[发明专利]基于机器指令结构的安全进程识别方法及系统

权利要求书

1.一种基于机器指令结构的安全进程识别方法，其特征在于，包括以下步骤：

对预设的白名单上所有可执行文件进行训练，构建特征向量分类器；

获取待识别可执行文件；

将待识别可执行文件与特征向量分类器进行比对，根据比对结果确定待识别可执行文件是否为白名单上的可执行文件。

2.根据权利要求1所述基于机器指令结构的安全进程识别方法，其特征在于，所述对预设的白名单上所有可执行文件进行训练，构建特征向量分类器具体包括：

将预设的白名单上可执行文件反汇编为高级指令集；

对高级指令集进行分块，得到多个基本执行块，每个基本执行块设有序列块编码；

将每个序列块编码作为特征向量，构建特征库；

构建人工神经网络，利用特征向量对人工神经网络进行训练，得到所述特征向量分类器。

3.根据权利要求2所述基于机器指令结构的安全进程识别方法，其特征在于，所述利用特征向量对人工神经网络进行训练具体包括：

以特征向量作为人工神经网络的输入，设置来源于白名单的特征向量的神经网络的输出为真，设置来源于白名单外的特征向量的神经网络的输出为假；

使用反向传播算法对人工神经网络的参数进行训练。

4.根据权利要求2所述基于机器指令结构的安全进程识别方法，其特征在于，所述将待识别可执行文件与特征向量分类器进行比对，根据比对结果确定待识别可执行文件是否为白名单上的可执行文件具体包括：

将待识别可执行文件反汇编为高级指令集，对该高级指令集进行分块，得到多个基本执行块；

将每个基本执行块的序列块编码设为特征向量，输入至所述特征向量分类器中；

获取特征向量分类器针对每个基本执行块的输出值；

对所有输出值进行二值化处理，如果二值化处理结果为真，则对应的特征向量与所述特征库匹配；

根据所有二值化处理结果的匹配数量确定待识别可执行文件是否为白名单上的可执行文件。

5.根据权利要求1所述基于机器指令结构的安全进程识别方法，其特征在于，在所述根据比对结果确定待识别可执行文件是否为白名单上的可执行文件之后，还包括：

当所述待识别可执行文件为白名单上的可执行文件时，将待识别可执行文件的特征向量加入所述特征库中。

6.一种基于机器指令结构的安全进程识别系统，其特征在于，包括：

训练单元：用于对预设的白名单上所有可执行文件进行训练，构建特征向量分类器；

识别单元：用于获取待识别可执行文件；将待识别可执行文件与特征向量分类器进行比对，根据比对结果确定待识别可执行文件是否为白名单上的可执行文件。

7.根据权利要求6所述基于机器指令结构的安全进程识别系统，其特征在于，所述训练单元具体用于：

将预设的白名单上可执行文件反汇编为高级指令集；

对高级指令集进行分块，得到多个基本执行块，每个基本执行块设有序列块编码；

将每个序列块编码作为特征向量，构建特征库；

构建人工神经网络，利用特征向量对人工神经网络进行训练，得到所述特征向量分类器。

8.根据权利要求7所述基于机器指令结构的安全进程识别系统，其特征在于，所述训练单元具体用于：

以特征向量作为人工神经网络的输入，设置来源于白名单的特征向量的神经网络的输出为真，设置来源于白名单外的特征向量的神经网络的输出为假；

使用反向传播算法对人工神经网络的参数进行训练。