CN103679030A - 一种基于动态语义特征的恶意代码分析检测方法 - Google Patents

一种基于动态语义特征的恶意代码分析检测方法 Download PDF

Info

Publication number
CN103679030A
CN103679030A CN201310682922.0A CN201310682922A CN103679030A CN 103679030 A CN103679030 A CN 103679030A CN 201310682922 A CN201310682922 A CN 201310682922A CN 103679030 A CN103679030 A CN 103679030A
Authority
CN
China
Prior art keywords
semantic feature
code
api
detected
codes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310682922.0A
Other languages
English (en)
Other versions
CN103679030B (zh
Inventor
贾晓启
李盟
王蕊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201310682922.0A priority Critical patent/CN103679030B/zh
Publication of CN103679030A publication Critical patent/CN103679030A/zh
Application granted granted Critical
Publication of CN103679030B publication Critical patent/CN103679030B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种基于动态语义特征的恶意代码分析检测方法,其步骤包括:1)将恶意样本库中待分析检测的代码动态运行于虚拟环境之中,监测其运行过程并提取出原始特征;2)筛选出代表该代码语义特征的API名称信息;3)建立代表该代码语义特征的API序列语义特征集合;4)选取具有代表性的语义特征建立语义特征库;5)将待检测代码的语义特征集合与语义特征库进行相似性检测,得出检测结果,即待检测代码是良性代码或恶意代码。本发明根据不同的样本可以建立不同的语义特征,具有很好的普适性,并提出了选取具有代表性特征的方法,能够较准确地表示代码的语义特征,对恶意代码的分析检测更加准确、检测成本更低。

