[發明專利]基于代碼特征和流量行為的服務端惡意程序檢測方法在審
| 申請號: | 202011475292.6 | 申請日: | 2020-12-15 |
| 公開(公告)號: | CN112507336A | 公開(公告)日: | 2021-03-16 |
| 發明(設計)人: | 張攀;李逸蕭;武軍成 | 申請(專利權)人: | 四川長虹電器股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 四川省成都市天策商標專利事務所 51213 | 代理人: | 陳藝文 |
| 地址: | 621000 四*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 代碼 特征 流量 行為 服務端 惡意程序 檢測 方法 | ||
1.一種基于代碼特征和流量行為的服務端惡意程序檢測方法,其特征在于,包括以下步驟:
步驟1、服務器后門程序樣本收集:收集服務器后門程序樣本,提取函數特征并取hash值,建立惡意程序樣本庫;
步驟2、特征提取:搭建后門程序文件通訊所需模擬環境,利用模擬客戶端和后門程序進行通信,使用wireshark抓取后門程序文件所有控制功能流量,基于urlparse模塊對流量進行分割,并編寫規則匹配出具備命令執行、文件讀取、寫入功能的危險函數,得到代碼特征和流量行為向量;
步驟3、特征優化:利用上傳的后門程序做hash取值、后門程序靜態特征學習,并利用Relief算法對步驟2中特征提取得到的流量行為進行優化,去掉正常服務端程序同樣具備的特征,得到新的特征集;
步驟4、特征訓練:將步驟3得到的新的特征集作為特征訓練的訓練樣本集,將標注結果作為預期輸出,訓練分類器;
步驟5、服務器后門程序檢測:將待檢測樣本代碼特征和流量行為綜合判定輸入到所述分類器,判斷是否為惡意程序,并輸出結果。
2.根據權利要求1所述的基于代碼特征和流量行為的服務端惡意程序檢測方法,其特征在于,在步驟2中,所述的代碼特征包括:最長字符串長度,文件重合指數,文件壓縮比,非字母數字字符占比,高危函數占比。
3.根據權利要求1所述的基于代碼特征和流量行為的服務端惡意程序檢測方法,其特征在于,在步驟2中,所述的流量行為向量包括命令執行,域名或ip請求,文件讀取寫入,定時心跳包,加密函數調用,密鑰傳遞,數據庫增刪查改,壓縮與編碼特征。
4.根據權利要求1或2或3所述的基于代碼特征和流量行為的服務端惡意程序檢測方法,其特征在于,所述的步驟3具體包括:
基與Relief算法從訓練集D中隨機選擇一個特征R,然后從和特征R同類的特征中尋找k最近鄰特征H,從和特征R不同類的特征中尋找k最近鄰特征M;以上過程重復m次,即抽樣次數為m,最后得到各特征的平均權重;權重小于設定特征權重閾值的特征將被移除,大于設定特征權重閾值的特征則保留,最后構成新的特征子集。
5.根據權利要求4所述的基于代碼特征和流量行為的服務端惡意程序檢測方法,其特征在于,所述新的特征集的具體實現步驟如下:
設代碼特征組成的組成的樣本集為S1,流量行為向量中相關特征在每個樣本中出現的次數和頻率組成的樣本集為S2,樣例數為n
輸入:樣本集Si(i=1或2),抽樣次數m,特征權重閾值τ;
輸出:Ti(i=1或2);
把Si分成Si+={正例}和Si-={負例};
當抽樣次數小于m時,執行如下操作:
(1)隨機選擇一個樣例X∈Si;
(2)隨機選擇一個距離X最近鄰的一個正例Z+∈Si+;
(3)隨機選擇一個距離X最近鄰的一個負例Z-∈Si-;
(4)如果X是一個正例,那么猜中近鄰Near-hit=Z+;猜錯近鄰Near-miss=Z-,否則猜中近鄰Near-hit=Z-;猜錯近鄰Near-miss=Z+;
(5)當樣例數小于n時,計算權重Wi的值,Wi=Wi-diff(xi,near-hiti)2+diff(xi,near-missi)2;
(6)將最后得到的Wi由大小進行排序,移除權重最低的,組合移除后wi對應的特征,得到Ti(i=1或2),其中代碼特征集為T1,流量行為權集為T2。
6.根據權利要求5所述的基于代碼特征和流量行為的服務端惡意程序檢測方法,其特征在于,所述步驟4中,在所述分類器上,采用決策樹算法對樣本特征數據進行學習。
7.根據權利要求6所述的基于代碼特征和流量行為的服務端惡意程序檢測方法,其特征在于,決策樹算法對樣本特征數據進行學習具體包括以下步驟:
(1)將代碼特征集為T1,流量行為權集為T2組成特征集合,作為訓練樣本集;
(2)計算訓練樣本集中每個特征的信息熵:其中pi為每個特征取得的概率,H(X)為每個特征的信息熵;
(3)選擇信息熵最大的特征作為決策樹的左右子樹劃分,信息熵最大特征作為樹的左子樹,其他作為樹的右子樹,執行步驟(5);
(4)在右結點中選擇信息熵最大特征作為樹的左子樹,其他作為樹的右子樹,若根的深度小于預設值,則執行步驟(3);
(5)將左節點標記為葉子結點,里面特征標記為訓練樣本集中樣本最多的特征,執行步驟(6);
(6)將得到的決策樹模型作為特征檢測模型。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于四川長虹電器股份有限公司,未經四川長虹電器股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011475292.6/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種多設備位姿共享方法及裝置
- 下一篇:一種纖維素酶及其應用
