[发明专利]一种基于GPU与贝叶斯网络推理的未知木马的检测方法

说明书

本发明提供一种基于GPU与贝叶斯网络推理的未知木马的检测方法，采用基于GPU加速的贝叶斯学习理论进行未知木马的检测，使用贝叶斯网络构建未知木马的检测模型，通过贝叶斯网络的推理解决了未知木马检测过程中存在的特征分类困难、概率性行为识别等问题。通过贝叶斯网络用条件概率表达系统程序之间的不确定性因果关系，具有更强的处理不确定性信息的能力及特有的推理机制，不需要硬性定义木马特征，因此具有较强的适用性。在现有程序特征基础上通过贝叶斯模型计算木马概率，通过提取未知程序中的行为，计算出是木马的概率，从而有效检测已经木马的多态变形体以及新出现的未知木马。

技术领域

本发明涉及木马检测领域，尤其涉及一种基于GPU与贝叶斯网络推理的未知木马的检测方法。

背景技术

互联网在国家的政治、经济、文化等领域中发挥着越来越重要的作用，网络空间已经发展成为第五大战略空间。但是，互联网飞速发展的同时，计算机木马也在不断应用新技术新方式演变，木马的数量和危害都在大幅增长，这就使得木马检测技术的研究具有越来越重要的理论与实际意义。

目前，主流的木马检测技术大致分为静态检测技术和动态检测技术两类。静态检测技术主要通过提取木马的静态特征构建特征库，然后对其进行查杀；动态检测技术则主要是基于行为分析的检测技术。由于静态检测技术无法及时预防和对抗未知的木马攻击，存在一定的局限性。

发明内容

为了克服上述现有技术中的不足，本发明提供一种基于GPU与贝叶斯网络推理的未知木马的检测方法，方法包括：

步骤一，主机将程序样本依据样本的指标特征按类别加以识别，对程序的行为序列化，构建程序的行为向量；

步骤二，主机对程序行为向量进行规范化处理，记为L；

步骤三，主机整合系统程序的行为向量，构建特征识别矩阵，记为M；

步骤四，主机将数据传输到设备，进行基于GPU加速的贝叶斯分类器训练，计算训练样本中的条件概率和先验概率，并通过调节矩阵M的样本分布，得到在预设范围内的条件概率和先验概率，构造贝叶斯网络图及贝叶斯分类模型；

步骤五，将构造贝叶斯网络图及贝叶斯分类模型从设备端传输到主机，基于构造贝叶斯网络图及贝叶斯分类模型对主机数据循环进行贝叶斯模型的优化，贝叶斯网络图中节点是各种可检测的行为以及各个行为之间的条件概率表，对主机新接收的数据进行贝叶斯分类模型优化；

步骤六，对主机分类器测试，并对分类器效果进行评价。

优选地，步骤六还包括：按照十折交叉验证，将程序的规范化行为向量样本轮流地以9:1的比例划分为训练集和测试集。

优选地，步骤六之后还包括：主机将程序样本分成多组，分别构造贝叶斯分类模型，计算出每个贝叶斯分类模型的准确率，根据测试准确率结果，选择贝叶斯分类模型作为分类模型；

准确率为正确区分木马与非木马的次数/全部的测试集数目。

优选地，步骤一中，构建程序的行为向量包括：将程序样本的行为进行编号，将修改注册表的自启动项设为第一预设值，将修改注册表的关联项为第二预设值，将修改win.ini文件为第三预设值，将打开一个tcp端口设置为第四预设值，通过命令行创建进程设置为第五预设值，将注册为系统服务的操作设置为第六预设值；

记录样本程序的行为序列，得到一个程序的行为向量。

优选地，步骤二还包括：规范化处理是使将各个不同程序的行为向量的维度保持一致，选择样本程序行为向量维度中出现次数最多的维度作为行为向量的标准维度，对于维度小于标准维度的行为向量，对所述行为向量设置补维参数来提高维度，对于维度大于标准维度的行为向量，通过主成份分析算法进行降维。

从以上技术方案可以看出，本发明具有以下优点：