[發明專利]一種基于行為建模的惡意軟件檢測方法在審

申請號：	202110294638.0	申請日：	2021-03-19
公開（公告）號：	CN112948832A	公開（公告）日：	2021-06-11
發明（設計）人：	蘇娟娟;林巧民;謝強;沈慧琳;周斌	申請（專利權）人：	南京郵電大學
主分類號：	G06F21/56	分類號：	G06F21/56
代理公司：	南京蘇科專利代理有限責任公司 32102	代理人：	范丹丹
地址：	210000 江蘇***	國省代碼：	江蘇;32
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	一種基于行為建模惡意軟件檢測方法
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種基于行為建模的惡意軟件檢測方法，其特征在于：該方法包括以下步驟：

S1：采集惡意軟件和良性軟件調用的權限、API和產生的行為數據，按照軟件的類型進行分類；

S2：將S1步驟中采集到的數據進行預處理，并將采集到的行為根據時間排序，將每條行為與所調用的權限和API進行關聯，形成一個數據集，利用機器學習算法訓練模型；

S3：根據S2步驟中得到的模型來檢測當前軟件產生的行為，判斷行為是否為惡意行為，并對每個軟件設置信任值，通過行為檢測結果維護信任值，當信任值低于閾值的時候，判斷軟件為惡意軟件。

2.根據權利要求1所述的一種基于行為建模的惡意軟件檢測方法，其特征在于：在所述S1步驟中，行為數據通過監測流量，數據包，后臺信息進行綜合判斷。

3.根據權利要求1所述的一種基于行為建模的惡意軟件檢測方法，其特征在于：在所述S2步驟中，獲取的行為序列應統計每一類軟件中用戶在正常操作中，軟件所產生行為的排序，即記錄軟件產生行為的列表，行為模型庫中應有一定數據樣本進行訓練。

4.根據權利要求1所述的一種基于行為建模的惡意軟件檢測方法，其特征在于：在所述S2步驟中，把行為進行排序，使用機器學習進行訓練，以軟件開始運行的行為為第一位，記錄一段行為序列，設定一段距離的行為序列作為一條數據進行訓練，后一條數據是在上一條數據序列號+1的基礎上進行排序。

5.根據權利要求1所述的一種基于行為建模的惡意軟件檢測方法，其特征在于：在所述S3步驟中，通過對每個軟件設定閾值，當軟件產生行為，即對該待測軟件的行為序列進行檢測，判斷該行為是否為惡意行為，當軟件產生的行為為惡意行為，則對該待測軟件的信任值進行降低分值并更新。

6.根據權利要求5所述的一種基于行為建模的惡意軟件檢測方法，其特征在于：當發現有通過權限進行惡意行為，則對該待測軟件信任值減去20，若發現存在惡意行為的惡意代碼，則按照惡意代碼的比例降低分值，根據軟件正常的行為序列進行分析，如果待測軟件調用的特征碼使得待測軟件產生的行為在數據庫中沒有記錄，則判為惡意行為；當軟件進行更新之后，檢測方案對待測軟件的閾值會自動調整，防止有些軟件通過更新繞過檢測。

7.根據權利要求1所述的一種基于行為建模的惡意軟件檢測方法，其特征在于：在所述S3步驟中，軟件的行為不可預測，通過實時監測捕獲數據來判斷，軟件的行為所帶來的結果也不同，如果是良性行為則不具備危害，該軟件的信任值不做變動，如果軟件產生的行為是惡意行為，則會根據軟件行為產生的危害值的大小對信任值進行更新；如果軟件行為涉及泄露用戶隱私，竊取賬號，則直接對這個軟件的信任值直接清零，對軟件進行隔離。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于南京郵電大學，未經南京郵電大學許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202110294638.0/1.html，轉載請聲明來源鉆瓜專利網。