[發(fā)明專利]一種惡意軟件檢測方法及裝置有效
| 申請?zhí)枺?/td> | 202211043847.9 | 申請日: | 2022-08-30 |
| 公開(公告)號: | CN115114627B | 公開(公告)日: | 2022-12-16 |
| 發(fā)明(設(shè)計)人: | 周公延;陳杰;趙林林;薛鋒;童兆豐 | 申請(專利權(quán))人: | 北京微步在線科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京超凡宏宇專利代理事務(wù)所(特殊普通合伙) 11463 | 代理人: | 趙興 |
| 地址: | 100082 北京市*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 惡意 軟件 檢測 方法 裝置 | ||
本申請?zhí)峁┮环N惡意軟件檢測方法及裝置,該方法包括:采集惡意軟件在沙箱中運行時產(chǎn)生的行為數(shù)據(jù),并基于行為數(shù)據(jù)構(gòu)建訓(xùn)練數(shù)據(jù)集;通過隨機游走算法對訓(xùn)練數(shù)據(jù)集進行擴充,得到擴充數(shù)據(jù)集;基于擴充數(shù)據(jù)集,獲取向量化的API調(diào)用序列;基于API調(diào)用序列,構(gòu)建惡意軟件動態(tài)檢測模型;基于惡意軟件動態(tài)檢測模型,對實時運行的待檢測軟件進行檢測,得到惡意軟件檢測結(jié)果。可見,實施這種實施方式,能夠基于隨機游走算法突破目前的檢測困境,從而能夠?qū)阂廛浖M行更有效地檢測,并提高整體的檢測效率。
技術(shù)領(lǐng)域
本申請涉及網(wǎng)絡(luò)安全領(lǐng)域,具體而言,涉及一種惡意軟件檢測方法及裝置。
背景技術(shù)
隨著大數(shù)據(jù)和人工智能技術(shù)的快速發(fā)展,網(wǎng)絡(luò)攻擊呈現(xiàn)出大量、快速、持續(xù)等特性,從而對各大企業(yè)的信息安全帶來了巨大的挑戰(zhàn)。其中,惡意軟件作為一種最容易被利用的惡意攻擊方法,攻擊者為了使其發(fā)揮最大的危害,現(xiàn)在已經(jīng)使其搭載了多線程混淆等多種技術(shù)。而這直接導(dǎo)致了已有的惡意軟件檢測系統(tǒng)無法有效的進行檢測,并且還大幅拉低了惡意軟件的檢測效率。
發(fā)明內(nèi)容
本申請實施例的目的在于提供一種惡意軟件檢測方法及裝置,能夠基于隨機游走算法突破目前的檢測困境,從而能夠?qū)阂廛浖M行更有效地檢測,并提高整體的檢測效率。
本申請實施例第一方面提供了一種惡意軟件檢測方法,包括:
采集惡意軟件在沙箱中運行時產(chǎn)生的行為數(shù)據(jù),并基于所述行為數(shù)據(jù)構(gòu)建訓(xùn)練數(shù)據(jù)集;
通過隨機游走算法對所述訓(xùn)練數(shù)據(jù)集進行擴充,得到擴充數(shù)據(jù)集;
基于所述擴充數(shù)據(jù)集,獲取向量化的API調(diào)用序列;
基于所述API調(diào)用序列,構(gòu)建惡意軟件動態(tài)檢測模型;
基于所述惡意軟件動態(tài)檢測模型,對實時運行的待檢測軟件進行檢測,得到惡意軟件檢測結(jié)果。
在上述實現(xiàn)過程中,該方法可以優(yōu)先采集惡意軟件在沙箱中運行時產(chǎn)生的行為數(shù)據(jù),并基于行為數(shù)據(jù)構(gòu)建訓(xùn)練數(shù)據(jù)集;并通過隨機游走算法對訓(xùn)練數(shù)據(jù)集進行擴充,得到擴充數(shù)據(jù)集;然后,再基于擴充數(shù)據(jù)集,獲取向量化的API調(diào)用序列;再然后,基于API調(diào)用序列,構(gòu)建惡意軟件動態(tài)檢測模型;最后,再基于惡意軟件動態(tài)檢測模型,對實時運行的待檢測軟件進行檢測,得到惡意軟件檢測結(jié)果。可見,實施這種實施方式,能夠基于隨機游走算法突破目前的檢測困境,從而能夠?qū)阂廛浖M行更有效地檢測,并提高整體的檢測效率。
進一步地,所述行為數(shù)據(jù)至少包括進程信息、線程信息以及API調(diào)用函數(shù)名。
進一步地,所述通過隨機游走算法對所述訓(xùn)練數(shù)據(jù)集進行擴充,得到擴充數(shù)據(jù)集的步驟包括:
提取所述訓(xùn)練數(shù)據(jù)集中行為數(shù)據(jù)的API調(diào)用函數(shù)名;
基于所述API調(diào)用函數(shù)名,記錄所述行為數(shù)據(jù)所在的多個線程;
在所述多個線程間調(diào)用隨機游走算法,得到游走數(shù)據(jù);
基于所述游走數(shù)據(jù)對所述訓(xùn)練數(shù)據(jù)集進行擴充,得到擴充數(shù)據(jù)集。
進一步地,所述基于所述擴充數(shù)據(jù)集,獲取向量化的API調(diào)用序列的步驟包括:
提取所述擴充數(shù)據(jù)集中的所有API調(diào)用函數(shù)名;
對所述API調(diào)用函數(shù)名進行編碼處理,得到API調(diào)用函數(shù)表;
基于所述API調(diào)用函數(shù)表進行向量化處理,得到向量化的API調(diào)用序列。
進一步地,所述基于所述惡意軟件動態(tài)檢測模型,對實時運行的待檢測軟件進行檢測,得到惡意軟件檢測結(jié)果的步驟包括:
記錄實時運行的待檢測軟件的API調(diào)用行為;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京微步在線科技有限公司,未經(jīng)北京微步在線科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211043847.9/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強方法、惡意程序檢測方法及對應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計算機設(shè)備和存儲介質(zhì)
- 一種基于應(yīng)用軟件散布的軟件授權(quán)與保護方法及系統(tǒng)
- 一種用于航空機載設(shè)備的軟件在線加載系統(tǒng)及方法
- 軟件構(gòu)建方法、軟件構(gòu)建裝置和軟件構(gòu)建系統(tǒng)
- 惡意軟件檢測方法及裝置
- 一種基于軟件基因的軟件同源性分析方法和裝置
- 軟件引入系統(tǒng)、軟件引入方法及存儲介質(zhì)
- 軟件驗證裝置、軟件驗證方法以及軟件驗證程序
- 使用靜態(tài)和動態(tài)惡意軟件分析來擴展惡意軟件的動態(tài)檢測
- 一種工業(yè)控制軟件構(gòu)建方法和軟件構(gòu)建系統(tǒng)
- 可替換游戲軟件與測驗軟件的裝置與方法
