CN105488409B - 一种检测恶意代码家族变种及新家族的方法及系统 - Google Patents
一种检测恶意代码家族变种及新家族的方法及系统 Download PDFInfo
- Publication number
- CN105488409B CN105488409B CN201410845278.9A CN201410845278A CN105488409B CN 105488409 B CN105488409 B CN 105488409B CN 201410845278 A CN201410845278 A CN 201410845278A CN 105488409 B CN105488409 B CN 105488409B
- Authority
- CN
- China
- Prior art keywords
- malicious code
- api function
- detected
- sample
- function name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000035772 mutation Effects 0.000 title claims abstract description 30
- 238000001514 detection method Methods 0.000 claims abstract description 31
- 239000000284 extract Substances 0.000 claims abstract description 19
- 238000000605 extraction Methods 0.000 claims description 18
- 230000000052 comparative effect Effects 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 claims description 9
- 230000003068 static effect Effects 0.000 claims description 6
- 230000007812 deficiency Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明公开了一种检测恶意代码家族变种及新家族的方法及系统,首先通过现有的已知恶意代码家族及其样本作为训练数据,提取其中的API函数名和API函数传入的参数,在检测过程中,将待检测恶意代码的API函数名与训练数据的函数名进行对比,初步判断其是否属于已知恶意代码家族,然后将待检测恶意代码API函数传入的参数与训练数据的API函数传入的参数进行对比,判断其属于现有家族的变种还是属于新增家族的样本,最终返回检测结果。本发明弥补了现有恶意代码检测都为单一目标样本的检测,并没有对家族样本进行分类,无法直观的发现目前正在活跃的家族并根据其新的变种做针对性的防御的不足,且检测结果精确,可靠性高。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种检测恶意代码家族变种及新家族的方法及系统。
背景技术
随着恶意代码的不断进化,一种新的恶意代码出现后,其本身会迅速发展,而且操作系统或者软件升级后,恶意代码也会调整新的攻击方式,产生新的变种。近几年来,这些对用户的信息安全造成巨大破坏的恶意代码家族层出不穷,经统计,截止2014年11月,年度新增家族数量为1032,而新增的家族变种更是数量惊人。现有的恶意代码检测方法都为单一目标样本的检测,并没有对家族样本进行分类,无法直观的发现目前正在活跃的家族并根据其新的变种做好针对性的防御,这不但不能很好的对恶意代码的来源进行追溯,也使得对恶意代码的检测和查杀的过程相对复杂,无法有效的提高处理效率。
发明内容
本发明针对现有对恶意代码检测形式上的不足,提出了一种检测恶意代码家族变种及新家族的方法及系统,首先通过现有的已知恶意代码家族及其样本作为训练数据,提取其中的API函数名和API函数传入的参数,在检测过程中,首先将待检测恶意代码的API函数名与训练数据的函数名进行对比,初步判断其是否属于已知恶意代码家族,然后将待检测恶意代码API函数传入的参数与训练数据的API函数传入的参数进行对比,判断其属于现有家族的变种还是属于新增家族的样本,最终返回检测结果。
具体发明内容包括:
一种检测恶意代码家族变种及新家族的方法,其特征在于,包括:
解析现有恶意代码家族中的已知恶意代码样本,提取并存储已知恶意代码样本所包含的API函数名及API函数传入的参数;
提取待检测恶意代码所包含的API函数名,将其分别与各已知恶意代码样本的API函数名进行对比,若API函数名相同个数都不大于规定阈值,则待检测恶意代码为新增恶意代码家族的恶意代码样本;
若存在API函数名相同个数大于规定阈值,则记录对应的已知恶意代码样本,并分别提取记录的已知恶意代码样本与待检测恶意代码相同的API函数名;
提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其分别与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比,若对比结果显示传入的参数完全相同,则该结果对应的已知恶意代码样本的权值加1;
