[发明专利]用于基于系统调用的进程监视的空间和时间卷积网络在审
| 申请号: | 201880089520.0 | 申请日: | 2018-12-17 |
| 公开(公告)号: | CN111712817A | 公开(公告)日: | 2020-09-25 |
| 发明(设计)人: | 迈克尔·迪姆希茨;本杰明·希勒尔·米亚拉 | 申请(专利权)人: | 贝宝公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F7/02;G06K9/00;G06K9/62 |
| 代理公司: | 北京东方亿思知识产权代理有限责任公司 11258 | 代理人: | 杨佳婧 |
| 地址: | 美国加利*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用于 基于 系统 调用 进程 监视 空间 时间 卷积 网络 | ||
1.一种系统,包括:
存储指令的非暂态存储器;以及
一个或多个硬件处理器,该一个或多个硬件处理器耦合到所述非暂态存储器并且被配置为从所述非暂态存储器读取指令以使得所述系统执行操作,所述操作包括:
将具有多个分量的计数向量作为输入提供到时间卷积网络和空间卷积网络,其中计数向量的多个分量中的每个分量对应于由进程生成的系统调用的类型和每种类型的系统调用在可配置时间间隔中发生的次数;
利用所述时间卷积网络中的多个时间过滤器为所述多个计数向量生成时间输出;
利用所述空间卷积网络中的多个空间过滤器为所述多个计数向量生成空间输出;
将所述时间输出和所述空间输出合并成概要表示,其中所述概要表示表示生成了所述计数向量的进程;并且
利用所述概要表示来确定生成了所述计数向量的进程。
2.如权利要求1所述的系统,其中生成所述时间输出和生成所述空间输出并行发生。
3.如权利要求1所述的系统,其中所述多个时间过滤器中的时间过滤器包括多行,并且所述多行中的每一行与时间间隔相关联。
4.如权利要求1所述的系统,其中所述多个空间过滤器中的空间过滤器对应于所述计数向量中的分量的数目。
5.如权利要求1所述的系统,其中所述多个空间过滤器中的空间过滤器对应于用于生成所述多个计数向量中的计数向量的可配置时间间隔。
6.如权利要求1所述的系统,其中所述多个时间过滤器中的时间过滤器识别随着时间的流逝发生的所述进程的特征。
7.如权利要求1所述的系统,其中所述空间过滤器识别与所述进程在预配置的时间段期间生成的系统调用的数目和类型相对应的所述进程的特征。
8.如权利要求1所述的系统,其中所述概要表示保留所述进程的时间和空间特征。
9.如权利要求1所述的系统,其中所述进程是恶意进程。
10.一种方法,包括:
将具有多个分量的计数向量作为输入提供到时间卷积网络和空间卷积网络,其中所述多个计数向量中的计数向量包括表示在可配置时间间隔中由进程向操作系统作出的系统调用的数据;
通过使所述多个计数向量经过所述时间卷积网络中的多个时间过滤器来生成时间输出;
通过使所述多个计数向量经过所述空间卷积网络中的多个空间过滤器来生成空间输出;
将所述时间输出和所述空间输出合并成概要表示,其中所述概要表示表示生成了所述计数向量的所述进程;
利用所述计数向量的概要表示为所述进程确定至少一个进程候选;并且
利用所述至少一个进程候选识别生成了所述计数向量的所述进程。
11.如权利要求10所述的方法,其中所述进程是恶意进程。
12.如权利要求10所述的方法,其中生成所述时间输出和生成所述空间输出并行发生。
13.如权利要求10所述的方法,其中所述多个时间过滤器中的时间过滤器包括多行,并且所述多行中的每一行与时间间隔相关联。
14.如权利要求10所述的方法,其中所述多个空间过滤器中的空间过滤器对应于所述计数向量中的分量的数目。
15.如权利要求10所述的方法,其中所述多个空间过滤器中的空间过滤器对应于用于生成所述多个计数向量中的计数向量的可配置时间间隔。
16.如权利要求10所述的方法,其中时间过滤器识别随着时间的流逝发生的所述进程的特征。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于贝宝公司,未经贝宝公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201880089520.0/1.html,转载请声明来源钻瓜专利网。
