[发明专利]一种基于动态多特征的恶意软件检测方法在审
| 申请号: | 201810905958.3 | 申请日: | 2018-08-10 |
| 公开(公告)号: | CN109033839A | 公开(公告)日: | 2018-12-18 |
| 发明(设计)人: | 张健;高铖;宫良一;郑禄鑫;周超群;蔡长亮;栗文真 | 申请(专利权)人: | 天津理工大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 天津才智专利商标代理有限公司 12108 | 代理人: | 庞学欣 |
| 地址: | 300384 天津市南*** | 国省代码: | 天津;12 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 一种基于动态多特征的恶意软件检测方法。其包括向运行于Xen虚拟化平台之上的客户虚拟机连续投放作为样本的恶意软件和正常软件:使用LibVMI获取客户虚拟机的内存转储文件;使用Volatility内存取证分析框架从内存转储文件中提取出多个种类的动态特征,由这些动态特征构成特征集;选取最佳基分类器,构建最终的集成分类器,将特征集输入到集成分类器中,找出最佳的特征组合和集成学习模型作为分类结果等步骤。本发明效果:能有效提升获取特征数据的种类和可靠性,减少数据获取的开销;通过使用集成学习模型,有效地提升了整体分类器的泛化能力和分类准确度,且增强了分类模型对于不同种类的恶意软件检测的通用性。 | ||
| 搜索关键词: | 恶意软件检测 内存转储文件 集成分类器 客户虚拟机 动态特征 集成学习 特征集 分类准确度 整体分类器 恶意软件 分类结果 分类模型 数据获取 特征数据 特征组合 正常软件 分类器 有效地 最佳基 构建 内存 样本 取证 投放 分析 | ||
【主权项】:
1.一种基于动态多特征的恶意软件检测方法,其特征在于:所述的基于动态多特征的恶意软件检测方法包括按顺序进行的下列步骤:步骤1)在物理实体机上搭建完Xen虚拟化平台之后创建客户虚拟机,安装Windows操作系统,待Windows操作系统安装完成之后,立即保存该操作系统的内存快照,然后向运行于Xen虚拟化平台之上的客户虚拟机连续投放作为样本的恶意软件和正常软件:步骤2)运行完样本之后,使用LibVMI获取客户虚拟机的内存转储文件,然后提交给Volatility内存取证分析框架;步骤3)样本执行时,使用Volatility内存取证分析框架从内存转储文件中提取出多个种类的动态特征,由这些动态特征构成特征集;步骤4)选取最佳基分类器,构建最终的集成分类器,然后将上述特征集输入到上述集成分类器中,找出最佳的特征组合和集成学习模型作为分类结果,由此完成恶意软件的检测。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于天津理工大学,未经天津理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810905958.3/,转载请声明来源钻瓜专利网。
- 上一篇:网站安全检测方法和装置
- 下一篇:一种对计算机终端进行保密检查的方法
