【技术实现步骤摘要】
本专利技术涉及计算机安全,特别是涉及一种规则化描述恶意代码行为模型的优化方法。
技术介绍
1、目前,行为模型的产生为了弥补常规扫描(基于文件二进制特征)针对变种或新型病毒查毒能力不足的缺点,基于样本行为的查毒方式便产生了。在所有动作里筛选出有代表性的、并对这些动作进行描述(这些描述我们称之为规则或记录)、用所有规则的集合来描述样本、就是行为建模的过程。行为模型的匹配与报出会对样本的每个动作进行模型匹配、当匹配到后、我们说该样本触发(命中)了模型的规则,当满足模型报出条件(见二)、便会报毒。判断模型是否优劣可以从下面几点评估:(1)误报率:是否有合法程序错误报出;(2)效率:模型匹配时、是否对性能有较高损耗;(3)代表性:是否能够描述某一类样本、而非某几个样本;(4)容错性:发生低概率事件(比如:误报)时、是否有兼容性;(5)规则的维度:规则所能描述的信息量;(6)扩展性:对模型的管理是否高效。现有模型的规则缺少管理、同一模型内的不同规则较为平坦,单一规则的维度较少,模型匹配时需要过更多的规则、效率的损耗增大;另外、这种情形下出现误报的概率也会提高,容错性偏低。由于规则维度的缺失、若要准确的描述行为、就需要增加模型内的规则数,会导致模型匹配的时间变长。
技术实现思路
1、鉴于此,本专利技术为了解决技术背景中存在的问题,提出了更符合最优模型属性的一种规则化描述恶意代码行为模型的优化方法,具体技术方案如下:
2、一种规则化描述恶意代码行为模型的优化方法,包括以下步骤:
...【技术保护点】
1.一种规则化描述恶意代码行为模型的优化方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种规则化描述恶意代码行为模型的优化方法,其特征在于,所述步骤一模型匹配的过程,只要主规则没有触发、该模型内的非主规则就不会参与匹配的过程,只有当主规则触发后、这些规则才会参与到后续的匹配过程。
3.根据权利要求1所述的一种规则化描述恶意代码行为模型的优化方法,其特征在于,所述超时机制是从主规则被触发开始计时,超过该时间后、所有的非主规则会被再次禁用,直到再一次主规则被触发。
4.根据权利要求1所述的一种规则化描述恶意代码行为模型的优化方法,其特征在于,所述步骤三中规则加权机制也就是对每条规则设置了一个分值、同时模型会定义一个满足条件后报出的阈值,并不一定需要所有的规则全部被触发、只要已命中的规则的分值之和满足了阈值、就会被报出。
5.根据权利要求1所述的一种规则化描述恶意代码行为模型的优化方法,其特征在于,所述规则加权机制中还另外设置了一个属性maxhit,表示这条规则在计算分值时所占的最大比重,如果某个合法程序也会触发某条规则、同时
...【技术特征摘要】
1.一种规则化描述恶意代码行为模型的优化方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种规则化描述恶意代码行为模型的优化方法,其特征在于,所述步骤一模型匹配的过程,只要主规则没有触发、该模型内的非主规则就不会参与匹配的过程,只有当主规则触发后、这些规则才会参与到后续的匹配过程。
3.根据权利要求1所述的一种规则化描述恶意代码行为模型的优化方法,其特征在于,所述超时机制是从主规则被触发开始计时,超过该时间后、所有的非主规则会被再次禁用,直到再一次主规则被触发。
4.根据权利要求1所述的一种规则化描述恶...
【专利技术属性】
技术研发人员:周军,宋忠让,
申请(专利权)人:北京火绒网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。