【技术实现步骤摘要】
一种基于改进后的支持向量机的恶意程序识别方法
本专利技术属于网络流量中检测恶意程序领域,涉及一种基于改进后的支持向量机的恶意程序识别方法。
技术介绍
随着人口数量的不断增长,促使网络规模日益扩大,网络流量中充斥着各种各样的繁杂数据,一些窃取利益者通过借助网络中的一些漏洞来进行网络攻击,造成了重要信息的泄露,以及非法访问的安全问题,更有甚者,使得企业系统瘫痪,给人们的生活带来了巨大的困扰。在这庞大的网络流量中,网络恶意攻击者会发布一些钓鱼网站或者蠕虫病毒,来窃取用户的重要信息,然后利用这些漏洞将正常的程序转换为恶意程序,进而使得用户的主机被黑客控制或崩溃,造成了巨大的经济损失,扰乱了社会秩序。在对恶意程序的检测前,需要先对网络流量进行分类识别,分离出有危害的恶意程序才好进一步对面向缓冲区溢出漏洞的恶意程序进行检测,而随着技术的不断发展,分类识别技术也种类多样,而现有一些分类识别方法都有其优缺点。Teufl等人提出了一个简化经验模型选择和特征提取的框架,通过对网络流量进行分析,来观察流量中的数据是否违反了某项规则...
【技术保护点】
1.一种基于改进后的支持向量机的恶意程序识别方法,其特征在于,包括如下步骤:/n步骤1通过Netflow对网络流量中数据进行采集,并对采集到的数据包进行数据规范化;/n步骤2为了完成对恶意程序的识别,需要进行特征提取;/n步骤3为了消除冗余特征的问题,进行特征属性降维,并进行归一化处理;/n步骤4然后采用OFSVM算法进行分类训练;/n步骤5最后使用NTMI识别算法构建网络流量识别模型,最终实现对网络流量中恶意程序的识别。/n
【技术特征摘要】
1.一种基于改进后的支持向量机的恶意程序识别方法,其特征在于,包括如下步骤:
步骤1通过Netflow对网络流量中数据进行采集,并对采集到的数据包进行数据规范化;
步骤2为了完成对恶意程序的识别,需要进行特征提取;
步骤3为了消除冗余特征的问题,进行特征属性降维,并进行归一化处理;
步骤4然后采用OFSVM算法进行分类训练;
步骤5最后使用NTMI识别算法构建网络流量识别模型,最终实现对网络流量中恶意程序的识别。
2.如权利要求1所述方法,其特征在于,所述步骤2具体包括:
通过对处理后的数据集比较样本类型和特征属性的相关性,权值将不断增大随着相关性越高,然后设置一个阈值,超过该阈值,就保留该特征属性,否则就不选取;同时,若在提取过程中发现某个数据包出现多个特征属性,则选取出现频率最高的来进行代替,具体的特征选取的过程如下:从数据集D中分层随机选择一些样本s,然后在与样本s最近的相同类型Da中选取y个样本r,然后在不同类的Db中选取y个样本t,最终计算出样本s分别与样本r和样本t的距离,为Dsr和Dst;如果Dsr>Dst,说明该特征属性是有问题的,无法利用来进行分类,进而设置较小的权值;反之,该特征属性是易于分类的,就设置较大的权值。
3.如权利要求1所述方法,其特征在于,所述步骤3具体包括:
首先将提取到的特征属性添加到集合S中,在此基础上提出了Filter特征降维的方法,然后借助信息增益算法对特征属性集合S进行信息增益的评估,通过评估每一项特征属性对后续分类的效果,来决定是否更新值以及是否更新特征属性集合S,接着采用启发式的搜索策略对特征属性进行排序,得到特征属性集S1,循环该过程,达到指定的次数才会停止,在此基础上,采用wrapper方法进行二次特征选取,采用启发式序列向前的搜索方式,得到特征属性集S2,在进行特征降维后,不仅缩短了时间降低了计...
【专利技术属性】
技术研发人员:陈锦富,殷上,张祖法,黄如兵,杨健,
申请(专利权)人:江苏大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。