本發明公開了一種降低系統虛警率的方法，具體步驟如下：(1)構建白名單模型；(2)分析程序依賴關系；(3)構建指令名單；(4)對比指令名單；(5)進行虛警分析；所述步驟(2)中包括以下步驟：步驟(2.1)將函數中指令分為多個指令單元；步驟(2.2)針對每個指令單元構建相應的指令名單；步驟(2.3)去除未改變原狀態的指令；步驟(2.4)從前一指令單元中去除在其后續各指令單元中有重復定義但未被使用的變量對應的指令單元。本發明通過白名單對程序依賴關系分析，提高了分析的速度，有效的分析處理虛警，降低虛警率。

技術領域

本發明涉及程序分析技術領域，具體為一種降低系統虛警率的方法。

背景技術

程序依賴關系主要有程序的控制依賴和數據依賴關系，指更改一個類可能會導致更改另一個類，例如，Cart類依賴于Product類,因為Product類被用作Cart類中的添加”操作的參數。使用者類執行下列其中一項操作時臨時使用具有全局作用域的供應者類，將供應者類臨時用作它的某個操作的參數，將供應者類臨時用作它的某個操作的局部變量，將消息發送至供應者類，模塊之間產生依賴的主要方式是數據引用和函數調用，檢驗模塊依賴程度是否合理,則主要看變更”的容易程度，軟件模塊之間的調用方式可以分為三種:同步調用、回調和異步調用(異步消息的傳遞-回調機制)；同步調用是一種單向依賴關系；回調是一種雙向依賴關系；步調用往往伴隨著消息注冊操作,所以本質上也是一種雙向依賴；如果一個對象是另一個對象的成員變量,那么意味著這個對象可以使用另一個對象提供的功能和數據，反過來講,如果你對一個對象依賴太多,你將不得不承受這個對象變化所帶來的所有影響，如果這個對象足夠穩定,那么對我們來說影響不大,比如標準庫的一些對象.但是如果這個對象是易變的,那么后果就非常嚴重了，少則改一個方法,多則改一個類然后把關聯的類都修改，從這里可以看成員變量的依賴緊密的，在方法中發生的依賴有兩類：參數和返回值。程序依賴關系分析通常被用來檢測變量是否受輸入數據影響，方法廣泛應用在檢測攻擊和漏洞方面，已經成為分析領域的重要方法；

所謂白名單的概念與“黑名單”相對應，具體的原理是通過識別系統中的進程或文件是否具有經批準的屬性、常見進程名稱、文件名稱、發行商名稱、數字簽名，白名單技術能夠讓企業批準哪些進程被允許在特定系統運行，有些供應商產品只包括可執行文件，而其他產品還包括腳本和宏，并可以阻止更廣泛的文件，其中，一種越來越受歡迎的白名單方法被稱為“應用控制”，這種方法專門側重于管理端點應用的行為。

傳統的技術中對程序依賴關系的分析大多采用動態分析法和靜態分析法，分析速度慢，特別對與大型程序的分析，耗時更大，無法及時有效的控制虛警。

發明內容

本發明的目的在于提供一種降低系統虛警率的方法，以解決上述背景技術中提出的問題。

為實現上述目的，本發明提供如下技術方案：一種降低系統虛警率的方法，具體步驟如下：

(1)構建白名單模型；

(2)分析程序依賴關系；

(3)構建指令名單；

(4)對比指令名單；

(5)進行虛警分析。

優選的，所述步驟(1)中，包括以下步驟：步驟(1.1)通過人工神經網絡構建白名單訓練模塊和白名單模型；步驟(1.2)在白名單模型中構建白名單依賴關系特征值集M和依賴指數集Q。

優選的，所述步驟(1.1)中的人工神經網絡包括多個卷積層。

優選的，白名單訓練模塊通過設置的訓練算法對白名單模型進行訓練，當訓練結果收斂時，結束訓練。

優選的，所述對白名單進行訓練包括對白名單識別訓練，白名單篡改檢測訓練和白名單更新訓練。