【技术实现步骤摘要】
【国外来华专利技术】用于基于系统调用的进程监视的空间和时间卷积网络相关申请的交叉引用本申请是2017年12月18日递交的美国专利申请15/845,199号的延续案并要求其优先权,这里通过引用将该美国专利申请完全并入。
本公开概括而言涉及检测恶意软件,更具体而言涉及通过在卷积网络中处理表示系统调用的计数向量来检测恶意软件。
技术介绍
传统恶意软件检测系统通过识别由进程生成的系统调用的踪迹,然后对照已知的良性或恶意进程比较这些踪迹来检测恶意进程。这种恶意软件检测系统通常在执行该进程的同一计算设备上运行。然而,这种恶意软件检测系统在数千个进程每秒生成数百万个系统调用的网络环境中将不会起作用。另外,过滤系统调用踪迹中的一些不是一个解决方案,因为恶意软件检测系统可利用过滤的系统调用踪迹来误分类恶意进程。附图说明图1是其中可实现恶意软件检测系统的示范性系统。图2是根据一实施例的向量生成器的框图。图3A是根据一实施例的计数向量的框图。图3B是根据一实施例的将系统调用类型映射到计数向量中的元素的计数向量的框图。图3C-3D是根据一实施例的将系统调用的序列映射到计数向量的计数向量的框图。图4是根据一实施例的恶意软件检测系统的框图。图5A是根据一实施例的时间卷积网络的框图。图5B是根据一实施例的空间卷积网络的框图。图6是根据一实施例的合并时间卷积网络的输出和空间卷积网络的输出的合并器的框图。图7是根据一实施例的完全连接模块的框图。图8是根 ...
【技术保护点】
1.一种系统,包括:/n存储指令的非暂态存储器;以及/n一个或多个硬件处理器,该一个或多个硬件处理器耦合到所述非暂态存储器并且被配置为从所述非暂态存储器读取指令以使得所述系统执行操作,所述操作包括:/n将具有多个分量的计数向量作为输入提供到时间卷积网络和空间卷积网络,其中计数向量的多个分量中的每个分量对应于由进程生成的系统调用的类型和每种类型的系统调用在可配置时间间隔中发生的次数;/n利用所述时间卷积网络中的多个时间过滤器为所述多个计数向量生成时间输出;/n利用所述空间卷积网络中的多个空间过滤器为所述多个计数向量生成空间输出;/n将所述时间输出和所述空间输出合并成概要表示,其中所述概要表示表示生成了所述计数向量的进程;并且/n利用所述概要表示来确定生成了所述计数向量的进程。/n
【技术特征摘要】
【国外来华专利技术】20171218 US 15/845,1991.一种系统,包括:
存储指令的非暂态存储器;以及
一个或多个硬件处理器,该一个或多个硬件处理器耦合到所述非暂态存储器并且被配置为从所述非暂态存储器读取指令以使得所述系统执行操作,所述操作包括:
将具有多个分量的计数向量作为输入提供到时间卷积网络和空间卷积网络,其中计数向量的多个分量中的每个分量对应于由进程生成的系统调用的类型和每种类型的系统调用在可配置时间间隔中发生的次数;
利用所述时间卷积网络中的多个时间过滤器为所述多个计数向量生成时间输出;
利用所述空间卷积网络中的多个空间过滤器为所述多个计数向量生成空间输出;
将所述时间输出和所述空间输出合并成概要表示,其中所述概要表示表示生成了所述计数向量的进程;并且
利用所述概要表示来确定生成了所述计数向量的进程。
2.如权利要求1所述的系统,其中生成所述时间输出和生成所述空间输出并行发生。
3.如权利要求1所述的系统,其中所述多个时间过滤器中的时间过滤器包括多行,并且所述多行中的每一行与时间间隔相关联。
4.如权利要求1所述的系统,其中所述多个空间过滤器中的空间过滤器对应于所述计数向量中的分量的数目。
5.如权利要求1所述的系统,其中所述多个空间过滤器中的空间过滤器对应于用于生成所述多个计数向量中的计数向量的可配置时间间隔。
6.如权利要求1所述的系统,其中所述多个时间过滤器中的时间过滤器识别随着时间的流逝发生的所述进程的特征。
7.如权利要求1所述的系统,其中所述空间过滤器识别与所述进程在预配置的时间段期间生成的系统调用的数目和类型相对应的所述进程的特征。
8.如权利要求1所述的系统,其中所述概要表示保留所述进程的时间和空间特征。
9.如权利要求1所述的系统,其中所述进程是恶意进程。
10.一种方法,包括:
将具有多个分量的计数向量作为输入提供到时间卷积网络和空间卷积网络,其中所述多个计数向量中的计数向量包括表示在可配置时间间隔中由进程向操作系统作出的系统调用的数据;
通过使所述多个计数向量经过所述时间卷积网络中的多个时间过滤器来生成时间输出;
通过使所述多个计数向量经过所述空间卷积网络中的多个空间过滤器来生成空间输出;
将所述时间输出和...
【专利技术属性】
技术研发人员:迈克尔·迪姆希茨,本杰明·希勒尔·米亚拉,
申请(专利权)人:贝宝公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。