Description

一种基于动态语义特征的恶意代码分析检测方法
技术领域
本发明属于系统安全技术领域,涉及一种恶意代码分析检测的方法,特别涉及基于代码动态特征提取和建模的恶意代码分析检测方法。
背景技术
随着计算机技术的快速发展,Internet给人们的生活工作带来了诸多便利并逐渐成为人们日常生活中不可或缺的一部分。如今人们在互联网上进行各种社交活动、商品交易,网络上存在着许多用户的隐私信息以及潜在的经济利益,这些吸引了众多恶意攻击者,他们利用各类技术手段来达到他们的目的,其中较常见的一种方式即是使用恶意软件。
凡是涉及强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑以及其他侵犯用户知情权和选择权的恶意行为等八种现象的软件都可以被认定为是恶意软件。一般来说,恶意代码是病毒、蠕虫、特洛伊木马、间谍软件、僵尸、rootkit等恶意软件的总称。
分析恶意代码的方法一般可分为静态分析方法与动态分析方法,两者的区别在于被分析的这段程序、软件是否需要执行。顾名思义,静态分析指的即是不需要执行程序这类情况。如采用反汇编等不执行恶意代码的分析方法对恶意代码进行分析,常用的如IDA静态分析工具,该工具可以让分析人员静态分析二进制代码。静态分析的优点是分析较为全面,但是对于采用了变形、混淆等代码变形技术的恶意代码却很难进行准确的分析。另外,恶意攻击者了解到静态分析方法的缺陷后,可以有针对性地编写能避开静态分析的恶意软件,所以进行恶意代码动态分析技术研究是很有必要的。
动态分析,指的是执行一个程序并对其运行过程中的活动进行分析。动态分析的方法有函数调用监控、函数参数分析、信息流追踪、指令追踪等多种方法,其中函数调用监控部分分为API(Application Programming Interface)监控、系统调用监控、Windows Native API监控。静态分析采用反汇编等方法分析代码特征,从语法特征的角度的确可以检测出部分恶意代码,但是语法无法从根本上反映出恶意代码的“恶意性”,不同的语法表达出的语义可以是相同的。故考虑从语义的角度入手,如监控代码运行时实际进行的函数调用,对于采用变形、混淆等技术改变其语法特征的恶意代码,仍然可以从其实际进行的函数调用监测出“恶意性”。因此,有必要提出一种针对语义特征的恶意代码特征选取和建模方法。
发明内容
针对恶意代码分析检测问题,本发明提出了一种基于动态语义特征的恶意代码分析检测方法。在对代码进行动态执行并监测其运行过程之后,可以得到以下特征:API名称、API参数名称、API参数值。本发明主要利用提取出的API名称对恶意代码进行检测。
本发明采用的技术方案如下:
一种基于动态语义特征的恶意代码分析检测方法,其步骤包括:
1)将恶意样本库中任意一个待检测代码动态运行于虚拟环境之中,同时监测其运行过程,并提取出原始特征;
2)根据提取出的原始特征筛选出能代表该待检测代码语义特征的API名称信息;
3)根据筛选出的API名称信息建立代表该待检测代码语义特征的数学模型,得到API序列语义特征集合;
4)从所有待检测代码的API序列语义特征集合中选取具有代表性的语义特征建立语义特征库;
5)将待检测代码的语义特征集合与所述语义特征库进行相似性检测,从而得出检测结果,即待检测代码是良性代码或恶意代码。
更进一步,提取出的原始特征包含的无关信息与所采用的提取方法、提取工具有关,对原始特征进行筛选指去除包括线程号、返回值、API调用参数值等在内的信息,原始特征经过筛选后所得的仅为该代码执行过程中调用的所有API的名称序列。
更进一步,每一个代码的语义特征数学模型,即API序列语义特征集合,其构成元素为多个依次相邻的API名称。
更进一步,建立语义特征库选取的具有代表性的语义特征,其代表性体现在集合元素在该集合中出现的频次上,即该元素在集合中出现得越多,认为越具有代表性。
更进一步,对所述的API序列语义特征集合的构造方法如下:
对监测代码动态运行所得的原始特征进行初步处理,得到API调用名称序列,该序列中任意的k个相邻的API都被当做一个元素,k的取值为正整数,所有这样的元素构成该代码的API序列语义特征集合。
更进一步,所述的语义特征库的构造方法如下:
从已有的API序列语义特征集合中,选取出出现得较多的元素,所有这些元素共同构成了语义特征库,语义特征库中每一个元素需要满足的条件是组成该元素的API名称个数为固定值,即k为固定值。
更进一步,所述检测方法中待测样本(即待检测代码)的语义特征集合选取如下:
根据某一语义特征库来检测待测样本时,待测样本的语义特征集合中的元素若存在于该语义特征库内,则检测中该元素起到区分作用,否则该元素不起作用。
更进一步,上述检测方法中待测样本(即待检测代码)的语义特征集合可通过如下方法构造:
当选定语义特征库时,待测样本的语义特征集合中仅包含既出现在语义特征库中又出现在该样本代码的API名称序列中的元素。
本发明的有益效果:
1.本发明根据不同的样本可以建立不同的语义特征,具有很好的普适性。
2.本发明基于代码语义特征,对代码进行动态监测,提取代码的API序列特征,建立语义特征库。
3.本发明考虑到了API序列语义特征的特点,针对API序列语义特征量大的问题,提出了选取具有代表性特征的方法,即选取出现频次高的特征。
综上,本发明提出的恶意代码语义特征分析检测方法,能够较准确地表示代码的语义特征,对恶意代码的分析检测更加准确、检测成本更低。
附图说明
图1为恶意代码语义特征分析检测方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实现本发明的一种具体实施方式如下,基于语义特征的恶意代码分析检测方法,其步骤为:
1)收集构建语义特征数据库所需的代码样本,并为动态运行恶意代码构建虚拟环境;
2)从上述搜集到的样本中选取样本,使其在虚拟环境中运行,并监测其运行过程,提取原始特征;
3)对监测代码动态运行所得的原始特征进行筛选,筛选出能代表该代码语义特征的所有API名称信息;
4)根据上述的API名称信息得出API序列语义特征集合,将API名称序列中相邻的多个API名称合并为同一个元素,该元素即为API序列语义特征集合中的元素;
5)利用API序列语义特征集合具有相同长度的元素构造语义特征库,这些元素是在相同长度元素中出现频率较大的元素;
