TWI505127B - 加殼程式分類系統以及用於偵測網域名稱攻擊的電腦程式產品 - Google Patents
加殼程式分類系統以及用於偵測網域名稱攻擊的電腦程式產品 Download PDFInfo
- Publication number
- TWI505127B TWI505127B TW102101374A TW102101374A TWI505127B TW I505127 B TWI505127 B TW I505127B TW 102101374 A TW102101374 A TW 102101374A TW 102101374 A TW102101374 A TW 102101374A TW I505127 B TWI505127 B TW I505127B
- Authority
- TW
- Taiwan
- Prior art keywords
- data
- content
- classification
- portable executable
- program
- Prior art date
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本發明係有揭露一種加殼程式分類系統以及用於對加殼程式進行分類的電腦程式產品,更明確的說,本發明係為一種用於對複數個可攜式執行檔案格式資料進行分類的分類系統,以及用於對加殼程式進行分類的電腦程式產品。
由於惡意軟體被加殼軟體保護的比例相當高,即使較老舊的病毒只要經過新的客製化加殼軟體稍作保護,就可避過擁有最新病毒碼的防毒軟體偵測,故偵測檔案是否被加殼對於防止惡意軟體的入侵,是非常重要的一環;分析檔案加殼種類對於分析病毒人員來說,在病毒逆向工程上是有相當大的助益。據此,若能在第一時間內將相同加殼軟體所保護的惡意軟體分類出來,並對這些未知加殼軟體做一次脫殼分析,後再將相同的脫殼分析套用在該類惡意軟體,便可以減少枯燥又耗時的脫殼分析時間,加速分析未知惡意軟體的速度。
為了因應前述之問題,本發明係揭露了一種加殼程式分類系統以及用於分類加殼程式的電腦程式產品。簡單來說,由於微軟公司在規劃可攜式執行檔案格式(Portable Executable File Format)及其載入器時,為達到較良好的相容性並沒有對格式作嚴格的控制管理,為數不少的標頭內容都只有在排除故障時方將會被使用,而在正常使用時,載入器讀取檔案時會用到的標頭內容只佔其中的少數。甚至這些少數的標頭內容有瑕疵的情況下,檔案還是能順利被載入記憶體內執行。
本發明的加殼程式分類系統,用於對複數個可攜式執行檔案分析以對其進行分類,其得大致地包含有一儲存裝置以及一中央處理器。儲存裝置,其儲存有一分類程序,該分類程序係包含有以下程序,其
分別為自一資料庫讀取有複數個可攜式執行檔案,而前述的資料庫係指一可攜式執行檔案格式資料庫;分別地根據一第一流程以及一第二流程來對該些可攜式執行檔案進行處理並產生有一相對應的第一內容以及第二內容;分別地根據該第一內容及該第二內容來判斷該些可攜式執行檔案是否已被加殼;分別地判斷該些可攜式執行檔案之加殼軟體種類並產生一種類資料;以及分別地將該些種類資料與一加殼資料庫進行比對,若無相對應資料則將該些無相對應資料的種類資料按其種類資料進行分類。而中央處理器中央處理器,與該儲存裝置耦接;在應用時,該中央處理器係自該儲存裝置取得並執行有該分類程序以為該些可攜式執行檔案格式資料之分類作業。
在應用時,第一流程係包含有以下子程序,其為計算該可攜式執行檔案格式資料中的各個區間之加密比率(Encrypted Rate)並從中取得有一最大加密比率以為該第二內容之部份。
另一方面,前述的該第二流程係包含有以下子程序,其按序分別為偵測該可攜式執行檔案格式資料中的一程式進入點區段是否具有一可寫入區間,若有,則建立一第一內容且設該第一內容為真,若無,則建立該第一內容且設該第一內容為否(虛);偵測該可攜式執行檔案格式資料中除了該程式進入點區段以外是否具有該可寫入區間,若有,則建立該第一內容且設將該第一內容設定為真;以及偵測該可攜式執行檔案格式資料中除了該程式進入點區段以外是否具有一可執行區間,若有,則建立該第一內容且設將該第一內容設定為真,若無,則建立有該第一內容且設該第一內容為否。
再者,該分別地根據該第一內容及該第二內容來判斷該些可攜式執行檔案是否已被加殼之程序係包含有子程,如以一相對應於Bintropy值之演算法計算該資料檔之檔案進入點(Entry Point)以產生一第一分類資料;利用一預設的API列表資料來與該資料檔進行比較以產生一第二分類資料;利用該第一分類資料以及該第二分類資料來以一資料探勘分叢進而對該複數個資料檔之加殼軟體種類進行分類;以及利用一SVM程序來判斷該複數個資料檔之加殼軟體種類。另外,其中該資
料探勘分叢係以一X MEANS資料探勘演算法以為之。
