欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

惡意程序檢測方法及裝置與流程

文檔序號:12467779閱讀:243來源:國知局
惡意程序檢測方法及裝置與流程

本發(fā)明涉及系統(tǒng)安全與網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其是涉及一種惡意程序檢測方法及裝置。



背景技術(shù):

惡意程序通常是指帶有攻擊意圖的一段程序,是編寫者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù),影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼,包括但不限于蠕蟲、病毒和木馬。現(xiàn)在計算機(jī)和通信基礎(chǔ)設(shè)施非常容易遭受惡意程序的攻擊,網(wǎng)絡(luò)連接的高速發(fā)展使得惡意程序以更快的速度傳播并感染主機(jī),進(jìn)而損害個人、商業(yè)公司和政府的利益。

傳統(tǒng)的惡意程序檢測方法主要采用基于簽名的方式,具體的檢測過程如下:選取已知的惡意文件,從惡意文件中提取簽名,其中,該簽名為一些短小且唯一的字符串,然后將提取出的簽名作為特征組成特征庫;檢測未知文件時,若未知文件包含特征庫中的特征,則判定該未知文件為惡意程序;若未知文件不包含特征庫中的特征,則判定該未知文件為正常程序。

傳統(tǒng)的惡意程序檢測方法主要是通過檢測未知文件中是否包含特征庫中的特征來確定該未知文件是否為惡意程序,由于特征庫中只存儲有已知的惡意文件的特征,因此現(xiàn)有的惡意程序檢測方法只能識別已知的惡意程序,無法有效地識別新型的惡意程序。



技術(shù)實現(xiàn)要素:

有鑒于此,本發(fā)明的目的在于提供一種惡意程序檢測方法及裝置,以解決現(xiàn)有的惡意程序檢測方法只能識別已知的惡意程序,無法有效地識別新型的惡意程序的技術(shù)問題。

第一方面,本發(fā)明實施例提供了一種惡意程序檢測方法,包括:獲取待檢測程序,提取所述待檢測程序的特征;根據(jù)所述待檢測程序的特征和預(yù)先獲得的特征庫,確定所述待檢測程序?qū)?yīng)的特征向量;利用訓(xùn)練好的分類器對所述特征向量進(jìn)行檢測,以確定所述待檢測程序是否為惡意程序。

結(jié)合第一方面,本發(fā)明實施例提供了第一方面的第一種可能的實施方式,其中,提取所述待檢測程序的特征,包括:提取所述待檢測程序的操作碼,根據(jù)所述操作碼確定所述待檢測程序的特征。

結(jié)合第一方面,本發(fā)明實施例提供了第一方面的第二種可能的實施方式,其中,根據(jù)所述待檢測程序的特征和預(yù)先獲得的特征庫,確定所述待檢測程序?qū)?yīng)的特征向量,包括:在所述待檢測程序的多個特征中,逐一查找所述特征庫中的每個特征;當(dāng)查找到所述特征庫中的特征時,將所述特征庫中被查找到的特征標(biāo)記為第一預(yù)設(shè)值,否則,將所述特征庫中未被查找到的特征標(biāo)記為第二預(yù)設(shè)值;根據(jù)所述特征庫中各個特征的標(biāo)記結(jié)果和各個特征的排列順序,確定所述待檢測程序?qū)?yīng)的特征向量。

結(jié)合第一方面、第一方面的第一種、第一方面的第二種中任一種可能的實施方式,本發(fā)明實施例提供了第一方面的第三種可能的實施方式,其中,所述特征庫通過以下方法獲得:獲取滿足預(yù)設(shè)樣本要求的程序樣本,提取所述程序樣本的特征,其中,所述程序樣本包括正常樣本和惡意樣本;對所述程序樣本的特征進(jìn)行篩選,得到分類效果滿足預(yù)設(shè)分類要求的特征;將所述分類效果滿足預(yù)設(shè)分類要求的特征進(jìn)行組合,得到所述特征庫。

結(jié)合第一方面的第三種可能的實施方式,本發(fā)明實施例提供了第一方面的第四種可能的實施方式,其中,所述分類器通過以下方式訓(xùn)練:根據(jù)所述程序樣本的特征和所述特征庫,確定所述程序樣本對應(yīng)的特征向量;根據(jù)所述程序樣本對應(yīng)的特征向量對所述分類器進(jìn)行訓(xùn)練。

