CN103679025B - 一种基于树突细胞算法的恶意代码检测方法 - Google Patents

一种基于树突细胞算法的恶意代码检测方法 Download PDF

Info

Publication number
CN103679025B
CN103679025B CN201310624206.7A CN201310624206A CN103679025B CN 103679025 B CN103679025 B CN 103679025B CN 201310624206 A CN201310624206 A CN 201310624206A CN 103679025 B CN103679025 B CN 103679025B
Authority
CN
China
Prior art keywords
dendritic cell
value
mcav
signal
malicious code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201310624206.7A
Other languages
English (en)
Other versions
CN103679025A (zh
Inventor
王汝传
李鹏
戴秋玉
徐鹤
黄海平
肖甫
蒋凌云
徐佳
沙超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Post and Telecommunication University
Original Assignee
Nanjing Post and Telecommunication University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Post and Telecommunication University filed Critical Nanjing Post and Telecommunication University
Priority to CN201310624206.7A priority Critical patent/CN103679025B/zh
Publication of CN103679025A publication Critical patent/CN103679025A/zh
Application granted granted Critical
Publication of CN103679025B publication Critical patent/CN103679025B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Abstract

本发明提出了一种基于树突细胞算法的恶意代码检测方法,主要对树突细胞算法进行了改进,解决了应用树突细胞算法进行恶意代码监测时信号的产生与分类问题;通过成熟环境抗原值<i>MCAV</i>与异常阈值进行数值的大小比较:如果成熟环境抗原值MCAV大于异常阈值,则判定进程非法;如果成熟环境抗原值MCAV小于异常阈值,则判定进程合法。该方法提高恶意代码的检测效率及降低误报率并且实现对未知病毒的检测。较之其他检测方法,该方法模拟生物免疫系统的工作原理,可以更好的解决恶意代码检测问题。

