[發(fā)明專利]軟件檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)有效
| 申請(qǐng)?zhí)枺?/td> | 201811257390.5 | 申請(qǐng)日: | 2018-10-26 |
| 公開(公告)號(hào): | CN109359439B | 公開(公告)日: | 2019-12-13 |
| 發(fā)明(設(shè)計(jì))人: | 龐瑞;張宏君 | 申請(qǐng)(專利權(quán))人: | 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司 |
| 主分類號(hào): | G06F21/12 | 分類號(hào): | G06F21/12 |
| 代理公司: | 11010 工業(yè)和信息化部電子專利中心 | 代理人: | 齊潔茹 |
| 地址: | 100085 北京*** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 樣本 存儲(chǔ)介質(zhì) 惡意軟件 非數(shù)值型 軟件檢測(cè) 矩陣 機(jī)器學(xué)習(xí)算法 學(xué)習(xí)分類器 復(fù)雜字符 構(gòu)造特征 哈希算法 機(jī)器學(xué)習(xí) 空間開銷 模型訓(xùn)練 目標(biāo)軟件 特征矩陣 特征轉(zhuǎn)化 訓(xùn)練機(jī)器 分類器 樣本庫(kù) 哈希 加密 檢測(cè) 轉(zhuǎn)換 轉(zhuǎn)化 | ||
1.一種軟件檢測(cè)方法,其特征在于,包括:
提取軟件樣本庫(kù)中各樣本所包含的數(shù)值型特征和非數(shù)值型特征;
利用選定的N種非加密哈希算法對(duì)所述非數(shù)值型特征進(jìn)行處理,并將處理結(jié)果轉(zhuǎn)換為數(shù)值型特征;所述N為大于1的整數(shù);
根據(jù)各樣本中包含的所述數(shù)值型特征和轉(zhuǎn)化得到的所述數(shù)值型特征,構(gòu)造特征矩陣;
利用所述特征矩陣訓(xùn)練機(jī)器學(xué)習(xí)分類器;
利用所述機(jī)器學(xué)習(xí)分類器,對(duì)目標(biāo)軟件進(jìn)行檢測(cè)。
2.如權(quán)利要求1所述的方法,其特征在于,利用所述機(jī)器學(xué)習(xí)分類器,對(duì)目標(biāo)軟件進(jìn)行檢測(cè)之前,還包括:
利用測(cè)試樣本集對(duì)訓(xùn)練完的所述機(jī)器學(xué)習(xí)分類器進(jìn)行測(cè)試,以調(diào)整所述機(jī)器學(xué)習(xí)分類器的模型參數(shù)。
3.如權(quán)利要求1所述的方法,其特征在于,利用所述特征矩陣訓(xùn)練機(jī)器學(xué)習(xí)分類器,具體包括:
利用標(biāo)注有惡意軟件和正常軟件的軟件樣本而構(gòu)造出的特征矩陣,訓(xùn)練第一機(jī)器學(xué)習(xí)分類器,以對(duì)軟件為惡意軟件或者正常軟件進(jìn)行分類;
利用標(biāo)注有不同類型的惡意軟件樣本而構(gòu)造出的特征矩陣,訓(xùn)練第二機(jī)器學(xué)習(xí)分類器,以對(duì)惡意軟件的類型進(jìn)行分類。
4.如權(quán)利要求1所述的方法,其特征在于,所述數(shù)值型特征包括如下特征中的一個(gè)或多個(gè):代碼頭字段信息、代碼段信息、字符串統(tǒng)計(jì)信息、樣本總體統(tǒng)計(jì)信息、引入地址表中函數(shù)列表、導(dǎo)出函數(shù)列表、字節(jié)統(tǒng)計(jì)信息、以及字節(jié)信息熵統(tǒng)計(jì)。
5.如權(quán)利要求1所述的方法,其特征在于,所述非數(shù)值型特征包括如下特征中的一個(gè)或多個(gè):軟件頭信息中可識(shí)別字符串序列、所有的路徑字符串序列、所有的統(tǒng)一資源定位符字符串序列、所有的注冊(cè)表項(xiàng)字符串序列、軟件頭信息的機(jī)器型號(hào)字符串、軟件所有段名稱字符串序列、入口段名稱字符串、軟件所有段中連續(xù)Q個(gè)以上可識(shí)別字符組成的字符串序列;其中,Q為正整數(shù)。
6.如權(quán)利要求1所述的方法,其特征在于,所述利用選定的N種非加密哈希算法對(duì)所述非數(shù)值型特征進(jìn)行處理,并將處理結(jié)果轉(zhuǎn)換為數(shù)值型特征,具體包括:
將所述非數(shù)值型特征按照設(shè)定的分組方式進(jìn)行分組;
針對(duì)每組非數(shù)值型特征,利用所述N種非加密哈希算法分別進(jìn)行哈希處理,得到N個(gè)哈希值,并將得到的N個(gè)哈希值轉(zhuǎn)化為整型;
將各組的整型特征進(jìn)行拼接,得到轉(zhuǎn)換后的數(shù)值型特征。
7.如權(quán)利要求1所述的方法,其特征在于,所述根據(jù)各樣本中包含的所述數(shù)值型特征和轉(zhuǎn)化得到的所述數(shù)值型特征,構(gòu)造特征矩陣,具體包括:
對(duì)各所述數(shù)值型特征進(jìn)行標(biāo)準(zhǔn)化處理;
對(duì)標(biāo)準(zhǔn)化處理后的特征數(shù)據(jù)進(jìn)行歸一化處理;
利用歸一化處理后的特征數(shù)據(jù)構(gòu)造出特征特征矩陣。