第二方面,本發(fā)明實施例還提供一種惡意程序檢測裝置,包括:特征提取模塊,用于獲取待檢測程序,提取所述待檢測程序的特征;特征向量確定模塊,用于根據(jù)所述待檢測程序的特征和預(yù)先獲得的特征庫,確定所述待檢測程序?qū)?yīng)的特征向量;檢測模塊,用于利用訓(xùn)練好的分類器對所述特征向量進(jìn)行檢測,以確定所述待檢測程序是否為惡意程序。

結(jié)合第二方面,本發(fā)明實施例提供了第二方面的第一種可能的實施方式,其中,所述特征提取模塊具體用于:提取所述待檢測程序的操作碼,根據(jù)所述操作碼確定所述待檢測程序的特征。

結(jié)合第二方面,本發(fā)明實施例提供了第二方面的第二種可能的實施方式,其中,所述特征向量確定模塊包括:特征查找單元,用于在所述待檢測程序的多個特征中,逐一查找所述特征庫中的每個特征;標(biāo)記單元,用于當(dāng)所述特征查找單元查找到所述特征庫中的特征時,將所述特征庫中被查找到的特征標(biāo)記為第一預(yù)設(shè)值,否則,將所述特征庫中未被查找到的特征標(biāo)記為第二預(yù)設(shè)值;第一確定單元,用于根據(jù)所述特征庫中各個特征的標(biāo)記結(jié)果和各個特征的排列順序,確定所述待檢測程序?qū)?yīng)的特征向量。

結(jié)合第二方面、第二方面的第一種、第二方面的第二種中任一種可能的實施方式,本發(fā)明實施例提供了第二方面的第三種可能的實施方式,其中,所述裝置還包括特征庫建立模塊,所述特征庫建立模塊包括:

特征提取單元,用于獲取滿足預(yù)設(shè)樣本要求的程序樣本,提取所述程序樣本的特征,其中,所述程序樣本包括正常樣本和惡意樣本;特征篩選單元,用于對所述程序樣本的特征進(jìn)行篩選,得到分類效果滿足預(yù)設(shè)分類要求的特征;特征庫建立單元,用于將所述分類效果滿足預(yù)設(shè)分類要求的特征進(jìn)行組合,得到所述特征庫。

結(jié)合第二方面的第三種可能的實施方式,本發(fā)明實施例提供了第二方面的第四種可能的實施方式,其中,所述裝置還包括訓(xùn)練模塊,所述訓(xùn)練模塊包括:

第二確定單元,用于根據(jù)所述程序樣本的特征和所述特征庫,確定所述程序樣本對應(yīng)的特征向量;訓(xùn)練單元,用于根據(jù)所述程序樣本對應(yīng)的特征向量對所述分類器進(jìn)行訓(xùn)練。

本發(fā)明實施例帶來了以下有益效果:

在本發(fā)明實施例中,獲取待檢測程序,提取待檢測程序的特征,根據(jù)待檢測程序的特征和預(yù)先獲得的特征庫,確定待檢測程序?qū)?yīng)的特征向量,利用訓(xùn)練好的分類器對該特征向量進(jìn)行檢測,以確定該待檢測程序是否為惡意程序。由于已知的惡意程序和未知的惡意程序具有共同的行為模式,訓(xùn)練好的分類器可以根據(jù)待檢測程序?qū)?yīng)的特征向量,來識別該待檢測程序是否具有惡意程序的共同的行為模式,從而確定該待檢測程序是否為惡意程序,因此通過本發(fā)明實施例提供的惡意程序檢測方法及裝置,不僅可以準(zhǔn)確地識別已知的惡意程序,也可以有效地識別新型的惡意程序,從而解決現(xiàn)有的惡意程序檢測方法只能識別已知的惡意程序,無法有效地識別新型的惡意程序的技術(shù)問題。

本發(fā)明的其他特征和優(yōu)點將在隨后的說明書中闡述,并且,部分地從說明書中變得顯而易見,或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。

為使本發(fā)明的上述目的、特征和優(yōu)點能更明顯易懂,下文特舉較佳實施例,并配合所附附圖,作詳細(xì)說明如下。

附圖說明

為了更清楚地說明本發(fā)明具體實施方式或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對具體實施方式或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施方式,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明第一實施例提供的惡意程序檢測方法的流程示意圖;

圖2為本發(fā)明第一實施例提供的惡意程序檢測方法中確定特征向量的流程示意圖;

圖3為本發(fā)明第一實施例提供的建立特征庫的流程示意圖;

圖4為本發(fā)明第一實施例提供的訓(xùn)練分類器的流程示意圖;

圖5a為本發(fā)明第一實施例提供的不同惡意樣本占比對應(yīng)的準(zhǔn)確度的實驗結(jié)果示意圖;

圖5b為本發(fā)明第一實施例提供的不同惡意樣本占比對應(yīng)的召回率的實驗結(jié)果示意圖;

圖5c為本發(fā)明第一實施例提供的不同惡意樣本占比對應(yīng)的漏報率的實驗結(jié)果示意圖;

圖6a為本發(fā)明第一實施例提供的不同程序樣本數(shù)量對應(yīng)的準(zhǔn)確度的實驗結(jié)果示意圖;

圖6b為本發(fā)明第一實施例提供的不同程序樣本數(shù)量對應(yīng)的召回率的實驗結(jié)果示意圖;

圖6c為本發(fā)明第一實施例提供的不同程序樣本數(shù)量對應(yīng)的漏報率的實驗結(jié)果示意圖;

圖7a為本發(fā)明第一實施例提供的不同特征篩選算法對應(yīng)的準(zhǔn)確度的實驗結(jié)果示意圖;

圖7b為本發(fā)明第一實施例提供的不同特征篩選算法對應(yīng)的召回率的實驗結(jié)果示意圖;

圖7c為本發(fā)明第一實施例提供的不同特征篩選算法對應(yīng)的漏報率的實驗結(jié)果示意圖;

圖8為本發(fā)明第二實施例提供的惡意程序檢測裝置的模塊組成示意圖;

圖9為本發(fā)明第二實施例提供的惡意程序檢測裝置中特征向量確定模塊的單元組成示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍。

目前傳統(tǒng)的惡意程序檢測方法主要是通過檢測未知文件中是否包含特征庫中的特征來確定該未知文件是否為惡意程序,由于特征庫中只存儲有已知的惡意文件的特征,因此現(xiàn)有的惡意程序檢測方法只能識別已知的惡意程序,無法有效地識別新型的惡意程序。基于此,本發(fā)明實施例提供的一種惡意程序檢測方法及裝置,可以解決現(xiàn)有的惡意程序檢測方法只能識別已知的惡意程序,無法有效地識別新型的惡意程序的技術(shù)問題。

為便于對本實施例進(jìn)行理解,首先對本發(fā)明實施例所公開的一種惡意程序檢測方法進(jìn)行詳細(xì)介紹。

實施例一:

圖1為本發(fā)明第一實施例提供的惡意程序檢測方法的流程示意圖,如圖1所示,該方法包括以下步驟:

步驟S110,獲取待檢測程序,提取待檢測程序的特征。

獲取需要進(jìn)行惡意程序檢測的待檢測程序,提取該待檢測程序的操作碼,根據(jù)該操作碼確定該待檢測程序的特征。

具體地,對待檢測程序進(jìn)行反匯編,可以利用OD、IDA Pro、radare2、DEBUG、C32等反匯編工具。根據(jù)反匯編的結(jié)果對該待檢測程序進(jìn)行操作碼的提取和解析,即提取出操作碼后,將提取出的操作碼映射成操作碼數(shù)字,多個操作碼數(shù)字組合形成操作碼數(shù)字序列。例如:編寫JAVA程序進(jìn)行操作碼的提取,再根據(jù)預(yù)設(shè)的操作碼和數(shù)字對應(yīng)關(guān)系進(jìn)行操作碼的解析,若預(yù)設(shè)的操作碼和數(shù)字對應(yīng)關(guān)系為MOV對應(yīng)數(shù)字1,PUSH對應(yīng)數(shù)字2,POP對應(yīng)數(shù)字3,XCHG對應(yīng)數(shù)字4,XLAT對應(yīng)數(shù)字5,待檢測程序包含的操作碼依次為MOV、PUSH、POP、XCHG和XLAT,則待檢測程序?qū)?yīng)的操作碼數(shù)字序列為1.2.3.4.5。

根據(jù)上述獲得的操作碼數(shù)字序列,可以采用N-Gram算法對待檢測程序進(jìn)行特征的快速提取。優(yōu)選地,N-Gram算法中,元操作碼N的取值為1至15,該N值表示提取出的每個特征所包括的操作碼數(shù)字的個數(shù)。例如:N取值為3,待檢測程序?qū)?yīng)的操作碼數(shù)字序列為1.2.3.4.5,則提取出的特征為1.2.3,2.3.4,3.4.5。

步驟S120,根據(jù)待檢測程序的特征和預(yù)先獲得的特征庫,確定該待檢測程序?qū)?yīng)的特征向量。

圖2為本發(fā)明第一實施例提供的惡意程序檢測方法中確定特征向量的流程示意圖,如圖2所示,步驟S120具體包括以下三個步驟:

步驟S121,在待檢測程序的多個特征中,逐一查找特征庫中的每個特征。

步驟S122,當(dāng)查找到特征庫中的特征時,將特征庫中被查找到的特征標(biāo)記為第一預(yù)設(shè)值,否則,將特征庫中未被查找到的特征標(biāo)記為第二預(yù)設(shè)值。

步驟S123,根據(jù)特征庫中各個特征的標(biāo)記結(jié)果和各個特征的排列順序,確定待檢測程序?qū)?yīng)的特征向量。

具體地,特征庫中包括按照一定順序排列的多個特征,本實施例中,在待檢測程序的多個特征中,逐一查找特征庫中的每個特征,根據(jù)查找結(jié)果對特征庫中的每個特征的值進(jìn)行標(biāo)記,由于特征庫中的多個特征按照一定順序排列,因此標(biāo)記結(jié)束后,能夠根據(jù)特征庫中各個特征的值,得到一個向量,該向量即為待檢測程序?qū)?yīng)的特征向量,顯然該特征向量的維度與特征庫中包含的特征個數(shù)相同。

例如,特征庫中包含依次排列的5個特征,第一預(yù)設(shè)值為1,第二預(yù)設(shè)值為0,其中,特征庫中的第一個和第三個特征在該待檢測程序的多個特征中被查找到,其他特征未被查找到,則該待檢測程序?qū)?yīng)的特征向量為(1,0,1,0,0)。

步驟S130,利用訓(xùn)練好的分類器對上述特征向量進(jìn)行檢測,以確定待檢測程序是否為惡意程序。

具體地,利用訓(xùn)練好的分類器對上述特征向量進(jìn)行檢測,可以得到待檢測程序是否為惡意程序的檢測結(jié)果,分類器的準(zhǔn)確度、召回率和漏報率可以為檢測結(jié)果的可靠性提供參考。

基于上述分析可知,本發(fā)明實施例提供的惡意程序檢測方法具有以下有益效果:

在本發(fā)明實施例中,獲取待檢測程序,提取待檢測程序的特征,根據(jù)待檢測程序的特征和預(yù)先獲得的特征庫,確定待檢測程序?qū)?yīng)的特征向量,利用訓(xùn)練好的分類器對該特征向量進(jìn)行檢測,以確定該待檢測程序是否為惡意程序。由于已知的惡意程序和未知的惡意程序具有共同的行為模式,訓(xùn)練好的分類器可以根據(jù)待檢測程序?qū)?yīng)的特征向量,來識別該待檢測程序是否具有惡意程序的共同的行為模式,從而確定該待檢測程序是否為惡意程序,因此通過本發(fā)明實施例提供的惡意程序檢測方法,不僅可以準(zhǔn)確地識別已知的惡意程序,也可以有效地識別新型的惡意程序,從而解決現(xiàn)有的惡意程序檢測方法只能識別已知的惡意程序,無法有效地識別新型的惡意程序的技術(shù)問題。

圖3為本發(fā)明第一實施例提供的建立特征庫的流程示意圖,如圖3所示,上述特征庫可以通過步驟S210、S220和S230建立:

步驟S210,獲取滿足預(yù)設(shè)樣本要求的程序樣本,提取該程序樣本的特征,其中,該程序樣本包括正常樣本和惡意樣本。

具體地,程序樣本的獲取包括但不限于以下方式:從已有的病毒庫中下載多個病毒程序作為惡意樣本,從Windows XP系統(tǒng)內(nèi)下載多個系統(tǒng)程序作為正常樣本。利用靜態(tài)分析軟件進(jìn)行樣本預(yù)處理。對獲取的程序樣本進(jìn)行批量查殼,可以采用PEiD、Detect it Easy或者Fast Scanner等查殼工具。對獲取的程序樣本進(jìn)行查殼后,從該程序樣本中篩選滿足預(yù)設(shè)樣本要求的程序樣本,其中,滿足預(yù)設(shè)樣本要求的程序樣本為無殼樣本,無殼樣本包括不帶殼樣本,還可以包括脫殼后樣本。為方便處理,優(yōu)選地,滿足預(yù)設(shè)樣本要求的程序樣本為不帶殼樣本。

提取上述滿足預(yù)設(shè)樣本要求的程序樣本的特征,提取特征的具體過程與步驟S110相同,此處不再贅述。

步驟S220,對上述程序樣本的特征進(jìn)行篩選,得到分類效果滿足預(yù)設(shè)分類要求的特征。

具體地,可以采用但不限于信息增益算法,對上述程序樣本的特征進(jìn)行篩選。一個特征的信息增益越大,分類效果越好,根據(jù)基于信息增益的特征篩選算法,可以得到按分類效果由好到差排序的多個特征,在該程序樣本的多個特征中選取分類效果滿足預(yù)設(shè)分類要求的特征,例如選取前50個分類效果較好的特征。

步驟S230,將分類效果滿足預(yù)設(shè)分類要求的特征進(jìn)行組合,得到特征庫。

具體地,可以但不限于按照分類效果的排序,將滿足預(yù)設(shè)分類要求的特征組成特征庫,例如,按照分類效果由好到差的順序,將滿足預(yù)設(shè)分類要求的特征排序,得到特征庫。

圖4為本發(fā)明第一實施例提供的訓(xùn)練分類器的流程示意圖,如圖4所示,上述訓(xùn)練好的分類器可以通過以下步驟進(jìn)行訓(xùn)練:

步驟S310,根據(jù)上述程序樣本的特征和特征庫,確定該程序樣本對應(yīng)的特征向量。

根據(jù)步驟S210得到的程序樣本的特征和步驟S230得到的特征庫,將程序樣本中的正常樣本和惡意樣本轉(zhuǎn)化成分類器可以識別的向量形式,確定該程序樣本對應(yīng)的特征向量,具體過程與步驟S120相同,此處不再贅述。

步驟S320,根據(jù)該程序樣本對應(yīng)的特征向量對分類器進(jìn)行訓(xùn)練。

具體地,將步驟S310得到的該程序樣本對應(yīng)的特征向量輸入分類器中,可以采用基于網(wǎng)格搜索法的支持向量機(jī)分類算法對分類器進(jìn)行參數(shù)調(diào)優(yōu),使得分類器獲得較好的分類效果。

訓(xùn)練好的分類器可以進(jìn)行周期性的更新,以提高分類器的準(zhǔn)確度和召回率,降低漏報率。

本發(fā)明實施例提供了分類器的準(zhǔn)確度、召回率和漏報率分別與N-Gram算法中元操作碼N取值的關(guān)系的實驗結(jié)果。

圖5a、圖5b和圖5c分別為不同惡意樣本占比對應(yīng)的準(zhǔn)確度、召回率和漏報率的實驗結(jié)果示意圖,其中,惡意樣本占比包括30%、40%、50%、60%和70%,訓(xùn)練分類器的程序樣本數(shù)量為800,采用信息增益算法。

從圖5a的準(zhǔn)確度的實驗結(jié)果示意圖中可以看出:惡意樣本占比為50%或者60%時,準(zhǔn)確度均明顯高于其他占比情況的準(zhǔn)確度,其中,當(dāng)N取值為1至7中任一值時,準(zhǔn)確度較高,為0.98左右,當(dāng)N大于7時,準(zhǔn)確度逐漸降低至0.88左右。惡意樣本占比為30%時,整體的準(zhǔn)確度較低。

從圖5b的召回率的實驗結(jié)果示意圖中可以看出:惡意樣本占比為50%、60%或者70%時,召回率均明顯高于其他占比情況的召回率,其中,當(dāng)N取值為1至8中任一值時,召回率較高,為0.99左右,當(dāng)N大于8時,召回率稍微降低至0.96左右。

從圖5c的漏報率的實驗結(jié)果示意圖中可以看出:惡意樣本占比為30%、40%、50%以及60%時,漏報率均明顯低于占比為70%的漏報率,其中當(dāng)N取值為1至7時,漏報率較低,為0.02左右,當(dāng)N大于7時,漏報率隨N的增大而升高至0.18左右。

因此,本實施例中的最佳惡意樣本占比為50%,N取值為1至7。

圖6a、圖6b和圖6c分別為不同程序樣本數(shù)量對應(yīng)的準(zhǔn)確度、召回率和漏報率的實驗結(jié)果示意圖,其中,程序樣本數(shù)量包括400、600和800,惡意樣本占比為50%,采用信息增益算法。

從圖6a的準(zhǔn)確度的實驗結(jié)果示意圖中可以看出:程序樣本數(shù)量為800時,準(zhǔn)確度大于其他情況,其中,當(dāng)N取值為1至7中任一值時,準(zhǔn)確度較高,為0.98左右,當(dāng)N大于7時,準(zhǔn)確度逐漸降低至0.88左右。

從圖6b的召回率的實驗結(jié)果示意圖中可以看出:程序樣本數(shù)量為800時,召回率高于其他情況,其中,當(dāng)N取值為1至8中任一值時,召回率較高,為0.99左右,當(dāng)N大于8時,召回率稍微降低至0.96左右。

從圖6c的漏報率的實驗結(jié)果示意圖中可以看出:當(dāng)N取值為1至6中任一值時,不同程序樣本數(shù)量的漏報率基本一致,為0.01左右。當(dāng)N大于8時,漏報率顯著升高,可達(dá)0.2。

因此,本實施例中的最佳程序樣本數(shù)量為800,N取值為1至7。根據(jù)本實驗結(jié)果可以推測,程序樣本數(shù)量越多,訓(xùn)練出的分類器的分類效果越好。

圖7a、圖7b和圖7c分別為不同特征篩選算法對應(yīng)的準(zhǔn)確度、召回率和漏報率的實驗結(jié)果示意圖,其中,特征篩選算法包括信息增益算法和絕對比例區(qū)分算法(CPD),惡意樣本占比為50%,程序樣本數(shù)量為800。

從圖7a、圖7b和圖7c中可以看出,信息增益算法在準(zhǔn)確度、召回率、漏報率三個方面均明顯優(yōu)于絕對比例區(qū)分算法,且當(dāng)N取值為1至7時,效果較好。

綜合上述實驗結(jié)果可知,當(dāng)元操作碼N取值為1至7,惡意樣本占比為50%,程序樣本數(shù)量為800,采用信息增益算法時,獲得的分類器的分類效果較好。

實施例二:

圖8為本發(fā)明第二實施例提供的惡意程序檢測裝置的模塊組成示意圖,如圖8所示,該惡意程序檢測裝置包括:特征提取模塊10,用于獲取待檢測程序,提取待檢測程序的特征;特征向量確定模塊20,用于根據(jù)待檢測程序的特征和預(yù)先獲得的特征庫,確定待檢測程序?qū)?yīng)的特征向量;檢測模塊30,用于利用訓(xùn)練好的分類器對該特征向量進(jìn)行檢測,以確定該待檢測程序是否為惡意程序。

其中,特征提取模塊10具體用于:提取待檢測程序的操作碼,根據(jù)該操作碼確定待檢測程序的特征。

圖9為本發(fā)明第二實施例提供的惡意程序檢測裝置中特征向量確定模塊的單元組成示意圖,如圖9所示,特征向量確定模塊20包括:特征查找單元21,用于在待檢測程序的多個特征中,逐一查找特征庫中的每個特征;標(biāo)記單元22,用于當(dāng)特征查找單元21查找到特征庫中的特征時,將特征庫中被查找到的特征標(biāo)記為第一預(yù)設(shè)值,否則,將特征庫中未被查找到的特征標(biāo)記為第二預(yù)設(shè)值;第一確定單元23,用于根據(jù)特征庫中各個特征的標(biāo)記結(jié)果和各個特征的排列順序,確定待檢測程序?qū)?yīng)的特征向量。

基于上述分析可知,本發(fā)明實施例提供的惡意程序檢測裝置具有以下有益效果:

在本發(fā)明實施例中,特征提取模塊10獲取待檢測程序,提取待檢測程序的特征,特征向量確定模塊20根據(jù)待檢測程序的特征和預(yù)先獲得的特征庫,確定待檢測程序?qū)?yīng)的特征向量,檢測模塊30利用訓(xùn)練好的分類器對該特征向量進(jìn)行檢測,以確定該待檢測程序是否為惡意程序。由于已知的惡意程序和未知的惡意程序具有共同的行為模式,訓(xùn)練好的分類器可以根據(jù)待檢測程序?qū)?yīng)的特征向量,來識別該待檢測程序是否具有惡意程序的共同的行為模式,從而確定該待檢測程序是否為惡意程序,因此通過本發(fā)明實施例提供的惡意程序檢測裝置,不僅可以準(zhǔn)確地識別已知的惡意程序,也可以有效地識別新型的惡意程序,從而解決現(xiàn)有的惡意程序檢測方法只能識別已知的惡意程序,無法有效地識別新型的惡意程序的技術(shù)問題。

本發(fā)明實施例提供的裝置還包括特征庫建立模塊,該特征庫建立模塊包括:特征提取單元,用于獲取滿足預(yù)設(shè)樣本要求的程序樣本,提取該程序樣本的特征,其中,該程序樣本包括正常樣本和惡意樣本;特征篩選單元,用于對程序樣本的特征進(jìn)行篩選,得到分類效果滿足預(yù)設(shè)分類要求的特征;特征庫建立單元,用于將分類效果滿足預(yù)設(shè)分類要求的特征進(jìn)行組合,得到特征庫。

本發(fā)明實施例提供的裝置還包括訓(xùn)練模塊,該訓(xùn)練模塊包括:第二確定單元,用于根據(jù)程序樣本的特征和特征庫,確定該程序樣本對應(yīng)的特征向量;訓(xùn)練單元,用于根據(jù)程序樣本對應(yīng)的特征向量對分類器進(jìn)行訓(xùn)練。

本發(fā)明實施例提供的惡意程序檢測裝置,與上述實施例提供的惡意程序檢測方法具有相同的技術(shù)特征,所以也能解決相同的技術(shù)問題,達(dá)到相同的技術(shù)效果。

本發(fā)明實施例所提供的惡意程序檢測方法及裝置的計算機(jī)程序產(chǎn)品,包括存儲了程序代碼的計算機(jī)可讀存儲介質(zhì),所述程序代碼包括的指令可用于執(zhí)行前面方法實施例中所述的方法,具體實現(xiàn)可參見方法實施例,在此不再贅述。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為描述的方便和簡潔,上述描述的裝置的具體工作過程,可以參考前述方法實施例中的對應(yīng)過程,在此不再贅述。

所述功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時,可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括:U盤、移動硬盤、只讀存儲器(ROM,Read-Only Memory)、隨機(jī)存取存儲器(RAM,Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

在本發(fā)明的描述中,需要說明的是,術(shù)語“中心”、“上”、“下”、“左”、“右”、“豎直”、“水平”、“內(nèi)”、“外”等指示的方位或位置關(guān)系為基于附圖所示的方位或位置關(guān)系,僅是為了便于描述本發(fā)明和簡化描述,而不是指示或暗示所指的裝置或元件必須具有特定的方位、以特定的方位構(gòu)造和操作,因此不能理解為對本發(fā)明的限制。此外,術(shù)語“第一”、“第二”、“第三”僅用于描述目的,而不能理解為指示或暗示相對重要性。

最后應(yīng)說明的是:以上所述實施例,僅為本發(fā)明的具體實施方式,用以說明本發(fā)明的技術(shù)方案,而非對其限制,本發(fā)明的保護(hù)范圍并不局限于此,盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),其依然可以對前述實施例所記載的技術(shù)方案進(jìn)行修改或可輕易想到變化,或者對其中部分技術(shù)特征進(jìn)行等同替換;而這些修改、變化或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明實施例技術(shù)方案的精神和范圍,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。

當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
靖安县| 绵阳市| 商洛市| 肇庆市| 西吉县| 福建省| 滨州市| 乌鲁木齐市| 铜陵市| 广河县| 杂多县| 黄冈市| 宝应县| 黄大仙区| 吉隆县| 苏尼特右旗| 伊通| 鄂尔多斯市| 文山县| 宁晋县| 呼伦贝尔市| 赤峰市| 保定市| 万盛区| 菏泽市| 翁牛特旗| 长寿区| 平谷区| 莱芜市| 称多县| 衡水市| 崇仁县| 澄江县| 台中县| 阿鲁科尔沁旗| 龙里县| 永城市| 定边县| 长岭县| 昌黎县| 丹阳市|