【技术实现步骤摘要】
本申请涉及计算机,具体而言,涉及一种基于模糊支持向量机的病毒检测方法及系统。
技术介绍
1、计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。目前,主要通过启发式病毒检测技术进行计算机病毒的查杀。
2、启发式病毒检测技术是一种基于行为的扫描方式,通过启发经验规则发现程序表现出的可疑行为特征。这种方式关注的是文件行为,而无需分析文件代码的具体特征,因此,可以有效地对抗新型病毒。
3、启发式病毒检测技术可以分为动态启发式病毒检测技术与静态启发式病毒检测技术,其中,静态启发式病毒检测技术通过分析pe结构、使用pe反汇编规则进行分析等方式来确定pe文件的危险性。相较于动态启发式病毒检测技术,静态启发式具有占用内存小、实时查杀性高等特点,然而,静态启发式病毒检测技术的误报概率也相对较高,识别病毒文件的准确性较低。
技术实现思路
1、为了至少克服现有技术中的上述不足,本申请的目的在于提供一种基于模糊支持向量机的病毒检测方法及系统。
2、第一方面,本申请实施例提供一种基于模糊支持向量机的病毒检测方法,所述基于模糊支持向量机的病毒检测方法包括:
3、获取训练数据集,所述训练数据集包括多个病毒文件行为样本以及多个正常文件行为样本;
4、对所述训练数据集进行行为特征提取,并计算每个所述病毒文件行为样本以及每个所述正常文件行为样本对应的特征权重;
5、根据
6、基于所述训练数据集计算模糊支持向量机的隶属度函数;
7、根据所述特征加权核函数及所述隶属度函数构造模糊支持向量机,得到病毒检测模型;
8、根据所述病毒检测模型确定待检测文件是否为病毒文件。
9、在一种可能的实现方式中,所述根据所述病毒检测模型确定待检测文件是否为病毒文件的步骤,包括:
10、根据所述病毒检测模型计算待检测文件的分类值;
11、根据分类值确定所述待检测文件是否为病毒文件。
12、在一种可能的实现方式中,所述根据分类值确定所述待检测文件是否为病毒文件的步骤,包括:
13、判断所述分类值是否大于0;
14、若所述分类值大于0,则所述待检测文件为病毒文件;
15、若所述分类值不大于0,则所述待检测文件为正常文件。
16、在一种可能的实现方式中,所述病毒检测模型的决策函数为:
17、
18、其中,sign(x)表示符号函数;ω、b分别表示分类超平面的法向量和位移量;αi表示拉格朗日乘子;表示核函数;yi表示训练数据集的标签;xi、xj表示训练数据集中的训练样本。
19、在一种可能的实现方式中,所述计算每个所述病毒文件行为样本以及每个所述正常文件行为样本对应的特征权重的步骤,包括:
20、计算所述训练数据集的信息熵;
21、根据所述信息熵计算每个所述病毒文件行为样本以及每个所述正常文件行为样本对应的信息增益,从而得到所述特征权重。
22、在一种可能的实现方式中,所述训练数据集的信息熵ent(d)通过以下计算方式得到:
23、
24、其中,d表示训练数据集;|d|表示训练数据集中的样本个数,训练数据集d中包含2种类别的标签k1、k2,k1、k2分别代表病毒文件标签与正常文件标签,|k1,d|表示训练数据集d中标签为k1的样本个数,|k2,d|表示训练数据集d中标签为k2的样本个数;
25、信息增益g(d,a)通过以下计算方式得到:
26、
27、其中,若特征a有v个取值aj(j=1,2,…,v),则dj表示训练数据集d中特征a上取值为aj的样本集。
28、在一种可能的实现方式中,所述基于所述训练数据集计算模糊支持向量机的隶属度函数的步骤,包括:
29、计算所述训练数据集中的所述病毒文件行为样本与所述正常文件行为样本的类中心;
30、分别计算所述训练数据集中的所述病毒文件行为样本与所述正常文件行为样本到所述类中心的标准欧式距离;
31、根据所述标准欧氏距离计算模糊支持向量机的隶属度函数。
32、在一种可能的实现方式中,所述隶属度函数的表达式为:
33、
34、其中,di+、di-分别表示所述训练数据集中的病毒文件行为样本和正常文件行为样本到其所在类中心的标准欧式距离;r+、r-分别表示所述训练数据集中的病毒文件行为样本和正常文件行为样本到其所在类中心的最远距离,δ表示预先设定的很小的正数,yi表示训练数据集的标签。
35、在一种可能的实现方式中,所述特征加权核函数k(xi,xj)通过以下计算方式得到:
36、k(xi,xj)=exp(-γ((xi-xj)tppt(xi-xj)))
37、其中,γ表示核函数参数;p表示特征矩阵的对角矩阵;xi、xj表示训练数据集中的训练样本;
38、特征矩阵的对角矩阵p的形式为:
39、
40、其中,表示特征权重。
41、第二方面,本申请实施例还提供一种基于模糊支持向量机的病毒检测系统,所述基于模糊支持向量机的病毒检测系统使用上述第一方面所述的方法以检测病毒文件。
42、基于上述任意一个方面,本申请实施例提供的基于模糊支持向量机的病毒检测方法及系统,通过特征加权的方法为不同的行为特征赋予不同的权重,可以用于表示各行为点的重要性,同时,通过采用模糊支持向量机(fuzzy support vector machine,fsvm)为每个文件行为样本赋予一个隶属度,可以用于表示不同文件行为样本对分类超平面的重要程度。此外,通过训练数据集训练病毒检测模型,可以根据病毒检测模型对待检测文件进行检测,提高病毒检测的准确率,并降低误报率。
本文档来自技高网...【技术保护点】
1.一种基于模糊支持向量机的病毒检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述根据所述病毒检测模型确定待检测文件是否为病毒文件的步骤,包括:
3.根据权利要求2所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述根据分类值确定所述待检测文件是否为病毒文件的步骤,包括:
4.根据权利要求2所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述病毒检测模型的决策函数为:
5.根据权利要求1所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述计算每个所述病毒文件行为样本以及每个所述正常文件行为样本对应的特征权重的步骤,包括:
6.根据权利要求5所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述训练数据集的信息熵Ent(D)通过以下计算方式得到:
7.根据权利要求1所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述基于所述训练数据集计算模糊支持向量机的隶属度函数的步骤,包括:
8.根据权利要求7所述的基于模糊支持向量机
9.根据权利要求1所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述特征加权核函数k(xi,xj)通过以下计算方式得到:
10.一种基于模糊支持向量机的病毒检测系统,其特征在于,使用权利要求1-9项任意一项所述的方法以检测病毒文件。
...【技术特征摘要】
1.一种基于模糊支持向量机的病毒检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述根据所述病毒检测模型确定待检测文件是否为病毒文件的步骤,包括:
3.根据权利要求2所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述根据分类值确定所述待检测文件是否为病毒文件的步骤,包括:
4.根据权利要求2所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述病毒检测模型的决策函数为:
5.根据权利要求1所述的基于模糊支持向量机的病毒检测方法,其特征在于,所述计算每个所述病毒文件行为样本以及每个所述正常文件行为样本对应的特征权重的步骤,包括:
...【专利技术属性】
技术研发人员:刘欣雨,朱永强,郑童瀚,刘晓宇,
申请(专利权)人:成都网安科技发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。