CN114091046B 识别对计算机系统的文件进行编码的加密器的系统和方法 (卡巴斯基实验室股份制公司)_第1页
CN114091046B 识别对计算机系统的文件进行编码的加密器的系统和方法 (卡巴斯基实验室股份制公司)_第2页
CN114091046B 识别对计算机系统的文件进行编码的加密器的系统和方法 (卡巴斯基实验室股份制公司)_第3页
CN114091046B 识别对计算机系统的文件进行编码的加密器的系统和方法 (卡巴斯基实验室股份制公司)_第4页
CN114091046B 识别对计算机系统的文件进行编码的加密器的系统和方法 (卡巴斯基实验室股份制公司)_第5页
已阅读5页,还剩38页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

US2020210580A1,2020.0识别对计算机系统的文件进行编码的加密本申请涉及识别对计算机系统的文件进行识别由可疑进程执行了数据输入的一个或多个2针对每个识别出的文件,由分析器使用经训练的机器学习模针对每个识别出的文件,由所述分析器基于识别出的所述文件确定对所述文件进行修改的概率超过第一阈值的所述一当对所述文件进行修改的所述概率超过所述第一阈值的所述一个或多个文件的确定通过顺序检查所述计算机系统的所有进程来检测有害软件,其中文件修改的类别和至少一种其他的由合法软件做出的文件从备份副本恢复由所述可疑进程执行了数据输入的所述一个或多个一个或多个文件的所述备份副本是在发生由所述可疑进程将数据输入到所述一个或多个3识别与所述可疑进程相关联的事件,所述事件包括以下中的一者针对每个识别出的文件,由分析器使用经训练的机器学习模针对每个识别出的文件,由所述分析器基于识别出的所述文件确定对所述文件进行修改的概率超过第一阈值的所述一当对所述文件进行修改的所述概率超过所述第一阈值的所述一个或多个文件的确定通过顺序检查所述计算机系统的所有进程来检测有害软件,其中17.如权利要求14所述的系统,其中,所述计算机系统的保护包括以下中的至少一从备份副本恢复由所述可疑进程执行了数据输入的所述一个或多个一个或多个文件的备份副本是在发生由所述可疑进程将所述数据输入到所述一个或多个418.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有用于识别针对每个识别出的文件,由分析器使用经训练的机器学习模针对每个识别出的文件,由所述分析器基于识别出的所述文件确定对所述文件进行修改的概率超过第一阈值的所述一当对所述文件进行修改的所述概率超过所述第一阈值的所述一个或多个文件的确定通过顺序检查所述计算机系统的所有进程来检测有害软件,其中5害软件会从用户的设备中窃取用户的个人和机密数据[0005]对抗上述威胁的一种方法是及时检测用户设备上的有害应用程序,然后将其停而增加了确保计算安全免受此类攻击所需的基于签6算机系统的文件进行加密的有害软件产生了高水平的I类错误(假阳性)和II类错误的技术[0010]因此,需要一种使用最新的机器学习方法来检测加密器的更优化和更有效的方7[0022]在一方面,识别执行了数据输入的一个或多个文件基于对使用流和/或写入流的结果是减少了使用经训练的机器学习模型识别与加密器相关联的可疑进程时的I类错误和[0029]并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示8[0036]图4示出了用于识别与对计算机系统的文件进行编码的有害软件相关联的进程的[0038]本文在根据本发明的各方面的用于识别与对计算机系统的文件进行编码的有害[0039]本发明的系统和方法能够识别通过对计算机系统的文件进行编码来对计算机系列(FPGA)的硬件实现、或者例如以软件和硬件组块来实现,这些硬件部件和/或软件模块可以布置在一起或者可以驻留在多个位置或多个如WinAPICreateFile函数)使用的文件的操作的系统调用的处理来识别文件102。在一方9器学习模型106来执行修改类别的识别,经训练的第一机器学习模型106接收文件102的上别出的文件102的修改类别将可疑进程101识别为与加密[0043]系统100还包括训练器105,训练器105被设计成用于在训练样本的数据上训练第一机器学习模型106,该训练样本包括由至少一个已知进程创建或修改并与至少一个已知地,在上述训练样本上训练的第一机器学习模型106将具有在加密器分类中的高分类质量[0056]第一机器学习模型106识别文件的修改是否属于两个修改类别中的一个。在一方面,用于该目的的第一机器学习模型106是对上述两个类别进行操作的分类(监督学习)模[0058]当异常检测模型用于第一机器学习模型106的分类时,可以使用由单个类别组成未知的加密器创建或修改的文件也将被系统100检测以将加密器识别为机器学习模型的训[0065]在一方面,下面提到的文件参数和特征也可以用作待由分析器104使用的文件特将可疑进程101识别为与加密器相关联(也就是说,修改的类别对应于由加密器做出的修类别作为其输入数据;也就是说,第二机器学习模型接收第一机器学习模型106的使用结[0085]在一方面,第二机器学习模型107包括基于以下中的至少一者训练的机器学习模[0095]在又一方面,训练器105被设计成在来自第二训练样本的数据上训练第二机器学习模型107,第二训练样本包括由与至少一个已知加密器相关联的至少一个已知进程创建[0097]在另一方面,训练器105还被设计成用于测试和验证经训练的第二机器学习模型[0098]图3示出了计算机系统的示例性保护器,例如计算机20的保护器108。保护器108[0100]按需扫描器与按访问扫描器的不同之处在于它扫描用户指定的文件和目录,例的文件进行编码的有害软件(例如加密器)相关联的进程作为可疑进程进行检查。还应注意,本发明的方法程)但以与加密器相同的方式创建或修改文件时将进程识别为与加密器相关联。这种情况[0112]在步骤402中,方法400通过文件处理器103针对一个或多个文件中的每个识别出[0113]在步骤403中,方法400通过分析器104针对每个识别出的文件识别文件修改的类别。使用经训练的第一机器学习模型106和识别出的文件的相应特性来执行文件修改类别或多个文件的备份副本是在发生由可疑进程将数据输入到所述一个或多个文件之前创建[0124]在根据图1的系统中描述的实施方式的特定示例也适用于所要求保护的系统和方法能够识别与有害软件(例[0125]图5是示出在其上可以实现用于识别对计算机系统的文件进行编码的加密器的系与任何其他的总线架构交互的本地总线。总线的示例可以包括PCI、ISA、串行总线(PCI_和其他可以为用于存储本文中所使用的数据和/或可由处理器21执行的计算机程序的任何存储器。系统存储器22可以包括易失性存储器(诸如随机存取存储器(RandomAccessMemory,[0127]计算机系统20可以包括一个或多个存储设备,诸如一个或多个可移除存储设备存储期望数据且可被计算机系统20访问的任何其他影仪或集成显示器)也可以通过输出接口48(诸如视频适配器)连接到系统总线23。除了显[0129]计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中20可以包括用于借助于一个或多个网络而与远程计算机49通信的一个或多个网络接口51[0132]可以将本文中所描述的计算机可读程序指令从计算机可读存储介质下载到相应[0133]用于执行本发明的操作的计算机可读程序指令可以为汇编指令、指令集架构状态设置数据、或以一种或多种编程语言(言)的任何组合编写的源代码或目标代码。计算和实现模块功能的指令集(该指令集在被执行时将微处理器系统转换成专用设备)来实现本说明书的术语或措辞应当由本领域技术人员根据[0137]本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论