CN101930517A - 一种僵尸程序的检测方法 - Google Patents

一种僵尸程序的检测方法 Download PDF

Info

Publication number
CN101930517A
CN101930517A CN2010105049209A CN201010504920A CN101930517A CN 101930517 A CN101930517 A CN 101930517A CN 2010105049209 A CN2010105049209 A CN 2010105049209A CN 201010504920 A CN201010504920 A CN 201010504920A CN 101930517 A CN101930517 A CN 101930517A
Authority
CN
China
Prior art keywords
program
antibody gene
detecting device
normal procedure
bot
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010105049209A
Other languages
English (en)
Other versions
CN101930517B (zh
Inventor
曾金全
唐伟文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Communication Research Planning & Designing Co Ltd
Original Assignee
Sichuan Communication Research Planning & Designing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Communication Research Planning & Designing Co Ltd filed Critical Sichuan Communication Research Planning & Designing Co Ltd
Priority to CN2010105049209A priority Critical patent/CN101930517B/zh
Publication of CN101930517A publication Critical patent/CN101930517A/zh
Application granted granted Critical
Publication of CN101930517B publication Critical patent/CN101930517B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种僵尸程序的检测方法,属于信息安全技术领域,该方法包括:提取正常程序集合B的抗体基因构建抗体基因集合Agdl,并由不同抗体基因长度的抗体基因集合Agdl组成抗体基因库Agd的步骤;用抗体基因集合Agdl对正常程序集合B’进行特征提取构建正常程序状态模型的步骤;由正常程序状态集合Cb生成检测器,并由检测器生成检测器集合;由检测器集合检测僵尸程序的步骤;上述抗体基因库和检测器动态进行演化。本发明的方法不仅能识别已知的僵尸程序,而且通过自我学习与进化,能在实时变化的计算机环境中发现新的僵尸程序或已知僵尸程序的变种,有效地解决了传统计算机病毒特征码库无法与多态僵尸程序同步的突出矛盾。

Description

一种僵尸程序的检测方法
技术领域
本发明涉及信息系统安全领域,尤其是一种基于免疫的僵尸程序的检测方法。 
背景技术
传统的计算机病毒检测主要是基于特征码技术,仅当其特征库中事先保存有病毒的特征码的情况下才能检测到,否则病毒将会逃过检测。僵尸程序是在传统计算机病毒、木马和蠕虫基础上发展而成的一种新型计算机恶意代码程序,在僵尸程序中融合了加密、变异、防查杀等多种防护机制,尤其是僵尸程序采用变异多态技术,在每次感染过程中均生成一个新样本,给传统计算机病毒检测技术带来了很大挑战。 
公开号为 CN101404658的中国专利申请案,公开了一种检测僵尸网络的方法,其方法可以对整个僵尸网络进行整体的分析和防御。其检测僵尸网络的方法为:首先从网络数据包中提取出IRC协议数据;然后将协议数据与数据特征库中的特征码进行匹配,获取僵尸网络数据包;最后在确定同一僵尸网络中的控制服务器、僵尸计算机、僵尸网络控制计算机。该方法存在以下缺陷:①仅能检测基于IRC协议的僵尸网络,通用性差;②仅能检测未加密的僵尸网络,对于加密命令和控制通道的僵尸网络无能为力;③基于特征码技术检测,不能检测已知僵尸网络的变种或新的僵尸网络,适应性差。 
发明内容
本发明的目的是针对现有技术在僵尸程序的检测上存在的缺点,提出一种基于免疫的僵尸程序检测方法,该方法不仅能识别已知的僵尸程序,而且通过自我学习与进化,能在实时变化的计算机环境中发现新的僵尸程序或已知僵尸程序的变种,有效地解决了传统计算机病毒特征码库无法与多态僵尸程序同步的突出矛盾。 
本发明为基于自然界生物体的免疫功能提出的发明,其原理如下:自然界生物在与外界细菌、病毒等病原体长期斗争的过程中,进化出了一套独特的保护机制——免疫保护机制,它能有效地保护生物机体免遭外界病原体的侵害,并具有耐受性、自学习、分布式并行处理、多样性、自组织、鲁棒性、自适应和免疫记忆等优良特性。生物免疫系统能记住以前的病原体,当这些病原体进入生物体内,免疫细胞迅速克隆扩增,释放出大量的抗体来捕获抗原。当新的病原体进入生物体内时,免疫系统迅速通过高频变异的自学习机制,进化出高亲和力的免疫细胞,高和力的免疫细胞迅速克隆扩增以消灭抗原,高新和力的免疫细胞进化成为记忆细胞,在下一次遭遇同样抗原时迅速做出反应。同时,生物免疫采用否定选择机制巧妙地解决了免疫系统攻击自身的问题,即误杀的问题。 
为了更好的说明本发明所述的技术方案,须按如下方式定义系统中使用的一些名词、符号以及一些公式: 
程序集合:设字符串集合: 
Figure 687985DEST_PATH_IMAGE001
,有程序集合
Figure 2010105049209100002DEST_PATH_IMAGE002
。定义正常程序
Figure 667442DEST_PATH_IMAGE003
,僵尸程序
Figure 2010105049209100002DEST_PATH_IMAGE004
,有
Figure 509496DEST_PATH_IMAGE005
。正常程序B的状态向量集合
Figure 2010105049209100002DEST_PATH_IMAGE006
,僵尸等恶意程序M的状态向量集合
Figure 530804DEST_PATH_IMAGE007
,有
Figure 2010105049209100002DEST_PATH_IMAGE008
抗体基因:抗体基因为从正常程序中提取的二进制字符串,定义长度为l的抗体基因集合Agd l
Figure 407493DEST_PATH_IMAGE009
,其中l为抗体基因长度(单位为字节),N为自然数,集合D l 为从正常程序中提取的二进制字符串。 
抗体基因库:由不同抗体基因长度的抗体基因集合组成了抗体基因库
Figure 2010105049209100002DEST_PATH_IMAGE010
,其中为抗体基因长度,N为自然数。抗体基因库用于提取程序的特征,包括正常程序和僵尸程序的程序特征。 
  自体:定义自体集合S
Figure 2010105049209100002DEST_PATH_IMAGE012
,其中
Figure 120158DEST_PATH_IMAGE013
为从正常程序中提取的状态向量集合,rd为自体元素自体半径。 
检测器:定义检测器集合为,其中rd为检测器检测半径。 
本发明的目的是基于上述的原理,提出一种僵尸程序检测方法,包括以下步骤: 
一种僵尸程序的检测方法,包括:提取正常程序集合B的抗体基因构建抗体基因集合Agd l ,并由不同抗体基因长度的抗体基因集合Agd l 组成抗体基因库Agd的步骤;用抗体基因集合Agd l 对正常程序集合B’进行特征提取构建正常程序状态模型的步骤;由正常程序状态集合C b 生成检测器,并由检测器生成检测器集合;由检测器集合检测僵尸程序的步骤。
上述抗体基因集合Agd l 构建的方法包括:步骤S101,初始化抗体基因长度为l字节,初始抗体基因集合Agd l 为空,变量i为1; 步骤S102,对正常程序集合B的第i个程序d i 提取长度为l的字符串s i ;步骤S103,判断字符串s i 是否已包含于抗体基因集合Agd l ,若是,则i=i+1并返回执行步骤S102,否则进行:步骤S104,将字符串s i 添加到抗体基因集合Agd l ;步骤S105,判断程序d i 是否为正常程序集合B的最后一个程序,若是则结束,否则i=i+1并返回执行步骤102。 
上述构建正常程序状态模型的步骤包括:步骤S201,初始化自体元素自体半径r,正常程序集合B’;步骤S202,依次用抗体基因库的每个抗体集合对正常程序集合B’的每个程序提取程序特征c,得到其正常程序状态集合C b ;步骤S203,由正常程序特征集合C b 和自体元素自体半径r构建正常程序状态模型。所述由正常程序特征集合C b 和自体半径r构建正常程序状态模型的方法:如果一个程序与正常程序特征集合C b 中的一个程序的欧几里德距离小于或等于自体元素自体半径r,则该正常程序,否则为僵尸程序。 
上述由正常程序状态集合C b 生成检测器的步骤包括:步骤S301,初始化正常程序的自体半径rd为r,变量x等于最大值 MAX;步骤S302,随即生成一个检测器d;步骤S303,计算检测器d与正常程序状态集合C b 中的任何一个程序的间的欧几里德距离f,如果f小于变量x,则变量x的值更新为f;步骤S304,在遍历完整个正常程序状态集合C b 后,判断变量x的值是否小于或等于自体半径r,若是,则d为一个非法的检测器,予以舍弃,否则d为一个合法的检测器予以保留,并得到该检测器的检测半径d.rd,检测器的检测半径d.rd为变量x与自体半径r的差值。 
上述由检测器检测僵尸程序的步骤包括:步骤S401,对待检程序e进行程序特征提取;步骤S402,计算检测器集合中每一个检测器与待检程序特征的距离x’;步骤S403,判断x’是否小于或等于检测器的检测半径d.rd,若是,则待检测程序e为僵尸程序,否则待检测程序e为正常程序。 
前述程序特征的提取方法包括:步骤Sa1,初始化抗体基因长度为l字节,计数器count b =0和count m =0;步骤Sa2,对待提取程序特征集合的程序,依次提取长度为l字节的字符串s;步骤Sa3,判断字符串s是否已存在于抗体基因集合Agd l  ,若是,则count b =count b +1,否则count m =count m +1;步骤Sa4,判断待提取程序特征的程序是否已遍历完,若不是,则返回步骤Sa2,否则进行:步骤Sa5,计算待提取程序特征的特征值c,c= count b /(count b +count m )。 
上述抗体基因库根据计算机程序的动态变化进行动态的演化,检测器根据抗体基因库的动态演化进行动态演化。 
由于本发明采用了以上的技术方案,因此本发明可以达到以下的有益技术效果:本发明公开的僵尸程序检测方法,不仅能识别已知的僵尸程序,而且通过自我学习与进化,能在实时变化的计算机环境中发现新的僵尸程序或已知僵尸程序的变种,有效地解决了传统计算机病毒特征码库无法与多态僵尸程序同步的突出矛盾。 
附图说明
本发明将通过例子并参照附图的方式说明,其中: 
图1是本发明僵尸程序检测的系统架构图。
图2是构建抗体基因库的流程图。 
图3是正常程序集合的程序特征提取的步骤。 
图4是构建正常程序状态模型的流程图。 
图5是检测器生成流程图。 
图6是检测器检测僵尸程序的流程图。 
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。 
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。 
本发明僵尸程序检测的系统架构图如图1所示,一种僵尸程序的检测方法,包括:提取正常程序集合B的抗体基因构建抗体基因集合Agd l ,并由不同抗体基因长度的抗体基因集合Agd l 组成抗体基因库Agd的步骤;用抗体基因集合Agd l 对正常程序集合B’进行特征提取构建正常程序状态模型的步骤;由正常程序状态集合C b 生成检测器,并由检测器生成检测器集合;由检测器集合检测僵尸程序的步骤。 
上述抗体基因库根据计算机程序的动态变化进行动态的演化,检测器根据抗体基因库的动态演化进行动态演化。抗体基因库和检测器的演化过程反映了实际计算机环境的变化,待检测程序经过程序特征提取以被检测器进行检测判断是否是僵尸程序。 
上述抗体基因集合构建的流程图如图2所示,抗体基因集合Agd l 构建方法包括: 
步骤S101,初始化抗体基因长度为l字节,初始抗体基因集合Agd l 为空,变量i为1; 
步骤S102,对正常程序集合B的第i个程序d i 提取长度为l的字符串s i ,每次滑动一个字节;
步骤S103,判断字符串s i 是否已包含于抗体基因集合Agd l ,若是,则i=i+1并返回执行步骤S102,否则进行:
步骤S104,将字符串s i 添加到抗体基因集合Agd l
步骤S105,判断程序d i 是否为正常程序集合B的最后一个程序,若是则结束,否则i=i+1并返回执行步骤102。
抗体基因提取及抗体基因库的构建可用方程(1)至(2)来描述: 
Figure 381375DEST_PATH_IMAGE015
                             (1)
Figure 2010105049209100002DEST_PATH_IMAGE016
                                       (2)
其中l为抗体基因长度(单位为字节),N为自然数,集合D l 为正常程序中提取的二进制字符串,如方程(2)所示。其中函数f e(b,i,l)执行提取程序中二进制串的操作,即从程序的位置i提取长度为l的二进制字符串s(位置i可以是字节位,即基因提取过程为从正常程序开始依次提取固定长的短二进制字符串,每次滑动一个字节,直到程序结尾)。
上述构建正常程序状态模型的流程图如图3所示,构建正常程序状态模型的步骤包括: 
步骤S201,初始化自体元素自体半径r,正常程序集合B’;
步骤S202,依次用抗体基因库的每个抗体集合对正常程序集合B’的每个程序提取程序特征c,得到其正常程序状态集合C b ;所述提取程序特征c的流程图如图4所示,提取程序特征c的步骤包括:
(1) 初始化抗体基因长度为l,单位是字节,置初始计数器count b =0和count m =0。
(2)  对待提取程序特征的程序b,依次提取长度为l的字符串s。如果字符串s属于抗体基因长度为l的抗体基因集合Agd l ,则计数器count b 加1,否则计数器count m 加1。直至程序b的最后一个字符串。 
(3) 计算程序b的特征:c=count b /(count b +count m )。 
程序特征的提取可用方程(3)至(4)来描述。 
Figure 105934DEST_PATH_IMAGE019
              (3) 
Figure 860264DEST_PATH_IMAGE021
                    (4)
其中
Figure 2010105049209100002DEST_PATH_IMAGE022
,
Figure 223374DEST_PATH_IMAGE023
为抗体基因库
Figure 2010105049209100002DEST_PATH_IMAGE024
从程序
Figure 809076DEST_PATH_IMAGE025
中提取的特征信息,n为程序特征的维数;函数
Figure 2010105049209100002DEST_PATH_IMAGE026
为特征信息提取操作,如方程式(4)所示,函数
Figure 301237DEST_PATH_IMAGE027
为从程序中提取二进制串操作,从不同基因
Figure 2010105049209100002DEST_PATH_IMAGE028
,
Figure 605180DEST_PATH_IMAGE023
提取的特征信息组成了程序状态向量。
步骤S203,由正常程序特征集合C b 和自体元素自体半径r构建正常程序状态模型。所述由正常程序特征集合C b 和自体半径r构建正常程序状态模型的方法:如果一个程序与正常程序特征集合C b 中的一个程序的欧几里德距离小于或等于自体元素自体半径r,则该正常程序,否则为僵尸程序。 
上述检测器生成的流程图如图5所示,上述由检测器检测僵尸程序的步骤包括: 
(1)初始化正常程序的自体半径rdr,变量x等于最大值MAX。
(2) 随机生成一个检测器d。 
(3) 计算检测器d与正常程序状态集合C b 中的任一个元素c间的欧几里德距离f,如果f小于xx值新值f。 
(4) 如果编历完集合C b 后,x小于等于自体半径r,则说明该检测器位于正常程序空间内,是一个非法的检测器;否则d是一个合法的检测器。 
(5)  对于生成的合法检测器d,为了防止该检测器检测到正常程序产生误报,其检测半径由与该检测器距离最近的正常程序决定。而变量x记录了与该检测器最近的正常程序的距离,因此该检测器的检测半径d.rd=x-r。 
上述检测器检测检测僵尸程序的流程图如图6所示,由检测器检测僵尸程序的步骤包括: 
(1)对待检程序e进行程序特征提取;其特征提取流程与图2所示流程相同。
(2)计算检测器集合中每一个检测器与待检程序特征的距离x’。 
(3)判断x’是否小于或等于检测器的检测半径d.rd,若是,则待检测程序e为僵尸程序,否则待检测程序e为正常程序。 
方程(5)描述了检测过程。 
Figure 880303DEST_PATH_IMAGE029
                       (5) 
当函数f detect (e)等于0,表示该程序不在检测器的检测范围之内,则该程序为正常程序;当函数f detect (e)等于1,表示有检测器检测到该程序,则该程序为僵尸程序;函数f d (x,y)为xy之间的欧几里德距离。
本发明在实际的应用中,计算机程序经常会被安装和卸载。为适应计算机程序的动态变化,与之相对应的抗体基库也应动态变化,抗体基因库的变化会导致正常程序状态模型和检测器的变化,通过这些变化能进一步提高检测率和降低误报率。抗体基因库的具体演化步骤如下: 
(1)  设置初始的抗体基因库的步骤:按图1的抗体基因的提取步骤对初始程序提取抗体基因得到初始的抗体基因库Agd
(2)  补充新安装程序的抗体基因的步骤:当新安装计算机程序时,对这些新安装的计算机程序按照图2的抗体基因提取步骤进行抗体基因的提取,并加入到抗体基因库Agd中。 
(3)  删除卸载程序的抗体基因的步骤:当删除计算机程序时,对这些删除的计算机程序按照图1的抗体基因提取步骤提取抗体基因,并将这些抗体基因从抗体基因库Agd中删除。 
抗体基因库的演化情况可用方程(6)和(7)来描述。 
Figure 2010105049209100002DEST_PATH_IMAGE030
                              (6) 
                      (7)
方程(6)中,B(0)为初始时刻的正常程序,B(t)(t>0)从B(t-1)进化而来;B new (t)为t时刻新增加的正常程序,如新安装的程序等,B unload (t)为卸载的程序从正常程序中删除。由于正常程序的动态进化,从正常程序中提取的抗体基因也随之进化,方程(7)描述了抗体基因库的动态演化。其中Agd(0)为从初始正常程序B(0)中提取的抗体基因,Agd new (t)为从新增加的正常程序B new (t)中提取的抗体基因添加到抗体基因库中,同时删除卸载程序B unload (t)的抗体基因Agd unload (t)。
与计算机程序变化导致抗体基因库的变化相对应,检测器也应动态演化以适应这些变化。检测器的演化包括如下: 
(1) 设置初始检测器的步骤:基于初始的抗体基因库和图4的检测器生成步骤生成初始的检测器。
(2) 保留合法检测器的步骤:如果检测器没有位于正常程序空间内,并且该检测器没有检测到正常程序,则说明该检测器是一个合法的检测器,应该保留。 
(3)  更新不合适检测器的步骤:如果检测器没有位于正常程序空间内,但该检测器能检测到正常程序,则应重新计算该检测器的检测半径。 
(4) 淘汰非法检测器的步骤:如果检测器位于正常程序空间内,则直接删除该检测器。
(5) 补充新检测器的步骤:调用检测器生成步骤(见图5),补充新的检测器。 
检测器的演化可用方程(8)-(11)来描述。 
               (8) 
   
Figure 487969DEST_PATH_IMAGE033
            (9)
   
Figure 2010105049209100002DEST_PATH_IMAGE034
       (10)
   
Figure DEST_PATH_IMAGE035
                      (11)
其中M(0)为初始的检测器,M(t)(t>0)从M(t-1)进化而来。M reserve (t-1)为t-1时刻的没有覆盖自体元素的检测器不用改变。M update (t)为需要更新的检测器,这些检测器是覆盖了部分的自体元素空间,则减少检测半径。M new (t)为新增加的通过自体耐受的检测器。M delete (t)为落在了自体元素空间内的检测器,则应该删除。通过动态调整覆盖异常空间的检测器,增强了模型的自学习和自适应能力;同时将通过自体耐受的新的检测器添加到检测器集合中,有效地提高模型的检测率并能降地误报率。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。

Claims (10)

1.一种僵尸程序的检测方法,其特征在于,包括:
提取正常程序集合B的抗体基因构建抗体基因集合Agd l ,并由不同抗体基因长度的抗体基因集合Agd l 组成抗体基因库Agd的步骤;
用抗体基因集合Agd l 对正常程序集合B’进行特征提取构建正常程序状态模型的步骤;
由正常程序状态集合C b 生成检测器,并由检测器生成检测器集合;
由检测器集合检测僵尸程序的步骤。
2.根据权利要求1所述的僵尸程序的检测方法,其特征在于,所述抗体基因集合Agd l 构建的方法包括:
步骤S101,初始化抗体基因长度为l字节,初始抗体基因集合Agd l 为空,变量i为1; 
步骤S102,对正常程序集合B的第i个程序d i 提取长度为l的字符串s i
步骤S103,判断字符串s i 是否已包含于抗体基因集合Agd l ,若是,则i=i+1并返回执行步骤S102,否则进行:
步骤S104,将字符串s i 添加到抗体基因集合Agd l
步骤S105,判断程序d i 是否为正常程序集合B的最后一个程序,若是则结束,否则i=i+1并返回执行步骤102。
3.根据权利要求1所述的僵尸程序的检测方法,其特征在于,所述构建正常程序状态模型的步骤包括:
步骤S201,初始化自体元素自体半径r,正常程序集合B’;
步骤S202,依次用抗体基因库的每个抗体集合对正常程序集合B’的每个程序提取程序特征c,得到其正常程序状态集合C b
步骤S203,由正常程序特征集合C b 和自体元素自体半径r构建正常程序状态模型。
4.根据权利要求3所述的僵尸程序的检测方法,其特征在于,所述由正常程序特征集合C b 和自体半径r构建正常程序状态模型的方法:如果一个程序与正常程序特征集合C b 中的一个程序的欧几里德距离小于或等于自体元素自体半径r,则该正常程序,否则为僵尸程序。
5.根据权利要求1所述的僵尸程序的检测方法,其特征在于,所述由正常程序状态集合C b 生成检测器的步骤包括:
步骤S301,初始化正常程序的自体半径rd为r,变量x等于最大值 MAX;
步骤S302,随即生成一个检测器d;
步骤S303,计算检测器d与正常程序状态集合C b 中的任何一个程序的间的欧几里德距离f,如果f小于变量x,则变量x的值更新为f;
步骤S304,在遍历完整个正常程序状态集合C b 后,判断变量x的值是否小于或等于自体半径r,若是,则d为一个非法的检测器,予以舍弃,否则d为一个合法的检测器予以保留,并得到该检测器的检测半径d.rd。
6.根据权利要求5所述的僵尸程序的检测方法,其特征在于,所述检测器的检测半径d.rd为变量x与自体半径r的差值。
7.根据全力要求1所述的僵尸程序的检测方法,其特征在于,所述由检测器检测僵尸程序的步骤包括:
步骤S401,对待检程序e进行程序特征提取;
步骤S402,计算检测器集合中每一个检测器与待检程序特征的距离x’;
步骤S403,判断x’是否小于或等于检测器的检测半径d.rd,若是,则待检测程序e为僵尸程序,否则待检测程序e为正常程序。
8.根据权利要求3或8所述的僵尸程序的检测方法,其特征在于,所述程序特征的提取方法包括:
步骤Sa1,初始化抗体基因长度为l字节,计数器count b =0和count m =0;
步骤Sa2,对待提取程序特征集合的程序,依次提取长度为l字节的字符串s;
步骤Sa3,判断字符串s是否已存在于抗体基因集合Agd l  ,若是,则count b =count b +1,否则count m =count m +1;
步骤Sa4,判断待提取程序特征的程序是否已遍历完,若不是,则返回步骤Sa2,否则进行:
步骤Sa5,计算待提取程序特征的特征值c= count b /(count b +count m )。
9.根据权利要求1所述的僵尸程序的检测方法,其特征在于,所述抗体基因库根据计算机程序的动态变化进行动态的演化。
10.根据权利要求5所述的僵尸程序的检测方法,其特征在于,所述检测器根据抗体基因库的动态演化进行动态演化。
CN2010105049209A 2010-10-13 2010-10-13 一种僵尸程序的检测方法 Active CN101930517B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010105049209A CN101930517B (zh) 2010-10-13 2010-10-13 一种僵尸程序的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010105049209A CN101930517B (zh) 2010-10-13 2010-10-13 一种僵尸程序的检测方法

Publications (2)

Publication Number Publication Date
CN101930517A true CN101930517A (zh) 2010-12-29
CN101930517B CN101930517B (zh) 2012-11-28

Family

ID=43369689

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010105049209A Active CN101930517B (zh) 2010-10-13 2010-10-13 一种僵尸程序的检测方法

Country Status (1)

Country Link
CN (1) CN101930517B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571796A (zh) * 2012-01-13 2012-07-11 电子科技大学 一种移动互联网中僵尸木马防护方法及其系统
CN103593610A (zh) * 2013-10-09 2014-02-19 中国电子科技集团公司第二十八研究所 基于计算机免疫的间谍软件自适应诱导与检测方法
CN103902895A (zh) * 2012-12-24 2014-07-02 腾讯科技(深圳)有限公司 僵尸网络控制协议挖掘方法和装置
CN103914652A (zh) * 2013-01-09 2014-07-09 腾讯科技(深圳)有限公司 恶意程序控制指令识别方法及装置
CN104778407A (zh) * 2015-04-14 2015-07-15 电子科技大学 一种多维无特征码恶意程序检测方法
CN108932430A (zh) * 2018-07-02 2018-12-04 北京大学 一种基于软件基因技术的恶意软件检测方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020162015A1 (en) * 2001-04-29 2002-10-31 Zhaomiao Tang Method and system for scanning and cleaning known and unknown computer viruses, recording medium and transmission medium therefor
CN101404658A (zh) * 2008-10-31 2009-04-08 北京锐安科技有限公司 一种检测僵尸网络的方法及其系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020162015A1 (en) * 2001-04-29 2002-10-31 Zhaomiao Tang Method and system for scanning and cleaning known and unknown computer viruses, recording medium and transmission medium therefor
CN101404658A (zh) * 2008-10-31 2009-04-08 北京锐安科技有限公司 一种检测僵尸网络的方法及其系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《哈尔滨理工大学学报》 20090430 晏义威等 基于改进的可变半径检测器实值否定选择算法 第13-20页 1-10 第14卷, 第2期 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571796A (zh) * 2012-01-13 2012-07-11 电子科技大学 一种移动互联网中僵尸木马防护方法及其系统
CN102571796B (zh) * 2012-01-13 2014-07-16 电子科技大学 一种移动互联网中僵尸木马防护方法及其系统
CN103902895A (zh) * 2012-12-24 2014-07-02 腾讯科技(深圳)有限公司 僵尸网络控制协议挖掘方法和装置
CN103914652A (zh) * 2013-01-09 2014-07-09 腾讯科技(深圳)有限公司 恶意程序控制指令识别方法及装置
CN103914652B (zh) * 2013-01-09 2018-05-22 腾讯科技(深圳)有限公司 恶意程序控制指令识别方法及装置
CN103593610A (zh) * 2013-10-09 2014-02-19 中国电子科技集团公司第二十八研究所 基于计算机免疫的间谍软件自适应诱导与检测方法
CN103593610B (zh) * 2013-10-09 2016-08-31 中国电子科技集团公司第二十八研究所 基于计算机免疫的间谍软件自适应诱导与检测方法
CN104778407A (zh) * 2015-04-14 2015-07-15 电子科技大学 一种多维无特征码恶意程序检测方法
CN104778407B (zh) * 2015-04-14 2017-08-08 电子科技大学 一种多维无特征码恶意程序检测方法
CN108932430A (zh) * 2018-07-02 2018-12-04 北京大学 一种基于软件基因技术的恶意软件检测方法

Also Published As

Publication number Publication date
CN101930517B (zh) 2012-11-28

Similar Documents

Publication Publication Date Title
CN101930517B (zh) 一种僵尸程序的检测方法
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN105989283B (zh) 一种识别病毒变种的方法及装置
CN109522716B (zh) 一种基于时序神经网络的网络入侵检测方法及装置
CN105205396A (zh) 一种基于深度学习的安卓恶意代码检测系统及其方法
CN107888554B (zh) 服务器攻击的检测方法和装置
CN105471882A (zh) 一种基于行为特征的网络攻击检测方法及装置
CN110909811A (zh) 一种基于ocsvm的电网异常行为检测、分析方法与系统
Niu et al. Identifying APT malware domain based on mobile DNS logging
CN104899513B (zh) 一种工业控制系统恶意数据攻击的数据图检测方法
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN106470188B (zh) 安全威胁的检测方法、装置以及安全网关
CN105447388B (zh) 一种基于权重的安卓恶意代码检测系统及方法
CN103617393A (zh) 一种基于支持向量机的移动互联网恶意应用软件检测方法
CN105138916A (zh) 基于数据挖掘的多轨迹恶意程序特征检测方法
CN105426707B (zh) 一种指令级密码算法识别方法和系统
CN103577323A (zh) 基于动态关键指令序列胎记的软件抄袭检测方法
CN112152962A (zh) 一种威胁检测方法及系统
KR101750760B1 (ko) 스마트 홈 서비스의 비정상 행위 탐지 시스템 및 그 방법
WO2020246944A1 (en) Method and system for attack detection in a sensor network of a networked control system
CN101458751B (zh) 一种基于人工免疫的存储异常检测方法
CN105871861B (zh) 一种自学习协议规则的入侵检测方法
CN103971054A (zh) 一种基于行为序列的浏览器扩展漏洞的检测方法
CN101588358A (zh) 基于危险理论和nsa的主机入侵检测系统及检测方法
CN112231775B (zh) 一种基于Adaboost算法的硬件木马检测方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant