CN104933364B - 一种基于调用行为的恶意代码自动化同源判定方法及系统 - Google Patents
一种基于调用行为的恶意代码自动化同源判定方法及系统 Download PDFInfo
- Publication number
- CN104933364B CN104933364B CN201510398323.5A CN201510398323A CN104933364B CN 104933364 B CN104933364 B CN 104933364B CN 201510398323 A CN201510398323 A CN 201510398323A CN 104933364 B CN104933364 B CN 104933364B
- Authority
- CN
- China
- Prior art keywords
- winapi
- behavior
- calling
- sample
- malicious code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于调用行为的恶意代码自动化同源判定方法及系统。该方法首先提取两样本调用WinAPI的交集,基于WinAPI交集提取6类WinAPI调用行为,通过比较WinAPI的调用行为判定两样本是否同源。与手工同源判定相比,在保持高准确率的前提下大大提高了同源判定的效率,适合基于某特定样本在少量样本集中或在线实时捕获与该样本同源的其他恶意代码的场景,以快速发现不同攻击事件间的关联关系。本发明公开的系统可部署在恶意代码实时检测系统,用于快速检测与特定恶意代码同源的其他恶意代码样本,以有效防范新型恶意代码的传播,减轻危害降低损失。
Description
技术领域
本发明涉及恶意代码分析领域,具体涉及一种基于调用行为的恶意代码自动化同源判定方法及系统。
背景技术
本发明中恶意代码同源指不同恶意代码源自同一组织或同一作者,这些恶意代码可能属于不同家族,甚至具有很大的功能差异。随着攻击方式向高级、持续(如APT,Advanced Persistent Threat)等方向发展,通常一个攻击由多种恶意代码完成或不同的攻击所用的恶意代码均出自同一组织,发现其中的同源关系对作者溯源、攻击场景还原、APT攻击防范等具有重要作用。目前,同源判定主要依赖人工分析,CrySyS实验室的Bencsáth等人依赖特殊关键词,注入机制、注入目标、导出函数、导入函数所用的特殊手法、负载与配置、通信模块等判定Stuxnet与Duqu同源;Gostev等人发现Stuxnet与Duqu在编译平台、时间、代码等方面具有相似性;Kaspersky实验室的专家通过人工分析发现2009版Stuxnet中的一个模块是Flame中的插件,判定Stuxnet与Flame与同源;FireEye实验室的专家深入分析11个高级持续攻击(APT),发现攻击所用恶意代码具有相同的代码段、时间戳,甚至相同的证书,认为这些攻击均由一个组织操纵,具有同源关系。各个实验室、反病毒厂商的专家给出的分析报告详细全面,有力地证明了不同恶意代码的同源关系,但受专家经验影响较大,因此效率较低。
同源判定主要依赖人工分析,主要原因是同源判定的原则是分析两样本间是否拥有独特的相似性证据,现实中即使不同源的恶意代码间也会有大量相似项,如图标、字符串、代码段等,因此需要有经验的分析人员判断哪些相似项是特殊的、个性的,可做为同源判定的证据,以进行同源判定。
发明内容
基于此,为了实现恶意代码同源判定的自动化,本发明公开了一种基于调用行为的恶意代码自动化同源判定方法及系统。
为了实现上述目的,本发明采用以下技术方案:
一种基于调用行为的恶意代码自动化同源判定方法,包括以下步骤:
(1)提取每个恶意代码样本的WinAPI调用行为集合与样本中调用的WinAPI集合;
(2)提取两样本调用的WinAPI集合的WinAPI交集;
(3)从两样本WinAPI调用行为集合中筛选出由WinAPI交集构成的调用行为集合;
(4)依据步骤(3)中提取的调用行为集合计算两样本间的同源度,依据设定的同源度阈值判定恶意代码样本是否同源。
进一步地,步骤(1)中,恶意代码样本的WinAPI调用行为集合与样本中调用的WinAPI集合通过以下方法进行提取:
1)检测样本是否加壳;
2)若加壳判断是否能脱壳;
3)对未加壳与成功脱壳的样本做反汇编处理,获取反汇编代码,同时获取导入表中的WinAPI集合;
4)提取反汇编代码中的WinAPI调用行为集合。
进一步地,所述WinAPI调用行为包括:
①Proc级2-WinAPI组合调用行为:恶意代码作者在编写函数中同时调用的两个WinAPI,表征在函数设计中的WinAPI组合调用行为;