6)基于已有的语义特征库,使用相似性检测对待测样本进行检测,从而判断其是否为恶意代码。
在本发明的一实施例中,代码样本指良性代码与恶意代码,其中恶意代码主要指现实中存在的恶意代码,如恶意代码源可以提供的恶意代码,另外也指重新构造的恶意代码。
在本发明的一实施例中,虚拟环境指的是能保护主机避免恶意代码运行带来的破坏的虚拟机,此处采用的虚拟机技术包括VirtualBox、VMWare、Xen等采用的技术。
在本发明的一实施例中,监测虚拟环境中运行的代码,使用第三方监测工具,如APIMonitor,对动态运行的代码进行实时监测,从而提取出原始特征。
在本发明的一实施例中,筛选原始特征是指对上述原始特征进行的处理,筛选的进行依赖于原始特征的形式,如果原始特征仅包含代码运行过程中调用的API名称序列信息,则不用进行筛选,否则筛选原始特征,去除非API名称的信息。
在本发明的一实施例中,某代码被监测得到的API名称序列信息为A1,A2,A3,…An,其中Ai(0<i<n+1,i为整数)为某API名称,则API序列语义特征集合中的元素形如A1A2A3,AiAi+1,其中前者为3个相邻API组成的语义特征,后者为2个相邻API组成的语义特征,本实施例中只需要使用3个相邻API组成的语义特征。
在本发明的一实施例中,根据API序列语义特征集合构造的语义特征库,使用的API序列语义特征元素均由相同数量的API组成,在本实施例数量为3,则语义特征库中的元素形如Ai-1AiAi+1
在本发明的一实施例中,语义特征库中的语义特征均为有代表性的语义特征,有代表性指的是能代表代码的良性或者恶意性,对于一个代码运行过程中产生的诸多API序列语义特征,出现次数越高,更准确地说,出现概率越大的API序列语义特征,被认为越具有代表性。所述的概率越大,比较对象为具有相同API名称数目的语义特征,即含3个API名称的元素仅与含3个API名称的元素作比较。
在本发明的一实施例中,选取的具有代表性的语义特征元素,其出现概率均达到了0.01,本概率的计算分子为该元素总共出现的次数,分母为所有具有3个相邻API名称的元素的个数。
在本发明的一实施例中,相似性检测过程使用的工具为Weka,使用了机器学习方法,分类器采用的是决策树J48。
图1是上述基于语义特征的恶意代码分析检测方法的流程示意图,对其各步骤详细说明如下:
1.提取代码样本的原始特征。
代码样本首先分为良性样本和恶意性样本,其中良性样本可以选取正规厂商开发的应用程序,恶意性样本可以从反病毒厂商或者网络上的恶意代码库获取。提取代码语义特征的前提是动态执行该代码,而为了避免恶意代码执行造成的破坏,需要构建虚拟环境。虚拟机环境可以有效防止虚拟机中运行的恶意代码对主机(host)造成破坏,同时通过快照功能还具有快速恢复的能力。在虚拟机中通过使用第三方工具直接监测代码的运行过程,获取代码运行过程中产生的原始特征。
2.对原始特征进行预处理,筛选API名称信息。
通常第三方工具在监测代码运行过程时获取的原始特征会包含较多信息,且这些信息并不是都具有语义性质,如监测执行API时,原始特征中可能会包含有API序号。所以原始特征需要经过预处理,去除以下信息:API序号、API调用时间、API调用时长、API调用参数值等,以上信息根据使用的第三方工具不同而有所变化,最终筛选得到的结果应该是代码执行产生的API调用名称序列。
3.对API名称信息进行数学建模,得到语义特征集合。
因为不同的API能够实现不同的行为,也即表达了代码的不同语义,对API调用名称序列进行数学建模,即对该序列进行语义分段。将某代码的API调用名称序列分为一小段一小段的语义特征,这些特征形如A4A5A6,A1A2,AiAi+1Ai+2...Ai+k(i,k均为正整数),这里的Ai即为某个API调用,取自API调用名称序列。实际根据构造语义特征库的需要,对k取一固定值即可,如3,那么所有的语义特征集合中的元素均为由3个相邻的API名称构成的。
4.从相同长度的语义特征中选取有代表性的语义特征,建立语义特征库。
由于单个代码在运行过程中就会产生成百上千个API调用,所以单个代码的语义特征集合中的元素数量也是相当大的。构建语义特征库,既要保证语义特征不局限在几个代码上,又要保证该特征库规模适中。所以最初选取样本时需要选择较多样本,而由此带来的大量语义特征需要进过处理,选取出其中的具有代表性的特征,即该语义特征能较大程度上反映原代码的恶意性或者良性。
对于每一个代码产生的语义特征集合,选择其中语义特征出现概率大于0.01的语义特征,将所有这类特征放入语义特征库。以上0.01的选取可以根据实际检测效果进行调整。
5.根据已有的语义特征库对待测样本进行相似性检测,判断样本是否为恶意代码。
当需要对一个待测样本进行恶意性检测时,先将其放入虚拟环境中监测其原始特征,并根据语义特征库构造其语义特征集合,该集合中的元素需要满足的条件是构成该元素的API数量应与语义特征库中元素的构成API数量相等。之后对集合中元素进行筛选,将其中同时也出现在语义特征库中的元素用于相似性检测,其他元素直接去除,因为这一部分元素被认为不具有代表性。
相似性检测使用的是机器学习方法,可以使用的分类器包括决策树、K近邻、朴素贝叶斯及贝叶斯网络、支持向量机等。通过调整分类器的配置参数,可以调整检测效果,使检测率更高。
实验结果:
分类器 TPR FPR 准确率 F1-Measure
决策树:J48 0.892 0.069 0.915 0.896
K近邻:K=3 0.843 0.493 0.87 0.813
上表中,TPR为True Positive Rate,即真阳性率,FPR为False Positive Rate,为假阳性率。F-Measure,用来综合衡量准确率Precison和召回率Recall(与TPR计算相同),是P和R的加权调和平均。用公式来表示即为F-Measure=[(a^2+1)*P*R]/[a^2*(P+R)],其中P表示准确率,R表示召回率,参数a取1时,表示最为常见的F1-Measure,F1=2PR/(P+R)。
由上表的检测结果可知,利用本发明中提出的特征建模方法可以对恶意代码进行检测,且检测的准确率在90%左右,而现有的一些方法在保证准确率较高的同时,FPR值也较大,当准确率达90%时,FPR值在10%左右,可见本发明方法的检测效果更好。

