[發明專利]基于動態行為的細粒度RAT程序檢測方法、系統及相應的APT攻擊檢測方法有效

申請號：	201810131880.4	申請日：	2018-02-09
公開（公告）號：	CN108256329B	公開（公告）日：	2022-06-17
發明（設計）人：	楊潤青;熊春霖;李振源;宋哲	申請（專利權）人：	杭州義盾信息技術有限公司;杭州奇盾信息技術有限公司
主分類號：	G06F21/56	分類號：	G06F21/56
代理公司：	杭州君度專利代理事務所(特殊普通合伙) 33240	代理人：	解明鎧
地址：	310000 浙江省杭***	國省代碼：	浙江;33
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	基于動態行為細粒度 rat 程序檢測方法系統相應 apt 攻擊
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種基于動態行為的細粒度RAT程序檢測方法，其特征在于，獲取目標程序運行時的動態數據作為待檢數據，并將所述的待檢數據與各個細粒度行為的特征碼進行匹配，若存在匹配成功的特征碼，則將匹配成功的特征碼對應的細粒度行為作為目標程序的標簽，并根據目標程序的標簽判斷該目標程序是否為RAT程序；所述的各個細粒度行為的特征碼通過如下步驟獲取:

通過RAT程序運行不同細粒度行為，獲取各個細粒度行為運行時的動態數據作為訓練數據并記錄各條動態數據對應的細粒度行為；

對所述訓練數據進行特征匹配以提取各細粒度行為的特征碼；

所述對所述訓練數據進行特征匹配以提取各細粒度行為的特征碼包括：

針對每一個細粒度行為對應的訓練數據分別進行比對提取相同序列，并根據提取得到的相同序列形成該細粒度行為的特征碼；

采用Alignment算法對每一個細粒度行為對應的訓練數據分別進行比對提取相同序列；

采用Alignment算法對每個細粒度行為對應的訓練數據分別進行比對提取相同序列包括:

采用LocalAlignment將該細粒度行為對應的訓練數據進行兩兩比對提取得到第一版特征，并記錄各個第一版特征所對應的訓練數據；

針對所述的第一版特征進行至少一次GlobalAlignm，并以最后一次GlobalAlignment得到的結果作為最終版特征，并作為對應的相同序列。

2.如權利要求1所述的基于動態行為的細粒度RAT程序檢測方法，其特征在于，所述獲取各個細粒度行為的特征碼還包括運行不同安全程序，并獲取各個安全程序運行時的動態數據作為修正數據；

所述針對每一個細粒度行為對應的訓練數據分別進行比對提取相同序列，并根據提取得到的相同序列形成該細粒度行為的特征碼還包括:

將所有修正數據與提取得到的相同序列進行比對，保留不屬于修正數據的相同序列作為該細粒度行為的特征碼。

3.如權利要求1或2所述的基于動態行為的細粒度RAT程序檢測方法，其特征在于，所述獲取動態數據時還包括對獲取的動態數據進行預處理。