若对比结果显示传入的参数不完全相同,则该结果对应的已知恶意代码样本的权值减1;
统计所有已知恶意代码样本的权值,若权值均小于规定数值,则待检测恶意代码为新增恶意代码家族的恶意代码样本;
若存在权值不小于规定数值,则记录权值最大的已知恶意代码样本,且待检测恶意代码为该已知恶意代码样本对应的恶意代码家族的变种。
进一步地,所述提取已知恶意代码样本所包含的API函数名,和提取待检测恶意代码所包含的API函数名,通过代码静态分析实现,具体为:分析代码的PE结构,得到可选映像头中的数据目录表,并获取其中的导入表地址,从导入表中得到导入的API函数的函数名。
进一步地,所述提取已知恶意代码样本和待检测恶意代码API传入的参数,通过动态分析实现,具体为:通过API HOOK技术,钩挂API函数,得到传入API函数的参数。
进一步地,所述若存在API函数名相同个数大于规定阈值,则首先取API函数名相同个数最多的已知恶意代码样本的MD5值或HASH值,与待检测恶意代码的MD5值或HASH值进行比较,若比较结果为相同,则待检测恶意代码与所述最大对比结果对应的已知恶意代码样本相同,此时对待检测恶意代码进行过滤;
若比较结果为不相同,则提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其对应的与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比。
一种检测恶意代码家族变种及新家族的系统,其特征在于,包括:
现有恶意代码家族解析模块,用于解析现有恶意代码家族中的已知恶意代码样本,提取并存储已知恶意代码样本所包含的API函数名及API函数传入的参数;
API函数名检测模块,用于提取待检测恶意代码所包含的API函数名,将其分别与各已知恶意代码样本的API函数名进行对比,若API函数名相同个数都不大于规定阈值,则待检测恶意代码为新增恶意代码家族的恶意代码样本,若存在API函数名相同个数大于规定阈值,则通过API参数检测模块进行进一步检测;
API参数检测模块,存在API函数名相同个数大于规定阈值时,用于记录对应的已知恶意代码样本,并分别提取记录的已知恶意代码样本与待检测恶意代码相同的API函数名,提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其分别与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比,若对比结果显示传入的参数完全相同,则该结果对应的已知恶意代码样本的权值加1,若对比结果显示传入的参数不完全相同,则该结果对应的已知恶意代码样本的权值减1;
权值统计模块,用于统计所有已知恶意代码样本的权值,若权值均小于规定数值,则待检测恶意代码为新增恶意代码家族的恶意代码样本,若存在权值不小于规定数值,则记录权值最大的已知恶意代码样本,且待检测恶意代码为该已知恶意代码样本对应的恶意代码家族的变种。
进一步地,所述提取已知恶意代码样本所包含的API函数名,和提取待检测恶意代码所包含的API函数名,通过代码静态分析实现,具体为:分析代码的PE结构,得到可选映像头中的数据目录表,并获取其中的导入表地址,从导入表中得到导入的API函数的函数名。
进一步地,所述提取已知恶意代码样本和待检测恶意代码API传入的参数,通过动态分析实现,具体为:通过API HOOK技术,钩挂API函数,得到传入API函数的参数。
进一步地,所述若存在API函数名相同个数大于规定阈值,则首先取API函数名相同个数最多的已知恶意代码样本的MD5值或HASH值,与待检测恶意代码的MD5值或HASH值进行比较,若比较结果为相同,则待检测恶意代码与所述最大对比结果对应的已知恶意代码样本相同,此时对待检测恶意代码进行过滤;
若比较结果为不相同,则提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其对应的与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比。
本发明的有益效果是:
现有的恶意代码检测方法都为单一目标样本的检测,并没有对家族样本进行分类,无法直观的发现目前正在活跃的家族并根据其新的变种做好针对性的防御,这不但不能很好的对恶意代码的来源进行追溯,也使得对恶意代码的检测和查杀的过程相对复杂,无法有效的提高处理效率。针对上述现有对恶意代码检测形式上的不足,本发明提出了一种检测恶意代码家族变种及新家族的方法及系统,将现有恶意代码家族及其已知的恶意代码样本作为训练数据,解析待检测恶意代码的API函数名及其传入的参数,与训练数据的API函数名及其传入的参数进行对比,能够准确的检测出待检测恶意代码属于现有家族中的变种还是属于新增家族的样本。通过本发明的方法,可以有效的将恶意代码按照家族进行划分,并发现新的家族,有利于分析恶意代码作者的意图,为后续对恶意代码进行针对性的防御提供便利,从而有效提高恶意代码检测效率,并且可以通过家族划分来追溯恶意代码来源。本发明首先通过API函数名的对比初步判断待检测恶意代码是否属于现有恶意代码家族,考虑到API函数名可以被修改,为了更精确的判断待检测恶意代码是否属于现有恶意代码家族,增加了API函数传入参数的对比,使得检测结果更精确可靠。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种检测恶意代码家族变种及新家族的对比数据提取部分的方法流程图;
