用于降低误报恶意软件检测率的机器学习系统及方法技术方案

在一些实施例中，行为分类器包括一组神经网络，所述一组神经网络经训练以根据由被监控软件实体的执行引起的运算事件序列来确定相应实体是否是恶意的。当所述行为分类器指示所述实体是恶意的时，一些实施例执行包括另一组神经网络的存储器分类器，所述另一组神经网络经训练以根据被监控实体的存储器快照来确定所述被监控实体是否是恶意的。依序应用分类器可显著降低误报检测率，同时减少运算成本。同时减少运算成本。同时减少运算成本。

【技术实现步骤摘要】
【国外来华专利技术】用于降低误报恶意软件检测率的机器学习系统及方法

技术介绍

[0001]本专利技术涉及计算机安全系统及方法，且特定来说涉及用于检测恶意的软件及/或对计算机系统及/或通信网络的入侵的系统及方法。
[0002]近年来，计算机及网络安全对于个人及公司同样变得越来越重要。电子通信技术的快速发展、日常活动中对软件的日益依赖以及物联网的出现，使得公司及个人容易遭受隐私丢失、数据窃取及勒索攻击。
[0003]恶意的软件(也称为恶意软件)是影响全球计算机系统的主要计算机安全威胁之一。恶意软件以多种形式存在，例如计算机病毒、蠕虫、黑客程序及间谍软件，对数百万计算机用户构成了严重威胁。安全软件可用于检测感染用户的计算机系统的恶意软件，且另外用于移除或停止此种恶意软件的执行。所属领域中已知数种恶意软件检测技术。一些技术依赖于将恶意软件代理的代码片段与恶意软件指示性特征库进行匹配。其它方法检测恶意软件代理的一组恶意软件指示性行为。
[0004]这种传统反恶意软件策略通常依赖于人类分析师来设计显式恶意软件检测规则及算法。举例来说，分析师可使用对恶意的软件的操作方式的经验观察及/或洞察来设计随后在安全软件中实施的行为试探法。然而，新的恶意软件不断被创建，因此此种行为试探法需要不断检查及更新。随着各种运算装置及经由信息网络流动的数据量的增加，人类操作者可靠地维护安全软件变得越来越不切实际。因此，对开发更稳健及可扩展的计算机安全系统及方法存在很大兴趣。
[0005]困扰计算机安全的一个特殊问题是误报检测，即，安全软件将一些合法的运算活动错误地解释为网络攻击的情况。此类事件在生产率方面可能是特别昂贵的，并且可能降低用户对相应软件解决方案或者甚至总体上对计算机安全性的信心。因此，降低误报检测率对于成功的计算机安全来说可能与可靠地检测真实威胁一样重要。

技术实现思路

[0006]根据一个方面，一种计算机系统包括至少一个硬件处理器，所述硬件处理器经配置以执行行为分析器来确定软件实体是否是恶意的，并且作为响应，在所述行为分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的。所述至少一个硬件处理器进一步经配置以在所述行为分析器指示所述软件实体是恶意的时执行存储器分析器来确定所述软件实体是否是恶意的。所述至少一个硬件处理器进一步经配置以在所述存储器分析器指示所述软件实体是恶意的时确定所述软件实体是恶意的，并且在所述存储器分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的。所述行为分析器包括第一神经网络，其经配置以接收事件指示符序列，并根据所述事件指示符序列来确定所述软件实体是否是恶意的。序列的每一事件指示符表征由所述软件实体的执行引起的相异事件。根据每一相异事件的发生时间对所述事件指示符序列进行排序。所述存储器分析器包括第二神经网络，其经配置以接收令牌指示符序列，并根据所述令牌指示符序列来确定所述软件实体是否是恶意的。所述序列的每一令牌指示符表征从所述软件实体的存储器快照提取的
相异字符串令牌。根据每一相应字符串令牌的存储位置对所述令牌指示符序列进行排序。
[0007]根据另一方面，恶意软件检测方法包括：采用计算机系统的至少一个硬件处理器来执行行为分析器以确定软件实体是否是恶意的，并且作为响应，在所述行为分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的。所述方法进一步包括：在所述行为分析器指示所述软件实体是恶意的时采用至少一个硬件处理器来执行存储器分析器以确定所述软件实体是否是恶意的。所述方法进一步包括：在所述存储器分析器指示所述软件实体是恶意的时采用所述至少一个硬件处理器来确定所述软件实体是恶意的，并且在所述存储器分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的。所述行为分析器包括第一神经网络，其经配置以接收事件指示符序列，并根据所述事件指示符序列来确定所述软件实体是否是恶意的。所述序列的每一事件指示符表征由所述软件实体的执行引起的相异事件。根据每一相异事件的发生时间对所述事件指示符序列进行排序。所述存储器分析器包括第二神经网络，其经配置以接收令牌指示符序列，并根据所述令牌指示符序列来确定所述软件实体是否是恶意的。所述序列的每一令牌指示符表征从所述软件实体的存储器快照提取的相异字符串令牌。根据每一相应字符串令牌的存储位置对所述令牌指示符序列进行排序。
[0008]根据另一方面，一种非暂时性计算机可读媒体存储指令，当由计算机系统的至少一个硬件处理器执行时，所述指令致使所述计算机系统执行行为分析器来确定软件实体是否是恶意的，并且作为响应，在所述行为分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的。所述指令进一步致使所述计算机系统在所述行为分析器指示所述软件实体是恶意的时执行存储器分析器来确定所述软件实体是否是恶意的。所述指令进一步致使所述计算机系统在所述存储器分析器指示所述软件实体是恶意的时确定所述软件实体是恶意的，并且在所述存储器分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的。所述行为分析器包括第一神经网络，其经配置以接收事件指示符序列，并根据所述事件指示符序列来确定所述软件实体是否是恶意的。所述序列的每一事件指示符表征由所述软件实体的执行引起的相异事件。根据每一相异事件的发生时间对所述事件指示符序列进行排序。所述存储器分析器包括第二神经网络，其经配置以接收令牌指示符序列，并根据所述令牌指示符序列来确定所述软件实体是否是恶意的。所述序列的每一令牌指示符表征从所述软件实体的存储器快照提取的相异字符串令牌。根据每一相应字符串令牌的存储位置对所述令牌指示符序列进行排序。
附图说明
[0009]在阅读以下详细描述后且在参考图式后，本专利技术的前述方面及优点将立即变得更好理解，在图式中：
[0010]图1展示根据本专利技术的一些实施例的被保护免受计算机安全威胁的一组互连客户端系统。
[0011]图2图解说明根据本专利技术的一些实施例的经配置以实行计算机安全操作的运算装置的示范性硬件配置。
[0012]图3图解说明根据本专利技术的一些实施例的在受保护客户端系统上执行的示范性软件组件。
[0013]图4展示根据本专利技术的一些实施例的示范性安全模块的结构及功能图。
[0014]图5展示根据本专利技术的一些实施例的包括示范性事件记录的示范性事件序列。
[0015]图6展示根据本专利技术的一些实施例的行为分析器的示范性组件。
[0016]图7图解说明根据本专利技术的一些实施例的包括多个事件嵌入向量的示范性行为嵌入数组。
[0017]图8图解说明根据本专利技术的一些实施例的行为分类器的示范性结构及操作。
[0018]图9展示根据本专利技术的一些实施例的形成行为分类器的一部分的示范性卷积神经网络的操作。
[0019]图10
‑
A图解说明根据本专利技术的一些实施例的示范性单向递归神经网络。
[0020]图10
‑
B展示根据本专利技术的一些实施例的示范性双向递归神经网络。
[0021]图11展示根据本专利技术的一些实施本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种包括至少一个硬件处理器的计算机系统，所述硬件处理器经配置以：执行行为分析器来确定软件实体是否是恶意的；响应于执行所述行为分析器，在所述行为分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的；响应于执行所述行为分析器，在所述行为分析器指示所述软件实体是恶意的时执行存储器分析器来确定所述软件实体是否是恶意的；响应于执行所述存储器分析器，在所述存储器分析器指示所述软件实体是恶意的时确定所述软件实体是恶意的；及响应于执行所述存储器分析器，在所述存储器分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的；其中：所述行为分析器包括第一神经网络，其经配置以：接收事件指示符序列，每一事件指示符表征由所述软件实体的执行引起的相异事件，根据每一相异事件的发生时间对所述事件指示符序列进行排序，及根据所述事件指示符序列来确定所述软件实体是否是恶意的；且所述存储器分析器包括第二神经网络，其经配置以：接收令牌指示符序列，每一令牌指示符表征从所述软件实体的存储器快照提取的相异字符串令牌，根据每一相应字符串令牌的存储器位置对所述令牌指示符序列进行排序，及根据所述令牌指示符序列来确定所述软件实体是否是恶意的。2.根据权利要求1所述的计算机系统，其中所述第一神经网络包括递归神经网络。3.根据权利要求1所述的计算机系统，其中所述第一神经网络包括卷积神经网络。4.根据权利要求1所述的计算机系统，其中所述至少一个硬件处理器进一步经配置以：响应于执行所述行为分析器，在所述行为分析器指示所述软件实体是恶意的时提取所述存储器快照，其中提取所述存储器快照包括：根据所述计算机系统的存储器内的存储器页面是否被所述软件实体使用来识别所述存储器页面；及将一组数据从所述存储器页面复制到所述存储器快照中。5.根据权利要求1所述的计算机系统，其中提取所述存储器快照包括：根据所述计算机系统的存储器内的第一存储器页面当前是否存储所述软件实体的可执行文件的标头元数据来识别所述第一存储器页面；根据元数据来识别所述存储器内的第二存储器页面；及将一组数据从所述第二存储器页面复制到所述存储器快照中。6.根据权利要求1所述的计算机系统，其中所述至少一个硬件处理器进一步经配置以建构所述事件指示符序列来准备执行所述行为分析器，且其中建构所述事件指示符序列包括：确定在所述软件实体的所述执行开始与每一相异事件的所述发生时间之间流逝的时间量；及根据所述时间量来确定是否将表征所述每一相异事件的所述每一事件指示符包含到所述事件指示符序列中。
7.根据权利要求1所述的计算机系统，其中所述至少一个硬件处理器进一步经配置以建构所述事件指示符序列来准备执行所述行为分析器，且其中建构所述事件指示符序列包括：识别在所述软件实体的所述执行期间在预定时间间隔内发生的多个事件；根据发生时间对所述多个事件进行排序以产生有序序列；响应于确定所述多个事件的计数，在所述计数超过预定阈值时将表征归属于所述有序序列的开始的事件的第一组指示符以及表征归属于所述有序序列的结束的事件的第二组指示符包含于所述事件指示符序列中。8.根据权利要求1所述的计算机系统，其中所述至少一个硬件处理器进一步经配置以采用经训练事件编码器来产生所述每一事件指示符，其中训练所述事件编码器包括：将所述事件编码器耦合到事件解码器，编码器
‑
解码器对经配置以接收第一子组训练事件序列并输出预测的一子组事件；及根据所述预测的一子组事件与第二子组所述训练事件序列之间的差异来调整所述事件编码器的一组参数。9.根据权利要求1所述的计算机系统，其中根据预定事件词汇表来确定所述每一事件指示符，所述事件词汇表的每一成员由元组表征，所述元组由与至少另一事件特征共同发生的事件类型组成。10.一种恶意软件检测方法，其包括采用至少一个硬件处理器来实行以下步骤：执行行为分析器以确定软件实体是否是恶意的；响应于执行所述行为分析器，在所述行为分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的；响应于执行所述行为分析器，在所述行为分析器指示所述软件实体是恶意的时执行存储器分析器以确定所述软件实体是否是恶意的；响应于执行所述存储器分析器，在所述存储器分析器指示所述软件实体是恶意的时确定所述软件实体是恶意的；及响应于执行所述存储器分析器，在所述存储器分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的；其中：所述行...

【专利技术属性】
技术研发人员：D，
申请(专利权)人：比特梵德知识产权管理有限公司，
类型：发明
国别省市：