本发明专利技术提供一种异常应用程序的识别方法和装置,所述方法包括以下步骤:运行已存储的异常应用程序,获取异常应用程序的动态行为信息;将获取的异常应用程序的动态行为信息输入至预先设置的检测网络;通过所述检测网络获取所述动态行为信息的行为规则;根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。本发明专利技术能够及时的识别新型的异常应用程序,譬如病毒或者木马,提高了识别以及查杀的效率。
【技术实现步骤摘要】
一种异常应用程序的识别方法及装置
本专利技术涉及互联网络领域,特别是涉及一种异常应用程序的识别方法和装置。
技术介绍
随着互联网络的不断普及,对网络安全性能提出了很高的要求。用户在使用计算机登录互联网络后,经常会因为各种各样的原因感染病毒或者木马,现有技术中,对病毒或者木马等异常应用程序的识别方法包括以下两种形式:第一、特征扫描方式;该方式技术是在人为发现新病毒后,对病毒进行分析,根据病毒的特点提取病毒特征,将提取的病毒特征加入到数据库中。在后续执行查毒程序时,若发现有可疑文件,则将该可疑文件与病毒数据库中的病毒特征进行匹配,以判断该可疑文件是否含有病毒。该方式的缺点是不能识别未知的病毒,而且随着病毒种类的增多,特别是变形病毒和隐藏性病毒的发展,病毒特征数据库越来越庞大,该方式显然不能满足及时快速查杀病毒的要求。第二、人工规则行为启发式扫描方式,该方式通过人工分析已知的病毒样本,总结病毒样本的行为规则,然后将总结的规则保存到数据库。在发现可疑文件时,将可疑文件的运行行为与预先存储的行为规则进行逐一匹配,如果匹配搭配一致的行为规则,则判定该可疑文件为病毒。该方式能够对一些未知病毒进行识别,但是随着病毒的不断发展,新型病毒层出不穷,病毒行为也千变万化,而通过人工分析病毒行为然后进行总结的方式,显然效率低下,不能满足查杀病毒的要求。综上,如何能够及时的识别新型病毒,提高病毒的查杀效率,是需要解决的技术问题之一。
技术实现思路
本专利技术的一个目的在于提供一种异常应用程序的识别方法,旨在能够及时的识别新型病毒,提高病毒的查杀效率。为达到上述有益技术效果,本专利技术构造了一种异常应用程序的识别方法,所述方法包括以下步骤:运行已存储的异常应用程序,获取异常应用程序的动态行为信息;将获取的异常应用程序的动态行为信息输入至预先设置的检测网络;通过所述检测网络获取所述动态行为信息的行为规则;根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。在本专利技术一实施例中:运行已存储的异常应用程序的步骤之前,所述方法还包括以下步骤:预先生成一检测网络。在本专利技术一实施例中:将获取的异常应用程序的动态行为信息输入至预先设置的检测网络的骤具体包括:将获取的异常应用程序的动态行为信息转化为行为向量;将所述行为向量输入至所述检测网络。在本专利技术一实施例中:运行已存储的异常应用程序的步骤之前,所述方法还包括以下步骤:建立动态行为信息监控点;通过所述动态行为信息监控点获取异常应用程序的动态行为信息。在本专利技术一实施例中:所述检测网络为反向传播网络。本专利技术的另一个目的在于提供一种异常应用程序的识别装置,旨在能够及时的识别新型病毒,提高病毒的查杀效率。为达到上述有益技术效果,本专利技术构造了一种异常应用程序的识别装置,所述装置包括:动态行为信息获取模块,用于运行已存储的异常应用程序,获取异常应用程序的动态行为信息;动态行为信息传送模块,用于将获取的异常应用程序的动态行为信息输入至预先设置的检测网络;行为规则获取模块,用于通过所述检测网络获取所述动态行为信息的行为规则;识别模块,用于根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。在本专利技术一实施例中:所述装置还包括:检测网络生成模块,用于预先生成一检测网络。在本专利技术一实施例中:所述装置还包括:行为向量转化模块,用于将获取的异常应用程序的动态行为信息转化为行为向量,所述动态行为信息传送模块将所述行为向量输入至所述检测网络。在本专利技术一实施例中:所述装置还包括:监控点建立模块,用于建立动态行为信息监控点,所述动态行为信息获取模块通过所述动态行为信息监控点获取异常应用程序的动态行为信息。在本专利技术一实施例中:所述检测网络为反向传播网络。本专利技术的另一个目的在于提供一种异常应用程序的识别方法,旨在对异常应用程序进行查杀时,避免误判情况的发生。为达到上述有益技术效果,本专利技术构造了一种异常应用程序的识别方法,包括:运行已存储的正常应用程序,获取正常应用程序的动态行为信息;将获取的正常应用程序的动态行为信息输入至预先设置的检测网络;通过所述检测网络获取所述动态行为信息的行为规则;根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否属于正常应用程序。在本专利技术一实施例中:运行已存储的正常应用程序的步骤之前,所述方法还包括以下步骤:预先生成所述检测网络。在本专利技术一实施例中:将获取的异常应用程序的动态行为信息输入至预先设置的检测网络的步骤包括:将获取的正常应用程序的动态行为信息转化为行为向量;而通过所述检测网络获取所述动态行为信息的所述行为规则的步骤包括:将所述行为向量输入至所述检测网络,以获取所述动态行为信息的所述行为规则。