公开(公告)号：CN111090858A

公开(公告)日：2020-05-01

申请号：CN201911164905.1

申请日：2019-11-25

Applicant: 北京理工大学

Inventor： 张继 ,  梁杰 ,  王勇 ,  王晏楚 ,  刘振岩 ,  谭守东

IPC: G06F21/56 ,  H04L29/06

Abstract: 本发明针对现有技术中特征表达不足、漏报率和误报率高、攻击树节点权重设置不合理等问题，提出一种基于拓展攻击树模型的木马检测方法。该方法包括：通过对木马程序进行静态特征分析，获取操作码OPCode序列，从所述操作码OPCode序列中提取木马特征OPCode短序列；通过对木马程序进行动态特征分析，获取API调用序列，从所述API调用序列中提取木马特征API短序列；根据所述OPCode短序列和API短序列构建原始拓展攻击树，并将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器；动态更新所述权重参数得到若干个攻击树基本学习器，通过集成学习构建强学习器，进行木马检测。

公开(公告)号：CN111090858B

公开(公告)日：2022-02-11

申请号：CN201911164905.1

申请日：2019-11-25

Applicant: 北京理工大学

Inventor： 张继 ,  梁杰 ,  王勇 ,  王晏楚 ,  刘振岩 ,  谭守东

IPC: G06F21/56 ,  H04L9/40

Abstract: 本发明针对现有技术中特征表达不足、漏报率和误报率高、攻击树节点权重设置不合理等问题，提出一种基于拓展攻击树模型的木马检测方法。该方法包括：通过对木马程序进行静态特征分析，获取操作码OPCode序列，从所述操作码OPCode序列中提取木马特征OPCode短序列；通过对木马程序进行动态特征分析，获取API调用序列，从所述API调用序列中提取木马特征API短序列；根据所述OPCode短序列和API短序列构建原始拓展攻击树，并将所述原始拓展攻击树的节点的权重参数初始化，作为第一个攻击树基本学习器；动态更新所述权重参数得到若干个攻击树基本学习器，通过集成学习构建强学习器，进行木马检测。