本发明专利技术公开了一种应用于人工智能的软件异常行为文件溯源方法,具体涉及网络安全技术领域,本发明专利技术通过设置数据衍生模型,使得在通过数据衍生模型加载得出不同种类的异常数据或正常数据后,将破译后的方案以及其基础运行原理进行存储直接存储至数据库衍生模型中的数据库中,使得该溯源方法在针对不同病毒数据或异常数据时可以根据数据库中衍生的数据模型以及衍生出的针对方案对病毒数据以及异常数据进行处理,增加了人工智能使用时的安全性,同时由于在接触病毒数据以及异常数据时可以自动对其进行收集以及分析,从而增加了该溯源方法的智能化程度,进一步提高了该溯源方法在面对不同情况以及数据时的处理效果。在面对不同情况以及数据时的处理效果。
【技术实现步骤摘要】
一种应用于人工智能的软件异常行为文件溯源方法
[0001]本专利技术涉及网络安全
,更具体地说,本专利技术涉及一种应用于人工智能的软件异常行为文件溯源方法。
技术介绍
[0002]随着人工智能技术的迅速发展,信息化技术已经广泛应用到政府民生、科研、制造等领域,信息化带来了种种便捷的同时,随之而来诸如恶意软件以及病毒等许多安全问题,尤其是恶意软件,由于其攻击具有强隐蔽性、危害大等特点,严重威胁信息系统安全且容易导致人工智能的软件在运行的过程中出现异常行为的情况。
[0003]软件的行为是指软件运行表现形态和状态演变的过程。软件行为定义为软件运行时作为主体,依靠其自身的功能对客体的施用、操作或者动作。软件存在的不可信行为会对社会造成不同程度的损坏,所以研究软件行为的可信性成为一种必要。软件的行为可以从底层的二进制指令到高层的程序语句、函数、系统调用等不同层次刻画软件行为,根据某一层次的行为信息而构建的行为状态序列以及状态变迁,可以表征软件的正常行为特征,并用于软件行为的异常检测。
[0004]现有的方法已经从不同的角度表征了软件的行为过程,可以在一定程度上检验出软件的异常行为,增强了软件行为的可信性,但其在实际运行以及使用的过程中比并不能发掘病毒文件以及异常行为文件的根源代码,导致在处理异常行为文件以及病毒文件时仅仅只能针对当前所遇到的单一病毒文件以及异常行为文件,不仅处理范围小,且防范效果差,难以快速针对同一根源代码的病毒文件以及异常行为文件。
技术实现思路
[0005]为了克服现有技术的上述缺陷,本专利技术提供了一种应用于人工智能的软件异常行为文件溯源方法,本专利技术所要解决的技术问题是:在处理异常行为文件以及病毒文件时仅仅只能针对当前所遇到的单一病毒文件以及异常行为文件,不仅处理范围小,且防范效果差,难以快速针对同一根源代码的病毒文件以及异常行为文件的问题。
[0006]为实现上述目的,本专利技术提供如下技术方案:一种应用于人工智能的软件异常行为文件溯源方法,包括以下溯源方法:
[0007]分析软件异常行为文件,针对信息搜索、信息获取、信息转移以及信息发生的环节中的行为特征,建立特征模型以及数据库衍生模型,形成特征库以及衍生库,针对恶意软件以及异常行为文件进行自动检查和分析,并针对异常行为文件以及检测出的恶意软件进行衍生得出变异病毒,其中特征模型检测方案具体包括:静态恶意软件检测、基于信息流的恶意软件检测以及动态恶意软件检测。
[0008]静态恶意软件检测技术通过检测程序的静态特征为判断,静态特征具体包括:恶意软件程序在人工智能运行过程中放置的静态文件生成文件特征字符串、注册表信息、运行时打开的固定TCP/IP端口、在目标系统中的文件名、文件大小及所在目录和启动加载方
式。
[0009]技术信息流的恶意软件检测具体包括:监听通信的接收报文、更具网络通信协议进行的内容分析,并将网络数据按照协议标准细致分类,其中,网络协议保准分类具体包括:按照IP分解出源IP、目的IP,按照TCP协议分解出源端口以及目的端口,按照HTTP协议分解出URL以及HTTP命令数据。
[0010]动态行为分析技术是针对监控恶意软件对注册表的修改,对位通信信息行为,启动系统的进程并调用应用程序接口的行为,其中,综合监控到的行为结合数据库中的可疑程序是否时恶意程序进行判断。
[0011]建立数据库衍生模型,在根据上述检测环境对导致异常情况出现的数据流以及文件进行存储,并对异常数据倒入数据库衍生模型中,分析异常数据的基础模型,得出异常数据根目录后需要将其加载至数据库衍生模型中的隔离数据端口中对其进行加载,加载得出不同种类的异常数据或正常数据,对得出数据进行运行,其中,正常可运行数据进行删除,对依旧会导致出现异常的数据进行标注,分析其运行原理并针对其基础运行原理对其进行破译,并将破译后的方案以及其基础运行原理进行存储直接存储至数据库衍生模型中的数据库中。
[0012]作为本专利技术的进一步方案:所述特征库在针对恶意软件以及异常行为文件进行自动检查和分析时,需将恶意软件以及异常行为文件序分成两个类别:恶意的和良性的可执行文件。
[0013]采用了三种学习算法,对使用系统资源信息、字符串和从数据集的工控恶意软件中提取出的字节序列作为不同类型的特征,学习方法包括:
[0014]基于规则的布尔规则。
[0015]给定一组特征的某一类概率的概率方法。
[0016]结合多个分类器输出的多分类器系统。
[0017]将数据挖掘方法和传统的基于签名方法比较,使用LibBFD,仅检测PE文件的子集,使用更多的普通方法提取所有类型的二进制文件的特征,使用GNU二进制目录检索文件从而从Windows二进制文件中提取源信息,GNU二进制目录检索文件套件工具能够在Windows上分析PE二进制文件,在PE或者通用目标文件格式(COFF)中,程序标题由一个COFF标题、一个选配标题、磁盘操作系统(MS
‑
DOS)和一个文件签名组成,PE标题本文使用libBFD(包含二进制目录检索文件的库)来提取目标格式的信息,PE二进制文件的目标格式给出了文件大小、动态链接库(DLLs)名称和DLLS及重定位表的函数调用的名称,从目标格式中本文提取特征集,用于组成每个二进制文件的特征向量。
[0018]首先,计算只在工控恶意软件类中发现的字节序列,字节序列串接在一起成为每个工控恶意软件样本唯一的签名,因此,每个工控恶意软件签名包含只在工控恶意软件类中发现的字节序列,每个样本中发现的字节序列串接在一起构成一个签名,由于训练时一个字节序列仅会在某类中发现,也可能在另一类中出现,这就导致了测试的假阳性(误报)。
[0019]其次,使用归纳规则(诱导性规则)学习者生成一个由资源规则组成的检测模型,被用于检测未知的工控恶意软件样本,此算法使用libBFD信息作为特征,算法是基于规则的学习者,建立规则集来确定分类,是错误总数降到最小,错误被定义为训练样本被规则误分类的数目。
[0020]进一步的,正例被定义为工控恶意软件,反例被定义为良性程序,初始假设Find
‑
S由<
⊥
,
⊥
,
⊥
,
⊥
>开始,假设最具体的,因为在尽可能少的样本上为真,none,检查Table2中第一个正例<yes,yes,yes,no>,算法选择下一个最具体的假设<yes,yes,yes,no>,下一个正例,<no,no,no,yes>,不符合假设的第一个和第四个属性(“DoesithaveaGUI?”和“Doesitdeletefiles?”)、还有假设中被下一个最通用的属性代替的那些属性T。
[0021]经过两个正例的结果假设是<T,yes,yes,T>,算法越过第三个样本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种应用于人工智能的软件异常行为文件溯源方法,其特征在于,包括以下溯源方法:分析软件异常行为文件,针对信息搜索、信息获取、信息转移以及信息发生的环节中的行为特征,建立特征模型以及数据库衍生模型,形成特征库以及衍生库,针对恶意软件以及异常行为文件进行自动检查和分析,并针对异常行为文件以及检测出的恶意软件进行衍生得出变异病毒,其中特征模型检测方案具体包括:静态恶意软件检测、基于信息流的恶意软件检测以及动态恶意软件检测;静态恶意软件检测技术通过检测程序的静态特征为判断,静态特征具体包括:恶意软件程序在人工智能运行过程中放置的静态文件生成文件特征字符串、注册表信息、运行时打开的固定TCP/IP端口、在目标系统中的文件名、文件大小及所在目录和启动加载方式;技术信息流的恶意软件检测具体包括:监听通信的接收报文、更具网络通信协议进行的内容分析,并将网络数据按照协议标准细致分类,其中,网络协议保准分类具体包括:按照IP分解出源IP、目的IP,按照TCP协议分解出源端口以及目的端口,按照HTTP协议分解出URL以及HTTP命令数据;动态行为分析技术是针对监控恶意软件对注册表的修改,对位通信信息行为,启动系统的进程并调用应用程序接口的行为,其中,综合监控到的行为结合数据库中的可疑程序是否时恶意程序进行判断;建立数据库衍生模型,在根据上述检测环境对导致异常情况出现的数据流以及文件进行存储,并对异常数据倒入数据库衍生模型中,分析异常数据的基础模型,得出异常数据根目录后需要将其加载至数据库衍生模型中的隔离数据端口中对其进行加载,加载得出不同种类的异常数据或正常数据,对得出数据进行运行,其中,正常可运行数据进行删除,对依旧会导致出现异常的数据进行标注,分析其运行原理并针对其基础运行原理对其进行破译,并将破译后的方案以及其基础运行原理进行存储直接存储至数据库衍生模型中的数据库中。2.根据权利要求1所述的一种应用于人工智能的软件异...
【专利技术属性】
技术研发人员:任文欣,张文静,张权,
申请(专利权)人:任文欣,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。