CN101984450B - 恶意代码检测方法和系统 - Google Patents

恶意代码检测方法和系统 Download PDF

Info

Publication number
CN101984450B
CN101984450B CN201010589337A CN201010589337A CN101984450B CN 101984450 B CN101984450 B CN 101984450B CN 201010589337 A CN201010589337 A CN 201010589337A CN 201010589337 A CN201010589337 A CN 201010589337A CN 101984450 B CN101984450 B CN 101984450B
Authority
CN
China
Prior art keywords
characteristic
contribution
sample
threshold value
average
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010589337A
Other languages
English (en)
Other versions
CN101984450A (zh
Inventor
康学斌
张栗伟
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ahtech network Safe Technology Ltd
Original Assignee
Beijing Antiy Electronic Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Electronic Equipment Co Ltd filed Critical Beijing Antiy Electronic Equipment Co Ltd
Priority to CN201010589337A priority Critical patent/CN101984450B/zh
Publication of CN101984450A publication Critical patent/CN101984450A/zh
Application granted granted Critical
Publication of CN101984450B publication Critical patent/CN101984450B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种恶意代码检测方法,包括:从未知是否包含恶意代码的软件中提取特征;根据预先得到的每个特征的贡献度计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值;根据得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及得到的特征贡献均值与预先计算的特征贡献均值阈值的大小关系,确定所述未知软件中是否包含恶意代码;本发明还公开了一种恶意代码检测系统,包括:特征提取模块,特征贡献库,特征分析模块,判别模块。本发明通过自动化判别恶意代码解决了目前恶意代码数量大爆炸导致的无法及时判别的问题,从而可以及时地响应处理恶意代码。

Description

恶意代码检测方法和系统
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种恶意代码检测方法和系统。
背景技术
随着恶意代码数量急剧膨胀,恶意代码自动化判别已经成为反病毒研究的重要方向。恶意代码自动化判别,是通过一定的方法对未知的程序进行判别分类的方法。
对非二进制特征码的恶意代码检测的相关研究主要有静态检测恶意代码方面、动态行为分析检测恶意代码及组合检测。现有技术可以通过对文件静态反汇编得到API序列图,然后与安全策略进行对比,违反安全策略的API序列判定为恶意代码。还可以根据软件行为监控序列的距离判别分类方法。该方法可以在一定程度上进行自动化分类,但所需时间巨大,需要判别样本的行为序列与所有其它的行为序列计算距离,随着样本量的膨胀呈线性增长,恶意代码数量的膨胀速度导致该方法将耗费巨大的时间来判断一个未知的恶意代码的类别,另外采用让恶意代码运行在虚拟机环境中通过获取其API调用来分析软件行为这个获取的层次相对初级。
发明内容
针对以上不足,本发明要解决的技术问题是提供一种恶意代码检测方法和系统,用以提高软件判别的准确率,不需要进行人工分析,并且可以快速的进行软件判别。
为了解决上述技术问题,本发明提供了一种恶意代码检测方法,包括:
从未知是否包含恶意代码的软件中提取特征;
根据预先得到的每个特征的贡献度,计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;,所述特征的贡献度为范围在-1与1之间的数值;
根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述软件中包含恶意代码或不包含恶意代码。
进一步的,根据预先得到的每个特征的贡献度计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
进一步的,计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
进一步的,按照下述方式计算每个特征的贡献度:σi=(PM(si)-PT(si))/(PM(si)+PT(si)),其中,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,PM(si)为特征si在黑名单样本集合M中出现的概率,PT(si)为特征si在白名单样本集合T中出现的概率。
进一步的,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
进一步的,其特征在于,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和:
Figure GDA00001714845400031
其中,V为特征贡献和,σi为特征的贡献度,特征si∈S,S为所有软件或者样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件或者样本中提取的所有特征的集合为A,所述A为S的子集,
Figure GDA00001714845400032
进一步的,其特征在于,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:
Figure GDA00001714845400033
其中,M为特征贡献均值,σi为特征的贡献度,特征si∈S,S为所有软件或者样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件或者样本中提取的所有特征的集合为A,所述A为S的子集,
Figure GDA00001714845400034
n为所述软件或者样本中提取的所有特征的集合A中的特征个数。
进一步的,根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure GDA00001714845400041
其中,VM为初始特征贡献和阈值,Vj为每个样本的特征贡献和,n为所有样本的个数;
按照下述方式确定初始特征贡献均值阈值:
Figure GDA00001714845400042
其中,MM为初始特征贡献均值阈值,Mi为每个样本的特征贡献均值,n为所有样本的个数。
进一步的,将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
进一步的,其特征在于,调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
进一步的,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
本发明还提供了一种恶意代码检测系统,包括:
特征提取模块,用于从未知是否包含恶意代码的软件中提取特征;
特征贡献库,用于保存每个特征的贡献度、特征贡献和阈值和特征贡献均值阈值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
特征分析模块,用于根据特征贡献库中保存的每个特征的贡献度,计算特征提取模块从所述软件中提取的所有特征的特征贡献和以及特征贡献均值;
判别模块,用于根据特征分析模块计算得到的特征贡献和与特征贡献库中保存的特征贡献和阈值的大小关系,以及特征分析模块计算得到的特征贡献均值与特征贡献库中保存的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码。
进一步的,特征贡献库具体用于计算保存特征的贡献度,包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
进一步的,计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
进一步的,按照下述方式计算每个特征的贡献度:σi=(PM(si)-PT(si))/(PM(si)+PT(si)),其中,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,PM(si)为软件特征si在黑名单样本集合M中出现的概率,PT(si)为软件特征si在白名单样本集合T出现的概率。
进一步的,特征贡献库还用于获取特征贡献和阈值以及特征贡献均值阈值,具体包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所以特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
进一步的,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和:
Figure GDA00001714845400061
其中,V为特征贡献和,σi为特征的贡献度,特征si∈S,S为所有软件或者样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件或者样本中提取的所有特征的集合为A,所述A为S的子集,
Figure GDA00001714845400062
进一步的,按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:
Figure GDA00001714845400063
其中,M为特征贡献均值,σi为特征的贡献度,特征si∈S,S为所有软件或者样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件或者样本中提取的所有特征的集合为A,所述A为S的子集,
Figure GDA00001714845400064
n为所述软件或者样本中提取的所有特征的集合A中的特征个数。
进一步的,根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure GDA00001714845400071
其中,VM为初始特征贡献和阈值,Vj为每个样本的特征贡献和,n为所有样本的个数;
按照下述方式确定初始特征贡献均值阈值:
Figure GDA00001714845400072
其中,MM为初始特征贡献均值阈值,Mi为每个样本的特征贡献均值,n为所有样本的个数。
进一步的,将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
进一步的,调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
进一步的,判别模块具体用于根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
本发明的有益效果是:
本发明的自动化恶意代码属性特征提取量化方法解决了原来由人工经验判断一个恶意属性是否足够恶意以及恶意程度的问题,由于通过概率统计方法量化了特征贡献度,提高了自动化判别的准确率,大大减少了人工分析的劳动量,为认识未知恶意代码的行为及属性提供了丰富的知识,通过自动化判别恶意代码解决了目前恶意代码数量大爆炸导致的无法及时判别的问题,从而可以及时地响应处理恶意代码。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明恶意代码检测方法的流程图;
图2为本发明恶意代码检测系统的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供一种恶意代码检测方法和系统,通过自动化判别恶意代码解决了目前恶意代码数量大爆炸导致的无法及时判别的问题,从而可以及时地响应处理恶意代码。
首先介绍本发明提供的恶意代码检测方法,如图1所示,包括:
S101、从未知是否包含恶意代码的软件中提取特征;
其中,包括软件的静态特征,动态行为特征及相关环境特征。
S102、根据预先得到的每个特征的贡献度,计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
其中,根据预先得到的每个特征的贡献度计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
黑名单样本集合即恶意代码样本集合,主要收集近年内流行的各种类型的恶意代码包括木马、蠕虫、感染式PE文件;白名单集合,包括系统可执行文件以及流行软件可执行程序,可参考表1,基本样本信息集合构成:
Figure GDA00001714845400091
表1
提取每个样本的特征:
其中,包括样本的静态特征,动态行为特征及相关环境特征。
动态特征的提取可通过Ring3层的Inline HOOK技术监视系统API的调用,对新创建的进程具有全局监视的能力,远程注入的线程以及新生模块通过服务加载的服务进程进行全面的监视,可监视进程活动的文件、注册表、模块函数加载、进线程操作以及网络通信数据;同时也可采用内核级的HOOK进行监视;通过Ring3的网络监视得到与进程关联的网络数据包,同时通过对Ring3服务函数的监视达到了服务修改篡改与木马进程关联,解决了原有底层监视替换服务的注册表行为的主体均为services.exe进程;
可执行文件的静态特征信息,包括字符串、PE文件结构、以及编译器、壳等信息;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单中出现的概率;
记录分析黑名单样本的总数,并针对某个特征统计在黑名单中的个数,计算占有比率;同样分析白名单样本的数量并统计某个特征在白名单样本中的个数,计算占有比率,计算的一些参考数据参见表2,统计特征概率贡献表:
Figure GDA00001714845400092
Figure GDA00001714845400101
Figure GDA00001714845400111
Figure GDA00001714845400121
表2
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度;
计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
按照下述方式计算每个特征的贡献度:σi=(PM(si)-PT(si))/(PM(si)+PT(si)),其中,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,PM(si)为特征si在黑名单样本集合M中出现的概率,PT(si)为特征si在白名单样本集合T中出现的概率。
σi体现了该特征在黑名单样本集与白名单样本集中的差异度。σi为正,则表明该特征更多的出现在黑名单样本中。极端情况下若σi=1则表明此特征只在黑名单样本中出现,σi为负则表明该特征主要出现在白名单样本集即受信软件中,若为σi=-1,则该特征只出现在白名单样本集中。σi体现了特征对软件是恶意的还是非恶意的贡献度。
在实现中我们对大量的恶意样本集和白名单样本集合进行了统计,丢弃了σi值接近0的特征。这样的特征在恶意样本集和白名单样本集中差异很小,不能作为分类依据,对判别公式的贡献很小,且获取该类特征需要耗费时间,所以通过统计确定出了对判别公式贡献大的特征,取满足σi<-0.2Uσi>0.2的si。通过对特征更加细化的统计得到不同的σi。比如创建新文件这一特征的的σi并不高,但是细化到在某个目录下创建PE文件则变成一条具有高的贡献度的特征。再例如删除文件的特征贡献度一般,但细化到删除自身主体文件,则是木马程序等使用的隐蔽,销毁痕迹的常用手段,而其的概率差异更是很高,体现了其对恶意代码判别的贡献度很高,计算的参考数据见表2。
S103、根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述软件中包含恶意代码或不包含恶意代码。
其中,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和:其中,V为特征贡献和,σi为特征的贡献度,特征si∈S,S为所有软件或者样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件或者样本中提取的所有特征的集合为A,所述A为S的子集,
按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:其中,M为特征贡献均值,σi为特征的贡献度,特征si∈S,S为所有软件或者样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件或者样本中提取的所有特征的集合为A,所述A为S的子集,
Figure GDA00001714845400141
n为所述软件或者样本中提取的所有特征的集合A中的特征个数。
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure GDA00001714845400142
其中,VM为初始特征贡献和阈值,Vj为每个样本的特征贡献和,n为所有样本的个数;
按照下述方式确定初始特征贡献均值阈值:
Figure GDA00001714845400143
其中,MM为初始特征贡献均值阈值,Mi为每个样本的特征贡献均值,n为所有样本的个数。
将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
本发明还提供了一种恶意代码检测系统,如图2所示,包括:
特征提取模块201,用于从未知是否包含恶意代码的软件中提取特征;
特征贡献库202,用于保存每个特征的贡献度、特征贡献和阈值和特征贡献均值阈值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
特征分析模块203,用于根据特征贡献库中保存的每个特征的贡献度,计算特征提取模块从所述软件中提取的所有特征的特征贡献和以及特征贡献均值;
判别模块204,用于根据特征分析模块计算得到的特征贡献和与特征贡献库中保存的特征贡献和阈值的大小关系,以及特征分析模块计算得到的特征贡献均值与特征贡献库中保存的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码。
其中,特征提取模块201具体用于提取所述软件的静态特征,动态行为特征及相关环境特征。
特征贡献库202具体用于计算保存特征的贡献度,包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
按照下述方式计算每个特征的贡献度:σi=(PM(si)-PT(si))/(PM(si)+PT(si)),其中,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,PM(si)为软件特征si在黑名单样本集合M中出现的概率,PT(si)为软件特征si在白名单样本集合T出现的概率。
特征贡献库202还用于获取特征贡献和阈值以及特征贡献均值阈值,具体包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所以特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献和:
Figure GDA00001714845400161
其中,V为特征贡献和,σi为特征的贡献度,特征si∈S,S为所有软件或者样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件或者样本中提取的所有特征的集合为A,所述A为S的子集,
按照下述方式计算所述软件或每个样本中提取的所有特征的特征贡献均值:其中,M为特征贡献均值,σi为特征的贡献度,特征si∈S,S为所有软件或者样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件或者样本中提取的所有特征的集合为A,所述A为S的子集,
Figure GDA00001714845400172
n为所述软件或者样本中提取的所有特征的集合A中的特征个数。
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure GDA00001714845400173
其中,VM为初始特征贡献和阈值,Vj为每个样本的特征贡献和,n为所有样本的个数;
按照下述方式确定初始特征贡献均值阈值:
Figure GDA00001714845400174
其中,MM为初始特征贡献均值阈值,Mi为每个样本的特征贡献均值,n为所有样本的个数。
将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
判别模块204具体用于根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码包括:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
本发明能够在一定程度上自动化提取恶意代码的属性特征,并量化该特征对恶意代码的判别贡献,进而进行自动化判别未知的恶意代码样本。为了提高自动化判别恶意代码的准确率与判别率同时降低误报率,提出了对判别过程中软件特征的选取量化与细化,解决了原来特征选取的经验化的问题,并挖掘出对判别具有更大贡献的特征点,在特征选取方面不再是原来的经验决定,而通过数据统计及差异算法来量化每个特征的对恶意代码判别贡献,使判别率得到提高、同时降低误报率。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (16)

1.一种恶意代码检测方法,其特征在于,包括:
从未知是否包含恶意代码的软件中提取特征;
根据预先得到的每个特征的贡献度,计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度,所述特征的贡献度为范围在-1与1之间的数值;所述特征贡献和的计算方式为:
Figure FDA00001986326600011
其中,V为特征贡献和,σi为特征的贡献度,特征si∈S,S为所有软件所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件中提取的所有特征的集合为A,所述A为S的子集,
Figure FDA00001986326600012
所述特征贡献均值的计算方式为:其中,M为特征贡献均值,σi为特征的贡献度,特征si∈S,S为所有软件所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件中提取的所有特征的集合为A,所述A为S的子集,
Figure FDA00001986326600014
n为所述软件中提取的所有特征的集合A中的特征个数;
根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述软件中包含恶意代码或不包含恶意代码:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
2.如权利要求1所述的方法,其特征在于,根据预先得到的每个特征的贡献度计算所述软件中提取的所有特征的特征贡献和以及特征贡献均值之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
3.如权利要求2所述的方法,其特征在于,计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
4.如权利要求2或3所述的方法,其特征在于,按照下述方式计算每个特征的贡献度:σi=(PM(si)-PT(si))/(PM(si)+PT(si)),其中,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,PM(si)为特征si在黑名单样本集合M中出现的概率,PT(si)为特征si在白名单样本集合T中出现的概率。
5.如权利要求1所述的方法,其特征在于,根据计算得到的特征贡献和与预先得到的特征贡献和阈值的大小关系,以及计算得到的特征贡献均值与预先得到的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码之前,还包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;所述特征贡献和的计算方式为:其中,V为特征贡献和,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述样本中提取的所有特征的集合为A,所述A为S的子集,
Figure FDA00001986326600032
;所述特征贡献均值的计算方式为:
Figure FDA00001986326600033
其中,M为特征贡献均值,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述样本中提取的所有特征的集合为A,所述A为S的子集,
Figure FDA00001986326600034
n为所述样本中提取的所有特征的集合A中的特征个数;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
6.如权利要求5所述的方法,其特征在于,根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure FDA00001986326600041
其中,VM为初始特征贡献和阈值,Vj为每个样本的特征贡献和,n为所有样本的个数;
按照下述方式确定初始特征贡献均值阈值:
Figure FDA00001986326600042
其中,MM为初始特征贡献均值阈值,Mi为每个样本的特征贡献均值,n为所有样本的个数。
7.如权利要求5所述的方法,其特征在于,将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
8.如权利要求5所述的方法,其特征在于,调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
9.一种恶意代码检测系统,其特征在于,包括:
特征提取模块,用于从未知是否包含恶意代码的软件中提取特征;
特征贡献库,用于保存每个特征的贡献度、特征贡献和阈值和特征贡献均值阈值,一个特征的贡献度是指所述特征对于判断未知软件是包含恶意代码的文件或不包含恶意代码的文件的贡献程度;
特征分析模块,用于根据特征贡献库中保存的每个特征的贡献度,计算特征提取模块从所述软件中提取的所有特征的特征贡献和以及特征贡献均值,所述特征的贡献度为范围在-1与1之间的数值;所述特征贡献和的计算方式为:
Figure FDA00001986326600051
其中,V为特征贡献和,σi为特征的贡献度,特征si∈S,S为所有软件所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件中提取的所有特征的集合为A,所述A为S的子集,
Figure FDA00001986326600052
所述特征贡献均值的计算方式为:
Figure FDA00001986326600053
其中,M为特征贡献均值,σi为特征的贡献度,特征si∈S,S为所有软件所具有的静态特征、动态行为特征以及相关环境特征的集合,所述软件中提取的所有特征的集合为A,所述A为S的子集,
Figure FDA00001986326600054
n为所述软件中提取的所有特征的集合A中的特征个数;
判别模块,用于根据特征分析模块计算得到的特征贡献和与特征贡献库中保存的特征贡献和阈值的大小关系,以及特征分析模块计算得到的特征贡献均值与特征贡献库中保存的特征贡献均值阈值的大小关系,确定所述未知软件中包含恶意代码或不包含恶意代码:如果计算得到的特征贡献和大于特征贡献和阈值,并且计算得到的特征贡献均值大于特征贡献均值阈值,则确定所述软件中包含恶意代码,否则确定所述软件中不包含恶意代码。
10.如权利要求9所述的系统,其特征在于,特征贡献库具体用于计算保存特征的贡献度,包括:
收集白名单样本和黑名单样本,所述白名单样本是指样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率;
根据每个特征在所有的黑名单样本中出现的概率与在所有的白名单样本中出现的概率,计算每个特征的贡献度。
11.如权利要求10所述的系统,其特征在于,计算每个特征的贡献度后,还包括:对所有特征的贡献度进行排序,保存指定范围内的贡献度以及对应的特征。
12.如权利要求10或11所述的系统,其特征在于,按照下述方式计算每个特征的贡献度:σi=(PM(si)-PT(si))/(PM(si)+PT(si)),其中,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,PM(si)为软件特征si在黑名单样本集合M中出现的概率,PT(si)为软件特征si在白名单样本集合T出现的概率。
13.如权利要求9所述的系统,其特征在于,特征贡献库还用于获取特征贡献和阈值以及特征贡献均值阈值,具体包括:
收集白名单样本和黑名单样本,所述白名单样本是指一个样本的静态特征与样本所在的系统环境及样本的活动对系统不会产生威胁的软件,所述黑名单样本是指样本本身及其所在环境能够给系统带来威胁的软件;
提取每个样本的特征;
计算每个样本中提取的所有特征的特征贡献和以及特征贡献均值;所述特征贡献和的计算方式为:其中,V为特征贡献和,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述样本中提取的所有特征的集合为A,所述A为S的子集,
Figure FDA00001986326600072
;所述特征贡献均值的计算方式为:
Figure FDA00001986326600073
其中,M为特征贡献均值,σi为特征的贡献度,特征si∈S,S为所有样本所具有的静态特征、动态行为特征以及相关环境特征的集合,所述样本中提取的所有特征的集合为A,所述A为S的子集,n为所述样本中提取的所有特征的集合A中的特征个数;
根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所以特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类;
计算将收集的白名单样本划分成恶意文件的百分比,或者计算将收集的黑名单样本划分成非恶意文件的百分比,调整初始特征贡献和阈值以及初始特征贡献均值阈值,得到特征贡献和阈值以及特征贡献均值阈值。
14.如权利要求13所述的系统,其特征在于,根据计算得到的每个样本中提取的所有特征的特征贡献和与预先确定的初始特征贡献和阈值的大小关系,以及计算得到的每个样本中提取的所有特征的特征贡献均值与预先确定的初始特征贡献均值阈值的大小关系,将收集的所有样本划分为恶意文件和非恶意文件两类之前,还包括:确定初始特征贡献和阈值以及初始特征贡献均值阈值;
其中,按照下述方式确定初始特征贡献和阈值:
Figure FDA00001986326600081
其中,VM为初始特征贡献和阈值,Vj为每个样本的特征贡献和,n为所有样本的个数;按照下述方式确定初始特征贡献均值阈值:其中,MM为初始特征贡献均值阈值,Mi为每个样本的特征贡献均值,n为所有样本的个数。
15.如权利要求13所述的系统,其特征在于,将收集的所有样本划分为恶意文件和非恶意文件两类包括:如果一个样本的所有特征的特征贡献和大于初始特征贡献和阈值,并且,该样本的所有特征的特征贡献均值大于初始特征贡献均值阈值,则将该样本划分为恶意文件,否则,将该样本划分为非恶意文件。
16.如权利要求13所述的系统,其特征在于,调整初始特征贡献和阈值以及初始特征贡献均值阈值、得到特征贡献和阈值以及特征贡献均值阈值具体为:如果将白名单样本划分成恶意文件的百分比大于0.1%,则增大初始特征贡献和阈值以及初始特征贡献均值阈值,直到将白名单样本划分成恶意文件的百分比不大于0.1%,将调整后的初始特征贡献和阈值作为特征贡献和阈值,将调整后的初始特征贡献均值阈值作为特征贡献均值阈值。
CN201010589337A 2010-12-15 2010-12-15 恶意代码检测方法和系统 Active CN101984450B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010589337A CN101984450B (zh) 2010-12-15 2010-12-15 恶意代码检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010589337A CN101984450B (zh) 2010-12-15 2010-12-15 恶意代码检测方法和系统

Publications (2)

Publication Number Publication Date
CN101984450A CN101984450A (zh) 2011-03-09
CN101984450B true CN101984450B (zh) 2012-10-24

Family

ID=43641619

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010589337A Active CN101984450B (zh) 2010-12-15 2010-12-15 恶意代码检测方法和系统

Country Status (1)

Country Link
CN (1) CN101984450B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102142068A (zh) * 2011-03-29 2011-08-03 华北电力大学 一种未知恶意代码的检测方法
CN102592080B (zh) * 2011-12-26 2015-11-11 北京奇虎科技有限公司 flash恶意文件检测方法及装置
CN102737186B (zh) * 2012-06-26 2015-06-17 腾讯科技(深圳)有限公司 恶意文件识别方法、装置及存储介质
CN102831153B (zh) * 2012-06-28 2015-09-30 北京奇虎科技有限公司 一种选取样本的方法和装置
CN103679019B (zh) * 2012-09-10 2017-03-08 腾讯科技(深圳)有限公司 恶意文件识别方法及装置
CN103778371A (zh) * 2012-10-22 2014-05-07 腾讯科技(深圳)有限公司 一种监控插件安装的方法及终端
CN104714831B (zh) * 2015-03-31 2018-04-17 北京奇虎科技有限公司 一种检测虚拟机中的寄生进程的方法和装置
RU2617631C2 (ru) * 2015-09-30 2017-04-25 Акционерное общество "Лаборатория Касперского" Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере
CN106682493B (zh) * 2015-11-06 2019-08-27 珠海豹趣科技有限公司 一种防止进程被恶意结束的方法、装置及电子设备
CN105912935B (zh) 2016-05-03 2019-06-14 腾讯科技(深圳)有限公司 广告检测方法及广告检测装置
CN106548069B (zh) * 2016-07-18 2020-04-24 北京安天网络安全技术有限公司 一种基于排序算法的特征提取系统及方法
CN108804278A (zh) * 2017-05-04 2018-11-13 苏州睿途网络科技有限公司 一种软件监测系统及其商业模式
CN107590388B (zh) * 2017-09-12 2020-06-23 南方电网科学研究院有限责任公司 恶意代码检测方法和装置
CN110392081B (zh) * 2018-04-20 2022-08-30 武汉安天信息技术有限责任公司 病毒库推送方法及装置、计算机设备和计算机存储介质
CN110619211A (zh) * 2018-06-20 2019-12-27 深信服科技股份有限公司 一种基于动态特征的恶意软件识别方法、系统及相关装置
CN109460658B (zh) * 2018-11-16 2022-03-25 成都网域复兴科技有限公司 一种针对恶意勒索样本的检测方法
CN112395602B (zh) * 2019-08-15 2022-09-30 奇安信安全技术(珠海)有限公司 静态安全特征数据库的处理方法、装置及系统
CN111083043B (zh) * 2019-12-26 2021-11-23 中国科学院信息工程研究所 一种邮箱恶意自动转发行为识别方法及装置
CN112347479B (zh) * 2020-10-21 2021-08-24 北京天融信网络安全技术有限公司 恶意软件检测的误报纠正方法、装置、设备和存储介质
CN113688391A (zh) * 2021-08-31 2021-11-23 南方电网科学研究院有限责任公司 一种电力软件恶意代码监测方法、系统、设备和介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101140611A (zh) * 2007-09-18 2008-03-12 北京大学 一种恶意代码自动识别方法
CN101329711A (zh) * 2008-07-24 2008-12-24 成都市华为赛门铁克科技有限公司 一种计算机文件检测的方法及装置
CN101339596A (zh) * 2008-08-26 2009-01-07 腾讯科技(深圳)有限公司 一种对计算机软件系统进行保护的方法和装置
CN101645125A (zh) * 2008-08-05 2010-02-10 珠海金山软件股份有限公司 过滤以及监控程序的行为的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101140611A (zh) * 2007-09-18 2008-03-12 北京大学 一种恶意代码自动识别方法
CN101329711A (zh) * 2008-07-24 2008-12-24 成都市华为赛门铁克科技有限公司 一种计算机文件检测的方法及装置
CN101645125A (zh) * 2008-08-05 2010-02-10 珠海金山软件股份有限公司 过滤以及监控程序的行为的方法
CN101339596A (zh) * 2008-08-26 2009-01-07 腾讯科技(深圳)有限公司 一种对计算机软件系统进行保护的方法和装置

