基于关联规则的未知恶意程序检测技术

针对当前基于特征码病毒检测技术不能检测出未知病毒的缺点,通过研究某些病毒及其变种版本在执行过程中应用程序接口(API)调用序列的规律,提出一种基于数据挖掘的检测技术,采用Apriori算法从已知病毒的API调用序列中提取有价值的关联规则,用于指导病毒检测。实验结果表明该方法对未知病毒检测有良好的效果。

一种基于主机特征的未知恶意程序动态识别系统

分析可疑程序执行前后的主机状态变化,利用虚拟执行技术设计一种新型的基于主机特征的未知恶意程序动态识别系统。所有可疑程序被重定向到特定沙箱中执行,通过对沙箱中的文件、注册表、进程、服务和网络的实时监控与深度分析识别未知恶意程序,再根据其执行过程记录动态生成告警信息,从而保护真实环境文件不受篡改、破坏。实验表明,该系统能显著提高对未知恶意程序攻击的识别精度,从而高效防御智能电网遭受未知恶意程序的攻击。