②Proc级2-WinAPI分离调用行为:恶意代码作者在不同函数中使用的两个WinAPI,表征在函数设计中的不同WinAPI分开使用的调用行为;
③Loc级2-WinAPI组合调用行为:恶意代码作者在Loc代码段中同时调用的两个WinAPI,表征Loc代码段中的WinAPI组合调用行为;
④Loc级WinAPI单独调用行为:恶意代码作者在Loc代码段中只调用了一个WinAPI,表征作者在Loc代码段中的WinAPI调用行为;
⑤Loc级WinAPI序列调用行为:恶意代码作者在Loc代码段中调用的WinAPI序列,表征作者在Loc代码段中的WinAPI调用序列调用行为;
⑥Loc级WinAPI调用先后次序组合调用行为:恶意代码作者在Loc代码段中调用WinAPI的先后关系,表征作者在Loc代码段中调用WinAPI的顺序调用行为。
进一步地,步骤(3)中通过以下方法进行筛选:
1)从WinAPI调用行为集合中依次取出每个行为,每个行为均由1个到多个WinAPI构成;
2)对每个行为,若其中的WinAPI均属于WinAPI交集,则将其加入新的WinAPI调用行为集合中;
3)否则,回到步骤1);
4)直到WinAPI调用行为集合中再无行为为止,最终得到的新的WinAPI调用行为集合为由WinAPI交集构成的调用行为集合。
进一步地,若WinAPI交集中的WinAPI数目少于10个,则不进行同源判定。
否则,依据WinAPI调用行为集合S′A与WinAPI调用行为集合S′B计算样本A与B每一类行为的相似度,第i类行为的相似度计算公式为:
其中为S′A中第i类行为的集合,为S′B中第i类行为的集合。
依据【公式1】计算6类行为的相似度,最后计算6类行为相似度的平均值,做为样本A与B的同源度,计算公式如下:
本发明中设定同源度阈值为0.5,即当sim>0.5时,判定两样本同源。
本发明同时公开了一种基于调用行为的恶意代码自动化同源判定系统,主要由调用行为提取模块、WinAPI提取模块、调用行为比对模块与同源判定模块4个模块组成,其中:
所述调用行为提取模块用于自动提取样本中的WinAPI调用行为集合;
所述WinAPI提取模块用于提取样本调用的WinAPI集合;
所述调用行为比对模块用于比对样本间的WinAPI调用行为集合,得到样本中由共同调用的WinAPI集合构成的WinAPI调用行为集合;
所述同源判定模块用于依据WinAPI调用行为集合判定样本间的同源关系。
进一步地,所述调用行为提取模块通过检测样本是否加壳,并对加壳样本脱壳,对未加壳或成功脱壳后的样本进行反汇编并解析导入表,基于汇编代码提取样本中的WinAPI调用行为。
进一步地,所述WinAPI提取模块基于编译规则提取样本调用的WinAPI。
本发明公开了一种基于调用行为的恶意代码自动化同源判定方法,该方法具有实时性和准确性。首先提取两样本调用WinAPI的交集,基于WinAPI交集提取6类WinAPI调用行为,通过比较WinAPI的调用行为判定两样本是否同源,利用上述方法可以从海量样本中判定与已知样本同源的其他样本,每次判定为两两样本之间的判定。与手工同源判定相比,在保持高准确率的前提下大大提高了同源判定的效率,适合基于某特定样本在少量样本集中或在线实时捕获与该样本同源的其他恶意代码的场景,以快速发现不同攻击事件间的关联关系。
本发明公开的基于调用行为的恶意代码自动化同源判定系统可部署在恶意代码实时检测系统,用于快速检测与特定恶意代码同源的其他恶意代码样本,以有效防范新型恶意代码的传播,减轻危害降低损失。
附图说明
图1本发明基于调用行为的恶意代码自动化同源判定方法流程图;
图2本发明特征提取流程图;
图3本发明基于调用行为的恶意代码自动化同源判定系统架构图;
图4本发明实施例1中变种判定结果;
图5本发明实施例1中同源判定结果。
具体实施方式
下面,结合具体的实施实例对本发明进行详细说明。
本发明提供的恶意代码自动化同源判定方法的流程如图1所示,结合样本A与样本B,具体实施步骤如下:
(1)提取样本A的WinAPI调用行为集合SA与WinAPI调用集合WinAPIA,提取样本A的WinAPI调用行为集合SB与WinAPI调用集合WinAPIB。
图2给出了该步骤具体的流程,对于一个样本:
1)检测样本是否加壳;
2)若有壳判断是否能脱壳;
3)对未加壳与脱壳样本做反汇编处理,获取反汇编代码,同时获取导入表中的WinAPI集合;
4)依据以下定义提取反汇编代码中的6类WinAPI调用行为集合。
定义1 Proc级2-WinAPI组合调用行为:恶意代码作者在编写函数中同时调用的两个WinAPI,表征在函数设计中的WinAPI组合调用行为;
