[发明专利]基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法无效
| 申请号: | 201110026369.6 | 申请日: | 2011-01-25 |
| 公开(公告)号: | CN102034050A | 公开(公告)日: | 2011-04-27 |
| 发明(设计)人: | 王俊峰;白金荣;黄敏桓;唐剑;佘春东 | 申请(专利权)人: | 四川大学 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 成都信博专利代理有限责任公司 51200 | 代理人: | 舒启龙 |
| 地址: | 610065 四川*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法,由三部分组成:基于Xen二次开发的分析检测环境、监测控制程序、恶意软件分类器的训练学习和检测程序。检测模型分为训练阶段和检测阶段:训练阶段:让样本集文件在干净的分析环境中执行定长时间,获取其进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的Native API调用频率,使用这些数据来训练分类器;检测阶段:把待检查文件执行,统计定长时间内的六种敏感行为Native API调用频率,使用训练好的分类器,对检测文件进行分类,分类结果即是恶意软件或正常文件。本发明对具备反虚拟、反调试、反跟踪能力的恶意软件仍然有效。 | ||
| 搜索关键词: | 基于 虚拟机 敏感 native api 调用 感知 恶意 软件 动态 检测 方法 | ||
【主权项】:
一种基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法,其特征是:检测模型分为2个阶段:训练阶段和检测阶段;训练阶段用于完成分类器的构建;而检测阶段用于完成恶意软件的检测;在训练阶段,首先获取样本文件集的Native API系列,让样本文件在干净的分析环境中执行定长时间,记录下它的Native API系列,统计进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的Native API调用频率,然后使用这些数据来训练分类器,训练好的分类器用作区分恶意软件和正常文件;在检测阶段,把待检查文件放在干净的分析环境中执行,统计它在定长时间内的进程行为、特权行为、内存行为、注册表行为、文件行为和网络行为的NativeAPI调用频率,使用训练阶段训练好的分类器,对待检查文件进行分类,得到是恶意软件或是正常文件的结果。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川大学,未经四川大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201110026369.6/,转载请声明来源钻瓜专利网。
- 上一篇:一种带敲落孔和管接头的电缆桥架
- 下一篇:可调式内悬浮组塔抱杆兜底绳