Also Published As

Publication number Publication date
CN101984450A (zh) 2011-03-09

Similar Documents

Publication Publication Date Title
CN101984450B (zh) 恶意代码检测方法和系统
CN105550583B (zh) 基于随机森林分类方法的Android平台恶意应用检测方法
CN105721416B (zh) 一种apt事件攻击组织同源性分析方法及装置
CN103473346B (zh) 一种基于应用程序编程接口的安卓重打包应用检测方法
CN101593253B (zh) 一种恶意程序判断方法及装置
CN110795732A (zh) 基于SVM的Android移动网络终端恶意代码的动静结合检测方法
CN107169355A (zh) 一种蠕虫同源性分析方法和装置
CN116303290B (zh) 一种office文档检测方法及装置、设备及介质
CN110362996B (zh) 一种离线检测PowerShell恶意软件的方法与系统
CN107679403A (zh) 一种基于序列比对算法的勒索软件变种检测方法
CN113542060B (zh) 一种基于设备通信数据特征的异常设备检测方法
CN111914257A (zh) 文档检测的方法、装置、设备、及计算机存储介质
CN112257076A (zh) 一种基于随机探测算法和信息聚合的漏洞检测方法
CN111460447A (zh) 恶意文件检测方法、装置、电子设备与存储介质
WO2019242441A1 (zh) 一种基于动态特征的恶意软件识别方法、系统及相关装置
CN103093619A (zh) 基于智能交通系统的交通评价方法及装置
CN108229168B (zh) 一种嵌套类文件的启发式检测方法、系统及存储介质
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质
CN105897751A (zh) 威胁情报的生成方法及装置
CN110647747B (zh) 一种基于多维相似度的虚假移动应用检测方法
CN112559595A (zh) 安全事件挖掘方法、装置、存储介质及电子设备
CN112468509A (zh) 一种基于深度学习技术的流量数据自动检测方法及装置
CN105095752B (zh) 病毒数据包的识别方法、装置及系统
CN112163217B (zh) 恶意软件变种识别方法、装置、设备及计算机存储介质
CN103001848B (zh) 垃圾邮件过滤方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP02 Change in the address of a patent holder

Address after: 100190 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16

Patentee after: Beijing Antiy Electronic Installation Co., Ltd.

Address before: 100085 No. 1, Nongda South Road, Beijing, Haidian District

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address

Address after: 100190 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Patentee after: Beijing ahtech network Safe Technology Ltd

Address before: 100190 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16

Patentee before: Beijing Antiy Electronic Installation Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Malicious code detection method and system

Effective date of registration: 20181119

Granted publication date: 20121024

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990001084

Denomination of invention: Malicious code detection method and system

Effective date of registration: 20181119

Granted publication date: 20121024

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: Beijing ahtech network Safe Technology Ltd

Registration number: 2018990001084

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20200508

Granted publication date: 20121024

Pledgee: Shanghai Pudong Development Bank Limited by Share Ltd Harbin branch

Pledgor: BEIJING ANTIY NETWORK TECHNOLOGY Co.,Ltd.

Registration number: 2018990001084

PC01 Cancellation of the registration of the contract for pledge of patent right