定义2 Proc级2-WinAPI分离调用行为:恶意代码作者在不同函数中使用的两个WinAPI,表征在函数设计中的不同WinAPI分开使用的调用行为;
定义3 Loc级2-WinAPI组合调用行为:恶意代码作者在Loc代码段中同时调用的两个WinAPI,表征Loc代码段中的WinAPI组合调用行为;
定义4 Loc级WinAPI单独调用行为:恶意代码作者在Loc代码段中只调用了一个WinAPI,表征作者在Loc代码段中的WinAPI调用行为;
定义5 Loc级WinAPI序列调用行为:恶意代码作者在Loc代码段中调用的WinAPI序列,表征作者在Loc代码段中的WinAPI调用序列调用行为;
定义6 Loc级WinAPI调用先后次序组合调用行为:恶意代码作者在Loc代码段中调用WinAPI的先后关系,表征作者在Loc代码段中调用WinAPI的顺序调用行为。
最终,提取样本A的WinAPI调用行为集合SA与WinAPI调用集合WinAPIA,提取样本B的WinAPI调用行为集合SB与WinAPI调用集合WinAPIB。
(2)提取WinAPI交集
根据WinAPI调用集合WinAPIA与WinAPI调用集合WinAPIB,提取两样本共同调用的WinAPI集合,即WinAPI调用集合WinAPIA与WinAPI调用集合WinAPIB的交集WinAPIC。
(3)提取由WinAPI交集构成的行为集合
对样本A的WinAPI调用行为集合WinAPIA中的每一项行为,若该行为中的WinAPI均包含在WinAPI交集WinAPIC中,则加入样本A的WinAPI调用行为集合S'A中。同样方法得到样本B的WinAPI调用行为集合S'B。具体步骤如下所示:
初始化,调用行为集合,WinAPI交集,中WinAPI构成的调用行为集合为空集
1)从调用行为集合中依次取出每个行为,由1到多个WinAPI构成;
2)对每个行为,若中的WinAPI均属于交集,则将加入中;
3)否则,回到第1)步;
4)直到调用行为集合中再无行为为止。
(4)同源判定
若交集中的WinAPI数目过少,这里设定为10,即时,认为无法有效证明同源关系,不进行同源判定。
否则,依据WinAPI调用行为集合S′A与WinAPI调用行为集合S′B计算样本A与B每一类行为的相似度,第i类行为的相似度计算公式为:
其中为S′A中第i类行为的集合,为S′B中第i类行为的集合。
依据【公式1】计算6类行为的相似度,最后计算6类行为相似度的平均值,做为样本A与B的同源度,计算公式如下:
本发明中设定同源度阈值为0.5,即当sim>0.5时,判定两样本同源。
基于调用行为的恶意代码自动化同源判定系统主要由调用行为提取模块、WinAPI提取模块、调用行为比对模块与同源判定模块4个模块组成。
系统结构如图3所示。系统具体实施步骤如下:
(1)调用行为提取
对所有样本,利用该模块自动提取样本中的6类调用行为。通过检测样本是否加壳,并对加壳样本利用现有的动态脱壳、静态脱壳等技术进行脱壳,对未加壳或成功脱壳后的样本进行反汇编并解析导入表,基于汇编代码提取样本中的6类WinAPI调用行为。
(2)WinAPI提取
通过导入表提取恶意代码样本调用的WinAPI,但WinAPI并不仅由编程人员调用,在编译时编译器会加入大量WinAPI,编译器调用的WinAPI会混淆提取的调用行为,因此必须去除非人为调用的WinAPI。不同的编译器有不同的编译规则,基于编译规则提取作者调用的WinAPI。
(3)调用行为比对
调用行为集合,WinAPI交集,中WinAPI构成的调用行为集合为空集
1)从调用行为集合中依次取出每个行为,由1到多个WinAPI构成;
2)对每个行为,若中的WinAPI均属于交集,则将加入中;
3)否则,回到第1)步;
4)直到调用行为集合中再无行为为止。
最后比对样本间的调用行为集合。
(4)同源判定
依据WinAPI交集与调用行为集合判定样本间的同源关系。
1)若,认为无法有效证明同源关系,不进行同源判定;
2)否则,基于调用行为集合,依据【公式1】与【公式2】计算样本间的同源度;
3)若同源度大于0.5,认为样本间存在同源关系,否则,不同源。
实施例1
Sung等人提出的SAVE(Static analyzer of vicious executable)方法是一种的恶意代码家族判定方法。该方法首先利用静态分析技术提取每个恶意代码中静态调用的WinAPI序列,之后利用LCS(Longest Common Subsequence,最大公共序列)算法计算样本间静态WinAPI序列间的相似度,进而判定样本是否属于同一家族的变种。
对比实验表明,与恶意代码家族判定相比,本发明具有跨家族同源判定的能力:
实验数据集:vxheavrn.org网站上公开了少量有作者标注的恶意代码样本,从中收集了作者roy g biv的编写的9个恶意代码样本;
实验结果:
(1)SAVE方法:判定9个样本中有两对属于同一家族,如boundary与impute、efishnc与junkmail,其余5个样本之间无家族关系,与此4个样本也无家族关系,如图4所示;
(2)本发明提出的方法:结果如图5所示,图中显示,由同一作者编写的9个恶意代码样本,识别出2簇同源样本集,其中样本hidan与样本hiewg同源,与变种判定结果相同,另外1簇包括5个样本,只有2个样本未发现同源关系。
Claims (6)
1.一种基于恶意代码作者调用行为的恶意代码自动化同源判定方法,包括以下步骤:
(1)提取每个恶意代码样本的WinAPI调用行为集合与样本中调用的WinAPI集合,所述WinAPI调用行为包括:
①Proc级2-WinAPI组合调用行为:恶意代码作者在编写函数中同时调用的两个WinAPI,表征在函数设计中的WinAPI组合调用行为;
②Proc级2-WinAPI分离调用行为:恶意代码作者在不同函数中使用的两个WinAPI,表征在函数设计中的不同WinAPI分开使用的调用行为;
③Loc级2-WinAPI组合调用行为:恶意代码作者在Loc代码段中同时调用的两个WinAPI,表征Loc代码段中的WinAPI组合调用行为;
④Loc级WinAPI单独调用行为:恶意代码作者在Loc代码段中只调用了一个WinAPI,表征作者在Loc代码段中的WinAPI调用行为;
⑤Loc级WinAPI序列调用行为:恶意代码作者在Loc代码段中调用的WinAPI序列,表征作者在Loc代码段中的WinAPI调用序列调用行为;
⑥Loc级WinAPI调用先后次序组合调用行为:恶意代码作者在Loc代码段中调用WinAPI的先后关系,表征作者在Loc代码段中调用WinAPI的顺序调用行为;
(2)提取两样本调用的WinAPI集合的WinAPI交集;
(3)从两样本WinAPI调用行为集合中筛选出由WinAPI交集构成的调用行为集合;
(4)依据步骤(3)中提取的调用行为集合,通过以下公式计算两样本间的同源度:
其中,simi表示第i类行为的相似度,S′A为样本A的WinAPI调用行为集合,为S′A中第i类行为的集合,S′B为样本B的WinAPI调用行为集合,为S′B中第i类行为的集合,i=1,2,3…6,依据设定的同源度阈值判定恶意代码样本是否同源。
2.如权利要求1所述的基于恶意代码作者调用行为的恶意代码自动化同源判定方法,其特征在于,步骤(1)中,恶意代码样本的WinAPI调用行为集合与样本中调用的WinAPI集合通过以下方法进行提取:
1)检测样本是否加壳;
2)若加壳判断是否能脱壳;
3)对未加壳与成功脱壳的样本做反汇编处理,获取反汇编代码,同时获取导入表中的WinAPI集合;
4)提取反汇编代码中的WinAPI调用行为集合。
3.如权利要求1所述的基于恶意代码作者调用行为的恶意代码自动化同源判定方法,其特征在于,步骤(3)中通过以下方法进行筛选:
1)从WinAPI调用行为集合中依次取出每个行为,每个行为均由1个到多个WinAPI构成;
2)对每个行为,若其中的WinAPI均属于WinAPI交集,则将其加入新的WinAPI调用行为集合中;
3)否则,回到步骤1);
4)直到WinAPI调用行为集合中再无行为为止,最终得到的新的WinAPI调用行为集合为由WinAPI交集构成的调用行为集合。
4.一种基于恶意代码作者调用行为的恶意代码自动化同源判定系统,包括调用行为提取模块、WinAPI提取模块、调用行为比对模块与同源判定模块,其中:
所述调用行为提取模块用于自动提取样本中的WinAPI调用行为集合,所述WinAPI调用行为包括:
①Proc级2-WinAPI组合调用行为:恶意代码作者在编写函数中同时调用的两个WinAPI,表征在函数设计中的WinAPI组合调用行为;
②Proc级2-WinAPI分离调用行为:恶意代码作者在不同函数中使用的两个WinAPI,表征在函数设计中的不同WinAPI分开使用的调用行为;
③Loc级2-WinAPI组合调用行为:恶意代码作者在Loc代码段中同时调用的两个WinAPI,表征Loc代码段中的WinAPI组合调用行为;
④Loc级WinAPI单独调用行为:恶意代码作者在Loc代码段中只调用了一个WinAPI,表征作者在Loc代码段中的WinAPI调用行为;
⑤Loc级WinAPI序列调用行为:恶意代码作者在Loc代码段中调用的WinAPI序列,表征作者在Loc代码段中的WinAPI调用序列调用行为;
Loc级WinAPI调用先后次序组合调用行为:恶意代码作者在Loc代码段中调用WinAPI的先后关系,表征作者在Loc代码段中调用WinAPI的顺序调用行为;
