[发明专利]一种基于元学习的远程访问木马智能分析方法

权利要求书

1.一种基于元学习的远程访问木马智能分析方法，其特征在于，所述基于元学习的远程访问木马智能分析方法，包括：

步骤1、获取应用数据集，应用数据集包含恶意程序样本和合法程序样本；

步骤2、定义元任务包括：下载执行、远程Shell、键盘记录、获取密码、远程摄像头、访问网址、计算机控制、系统信息、录音、服务管理器、脚本执行、CD-Rom控制、枚举窗口、剪贴板管理、桌面任务栏管理、DDos、网络连接表、软件管理、显示器控制、语音转换、自启动管理、USB管理、搜索文件或文件传送；

步骤3、元任务训练得到行为样本，包括：从恶意程序样本和合法程序样本中提取元任务并记录运行时元任务对应的动态行为特征作为行为样本；

步骤4、根据所述恶意程序样本和合法程序样本对应的行为样本构建各个行为样本的行为向量；

步骤5、利用各个行为样本的行为向量对GMMs模型进行训练，训练确定最终的K值以及聚簇中心和大小；

步骤6、利用训练后的GMMs模型对待分析的在线程序进行检测，包括：

步骤6.1、利用已定义的元任务，实时匹配在线程序运行时的动态行为特征；

步骤6.2、根据在线程序匹配后的动态行为特征构建在线程序的行为向量；

步骤6.3、将在线程序的行为向量输入训练后的GMMs模型，GMMs模型根据行为向量分为不同聚簇以及明显的离群点；

步骤6.4、若GMMs模型上报离群点，则离群点对应的在线程序为恶意程序，否则待分析的在线程序为合法程序。

2.如权利要求1所述的基于元学习的远程访问木马智能分析方法，其特征在于，所述记录运行时元任务对应的动态行为特征，包括：

利用Event Tracing for Windows的数据收集模块实时收集系统级别的日志数据，并根据定义的元任务对日志数据进行匹配得到元任务对应的动态行为特征。

3.如权利要求1所述的基于元学习的远程访问木马智能分析方法，其特征在于，所述行为向量的定义如下：(x₁,x₂,x₃,…x_n)，其中n为元任务的类型数，x_i,i∈[1,n]表示类型数为i的元任务在程序生命周期内的执行频率。