基于可信度的网络恶意行为检测方法技术
【技术实现步骤摘要】
基于可信度的网络恶意行为检测方法
本专利技术属于计算机防病毒
技术介绍
网络中恶意代码数量在爆发式增长,2015年AV-Test的统计数据显示,平均每天新发现的恶意样本数量已经超过30万个。面对海量的恶意样本,机器学习已经成为恶意行为检测领域的主流技术。但是,攻击者为了躲避检测,在不断地升级恶意行为。目前机器学习模型存在退化问题,固定的阈值在初始阶段检测率高,随着攻击行为躲避技术的改进和变化,检测率不断的退化。所以需要一种不需要设定固定阈值的检测方法,能够根据用户可接受的错误概率,给出分析结果,应对恶意行为的不断变异。
技术实现思路
本专利技术目的是解决现有技术中存在的检测模型识别率随时间快速退化的问题,提供一种基于可信度的网络恶意行为检测方法。该方法在不需要设定固定阈值的情况下,根据用户可接受的错误概率,通过统计分析网络行为的可信度,实现对网络恶意行为的检测。本专利技术的技术方案基于可信度的网络恶意行为检测方法,包括如下步骤:第1步、本专利技术涉及的一些基本概念:(1)网络恶意行为:本专利技术中的网络恶意行为是指,以数据包为载体的,在未明确提示用户或未经用...
【技术保护点】
基于可信度的网络恶意行为检测方法,其特征在于该方法包括如下步骤:第1步、基本概念:(1)网络恶意行为:是指以数据包为载体的,在未明确提示用户或未经用户许可的情况下,通过网络对用户计算机或其他终端进行的、侵犯用户合法权益的恶意行为;大量的网络恶意行为的集合为网络恶意行为集合;(2)不一致性度量函数:描述一个样本与一组样本的不一致性,输入是一组样本和一个测试样本,输出是一个数值,也叫做不一致性得分,得分越高,说明样本与该组样本越不一致,得分越低,说明样本与该组样本越一致;(3)统计量p‑value:描述一个样本的不一致性得分在一组样本中的百分位,取值范围在0到1之间,从统计的角...
【技术特征摘要】
1.基于可信度的网络恶意行为检测方法,其特征在于该方法包括如下步骤:第1步、基本概念:(1)网络恶意行为:是指以数据包为载体的,在未明确提示用户或未经用户许可的情况下,通过网络对用户计算机或其他终端进行的、侵犯用户合法权益的恶意行为;大量的网络恶意行为的集合为网络恶意行为集合;(2)不一致性度量函数:描述一个样本与一组样本的不一致性,输入是一组样本和一个测试样本,输出是一个数值,也叫做不一致性得分,得分越高,说明样本与该组样本越不一致,得分越低,说明样本与该组样本越一致;(3)统计量p-value:描述一个样本的不一致性得分在一组样本中的百分位,取值范围在0到1之间,从统计的角度刻画一个样本与一组样本的相似性;第2步、网络行为特征的提取第2.1、确定网络行为的表示粒度,其中包括:数据包级粒度,NetFlow级粒度和应用级粒度;数据包级粒度,每个数据包表示一个网络行为;NetFlow级粒度,一个网络连接过程的所有网络数据表示一个网络行为;应用级粒度,一个应用过程的所有数据包表示一个网络行为;第2.2、选择网络行为的特征点f;根据不同的数据集,选择不同的网络行为特征点f;第2.3、提取特征点,将网络行为抽象成特征向量V;在可选网络行为特征点中,选择n个特征点组成特征向量V(f1,f2,...fn),使用所选的n个特征点作为网络行为的抽象表示,将二进制的网络数据映射成特征点组成的特征向量V(f1,f2,...fn);第2.4、网络恶意行为集合的特征矩阵表示;网络恶意行为集合中包含了N个网络恶意行为,每个网络恶意行为都使用第2.3步中相同结构的特征向量表示,结构相同的特征向量组合成网络恶意行为特征矩阵C;特征矩阵的每一列表示一个特征点、每一行表示一个网络恶意行为的特征向量;第3步、网络行为与网络恶意行为一致性度量第3.1、确定不一致性度量函数A(V,C);不一致性度量函数的输入是网络行为特征向量V,网络恶意行为特征矩阵C,返回值是V与C...
【专利技术属性】
技术研发人员:王志,田美琦,秦枚林,贾春福,
申请(专利权)人:南开大学,天津云安科技发展有限公司,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。