CN102955912A - 一种程序恶意属性判别方法和服务器 - Google Patents

一种程序恶意属性判别方法和服务器 Download PDF

Info

Publication number
CN102955912A
CN102955912A CN2011102431215A CN201110243121A CN102955912A CN 102955912 A CN102955912 A CN 102955912A CN 2011102431215 A CN2011102431215 A CN 2011102431215A CN 201110243121 A CN201110243121 A CN 201110243121A CN 102955912 A CN102955912 A CN 102955912A
Authority
CN
China
Prior art keywords
malicious act
program
sample
value
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011102431215A
Other languages
English (en)
Other versions
CN102955912B (zh
Inventor
王洪彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Tencent Cloud Computing Beijing Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN2011102431215A priority Critical patent/CN102955912B/zh
Priority to PCT/CN2012/076594 priority patent/WO2013026304A1/zh
Priority to US14/114,829 priority patent/US20140053266A1/en
Priority to JP2014509600A priority patent/JP5700894B2/ja
Priority to EP20120825035 priority patent/EP2696304A4/en
Publication of CN102955912A publication Critical patent/CN102955912A/zh
Application granted granted Critical
Publication of CN102955912B publication Critical patent/CN102955912B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例公开了一种程序恶意属性判别方法和服务器,该方法包括:获取所述程序在客户端的行为数据;根据所述程序的行为数据和本地存储的样本数据,获得所述程序的恶意行为和恶意行为值,其中,所述样本数据中包括恶意程序样本集合和非恶意程序样本集合,所述恶意行为值反映所述恶意行为的恶意程度;根据所述程序的恶意行为或/和恶意行为值判断所述程序的恶意属性。采用本发明,可以对后台无相同样本的上报文件判断其恶意属性。

Description

一种程序恶意属性判别方法和服务器
技术领域
本发明涉及互联网通信领域,尤其涉及一种程序恶意属性判别方法和服务器。
背景技术
现有的查毒程序中,如电脑管家的木马云查功能,只有20%左右的独立上报文件(独立上报文件是指客户端上报的被查杀的互不相同的文件,)是可以确定黑白属性的。剩下的80%的独立上报文件中,有50%是灰的独立上报文件,即查毒后台中存储有这些文件的相同样本,但是没有通过杀毒软件集的扫描确定出属性是黑还是白(即,文件是否有毒);剩下的30%的独立上报文件是在查毒后台根本没有相同的样本文件存在,也不能够进行杀毒软件集的扫描,进行属性判断。
从上述描述可以看出,当前的木马云查技术,通过收集参与允差计划的用户上传上来的可疑pe文件,将这些可疑pe文件通过杀毒软件进行扫描,根据预先指定的扫描规则来得到待扫描pe文件的黑白灰属性。
但是,这个方法的缺点在于:若后台不存在上报文件的对应样本,当用户来进行云查的时候,得不到黑白灰属性;另外有一部分pe文件,虽然后台存在这些pe文件,但是通过现有的扫描模型,不能够得到它的黑白灰属性。
发明内容
本发明实施例所要解决的技术问题在于,提供一种程序恶意属性判别方法和服务器。可以对后台无相同样本的上报文件判断其恶意属性。
为了解决上述技术问题,本发明实施例提供了一种程序恶意属性判别方法,包括:
获取所述程序在客户端的行为数据;
根据所述程序的行为数据和本地存储的样本数据,获得所述程序的恶意行为和恶意行为值,其中,所述样本数据中包括恶意程序样本集合和非恶意程序样本集合,所述恶意行为值反映所述恶意行为的恶意程度;
根据所述程序的恶意行为或/和恶意行为值判断所述程序的恶意属性。
相应地,本发明实施例还提供了一种程序恶意属性判别服务器,包括:
客户数据获取单元,用于获取所述程序在客户端的行为数据;
行为数据获取单元,用于根据所述程序的行为数据和本地存储的样本数据,获得所述程序的恶意行为和恶意行为值,其中,所述样本数据中包括恶意程序样本集合和非恶意程序样本集合,所述恶意行为值反映所述恶意行为的恶意程度;
判定单元,用于根据所述程序的恶意行为或/和恶意行为值判断所述程序的恶意属性。
在本发明实施例中,获取程序的行为数据,在根据后台的其他样板数据判断程序的这些行为中那些是恶意行为,进而可以判断出程序的恶意属性;因此,本发明实施例可以在后台没有相同样本的情况下,判断出程序的恶意属性,提高系统的查毒效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中的程序恶意属性判别方法的一个具体流程示意图;
图2是本发明实施例中的判定程序恶意属性的一个具体流程示意图;
图3是本发明实施例中的程序恶意属性判别服务器的一个具体组成示意图;
图4是本发明实施例中的程序恶意属性判别服务器的另一个具体组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中,获取程序在客户端发生的行为数据,同时,在查毒后台的已有程序样本中,根据已有样本定义出各种恶意行为和恶意行为值,在获得客户端发来的程序的行为数据后,就可以判断程序中是否有恶意行为以及该恶意行为的恶意行为值,从而实现程序的恶意属性的判断。
如图1所示,为本发明实施例中的程序恶意属性判别方法,该方法包括如下步骤。
100、根据所述本地存储的样本数据获得恶意行为集合,并获得所述恶意行为集合中的恶意行为的恶意行为值。本步骤为可选,即系统可以预先根据样本数据定义出哪些行为是恶意行为,及其恶意程度。
本步骤为一样本训练过程,具体可以采用多种样本训练方式确定行为的恶意性,如加权法等等。在本发明实施例中还提供了一种具体的样本训练方式如下所描述。
首先:训练过程中,确定每一个用户行为的属性是恶意还是正常。提取正反属性行为的方法有很多:基于频率提取,卡方统计量,信息增益等。这些方法最早是用在文本过滤中,如在本发明的一些具体实施例中使用了这些特征提取算法的思想:所有这些方法的共性都是提取出最能够代表某一类别的用户行为。基于共同的原理,本发明实施例采用了基于指定行为在恶意样本集合和正常样本集合中出现的次数差值这个简单的方法,后续也可采用不同的特征提取方法来提取出不同属性的行为。
第二:对于每一个恶意行为进行打分。打分方法采用的就是
Actionevil=max(Actionpos-Actionneg)
通过一个用户行为在恶意pe文件和正常pe文件中出现的次数的差值,就初步得到该行为的分值。即,确定样本数据中的恶意程序样本集合(该集合中的程序已确定为恶意程序)和非恶意程序样本集合(该集合中的程序已确定为非恶意程序)中的样本数量相同,所述恶意行为根据上式选择,其中,Actionpos i表示恶意程序样本集合中发生行为i的频数,Actionneg i表示在非恶意程序样本集合中发生行为i的频数,当Actionevil i大于预定的阈值时,判定行为i为恶意行为。这样,对样本数据中的所有行为均进行判断,获得所有的恶意行为,形成一个恶意行为集合,并还可以对恶意行为进行赋值获得恶意行为值,该行为值是根据恶意程度设定的值。
上述方法的原理在于,发生某种客户端行为的频数,在两个集合中发生的频数的差值越大,那么这种客户端行为发生在恶意程序样本集合中的概率越高,证明该行为越危险,越具有高危性。
该恶意行为值还可以不断更新,即在测试过程中,确定恶意样本的过滤阈值。
第一:初始过滤阈值的确定,可采用本发明实施例中指定的方法对于所有的训练样本进行打分,判断所有的训练样本的恶意行为分值总和。依次指定一个初始的过滤阈值,测试的时候,当一个样本的恶意行为的打分的和超过训练样本指定的阈值的时候,就认定为黑样本
第二:本发明实施例中的方法具有很好的扩展性,当确定有新的恶意行为的时候,就可以把该恶意行为加入到恶意行为库中,并且指定一个初值。然后重新进行学习,确定该行为的分值。如,采用如下具体的学习过程。
随机抽取100个文件,这些文件都拥有待判定分值的用户行为,某一个行为,新的分值等于是原先的分值乘以变化率。所谓的变化率,可以是正数也可以是负数。如果今天100个文件中扫出是黑的样本比例大于昨天的,那么rate就是正数;反之,如果是扫黑率不断的降低,那么就认为这个行为的恶意率逐渐降低,rate就是负数。通过长期的运营,我们会给每一个恶意行为制定出一定合适的分数,并最终趋向稳定。
第三:为了达到最好的学习目的,可以采用不同的用户行为分类方法和打分策略,来进行学习,看哪种方法的过滤效果好,就采用哪种方法。
如,恶意行为值根据下式确定:
scorenew i=scoreold i×(1+ratei)
ratei=IsBlacktoday_rate i-IsBlackyesterday_rate i
scorenew i表示恶意行为i的新的恶意行为值,scoreold i表示恶意行为i的现有的恶意行为值,ratei表示恶意行为i变化率,IsBlacktoday_rate i表示当前记录(如当天的记录)的恶意行为i的恶意行为百分率,IsBlackyesterday_rate i表示前一次记录(如昨天的记录)的恶意行为i的恶意行为百分率。
一般来说,如果今天扫描出有恶意行为i的文件前10名中扫出是文件是恶意文件(黑文件)的样本比例(可称为扫黑率)大于昨天的,那么恶意行为i变化率rate就是正数;反之,如果是扫黑率不断的降低,那么就认为这个行为的恶意率逐渐降低,rate就是负数。
并且,在上述方法中,不仅可以提取出来恶意行为,也可以给白的行为进行打分,如果待判定文件的白属性分值加起来超过某一个阈值,就认定是白的。并且可以在实际使用过程中,不断更新恶意行为的判别策略和判别中的阈值。
101、获取所述程序在客户端的行为数据。该行为数据中可以仅仅是系统已定义过的行为的标识,也可以包括对行为的各种描述。
102、根据所述程序的行为数据和本地存储的样本数据,获得所述程序的恶意行为和恶意行为值,其中,所述样本数据中包括恶意程序样本集合和非恶意程序样本集合,所述恶意行为值反映所述恶意行为的恶意程度。
103、根据所述程序的恶意行为或/和恶意行为值判断所述程序的恶意属性。当然,本步骤中在判断程序的恶意属性时仅根据程序是否包括恶意行为来进行判断,只要有恶意行为或某种特定的恶意行为就判断该程序为恶意程序,这样,在前述步骤中也就只要获得程序的恶意行为就可以了,只是这样判断比较粗放,也可以按下述方式判断。
当所述程序的任一恶意行为值大于高危阈值时,判定所述程序为恶意程序;如,允许远程控制或者直接修改域名文件这类动作,可以直接把程序判定为恶意程序。
当所述程序没有任何一个恶意行为值大于高危阈值,但是所述程序的所有恶意行为的恶意行为值之和大于总恶意阈值时,判定所述程序为恶意程序。
如图2所示,为根据上述阈值判断程序属性的过程。可以理解的是,上述的阈值都可以根据实际情况进行调整。
本实施例中的上述方法可以作为现有的云查杀的一种补充,即,对于后台已有相同样本的程序,根据该样本的属性直接判断该程序的属性,而对于后台没有相同样本的程序,则可以根据上述方法判断程序的属性。则该方法可用于云引擎查毒系统中。
相应的,本发明实施例还提供了一种程序恶意属性判别服务器,如图3所示,该服务器3包括:客户数据获取单元30,用于获取所述程序在客户端的行为数据;行为数据获取单元32,用于根据所述程序的行为数据和本地存储的样本数据,获得所述程序的恶意行为和恶意行为值,其中,所述样本数据中包括恶意程序样本集合和非恶意程序样本集合,所述恶意行为值反映所述恶意行为的恶意程度;判定单元34,用于根据所述程序的恶意行为或/和恶意行为值判断所述程序的恶意属性。
其中,所述判定单元34,还用于当所述程序的任一恶意行为值大于高危阈值时,判定所述程序为恶意程序;当所述程序没有任何一个恶意行为值大于高危阈值,但是所述程序的所有恶意行为的恶意行为值之和大于总恶意阈值时,判定所述程序为恶意程序。
同时,该服务器3还可以进一步包括行为判断单元36,用于根据样本数据中的恶意程序样本集合和非恶意程序样本集合中的样本判断已有行为中哪些是恶意行为,或还包括恶意行为值。
若所述样本数据中的恶意程序样本集合和非恶意程序样本集合中的样本数量相同,则判断单元36,还用于根据样本数据中的恶意程序样本集合和非恶意程序样本集合中的样本和下式获得行为的恶意指数:
Actionevil i=(Actionpos i-Actionneg i)
Actionpos i表示恶意程序样本集合中发生行为i的频数,Actionneg i表示在非恶意程序样本集合中发生行为i的频数,Actionevil i表示恶意指数;
并当Actionevil i大于预定的阈值时,判定行为i为恶意行为。
该服务器3还可以进一步包括行为新恶意值获取单元38,用于根据现有的恶意行为值获取新的恶意行为值,所述恶意行为值根据下式确定:
scorenew i=scoreold i×(1+ratei)
ratei=IsBlacktoday_rate i-IsBlackyesterday_rate i
scorenew i表示恶意行为i的新的恶意行为值,scoreold i表示恶意行为i的现有的恶意行为值,ratei表示恶意行为i变化率,IsBlacktoday_rate i表示当前记录的恶意行为i的恶意行为百分率,IsBlackyesterday_rate i表示前一次记录的恶意行为i的恶意行为百分率。
如图4所示,为上述单元都包括的情况。
在本发明实施例中,获取程序的行为数据,在根据后台的其他样板数据判断程序的这些行为中那些是恶意行为,进而可以判断出程序的恶意属性;因此,本发明实施例可以在后台没有相同样本的情况下,判断出程序的恶意属性,提高系统的查毒效率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (10)

1.一种程序恶意属性判别方法,其特征在于,所述方法包括:
获取所述程序在客户端的行为数据;
根据所述程序的行为数据和本地存储的样本数据,获得所述程序的恶意行为和恶意行为值,其中,所述样本数据中包括恶意程序样本集合和非恶意程序样本集合,所述恶意行为值反映所述恶意行为的恶意程度;
根据所述程序的恶意行为或/和恶意行为值判断所述程序的恶意属性。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述本地存储的样本数据获得恶意行为集合,并获得所述恶意行为集合中的恶意行为的恶意行为值。
3.如权利要求2所述的方法,其特征在于,所述样本数据中的恶意程序样本集合和非恶意程序样本集合中的样本数量相同,所述恶意行为根据下式选择:
Actionevil i=(Actionpos i-Actionneg i)
Actionpos i表示恶意程序样本集合中发生行为i的频数,Actionneg i表示在非恶意程序样本集合中发生行为i的频数,当Actionevil i大于预定的阈值时,判定行为i为恶意行为。
4.如权利要求2所述的方法,其特征在于,所述恶意行为值根据下式确定:
scorenew i=scoreold i×(1+ratei)
ratei=IsBlacktoday_rate i-IsBlackyesterday_rate i
scorenew i表示恶意行为i的新的恶意行为值,scoreold i表示恶意行为i的现有的恶意行为值,ratei表示恶意行为i变化率,IsBlacktoday_rate i表示当前记录的恶意行为i的恶意行为百分率,IsBlackyesterday_rate i表示前一次记录的恶意行为i的恶意行为百分率。
5.如权利要求1至4中任一项所述的方法,其特征在于,根据所述程序的恶意行为或/和恶意行为值判断所述程序的恶意属性包括:
当所述程序的任一恶意行为值大于高危阈值时,判定所述程序为恶意程序;
当所述程序没有任何一个恶意行为值大于高危阈值,但是所述程序的所有恶意行为的恶意行为值之和大于总恶意阈值时,判定所述程序为恶意程序。
6.如权利要求1至4中任一项所述的方法,其特征在于,所述方法用于云引擎查毒系统中。
7.一种程序恶意属性判别服务器,其特征在于,所述服务器包括:
客户数据获取单元,用于获取所述程序在客户端的行为数据;
行为数据获取单元,用于根据所述程序的行为数据和本地存储的样本数据,获得所述程序的恶意行为和恶意行为值,其中,所述样本数据中包括恶意程序样本集合和非恶意程序样本集合,所述恶意行为值反映所述恶意行为的恶意程度;
判定单元,用于根据所述程序的恶意行为或/和恶意行为值判断所述程序的恶意属性。
8.如权利要求7所述的服务器,其特征在于,所述样本数据中的恶意程序样本集合和非恶意程序样本集合中的样本数量相同,所述服务器还包括行为判断单元,用于根据样本数据中的恶意程序样本集合和非恶意程序样本集合中的样本和下式获得行为的恶意指数:
Actionevil i=(Actionpos i-Actionneg i)
Actionpos i表示恶意程序样本集合中发生行为i的频数,Actionneg i表示在非恶意程序样本集合中发生行为i的频数,Actionevl i表示恶意指数;
所述行为判断单元用于当Actionevil i大于预定的阈值时,判定行为i为恶意行为。
9.如权利要求7所述的服务器,其特征在于,所述服务器还包括行为新恶意值获取单元,用于根据现有的恶意行为值获取新的恶意行为值,所述恶意行为值根据下式确定:
scorenew i=scoreold i×(1+ratei)
ratei=IsBlacktoday_rate i-IsBlackyesterday_rate i
scorenew i表示恶意行为i的新的恶意行为值,scoreold i表示恶意行为i的现有的恶意行为值,ratei表示恶意行为i变化率,IsBlacktoday_rate i表示当前记录的恶意行为i的恶意行为百分率,IsBlackyesterday_rate i表示前一次记录的恶意行为i的恶意行为百分率。
10.如权利要求7至9中任一项所述的服务器,其特征在于,所述判定单元,还用于当所述程序的任一恶意行为值大于高危阈值时,判定所述程序为恶意程序;当所述程序没有任何一个恶意行为值大于高危阈值,但是所述程序的所有恶意行为的恶意行为值之和大于总恶意阈值时,判定所述程序为恶意程序。
CN2011102431215A 2011-08-23 2011-08-23 一种程序恶意属性判别方法和服务器 Active CN102955912B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN2011102431215A CN102955912B (zh) 2011-08-23 2011-08-23 一种程序恶意属性判别方法和服务器
PCT/CN2012/076594 WO2013026304A1 (zh) 2011-08-23 2012-06-07 一种程序恶意属性判别方法和服务器
US14/114,829 US20140053266A1 (en) 2011-08-23 2012-06-07 Method and server for discriminating malicious attribute of program
JP2014509600A JP5700894B2 (ja) 2011-08-23 2012-06-07 プログラムの悪意属性の判別方法及び判別用サーバ
EP20120825035 EP2696304A4 (en) 2011-08-23 2012-06-07 METHOD AND SERVER OF PROGRAM MALIGNANT ATTRIBUTE DISCRIMINATION

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2011102431215A CN102955912B (zh) 2011-08-23 2011-08-23 一种程序恶意属性判别方法和服务器

Publications (2)

Publication Number Publication Date
CN102955912A true CN102955912A (zh) 2013-03-06
CN102955912B CN102955912B (zh) 2013-11-20

Family

ID=47745893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2011102431215A Active CN102955912B (zh) 2011-08-23 2011-08-23 一种程序恶意属性判别方法和服务器

Country Status (5)

Country Link
US (1) US20140053266A1 (zh)
EP (1) EP2696304A4 (zh)
JP (1) JP5700894B2 (zh)
CN (1) CN102955912B (zh)
WO (1) WO2013026304A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103714269A (zh) * 2013-12-02 2014-04-09 百度国际科技(深圳)有限公司 病毒的识别方法及设备
CN104252595A (zh) * 2013-06-28 2014-12-31 贝壳网际(北京)安全技术有限公司 应用程序的分析方法、装置和客户端
CN105468975A (zh) * 2015-11-30 2016-04-06 北京奇虎科技有限公司 恶意代码误报的追踪方法、装置及系统
CN108197471A (zh) * 2017-12-19 2018-06-22 北京神州绿盟信息安全科技股份有限公司 一种恶意软件检测方法及装置

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9405904B1 (en) * 2013-12-23 2016-08-02 Symantec Corporation Systems and methods for providing security for synchronized files
WO2016186902A1 (en) * 2015-05-20 2016-11-24 Alibaba Group Holding Limited Detecting malicious files
CN106295328B (zh) 2015-05-20 2019-06-18 阿里巴巴集团控股有限公司 文件检测方法、装置及系统
CN106295333B (zh) * 2015-05-27 2018-08-17 安一恒通(北京)科技有限公司 用于检测恶意代码的方法和系统
US9600682B2 (en) * 2015-06-08 2017-03-21 Accenture Global Services Limited Mapping process changes
US10176438B2 (en) * 2015-06-19 2019-01-08 Arizona Board Of Regents On Behalf Of Arizona State University Systems and methods for data driven malware task identification

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101593253A (zh) * 2009-06-22 2009-12-02 成都市华为赛门铁克科技有限公司 一种恶意程序判断方法及装置
CN101923617A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种基于云的样本数据库动态维护方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5675711A (en) * 1994-05-13 1997-10-07 International Business Machines Corporation Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses
US7487544B2 (en) * 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US7519998B2 (en) * 2004-07-28 2009-04-14 Los Alamos National Security, Llc Detection of malicious computer executables
CN101366039A (zh) * 2006-01-05 2009-02-11 株式会社知识潮 非法操作监视程序、非法操作监视方法以及非法操作监视系统
JP5083760B2 (ja) * 2007-08-03 2012-11-28 独立行政法人情報通信研究機構 マルウェアの類似性検査方法及び装置
JP5102659B2 (ja) * 2008-03-13 2012-12-19 エヌ・ティ・ティ・コミュニケーションズ株式会社 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム
US8904536B2 (en) * 2008-08-28 2014-12-02 AVG Netherlands B.V. Heuristic method of code analysis
JP2010073020A (ja) * 2008-09-19 2010-04-02 Iwate Univ コンピュータウィルス検出装置、処理方法、及びプログラム。
CN101388056B (zh) * 2008-10-20 2010-06-02 成都市华为赛门铁克科技有限公司 一种预防恶意程序的方法、系统及装置
JP2010134536A (ja) * 2008-12-02 2010-06-17 Ntt Docomo Inc パタンファイル更新システム、パタンファイル更新方法、及びパタンファイル更新プログラム
US8572746B2 (en) * 2010-01-21 2013-10-29 The Regents Of The University Of California Predictive blacklisting using implicit recommendation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101593253A (zh) * 2009-06-22 2009-12-02 成都市华为赛门铁克科技有限公司 一种恶意程序判断方法及装置
CN101923617A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种基于云的样本数据库动态维护方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104252595A (zh) * 2013-06-28 2014-12-31 贝壳网际(北京)安全技术有限公司 应用程序的分析方法、装置和客户端
CN104252595B (zh) * 2013-06-28 2017-05-17 贝壳网际(北京)安全技术有限公司 应用程序的分析方法、装置和客户端
CN103714269A (zh) * 2013-12-02 2014-04-09 百度国际科技(深圳)有限公司 病毒的识别方法及设备
US10229267B2 (en) 2013-12-02 2019-03-12 Baidu International Technology (Shenzhen) Co., Ltd. Method and device for virus identification, nonvolatile storage medium, and device
CN105468975A (zh) * 2015-11-30 2016-04-06 北京奇虎科技有限公司 恶意代码误报的追踪方法、装置及系统
CN108197471A (zh) * 2017-12-19 2018-06-22 北京神州绿盟信息安全科技股份有限公司 一种恶意软件检测方法及装置
CN108197471B (zh) * 2017-12-19 2020-07-10 北京神州绿盟信息安全科技股份有限公司 一种恶意软件检测方法及装置

Also Published As

Publication number Publication date
JP2014513368A (ja) 2014-05-29
EP2696304A4 (en) 2015-04-08
US20140053266A1 (en) 2014-02-20
CN102955912B (zh) 2013-11-20
JP5700894B2 (ja) 2015-04-15
WO2013026304A1 (zh) 2013-02-28
EP2696304A1 (en) 2014-02-12

Similar Documents

Publication Publication Date Title
CN102955912B (zh) 一种程序恶意属性判别方法和服务器
CN111428231B (zh) 基于用户行为的安全处理方法、装置及设备
Kingsley et al. Overstating and understating interaction results in international business research
CN103136471B (zh) 一种恶意Android应用程序检测方法和系统
CN108156166A (zh) 异常访问识别和接入控制方法及装置
CN103150509B (zh) 一种基于虚拟执行的病毒检测系统
CN104836781A (zh) 区分访问用户身份的方法及装置
CN106897930A (zh) 一种信用评估的方法及装置
CN109104421B (zh) 一种网站内容篡改检测方法、装置、设备及可读存储介质
US20220277174A1 (en) Evaluation method, non-transitory computer-readable storage medium, and information processing device
CN102867038A (zh) 文件类型的确定方法和装置
CN107888606A (zh) 一种域名信誉度评估方法及系统
CN114329455B (zh) 基于异构图嵌入的用户异常行为检测方法及装置
CN112818131A (zh) 一种威胁情报的图谱构建方法、系统及存储介质
CN106021552A (zh) 基于人群行为模拟的互联网爬虫并发数据采集方法及系统
CN114581694A (zh) 一种基于改进的支持向量机的网络安全态势评估方法
CN114187036A (zh) 一种基于行为特征识别的互联网广告智能推荐管理系统
CN109067778B (zh) 一种基于蜜网数据的工控扫描器指纹识别方法
CN104731937A (zh) 用户行为数据的处理方法及装置
CN110891071A (zh) 一种网络流量信息获取方法、装置及其相关设备
CN116484109B (zh) 基于人工智能的客户画像分析系统及方法
CN103605670B (zh) 一种用于确定网络资源点的抓取频率的方法和装置
Mc Evoy et al. A review of knowledge management in the public sector: A taxonomy
CN109492396B (zh) 基于语义分割的恶意软件基因快速检测方法和装置
CN115604032A (zh) 一种电力系统复杂多步攻击检测方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20190731

Address after: Shenzhen Futian District City, Guangdong province 518057 Zhenxing Road, SEG Science Park 2 East Room 403

Co-patentee after: Tencent cloud computing (Beijing) limited liability company

Patentee after: Tencent Technology (Shenzhen) Co., Ltd.

Address before: Shenzhen Futian District City, Guangdong province 518057 Zhenxing Road, SEG Science Park 2 East Room 403

Patentee before: Tencent Technology (Shenzhen) Co., Ltd.