图2为本发明一种检测恶意代码家族变种及新家族的检测部分的方法流程图;
图3为本发明一种检测恶意代码家族变种及新家族的系统结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种检测恶意代码家族变种及新家族的方法实施例,其中对比数据提取部分的方法流程图如图1所示,包括:
S101:解析现有恶意代码家族中的已知恶意代码样本;
S102:提取并存储已知恶意代码样本所包含的API函数名及API函数传入的参数,将这部分数据作为特征,用于后续待检测恶意代码的对比与检测。
检测部分的方法流程图如图2所示,包括:
S201:提取待检测恶意代码所包含的API函数名,将其分别与各已知恶意代码样本的API函数名进行对比;
例如:待检测恶意代码API函数名有CreateFileA与WriteFileA,查找含有这两个API函数名的已知恶意代码样本,并统计API函数名相同的个数。
S202:判断API函数名相同个数是否大于规定阈值,若是,则进行步骤S203;若否,则进行步骤S211;
所述规定阈值可按照如下两种方法进行计算,但不限于如下两种方法:
方法1:根据待检测恶意代码包含API函数名的数量进行计算,例如:令规定阈值为待检测恶意代码所包含的API函数名的个数的80%,一次检测中,待检测恶意代码含有API函数名个数为20,则API函数名相同个数大于16,即为大于规定阈值,此时进行步骤S203,否则进行步骤S211;
方法2:根据敏感API函数的数量进行计算,例如:通过分析并获取行为释放频繁的恶意代码包含的API函数,得到敏感API函数名列表,该列表为已知,令规定阈值为所述相同API函数名个数的80%,一次检测中,待检测恶意代码与已知恶意代码样本A的相同API函数名个数为10,则这10个API函数名中敏感API函数名大于8个,即为大于规定阈值,此时进行步骤S203,否则进行步骤S211;
S203:记录对应的已知恶意代码样本,并分别提取记录的已知恶意代码样本与待检测恶意代码相同的API函数名;
S204:提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其分别与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比;
S205:判断对比结果显示传入的参数是否完全相同,若是,则进行步骤S206;若否,则进行步骤S207;
S206:该结果对应的已知恶意代码样本的权值加1;
S207:该结果对应的已知恶意代码样本的权值减1;
S208:统计所有已知恶意代码样本的权值;
S209:判断权值是否小于规定数值,若是,则进行步骤S211;若否,则进行步骤S210;
所述规定数值可按照如下两种方法进行计算,但不限于如下两种方法:
方法1:根据待检测恶意代码中所述相同API函数名的个数进行计算,例如:令规定数值为所述相同API函数名个数的60%,一次检测中,待检测恶意代码与已知恶意代码样本B的相同API函数名为20个,根据步骤S205的计算,若已知恶意代码样本B的权值小于12,即为小于规定数值,则进行步骤S211,否则进行步骤S210;
方法2:根据动态分析获得参数中的敏感字符串比例进行计算,例如:分析获取行为释放频繁的恶意代码包含的API函数传入的参数,通过动态分析,获取这些参数中的字符串,得到敏感字符串列表,该列表为已知,获取已知恶意代码样本中API函数传入参数的字符串信息,与敏感字符串列表进行匹配,得到相同字符串的个数,并与已知恶意代码样本包含的字符串总量求商,得到已知恶意代码样本中敏感字符串所占的比值,用该比值作为规定数值,假设比值为60%,则在一次检测中,待检测恶意代码与已知恶意代码样本B的相同API函数名为20个,根据步骤S205的计算,若已知恶意代码样本B的权值小于12,即为小于规定数值,则进行步骤S211,否则进行步骤S210;
S210:记录权值最大的已知恶意代码样本,且待检测恶意代码为该已知恶意代码样本对应的恶意代码家族的变种;
S211:待检测恶意代码为新增恶意代码家族的恶意代码样本。
优选地,所述提取已知恶意代码样本所包含的API函数名,和提取待检测恶意代码所包含的API函数名,通过代码静态分析实现,具体为:分析代码的PE结构,得到可选映像头中的数据目录表,并获取其中的导入表地址,从导入表中得到导入的API函数的函数名,例如:分析家族样本的PE结构,找到可选映像头(IMAGE_OPTIONAL_HEADER)中的数据目录表(IMAGE_DATA_DIRECTORY),获取导入表的地址(RVA),从导入表中得到导入的API函数的名称并存入库中。
优选地,所述提取已知恶意代码样本和待检测恶意代码API传入的参数,通过动态分析实现,具体为:通过API HOOK技术,钩挂API函数,得到传入API函数的参数,例如:通过HOOK技术钩挂API函数CreateFileA,当该API函数被调用时,会获取8个传入的参数,分别为:lpFileName、dwDesiredAccess、dwShareMode、LPSECURITY_ATTRIBUTES、lpSecurityAttributes、dwCreationDisposition、dwFlagsAndAttributes、hTemplateFile。