8.如權(quán)利要求1所述的方法,其特征在于,在構(gòu)造特征矩陣之后,還包括:按照設(shè)定的降維方法,對(duì)所述特征矩陣進(jìn)行降維處理。
9.如權(quán)利要求1至8中任意一項(xiàng)所述的方法,其特征在于,所述N種非加密哈希算法包括以下算法中的至少兩種:MurMurHash3算法、SimHash算法和CRC32算法。
10.一種軟件檢測(cè)裝置,其特征在于,包括:
特征提取模塊,用于提取軟件樣本庫(kù)中各樣本所包含的數(shù)值型特征和非數(shù)值型特征;
特征處理模塊,用于利用選定的N種非加密哈希算法對(duì)所述非數(shù)值型特征進(jìn)行處理,并將處理結(jié)果轉(zhuǎn)換為數(shù)值型特征;所述N為大于1的整數(shù);
矩陣構(gòu)造模塊,用于根據(jù)各樣本中包含的所述數(shù)值型特征和轉(zhuǎn)化得到的所述數(shù)值型特征,構(gòu)造特征矩陣;
學(xué)習(xí)訓(xùn)練模塊,用于利用所述特征矩陣訓(xùn)練機(jī)器學(xué)習(xí)分類器;
檢測(cè)模塊,用于利用所述機(jī)器學(xué)習(xí)分類器,對(duì)目標(biāo)軟件進(jìn)行檢測(cè)。
11.如權(quán)利要求10所述的裝置,其特征在于,所述學(xué)習(xí)訓(xùn)練模塊,還用于利用測(cè)試樣本集對(duì)訓(xùn)練完的所述機(jī)器學(xué)習(xí)分類器進(jìn)行測(cè)試,以調(diào)整所述機(jī)器學(xué)習(xí)分類器的模型參數(shù)。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司,未經(jīng)北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司;北京天融信科技有限公司;北京天融信軟件有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811257390.5/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 樣本引入裝置、樣本引入基片和樣本引入方法
- 樣本查找方法、裝置及系統(tǒng)
- 模型訓(xùn)練、樣本平衡方法及裝置以及個(gè)人信用評(píng)分系統(tǒng)
- 樣本輸送系統(tǒng)、樣本輸送方法以及樣本檢測(cè)系統(tǒng)
- 樣本分析裝置、樣本檢測(cè)設(shè)備及樣本檢測(cè)方法
- 樣本檢測(cè)方法、樣本檢測(cè)裝置及樣本檢測(cè)系統(tǒng)
- 樣本架、樣本混勻系統(tǒng)及樣本分析儀
- 樣本收集管及樣本收集系統(tǒng)
- 樣本數(shù)據(jù)集的擴(kuò)容方法及模型的訓(xùn)練方法
- 行人重識(shí)別的噪聲樣本識(shí)別方法、裝置、設(shè)備和存儲(chǔ)介質(zhì)
- 用于接合與分離存儲(chǔ)介質(zhì)的裝置
- 存儲(chǔ)介質(zhì)陣列控制器、控制方法、設(shè)備、和存儲(chǔ)介質(zhì)驅(qū)動(dòng)器
- 存儲(chǔ)介質(zhì)處理方法、系統(tǒng)及數(shù)據(jù)讀寫操作方法、系統(tǒng)
- 存儲(chǔ)裝置、存儲(chǔ)介質(zhì)以及存儲(chǔ)介質(zhì)的制造方法
- 數(shù)據(jù)存儲(chǔ)
- 存儲(chǔ)介質(zhì)之間的數(shù)據(jù)遷移
- 一種基于存儲(chǔ)系統(tǒng)的控制方法及裝置
- 自助設(shè)備及自助設(shè)備的介質(zhì)存儲(chǔ)裝置
- 融合存儲(chǔ)系統(tǒng)中的數(shù)據(jù)遷移方法和裝置
- 一種數(shù)據(jù)存儲(chǔ)方法、裝置及電子設(shè)備
- 惡意軟件分析系統(tǒng)
- 一種軟件惡意行為的處理方法和裝置
- 一種Android平臺(tái)惡意軟件自動(dòng)化檢測(cè)方法
- 多文件惡意軟件分析設(shè)備與方法
- 惡意軟件分析系統(tǒng)
- 使用靜態(tài)和動(dòng)態(tài)惡意軟件分析來擴(kuò)展惡意軟件的動(dòng)態(tài)檢測(cè)
- 一種基于深度學(xué)習(xí)的大規(guī)模惡意軟件分類系統(tǒng)和方法
- 一種惡意軟件檢測(cè)方法、裝置、設(shè)備、介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 惡意軟件檢測(cè)的誤報(bào)糾正方法、裝置、設(shè)備和存儲(chǔ)介質(zhì)
- 基于抽象內(nèi)存模型的非數(shù)值型數(shù)據(jù)的計(jì)算方法
- 一種車輛事故識(shí)別方法、車載終端及存儲(chǔ)介質(zhì)
- 一種OCR識(shí)別的處理方法、存儲(chǔ)介質(zhì)和服務(wù)器
- 一種枸杞數(shù)據(jù)識(shí)別方法
- 一種枸杞數(shù)據(jù)整理系統(tǒng)
- 軟件檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 一種針對(duì)電力負(fù)荷的改進(jìn)關(guān)聯(lián)分析方法
- 一種關(guān)聯(lián)分析系統(tǒng)
- 數(shù)據(jù)混合壓縮方法及其系統(tǒng)
- 一種網(wǎng)絡(luò)安全威脅定量彈性計(jì)算方法及裝置