所述WinAPI提取模块用于提取样本调用的WinAPI集合;
所述调用行为比对模块用于比对样本间的WinAPI调用行为集合,得到样本中由共同调用的WinAPI集合构成的WinAPI调用行为集合;
所述同源判定模块用于依据WinAPI调用行为集合判定样本间的同源关系,通过以下公式计算两样本间的同源度:
其中,simi表示第i类行为的相似度,S′A为样本A的WinAPI调用行为集合,为S′A中第i类行为的集合,S′B为样本B的WinAPI调用行为集合,为S′B中第i类行为的集合,i=1,2,3…6。
5.如权利要求4所述的基于恶意代码作者调用行为的恶意代码自动化同源判定系统,其特征在于,所述调用行为提取模块通过检测样本是否加壳,并对加壳样本脱壳,对未加壳或成功脱壳后的样本进行反汇编并解析导入表,基于汇编代码提取样本中的WinAPI调用行为。
6.如权利要求4所述的基于恶意代码作者调用行为的恶意代码自动化同源判定系统,其特征在于,所述WinAPI提取模块基于编译规则提取样本调用的WinAPI。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510398323.5A CN104933364B (zh) | 2015-07-08 | 2015-07-08 | 一种基于调用行为的恶意代码自动化同源判定方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510398323.5A CN104933364B (zh) | 2015-07-08 | 2015-07-08 | 一种基于调用行为的恶意代码自动化同源判定方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104933364A CN104933364A (zh) | 2015-09-23 |
CN104933364B true CN104933364B (zh) | 2018-06-19 |
Family
ID=54120527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510398323.5A Active CN104933364B (zh) | 2015-07-08 | 2015-07-08 | 一种基于调用行为的恶意代码自动化同源判定方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104933364B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106934284B (zh) * | 2015-12-30 | 2020-02-11 | 北京金山安全软件有限公司 | 一种应用程序检测方法、装置和终端 |
CN106384048B (zh) * | 2016-08-30 | 2021-05-07 | 北京奇虎科技有限公司 | 一种威胁信息处理方法与装置 |
CN106803039B (zh) * | 2016-12-30 | 2019-09-17 | 北京神州绿盟信息安全科技股份有限公司 | 一种恶意文件的同源判定方法及装置 |
CN107169358B (zh) * | 2017-05-24 | 2019-10-08 | 中国人民解放军信息工程大学 | 基于代码指纹的代码同源性检测方法及其装置 |
CN109002711A (zh) * | 2018-06-04 | 2018-12-14 | 上海交通大学 | 一种基于深度学习的恶意代码同源判定系统及其判定方法 |
CN109190653B (zh) * | 2018-07-09 | 2020-06-05 | 四川大学 | 基于半监督密度聚类的恶意代码家族同源性分析方法 |
CN110569629A (zh) * | 2019-09-10 | 2019-12-13 | 北京计算机技术及应用研究所 | 二进制代码文件溯源方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104156949A (zh) * | 2014-07-28 | 2014-11-19 | 西安交通大学医学院第一附属医院 | 一种基于特征扩散的ct图像肿瘤组织提取方法 |
CN104268474A (zh) * | 2014-09-30 | 2015-01-07 | 电子科技大学 | 一种基于浏览器脚本行为的入侵检测方法及装置 |