在本专利技术一实施例中:在将获取的正常应用程序的动态行为信息转化为所述行为向量的步骤之前,所述方法还包括以下步骤;预先建立行为向量映射规则;而将获取的正常应用程序的动态行为信息转化为所述行为向量的步骤包括:根据所述行为向量映射规则将获取的正常应用程序的动态行为信息映射成所述行为向量。在本专利技术一实施例中:运行已存储的正常应用程序的步骤之前,所述方法还包括以下步骤:建立动态行为信息监控点;以及通过所述动态行为信息监控点获取正常应用程序的动态行为信息。在本专利技术一实施例中:所述检测网络为反向传播网络。相对于现有技术,本专利技术预先建立一个检测络,然后运行已存储的异常应用程序,获取异常应用程序的动态行为信息,将获取的动态行为信息输入至检测网络,由所述检测网络总结获取异常应用程序的行为规则,并根据获取的行为规则去识别其它异常应用程序。显然,本专利技术能够及时的识别新型病毒,提高了病毒的查杀效率。为让本专利技术的上述内容能更明显易懂,下文特举优选实施例,并配合所附图式,作详细说明如下:【附图说明】图1为本专利技术提供的异常应用程序的识别方法的较佳实施例流程示意图;图2为本专利技术中检测网络的较佳实施例模型示意图;图3为本专利技术提供的异常应用程序的识别装置的较佳实施例流程示意图。【具体实施方式】以下各实施例的说明是参考附加的图式,用以例示本专利技术可用以实施的特定实施例。本专利技术所提到的方向用语,例如「上」、「下」、「前」、「后」、「左」、「右」、「内」、「外」、「侧面」等,仅是参考附加图式的方向。因此,使用的方向用语是用以说明及理解本专利技术,而非用以限制本专利技术。在图中,结构相似的单元是以相同标号表示。请参阅图1,图1为本专利技术提供的异常应用程序的识别方法的较佳实施例流程示意图。在步骤S101,预先生成一检测网络。本专利技术提供的检测网络优选为反向传播(BackPropagation,BP)神经网络,其中BP神经网络为一种按误差逆传播算法训练的多层前馈网络,BP网络能够学习和存贮大量的输入/输出模式映射关系,而且无需预先揭示描述上述映射关系的数学方程。在步骤S102,运行已存储的异常应用程序,获取异常应用程序的动态行为信息。所述异常应用程序譬如为病毒或者木马程序,当然也可以是其它的影响电脑或者终端正常使用的不正当程序,此处不一一列举。在具体实施过程中,可在虚拟机上运行已存储的异常应用程序,并通过预先建立的行为监控点获取异常信息的动态行为信息,譬如在虚拟机上建立注册表本文档来自技高网...
【技术保护点】
一种异常应用程序的识别方法,其特征在于:所述方法包括以下步骤:运行已存储的异常应用程序,获取异常应用程序的动态行为信息;将获取的异常应用程序的动态行为信息输入至预先设置的检测网络;通过所述检测网络获取所述动态行为信息的行为规则;根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。
【技术特征摘要】
1.一种异常应用程序的识别方法,其特征在于:所述方法包括以下步骤:运行已存储的异常应用程序,通过注册表操作监控、文件操作监控、网络连接监控或者应用程序编程接口调用监控获取异常应用程序的动态行为信息;将获取的异常应用程序的动态行为信息转化为行为向量;将所述行为向量输入至检测网络,以获取所述动态行为信息的行为规则;其中所述检测网络的激励函数如以下公式所示:y=1/(1+exp(-x)),其中x代表输入的行为向量,y代表结果输出向量;以及根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。2.根据权利要求1所述的异常应用程序的识别方法,其特征在于:运行已存储的异常应用程序的步骤之前,所述方法还包括以下步骤:预先生成所述检测网络。3.根据权利要求1所述的异常应用程序的识别方法,其特征在于:在将获取的异常应用程序的动态行为信息转化为所述行为向量的步骤之前,所述方法还包括以下步骤;预先建立行为向量映射规则;而将获取的异常应用程序的动态行为信息转化为所述行为向量的步骤包括:根据所述行为向量映射规则将获取的动态行为信息映射成所述行为向量。4.根据权利要求1所述的异常应用程序的识别方法,其特征在于:运行已存储的异常应用程序的步骤之前,所述方法还包括以下步骤:建立动态行为信息监控点;以及通过所述动态行为信息监控点获取异常应用程序的动态行为信息。5.根据权利要求1所述的异常应用程序的识别方法,其特征在于:所述检测网络为反向传播网络。6.根据权利要求1所述的异常应用程序的识别方法,其特征在于:运行已存储的异常应用程序的步骤包括:运行已存储的不同种类的异常应用程序。7.一种异常应用程序的识别装置,其特征在于:所述装置包括:动态行为信息获取模块,用于运行已存储的异常应用程序,通过注册表操作监控、文件操作监控、网络连接监控或者应用程序编程接口调用监控获取异常应用程序的动态行为信息;动态行为信息传送模块,用于将获取的异常应用程序的动态行为信息转化为行为向量;行为规则获取模块,用于将所述行为向量输入至检测网络,以获取所述动态行为信息的行为规则;其中所述检测网络的激励函数如以下公式所示:y=1/(1+exp(-x))...
【专利技术属性】
技术研发人员:余文锋,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。