基于概率差异的噪音信息清除方法及系统的制作方法
基于概率差异的噪音信息清除方法及系统的制作方法
【技术领域】
[0001]本发明涉及网络安全领域,特别涉及一种基于概率差异的噪音信息清除方法及系统。
【背景技术】
[0002]网络安全领域最为基本和关键的就是降低误报率。由于正常软件和恶意软件在运行时候都会有各种行为,包括创建的文件,创建的互斥量,传送的网络数据等等,因此对于正常软件和恶意软件均包含的互斥量,文件,网络等的数据的检测,基于其行为进行判断时,则存在大量噪音信息,对判断结果产生影响,在判别是否恶意时容易产生误报。
【发明内容】
[0003]本发明提供了一种基于概率差异的噪音信息清除的方法及系统,能够解决在对程序行为进行检测时,程序行为既存在于恶意程序也存在于可信程序中产生的噪音信息问题,利用概率差异的判别方法,减少误报,过滤噪音信息。
[0004]—种基于概率差异的噪音信息清除方法,包括:
建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率;
通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库;
获取未知样本的全部行为;
根据行为贡献度库,得到未知样本各行为的贡献度;
计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。
[0005]所述的方法中,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。
[0006]所述的方法中,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。
[0007]所述的方法中,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
[0008]—种基于概率差异的噪音信息清除系统,包括:
贡献度库模块,用于建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率;
通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库;
行为获取模块,用于获取未知样本的全部行为;
贡献度计算模块,用于根据行为贡献度库,得到未知样本各行为的贡献度; 判定模块,用于计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。
[0009]所述的系统中,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。
[0010]所述的系统中,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。
[0011]所述的系统中,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
[0012]本发明的优势在于,能够根据贡献度库,计算行为的贡献度和,依据贡献度的大小,可以判断未知样本是否为恶意程序。在建立贡献度库和计算贡献度和的过程中,极大的减少了噪音信息,减少了误报。
【附图说明】
[0013]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0014]图1为本发明一种基于概率差异的噪音信息清除方法实施例流程图;
图2为本发明一种基于概率差异的噪音信息清除系统实施例结构示意图。
【具体实施方式】
[0015]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0016]本发明提供了一种基于概率差异的噪音信息清除的方法及系统,能够解决在对程序行为进行检测时,程序行为既存在于恶意程序也存在于可信程序中产生的噪音信息问题,利用概率差异的判别方法,减少误报,过滤噪音信息。
[0017]—种基于概率差异的噪音信息清除方法,如图1所示,包括:
5101:建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率;
5102:通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库;
5103:获取未知样本的全部行为;
5104:根据行为贡献度库,得到未知样本各行为的贡献度;
5105:计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。
[0018]所述的方法中,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。
[0019]所述的方法中,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差,与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。各行为的贡献度集合为贡献度库。
[0020]贡献度体现了一个行为在恶意程序和可信程序行为出现的差异度,还体现了该行为属于恶意程序和可信程序的贡献度。贡献度为正,则表明该行为更多的出现在恶意程序中,在极端情况下,如行为只在恶意程序中出现,则贡献度为1;贡献度为负,则表明此行为更多的出现在可信程序中,极端情况下,如行为只在可信程序中出现,则贡献度为-1。
[0021]所述的方法中,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
[0022]—种基于概率差异的噪音信息清除系统,如图2所示,包括:
贡献度库模块201,用于建立行为贡献度库,分别计算各已知样本 各行为在恶意程序和可信程序中出现的概率;
通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库;
行为获取模块202,用于获取未知样本的全部行为;
贡献度计算模块203,用于根据行为贡献度库,得到未知样本各行为的贡献度;
判定模块204,用于计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。
[0023]所述的系统中,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。
[0024]所述的系统中,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。
[0025]所述的系统中,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
[0026]本发明的优势在于,能够根据贡献度库,计算行为的贡献度和,依据贡献度的大小,可以判断未知样本是否为恶意程序。在建立贡献度库和计算贡献度和的过程中,极大的减少了噪音信息,减少了误报。
[0027]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0028]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0029]本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
[0030]本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0031]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种基于概率差异的噪音信息清除方法,其特征在于,包括: 建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率; 通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库; 获取未知样本的全部行为; 根据行为贡献度库,得到未知样本各行为的贡献度; 计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。2.如权利要求1所述的方法,其特征在于,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。3.如权利要求1所述的方法,其特征在于,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。4.如权利要求3所述的方法,其特征在于,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。5.一种基于概率差异的噪音信息清除系统,其特征在于,包括: 贡献度库模块,用于建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率; 通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库; 行为获取模块,用于获取未知样本的全部行为; 贡献度计算模块,用于根据行为贡献度库,得到未知样本各行为的贡献度; 判定模块,用于计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。6.如权利要求5所述的系统,其特征在于,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。7.如权利要求5所述的系统,其特征在于,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。8.如权利要求7所述的系统,其特征在于,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
【专利摘要】本发明提出了一种基于概率差异的噪音信息清除方法及系统,包括:获取未知样本的全部行为;分别计算未知样本各行为在恶意程序和可信程序中出现的概率;通过概率差和归一处理后,得到未知样本各行为的贡献度;计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率,计算贡献度,进而进一步计算并判断其是否为恶意,能够极大的减少对样本检测的误报。
【IPC分类】G06F21/56
【公开号】CN105488401
【申请号】CN201410770580
【发明人】徐小琳, 郑礼雄, 李佳, 严寒冰, 张雨晨, 康学斌, 肖新光
【申请人】国家计算机网络与信息安全管理中心, 哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月15日
【技术领域】
[0001]本发明涉及网络安全领域,特别涉及一种基于概率差异的噪音信息清除方法及系统。
【背景技术】
[0002]网络安全领域最为基本和关键的就是降低误报率。由于正常软件和恶意软件在运行时候都会有各种行为,包括创建的文件,创建的互斥量,传送的网络数据等等,因此对于正常软件和恶意软件均包含的互斥量,文件,网络等的数据的检测,基于其行为进行判断时,则存在大量噪音信息,对判断结果产生影响,在判别是否恶意时容易产生误报。
【发明内容】
[0003]本发明提供了一种基于概率差异的噪音信息清除的方法及系统,能够解决在对程序行为进行检测时,程序行为既存在于恶意程序也存在于可信程序中产生的噪音信息问题,利用概率差异的判别方法,减少误报,过滤噪音信息。
[0004]—种基于概率差异的噪音信息清除方法,包括:
建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率;
通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库;
获取未知样本的全部行为;
根据行为贡献度库,得到未知样本各行为的贡献度;
计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。
[0005]所述的方法中,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。
[0006]所述的方法中,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。
[0007]所述的方法中,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
[0008]—种基于概率差异的噪音信息清除系统,包括:
贡献度库模块,用于建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率;
通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库;
行为获取模块,用于获取未知样本的全部行为;
贡献度计算模块,用于根据行为贡献度库,得到未知样本各行为的贡献度; 判定模块,用于计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。
[0009]所述的系统中,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。
[0010]所述的系统中,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。
[0011]所述的系统中,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
[0012]本发明的优势在于,能够根据贡献度库,计算行为的贡献度和,依据贡献度的大小,可以判断未知样本是否为恶意程序。在建立贡献度库和计算贡献度和的过程中,极大的减少了噪音信息,减少了误报。
【附图说明】
[0013]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0014]图1为本发明一种基于概率差异的噪音信息清除方法实施例流程图;
图2为本发明一种基于概率差异的噪音信息清除系统实施例结构示意图。
【具体实施方式】
[0015]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0016]本发明提供了一种基于概率差异的噪音信息清除的方法及系统,能够解决在对程序行为进行检测时,程序行为既存在于恶意程序也存在于可信程序中产生的噪音信息问题,利用概率差异的判别方法,减少误报,过滤噪音信息。
[0017]—种基于概率差异的噪音信息清除方法,如图1所示,包括:
5101:建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率;
5102:通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库;
5103:获取未知样本的全部行为;
5104:根据行为贡献度库,得到未知样本各行为的贡献度;
5105:计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。
[0018]所述的方法中,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。
[0019]所述的方法中,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差,与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。各行为的贡献度集合为贡献度库。
[0020]贡献度体现了一个行为在恶意程序和可信程序行为出现的差异度,还体现了该行为属于恶意程序和可信程序的贡献度。贡献度为正,则表明该行为更多的出现在恶意程序中,在极端情况下,如行为只在恶意程序中出现,则贡献度为1;贡献度为负,则表明此行为更多的出现在可信程序中,极端情况下,如行为只在可信程序中出现,则贡献度为-1。
[0021]所述的方法中,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
[0022]—种基于概率差异的噪音信息清除系统,如图2所示,包括:
贡献度库模块201,用于建立行为贡献度库,分别计算各已知样本 各行为在恶意程序和可信程序中出现的概率;
通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库;
行为获取模块202,用于获取未知样本的全部行为;
贡献度计算模块203,用于根据行为贡献度库,得到未知样本各行为的贡献度;
判定模块204,用于计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。
[0023]所述的系统中,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。
[0024]所述的系统中,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。
[0025]所述的系统中,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
[0026]本发明的优势在于,能够根据贡献度库,计算行为的贡献度和,依据贡献度的大小,可以判断未知样本是否为恶意程序。在建立贡献度库和计算贡献度和的过程中,极大的减少了噪音信息,减少了误报。
[0027]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0028]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0029]本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
[0030]本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0031]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种基于概率差异的噪音信息清除方法,其特征在于,包括: 建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率; 通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库; 获取未知样本的全部行为; 根据行为贡献度库,得到未知样本各行为的贡献度; 计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。2.如权利要求1所述的方法,其特征在于,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。3.如权利要求1所述的方法,其特征在于,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。4.如权利要求3所述的方法,其特征在于,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。5.一种基于概率差异的噪音信息清除系统,其特征在于,包括: 贡献度库模块,用于建立行为贡献度库,分别计算各已知样本各行为在恶意程序和可信程序中出现的概率; 通过概率差和归一处理后,得到各行为的贡献度,形成贡献度库; 行为获取模块,用于获取未知样本的全部行为; 贡献度计算模块,用于根据行为贡献度库,得到未知样本各行为的贡献度; 判定模块,用于计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。6.如权利要求5所述的系统,其特征在于,所述分别计算各已知样本各行为在恶意程序和可信程序中出现的概率,具体包括:行为在各已知样本中为恶意程序的样本中出现的概率,及行为在各已知样本中为可信程序的样本中出现的概率。7.如权利要求5所述的系统,其特征在于,所述通过概率差和归一处理,得到各行为的贡献度具体为:分别计算各行为在恶意程序中出现的概率与在可信程序中出现概率之差与各行为在恶意程序中出现的概率与在可信程序中出现概率之和的比值,即为各行为的贡献度。8.如权利要求7所述的系统,其特征在于,计算未知样本各行为的贡献度之和,判定未知样本是否为恶意具体为:若贡献度之和为正,则所述未知样本为恶意,若贡献度之和为负,则所述未知样本为可信。
【专利摘要】本发明提出了一种基于概率差异的噪音信息清除方法及系统,包括:获取未知样本的全部行为;分别计算未知样本各行为在恶意程序和可信程序中出现的概率;通过概率差和归一处理后,得到未知样本各行为的贡献度;计算未知样本各行为的贡献度之和,判定未知样本是否为恶意。本发明通过未知样本的行为在恶意程序和可信程序中出现的概率,计算贡献度,进而进一步计算并判断其是否为恶意,能够极大的减少对样本检测的误报。
【IPC分类】G06F21/56
【公开号】CN105488401
【申请号】CN201410770580
【发明人】徐小琳, 郑礼雄, 李佳, 严寒冰, 张雨晨, 康学斌, 肖新光
【申请人】国家计算机网络与信息安全管理中心, 哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月15日
最新回复(0)