Claims (10)

1.一种基于动态语义特征的恶意代码分析检测方法,其步骤包括:
1)将恶意样本库中任意一个待检测代码动态运行于虚拟环境之中,同时监测其运行过程,并提取出原始特征;
2)根据提取出的原始特征筛选出能代表该待检测代码语义特征的API名称信息;
3)根据筛选出的API名称信息建立代表该待检测代码语义特征的数学模型,得到API序列语义特征集合;
4)从所有待检测代码的API序列语义特征集合中选取具有代表性的语义特征建立语义特征库;
5)将待检测代码的语义特征集合与所述语义特征库进行相似性检测,从而得出检测结果,即待检测代码是良性代码或恶意代码。
2.如权利要求1所述的方法,其特征在于,对原始特征进行筛选包括去除如下信息:线程号、返回值、API调用参数值,筛选后得到该代码执行过程中调用的所有API的名称序列。
3.如权利要求1所述的方法,其特征在于:每一个代码的API序列语义特征集合,其构成元素为多个依次相邻的API名称。
4.如权利要求3所述的方法,其特征在于,所述API序列语义特征集合的构造方法是:对监测代码动态运行所得的原始特征进行初步处理,得到API调用名称序列,该序列中任意的k个相邻的API都被当做一个元素,k的取值为正整数,所有这样的元素构成该代码的API序列语义特征集合。
5.如权利要求1所述的方法,其特征在于:所述具有代表性的语义特征,其代表性体现在集合元素在该集合中出现的频次,即该元素在集合中出现得越多,则越具有代表性。
6.如权利要求5所述的方法,其特征在于,所述的语义特征库的构造方法是:从已有的API序列语义特征集合中选取出现得较多的元素,所有这些元素共同构成语义特征库,语义特征库中组成每一个元素的API名称个数为固定值。
7.如权利要求1所述的方法,其特征在于:根据某一语义特征库检测待测样本时,待测样本的语义特征集合中的元素若存在于该语义特征库内,则检测中该元素起到区分作用,否则该元素不起作用。
8.如权利要求1所述的方法,其特征在于,所述待检测代码的语义特征集合的构造方法是:当选定语义特征库时,待测样本的语义特征集合中仅包含既出现在语义特征库中又出现在该样本代码的API名称序列中的元素。
9.如权利要求1所述的方法,其特征在于:采用虚拟机技术构建所述虚拟环境,使用第三方监测工具对虚拟环境中动态运行的代码进行实时监测,从而提取出原始特征。
10.如权利要求1所述的方法,其特征在于,使用机器学习方法进行所述相似性检测,采用的分类器为下列中的一种:决策树、K近邻、朴素贝叶斯及贝叶斯网络、支持向量机。
CN201310682922.0A 2013-12-12 2013-12-12 一种基于动态语义特征的恶意代码分析检测方法 Active CN103679030B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310682922.0A CN103679030B (zh) 2013-12-12 2013-12-12 一种基于动态语义特征的恶意代码分析检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310682922.0A CN103679030B (zh) 2013-12-12 2013-12-12 一种基于动态语义特征的恶意代码分析检测方法