CN104361141A (zh) * | 2014-12-11 | 2015-02-18 | 北京邮电大学 | 软件标识库的建立方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7487544B2 (en) * | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
-
2015
- 2015-07-08 CN CN201510398323.5A patent/CN104933364B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104156949A (zh) * | 2014-07-28 | 2014-11-19 | 西安交通大学医学院第一附属医院 | 一种基于特征扩散的ct图像肿瘤组织提取方法 |
CN104268474A (zh) * | 2014-09-30 | 2015-01-07 | 电子科技大学 | 一种基于浏览器脚本行为的入侵检测方法及装置 |
CN104361141A (zh) * | 2014-12-11 | 2015-02-18 | 北京邮电大学 | 软件标识库的建立方法 |
Non-Patent Citations (1)
Title |
---|
恶意代码同源性分析及家族聚类;钱雨村等;《计算机工程与应用》;20150416;第76-81页 * |
Also Published As
Publication number | Publication date |
---|---|
CN104933364A (zh) | 2015-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104933364B (zh) | 一种基于调用行为的恶意代码自动化同源判定方法及系统 | |
CN105989283B (zh) | 一种识别病毒变种的方法及装置 | |
CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及系统 | |
CN109829306B (zh) | 一种优化特征提取的恶意软件分类方法 | |
CN109784056B (zh) | 一种基于深度学习的恶意软件检测方法 | |
CN103106365B (zh) | 一种移动终端上的恶意应用软件的检测方法 | |
CN103853979B (zh) | 基于机器学习的程序识别方法及装置 | |
CN108376220A (zh) | 一种基于深度学习的恶意样本程序分类方法及系统 | |
CN105205397B (zh) | 恶意程序样本分类方法及装置 | |
KR20120070016A (ko) | 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법 | |
CN105046152B (zh) | 基于函数调用图指纹的恶意软件检测方法 | |
CN109815705B (zh) | 一种基于扫描链特征分析的硬件木马检测方法 | |
Zhong et al. | A malware classification method based on similarity of function structure | |
WO2019136850A1 (zh) | 风险行为识别方法、存储介质、设备及系统 | |
CN108932430A (zh) | 一种基于软件基因技术的恶意软件检测方法 | |
CN110362996B (zh) | 一种离线检测PowerShell恶意软件的方法与系统 | |
CN107679403A (zh) | 一种基于序列比对算法的勒索软件变种检测方法 | |
CN104933365B (zh) | 一种基于调用习惯的恶意代码自动化同源判定方法及系统 | |
CN1235108C (zh) | 一种计算机病毒检测和识别方法 | |
CN107958154A (zh) | 一种恶意软件检测装置及方法 | |
CN109800569A (zh) | 程序鉴别方法及装置 | |
Park et al. | Antibot: Clustering common semantic patterns for bot detection | |
CN111753299A (zh) | 一种基于分组集成的不平衡恶意软件检测方法 | |
CN105740709B (zh) | 一种基于权限组合的安卓恶意软件检测方法 | |
CN114386511A (zh) | 基于多维度特征融合和模型集成的恶意软件家族分类方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |