用于对恶意行为进行指纹识别的方法和系统与流程

本申请整体涉及神经网络，并且更具体地涉及基于非纯数据来训练神经网络。

背景技术：

1、异常检测在包括恶意软件检测、视频监控和网络监测的许多领域中具有至关重要的意义。

2、在异常检测领域，用于训练神经网络模型来检测异常的方法通常取决于无监督学习模型，无监督学习模型需要庞大的数据集进行训练。由于这些庞大的数据集中可能存在大量的噪声，因此这些模型可能不是鲁棒的。此外，处理庞大的数据集也可能需要大量的计算资源。

3、提供用于神经网络模型的增强的鲁棒性和用于训练神经网络模型的更有效的系统和方法将是有利的。

技术实现思路

技术特征：

1.一种对恶意行为进行指纹识别的计算机实现的方法，所述方法包括：

2.根据权利要求1所述的方法，还包括将所述最终机器学习单类分类器应用于事件样本数据集，以评估所述事件样本数据集是否包括所述恶意行为。

3.根据权利要求1所述的方法，还包括在与所述恶意行为相对应的恶意软件未运行时，收集所述第二事件数据集。

4.根据权利要求1所述的方法，其中所述第一事件数据集包括系统调用事件跟踪。

5.根据权利要求1所述的方法，其中所述第一事件数据集包括系统范围跟踪，所述系统范围跟踪包括与多个非恶意进程相对应的数据。

6.根据权利要求1所述的方法，其中所述最终机器学习单类分类器能够确定数据是否包括与恶意软件行为类别有关的事件数据集。

7.根据权利要求1所述的方法，其中所述最终机器学习单类分类器能够检测与所述恶意行为相关联的恶意软件类别。

8.根据权利要求1所述的方法，其中所述第一事件数据集包括基于进程和线程信息排序的事件序列。

9.根据权利要求1所述的方法，其中针对第二训练阶段表示所述恶意行为的所述第三训练集包括至少基于与事件序列相关联的进程信息而排序的所述事件序列。

10.根据权利要求1所述的方法，其中所述最终机器学习单类分类器能够检测数据中的所述恶意行为，所述恶意行为包括与软件应用相关联的非恶意事件，所述检测独立于与所述非恶意事件相关联的所述软件应用。

11.一种用于对恶意行为进行指纹识别的系统，所述系统包括：

12.根据权利要求11所述的系统，其中所述指令在被执行时，还使所述处理器将所述最终机器学习单类分类器应用于事件样本数据集，以评估所述事件样本数据集是否包括所述恶意行为。

13.根据权利要求11所述的系统，其中所述指令在被执行时，还使所述处理器在与所述恶意行为相对应的恶意软件未运行时，收集所述第二事件数据集。

14.根据权利要求11所述的系统，其中所述第一事件数据集包括系统调用事件跟踪。

15.根据权利要求11所述的系统，其中所述第一事件数据集包括系统范围跟踪，所述系统范围跟踪包括与多个非恶意进程相对应的数据。

16.根据权利要求11所述的系统，其中所述最终机器学习单类分类器能够确定数据是否包括与恶意软件行为类别有关的事件数据集。

17.根据权利要求11所述的系统，其中所述最终机器学习单类分类器能够检测与所述恶意行为相关联的恶意软件类别。

18.根据权利要求11所述的系统，其中所述第一事件数据集包括基于进程和线程信息排序的事件序列。

19.根据权利要求11所述的系统，其中针对第二训练阶段表示所述恶意行为的所述第三训练集包括至少基于与事件序列相关联的进程信息而排序的所述事件序列。

20.一种非暂时性计算机可读存储介质，所述非暂时性计算机可读存储介质存储处理器可执行指令，所述处理器可执行指令用于对恶意行为进行指纹识别，其中所述处理器可执行指令在由处理器执行时，使所述处理器用于：

技术总结用于对恶意行为进行指纹识别的方法和系统。在第一训练阶段中，粗调机器学习单类分类器被训练用于检测第一事件数据集，第一事件数据集包括表示恶意行为的事件数据集和表示非恶意行为的事件数据集，并且良性机器学习单类分类器被训练用于检测第二事件数据集，第二事件数据集不包括表示恶意活动的事件数据集。包括良性机器学习单类分类器和粗调机器学习单类分类器的模型集合被应用于第一事件数据集，以针对第二训练阶段创建表示恶意行为的第三训练集。最终机器学习单类分类器在第二训练阶段中使用第三训练集来训练。最终机器学习单类分类器表示恶意行为的指纹。技术研发人员：S·S·帕潘加佩受保护的技术使用者：西兰克公司技术研发日：技术公布日：2024/9/9