Publications (2)

Publication Number Publication Date
CN103679030A true CN103679030A (zh) 2014-03-26
CN103679030B CN103679030B (zh) 2017-01-11

Family

ID=50316540

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310682922.0A Active CN103679030B (zh) 2013-12-12 2013-12-12 一种基于动态语义特征的恶意代码分析检测方法

Country Status (1)

Country Link
CN (1) CN103679030B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104866765A (zh) * 2015-06-03 2015-08-26 康绯 基于行为特征相似性的恶意代码同源性分析方法
CN106203117A (zh) * 2016-07-12 2016-12-07 国家计算机网络与信息安全管理中心 一种基于机器学习的恶意移动应用程序判定方法
CN106874762A (zh) * 2017-01-06 2017-06-20 暨南大学 基于api依赖关系图的安卓恶意代码检测方法
CN106886446A (zh) * 2017-01-18 2017-06-23 北京航空航天大学 软件源代码的验证方法及装置
CN108446561A (zh) * 2018-03-21 2018-08-24 河北师范大学 一种恶意代码行为特征提取方法
CN108959922A (zh) * 2018-05-31 2018-12-07 北京大学 一种基于贝叶斯网的恶意文档检测方法及装置
CN111368289A (zh) * 2018-12-26 2020-07-03 中兴通讯股份有限公司 一种恶意软件检测方法和装置
CN111444506A (zh) * 2020-05-22 2020-07-24 南京大学 一种同源恶意代码的细粒度分类识别方法
CN111881446A (zh) * 2020-06-19 2020-11-03 中国科学院信息工程研究所 一种工业互联网恶意代码识别方法及装置
US11762758B2 (en) 2021-03-29 2023-09-19 International Business Machines Corporation Source code fault detection

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009142668A1 (en) * 2007-12-20 2009-11-26 Bank Of America Corporation Detection and prevention of malicious code execution using risk scoring
CN102054149A (zh) * 2009-11-06 2011-05-11 中国科学院研究生院 一种恶意代码行为特征提取方法
CN102314561A (zh) * 2010-07-01 2012-01-11 电子科技大学 基于api hook的恶意代码自动分析方法和系统
CN102841999A (zh) * 2012-07-16 2012-12-26 北京奇虎科技有限公司 一种文件宏病毒的检测方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009142668A1 (en) * 2007-12-20 2009-11-26 Bank Of America Corporation Detection and prevention of malicious code execution using risk scoring
CN102054149A (zh) * 2009-11-06 2011-05-11 中国科学院研究生院 一种恶意代码行为特征提取方法
CN102314561A (zh) * 2010-07-01 2012-01-11 电子科技大学 基于api hook的恶意代码自动分析方法和系统
CN102841999A (zh) * 2012-07-16 2012-12-26 北京奇虎科技有限公司 一种文件宏病毒的检测方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王蕊 等: "基于语义的恶意代码行为特征提取及检测方法", 《软件学报》, vol. 23, no. 2, 29 February 2012 (2012-02-29), pages 379 - 392 *