Description

一种基于树突细胞算法的恶意代码检测方法
技术领域
本发明提出了一种基于树突细胞算法的恶意代码检测方法,主要对树突细胞算法进行了改进,解决了应用树突细胞算法进行恶意代码监测时信号的产生与分类问题,属于信息安全领域问题。
背景技术
随着通信网络技术的飞速发展,基于IP的分组交换网日益发展壮大,给整个社会带来了日新月异的变化,然而网络技术的飞速发展也带来了很多安全问题。其中,恶意代码对社会、经济及军事造成的损失占有最大的比例。恶意代码是一段经过存储介质和网络进行传播,从一台计算机系统到另外一台计算机系统,未经授权认证破坏计算机系统完整性的程序或代码。它包括计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、恶意移动代码、后门等。从第一个病毒产生至今,恶意代码的数量与危害都得到了极大的发展。以网络为主要传播途径,恶意代码向智能化、人性化、隐蔽化、多样化、网络化和主动攻击性方向发展,其破坏性也更强。恶意代码已经成为信息战的主要攻击手段之一,网络安全问题已经上升到了国家安全的高度。因此,恶意代码的检测与查杀得到极大的关注。
目前常用防火墙、入侵检测系统、杀毒软件、后门补丁等工具来防治恶意代码。这些工具对于防范恶意代码入侵和查杀恶意代码起到了重要的作用,但是也存在一些不足之处。例如,防火墙在控制不安全服务、控制站点访问、记录日志等方面取得了巨大的成功,但是对于已经进入内部的恶意代码或者后门就无能为力了。入侵检测系统与杀毒软件都不能查杀未知病毒,而且需要的计算开销相对较高。由于生物免疫系统与计算机安全问题的类同性,人们试图用生物免疫的思想与机制来处理各种计算机安全问题。
计算机免疫技术是人工免疫学在计算机及网络安全方面的应用,其目的是为计算机提供模拟人类生物学的高级免疫系统,从而解决病毒防御、网络入侵、异常检测等计算机安全问题。目前,基于计算机免疫技术的研究主要集中在基于自体/非自体识别(Self/NonselfDiscrimination,SNSD),基于危险理论(DangerTheory,DT)及树突细胞算法(DendriticCellAlgorithm,DCA)三个方面。自体/非自体识别理论是最早提出的免疫学经典理论,危险理论最初是由PollyMatzinger于1994年提出的,相比于前者,危险模型能够更好的解释生物免疫中的绝大多数问题,也更适合将其应用于计算机安全方面。而树突细胞算法是在危险理论的基础上,根据人类免疫系统中树突细胞的功能抽象出来的,对免疫系统各部分都有了更明确的定义,但DCA算法也存在一些局限性:首先,算法建立在系统已知输入信号类型的情况下,对系统如何判定信号类型方面的研究较少,而普遍假设信号由“专业”的细胞检测和判定。其次,使用加权求和公式来模拟生物信号转换机制建模,并且采用的权值是经验数据,虽然减少了计算开销,但是过于简单,不能准确的反映信号的融合。第三,DCA中随机为各个DC分配阈值,阈值的不合理可能导致DC检测失败。也就是说,如果阈值过大,DC累计的CSM(Co-StimulatoryMolecules,协同刺激分子)值无法超过阈值,导致DC细胞无法分化。相反地,如果阈值过小,DC更新频率过快,增加计算强度。
综上,研究基于计算机免疫的恶意代码检测技术具有以下几点意义:首先,通过免疫技术,可以解决当前计算机安全技术存在的问题。例如,利用免疫技术检测未知病毒,可以很好地弥补安全策略和计算机安全漏洞等安全防护措施存在的弊端。计算机免疫系统可以很好地解决计算机后门的安全漏洞,因为在计算机免疫系统中,对不同途径的入侵,免疫系统的反应机制是相同的。其次,计算机免疫技术可以克服安全系统本身所存在的漏洞。传统的安全系统如杀毒软件对于那些具有反制功能的恶意代码将无能为力,而计算机免疫系统把计算机作为一个整理来保护,计算机免疫系统也被作为被防护的一部分,保护计算机其他系统安全的同时能够识别那些破坏计算机免疫系统工作的入侵,作出警示或生成相应的免疫细胞以修补计算机免疫系统存在的漏洞。
发明内容
技术问题:本发明的目的是提出一种基于树突细胞算法的恶意代码检测方法,以提高恶意代码的检测效率及降低误报率并且实现对未知病毒的检测。较之其他检测方法,该方法模拟生物免疫系统的工作原理,可以更好的解决恶意代码检测问题。
技术方案:本发明的一种基于树突细胞算法的恶意代码检测方法具体如下:
分布于计算机的树突细胞监视计算机系统的运行情况,当检测到系统有新的进程创建时,激活检测程序;
首先,树突细胞DC以某一采集频率记录该进程运行期间的系统状态参数,包括:内存利用率、CPU利用率、注册表值的运行状态参数,系统异常报错、外部设备工作异常的系统的异常状态参数,端口、网络状况反映网络状态的系统参数,以及系统文件状态参数;每个树突细胞DC只提取一种类型的系统状态参数,每种类型的系统状态参数都定义了若干个树突细胞DC提呈;然后,基于支持向量机的信息分类器SVMSC以系统状态参数为输入,通过训练好的分类器产生“安全(+1)”、“危险(-1)”两类输出,最后,树突细胞分析器DCP以基于支持向量机的信息分类器SVMSC的输出结果为输入信号,计算输出信号,再以进程信息为依据,计算抗原环境,最终产生抗原的异常程度值,即成熟环境抗原值MCAV;通过成熟环境抗原值MCAV与异常阈值进行数值的大小比较:如果成熟环境抗原值MCAV大于异常阈值,则判定进程非法;如果成熟环境抗原值MCAV小于异常阈值,则判定进程合法。
所述恶意代码检测的具体步骤如下:
步骤1:初始化——设定的迁移阈值threshold1,树突细胞分析器DCP生命周期lifespan,异常阈值threshold2以及树突细胞DC数目m;
步骤2:树突细胞DC以某一采集频率记录该进程运行期间的系统状态参数,收集和检测包括内存利用率、CPU利用率、注册表值的系统运行状态参数、系统异常报错、外部设备工作异常的系统异常状态参数、端口、网络状况的反映网络状态的系统参数以及系统文件状态参数;
步骤3:树突细胞DC群纪录系统状态参数,检测进程的异常特征标志病原相关分子模式PAMP;
步骤4:基于支持向量机的信号分类器根据系统状态参数产生信号分类,也即产生危险信号DS,安全信号SS两类信号;
步骤5:树突细胞分析器DCP根据输入信号危险信号DS、安全信号SS、病原相关分子模式PAMP计算输出信号协同刺激分子CSM;
步骤6:计算异常程度值成熟环境抗原值MCAV;
步骤7:通过成熟环境抗原值MCAV与异常阈值进行数值的大小比较:如果成熟环境抗原值MCAV大于异常阈值,则判定进程非法;如果成熟环境抗原值MCAV小于异常阈值,则判定进程合法;
步骤8:提取恶意进程的异常特征标志,并写入异常特征标志库ASDB;
步骤9:
DC突触群和分类器模拟神经网络的工作模式,根据机体的标志库ASDB表现给出信号,激励免疫系统分析;DC分析器能完成免疫系统中的检测工作,对信号与抗原进行关联,给出警报并激励免疫响应结果。
有益效果:本发明方案提出了一种基于树突细胞算法的恶意代码检测方法,旨在解决树突细胞算法在恶意代码检测的实际应用中信号的产生与分类问题,同时提高检测的正确性与对未知恶意代码的检测能力。该方法主要具有如下优点:
(1)实时性:该模型是以事件为驱动的,由新进程的创建触发整个检测过程,实现了对恶意代码的实时监测。
(2)准确性:本方法引入了支持向量机神经网络,充分利用其计算简单、未知样本快速判断等优点,提高了树突细胞算法中信号分类的精确性,降低误报率。另外,本方法能很好的检测未知恶意代码,整体上提高了恶意代码检测的准确性。
(3)可行性:本方法通过对进程信息与行为的采集与提取,产生抗原与抗原环境,最后得到检测结果,无需研究人员或者用户的参与。相比启发式代码分析技术、行为监控法等检测方法,具有更好的可行性。
附图说明
图1是基于树突细胞算法的恶意代码检测模型。该模型是对本发明所提出的恶意代码检测方法各部件的建模,表明该方法中包含的各功能模块的结构及相互作用。
图2是树突细胞群的工作流程示意图。表示树突细胞群的工作原理及输出结果。
图3是基于树突细胞算法的恶意代码检测方法流程。该图描述了本文提出的检测方法的工作过程。
具体实施方式
本发明的设计方案强调检测的效率及误报率。前者主要通过在保证算法正确的前提下,对原算法参数进行有效约减、分析过程进行必要简化来实现;后者是在原DCA算法的基础上引入了系统状态参数、支持向量机等概念,通过解决基于DCA的恶意代码检测时信号的产生与分类问题。
该方法具体如下:
分布于计算机的树突细胞监视计算机系统的运行情况,当检测到系统有新的进程创建时,激活检测程序;
首先,树突细胞DC(DendriticCell,)以某一采集频率记录该进程运行期间的系统状态参数,包括:内存利用率、CPU利用率、注册表值等系统的运行状态参数;系统异常报错、外部设备工作异常等系统的异常状态参数;端口、网络状况等反映网络状态的系统参数;以及系统文件等系统文件状态参数。每个树突细胞DC只提取一种类型的系统状态参数,每种类型的系统状态参数都定义了若干个树突细胞DC提呈;然后,信号分类器SVMSC(SignalClassifierbasedonSupportVectorMachine,基于支持向量机的信息分类器)以系统状态参数为输入,通过训练好的分类器产生“安全(+1)”、“危险(-1)”两类输出,最后,树突细胞分析器DCP(DendriticCellProfiler,)以基于支持向量机的信息分类器SVMSC(SignalClassifierbasedonSupportVectorMachine,)的输出结果为输入信号,计算输出信号,再以进程信息为依据,计算抗原环境,最终产生抗原的异常程度值,即成熟环境抗原值MCAV(MatureContextAntigenValue,);通过成熟环境抗原值MCAV与异常阈值进行数值的大小比较:如果成熟环境抗原值MCAV大于异常阈值,则判定进程非法;如果成熟环境抗原值MCAV小于异常阈值,则判定进程合法。
所述恶意代码检测的具体步骤如下:
1.)初始化——设定的迁移阈值threshold1,树突细胞分析器DCP生命周期lifespan,异常阈值threshold2以及树突细胞DC数目m;
2.)树突细胞DC群纪录系统状态参数,检测进程的异常特征标志病原相关分子模式PAMP(PathogenAssociatedMolecularPattern,);
3.)基于支持向量机的信号分类器根据系统状态参数产生信号分类,也即产生危险信号DS(DangerSignal,),安全信号SS(SafeSignal,)两类信号;
4.)树突细胞分析器DCP根据输入信号危险信号DS、安全信号SS、病原相关分子模式PAMP计算输出信号协同刺激分子CSM(Co-StimulatoryMolecules,);
5.)计算异常程度值成熟环境抗原值MCAV,并据此判定进程的合法性;
6.)提取恶意进程的异常特征标志,并写入异常特征标志库ASDB(AbnormalSignDatabase,)。
1、系统结构
本发明在结构上主要分为以下三个部分:树突细胞群(DendriticCellGroup,DCG)、基于支持向量机的信号分类器(SignalClassifierbasedonSupportVectorMachine,SVMSC)和DC分析器(DendriticCellProfiler,DCP)。
DCG由一定数量的DC组成,负责监视计算机系统的运行情况。当系统创建新的进程时,DC以某一采集频率记录该进程运行期间的系统状态。根据恶意代码运行时的症状及对系统的影响共定义了8个参数来描述反映系统运行状态的参数(称为系统状态参数),分别是内存利用率、CPU利用率、文件、注册表值、端口、网络状况、系统异常报错及外部设备工作异常。每个DC只提取一种类型的系统状态参数,每种类型的系统状态参数都定义了若干个DC提呈,这样做可以避免由于某个DC提呈错误引起的错检,从而提高系统的正确性。DCG的提成结果可以由三元组(系统时间,进程ID,系统状态参数)表示。
信号分类器SVMSC以系统状态参数为输入,通过训练好的分类器产生“安全(+1)”、“危险(-1)”两类输出。
DCP以SVM分类器输出的信号以及进程信息为依据,根据DCA算法思想计算抗原环境,最终产生抗原的异常程度值MCAV(MatureContextAntigenValue,成熟环境抗原值)。
DC突触群和分类器模拟神经网络的工作模式,根据机体的表现给出信号,激励免疫系统分析;DC分析器能完成免疫系统中的检测工作,对信号与抗原进行相关,给出警报并激励免疫响应。
2、方法流程
1.初始化。为各树突细胞设定统一的迁移阈值threshold1,为DC分析器设定统一的生命周期lifespan以及异常阈值threshold2
2.使用样本数据库训练信号分类器SVMSC。
◆输入样本库中的两类训练样本向量(Xi,Yi)(i=1,2,…,N,X∈Rn,Y∈{-1,+1}),+1表示安全,-1表示危险。其中Xi是一个向量,由上述的系统状态参数组成,Yi为抽样时刻的信号类型。
◆使用二次核函数作为信号分类器的和函数。
◆利用二次规划方法求解目标函数
max W ( &alpha; ) = &Sigma; i = 1 N &alpha; i - 1 2 &Sigma; i = 1 N &Sigma; j = 1 N &alpha; i Y i &alpha; j Y j K ( X i &CenterDot; X j )
s . t . &Sigma; i = 1 N &alpha; i Y i = 0 ,
αi∈[0,C],i=1,...,N,
的最优解,得到最优Lagrange乘子α*
◆利用样本库中的一个支持向量Xi,可求得判决函数
f ( X ) = sgn ( &Sigma; i = 1 N &alpha; i Y i K ( X i &CenterDot; X ) + b )
中的偏差值b*
3.触发树突细胞群。当有新的进程被创建时,就触发树突细胞群进行检测。树突细胞群一方面记录进程的相关信息,另一方面以一定频率提取此时的系统状态参数并将整合的系统状态参数写入数据库供其后的模块分析。同时检查进程的异常特征
4.信号产生及分类。
◆信号分类器以约定的频率读取系统状态参数库中的新数据作为待测样本。
◆利用2中训练好的Lagrange乘子α*,偏差值b*和核函数,根据判决函数对待测样本进行分类。
◆同时检查进程的异常特征标志,若有则产生PAMP(PathogenAssociatedMolecularPattern,病原相关分子模式)信号。
5.进程分析。
◆收集4中信号分类器的输出结果及对进程异常特征的检测结果,转化为输入信号SS,DS或PAMP。
◆将DC提取的进程信息转化为抗原形式进行识别。
◆利用信号加权公式 Output = ( P w * &Sigma; i P i + D w * &Sigma; i D i + S w * &Sigma; i S i ) * ( 1 + IC ) 计算生命周期内各输出信号的累计值。此求和公式运行3次,每次得到一个输出信号,分别为CSM,semi-mature和mature。若生命周期内CSM值<迁移阈值,则本次检测结束;否则,比较semi-mature和mature的值,若semi-mature>mature,则抗原环境为0;否则抗原环境为1,成熟树突细胞数mDC增加。
◆利用公式MCAV=mDC/Ag计算抗原的MCAV值并与异常阈值进行比较。若MCAV>异常阈值,则产生危险警报,同时提取进程的异常特征标志并写入系统异常特征标志库;否则表明该进程是安全的,更新DC群以进行下一次检测。
为了方便描述,我们假定恶意程序svchost.exe企图在主机上运行以感染主机,本方法的具体实施步骤如下:
步骤1:系统检测到有新的进程运行,激活检测程序并完成DC群的初始化。
步骤2:提取进程信息,(进程ID,进程名,用户,描述)。
步骤3:设定用于检测的DC突触数目m。每个DC记录系统状态参数,并将整合的系统状态参数写入数据库。
步骤4:信号分类器SVMSC以一定频率读取数据库新纪录,并进行信号分类。
同时,检测进程的异常特征标志PAMP。
步骤5:DC分析器采集步骤4的输出,进行信号融合,产生输出信号CSM,semi-mature和mature。
步骤6:比较CSM与迁移阈值。若CSM<threshold1则表明本次检测不足以作为判断依据,执行步骤3。否则执行步骤7。
步骤7:比较semi-mature和mature值。若mature>semi-mature,则成熟DC数mDC加一,若还未收集到m个检测结果则执行步骤4。否则执行步骤8
步骤8:计算MCAV值,以此判定进程是否运行正常。
步骤9:判定。若MCAV>threshold2,表明进程异常,立刻终止进程并给出报警,执行步骤10。否则,终止恶意代码检测程序。
步骤10:提取进程异常特征标志PAMP,并写入异常特征标志库ASDB(AbnormalSignDatabase,异常特征标志库)。

Claims (2)

1.一种基于树突细胞算法的恶意代码检测方法,其特征在于该方法具体如下:
分布于计算机的树突细胞监视计算机系统的运行情况,当检测到系统有新的进程创建时,激活检测程序;
首先,树突细胞DC以某一采集频率记录该进程运行期间的系统状态参数,包括:内存利用率、CPU利用率、注册表值等系统的运行状态参数,系统异常报错、外部设备工作异常等系统的异常状态参数,端口、网络状况等反映网络状态的系统参数,以及系统文件状态参数;每个树突细胞DC只提取一种类型的系统状态参数,每种类型的系统状态参数都定义了若干个树突细胞DC提呈;然后,基于支持向量机的信息分类器SVMSC以系统状态参数为输入,通过训练好的分类器产生“安全(+1)”、“危险(-1)”两类输出,最后,树突细胞分析器DCP以基于支持向量机的信息分类器SVMSC的输出结果为输入信号,计算输出信号,再以进程信息为依据,计算抗原环境,最终产生抗原的异常程度值,即成熟环境抗原值MCAV;通过成熟环境抗原值MCAV与异常阈值进行数值的大小比较:如果成熟环境抗原值MCAV大于异常阈值,则判定进程非法;如果成熟环境抗原值MCAV小于异常阈值,则判定进程合法。
2.根据权利要求1所述的基于树突细胞算法的恶意代码检测方法,其特征在于所述恶意代码检测的具体步骤如下:
步骤1:初始化——设定的迁移阈值threshold 1 ,树突细胞分析器DCP生命周期,异常阈值threshold 2 以及树突细胞DC数目;
步骤2:树突细胞DC以某一采集频率记录该进程运行期间的系统状态参数,收集和检测包括内存利用率、CPU利用率、注册表值等系统的运行状态参数、系统异常报错、外部设备工作异常等系统异常状态参数、端口、网络状况等反映网络状态的系统参数以及系统文件状态参数;
步骤3:树突细胞DC群纪录系统状态参数,检测进程的异常特征标志病原相关分子模式PAMP;
步骤4:基于支持向量机的信号分类器根据系统状态参数产生信号分类,也即产生危险信号DS,安全信号SS两类信号;
步骤5:根据输入信号危险信号DS、安全信号SS、病原相关分子模式PAMP,树突细胞分析器DCP计算输出信号协同刺激分子CSM;
步骤6:计算异常程度值成熟环境抗原值MCAV
步骤7:通过成熟环境抗原值MCAV与异常阈值进行数值的大小比较:如果成熟环境抗原值MCAV大于异常阈值,则判定进程非法;如果成熟环境抗原值MCAV小于异常阈值,则判定进程合法;
步骤8:提取恶意进程的异常特征标志,并写入异常特征标志库ASDB;
步骤9:DC突触群和分类器模拟神经网络的工作模式,根据机体的标志库ASDB表现给出信号,激励免疫系统分析;DC分析器能完成免疫系统中的检测工作,对信号与抗原进行关联,给出警报并激励免疫响应结果。
CN201310624206.7A 2013-11-26 2013-11-26 一种基于树突细胞算法的恶意代码检测方法 Expired - Fee Related CN103679025B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310624206.7A CN103679025B (zh) 2013-11-26 2013-11-26 一种基于树突细胞算法的恶意代码检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310624206.7A CN103679025B (zh) 2013-11-26 2013-11-26 一种基于树突细胞算法的恶意代码检测方法

Publications (2)

Publication Number Publication Date
CN103679025A CN103679025A (zh) 2014-03-26
CN103679025B true CN103679025B (zh) 2016-06-15

Family

ID=50316535

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310624206.7A Expired - Fee Related CN103679025B (zh) 2013-11-26 2013-11-26 一种基于树突细胞算法的恶意代码检测方法

Country Status (1)

Country Link
CN (1) CN103679025B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9473525B2 (en) * 2014-09-30 2016-10-18 The Boeing Company Dynamic loading and configuation of threat detectors based on feedback from other nodes
CN104239785B (zh) * 2014-09-30 2017-02-15 中国人民解放军国防科学技术大学 基于云模型的入侵检测数据划分方法
CN104809069A (zh) * 2015-05-11 2015-07-29 中国电力科学研究院 一种基于集成神经网络的源代码漏洞检测方法
CN106022134B (zh) * 2016-06-01 2018-12-18 吉首大学 一种设定入侵检测dca算法权值的方法
CN109697358A (zh) * 2018-11-05 2019-04-30 国网浙江省电力有限公司 基于虚拟化的应用可信保障方法
US11075934B1 (en) 2021-02-17 2021-07-27 King Abdulaziz University Hybrid network intrusion detection system for IoT attacks
CN114244599B (zh) * 2021-12-15 2023-11-24 杭州默安科技有限公司 一种干扰恶意程序的方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102123062A (zh) * 2011-04-22 2011-07-13 西安电子科技大学 基于树突细胞算法的网络数据异常检测方法
CN102243699A (zh) * 2011-06-09 2011-11-16 深圳市安之天信息技术有限公司 一种恶意代码检测方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2454714C1 (ru) * 2010-12-30 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102123062A (zh) * 2011-04-22 2011-07-13 西安电子科技大学 基于树突细胞算法的网络数据异常检测方法
CN102243699A (zh) * 2011-06-09 2011-11-16 深圳市安之天信息技术有限公司 一种恶意代码检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
通信网络恶意代码及其应急响应关键技术研究;李鹏;《中国博士学位论文全文数据库 信息科技辑 》;20130615(第6期);全文 *

Also Published As

Publication number Publication date
CN103679025A (zh) 2014-03-26

Similar Documents

Publication Publication Date Title
CN103679025B (zh) 一种基于树突细胞算法的恶意代码检测方法
Shitharth An enhanced optimization based algorithm for intrusion detection in SCADA network
Sun et al. Intrusion detection for cybersecurity of smart meters
CN105471882A (zh) 一种基于行为特征的网络攻击检测方法及装置
CN103077347B (zh) 一种基于改进核心向量机数据融合的复合式入侵检测方法
CN112333194B (zh) 基于gru-cnn的综合能源网络安全攻击检测方法
CN110390357A (zh) 一种基于边信道的dtu安全监测方法
CN102768638B (zh) 基于状态转移图的软件行为可信性检测方法
CN106713354A (zh) 一种基于不可检测信息攻击预警技术的电力信息物理系统脆弱性节点评估方法
CN105205396A (zh) 一种基于深度学习的安卓恶意代码检测系统及其方法
Hu et al. Quantitative method for network security situation based on attack prediction
CN105577685A (zh) 云计算环境中的自主分析入侵检测方法及系统
CN105868629B (zh) 一种适用于电力信息物理系统的安全威胁态势评估方法
CN106850558A (zh) 基于季节模型时间序列的智能电表状态异常检测方法
CN103927483A (zh) 用于检测恶意程序的判定模型及恶意程序的检测方法
CN103617393A (zh) 一种基于支持向量机的移动互联网恶意应用软件检测方法
CN106792883A (zh) 传感器网络异常数据检测方法与系统
CN111383128A (zh) 一种用于监测电网嵌入式终端设备运行状态的方法及系统
CN101588358B (zh) 基于危险理论和nsa的主机入侵检测系统及检测方法
CN104836805A (zh) 基于模糊免疫理论的网络入侵检测方法
Chen et al. Multi-level adaptive coupled method for industrial control networks safety based on machine learning
CN107612927B (zh) 电力调度自动化系统的安全检测方法
Xu et al. Detecting false data injection attacks in smart grids with modeling errors: A deep transfer learning based approach
CN109547496B (zh) 一种基于深度学习的主机恶意行为检测方法
CN116881958A (zh) 电网大数据安全防护方法、系统、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20140326

Assignee: Jiangsu Nanyou IOT Technology Park Ltd.

Assignor: NANJING University OF POSTS AND TELECOMMUNICATIONS

Contract record no.: 2016320000218

Denomination of invention: Malicious code detection method based on dendritic cell algorithm

Granted publication date: 20160615

License type: Common License

Record date: 20161118

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
EC01 Cancellation of recordation of patent licensing contract
EC01 Cancellation of recordation of patent licensing contract

Assignee: Jiangsu Nanyou IOT Technology Park Ltd.

Assignor: NANJING University OF POSTS AND TELECOMMUNICATIONS

Contract record no.: 2016320000218

Date of cancellation: 20180116

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160615

Termination date: 20211126