一种基于GPU与贝叶斯网络推理的未知木马的检测方法技术

本发明专利技术提供一种基于GPU与贝叶斯网络推理的未知木马的检测方法，采用基于GPU加速的贝叶斯学习理论进行未知木马的检测，使用贝叶斯网络构建未知木马的检测模型，通过贝叶斯网络的推理解决了未知木马检测过程中存在的特征分类困难、概率性行为识别等问题。通过贝叶斯网络用条件概率表达系统程序之间的不确定性因果关系，具有更强的处理不确定性信息的能力及特有的推理机制，不需要硬性定义木马特征，因此具有较强的适用性。在现有程序特征基础上通过贝叶斯模型计算木马概率，通过提取未知程序中的行为，计算出是木马的概率，从而有效检测已经木马的多态变形体以及新出现的未知木马。

【技术实现步骤摘要】
一种基于GPU与贝叶斯网络推理的未知木马的检测方法
本专利技术涉及木马检测领域，尤其涉及一种基于GPU与贝叶斯网络推理的未知木马的检测方法。
技术介绍
互联网在国家的政治、经济、文化等领域中发挥着越来越重要的作用，网络空间已经发展成为第五大战略空间。但是，互联网飞速发展的同时，计算机木马也在不断应用新技术新方式演变，木马的数量和危害都在大幅增长，这就使得木马检测技术的研究具有越来越重要的理论与实际意义。目前，主流的木马检测技术大致分为静态检测技术和动态检测技术两类。静态检测技术主要通过提取木马的静态特征构建特征库，然后对其进行查杀；动态检测技术则主要是基于行为分析的检测技术。由于静态检测技术无法及时预防和对抗未知的木马攻击，存在一定的局限性。
技术实现思路
为了克服上述现有技术中的不足，本专利技术提供一种基于GPU与贝叶斯网络推理的未知木马的检测方法，方法包括：步骤一，主机将程序样本依据样本的指标特征按类别加以识别，对程序的行为序列化，构建程序的行为向量；步骤二，主机对程序行为向量进行规范化处理，记为L；步骤三，主机整合系统程序的行为向量，构建特征识别矩阵，记为M；步骤四，主机将数据传输本文档来自技高网...

【技术保护点】
一种基于GPU与贝叶斯网络推理的未知木马的检测方法，其特征在于，方法包括：步骤一，主机将程序样本依据样本的指标特征按类别加以识别，对程序的行为序列化，构建程序的行为向量；步骤二，主机对程序行为向量进行规范化处理，记为L；步骤三，主机整合系统程序的行为向量，构建特征识别矩阵，记为M；步骤四，主机将数据传输到设备，进行基于GPU加速的贝叶斯分类器训练，计算训练样本中的条件概率和先验概率，并通过调节矩阵M的样本分布，得到在预设范围内的条件概率和先验概率，构造贝叶斯网络图及贝叶斯分类模型；步骤五，将构造贝叶斯网络图及贝叶斯分类模型从设备端传输到主机，基于构造贝叶斯网络图及贝叶斯分类模型对主机数据循环进...

【技术特征摘要】
1.一种基于GPU与贝叶斯网络推理的未知木马的检测方法，其特征在于，方法包括：步骤一，主机将程序样本依据样本的指标特征按类别加以识别，对程序的行为序列化，构建程序的行为向量；步骤二，主机对程序行为向量进行规范化处理，记为L；步骤三，主机整合系统程序的行为向量，构建特征识别矩阵，记为M；步骤四，主机将数据传输到设备，进行基于GPU加速的贝叶斯分类器训练，计算训练样本中的条件概率和先验概率，并通过调节矩阵M的样本分布，得到在预设范围内的条件概率和先验概率，构造贝叶斯网络图及贝叶斯分类模型；步骤五，将构造贝叶斯网络图及贝叶斯分类模型从设备端传输到主机，基于构造贝叶斯网络图及贝叶斯分类模型对主机数据循环进行贝叶斯模型的优化，贝叶斯网络图中节点是各种可检测的行为以及各个行为之间的条件概率表，对主机新接收的数据进行贝叶斯分类模型优化；步骤六，对主机分类器测试，并对分类器效果进行评价。2.根据权利要求1所述的基于GPU与贝叶斯网络推理的未知木马的检测方法，其特征在于，步骤六还包括：按照十折交叉验证，将程序的规范化行为向量样本轮流地以9:1的比例划分为训练集和测试集。3.根据权利要求1所述的基于GPU与贝叶斯网...

【专利技术属性】
技术研发人员：孙宏跃，蒋荣，曲志峰，
申请(专利权)人：中孚信息股份有限公司，南京中孚信息技术有限公司，
类型：发明
国别省市：山东,37