【技术实现步骤摘要】
【国外来华专利技术】以量化步长使用机器学习模型用于恶意软件检测
本公开总体上涉及计算系统安全性,并且更具体地,涉及在设备上的恶意软件检测期间以量化步长使用机器学习模型。
技术介绍
随着时间的流逝,智能手机变得越来越强大,并且其用途也在增加。但是,由于这种用途的增加,智能手机已成为恶意软件的更有吸引力的目标。Malware是“恶意软件(malicioussoftware)”的缩写,是可用于在用户不知情或未经用户同意的情况下破坏设备操作、毁坏数据、收集敏感信息或访问私人计算机系统的软件。此类恶意软件的示例包括软件病毒、特洛伊木马、根程序病毒包(rootkits)、勒索软件等。正确识别哪些文件或应用包括恶意软件以及哪些文件或应用是良性的可能是一项艰巨的任务,因为恶意软件开发人员通常会混淆恶意软件的各种属性,以试图避免被反恶意软件检测到。机器学习模型通过执行软件包来训练,并将所得的观察结果输入到机器学习模型中。但是,软件包可以执行很长时间(例如,大约几分钟),因此在执行期间会生成许多观察。常规技术使用来自特定时间段或发生一定数量的事件(例如60秒,1000个事件等)期间的数据来构建机器学习模型。使用这种传统技术构建的模型需要等待,直到被评估的软件包达到相同的时间/事件点。这样的技术是准确的,但是在达到特定的时间点或事件之前,不能对软件包进行评估,从而导致软件包中恶意软件的识别出现不希望的延迟。而且,使用以这种常规方式构建的机器学习模型来测试短事件序列的事件(例如5秒,50个事件等)会导致不期望的假阴性和假阳性。专利技术内 ...
【技术保护点】
1.一种方法,包括:/n通过执行一个或多个训练文件来生成第一组事件,其中,所述第一组事件与域相关联,并且其中所述第一组事件的每个事件均基于在所述训练文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联;/n创建多个步长模型,其中针对与所述域的特定步长点相关联的所述第一组事件的事件训练每个步长模型;/n通过在设备上执行第二文件来生成第二组事件,其中所述第二组事件与所述域相关联,并且其中所述第二组事件的每个事件均基于在所述第二文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联;以及/n在所述设备上将所述多个步长模型中的至少两个步长模型应用于所述第二组事件,以生成指示所述第二文件是否包括恶意软件的置信度水平,其中,每个所应用的步长模型都应用于与训练了所述步长模型的步长点相关联的所述第二组事件的事件。/n
【技术特征摘要】
【国外来华专利技术】20171117 US 62/588,1931.一种方法,包括:
通过执行一个或多个训练文件来生成第一组事件,其中,所述第一组事件与域相关联,并且其中所述第一组事件的每个事件均基于在所述训练文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联;
创建多个步长模型,其中针对与所述域的特定步长点相关联的所述第一组事件的事件训练每个步长模型;
通过在设备上执行第二文件来生成第二组事件,其中所述第二组事件与所述域相关联,并且其中所述第二组事件的每个事件均基于在所述第二文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联;以及
在所述设备上将所述多个步长模型中的至少两个步长模型应用于所述第二组事件,以生成指示所述第二文件是否包括恶意软件的置信度水平,其中,每个所应用的步长模型都应用于与训练了所述步长模型的步长点相关联的所述第二组事件的事件。
2.根据权利要求1所述的方法,还包括将阈值置信度水平设置为第一值或第二值,其中将所述阈值置信度水平设置为所述第一值减少了延迟并且降低了所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性,并且其中将所述阈值置信度水平设置为所述第二值增加了延迟并且提高了所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性。
3.根据权利要求2所述的方法,其中,所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性包括真阳性和假阳性。
4.根据权利要求2所述的方法,其中,响应于所述置信度水平大于或等于所述阈值置信度水平,停止所述第二文件的执行,并且其中,响应于所述置信度水平小于所述阈值置信度水平,继续所述第二文件的执行。
5.根据权利要求1所述的方法,其中,当与所述事件相关联的所述步长点与针对其训练了所述步长模型的所述步长点匹配时,将每个所应用的步长模型应用于所述第二组事件的事件。
6.根据权利要求1所述的方法,其中,当与所述事件相关联的所述步长点在针对其训练了所述步长模型的所述步长点之间时,将每个所应用的步长模型应用于所述第二组事件的事件,从而当与所述事件相关联的所述步长点与针对其训练了所述步长模型的所述步长点匹配时,相对于将每个所应用的步长模型应用于事件,减少了所述生成指示所述第二文件是否包括恶意软件的置信度水平的延迟。
7.根据权利要求1所述的方法,其中,所述域包括时域和事件域中的至少一个。
8.一种系统,包括:
设备仿真器,其被配置为通过执行一个或多个训练文件来生成第一组事件,所述第一组事件与域相关联,并且所述第一组事件的每个事件均基于在所述训练文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联;
机器学习引擎,其被配置为接收所述第一组事件并创建多个步长模型,针对与所述域的特定步长点相关联的第一组事件的事件训练每个步长模型;以及
设备,所述设备包括:
软件环境,其被配置为通过执行第二文件来生成第二组事件,所述第二组事件与所述域相关联,并且所述第二组事件的每个事件均基于在所述第二文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联;以及
恶意软件检测器,其被配置为:
接收多个步长模型;
接收所述第二组事件;以及
将所述多个步长模型中的至少两个步长模型应用于所述第二组事件,以生成指示所述第二文件是否包括恶意软件的置信度水平,其中,每个所应用的步长模型都应用于与训练了所述步长模型的步长点相关联的第二组事件的事件。
9.根据权利要求8所述的系统,其中,所述恶意软件检测器还被配置为将阈值置信度水平设置为第一值或第二值,其中将所述阈值置信度水平设置为所述第一值减少了延迟并且降低了所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性,并且其中将所述阈值置信度水平设置为所述第二值增加了延迟并且提高了所述生成指示所述第二文件是否包括恶意软件的置信...
【专利技术属性】
技术研发人员:P格罗纳特,R古普塔,F哈夫利切克,M沃杰西克,
申请(专利权)人:爱维士软件有限责任公司,
类型:发明
国别省市:捷克;CZ
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。