綜合而言,本發明相較於先前技術之技術突破在於本發明將被載入器真正使用並且能區別一般檔案之內容(例如進入點位置、區段大小、區段屬性等等參數)來與加殼檔案的標頭內容進行處理後得出其二者間的關聯性特徵。接著,再藉由該等關聯性特徵來判斷檔案是否被加殼。本發明之程序不僅能加快靜態分析速度,且不易被客製化加殼軟體所影響造成誤判。舉例來說,客製化加殼軟體會將區段名稱竄改成一般編譯器所使用的區段名稱來偽裝成一般正常檔案。另外,在分類加殼軟體方面使用匯入表格中的內容來判斷檔案所使用加殼軟體類別,若檔案為相同加殼軟體所保護,則其匯入表格中呼叫的應用呼叫(Application Call)之相似度將為極高。藉此,便得以用於強化判斷的準確率。
需注意的是,本發明之系統及方法的部份內容或架構己得見於發明人於中華民國一零一年七月十四日進行之論文口試中所公開之『基於靜態分析之加殼程式分類系統』一文;以及發明人於中華民國一零一年七月三十日提交予國立臺灣科技大學學位論文全文系統以及博碩士論文檢索系統之『基於靜態分析之加殼程式分類系統』之摘要及索引之中,故在實施時得應得配合該文之細部內容以為之,另外,該文所記載有之全數技術內容及其引述之技術資料之整體均應視為本說明書之一部份並應得為本說明書修正時之依據。
為了因應前述之問題,本發明揭露了一種加殼程式分類系統以及用於判別加殼程式的電腦程式產品。簡單來說,由於微軟公司在規劃可攜式執行檔案格式(Portable Executable File Format)及其載入器時,為達到較良好的相容性並沒有對格式作嚴格的控制管理,為數不少的標頭內容都只有在排除故障時才會被使用,而在正常使用時,載入器讀取檔案時會用到的標頭內容只佔其中的少數。甚至在這些少數的標頭內容有瑕疵的情況下,檔案還是能順利被載入記憶體內執行。
本發明相較於先前技術之技術突破在於本發明係利用載入器真正使用並且能區別一般檔案之內容(例如進入點位置、區段大小、區段屬性等等參數)來與加殼檔案的標頭內容進行處理,進而得出其二者間的關聯性特徵。接著,再藉由該等關聯性特徵來判斷檔案是否被加殼。本發明之程序不僅能加快靜態分析速度,且不易被客製化加殼軟體所影響而造成誤判。舉例來說,客製化加殼軟體會將區段名稱竄改成一般編譯器所使用的區段名稱,以偽裝成一般正常檔案。
另外,在分類加殼軟體時,使用匯入表格中的內容來判斷檔案所使用加殼軟體類別,若檔案係由相同加殼軟體來保護,則其匯入表格中所呼叫的應用呼叫(Application Call)之相似度將為極高。藉此,便可將此一特徵用於強化判斷的準確率。
以下將對本發明之具體內容及流程進行說明。請參閱圖一,圖一係繪述了本發明之分析系統之具體實施例的功能方塊圖。首先,在中央處理器的控制之下,標的檔案會將一儲存有複數個移植執行檔資料的自移植執行檔資料源1(例如,雲端伺服器),傳送至加殼偵測模組2中以被判斷檔案是否有被加殼。若檔案被判斷其為己經過加殼處理,則其將被視為有一己加殼檔案並輸入加殼檔案分類模組3,以判斷該檔案所使用的加殼軟體種類並加以分類。接著,將分類結果連同檔案輸出至加殼檔案解殼模組4再以相對應的工具解殼。最後,經解殼的檔案將被傳送至移植執行檔分析模組5,以供後續使用。在另一方面,若加殼偵測模組2判斷一檔案為未被加殼處理者,則其將被視為一未加殼檔案並將直接地被傳送至移植執行檔分析模組5,以供後續之使用。
而其中,前述的移植執行檔資料在被輸入至加殼偵測模組2後,加殼偵測模組2會進行一分類程序P來對移植執行檔資料進行區別分類。該分類程序係如圖二所繪述的大致地包含有一第一流程及一第二流程。圖二係繪述了本發明的加殼偵測模組之一具體實施例的運作流程圖。於圖二右側所繪示之第二流程中,加殼偵測模組2會先找到程式進入點區段,並偵測進入點區段的區段特徵(section characteristic)是
否有可寫入特徵(writable),如果有,則將異常區段特徵(flag of Abnormal section characteristic)設為是(True),若沒有可寫入特徵,則加殼偵測模組2將會自動偵測其他區段的區段特徵,是否有可寫入(writable)特徵或可執行(executable)特徵二者。若有的話,異常區段特徵亦將被設為是(True),以防止加殼軟體利用其他區段進行脫殼動作,假若前述兩者皆未發生,則該異常區段特徵將會被設置為否(False)或虛。
另一方面,於圖二左側所繪示之第一流程中,加殼偵測模組2會先針對每個區段W來計算加密比率(Encrypted Rate),接著,使用Bintropy值來計算區段中每個256 byte長度的子區段W1(Window)所屬之參數,進而取得最大加密比率(Max Encrypted Rate)。請參閱圖三,圖三係繪述了前述的加密等級(Encrypted Rate)之示意圖式。同時,將段落之Bintropy值超過6.85者視為加密段落(Encrypted Window),並且加總加密段落數量,再計算該區段的加密比率(Encrypted Rate),如下列公式所示:
