发明名称 |
一种基于树突细胞算法的恶意代码检测方法 |
摘要 |
本发明提出了一种基于树突细胞算法的恶意代码检测方法,主要对树突细胞算法进行了改进,解决了应用树突细胞算法进行恶意代码监测时信号的产生与分类问题;通过成熟环境抗原值MCAV与异常阈值进行数值的大小比较:如果成熟环境抗原值MCAV大于异常阈值,则判定进程非法;如果成熟环境抗原值MCAV小于异常阈值,则判定进程合法。该方法提高恶意代码的检测效率及降低误报率并且实现对未知病毒的检测。较之其他检测方法,该方法模拟生物免疫系统的工作原理,可以更好的解决恶意代码检测问题。 |
申请公布号 |
CN103679025A |
申请公布日期 |
2014.03.26 |
申请号 |
CN201310624206.7 |
申请日期 |
2013.11.26 |
申请人 |
南京邮电大学 |
发明人 |
王汝传;李鹏;戴秋玉;徐鹤;黄海平;肖甫;蒋凌云;徐佳;沙超 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
江苏爱信律师事务所 32241 |
代理人 |
唐小红 |
主权项 |
一种基于树突细胞算法的恶意代码检测方法,其特征在于该方法具体如下:分布于计算机的树突细胞监视计算机系统的运行情况,当检测到系统有新的进程创建时,激活检测程序;首先,树突细胞DC以某一采集频率记录该进程运行期间的系统状态参数,包括:内存利用率、CPU利用率、注册表值的运行状态参数,系统异常报错、外部设备工作异常的系统的异常状态参数,端口、网络状况反映网络状态的系统参数,以及系统文件状态参数;每个树突细胞DC只提取一种类型的系统状态参数,每种类型的系统状态参数都定义了若干个树突细胞DC提呈;然后,基于支持向量机的信息分类器SVMSC以系统状态参数为输入,通过训练好的分类器产生“安全(+1)”、“危险(‑1)”两类输出,最后,树突细胞分析器DCP以基于支持向量机的信息分类器SVMSC的输出结果为输入信号,计算输出信号,再以进程信息为依据,计算抗原环境,最终产生抗原的异常程度值,即成熟环境抗原值MCAV;通过成熟环境抗原值MCAV与异常阈值进行数值的大小比较:如果成熟环境抗原值MCAV大于异常阈值,则判定进程非法;如果成熟环境抗原值MCAV小于异常阈值,则判定进程合法。 |
地址 |
210023 江苏省南京市栖霞区亚东新城区文苑路9号 |