【技术实现步骤摘要】
内存马的检测方法和装置、模型的训练方法和装置
[0001]本公开涉及信息安全
,尤其是一种内存马的检测方法和装置、模型的训练方法和装置。
技术介绍
[0002]随着信息技术的发展,对信息安全的防护越来越重视。在信息安全领域中,对恶意代码的检测一直是热门研究方向。
[0003]内存马(一种恶意代码的形式)是无文件攻击的一种常用工具。内存马通常只在内存中运行。
技术实现思路
[0004]专利技术人注意到,内存马所带来的大部分问题可以通过重启设备(例如,虚拟机)解决,但是重启会使设备上的现网业务中断、运行时的程序宕机。因此,需要精确检测内存马以及时进行相应处理。
[0005]专利技术人进一步发现,相关技术中缺乏精确的内存马的检测方法。
[0006]为了解决上述问题,本公开实施例提出了如下解决方案。
[0007]根据本公开实施例的一方面,提供一种内存马的检测方法,包括获取内存马发起攻击时虚拟机的应用层的第一特征信息,所述第一特征信息包括与内存调用相关的数据流信息;根据输入信息和机...
【技术保护点】
【技术特征摘要】
1.一种内存马的检测方法,包括:获取内存马发起攻击时虚拟机的应用层的第一特征信息,所述第一特征信息包括与内存调用相关的数据流信息;根据输入信息和机器学习模型确定所述内存马的属性,所述输入信息包括所述第一特征信息。2.根据权利要求1所述的方法,还包括:获取所述虚拟机的内存的第二特征信息,其中,所述第二特征信息包括堆、虚拟机栈、本地方法栈、方法区和程序计数器中的至少一个的异常信息;其中,所述输入信息还包括所述第二特征信息。3.根据权利要求1所述的方法,其中,所述数据流信息包括日志流信息、协议信息和网关信息中的至少一个。4.根据权利要求2所述的方法,其中,所述根据输入信息和机器学习模型确定所述内存马的属性包括:将所述第一特征信息输入到第一机器学习模型以得到第一属性确定结果;将所述第二特征信息输入到第二机器学习模型以得到第二属性确定结果;根据所述第一属性确定结果和所述第二属性确定结果,确定所述内存马的属性。5.根据权利要求4所述的方法,其中,所述第一机器学习模型和所述第二机器学习模型中的至少一个为聚类模型。6.根据权利要求5所述的方法,其中,所述聚类模型为K均值聚类模型。7.根据权利要求4所述的方法,其中,所述根据所述第一属性确定结果和所述第二属性确定结果,确定所述内存马的属性包括:对所述第一属性确定结果和所述第二属性确定结果进行归一化处理以确定所述内存马的属性。8.根据权利要求1
‑
7任意一项所述的方法,其中,所述内存马的属性包括所述内存马的类型和名称中的至少一个。9.根据权利要求1
‑
7任意一项所述的方法,其中,所述第一特征信息还包括应用层调用的函数信息。10.根据权利要求1
‑
7任意一项所述的方法,其中,通过在应用层中插桩形成的挂钩hook来获取所述第一特征信息。11.根据权利要求1
‑
7任意一项所述的方法,其中,所述机器学习模型通过以下方式进行训练:获取第一内存马发起攻击时虚拟机的应用层的第一样本特征信息,所述第一样本特征信息包括与内存调用相关的样本数据流信息;将样本输入信息作为输入,将所述第一内存马的属性作为输出对所述机器学习模型进行训练,所述样本输入信息包括所述第一样本特征信息。12.一种模型的训练方法,包括:获取第一内存马发起攻击时虚拟机的应用层的第一...
【专利技术属性】
技术研发人员:姚倩,纪妙,周慧英,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。