[发明专利]使用硬件特征的对异常进程的无监督的检测有效
| 申请号: | 201480028753.1 | 申请日: | 2014-03-14 |
| 公开(公告)号: | CN105247532B | 公开(公告)日: | 2019-05-31 |
| 发明(设计)人: | 拉克什米那拉斯姆罕·塞思麦迪海范;阿德里安·唐;萨尔瓦托·斯多夫 | 申请(专利权)人: | 纽约市哥伦比亚大学理事会 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/56 |
| 代理公司: | 北京安信方达知识产权代理有限公司 11262 | 代理人: | 周靖;郑霞 |
| 地址: | 美国*** | 国省代码: | 美国;US |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 使用 硬件 特征 监督 基于 异常 恶意 软件 检测 | ||
1.一种用于使用硬件特征的对异常进程的无监督的检测的方法,所述方法包括:
得到关于执行第一进程的硬件设备的当前硬件性能数据,所述当前硬件性能数据包括硬件性能时变计数器数据,所述第一进程与表示所述第一进程的正常行为的记录的硬件性能数据相关;
至少基于与硬件性能数据相关的一个或多个特征的有效性程度,从所得到的当前硬件性能数据识别硬件性能数据组,当前硬件性能数据组包括每一个表示在潜在的异常进程的多个阶段中的一个处发生的多个事件的相应性能的相应的数据组,所述数据组中的每一个与微体系结构事件或体系结构事件之一相关联;
聚集所识别的硬件性能数据组;
基于一个或多个变换函数变换所聚集的硬件性能数据组;以及
基于相应于所述第一进程的所变换的硬件性能数据组与表示所述第一进程的正常行为的所述记录的硬件性能数据的偏差的程度的确定,来确定所述潜在的异常进程是否影响所述第一进程的性能;
其中,变换所聚集的硬件性能数据组包括:
根据下式,从关于来自所述潜在的异常进程的所述多个阶段中的一个处发生的所述多个事件的事件i的硬件性能数据值rawi导出关于所述事件i的标准化硬件性能值normalizedi:
其中mini和maxi是关于所述事件i的相应的最小值和最大值,且λi是关于所述事件i的幂参数,且关于λi的相应值被确定,使得相应于所述事件i的所变换的硬件性能时变数据的标准化分布具有放大关于来自所述潜在的异常进程的所述多个阶段中的一个处发生的所述多个事件的所述事件i的异常硬件性能数据与正常硬件性能数据的偏差的中位数值。
2.如权利要求1所述的方法,其中,所述硬件性能数据在不同的时间实例得到,并且其中,所述方法还包括:
执行数据推送操作或数据拉出操作中的一个或多个,所述数据推送操作由所述硬件设备发起以发送所述当前硬件性能数据,所述数据拉出操作由防病毒引擎发起以使所述当前硬件性能数据由所述硬件设备发送。
3.如权利要求1所述的方法,其中,识别所述硬件性能数据组包括:
基于相应的计算的一个或多个分数选择所述一个或多个特征,所述一个或多个分数表示所述硬件性能数据组的有效性程度,其中,所述有效性程度指示关于所选择的一个或多个特征得到的所述硬件性能数据受到所述异常进程的影响;以及
从所述当前硬件性能数据中得到仅关于所选择的一个或多个特征的性能数据。
4.如权利要求3所述的方法,其中,计算所述一个或多个分数包括计算一个或多个Fisher分数。
5.如权利要求1所述的方法,其中,确定所述异常进程是否影响所述第一进程的性能包括:
将使用表示所述第一进程的所述正常行为的所述记录的硬件性能数据训练的一个或多个机器学习过程应用于所述当前硬件性能数据,以确定关于执行所述第一进程的所述硬件设备的所述当前硬件性能数据是否偏离关于所述第一进程的所述记录的硬件性能数据。
6.如权利要求5所述的方法,其中,所述一个或多个机器学习过程包括下列项中的一个或多个:实现非线性径向基函数(RBF)内核的支持向量机、k最近邻过程、决策树过程、随机森林过程、人工神经网络过程、张量密度过程、支持向量机(SVM)或隐马克波夫模型过程。
7.如权利要求1所述的方法,其中,所述硬件性能数据包括下列项中的一个或多个:处理器负荷密度数据、分支预测性能数据或关于指令高速缓存遗漏的数据。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于纽约市哥伦比亚大学理事会,未经纽约市哥伦比亚大学理事会许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201480028753.1/1.html,转载请声明来源钻瓜专利网。
