[發明專利]一種動靜態特征結合的僵尸程序檢測與分類方法有效
| 申請號: | 201710987829.9 | 申請日: | 2017-10-21 |
| 公開(公告)號: | CN107832611B | 公開(公告)日: | 2020-12-08 |
| 發明(設計)人: | 薛靜鋒;張繼;郭宇;單純;劉康 | 申請(專利權)人: | 北京理工大學 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06K9/62 |
| 代理公司: | 北京理工大學專利中心 11120 | 代理人: | 溫子云;仇蕾安 |
| 地址: | 100081 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 靜態 特征 結合 僵尸 程序 檢測 分類 方法 | ||
1.一種動靜態特征結合的僵尸程序檢測與分類方法,其特征在于,
基于靜態特征信息,進行僵尸程序檢測;檢測過程中的特征選擇采用了采用改進的TF-IDF算法,改進的TF-IDF算法是在TF-IDF算法計算TF-IDF權重時加入類區分度因子GF,用于表征特征項在某一類別中的出現程度與在其他所有類別中出現程度的比例;所述類區分度因子GF為:
其中,對于特征項tj,類別i中包含特征項tj的樣本數記為Cji,除去類別i的其他所有類別中包含特征項tj的樣本數記為C!ji;
運行檢測的僵尸程序,提取僵尸程序運行的API序列和網路流量信息,處理獲得僵尸程序家族分類特征;在獲得僵尸程序家族分類特征時,針對API序列,采用n-gram方法來對API序列進行抽取,抽取后的n-gram作為僵尸程序家族分類特征的一部分;所述n-gram方法的n取值為3;
基于僵尸程序家族分類特征,對僵尸程序進行家族分類;在對僵尸程序進行家族分類時,采用改進的決策樹ID3算法對僵尸程序進行家族分類;改進的決策樹ID3算法為屬性的信息增益計算添加了修正因子,該修正因子將屬性取值數目偏多的屬性對應的信息增益相對變小,用引入該修正因子后信息增益作為劃分樣本的標準;所述修正因子為
其中,s為修正因子所對應屬性的s個不同取值。
2.如權利要求1所述的方法,其特征在于,所述靜態特征信息包括opcode、PE節信息和DLL序列。
3.如權利要求1所述的方法,其特征在于,所述處理獲得僵尸程序家族分類特征為:采用改進的TF-IDF算法進行處理。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京理工大學,未經北京理工大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710987829.9/1.html,轉載請聲明來源鉆瓜專利網。