其中,其中總段落數量為區段中之段落數量之最大值,之後取出所有區段中加密比率的最大值,並設定為一最大加密比率(Max Encrypted Rate)以供後續使用。接著,利用最大加密比率以及異常區段特徵等值作為偵測加殼檔案之特徵後,將所偵測的檔案特徵與訓練集得出的模型輸入SVM演算器,以判別其是否為一加殼檔案。
藉此,當加殼偵測模組2偵測判定輸入之檔案為加殼檔案後,加殼偵測模組2會將該檔案輸入至加殼檔案分類模組3,以進行加殼軟體類型的辨認、偵測。而檔案輸入加殼檔案分類模組3,加殼檔案分類模組3會經過兩個部份來計算特徵值,第一部份是計算檔案進入點(Entry Point)的Bintropy值,其係取進入點位置後長度為320 bytes大小的段落,來計算Bintropy值以作為第一個特徵。
第二部份是將加殼檔案匯入API的偵測步驟,其係讀取加殼檔案
的匯入表,取得在檔案呼叫Kernel32.dll之部份中所使用的API,並且為了偵測未知的加殼檔案,加殼檔案分類模組3會比對Kernel32.dll中之匯出表的全部API列表,來計算檔案的kernel32 API特徵。另外,為了加快分類速度,kernel32.dll中所需對應的API數量亦得被縮減,將kernel32.dll中針對Unicode(例如GetStringTypeW)或延伸功能(例如GetStringTypeEx)所建立的API合併為一個(例如GetStringType),如此一來,需比對的API將可從原本的1390個減少到934個。
在比對kernel32.dll並得到第二個特徵後,其可第一部份產生的特徵合併輸入X-means分叢器來進行分類,同時,可以將已知類型的加殼檔案連同被偵測的檔案一起輸入X-means分叢器,X-means分叢器會將依照特徵分類出已知類型的檔案及未知類型的檔案,X-means部份不需要訓練集即可完成分叢。
為了校正X-means在叢集案例數量不均時所造成的分類錯誤,得將X-means給出的標籤連同檔案特徵一併輸入SVM來進行自我訓練及自我預測,降低加殼檔案分類的誤判率,如圖四所繪述者,即為一例。
需知悉的是,前述之各個流程得被儲存於一儲存裝置之內部,並以一程序或是程式指令的方式存在。惟前述各元件並不以同時設置於單一電子裝置為限,其亦得以一網路伺服器之方式為之。
綜合而言,本發明相較於先前技術之技術突破,在於本發明將載入器真正使用,並且能用於區別一般檔案之內容(例如進入點位置、區段大小、區段屬性等等參數)來與加殼檔案的標頭內容進行處理後,得出其二者間的關聯性特徵。接著,再藉由該等關聯性特徵來判斷檔案是否被加殼。本發明之程序不僅能加快靜態分析速度,且不易被客製化加殼軟體所影響而造成誤判。舉例來說,客製化加殼軟體會將區段名稱竄改成一般編譯器所使用的區段名稱,以偽裝成一般正常檔案。另外,在分類加殼軟體方面使用匯入表格中的內容,來判斷檔案所使用加殼軟體類別,若檔案為相同加殼軟體所保護,則其匯入表格中呼
叫的應用呼叫(Application Call)之相似度將為極高。藉此,便得以將其用於強化判斷的準確率。
在對本發明進行進一步的說明前,需瞭解除非有另外定義,否則本說明書所用之所有技術及科學術語,皆具有與熟習本發明所屬技術者通常所瞭解的意義相同之意義。另外,本說明書目前所述者僅屬本發明的眾多實例方法之其中之一,在本發明之實際使用時,可使用與本說明書所述方法及裝置相類似或等效之任何方法或手段為之。再者,本說明書中所提及之一數目以上或以下,係包含數目本身。另外,本說明書若提及某甲與某乙為電性連接或耦接時,其係實指某甲與某乙係具有能量、資料或信號的傳輸行為,其不以實際連接為限,據此,舉凡藉有線、無線之方式以電、光、電磁波等手段進行的傳輸行為均屬其義。
且應瞭解的是,本說明書揭示執行所揭示功能之某些方法、流程,並不以說明書中所記載之順序為限,除說明書有明確排除,否則各程序、步驟或流程先後順序之安排端看使用者之要求而自由調整。另外,考量本發明之各元件之性質為相互類似,故各元件間的說明、標號為相互適用。另外,為保持說明書之簡潔,文中所提及的『產品』或『方法』一詞係分別地指本發明的用於偵測網域名稱攻擊的電腦程式產品及其相對應的方法。而文中的『系統』一詞則係指本發明的加殼程式分類系統。
藉由以上較佳具體實施例之詳述,係希望能更加清楚描述本發明之特徵與精神,而並非以上述所揭露的較佳具體實施例來對本發明之範疇加以限制。相反地,其目的是希望能涵蓋各種改變及具相等性的安排於本發明所欲申請之專利範圍的範疇內。因此,本發明所申請之專利範圍的範疇應根據上述的說明作最寬廣的解釋,以致使其涵蓋所有可能的改變以及具相等性的安排。
A‧‧‧加殼程式分類系統
A1‧‧‧中央處理器
A2‧‧‧儲存裝置
P‧‧‧分類程序
W‧‧‧區段
W1‧‧‧子區段
1‧‧‧移植執行檔資料源
2‧‧‧加殼偵測模組
3‧‧‧加殼檔案分類模組
4‧‧‧加殼檔案解殼模組
5‧‧‧移植執行檔分析模組
圖一係繪述了本發明之分類系統之一具體實施例之功能方塊圖。
圖二係繪述了本發明的加殼偵測模組之一具體實施例之運作流程圖。
圖三係繪述了本發明的加殼偵測模組之加密等級(Encrypted Rate)的一具體實施例之示意圖式。
圖四係繪述了本發明的加殼檔案分類模組之一具體實施例之運作流程圖。
A‧‧‧加殼程式分類系統
A1‧‧‧中央處理器
A2‧‧‧儲存裝置
P‧‧‧分類程序
1‧‧‧移植執行檔資料源
2‧‧‧加殼偵測模組
3‧‧‧加殼檔案分類模組
4‧‧‧加殼檔案解殼模組
5‧‧‧移植執行檔分析模組
Claims (8)
- 一種加殼程式分類系統,其係用於對複數個可攜式執行檔案進行分析以對其進行分類,其包含有:一儲存裝置,其係儲存有一分類程序,該分類程序係包含有以下程序:自一資料庫,讀取有複數個可攜式執行檔案;分別地根據一第一流程以及一第二流程來對該些可攜式執行檔案進行處理,並產生相對應的一第一內容以及一第二內容,其中該第一流程係包含有以下子程序:計算該可攜式執行檔案格式資料中的各個區間之加密比率(Encrypted Rate),並從中取得有一最大加密比率以作為該第二內容;分別地根據該第一內容及該第二內容來判斷,該些可攜式執行檔案是否已被加殼;分別地判斷該些可攜式執行檔案之加殼軟體種類並產生一種類資料;以及分別地將該些種類資料與一加殼資料庫進行比對,若無相對應資料則將該些無相對應資料的種類資料,按其種類資料進行分類;以及一中央處理器,其與該儲存裝置耦接;其中,該中央處理器係自該儲存裝置取得並執行該分類程序,以為該些可攜式執行檔案格式資料之分類作業。
- 如申請專利範圍第1項所述之加殼程式分類系統,其中該第二流程係包含有以下子程序:偵測該可攜式執行檔案格式資料中的一程式進入點區段,是否具有一可寫入區間,若有,則建立一第一內容且將該第一內容設定為真,若無,則建立該第一內容且 將該第一內容設定為否;偵測該可攜式執行檔案格式資料中除了該程式進入點區段以外,是否具有該可寫入區間,若有,則建立該第一內容且將該第一內容設定為真;以及偵測該可攜式執行檔案格式資料中除了該程式進入點區段以外,是否具有一可執行區間,若有,則建立該第一內容且將該第一內容設定為真,若無,則建立有該第一內容且將該第一內容設定為否。
- 如申請專利範圍第1項所述之加殼程式分類系統,其中該分別地根據該第一內容及該第二內容,來判斷該些可攜式執行檔案是否已被加殼之程序,係包含有以下子程序:以一相對應於Bintropy值之演算法來計算該資料檔之檔案進入點(Entry Point),以產生一第一分類資料;利用一預設的API列表資料來與該資料檔進行比較,以產生一第二分類資料;利用該第一分類資料以及該第二分類資料來進行一資料探勘分叢,進而對該複數個資料檔之加殼軟體種類進行分類;以及利用一SVM程序來判斷該複數個資料檔之加殼軟體種類。
- 如申請專利範圍第4項所述之加殼程式分類系統,其中該資料探勘分叢步驟,係以一X MEANS資料探勘演算法為之。
- 一種用於對加殼程式進行分類的電腦程式產品,其係用於對複數個可攜式執行檔案格式資料進行分類,其係依序包含有以下指令:一第一指令,其係用於自一資料庫,讀取有複數個可攜式執行檔案;一第二指令,其係用於分別地根據一第一指令集以及一第二指令集,來對該些可攜式執行檔案進行處理並產生相 對應的一第一內容以及一第二內容,其中該第一指令集係包含有以下子指令:計算該可攜式執行檔案格式資料中的各個區間之加密比率(Encrypted Rate),並從中取得有一最大加密比率以作為該第二內容;一第三指令,其係用於分別地根據該第一內容及該第二內容,來判斷該些可攜式執行檔案是否已被加殼;一第四指令,其係用於分別地判斷該些可攜式執行檔案之加殼軟體種類並產生一種類資料;以及一第五指令,其係用於分別地將該些種類資料與一加殼資料庫進行比對,若無相對應資料則將該些無相對應資料的種類資料,按其種類資料進行分類。
- 如申請專利範圍第5項所述之電腦程式產品,其中該第二指令集係包含有以下子指令:偵測該可攜式執行檔案格式資料中的一程式進入點區段,是否具有一可寫入區間,若有,則建立一第一內容且將該第一內容設定為真,若無,則建立該第一內容且將該第一內容設定為否;偵測該可攜式執行檔案格式資料中,除了該程式進入點區段以外是否具有該可寫入區間,若有,則建立該第一內容且將該第一內容設定為真;以及偵測該可攜式執行檔案格式資料中,除了該程式進入點區段以外是否具有一可執行區間,若有,則建立該第一內容且將該第一內容設定為真,若無,則建立有該第一內容且將該第一內容設定為否。
- 如申請專利範圍第5項所述之電腦程式產品,其中該第三指令係包含有以下子指令:以一相對應於Bintropy值之演算法來計算該資料檔之檔案 進入點(Entry Point),以產生一第一分類資料;利用一預設的API列表資料來與該資料檔進行比較,以產生一第二分類資料;利用該第一分類資料以及該第二分類資料,來進行一資料探勘分叢,進而對該複數個資料檔之加殼軟體種類進行分類;以及利用一SVM程序來判斷該複數個資料檔之加殼軟體種類。
- 如申請專利範圍第7項所述之電腦程式產品,其中該資料探勘分叢步驟係以一X MEANS資料探勘演算法以為之。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW102101374A TWI505127B (zh) | 2013-01-14 | 2013-01-14 | 加殼程式分類系統以及用於偵測網域名稱攻擊的電腦程式產品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW102101374A TWI505127B (zh) | 2013-01-14 | 2013-01-14 | 加殼程式分類系統以及用於偵測網域名稱攻擊的電腦程式產品 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201428533A TW201428533A (zh) | 2014-07-16 |
TWI505127B true TWI505127B (zh) | 2015-10-21 |
Family
ID=51726097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW102101374A TWI505127B (zh) | 2013-01-14 | 2013-01-14 | 加殼程式分類系統以及用於偵測網域名稱攻擊的電腦程式產品 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI505127B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070240217A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Modeling Detection System And Method for Mobile Platforms |
TWI350978B (zh) * | 2007-10-22 | 2011-10-21 | Chung Shan Inst Of Science | |
TW201224836A (en) * | 2010-12-15 | 2012-06-16 | Inst Information Industry | Malware detection apparatus, malware detection method and computer program product thereof |
-
2013
- 2013-01-14 TW TW102101374A patent/TWI505127B/zh not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070240217A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Modeling Detection System And Method for Mobile Platforms |
TWI350978B (zh) * | 2007-10-22 | 2011-10-21 | Chung Shan Inst Of Science | |
TW201224836A (en) * | 2010-12-15 | 2012-06-16 | Inst Information Industry | Malware detection apparatus, malware detection method and computer program product thereof |
Non-Patent Citations (1)
Title |
---|
Yanfang Ye, Lifei Chen, Dingding Wang, Tao Li, Qingshan Jiang, Min Zhao. "SBMDS: an interpretable string based malware detection system using SVM ensemble with bagging", Volume 5, Issue 4, pp 283-293, November 2009. * |
Also Published As
Publication number | Publication date |
---|---|
TW201428533A (zh) | 2014-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11258813B2 (en) | Systems and methods to fingerprint and classify application behaviors using telemetry | |
US9876812B1 (en) | Automatic malware signature extraction from runtime information | |
JP6346632B2 (ja) | モバイルデバイスでの悪質なファイルを検出するシステム及び方法 | |
EP2973170B1 (en) | Profiling code execution | |
US9015814B1 (en) | System and methods for detecting harmful files of different formats | |
US10990674B2 (en) | Malware clustering based on function call graph similarity | |
KR101228899B1 (ko) | 벡터량 산출을 이용한 악성코드의 분류 및 진단 방법과 장치 | |
US8621625B1 (en) | Methods and systems for detecting infected files | |
US10956151B2 (en) | Apparatus and method for identifying constituent parts of software binaries | |
US11256804B2 (en) | Malware classification of executable files by convolutional networks | |
BR102015017215A2 (pt) | método implementado em computador para classificação de aplicativos móveis, e, programa de computador codificado em um meio de armazenamento não-trasitório | |
KR20120105759A (ko) | 악성 코드 시각화 장치와 악성 코드 탐지 장치 및 방법 | |
US10445501B2 (en) | Detecting malicious scripts | |
US10984104B2 (en) | Malware clustering based on analysis of execution-behavior reports | |
US10073973B2 (en) | Process testing apparatus, computer-readable medium, and process testing method | |
KR102006242B1 (ko) | 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템 | |
Han et al. | Malware classification methods using API sequence characteristics | |
TW201633188A (zh) | 用於快速且可擴充的功能性檔案相互關聯之系統及方法 | |
JP2019514119A (ja) | ハイブリッドプログラムバイナリ特徴の抽出及び比較 | |
Elkhawas et al. | Malware detection using opcode trigram sequence with SVM | |
CN106874758B (zh) | 一种识别文档代码的方法和装置 | |
US9378367B2 (en) | Systems and methods for identifying a source of a suspect event | |
US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
Darus et al. | Android malware classification using XGBoost on data image pattern | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |