【技术实现步骤摘要】
【国外来华专利技术】用于降低误报恶意软件检测率的机器学习系统及方法
技术介绍
[0001]本专利技术涉及计算机安全系统及方法,且特定来说涉及用于检测恶意的软件及/或对计算机系统及/或通信网络的入侵的系统及方法。
[0002]近年来,计算机及网络安全对于个人及公司同样变得越来越重要。电子通信技术的快速发展、日常活动中对软件的日益依赖以及物联网的出现,使得公司及个人容易遭受隐私丢失、数据窃取及勒索攻击。
[0003]恶意的软件(也称为恶意软件)是影响全球计算机系统的主要计算机安全威胁之一。恶意软件以多种形式存在,例如计算机病毒、蠕虫、黑客程序及间谍软件,对数百万计算机用户构成了严重威胁。安全软件可用于检测感染用户的计算机系统的恶意软件,且另外用于移除或停止此种恶意软件的执行。所属领域中已知数种恶意软件检测技术。一些技术依赖于将恶意软件代理的代码片段与恶意软件指示性特征库进行匹配。其它方法检测恶意软件代理的一组恶意软件指示性行为。
[0004]这种传统反恶意软件策略通常依赖于人类分析师来设计显式恶意软件检测规则及算法。举例来说,分析师可使用对恶意的软件的操作方式的经验观察及/或洞察来设计随后在安全软件中实施的行为试探法。然而,新的恶意软件不断被创建,因此此种行为试探法需要不断检查及更新。随着各种运算装置及经由信息网络流动的数据量的增加,人类操作者可靠地维护安全软件变得越来越不切实际。因此,对开发更稳健及可扩展的计算机安全系统及方法存在很大兴趣。
[0005]困扰计算机安全的一个特殊问题是误报检测,即,安全软件将一些合法的运算活动错误地解 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种包括至少一个硬件处理器的计算机系统,所述硬件处理器经配置以:执行行为分析器来确定软件实体是否是恶意的;响应于执行所述行为分析器,在所述行为分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的;响应于执行所述行为分析器,在所述行为分析器指示所述软件实体是恶意的时执行存储器分析器来确定所述软件实体是否是恶意的;响应于执行所述存储器分析器,在所述存储器分析器指示所述软件实体是恶意的时确定所述软件实体是恶意的;及响应于执行所述存储器分析器,在所述存储器分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的;其中:所述行为分析器包括第一神经网络,其经配置以:接收事件指示符序列,每一事件指示符表征由所述软件实体的执行引起的相异事件,根据每一相异事件的发生时间对所述事件指示符序列进行排序,及根据所述事件指示符序列来确定所述软件实体是否是恶意的;且所述存储器分析器包括第二神经网络,其经配置以:接收令牌指示符序列,每一令牌指示符表征从所述软件实体的存储器快照提取的相异字符串令牌,根据每一相应字符串令牌的存储器位置对所述令牌指示符序列进行排序,及根据所述令牌指示符序列来确定所述软件实体是否是恶意的。2.根据权利要求1所述的计算机系统,其中所述第一神经网络包括递归神经网络。3.根据权利要求1所述的计算机系统,其中所述第一神经网络包括卷积神经网络。4.根据权利要求1所述的计算机系统,其中所述至少一个硬件处理器进一步经配置以:响应于执行所述行为分析器,在所述行为分析器指示所述软件实体是恶意的时提取所述存储器快照,其中提取所述存储器快照包括:根据所述计算机系统的存储器内的存储器页面是否被所述软件实体使用来识别所述存储器页面;及将一组数据从所述存储器页面复制到所述存储器快照中。5.根据权利要求1所述的计算机系统,其中提取所述存储器快照包括:根据所述计算机系统的存储器内的第一存储器页面当前是否存储所述软件实体的可执行文件的标头元数据来识别所述第一存储器页面;根据元数据来识别所述存储器内的第二存储器页面;及将一组数据从所述第二存储器页面复制到所述存储器快照中。6.根据权利要求1所述的计算机系统,其中所述至少一个硬件处理器进一步经配置以建构所述事件指示符序列来准备执行所述行为分析器,且其中建构所述事件指示符序列包括:确定在所述软件实体的所述执行开始与每一相异事件的所述发生时间之间流逝的时间量;及根据所述时间量来确定是否将表征所述每一相异事件的所述每一事件指示符包含到所述事件指示符序列中。
7.根据权利要求1所述的计算机系统,其中所述至少一个硬件处理器进一步经配置以建构所述事件指示符序列来准备执行所述行为分析器,且其中建构所述事件指示符序列包括:识别在所述软件实体的所述执行期间在预定时间间隔内发生的多个事件;根据发生时间对所述多个事件进行排序以产生有序序列;响应于确定所述多个事件的计数,在所述计数超过预定阈值时将表征归属于所述有序序列的开始的事件的第一组指示符以及表征归属于所述有序序列的结束的事件的第二组指示符包含于所述事件指示符序列中。8.根据权利要求1所述的计算机系统,其中所述至少一个硬件处理器进一步经配置以采用经训练事件编码器来产生所述每一事件指示符,其中训练所述事件编码器包括:将所述事件编码器耦合到事件解码器,编码器
‑
解码器对经配置以接收第一子组训练事件序列并输出预测的一子组事件;及根据所述预测的一子组事件与第二子组所述训练事件序列之间的差异来调整所述事件编码器的一组参数。9.根据权利要求1所述的计算机系统,其中根据预定事件词汇表来确定所述每一事件指示符,所述事件词汇表的每一成员由元组表征,所述元组由与至少另一事件特征共同发生的事件类型组成。10.一种恶意软件检测方法,其包括采用至少一个硬件处理器来实行以下步骤:执行行为分析器以确定软件实体是否是恶意的;响应于执行所述行为分析器,在所述行为分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的;响应于执行所述行为分析器,在所述行为分析器指示所述软件实体是恶意的时执行存储器分析器以确定所述软件实体是否是恶意的;响应于执行所述存储器分析器,在所述存储器分析器指示所述软件实体是恶意的时确定所述软件实体是恶意的;及响应于执行所述存储器分析器,在所述存储器分析器指示所述软件实体并非恶意的时确定所述软件实体并非恶意的;其中:所述行...
【专利技术属性】
技术研发人员:D,
申请(专利权)人:比特梵德知识产权管理有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。