用层独立规则、API调用层敏感规则和API调用层可疑规则:

①统计训练样本集中出现的API调用,得到所有出现过的API调用;

②针对每一个出现过的API调用,分别进行如下处理:

分别计算当前API调用在“恶意程序”样本集中出现的概率和“非恶意程序”样本集中出现的概率,并计算该API调用的误检风险比率:

当前API调用在“恶意程序”样本集中出现的概率=当前API调用在“恶意程序”样本集中出现的次数÷“恶意程序”样本集中的总样本数,

当前API调用在“非恶意程序”样本集中出现的概率=当前API调用在“非恶意程序”样本集中出现的次数÷“非恶意程序”样本集中的总样本数,

当前API调用的误检风险比率=当前API调用在“非恶意程序”样本集中出现的次数÷当前API调用在“恶意程序”样本集中出现的次数,

如当前API调用的误检风险比率为r1,且当前API调用在“恶意程序”样本集中出现的概率大于d1,则该当前API调用定义为API调用层独立规则,其中:0≤r1≤0.05,0.2≤d1≤0.4;

如当前API调用的误检风险比率为r2,且当前API调用在“恶意程序”样本集中出现的概率大于d2,则该当前API调用定义为API调用层敏感规则,其中:0≤r2≤0.05,0.15≤d2≤0.35;

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西安电子科技大学,未经西安电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/201410137169.1/2.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top