专利名称:一种未知恶意代码的检测方法
技术领域:
本发明属于信息安全技术领域,尤其涉及一种未知恶意代码的检测方法。
背景技术:
目前,恶意代码在互联网上无处不在,其传播性、危害性、隐藏性等也在不断提高, 从而使计算机恶意代码检测工作面临着巨大的挑战。现有的计算机恶意代码检测技术主要 有两种,一种是基于特征码的模式匹配技术,另一种是基于恶意代码行为规则的检测技术。基于特征码的模式匹配技术是当恶意代码文件出现后由分析人员对其进行人工 分析,提取出能唯一标识此恶意代码文件的特征码,并将特征码升级给恶意代码特征码库, 然后将特征码库提供给用户,用来查杀计算机程序中的恶意代码。基于恶意代码行为规则 的检测技术,是依据专家预先定义的一些恶意代码行为规则来检测恶意代码。上述两种检 测方法的缺点是必须不断更新恶意代码数据库,否则新类型的恶意代码便可以绕过检测。 另外,这两种技术是一种事后检测技术,不能在新出现的恶意代码执行之前检测到它,只有 当恶意代码出现后,由分析人员对其进行特征提取并将其特征码升级给特征数据库,才可 以进行检测。然而在此期间,恶意代码可以已经得到运行并造成破坏。
发明内容
本发明的目的在于,针对目前恶意代码检测技术存在的不足,提出一种未知恶意 代码的检测方法,以同时包含恶意文件和非恶意文件的样本集作为训练集,利用分类算法 训练分类器,然后利用训练好的分类器对未知文件进行分类,以确定其是否为恶意代码文 件。为了实现本发明的目的,本发明的提供的技术方案是,一种未知恶意代码的检测 方法,其特征是所述方法包括下列步骤步骤1 利用Byte n-grams方法提取训练集中的文件的特征向量;步骤2 采用局部线性嵌入算法对提取的训练集中的文件的特征向量进行降维;步骤3 将降维后的特征向量作为输入,利用核覆盖学习算法训练核覆盖分类器;步骤4 利用Byte n-grams方法提取测试集中的文件的特征向量;步骤5 采用局部线性嵌入算法对提取的测试集中的文件的特征向量进行降维;步骤6 将降维后的结果输入核覆盖分类器进行分类,对分类结果进行统计后,确 定测试集中的文件是否含有恶意代码。所述采用局部线性嵌入算法对特征向量进行降维具体包括步骤21 将特征向量作为样本点,利用K近邻方法寻找每个样本点的K个近邻点, 其中K为设定值;步骤22 利用公式
权利要求
1.一种未知恶意代码的检测方法,其特征是所述方法包括下列步骤 步骤1 利用Byte n-grams方法提取训练集中的文件的特征向量;步骤2 采用局部线性嵌入算法对提取的训练集中的文件的特征向量进行降维; 步骤3 将降维后的特征向量作为输入,利用核覆盖学习算法训练核覆盖分类器; 步骤4 利用Byte n-grams方法提取测试集中的文件的特征向量; 步骤5 采用局部线性嵌入算法对提取的测试集中的文件的特征向量进行降维; 步骤6 将降维后的结果输入核覆盖分类器进行分类,对分类结果进行统计后,确定测 试集中的文件是否含有恶意代码。
2.根据权利要求1所述的一种未知恶意代码的检测方法,其特征是所述采用局部线性 嵌入算法对特征向量进行降维具体包括步骤21 将特征向量作为样本点,利用K近邻方法寻找每个样本点的K个近邻点,其中 K为设定值;NK步骤22 利用公式mins(fF) = ;^;=1构造出每个样本点Xi的局部重建权值矩阵,其中|>/ =1,N为样本点的个数;步骤23 由每个样本点Xi的局部重建权值矩阵及其近邻点计算其低维输出值。 所述步骤23中,样本点Xi的低维输出Ji满足如下映射条件N/=1Kχ-Σ^·;=1,且I^i =0,丄=/,其中ι是HiXm的单位矩阵,mi=l N i=i是降维后的维数。
3.根据权利要求1所述的一种未知恶意代码的检测方法,其特征是所述步骤3具体包括步骤31 在样本点构成的样本空间中,构造覆盖领域系;步骤32 对覆盖领域进行融合,将属于同类的覆盖领域融合成特征空间的一个球面; 步骤33:构造出融合曲面f(x),对每一个样本点Xi计算f (Xi)的值,如果f(Xi)的值大 于零,则该样本点Xi代表不含恶意代码的文件;如果f (Xi)的值小于零,则该样本点Xi代表 含有恶意代码的文件。
全文摘要
本发明公开了信息安全技术领域中的一种未知恶意代码的检测方法,能够在不更新恶意代码库的情况下对文件中的恶意代码进行事前检测。该方法包括利用Byte n-grams方法提取训练集中的文件的特征向量;采用局部线性嵌入算法对提取的训练集中的文件的特征向量进行降维;将降维后的特征向量作为输入,利用核覆盖学习算法训练核覆盖分类器;再利用Byte n-grams方法提取测试集中的文件的特征向量;采用局部线性嵌入算法对提取的测试集中的文件的特征向量进行降维;将降维后的结果输入核覆盖分类器进行分类,对分类结果进行统计并确定测试集中的文件是否含有恶意代码。本发明提高了文件的检测速度,实现了恶意代码的事前准确检测。
文档编号G06F21/00GK102142068SQ20111007652
公开日2011年8月3日 申请日期2011年3月29日 优先权日2011年3月29日
发明者李元诚, 李盼 申请人:华北电力大学