基于概率差異的噪音信息清除方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,特別涉及一種基于概率差異的噪音信息清除方法及系統(tǒng)。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)安全領(lǐng)域最為基本和關(guān)鍵的就是降低誤報(bào)率。由于正常軟件和惡意軟件在運(yùn)行時(shí)候都會(huì)有各種行為,包括創(chuàng)建的文件,創(chuàng)建的互斥量,傳送的網(wǎng)絡(luò)數(shù)據(jù)等等,因此對(duì)于正常軟件和惡意軟件均包含的互斥量,文件,網(wǎng)絡(luò)等的數(shù)據(jù)的檢測(cè),基于其行為進(jìn)行判斷時(shí),則存在大量噪音信息,對(duì)判斷結(jié)果產(chǎn)生影響,在判別是否惡意時(shí)容易產(chǎn)生誤報(bào)。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種基于概率差異的噪音信息清除的方法及系統(tǒng),能夠解決在對(duì)程序行為進(jìn)行檢測(cè)時(shí),程序行為既存在于惡意程序也存在于可信程序中產(chǎn)生的噪音信息問題,利用概率差異的判別方法,減少誤報(bào),過濾噪音信息。
[0004]—種基于概率差異的噪音信息清除方法,包括:
建立行為貢獻(xiàn)度庫(kù),分別計(jì)算各已知樣本各行為在惡意程序和可信程序中出現(xiàn)的概率;
通過概率差和歸一處理后,得到各行為的貢獻(xiàn)度,形成貢獻(xiàn)度庫(kù);
獲取未知樣本的全部行為;
根據(jù)行為貢獻(xiàn)度庫(kù),得到未知樣本各行為的貢獻(xiàn)度;
計(jì)算未知樣本各行為的貢獻(xiàn)度之和,判定未知樣本是否為惡意。
[0005]所述的方法中,所述分別計(jì)算各已知樣本各行為在惡意程序和可信程序中出現(xiàn)的概率,具體包括:行為在各已知樣本中為惡意程序的樣本中出現(xiàn)的概率,及行為在各已知樣本中為可信程序的樣本中出現(xiàn)的概率。
[0006]所述的方法中,所述通過概率差和歸一處理,得到各行為的貢獻(xiàn)度具體為:分別計(jì)算各行為在惡意程序中出現(xiàn)的概率與在可信程序中出現(xiàn)概率之差與各行為在惡意程序中出現(xiàn)的概率與在可信程序中出現(xiàn)概率之和的比值,即為各行為的貢獻(xiàn)度。
[0007]所述的方法中,計(jì)算未知樣本各行為的貢獻(xiàn)度之和,判定未知樣本是否為惡意具體為:若貢獻(xiàn)度之和為正,則所述未知樣本為惡意,若貢獻(xiàn)度之和為負(fù),則所述未知樣本為可信。
[0008]—種基于概率差異的噪音信息清除系統(tǒng),包括:
貢獻(xiàn)度庫(kù)模塊,用于建立行為貢獻(xiàn)度庫(kù),分別計(jì)算各已知樣本各行為在惡意程序和可信程序中出現(xiàn)的概率;
通過概率差和歸一處理后,得到各行為的貢獻(xiàn)度,形成貢獻(xiàn)度庫(kù);
行為獲取模塊,用于獲取未知樣本的全部行為;
貢獻(xiàn)度計(jì)算模塊,用于根據(jù)行為貢獻(xiàn)度庫(kù),得到未知樣本各行為的貢獻(xiàn)度; 判定模塊,用于計(jì)算未知樣本各行為的貢獻(xiàn)度之和,判定未知樣本是否為惡意。
[0009]所述的系統(tǒng)中,所述分別計(jì)算各已知樣本各行為在惡意程序和可信程序中出現(xiàn)的概率,具體包括:行為在各已知樣本中為惡意程序的樣本中出現(xiàn)的概率,及行為在各已知樣本中為可信程序的樣本中出現(xiàn)的概率。
[0010]所述的系統(tǒng)中,所述通過概率差和歸一處理,得到各行為的貢獻(xiàn)度具體為:分別計(jì)算各行為在惡意程序中出現(xiàn)的概率與在可信程序中出現(xiàn)概率之差與各行為在惡意程序中出現(xiàn)的概率與在可信程序中出現(xiàn)概率之和的比值,即為各行為的貢獻(xiàn)度。
[0011]所述的系統(tǒng)中,計(jì)算未知樣本各行為的貢獻(xiàn)度之和,判定未知樣本是否為惡意具體為:若貢獻(xiàn)度之和為正,則所述未知樣本為惡意,若貢獻(xiàn)度之和為負(fù),則所述未知樣本為可信。
[0012]本發(fā)明的優(yōu)勢(shì)在于,能夠根據(jù)貢獻(xiàn)度庫(kù),計(jì)算行為的貢獻(xiàn)度和,依據(jù)貢獻(xiàn)度的大小,可以判斷未知樣本是否為惡意程序。在建立貢獻(xiàn)度庫(kù)和計(jì)算貢獻(xiàn)度和的過程中,極大的減少了噪音信息,減少了誤報(bào)。
【附圖說明】
[0013]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0014]圖1為本發(fā)明一種基于概率差異的噪音信息清除方法實(shí)施例流程圖;
圖2為本發(fā)明一種基于概率差異的噪音信息清除系統(tǒng)實(shí)施例結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0015]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。
[0016]本發(fā)明提供了一種基于概率差異的噪音信息清除的方法及系統(tǒng),能夠解決在對(duì)程序行為進(jìn)行檢測(cè)時(shí),程序行為既存在于惡意程序也存在于可信程序中產(chǎn)生的噪音信息問題,利用概率差異的判別方法,減少誤報(bào),過濾噪音信息。
[0017]—種基于概率差異的噪音信息清除方法,如圖1所示,包括:
5101:建立行為貢獻(xiàn)度庫(kù),分別計(jì)算各已知樣本各行為在惡意程序和可信程序中出現(xiàn)的概率;
5102:通過概率差和歸一處理后,得到各行為的貢獻(xiàn)度,形成貢獻(xiàn)度庫(kù);
5103:獲取未知樣本的全部行為;
5104:根據(jù)行為貢獻(xiàn)度庫(kù),得到未知樣本各行為的貢獻(xiàn)度;
5105:計(jì)算未知樣本各行為的貢獻(xiàn)度之和,判定未知樣本是否為惡意。
[0018]所述的方法中,所述分別計(jì)算各已知樣本各行為在惡意程序和可信程序中出現(xiàn)的概率,具體包括:行為在各已知樣本中為惡意程序的樣本中出現(xiàn)的概率,及行為在各已知樣本中為可信程序的樣本中出現(xiàn)的概率。
[0019]所述的方法中,所述通過概率差和歸一處理,得到各行為的貢獻(xiàn)度具體為:分別計(jì)算各行為在惡意程序中出現(xiàn)的概率與在可信程序中出現(xiàn)概率之差,與各行為在惡意程序中出現(xiàn)的概率與在可信程序中出現(xiàn)概率之和的比值,即為各行為的貢獻(xiàn)度。各行為的貢獻(xiàn)度集合為貢獻(xiàn)度庫(kù)。
[0020]貢獻(xiàn)度體現(xiàn)了一個(gè)行為在惡意程序和可信程序行為出現(xiàn)的差異度,還體現(xiàn)了該行為屬于惡意程序和可信程序的貢獻(xiàn)度。貢獻(xiàn)度為正,則表明該行為更多的出現(xiàn)在惡意程序中,在極端情況下,如行為只在惡意程序中出現(xiàn),則貢獻(xiàn)度為1;貢獻(xiàn)度為負(fù),則表明此行為更多的出現(xiàn)在可信程序中,極端情況下,如行為只在可信程序中出現(xiàn),則貢獻(xiàn)度為-1。
[0021]所述的方法中,計(jì)算未知樣本各行為的貢獻(xiàn)度之和,判定未知樣本是否為惡意具體為:若貢獻(xiàn)度之和為正,則所述未知樣本為惡意,若貢獻(xiàn)度之和為負(fù),則所述未知樣本為可信。
[0022]—種基于概率差異的噪音信息清除系統(tǒng),如圖2所示,包括:
貢獻(xiàn)度庫(kù)模塊201,用于建立行為貢獻(xiàn)度庫(kù),分別計(jì)算各已知樣本