优选地,所述若存在API函数名相同个数大于规定阈值,则首先取API函数名相同个数最多的已知恶意代码样本的MD5值或HASH值,与待检测恶意代码的MD5值或HASH值进行比较,若比较结果为相同,则待检测恶意代码与所述最大对比结果对应的已知恶意代码样本相同,此时对待检测恶意代码进行过滤;
若比较结果为不相同,则提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其对应的与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比。
本发明还给出了一种检测恶意代码家族变种及新家族的系统实施例,如图3所示,包括:
现有恶意代码家族解析模块301,用于解析现有恶意代码家族中的已知恶意代码样本,提取并存储已知恶意代码样本所包含的API函数名及API函数传入的参数;
API函数名检测模块302,用于提取待检测恶意代码所包含的API函数名,将其分别与各已知恶意代码样本的API函数名进行对比,若API函数名相同个数都不大于规定阈值,则待检测恶意代码为新增恶意代码家族的恶意代码样本,若存在API函数名相同个数大于规定阈值,则通过API参数检测模块进行进一步检测;
API参数检测模块303,存在API函数名相同个数大于规定阈值时,用于记录对应的已知恶意代码样本,并分别提取记录的已知恶意代码样本与待检测恶意代码相同的API函数名,提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其分别与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比,若对比结果显示传入的参数完全相同,则该结果对应的已知恶意代码样本的权值加1,若对比结果显示传入的参数不完全相同,则该结果对应的已知恶意代码样本的权值减1;
权值统计模块304,用于统计所有已知恶意代码样本的权值,若权值均小于规定数值,则待检测恶意代码为新增恶意代码家族的恶意代码样本,若存在权值不小于规定数值,则记录权值最大的已知恶意代码样本,且待检测恶意代码为该已知恶意代码样本对应的恶意代码家族的变种。
进一步地,所述提取已知恶意代码样本所包含的API函数名,和提取待检测恶意代码所包含的API函数名,通过代码静态分析实现,具体为:分析代码的PE结构,得到可选映像头中的数据目录表,并获取其中的导入表地址,从导入表中得到导入的API函数的函数名。
进一步地,所述提取已知恶意代码样本和待检测恶意代码API传入的参数,通过动态分析实现,具体为:通过API HOOK技术,钩挂API函数,得到传入API函数的参数。
进一步地,所述若存在API函数名相同个数大于规定阈值,则首先取API函数名相同个数最多的已知恶意代码样本的MD5值或HASH值,与待检测恶意代码的MD5值或HASH值进行比较,若比较结果为相同,则待检测恶意代码与所述最大对比结果对应的已知恶意代码样本相同,此时对待检测恶意代码进行过滤;
若比较结果为不相同,则提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其对应的与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出了一种检测恶意代码家族变种及新家族的方法及系统,将现有恶意代码家族及其已知的恶意代码样本作为训练数据,解析待检测恶意代码的API函数名及其传入的参数,与训练数据的API函数名及其传入的参数进行对比,能够准确的检测出待检测恶意代码属于现有家族中的变种还是属于新增家族的样本。通过本发明的方法,可以有效的将恶意代码按照家族进行划分,并发现新的家族,有利于分析恶意代码作者的意图,为后续对恶意代码进行针对性的防御提供便利,从而有效提高恶意代码检测效率,并且可以通过家族划分来追溯恶意代码来源。本发明首先通过API函数名的对比初步判断待检测恶意代码是否属于现有恶意代码家族,考虑到API函数名可以被修改,为了更精确的判断待检测恶意代码是否属于现有恶意代码家族,增加了API函数传入参数的对比,使得检测结果更精确可靠。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种检测恶意代码家族变种及新家族的方法,其特征在于,包括:
解析现有恶意代码家族中的已知恶意代码样本,提取并存储已知恶意代码样本所包含的API函数名及API函数传入的参数;
提取待检测恶意代码所包含的API函数名,将其分别与各已知恶意代码样本的API函数名进行对比,若API函数名相同个数都不大于规定阈值,则待检测恶意代码为新增恶意代码家族的恶意代码样本;
若存在API函数名相同个数大于规定阈值,则记录对应的已知恶意代码样本,并分别提取记录的已知恶意代码样本与待检测恶意代码相同的API函数名;
提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其分别与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比,若对比结果显示传入的参数完全相同,则该结果对应的已知恶意代码样本的权值加1;
若对比结果显示传入的参数不完全相同,则该结果对应的已知恶意代码样本的权值减1;
统计所有已知恶意代码样本的权值,若权值均小于规定数值,则待检测恶意代码为新增恶意代码家族的恶意代码样本;
若存在权值不小于规定数值,则记录权值最大的已知恶意代码样本,且待检测恶意代码为该已知恶意代码样本对应的恶意代码家族的变种。
