发明名称 |
基于数据挖掘的多轨迹恶意程序特征检测方法 |
摘要 |
本发明涉及一种基于数据挖掘的多轨迹恶意程序特征检测方法,该多轨迹恶意程序特征检测方法含有行为轨迹获取步骤、分片步骤、特征提取与特征库构建步骤、度量检测步骤;行为轨迹获取步骤获取程序动态运行的系统调用序列;分片步骤对获取到的软件行为轨迹进行分片,以适应挖掘过程的需要;特征提取与特征库构建步骤采用数据挖据中改进的序列模式挖掘算法获取文件流、网络流和资源流行为频繁子序列集,并剔除正常程序行为轨迹片段,构造恶意行为特征库;度量检测步骤依据构建的三维特征库对实时运行的程序进行度量检测;本发明提供了一种检测准确率高的基于数据挖掘的多轨迹恶意程序特征检测方法。 |
申请公布号 |
CN105138916A |
申请公布日期 |
2015.12.09 |
申请号 |
CN201510516268.5 |
申请日期 |
2015.08.21 |
申请人 |
中国人民解放军信息工程大学 |
发明人 |
单征;赵荣彩;庞建明;李男;范超;蔡洪波;赵炳麟;王银浩;龚雪容;蔡国明;薛飞;闫丽景;贾珣;徐晓燕;王洋;陈鹏;魏亮 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
郑州大通专利商标代理有限公司 41111 |
代理人 |
张海青 |
主权项 |
一种基于数据挖掘的多轨迹恶意程序特征检测方法,其特征是:含有行为轨迹获取步骤、分片步骤、特征提取与特征库构建步骤、度量检测步骤;行为轨迹获取步骤获取程序动态运行的系统调用序列;分片步骤对获取到的软件行为轨迹进行分片,以适应挖掘过程的需要;特征提取与特征库构建步骤采用数据挖据中改进的序列模式挖掘算法获取文件流、网络流和资源流行为频繁子序列集,并剔除正常程序行为轨迹片段,构造恶意行为特征库;度量检测步骤依据构建的三维特征库对实时运行的程序进行度量检测。 |
地址 |
450001 河南省郑州市高新区科学大道62号 |