一種移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng),屬于網(wǎng)絡(luò)通信安全【技術(shù)領(lǐng)域】,所述系統(tǒng)包括:用于將從移動(dòng)網(wǎng)關(guān)Gn接口采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理并發(fā)送的數(shù)據(jù)預(yù)處理模塊;用于對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)進(jìn)行特征掃描并輸出掃描結(jié)果的特征掃描模塊;用于對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)監(jiān)測(cè)并輸出監(jiān)測(cè)結(jié)果的機(jī)器學(xué)習(xí)模塊;用于根據(jù)所述掃描結(jié)果和所述檢測(cè)結(jié)果判斷所述數(shù)據(jù)是安全或惡意的決策模塊。本發(fā)明將從移動(dòng)網(wǎng)關(guān)Gn接口高速采集的數(shù)據(jù)經(jīng)過數(shù)據(jù)預(yù)處理后,分別送到特征掃描模塊和機(jī)器學(xué)習(xí)模塊進(jìn)行檢測(cè),然后由決策模塊合并檢測(cè)結(jié)果并通過計(jì)算數(shù)據(jù)的惡意系數(shù)來判斷數(shù)據(jù)是安全的還是惡意的,具有檢測(cè)準(zhǔn)確率較高,對(duì)樣本中沒有的數(shù)據(jù)也能監(jiān)測(cè)的特點(diǎn)。
【專利說明】一種移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng),屬于網(wǎng)絡(luò)通信安全【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002] 隨著科技的發(fā)展,手機(jī)上各種應(yīng)用在豐富人們生活的同時(shí)也為手機(jī)安全性增添了 一份隱患,不法分子能夠利用手機(jī)惡意程序竊取用戶隱私信息或發(fā)送大量垃圾短信,從而 危害用戶正當(dāng)利益和移動(dòng)互聯(lián)網(wǎng)的安全。由于惡意程序必須通過移動(dòng)通信網(wǎng)來實(shí)現(xiàn)其竊取 用戶隱私和惡意吸費(fèi)的目的,因此若能夠及時(shí)、有效地發(fā)現(xiàn)并攔截移動(dòng)通信網(wǎng)上的惡意信 息,就可以阻止惡意程序的傳播,從而極大地降低受害的用戶數(shù)量。移動(dòng)通信網(wǎng)的現(xiàn)有安全 檢測(cè)產(chǎn)品包括兩大類產(chǎn)品:一是在手機(jī)智能終端上安裝的安全查殺和防御類產(chǎn)品,二是在 服務(wù)器端進(jìn)行的安全檢測(cè)類產(chǎn)品。
[0003] 然而,由于這兩種產(chǎn)品均要求用戶主動(dòng)安裝手機(jī)病毒查殺軟件或者上傳惡意樣本 到云服務(wù)器,這樣的方式不僅對(duì)移動(dòng)終端有性能消耗,還對(duì)用戶安全意識(shí)要求較高。因此在 移動(dòng)網(wǎng)關(guān)層面實(shí)現(xiàn)一個(gè)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)的安全檢測(cè)系統(tǒng),對(duì)全網(wǎng)數(shù)據(jù)的安全檢測(cè)是保證移 動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全的根本方法。
[0004] 目前的安全檢測(cè)系統(tǒng)主要有兩種方法,包括異常檢測(cè)和誤用檢測(cè)。異常檢測(cè)是分 析安全的數(shù)據(jù),建立檢測(cè)模型,如果帶檢測(cè)的數(shù)據(jù)無法匹配安全數(shù)據(jù)建立的模型,則將其判 定為異常數(shù)據(jù),常采用機(jī)器學(xué)習(xí)算法來建立檢測(cè)模型,優(yōu)點(diǎn)是可以檢測(cè)樣本集以外的新數(shù) 據(jù),缺點(diǎn)是誤報(bào)率較高。誤用檢測(cè)是分析惡意數(shù)據(jù)的規(guī)則模式,如果待檢測(cè)數(shù)據(jù)匹配惡意數(shù) 據(jù)的規(guī)則模式,則判定為惡意數(shù)據(jù),常采用方法是病毒庫(kù)特征掃描等方法,優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確 度較高,缺點(diǎn)是對(duì)樣本中沒有的數(shù)據(jù)沒有檢測(cè)能力。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明為解決現(xiàn)有的移動(dòng)互聯(lián)網(wǎng)的安全監(jiān)測(cè)技術(shù)存在的誤報(bào)率較高、對(duì)樣本中沒 有的數(shù)據(jù)無法監(jiān)測(cè)的問題,進(jìn)而提供了一種移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng)。為此,本發(fā)明 提供了如下的技術(shù)方案:
[0006] 一種移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng),包括:
[0007] 用于將從移動(dòng)網(wǎng)關(guān)Gn接口采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理并發(fā)送的數(shù)據(jù)預(yù)處理模 塊;
[0008] 用于對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)進(jìn)行特征掃描并輸出掃描結(jié)果的特征掃描模塊;
[0009] 用于對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)監(jiān)測(cè)并輸出監(jiān)測(cè)結(jié)果的機(jī)器學(xué)習(xí)模塊;
[0010] 用于根據(jù)所述掃描結(jié)果和所述檢測(cè)結(jié)果判斷所述數(shù)據(jù)是安全或惡意的決策模塊。
[0011] 本發(fā)明將從移動(dòng)網(wǎng)關(guān)Gn接口高速采集的數(shù)據(jù)經(jīng)過數(shù)據(jù)預(yù)處理后,分別送到特征 掃描模塊和機(jī)器學(xué)習(xí)模塊進(jìn)行檢測(cè),然后由決策模塊合并檢測(cè)結(jié)果并通過計(jì)算數(shù)據(jù)的惡意 系數(shù)來判斷數(shù)據(jù)是安全的還是惡意的,具有檢測(cè)準(zhǔn)確率較高,對(duì)樣本中沒有的數(shù)據(jù)也能監(jiān) 測(cè)的特點(diǎn)。
【專利附圖】
【附圖說明】
[0012] 為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用 的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本 領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他 的附圖。
[0013] 圖1是本【具體實(shí)施方式】提供的移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖;
[0014] 圖2是本【具體實(shí)施方式】提供的數(shù)據(jù)預(yù)處理模塊的工作流程示意圖;
[0015] 圖3是本【具體實(shí)施方式】提供的特征掃描模塊的檢測(cè)流程示意圖;
[0016] 圖4是本【具體實(shí)施方式】提供的機(jī)器學(xué)習(xí)模塊的檢測(cè)流程示意圖;
[0017]圖5是本【具體實(shí)施方式】提供的決策模塊的決策流程示意圖;
[0018]圖6是本【具體實(shí)施方式】提供的系統(tǒng)優(yōu)化模塊的工作流程示意圖。
【具體實(shí)施方式】
[0019] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完 整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;?本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0020] 本【具體實(shí)施方式】提供了一種移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng),如圖1所示,包括:
[0021] 用于將從移動(dòng)網(wǎng)關(guān)Gn接口采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理并發(fā)送的數(shù)據(jù)預(yù)處理模 塊;
[0022] 用于對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)進(jìn)行特征掃描并輸出掃描結(jié)果的特征掃描模塊;
[0023] 用于對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)監(jiān)測(cè)并輸出監(jiān)測(cè)結(jié)果的機(jī)器學(xué)習(xí)模塊;
[0024] 用于根據(jù)所述掃描結(jié)果和所述檢測(cè)結(jié)果判斷所述數(shù)據(jù)是安全或惡意的決策模塊。
[0025] 本【具體實(shí)施方式】提供的移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng)從移動(dòng)網(wǎng)關(guān)Gn接口高速 采集的數(shù)據(jù)經(jīng)過數(shù)據(jù)預(yù)處理模塊處理后,分別送到特征掃描模塊和機(jī)器學(xué)習(xí)模塊進(jìn)行檢 測(cè),然后由決策模塊合并特征掃描模塊和機(jī)器學(xué)習(xí)模塊的檢測(cè)結(jié)果,通過計(jì)算數(shù)據(jù)的惡意 系數(shù)來判斷數(shù)據(jù)是安全的還是惡意的,并且對(duì)于滿足惡意系數(shù)滿足一定條件的惡意數(shù)據(jù), 會(huì)進(jìn)行進(jìn)一步的樣本審核,并用于豐富惡意特征庫(kù)和機(jī)器學(xué)習(xí)數(shù)據(jù)集。
[0026] 為了更清楚地說明本【具體實(shí)施方式】提供的移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng),下面 以一個(gè)具體的實(shí)施例詳細(xì)說明本發(fā)明的方法。
[0027] 1、從移動(dòng)互聯(lián)網(wǎng)網(wǎng)關(guān)采集的數(shù)據(jù)首先會(huì)送到數(shù)據(jù)預(yù)處理模塊進(jìn)行數(shù)據(jù)預(yù)處理。圖 2示出了數(shù)據(jù)預(yù)處理模塊工作流程圖,詳細(xì)介紹了其對(duì)移動(dòng)互聯(lián)網(wǎng)網(wǎng)關(guān)采集數(shù)據(jù)進(jìn)行數(shù)據(jù) 預(yù)處理的流程。在服務(wù)支持結(jié)點(diǎn)SGSN到網(wǎng)關(guān)支持結(jié)點(diǎn)GGSN的Gn 口采集數(shù)據(jù),送入數(shù)據(jù)預(yù) 處理模塊處理。數(shù)據(jù)預(yù)處理實(shí)現(xiàn)的功能包括根本規(guī)則過濾掉部分不需要分析的數(shù)據(jù),緩存 待分析的數(shù)據(jù)并安裝會(huì)話重組。最后從會(huì)話數(shù)據(jù)中提取出基本特征和流量特征來表征會(huì)話 數(shù)據(jù)。因此,數(shù)據(jù)預(yù)處理引擎主要包括三個(gè)子模塊:
[0028] 過濾子模塊S1,可以設(shè)定一系列規(guī)則過濾掉不需要系統(tǒng)分析的數(shù)據(jù)。如設(shè)定URL 白名單可以過濾到URL為白名單里面的數(shù)據(jù),這樣可以很大程度減少待分析數(shù)據(jù)的數(shù)據(jù) 量。過濾模塊S1里面的過濾規(guī)則可以是多樣的,如IP地址白名單、URL黑名單等。
[0029] 會(huì)話重組子模塊S2,對(duì)過濾后的數(shù)據(jù)進(jìn)行會(huì)話重組。首先需要緩存一段時(shí)間或者 一定內(nèi)存量的數(shù)據(jù),然后按照IP五元組進(jìn)行會(huì)話重組。重組后的會(huì)話包含了比較全面的數(shù) 據(jù)信息。
[0030] 第一特征提取子模塊S3,從重組后的會(huì)話數(shù)據(jù)中提取相關(guān)特征。提取的特征分為 基本特征和流量特征兩大類。基本特征包括訪問方法、連接狀態(tài)、協(xié)議類型、URL、源IP、目的 IP、源端口、目的端口、頂SI號(hào)、是否攜帶附件、附件類型、接收文件還是發(fā)送文件、是否包括 可疑關(guān)鍵字、是否包含鏈接等,流量特征包括上下行數(shù)據(jù)包長(zhǎng)度、發(fā)送包個(gè)數(shù)、接收包個(gè)數(shù)、 連接頻率等。經(jīng)過特征提取模塊的處理,會(huì)話數(shù)據(jù)可以用基本特征和流量特征表示。
[0031] 2、經(jīng)過數(shù)據(jù)預(yù)處理模塊處理后的會(huì)話數(shù)據(jù)會(huì)分別送到特征掃描模塊和機(jī)器學(xué)習(xí) 模塊進(jìn)行安全檢測(cè)。圖3示出了特征掃描模塊檢測(cè)的流程圖,利用特征掃描模塊掃描惡意 特征首先從會(huì)話數(shù)據(jù)中提取出相關(guān)特征,再進(jìn)行惡意特征掃描,因此特征掃描模塊包括兩 個(gè)子模塊:
[0032] 第二特征提取子模塊S4 :從會(huì)話數(shù)據(jù)中提取掃描需要用到的相關(guān)特征,如URL、下 載文件信息、數(shù)據(jù)包內(nèi)容等。
[0033] 特征掃描子模塊S5 :包括兩種掃描方式,一類不需要用到惡意特征庫(kù),如URL加密 檢測(cè);一類需要用到惡意特征庫(kù),如掃描數(shù)據(jù)內(nèi)容中出現(xiàn)的惡意內(nèi)容。會(huì)話數(shù)據(jù)的惡意特征 掃描結(jié)果需要存成向量的形式,表示該會(huì)話各項(xiàng)惡意特征的分布情況。
[0034] 3、圖4示出了機(jī)器學(xué)習(xí)模塊檢測(cè)的流程圖,機(jī)器學(xué)習(xí)檢測(cè)模塊也包括兩個(gè)子模 塊:
[0035] 第三特征提取子模塊S6 :從會(huì)話數(shù)據(jù)中提取掃描需要用到的相關(guān)特征,如協(xié)議類 型、附件類型、是否包含連接、上下行數(shù)據(jù)包長(zhǎng)度、發(fā)送包個(gè)數(shù)、接收包個(gè)數(shù)等。
[0036] 機(jī)器學(xué)習(xí)模型檢測(cè)子模塊S7 :可以有多個(gè)機(jī)器學(xué)習(xí)模型,如貝葉斯分類模型、決 策樹分類模型。這里的機(jī)器學(xué)習(xí)模型都是訓(xùn)練好的分類模型,能夠根據(jù)會(huì)話特征把會(huì)話數(shù) 據(jù)分類為安全會(huì)話或者惡意會(huì)話??梢赃x擇一個(gè)或者多個(gè)機(jī)器學(xué)習(xí)模型對(duì)會(huì)話進(jìn)行檢測(cè), 如果有N個(gè)檢測(cè)模型,那么機(jī)器學(xué)習(xí)引擎的檢測(cè)結(jié)果就是一個(gè)N維向量,每一維向量就是一 個(gè)檢測(cè)模型的檢測(cè)結(jié)果。
[0037] 4、特征掃描模塊和機(jī)器學(xué)習(xí)模塊分別對(duì)會(huì)話數(shù)據(jù)進(jìn)行安全檢測(cè)后,其檢測(cè)結(jié)果均 會(huì)傳入決策模塊,由決策模塊進(jìn)行會(huì)話惡意系數(shù)計(jì)算,并判斷會(huì)話是安全或者惡意。圖5為 決策模塊的流程圖。決策模塊做出決策有兩個(gè)過程,首先需要計(jì)算該會(huì)話的惡意系數(shù),然后 再進(jìn)行閾值比較決策,因此決策引擎有以下兩個(gè)子模塊組成:
[0038] 惡意系數(shù)計(jì)算子模塊S8 :根據(jù)特征掃描模塊和機(jī)器學(xué)習(xí)模塊的檢測(cè)結(jié)果計(jì)算該 會(huì)話的惡意系數(shù)。惡意系數(shù)是用于評(píng)價(jià)一個(gè)會(huì)話惡意程度的數(shù)值,其取值越大,會(huì)話越可能 是惡意的。惡意系數(shù)計(jì)算子模塊首先會(huì)將特征掃描引擎和機(jī)器學(xué)習(xí)引擎的檢測(cè)結(jié)果向量合 并成一個(gè)新的綜合結(jié)果向量,會(huì)有一個(gè)和綜合結(jié)果向量維度相同的權(quán)值向量,綜合結(jié)果向 量和權(quán)值向量的點(diǎn)積就是該會(huì)話的惡意系數(shù)的取值。權(quán)值向量的取值是可以調(diào)整的,比如 對(duì)機(jī)器學(xué)習(xí)模塊,如果某個(gè)模型的性能比較好,可以相對(duì)其它模型賦予一個(gè)較高的權(quán)值;對(duì) 于特征掃描模塊,如果具有某個(gè)惡意特征該會(huì)話是惡意的可能性非常大,則可為該特征賦 予一個(gè)較高的權(quán)值。
[0039] 判定子模塊S9 :根據(jù)惡意系數(shù)計(jì)算子模塊S8計(jì)算的惡意系數(shù)判定該會(huì)話是安全 或者惡意的。會(huì)話的惡意系數(shù)小于設(shè)定的閾值則判定為安全會(huì)話,否則為惡意會(huì)話。
[0040] 5、為了優(yōu)化檢測(cè)模型性能,本【具體實(shí)施方式】還提供了一個(gè)用于若所述決策模塊判 定為惡意的數(shù)據(jù)的惡意系數(shù)低于閾值,則對(duì)所述惡意的數(shù)據(jù)通過人工分析確定數(shù)據(jù)是安全 或惡意的,然后再對(duì)所述惡意的數(shù)據(jù)進(jìn)行特征分析,用于更新特征掃描模塊的權(quán)值和閾值 以及更新機(jī)器學(xué)習(xí)模塊的機(jī)器學(xué)習(xí)模型的系統(tǒng)優(yōu)化模塊。系統(tǒng)優(yōu)化模塊S10如圖6的虛線 框部分所示。對(duì)于決策模塊判定為惡意的數(shù)據(jù),如果其惡意系數(shù)低于閾值(大于惡意閾值, 但是接近惡意閾值),則對(duì)這部分?jǐn)?shù)據(jù)進(jìn)行人工分析,首先進(jìn)一步確定數(shù)據(jù)是安全的還是惡 意的,然后再對(duì)這部分?jǐn)?shù)據(jù)進(jìn)行特征分析,用于完備惡意特征集以及調(diào)節(jié)決策系統(tǒng)的權(quán)值 和閾值,最后把這部分?jǐn)?shù)據(jù)用于更新機(jī)器學(xué)習(xí)模塊的各個(gè)機(jī)器學(xué)習(xí)模型。系統(tǒng)優(yōu)化模塊在 系統(tǒng)初期的時(shí)候的優(yōu)化效果尤其明顯。
[0041] 以上所述,僅為本發(fā)明較佳的【具體實(shí)施方式】,但本發(fā)明的保護(hù)范圍并不局限于此, 任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明實(shí)施例揭露的技術(shù)范圍內(nèi),可輕易想到的變化或 替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù) 范圍為準(zhǔn)。
【權(quán)利要求】
1. 一種移動(dòng)互聯(lián)網(wǎng)惡意數(shù)據(jù)的檢測(cè)系統(tǒng),其特征在于,包括: 用于將從移動(dòng)網(wǎng)關(guān)Gn接口采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理并發(fā)送的數(shù)據(jù)預(yù)處理模塊; 用于對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)進(jìn)行特征掃描并輸出掃描結(jié)果的特征掃描模塊; 用于對(duì)經(jīng)過預(yù)處理的數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)監(jiān)測(cè)并輸出監(jiān)測(cè)結(jié)果的機(jī)器學(xué)習(xí)模塊; 用于根據(jù)所述掃描結(jié)果和所述檢測(cè)結(jié)果判斷所述數(shù)據(jù)是安全或惡意的決策模塊。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述數(shù)據(jù)預(yù)處理模塊包括: 用于根據(jù)預(yù)定規(guī)則對(duì)所述數(shù)據(jù)進(jìn)行過濾的過濾子模塊; 用于對(duì)過濾后的數(shù)據(jù)進(jìn)行會(huì)話重組的會(huì)話重組子模塊; 用于從重組后的會(huì)話數(shù)據(jù)中提取相關(guān)特征的第一特征取子模塊。
3. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述特征掃描模塊包括: 用于從采集的數(shù)據(jù)中提取掃描需要的相關(guān)特征的第二特征提取子模塊; 用于通過不基于惡意特征庫(kù)和基于惡意特征庫(kù)將提取的相關(guān)特征進(jìn)行特征掃描的特 征掃描子模塊。
4. 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述機(jī)器學(xué)習(xí)模塊包括: 用于從采集的數(shù)據(jù)中提取掃描需要的相關(guān)特征的第三特征提取子模塊; 用于通過預(yù)定的機(jī)器學(xué)習(xí)分類模型根據(jù)提取的相關(guān)特征將采集的數(shù)據(jù)分類為安全會(huì) 話或者惡意會(huì)話的機(jī)器學(xué)習(xí)模型檢測(cè)子模塊。
5. 根據(jù)權(quán)利要求1所示的系統(tǒng),其特征在于,所述決策模塊包括: 用于根據(jù)所述掃描結(jié)果和所述檢測(cè)結(jié)果計(jì)算采集的數(shù)據(jù)的惡意系數(shù)的惡意系數(shù)計(jì)算 子模塊; 用于根據(jù)計(jì)算獲得的惡意系數(shù)判定相應(yīng)會(huì)話是安全或者惡意的判定子模塊。
6. 根據(jù)權(quán)利要求1所示的系統(tǒng),其特征在于,所述系統(tǒng)還包括: 用于若所述決策模塊判定為惡意的數(shù)據(jù)的惡意系數(shù)低于閾值,則對(duì)所述惡意的數(shù)據(jù)通 過人工分析確定數(shù)據(jù)是安全或惡意的,然后再對(duì)所述惡意的數(shù)據(jù)進(jìn)行特征分析,用于更新 特征掃描模塊的權(quán)值和閾值以及更新機(jī)器學(xué)習(xí)模塊的機(jī)器學(xué)習(xí)模型的系統(tǒng)優(yōu)化模塊。
【文檔編號(hào)】G06F21/56GK104091122SQ201410272857
【公開日】2014年10月8日 申請(qǐng)日期:2014年6月17日 優(yōu)先權(quán)日:2014年6月17日
【發(fā)明者】崔寶江, 何苗, 劉芃成, 袁雋, 金建林 申請(qǐng)人:北京郵電大學(xué), 北京直真科技股份有限公司