[发明专利]基于统计学习的恶意代码多模型交叉检测方法

摘要

本发明提出了一种基于统计学习的恶意代码多模型交叉检测方法，可较好地应用于在恶意代码检测领域。该方法引入可信度，解决各个机器学习模型彼此孤立的问题，提供一个机器学习模型间互相学习的平台。另外，在细粒度的统计学习平台上，多个机器学习模型从不同角度统计分析恶意代码的变异过程，缓解单一模型的退化问题，并使用APV算法来识别概念漂移现象，从而实现多模型共同防御。

主权项

1.底层打分分类方法，其特征在于该方法包括如下步骤：第1步、基本概念：(1)网络流量(Netflow)：是同一网络通信时域的网络包的集合；(2)网络痕迹(Trace)：是一组含有相同源IP、目的IP、目的端口和协议的多个网络流量(Netflow)；(3)僵尸网络(Botnet)：指采用一种或多种传播手段，将大量主机感染僵尸程序(Bot)，从而在控制者和被感染主机之间所形成的一个能够一对多控制的网络；(4)基于机器学习的检测模型：数据，学习算法，找到一个阈值建立模型，通过模型打分，比较打分和阈值的关系，预测结果。第2步、特征提取第2.1、确定网络行为的表示粒度，其中包括：数据包级粒度，每个数据包表示一个网络行为；NetFlow级粒度，一个网络连接过程的所有网络数据表示一个网络行为；应用级粒度，一个应用过程的所有数据包表示一个网络行为；第2.2、提取网络行为的特征点f；根据不同的数据集，选择不同的网络行为特征点f；第2.3、选择特征点，将网络行为抽象成特征向量V；在可选网络行为特征点中，选择n个特征点组成特征向量V(f1,f2,...fn)，使用选择的网络行为特征点作为网络行为的抽象表示，将二进制的网络数据映射成特征点组成的特征向量；第2.4、网络恶意行为集合的特征矩阵表示；网络恶意行为集合中包含了N个行为，每个行为都使用相同结构的特征向量Vi表示，1≤i≤N，这N个特征向量组成网络恶意行为特征矩阵C；特征矩阵的每一列表示一个特征点、每一行表示一个网络恶意行为的特征向量；第3步、计算机器学习模型的预测分数第3.1、任何基于阈值的机器学习检测模型都能够作为打分函数，都可以加入到基于统计学习的恶意代码多模型交叉检测方法中；第3.2、每一个未知的恶意代码样本都能够根据不同机器学习模型得到相应的得分。