[發(fā)明專利]一種基于動(dòng)態(tài)多特征的惡意軟件檢測(cè)方法在審
| 申請(qǐng)?zhí)枺?/td> | 201810905958.3 | 申請(qǐng)日: | 2018-08-10 |
| 公開(kāi)(公告)號(hào): | CN109033839A | 公開(kāi)(公告)日: | 2018-12-18 |
| 發(fā)明(設(shè)計(jì))人: | 張健;高鋮;宮良一;鄭祿鑫;周超群;蔡長(zhǎng)亮;栗文真 | 申請(qǐng)(專利權(quán))人: | 天津理工大學(xué) |
| 主分類號(hào): | G06F21/56 | 分類號(hào): | G06F21/56 |
| 代理公司: | 天津才智專利商標(biāo)代理有限公司 12108 | 代理人: | 龐學(xué)欣 |
| 地址: | 300384 天津市南*** | 國(guó)省代碼: | 天津;12 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 惡意軟件檢測(cè) 內(nèi)存轉(zhuǎn)儲(chǔ)文件 集成分類器 客戶虛擬機(jī) 動(dòng)態(tài)特征 集成學(xué)習(xí) 特征集 分類準(zhǔn)確度 整體分類器 惡意軟件 分類結(jié)果 分類模型 數(shù)據(jù)獲取 特征數(shù)據(jù) 特征組合 正常軟件 分類器 有效地 最佳基 構(gòu)建 內(nèi)存 樣本 取證 投放 分析 | ||
1.一種基于動(dòng)態(tài)多特征的惡意軟件檢測(cè)方法,其特征在于:所述的基于動(dòng)態(tài)多特征的惡意軟件檢測(cè)方法包括按順序進(jìn)行的下列步驟:
步驟1)在物理實(shí)體機(jī)上搭建完Xen虛擬化平臺(tái)之后創(chuàng)建客戶虛擬機(jī),安裝Windows操作系統(tǒng),待Windows操作系統(tǒng)安裝完成之后,立即保存該操作系統(tǒng)的內(nèi)存快照,然后向運(yùn)行于Xen虛擬化平臺(tái)之上的客戶虛擬機(jī)連續(xù)投放作為樣本的惡意軟件和正常軟件:
步驟2)運(yùn)行完樣本之后,使用LibVMI獲取客戶虛擬機(jī)的內(nèi)存轉(zhuǎn)儲(chǔ)文件,然后提交給Volatility內(nèi)存取證分析框架;
步驟3)樣本執(zhí)行時(shí),使用Volatility內(nèi)存取證分析框架從內(nèi)存轉(zhuǎn)儲(chǔ)文件中提取出多個(gè)種類的動(dòng)態(tài)特征,由這些動(dòng)態(tài)特征構(gòu)成特征集;
步驟4)選取最佳基分類器,構(gòu)建最終的集成分類器,然后將上述特征集輸入到上述集成分類器中,找出最佳的特征組合和集成學(xué)習(xí)模型作為分類結(jié)果,由此完成惡意軟件的檢測(cè)。
2.根據(jù)權(quán)利要求1所述的基于動(dòng)態(tài)多特征的惡意軟件檢測(cè)方法,其特征在于:在步驟1)中,所述的在物理實(shí)體機(jī)上搭建完Xen虛擬化平臺(tái)之后創(chuàng)建客戶虛擬機(jī),安裝Windows操作系統(tǒng),待Windows操作系統(tǒng)安裝完成之后,立即保存該操作系統(tǒng)的內(nèi)存快照,然后向運(yùn)行于Xen虛擬化平臺(tái)之上的客戶虛擬機(jī)連續(xù)投放作為樣本的惡意軟件和正常軟件的方法包括如下步驟:
1.1)在物理實(shí)體機(jī)上安裝Xen虛擬化平臺(tái),并在Xen虛擬化平臺(tái)之上創(chuàng)建客戶虛擬機(jī),安裝Windows操作系統(tǒng);
1.2)在Windows操作系統(tǒng)安裝完成之后,使用xlsave命令保存該操作系統(tǒng)的內(nèi)存快照,以保證每次實(shí)驗(yàn)時(shí)操作系統(tǒng)的一致性;
1.3)使用DRAKVUF的injector插件向客戶虛擬機(jī)中連續(xù)投放作為樣本的惡意軟件和正常軟件。
3.根據(jù)權(quán)利要求1所述的基于動(dòng)態(tài)多特征的惡意軟件檢測(cè)方法,其特征在于:在步驟2)中,所述的運(yùn)行完樣本之后,使用LibVMI獲取客戶虛擬機(jī)的內(nèi)存轉(zhuǎn)儲(chǔ)文件,然后提交給Volatility內(nèi)存取證分析框架的方法包括如下步驟:
2.1)在步驟1)中向客戶虛擬機(jī)中投放的樣本運(yùn)行30秒之后,使用LibVMI的dump-memory插件獲取客戶虛擬機(jī)的內(nèi)存轉(zhuǎn)儲(chǔ)文件;
2.2)將上述內(nèi)存轉(zhuǎn)儲(chǔ)文件提交給Volatility內(nèi)存取證分析框架;
2.3)當(dāng)客戶虛擬機(jī)的內(nèi)存轉(zhuǎn)儲(chǔ)文件獲取完成后,使用xlrestore命令恢復(fù)操作系統(tǒng)的內(nèi)存快照到剛安裝完成的操作系統(tǒng)的狀態(tài),之后重復(fù)步驟1),繼續(xù)向客戶虛擬機(jī)中投放樣本。
4.根據(jù)權(quán)利要求1所述的基于動(dòng)態(tài)多特征的惡意軟件檢測(cè)方法,其特征在于:在步驟3)中,所述的樣本執(zhí)行時(shí),使用Volatility內(nèi)存取證分析框架從內(nèi)存轉(zhuǎn)儲(chǔ)文件中提取出多個(gè)種類的動(dòng)態(tài)特征,由這些動(dòng)態(tài)特征構(gòu)成特征集的方法包括下列步驟:
3.1)使用Volatility的impscan插件從客戶虛擬機(jī)的內(nèi)存轉(zhuǎn)儲(chǔ)文件中獲得可執(zhí)行程序調(diào)用的API序列,對(duì)這些API序列按出現(xiàn)的頻次排序,選取出現(xiàn)最頻繁的前500個(gè)API,作為第一類動(dòng)態(tài)特征;
3.2)使用Volatility的callbacks,dlllist,ldrmodules,modules,privs,psxview,svcscan,handles,mutantscan和thrdscan插件從內(nèi)存轉(zhuǎn)儲(chǔ)文件中獲得可執(zhí)行程序的包括回調(diào)函數(shù)、dll、模塊和句柄在內(nèi)的內(nèi)存元特征,作為第二類動(dòng)態(tài)特征,簡(jiǎn)稱MMF;
3.3)使用Volatility的procdump插件從內(nèi)存轉(zhuǎn)儲(chǔ)文件中提取出向客戶虛擬機(jī)中投放的惡意或正常可執(zhí)行程序,之后使用python的PEfile模塊解析出二進(jìn)制可執(zhí)行文件的各個(gè)PE節(jié)的信息,作為第三類動(dòng)態(tài)特征,簡(jiǎn)稱PEF;
3.4)將步驟4.3)中獲得的二進(jìn)制可執(zhí)行文件轉(zhuǎn)換為灰度圖像,截取前1000個(gè)像素值,作為第四類動(dòng)態(tài)特征,簡(jiǎn)稱BPF;
3.5)將步驟4.3)中獲得的可執(zhí)行文件使用IDAPro進(jìn)行反編譯,得到mov、push、add在內(nèi)的操作碼,選取操作碼3-gram作為第五類動(dòng)態(tài)特征,簡(jiǎn)稱3GF;
3.6)對(duì)上述每一類動(dòng)態(tài)特征進(jìn)行向量表示,構(gòu)建特征向量,并由所有特征向量構(gòu)成特征集。
5.根據(jù)權(quán)利要求1所述的基于動(dòng)態(tài)多特征的惡意軟件檢測(cè)方法,其特征在于:在步驟4)中,所述的選取最佳基分類器,構(gòu)建最終的集成分類器,然后將上述特征集輸入到上述集成分類器中,找出最佳的特征組合和集成學(xué)習(xí)模型作為分類結(jié)果,由此完成惡意軟件的檢測(cè)的方法包括如下步驟:
選取貝葉斯網(wǎng)絡(luò)、邏輯斯蒂回歸、支持向量機(jī)、最近鄰和J48分類器作為最佳基分類器,將這些基分類器集成,構(gòu)建成最終的集成分類器,然后將上述特征集輸入到集成分類器中,選擇AdaBoostM1作為集成學(xué)習(xí)模型,Vote作為結(jié)合策略,在Vote中依次添加貝葉斯網(wǎng)絡(luò)、邏輯斯蒂回歸、支持向量機(jī)、最近鄰和J48分類器,之后選擇TestOptions中的cross-validation10折交叉驗(yàn)證,最后得出是惡意軟件還是正常軟件的分類結(jié)果。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于天津理工大學(xué),未經(jīng)天津理工大學(xué)許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810905958.3/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過(guò)保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過(guò)保護(hù)特定的外圍設(shè)備,如鍵盤(pán)或顯示器