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104866765B (zh) * 2015-06-03 2017-11-10 康绯 基于行为特征相似性的恶意代码同源性分析方法
CN104866765A (zh) * 2015-06-03 2015-08-26 康绯 基于行为特征相似性的恶意代码同源性分析方法
CN106203117A (zh) * 2016-07-12 2016-12-07 国家计算机网络与信息安全管理中心 一种基于机器学习的恶意移动应用程序判定方法
CN106874762A (zh) * 2017-01-06 2017-06-20 暨南大学 基于api依赖关系图的安卓恶意代码检测方法
CN106874762B (zh) * 2017-01-06 2019-09-17 暨南大学 基于api依赖关系图的安卓恶意代码检测方法
CN106886446B (zh) * 2017-01-18 2020-10-23 北京航空航天大学 软件源代码的验证方法及装置
CN106886446A (zh) * 2017-01-18 2017-06-23 北京航空航天大学 软件源代码的验证方法及装置
CN108446561A (zh) * 2018-03-21 2018-08-24 河北师范大学 一种恶意代码行为特征提取方法
CN108959922B (zh) * 2018-05-31 2021-11-02 北京大学 一种基于贝叶斯网的恶意文档检测方法及装置
CN108959922A (zh) * 2018-05-31 2018-12-07 北京大学 一种基于贝叶斯网的恶意文档检测方法及装置
CN111368289A (zh) * 2018-12-26 2020-07-03 中兴通讯股份有限公司 一种恶意软件检测方法和装置
CN111368289B (zh) * 2018-12-26 2023-08-29 中兴通讯股份有限公司 一种恶意软件检测方法和装置
CN111444506A (zh) * 2020-05-22 2020-07-24 南京大学 一种同源恶意代码的细粒度分类识别方法
CN111444506B (zh) * 2020-05-22 2023-08-18 南京大学 一种同源恶意代码的细粒度分类识别方法
CN111881446A (zh) * 2020-06-19 2020-11-03 中国科学院信息工程研究所 一种工业互联网恶意代码识别方法及装置
CN111881446B (zh) * 2020-06-19 2023-10-27 中国科学院信息工程研究所 一种工业互联网恶意代码识别方法及装置
US11762758B2 (en) 2021-03-29 2023-09-19 International Business Machines Corporation Source code fault detection

Also Published As

Publication number Publication date
CN103679030B (zh) 2017-01-11

Similar Documents

Publication Publication Date Title
CN103679030B (zh) 一种基于动态语义特征的恶意代码分析检测方法
CN104966031B (zh) 安卓应用程序中非权限相关隐私数据的识别方法
US10033694B2 (en) Method and device for recognizing an IP address of a specified category, a defense method and system
CN109933984B (zh) 一种最佳聚类结果筛选方法、装置和电子设备
US9454658B2 (en) Malware detection using feature analysis
CN106104496A (zh) 用于任意时序的不受监督的异常检测
CN109271788B (zh) 一种基于深度学习的Android恶意软件检测方法
RU2427890C2 (ru) Система и способ сравнения файлов на основе шаблонов функциональности
CN113162794B (zh) 下一步攻击事件预测方法及相关设备
CN105205397A (zh) 恶意程序样本分类方法及装置
WO2011119940A1 (en) Detection of global metamorphic malware variants using control and data flow analysis
CN103455758A (zh) 恶意网站的识别方法及装置
CN111931179A (zh) 基于深度学习的云端恶意程序检测系统及方法
CN104715190B (zh) 一种基于深度学习的程序执行路径的监控方法及系统
WO2021167483A1 (ru) Способ и система выявления вредоносных файлов в неизолированной среде
CN110865866B (zh) 一种基于自省技术的虚拟机安全检测方法
CN112464248A (zh) 一种处理器漏洞利用威胁检测方法及装置
CN106650449B (zh) 一种基于变量名混淆程度的脚本启发式检测方法及系统
Pirch et al. Tagvet: Vetting malware tags using explainable machine learning
CN110719278A (zh) 一种网络入侵数据的检测方法、装置、设备及介质
CN108229168B (zh) 一种嵌套类文件的启发式检测方法、系统及存储介质
CN112163217B (zh) 恶意软件变种识别方法、装置、设备及计算机存储介质
CN112000954B (zh) 一种基于特征序列挖掘和精简的恶意软件检测方法
CN107239704A (zh) 恶意网页发现方法及装置
CN109284354B (zh) 脚本搜索方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant