龙图腾网&IPTOP
- 微信扫码登录
- 账号密码登录
- 短信登录/注册
买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:中国科学院信息工程研究所
摘要:本发明公开了一种逃避型恶意软件检测方法及系统,涉及计算机网络安全领域。本发明基于收集的正常软件样本和逃避型恶意软件样本构建训练样本集和验证样本集,运行样本并分析得到用户态API调用序列和内核态系统调用序列;基于这两个样本集中的这两种序列训练得到用户态行为特征检测模型和内核态行为特征检测模型并作为基模型,与元模型堆叠训练得到多态行为特征集成检测模型,利用该模型进行逃避型恶意软件检测。本发明融合基于两种调用序列分类模型,有效地捕捉恶意软件在不同操作层面的行为特征,并通过堆叠法融合多个模型的输出,显著提升了对逃避型恶意软件检测的准确性和效率。
主权项:1.一种逃避型恶意软件检测方法,其特征在于,包括以下步骤:1收集正常软件样本和逃避型恶意软件样本,构建均包含这两种样本的训练样本集和验证样本集;2运行并分析训练样本集和验证样本集中的每一个样本,获取用户态API调用序列和内核态系统调用序列;3将训练样本集的用户态API调用序列输入到随机森林算法中进行监督学习训练,并利用验证样本集的用户态API调用序列进行参数优化,得到用户态行为特征检测模型;4将训练样本集的内核态系统调用序列输入到基于卷积神经网络和双向长短时记忆网络的混合神经网络进行监督学习训练,并利用验证样本集的内核态系统调用序列进行参数优化,得到内核态行为特征检测模型;5将用户态行为特征检测模型预测的用户态行为特征和内核态行为特征检测模型预测的内核态行为特征共同组成元特征,输入朴素贝叶斯算法中进行监督学习训练,得到元模型;6将用户态行为特征检测模型和内核态行为特征检测模型作为基模型,和元模型共同组成初始的多态行为特征集成检测模型,并利用验证样本集的用户态API调用序列和内核态系统调用序列对其中的元模型进行参数优化,得到训练好的多态行为特征集成检测模型;7捕获软件的行为信息,输入到训练好的多态行为特征集成检测模型,预测是否为逃避型恶意软件。
全文数据:
权利要求:
百度查询: 中国科学院信息工程研究所 一种逃避型恶意软件检测方法及系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。
主营中国专利交易买卖与专利转让许可,高校科技成果推广与科技成果转化,知识产权运营管理与平台开发,科技人才专家库与科技猎头等科技服务
开放平台
担保交易
惠及多方
会员特惠
专属平台
适合多方
数据共享
功能齐全
皖公网安备 34010402703815号