[发明专利]一种基于机器学习的远程取证工具安全分析系统在审
| 申请号: | 201710672209.6 | 申请日: | 2017-08-08 |
| 公开(公告)号: | CN107491691A | 公开(公告)日: | 2017-12-19 |
| 发明(设计)人: | 周福才;王强;吴淇毓;玄鹏开 | 申请(专利权)人: | 东北大学 |
| 主分类号: | G06F21/53 | 分类号: | G06F21/53;G06N99/00;G06K9/62 |
| 代理公司: | 大连东方专利代理有限责任公司21212 | 代理人: | 姜玉蓉,李洪福 |
| 地址: | 110819 辽宁*** | 国省代码: | 辽宁;21 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于机器学习的远程取证工具安全分析系统,其特征在于包括沙箱配置与启动模块、API监控与匹配模块和预测与评价模块。本发明提供一种基于机器学习的远程取证工具安全分析系统,通过调用API的方式来监控待检测的远程取证工具在沙箱里的行为,通过相应的匹配算法,将得到的API调用记录进行行为分类,同时,根据达到的特征行为,利用机器学习模型进行安全性预测,利用评价指标计算模型进行安全性等级评估,并最终生成一份安全性分析报告。 | ||
| 搜索关键词: | 一种 基于 机器 学习 远程 取证 工具 安全 分析 系统 | ||
【主权项】:
一种基于机器学习的远程取证工具安全分析系统,其特征在于包括:沙箱配置与启动模块、API监控与匹配模块和预测与评价模块;所述沙箱配置与启动模块在沙箱启动前加载待测程序、对沙箱进行参数配置、在沙箱程序启动时运行待测程序,所述沙箱配置与启动模块包括待测程序加载模块、沙箱配置模块和沙箱启动模块;待测程序加载模块在检测之前定位待检测远程取证工具的位置信息将其加载到系统中、在沙箱配置完成后由沙箱程序启动;沙箱配置模块为待测远程取证工具提供运行环境,通过进行相关配置使其满足远程取证工具的运行及检测环境;当待测程序加载模块和沙箱配置模块完成启动后所述沙箱启动模块开始工作;所述API监控与匹配模块对沙箱中运行的待测远程取证工具进行动态监控,将API调用记录全部保存,根据API字典对API调用记录进行行为匹配;所述API监控与匹配模块包括API调用动态监控模块、行为匹配模块;API调用动态监控模块对待检测远程取证工具在运行过程中调用的所有API进行监控、对API调用信息进行记录,该API调用信息包括API名称、DLL文件名和调用参数;行为匹配模块对API调用动态监控模块得到的API调用记录进行分析,根据预先定义好的字典文件将API调用记录分别匹配到相应的行为,包括文件行为、进程行为、注册表行为等,最后将得到待检测远程取证工具的行为记录;所述预测与评价模块根据行为匹配模块记录的行为信息、利用训练完成的决策树模型进行计算,得到机器学习算法的预测结果;采用评价指标模型进行计算得到该远程取证工具的评价分数及对应的危险等级,生成相应的安全性分析报告;所述预测与评价模块包括机器学习模块、评价指标计算模块;机器学习模块将待检测远程取证工具的行为记录输入至本模块的机器学习算法中,经过计算预测出待检测远程取证工具是否安全;评价指标计算模块调取行为匹配模块输出的待检测远程取证工具的行为记录,通过模型参数计算出评价分数及对应的安全等级。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于东北大学,未经东北大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710672209.6/,转载请声明来源钻瓜专利网。