2.如权利要求1所述的方法,其特征在于,所述提取已知恶意代码样本所包含的API函数名,和提取待检测恶意代码所包含的API函数名,通过代码静态分析实现,具体为:分析代码的PE结构,得到可选映像头中的数据目录表,并获取其中的导入表地址,从导入表中得到导入的API函数的函数名。
3.如权利要求1所述的方法,其特征在于,所述提取已知恶意代码样本和待检测恶意代码API函数传入的参数,通过动态分析实现,具体为:通过API HOOK技术,钩挂API函数,得到API函数传入的参数。
4.如权利要求1所述的方法,其特征在于,所述若存在API函数名相同个数大于规定阈值,则首先取API函数名相同个数最多的已知恶意代码样本的MD5值或HASH值,与待检测恶意代码的MD5值或HASH值进行比较,若比较结果为相同,则待检测恶意代码与所述最大对比结果对应的已知恶意代码样本相同,此时对待检测恶意代码进行过滤;
若比较结果为不相同,则提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其对应的与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比。
5.一种检测恶意代码家族变种及新家族的系统,其特征在于,包括:
现有恶意代码家族解析模块,用于解析现有恶意代码家族中的已知恶意代码样本,提取并存储已知恶意代码样本所包含的API函数名及API函数传入的参数;
API函数名检测模块,用于提取待检测恶意代码所包含的API函数名,将其分别与各已知恶意代码样本的API函数名进行对比,若API函数名相同个数都不大于规定阈值,则待检测恶意代码为新增恶意代码家族的恶意代码样本,若存在API函数名相同个数大于规定阈值,则通过API参数检测模块进行进一步检测;
API参数检测模块,存在API函数名相同个数大于规定阈值时,用于记录对应的已知恶意代码样本,并分别提取记录的已知恶意代码样本与待检测恶意代码相同的API函数名,提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其分别与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比,若对比结果显示传入的参数完全相同,则该结果对应的已知恶意代码样本的权值加1,若对比结果显示传入的参数不完全相同,则该结果对应的已知恶意代码样本的权值减1;
权值统计模块,用于统计所有已知恶意代码样本的权值,若权值均小于规定数值,则待检测恶意代码为新增恶意代码家族的恶意代码样本,若存在权值不小于规定数值,则记录权值最大的已知恶意代码样本,且待检测恶意代码为该已知恶意代码样本对应的恶意代码家族的变种。
6.如权利要求5所述的系统,其特征在于,所述提取已知恶意代码样本所包含的API函数名,和提取待检测恶意代码所包含的API函数名,通过代码静态分析实现,具体为:分析代码的PE结构,得到可选映像头中的数据目录表,并获取其中的导入表地址,从导入表中得到导入的API函数的函数名。
7.如权利要求5所述的系统,其特征在于,所述提取已知恶意代码样本和待检测恶意代码API函数传入的参数,通过动态分析实现,具体为:通过API HOOK技术,钩挂API函数,得到API函数传入的参数。
8.如权利要求5所述的系统,其特征在于,所述若存在API函数名相同个数大于规定阈值,则首先取API函数名相同个数最多的已知恶意代码样本的MD5值或HASH值,与待检测恶意代码的MD5值或HASH值进行比较,若比较结果为相同,则待检测恶意代码与所述最大对比结果对应的已知恶意代码样本相同,此时对待检测恶意代码进行过滤;
若比较结果为不相同,则提取待检测恶意代码中所述相同API函数名对应的API函数传入的参数,并将其对应的与各记录的已知恶意代码样本中API函数名对应的API函数传入的参数进行对比。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410845278.9A CN105488409B (zh) | 2014-12-31 | 2014-12-31 | 一种检测恶意代码家族变种及新家族的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410845278.9A CN105488409B (zh) | 2014-12-31 | 2014-12-31 | 一种检测恶意代码家族变种及新家族的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105488409A CN105488409A (zh) | 2016-04-13 |
| CN105488409B true CN105488409B (zh) | 2018-04-24 |
Family
ID=55675383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410845278.9A Active CN105488409B (zh) | 2014-12-31 | 2014-12-31 | 一种检测恶意代码家族变种及新家族的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105488409B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108256325A (zh) * | 2016-12-29 | 2018-07-06 | 中移(苏州)软件技术有限公司 | 一种恶意代码变种的检测的方法和装置 |