G06F21-06 .通過(guò)感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過(guò)限制訪問(wèn)計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過(guò)限制訪問(wèn)或處理程序或過(guò)程
- 一種檢測(cè)Android惡意軟件的方法、系統(tǒng)及設(shè)備
- 移動(dòng)操作系統(tǒng)的惡意軟件檢測(cè)方法和惡意軟件檢測(cè)系統(tǒng)
- 一種Android平臺(tái)惡意軟件自動(dòng)化檢測(cè)方法
- 惡意軟件檢測(cè)方法及裝置
- 一種基于軟件基因技術(shù)的惡意軟件檢測(cè)方法
- 一種受生物基因啟發(fā)的惡意代碼檢測(cè)方法
- 一種惡意軟件的檢測(cè)方法、裝置、設(shè)備及可讀介質(zhì)
- 一種惡意軟件檢測(cè)方法、裝置、設(shè)備、介質(zhì)
- 惡意軟件檢測(cè)的誤報(bào)糾正方法、裝置、設(shè)備和存儲(chǔ)介質(zhì)
- 一種基于奇異譜變換的惡意軟件檢測(cè)方法
- 一種恢復(fù)數(shù)據(jù)的方法及裝置
- 自動(dòng)提取惡意代碼內(nèi)存特征的方法和系統(tǒng)
- 線程異常的定位方法及系統(tǒng)
- 客戶端崩潰定位方法和設(shè)備
- 一種用于虛擬機(jī)的內(nèi)存轉(zhuǎn)儲(chǔ)的方法和裝置
- Linux下的崩潰文件自動(dòng)化分析方法及系統(tǒng)
- 一種內(nèi)存檢測(cè)方法、內(nèi)存檢測(cè)裝置及智能設(shè)備
- 一種基于虛擬化平臺(tái)的虛擬機(jī)異常行為檢測(cè)方法
- 樣本文件檢測(cè)方法、裝置、終端設(shè)備以及存儲(chǔ)介質(zhì)
- 內(nèi)存轉(zhuǎn)儲(chǔ)文件解析方法、裝置、設(shè)備及計(jì)算機(jī)存儲(chǔ)介質(zhì)
- 基于增量樸素貝葉斯網(wǎng)多分類器集成方法
- 基于集成級(jí)聯(lián)架構(gòu)的生物顯微圖像分類方法
- 一種基于集成學(xué)習(xí)的觀點(diǎn)挖掘方法
- 基于頻繁模式的選擇性集成分類方法
- 一種基于選擇性集成分類器的數(shù)據(jù)打標(biāo)簽方法
- 一種基于多變量決策樹(shù)模型的分布式大數(shù)據(jù)分類方法
- 一種基于深度強(qiáng)化學(xué)習(xí)的圖像隱寫(xiě)分析集成分類優(yōu)化方法
- 基于類別權(quán)重矢量的集成學(xué)習(xí)遙感影像分類方法
- 一種代價(jià)敏感的集成學(xué)習(xí)分類方法及系統(tǒng)
- 分類器生成方法、裝置、存儲(chǔ)介質(zhì)及電子設(shè)備
- 基于用戶空閑進(jìn)程的提高虛擬機(jī)性能與可伸縮性的方法
- 基于硬件虛擬化的Xen實(shí)時(shí)性增強(qiáng)系統(tǒng)及其方法
- 一種虛擬機(jī)系統(tǒng)的訪問(wèn)控制方法和系統(tǒng)
- 一種虛擬機(jī)系統(tǒng)及其安全控制方法
- 一種基于細(xì)胞神經(jīng)網(wǎng)絡(luò)的虛擬機(jī)安全監(jiān)控方法
- 一種管理虛擬機(jī)的隔離方法及裝置
- 基于安全虛擬機(jī)的日志文件安全審計(jì)系統(tǒng)及方法
- 用于管理虛擬機(jī)的方法和設(shè)備
- 一種虛擬機(jī)系統(tǒng)安全受控裝置
- 一種虛擬機(jī)備份方法、裝置、設(shè)備及可讀存儲(chǔ)介質(zhì)
