【技术实现步骤摘要】
【国外来华专利技术】用于检测恶意软件的深度强化学习技术
技术介绍
尽管在计算机安全和消除安全威胁的工具方面进行了数十年的研究,但是用户和组织仍然依赖于使用一些主要手段来试图检测恶意软件的商业恶意软件产品。首先,基于恶意软件“签名”的静态分析被用来在文件或进程中搜索恶意代码序列。接下来,动态分析被用来通常在隔离空间中对文件的执行进行仿真。这种仿真可以不涉及完整的虚拟机(“VM”)。相反,仿真器可以模仿典型的操作系统的响应。如果系统在对文件进行仿真时可以检测到恶意行为,则系统可以阻止在本机操作系统上的执行并将文件标识为恶意文件。结果,可以避免计算机的感染。如果系统无法在仿真过程中检测到恶意行为,则该文件可以在计算机上被安装和/或执行。在安装之后,无论何时文件在计算机上被执行,恶意软件系统通常都会继续监测文件的动态行为。如果恶意软件系统在计算机上检测到恶意软件文件,它通常会采取一项或多项动作来保护计算机免受该文件侵害。
技术实现思路
本节中提供的
技术实现思路
总结了本文所描述技术的一个或多个部分或完整的示例实施例,以便向读者提供基本的高级理解。本
技术实现思路
不是...
【技术保护点】
1.一种在至少一个计算设备上被执行的方法,所述至少一个计算设备包括至少一个处理器和存储器,所述方法包括:/n由所述至少一个计算设备来执行文件的至少一部分;/n由所述至少一个计算设备来监测所述文件的执行,所述文件的执行足以标识由正在执行的所述文件所执行的受监测事件的序列;/n由所述至少一个计算设备基于所述受监测事件来构建包括事件直方图的事件状态;/n由所述至少一个计算设备基于所述事件状态来生成至少一个Q值;/n由所述至少一个计算设备基于所述至少一个Q值来产生继续执行所述文件或暂停执行所述文件的决定;以及/n由所述至少一个计算设备至少响应于暂停执行所述文件的所述决定来暂停所述文...
【技术特征摘要】
【国外来华专利技术】20180410 US 15/949,8731.一种在至少一个计算设备上被执行的方法,所述至少一个计算设备包括至少一个处理器和存储器,所述方法包括:
由所述至少一个计算设备来执行文件的至少一部分;
由所述至少一个计算设备来监测所述文件的执行,所述文件的执行足以标识由正在执行的所述文件所执行的受监测事件的序列;
由所述至少一个计算设备基于所述受监测事件来构建包括事件直方图的事件状态;
由所述至少一个计算设备基于所述事件状态来生成至少一个Q值;
由所述至少一个计算设备基于所述至少一个Q值来产生继续执行所述文件或暂停执行所述文件的决定;以及
由所述至少一个计算设备至少响应于暂停执行所述文件的所述决定来暂停所述文件的所述至少一部分的所述执行。
2.根据权利要求1所述的方法,其中所述生成还基于所述事件直方图。
3.根据权利要求1所述的方法,其中所述生成还基于与所述受监测事件相对应的一组事件得分直方图。
4.根据权利要求1所述的方法,其中所述生成还基于与所述事件状态相对应的受监测事件的步骤号。
5.根据权利要求1所述的方法,其中所述生成还基于与所述事件状态相对应的受监测事件的标识符。
6.根据权利要求1所述的方法,其中强化学习模型是深度强化学习模型。
7.根据权利要求1所述的方法,还包括:
由所述至少一个计算设备基于事件得分来构建事件得分历史;以及
由所述至少一个计算设备基于所述事件得分历史和所述决定来确定改进得分,所述改进得分指示正在执行的所述文件是恶意还是良性的可能性,其中所述暂停还基于指示正在执行的所述文件是恶意的所述改进得分。
8.至少一个计算设备,包括:
至少一个处理器和存储器,所述存储器被耦合到所述至少一个处理器并且包括计算机可执行指令,所述计算机可执行指令基于所述至少一个处理器的执行将所述至少一个计算设备配置为执行动作,所述动作包括:
由所述至少一个计算设备来执行文件的至少一部分;
由所述至少一个计算设备来监测所述文件的执行,所述文件的执行足以标识由正在执行的所述文件所执行的受监测事件的序列;...
【专利技术属性】
技术研发人员:王昱,J·W·斯托克斯三世,A·M·马里尼斯库,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。