[发明专利]使用硬件特征的对异常进程的无监督的检测有效
| 申请号: | 201480028753.1 | 申请日: | 2014-03-14 |
| 公开(公告)号: | CN105247532B | 公开(公告)日: | 2019-05-31 |
| 发明(设计)人: | 拉克什米那拉斯姆罕·塞思麦迪海范;阿德里安·唐;萨尔瓦托·斯多夫 | 申请(专利权)人: | 纽约市哥伦比亚大学理事会 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/56 |
| 代理公司: | 北京安信方达知识产权代理有限公司 11262 | 代理人: | 周靖;郑霞 |
| 地址: | 美国*** | 国省代码: | 美国;US |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 公开了设备、系统、装置、方法、产品、介质和其它实现,包括一种方法,其包括:得到关于执行与表示第一进程的正常行为的预先记录的硬件性能数据相关的第一进程的硬件设备的包括硬件性能计数器数据的当前硬件性能数据,以及基于相应于第一进程的所得到的当前硬件性能数据与表示第一进程的正常行为的预先记录的硬件性能数据的偏差的程度的确定,来确定恶意进程是否影响第一进程的性能。 | ||
| 搜索关键词: | 使用 硬件 特征 监督 基于 异常 恶意 软件 检测 | ||
【主权项】:
1.一种用于使用硬件特征的对异常进程的无监督的检测的方法,所述方法包括:得到关于执行第一进程的硬件设备的当前硬件性能数据,所述当前硬件性能数据包括硬件性能时变计数器数据,所述第一进程与表示所述第一进程的正常行为的记录的硬件性能数据相关;至少基于与硬件性能数据相关的一个或多个特征的有效性程度,从所得到的当前硬件性能数据识别硬件性能数据组,当前硬件性能数据组包括每一个表示在潜在的异常进程的多个阶段中的一个处发生的多个事件的相应性能的相应的数据组,所述数据组中的每一个与微体系结构事件或体系结构事件之一相关联;聚集所识别的硬件性能数据组;基于一个或多个变换函数变换所聚集的硬件性能数据组;以及基于相应于所述第一进程的所变换的硬件性能数据组与表示所述第一进程的正常行为的所述记录的硬件性能数据的偏差的程度的确定,来确定所述潜在的异常进程是否影响所述第一进程的性能;其中,变换所聚集的硬件性能数据组包括:根据下式,从关于来自所述潜在的异常进程的所述多个阶段中的一个处发生的所述多个事件的事件i的硬件性能数据值rawi导出关于所述事件i的标准化硬件性能值normalizedi:![]()
其中mini和maxi是关于所述事件i的相应的最小值和最大值,且λi是关于所述事件i的幂参数,且关于λi的相应值被确定,使得相应于所述事件i的所变换的硬件性能时变数据的标准化分布具有放大关于来自所述潜在的异常进程的所述多个阶段中的一个处发生的所述多个事件的所述事件i的异常硬件性能数据与正常硬件性能数据的偏差的中位数值。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于纽约市哥伦比亚大学理事会,未经纽约市哥伦比亚大学理事会许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201480028753.1/,转载请声明来源钻瓜专利网。
