欢迎来到知嘟嘟! 联系电话:13095918853 卖家免费入驻,海量在线求购! 卖家免费入驻,海量在线求购!
知嘟嘟
我要发布
联系电话:13095918853
知嘟嘟经纪人
收藏
专利号: 2022113300511
申请人: 艾德领客(上海)数字技术有限公司
专利类型:发明专利
专利状态:已下证
专利领域: 计算;推算;计数
更新日期:2023-12-08
缴费截止日期: 暂无
价格&联系人
年费信息
委托购买

摘要:

权利要求书:

1.一种应用于人工智能的软件异常行为文件溯源方法,其特征在于,包括以下溯源方法:

分析软件异常行为文件,针对信息搜索、信息获取、信息转移以及信息发生的环节中的行为特征,建立特征模型以及数据库衍生模型,形成特征库以及衍生库,并针对异常行为文件以及检测出的恶意软件进行衍生得出变异病毒,其中特征模型检测方案具体包括:静态恶意软件检测、基于信息流的恶意软件检测以及动态恶意软件检测;

静态恶意软件检测技术通过检测程序的静态特征判断,静态特征具体包括:恶意软件程序在人工智能运行过程中放置的静态文件生成文件特征字符串、注册表信息、运行时打开的固定TCP/IP端口、在目标系统中的文件名、文件大小及所在目录和启动加载方式;

技术信息流的恶意软件检测具体包括:监听通信的接收报文、根据网络通信协议进行的内容分析,并将网络数据按照协议标准细致分类,其中,网络协议标准分类具体包括:按照IP分解出源IP、目的IP,按照TCP协议分解出源端口以及目的端口,按照HTTP协议分解出URL以及HTTP命令数据;

动态恶意软件检测是针对监控恶意软件对注册表的修改,对位通信信息行为,启动系统的进程并调用应用程序接口的行为,其中,综合监控到的行为结合数据库中的可疑程序是否是恶意程序进行判断;

建立数据库衍生模型,在根据上述检测对导致异常情况出现的数据流以及文件进行存储,并对异常数据倒入数据库衍生模型中,分析异常数据的基础模型,得出异常数据根目录后需要将异常的数据加载至数据库衍生模型中的隔离数据端口中对异常的数据进行加载,加载得出不同种类的异常数据或正常数据,对得出数据进行运行,其中,正常可运行数据进行删除,对依旧会导致出现异常的数据进行标注,分析异常的数据运行原理并针对异常的数据基础运行原理对其进行破译,并将破译后的基础运行原理进行存储直接存储至数据库衍生模型中的衍生库中。

2.根据权利要求1所述的一种应用于人工智能的软件异常行为文件溯源方法,其特征在于:所述特征库在针对恶意软件以及异常行为文件进行自动检查和分析时,需将恶意软件以及异常行为文件分成两个类别:恶意的和良性的可执行文件;

采用了三种学习算法,对使用系统资源信息、字符串和从数据集的工控恶意软件中提取出的字节序列作为不同类型的特征,学习算法包括:应用布尔规则的算法;

应用特征的某一类概率的算法;

应用多个分类器输出的算法;

将数据挖掘方法和传统的基于签名方法比较,使用LibBFD,仅检测PE文件的子集,使用提取所有类型的二进制文件的特征,使用GNU二进制目录检索文件从而从Windows二进制文件中提取源信息,GNU二进制目录检索文件套件工具能够在Windows上分析PE二进制文件,在PE或者通用目标文件格式中,程序标题由一个COFF标题、一个选配标题、磁盘操作系统和一个文件签名组成,PE标题本文使用libBFD来提取目标格式的信息,PE二进制文件的目标格式给出了文件大小、动态链接库名称和DLLS及重定位表的函数调用的名称,从目标格式中提取特征集,用于组成每个二进制文件的特征向量;

首先,计算只在工控恶意软件类中发现的字节序列,字节序列串接在一起成为每个工控恶意软件样本唯一的签名,因此,每个工控恶意软件签名包含只在工控恶意软件类中发现的字节序列,每个样本中发现的字节序列串接在一起构成一个签名,由于训练时一个字节序列仅会在某类中发现,或在另一类中出现,测试的假阳性;

其次,使用归纳规则生成一个由资源规则组成的检测模型,被用于检测未知的工控恶意软件样本,此算法使用libBFD信息作为特征,算法是基于规则的学习者,建立规则集来确定分类,使错误总数降到最小,错误总数被定义为训练样本被规则误分类的数目。