本发明专利技术涉及过滤以及监控程序的行为的方法,所述过滤程序的行为的方法包括以下步骤:构造行为样本库,该行为样本库包括从若干程序样本收集的行为样本、每一种行为样本的基于该种行为样本的出现频率计算出来的权重,所述权重可以是逆文本频率指数、出现概率等;获取待处理的程序行为,判断行为样本库是否存在与该程序行为相同的行为样本,若行为样本库不存在与该程序行为相同的行为样本,就保留该程序行为;若行为样本库存在与该程序行为相同的行为样本,就判断该行为样本的权重是否落入预设的过滤阈值范围,如果落入就过滤掉该程序行为,否则,就保留该程序行为。本发明专利技术能减少非特征行为对监控或者分析的干扰,降低处理量,提高准确度。
【技术实现步骤摘要】
本专利技术涉及计算机的安全领域,更具体地,涉及对程序的行为进行过滤 和监控的方法。
技术介绍
对程序的行为进行拦截与监控是安全软件在防御病毒时常用的手段。在 实践中,基于非特征码检测的安全软件产品通常通过对程序行为的监控与分 析来识别出可疑的程序(例如病毒、木马)。例如,可以基于某些特定的拄截 点(例如,系统资源的调用)拦截和监控程序的行为,包括对文件读写操作、 对注册表读写操作等,然后根据这些行为判断程序的类型(病毒、木马、系 统程序等)。在统计语言处理中, 一些常用的副词、连词等词类,例如"的"、"得"、 "中,,等,应用过于广泛,以至于在绝大部分的文章中都会出现,因此这些 词汇在文本分类中基本没有作用。相应地,这些词语在统计语言学中称为"停止词"(Stop Words )。"停止词"在文本分类的过程中常常被删除掉,以免影 响处理。类似地,程序行为可分为两种类型具有分类意义的行为(又称为"特 征行为,,);不具有分类意义的行为(又称为"非特征行为")。例如,有的行 为是绝大部分程序都使用到的,或者被绝大部分程序频繁使用,这种行为就 不具有分类与分析的意义,属于非特征行为。在程序行为的处理当中,识别 出这种非特征行为,并且在进行分类或者分析处理之前删除掉这些非特征行 为,可以有效的减少非特征行为对程序样本分类的干扰(例如,如果这类非 特征行为被作为病毒特征处理,可能会带来严重的误报问题)。5现有的一种对程序的行为进行监控方法中,监听待监控的程序的所有行 为,并对所有的行为进行分析和监控。这种方案的缺陷在于数据处理量很大, 复杂度高,且存在较高的出错率(例如,如果这类非特征行为被作为病毒特 征处理,很可能会带来严重的误报问题)。现有的另 一种对程序的行为进行监控方法中,首先使用人工识别的方式 识别和过滤掉这种非特征行为,再对其余的行为进行和分析。这种监控方法 需要大量的人力,成本很高,监控结果也不够稳定和准确,难以推广。
技术实现思路
本专利技术的一个目的在于提供一种过滤程序的行为的方法,这种方法用于 在监控或者分析程序的行为之前过滤掉程序的非特征行为,以减少非特征行 为对监控或者分析的干扰,降低计算机的处理量,提高监控和分析的准确度。为此,本专利技术提供的过滤程序的行为的方法,包括以下步骤步骤S1、 构造行为样本库,所述行为样本库包括从若干程序样本收集的行为样本、每 一种行为样本的基于该种行为样本的出现频率计算出来的权重;步骤S2、获 取待处理的程序行为,判断所述行为样本库是否存在与所述程序行为相同的 行为样本,若所述行为样本库不存在与所述程序行为相同的行为样本,就保 留所述程序行为;若所述行为样本库存在与所述程序行为相同的行为样本, 就判断所述行为样本的权重是否落入预设的过滤阈值范围,如果落入就过滤 掉所述程序行为,否则,就保留所述程序行为。与现有技术相比,本专利技术在监控或者分析程序的程序行为之前,根据行 为样本库内的行为样本、预设的过滤阈值范围对过滤掉其中的非特征行为,减少了非特征行为对监控或者分析的干扰,降低了计算机的处理量,提高了 监控和分析的准确度。优选地在所述行为样本库中,每一种行为样本的出现频率是出现该种行为样本的程序样本的数量与所有程序样本的总量的比值,或者是该种行为值;行为样本的权重为该种行为样本的出现频率;所述判断行为样本的权重 是否落入预设的过滤阈值范围的步骤具体为如果所述行为样本的出现频率 大于预设的过滤阈值下限,就判定为落入所述预设的过滤阈值范围。在该优 选方案中,根据出现频率判断某个程序行为是否属于需要过滤掉的非特征行 为,因为出现频率过大的行为通常属于不具有分类或分析意义的非特征行为, 因此,本优选方案根据预设的过滤阈值下限过滤掉这些非特征行为。该优选 方案简单,计算量不大,容易实现。优选地在所述行为样本库中,每一种行为样本的出现频率是出现该种 行为样本的程序样本的数量与所有程序样本的总量的比值,或者是该种行为 样本在所有程序样本中的出现次数与所有程序样本包含的行为样本总量的比值;行为样本的权重为该种行为样本的逆文本频率指数,行为样本的逆文本 频率指数等于该种行为样本的出现频率的倒数的对数;所述判断行为样本的 权重是否落入预设的过滤阈值范围的步骤具体为如果所述行为样本的逆文 本频率指数小于预设的过滤阈值上限,就判定为落入所述预设的过滤阈值范 围。在该优选方案中,根据逆文本频率指数判断某个行为是否属于需要过滤 掉的非特征行为,在统计学领域,逆文本频率指数是公认的量度相关性、价 值的一种重要参数。通常,逆文本频率指数过小的行为通常属于不具有分类 或分析意义的非特征行为,因此,本优选方案根据预设的过滤阈值上限过滤 掉这些非特征行为。该优选方案采用逆文本频率指数来识别和过滤掉"非特 征行为",效果更好,过滤结果更可靠。优选地,所述行为样本库还包括所有程序样本的总量、所有行为样本的 总量;所述方法还包括更新所述行为样本库,所述更新包括若步骤S2中所 述行为样本库不存在与所述程序行为相同的行为样本,则在步骤S2之后,将 所述程序行为作为新的行为样本添加到所述行为样本库中,更新所述行为样本库的程序样本的总量、行为样本的总量并重新计算每一种行为样本的权重。 在该优选方案中,根据当前的处理情况对行为样本进行及时的更新,使得行 为样本库包含的内容更广、更全面以及更准确,从而进一步提高了过滤的准 确性。优选地,所述更新还包括若步骤S2中所述行为样本库存在与所述程序 行为相同的行为样本,则在步骤S2之后,更新所述行为样本库的程序样本的 总量、行为样本的总量并重新计算每一种行为样本的权重。同样地,在该优 选方案中,根据当前的处理情况对行为样本进行及时的更新,使得行为样本 库包含的内容更广、更全面以及更准确,从而进一步提高了过滤的准确性。另一方面,本专利技术的另一个专利技术目的在于提供一种监控程序的行为的方 法,这种方法能过滤掉程序的非特征行为,以减少非特征行为对监控或者分 析的干扰,降低计算机的处理量,提高监控和分析的准确度。为此,本专利技术提供的监控程序的行为的方法,包括步骤S0:收集被监 控的程序的程序行为;步骤S4:分析和监控所述程序行为;在所述步骤S0 和步骤S4之间,还包括以下步骤步骤Sl、构造行为样本库,所述行为样 本库包括从若干程序样本收集的行为样本、每一种行为样本的基于该种行为 样本的出现频率计算出来的权重;步骤S2、获取所述# 控的程序的程序行 为,判断所述行为样本库是否存在与所述程序行为相同的行为样本,若所述 行为样本库不存在与所述程序行为相同的行为样本,就保留所述程序行为; 若所述行为样本库存在与所述程序行为相同的行为样本,就判断所述行为样 本的权重是否落入预设的过滤阈值范围,如果落入就过滤掉所述程序行为, 否则,就保留所述程序行为。类似地,与现有技术相比,本专利技术提供的监控程序的行为的方法在监控 或者分析程序的行为之前,根据行为样本库内的行为样本、预设的过滤阈值 范围对程序的行为进行比较,过滤掉非特征行为,从而以减少非特征行为对监控或者分析的干扰,降低了计算机的处理量,提高了监控和分析的准确度。优选地在所述行为样本库中,每一种行为样本的出现频率是出现该种 行为样本的程序样本的数量与所本文档来自技高网...
【技术保护点】
一种过滤程序的行为的方法,其特征在于,包括以下步骤: 步骤S1、构造行为样本库,所述行为样本库包括从若干程序样本收集的行为样本、每一种行为样本的基于该种行为样本的出现频率计算出来的权重; 步骤S2、获取待处理的程序行为,判断所述 行为样本库是否存在与所述程序行为相同的行为样本,若所述行为样本库不存在与所述程序行为相同的行为样本,就保留所述程序行为;若所述行为样本库存在与所述程序行为相同的行为样本,就判断所述行为样本的权重是否落入预设的过滤阈值范围,如果落入就过滤掉所述程序行为,否则,就保留所述程序行为。
【技术特征摘要】
【专利技术属性】
技术研发人员:黄声声,
申请(专利权)人:珠海金山软件股份有限公司,
类型:发明
国别省市:44[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。