[发明专利]恶意代码的检测方法及其系统无效
| 申请号: | 201110290172.3 | 申请日: | 2011-09-28 |
| 公开(公告)号: | CN102360408A | 公开(公告)日: | 2012-02-22 |
| 发明(设计)人: | 郑礼雄;孙波;许俊峰;严寒冰;王伟平;袁春阳;林绅文;杨鹏;向小佳;王永建;王进;张伟;郭承青 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心;中国科学院计算技术研究所 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00;G06F17/30 |
| 代理公司: | 北京申翔知识产权代理有限公司 11214 | 代理人: | 艾晶 |
| 地址: | 100029*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提出了一种OLAP引擎辅助的、以恶意代码主控端被控端交互行为为特征的、基于挖掘的恶意代码检测方法及其对应的原型系统。其中检测方法包括首先探测网络步骤101;然后提取可疑主控端行为201;接下来扩充训练集301-303;训练分类器401;刷新Cube501;序列挖掘601-606;生成规则701。检测系统包括侦测模块、训练样本池、SVM分类器、关系数据库、OLAP引擎、特征序列挖掘引擎和知识库。 | ||
| 搜索关键词: | 恶意代码 检测 方法 及其 系统 | ||
【主权项】:
一种恶意代码的检测方法,包括以下步骤:探测网络,监控所有的网络报文,获得第一手原始网络数据;提取可疑主控端行为,在知识库中特征规则的帮助下,检测可疑的恶意代码行为,根据知识库中记录的包括恶意代码主控端地址信息的信息,从网络报文中提取与这些主控端相关的行为特征数据;扩充训练集,在专家的帮助下,将代表可疑主控端行为特征的数据存储在数据库中,将可能是恶意代码新变种行为特征的数据导入训练样本池中;训练分类器,以已有样本为输入,提取其特征,建立特征词典,用来优化SVM分类器参数;刷新Cube,针对训练集的更新,关系数据库中也更新相应的事实表,对新导入的行为序列进行分片,更新各个维度表和事实表;序列挖掘,挖掘引擎在新Cube上执行新的频繁序列挖掘任务,得到新的规则;生成规则,将新规则插入规则树中,更新相关的包括索引在内的结构,以维护知识库的有效性。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心;中国科学院计算技术研究所,未经国家计算机网络与信息安全管理中心;中国科学院计算技术研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201110290172.3/,转载请声明来源钻瓜专利网。
