【技术实现步骤摘要】
一种用于应用程序的进程检测方法及系统
本专利技术涉及计算机
,尤其涉及一种用于应用程序的进程检测方法及系统。
技术介绍
近年来,恶意程序的数量呈指数级的增长,已经成为威胁互联网安全的关键因素之一。如何对恶意程序进行有效检测和查杀,也成为了企业与网络安全人员着重思考的问题之一。随着人工智能技术的不断发展与完善,如何将人工智能技术应用到恶意程序检测中,实现系统无监督或半监督模式的自我检测,也成为当下企业的需求之一。对于恶意程序的检测与查杀,目前大多数技术都是分析恶意程序的源代码,提取相应的特征,进而对拥有相应特征的恶意程序进行查杀。主流的恶意程序源代码检测技术可以分为两类:启发式检测方法和基于特征码的检测方法。恶意代码混淆技术也按照其实现原理分为两类:干扰反逆向(反汇编)的混淆及指令和控制流混淆,故而恶意程序的源代码检测也存在一定的局限性。其中,部分恶意程序和恶意程序源代码存在大量的变种,现有的恶意程序源代码检测技术无法有效的检测出来。因此,现在亟需一种用于应用程序的进程检测方法及系统来解决上述问题。
【技术保护点】
1.一种用于应用程序的进程检测方法,其特征在于,包括:/n根据安全日志内容,获取进程对应的可观测行为向量;/n将所述可观测行为向量转换为进程行为特征图;/n基于训练好的卷积神经网络模型,对所述进程行为特征图进行检测,得到所述进程的检测结果;所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。/n
【技术特征摘要】
1.一种用于应用程序的进程检测方法,其特征在于,包括:
根据安全日志内容,获取进程对应的可观测行为向量;
将所述可观测行为向量转换为进程行为特征图;
基于训练好的卷积神经网络模型,对所述进程行为特征图进行检测,得到所述进程的检测结果;所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。
2.根据权利要求1所述的用于应用程序的进程检测方法,其特征在于,所述根据安全日志内容,获取进程对应的可观测行为向量,包括:
根据安全日志内容,获取进程的行为特征;
将所述进程的行为特征映射为对应的个体行为向量;
根据所述进程的父子进程关系,通过所述个体行为向量,获取所述进程的可观测行为向量。
3.根据权利要求2所述的用于应用程序的进程检测方法,其特征在于,所述将所述进程的行为特征映射为对应的个体行为向量,包括:
将进程的行为特征分为基本行为特征和扩展行为特征;
根据所述基本行为特征和扩展行为特征,获取所述进程的个体行为向量:
IBVi=pi*pi+si;
其中,IBVi表示第i个进程的个体行为向量,pi表示第i个进程中基本行为特征的数量,si表示第i个进程中扩展行为特征的数量。
4.根据权利要求3所述的用于应用程序的进程检测方法,其特征在于,在所述将进程的行为特征分为基本行为特征和扩展行为特征之后,所述方法还包括:
通过逻辑运算符,对属于基本行为特征的进程行为进行逻辑运算,获取对应的二次联合行为特征,以根据所述二次联合行为特征和所述扩展行为特征得到个体行为向量。
5.根据权利要求2所述的用于应用程序的进程检测方法,其特征在于,所述根据所述进程的父子进程关系,通过所述个体行为向量,获取所述进程的可观测行为向量,包括:
根据所述进程的父子进程关系,通过所述个体行为向量,构建可观测行为向量公式,若所述进程中无子...
【专利技术属性】
技术研发人员:张文博,杨松,朱鼎成,徐秀兰,胡冰城,孙志敏,雷凯,程艳,邓晏宁,张晓光,唐先锋,
申请(专利权)人:北京邮电大学,华为技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。