[發明專利]惡意軟件檢測的誤報糾正方法、裝置、設備和存儲介質有效
| 申請號: | 202011134567.X | 申請日: | 2020-10-21 |
| 公開(公告)號: | CN112347479B | 公開(公告)日: | 2021-08-24 |
| 發明(設計)人: | 龐瑞 | 申請(專利權)人: | 北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京開陽星知識產權代理有限公司 11710 | 代理人: | 安偉 |
| 地址: | 100000 北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意 軟件 檢測 糾正 方法 裝置 設備 存儲 介質 | ||
1.一種惡意軟件檢測的誤報糾正方法,其特征在于,包括:
對第一疑似惡意軟件進行靜態特征檢測,得到靜態特征檢測結果;
根據所述靜態特征檢測結果和靜態特征計分規則,得到所述第一疑似惡意軟件的得分;
若所述第一疑似惡意軟件的得分大于或者等于第一閾值,確定所述第一疑似惡意軟件為第二疑似惡意軟件;
根據所述第二疑似惡意軟件,確定所述第二疑似惡意軟件為真實惡意軟件;
所述根據第二疑似惡意軟件,確定所述第二疑似惡意軟件為真實惡意軟件,包括:
使用多個檢測模型分別對第二疑似惡意軟件進行檢測,得到所述多個檢測模型分別對應的第一預測概率值;
對所述多個檢測模型分別對應的第一預測概率值進行加權求和,得到所述第二疑似惡意軟件對應的第二預測概率值,其中,每個檢測模型對應一個第一權重值;
若所述第二預測概率值大于或者等于第二閾值,確定所述第二疑似惡意軟件為真實惡意軟件;
所述靜態特征包括以下特征中的一種或多種:
加殼特征;
有效證書或者數字簽名;
反調試或者偵測虛擬機特征;
操作注冊表函數;
可疑字符串;
可疑統一資源定位器URL。
2.根據權利要求1所述的方法,其特征在于,所述靜態特征計分規則包括以下規則中的一種或多種:
若所述疑似惡意軟件包含加殼特征,所述疑似惡意軟件的得分增加第一分值;
若所述疑似惡意軟件包含有效證書或者數字簽名,所述疑似惡意軟件的得分增加第二分值;
若所述疑似惡意軟件包含反調試或者偵測虛擬機特征,所述疑似惡意軟件的得分增加第三分值;
若所述疑似惡意軟件包含操作注冊表函數,所述疑似惡意軟件的得分增加第四分值;
若所述疑似惡意軟件包含可疑字符串,根據所述可疑字符串的數量,所述疑似惡意軟件的得分增加第五分值;
若所述疑似惡意軟件包含可疑URL,根據所述可疑URL的數量,所述疑似惡意軟件的得分增加第六分值。
3.根據權利要求1或2所述的方法,其特征在于,所述對第一疑似惡意軟件進行靜態特征檢測,得到靜態特征檢測結果之前,還包括:
判斷第三疑似惡意軟件是否與白名單中的軟件相同,其中,所述白名單包含多個真實正常軟件;
若所述白名單中沒有與所述疑似惡意軟件相同的軟件,確定所述第三疑似惡意軟件為所述第一疑似惡意軟件。
4.根據權利要求1所述的方法,其特征在于,所述對所述多個檢測模型分別對應的第一預測概率值進行加權求和,得到所述第二疑似惡意軟件對應的第二預測概率值之前,還包括:
獲取軟件樣本集,所述軟件樣本集包括多個軟件樣本,所述軟件樣本包括所述軟件樣本的標簽,所述標簽用于指示所述軟件樣本為真實惡意軟件或真實正常軟件;
針對每個所述軟件樣本,使用所述多個檢測模型分別對所述軟件樣本進行檢測,得到所述多個檢測模型分別對應的所述軟件樣本的第三預測概率值;
獲取多組所述多個檢測模型分別對應的第二權重值;
針對每組所述多個檢測模型分別對應的第二權重值,針對每個軟件樣本,對所述多個檢測模型分別對應的所述軟件樣本的第三預測概率值加權求和,得到所述軟件樣本對應的第四預測概率值;根據所述第四預測概率值和第三閾值,確定所述軟件樣本的第一預測結果;根據所有所述軟件樣本的第一預測結果、所述軟件樣本的標簽,確定所述第二權重值對應的第一誤報率;
確定所述第一權重值為最小的第一誤報率對應的第二權重值。
5.根據權利要求4所述的方法,其特征在于,所述確定所述第一權重值為最小的第一誤報率對應的第二權重值之后,還包括:
針對每個軟件樣本,使用所述多個檢測模型分別對所述軟件樣本進行檢測,得到所述多個檢測模型分別對應的第五預測概率值;
使用所述第一權重值,對所述多個檢測模型分別對應的第五預測概率值進行加權求和,得到所述軟件樣本對應的第六預測概率值;
獲取多個第四閾值;
針對每個所述第四閾值,根據所述第六預測概率值、所述第四閾值和所述軟件樣本的標簽,確定所述第四閾值對應的第二誤報率;
確定所述第二閾值為最小的第二誤報率對應的第四閾值。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司,未經北京天融信網絡安全技術有限公司;北京天融信科技有限公司;北京天融信軟件有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011134567.X/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種組合式端子臺
- 下一篇:一種機載LIDAR航攝設計配置參數優化方法及系統