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
| CN111881446B (zh) * | 2020-06-19 | 2023-10-27 | 中国科学院信息工程研究所 | 一种工业互联网恶意代码识别方法及装置 |
| CN112434294A (zh) * | 2020-11-27 | 2021-03-02 | 厦门服云信息科技有限公司 | 一种恶意代码检测方法、终端设备及存储介质 |
| CN113222079B (zh) * | 2021-03-31 | 2024-06-07 | 钉钉科技有限公司 | 基于家庭码或群体码的信息处理方法、装置及设备 |
| CN117272303B (zh) * | 2023-09-27 | 2024-06-25 | 四川大学 | 一种基于遗传对抗的恶意代码样本变体生成方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101140611A (zh) * | 2007-09-18 | 2008-03-12 | 北京大学 | 一种恶意代码自动识别方法 |
| CN102810142A (zh) * | 2011-12-20 | 2012-12-05 | 北京安天电子设备有限公司 | 基于可扩展模式的恶意代码查杀系统和方法 |
-
2014
- 2014-12-31 CN CN201410845278.9A patent/CN105488409B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101140611A (zh) * | 2007-09-18 | 2008-03-12 | 北京大学 | 一种恶意代码自动识别方法 |
| CN102810142A (zh) * | 2011-12-20 | 2012-12-05 | 北京安天电子设备有限公司 | 基于可扩展模式的恶意代码查杀系统和方法 |
Non-Patent Citations (3)
| Title |
|---|
| 一种针对Android平台恶意代码的;胡文君等;《西安交通大学学报》;20131031;第47卷(第10期);第37-43页 * |
| 基于特征聚类的海量恶意代码在线自动分析模型;徐小琳等;《通信学报》;20130831;第34卷(第8期);第146-153页 * |
| 恶意代码检测与分类技术研究;赵恒立;《中国优秀硕士学位论文全文数据库》;20120331;I139-346 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105488409A (zh) | 2016-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105488409B (zh) | 一种检测恶意代码家族变种及新家族的方法及系统 | |
| CN106709345B (zh) | 基于深度学习方法推断恶意代码规则的方法、系统及设备 | |
| CN104601556A (zh) | 一种面向web的攻击检测方法及系统 | |
| CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
| CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
| US20120159625A1 (en) | Malicious code detection and classification system using string comparison and method thereof | |
| JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
| US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
| CN109194677A (zh) | 一种sql注入攻击检测方法、装置及设备 | |
| CN108833437A (zh) | 一种基于流量指纹和通信特征匹配的apt检测方法 | |
| US20200012784A1 (en) | Profile generation device, attack detection device, profile generation method, and profile generation computer program | |
| CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| JP2019110513A (ja) | 異常検知方法、学習方法、異常検知装置、および、学習装置 | |
| CN105718795B (zh) | Linux下基于特征码的恶意代码取证方法及系统 | |
| Coskun et al. | Mitigating sms spam by online detection of repetitive near-duplicate messages | |
| CN105100023B (zh) | 数据包特征提取方法及装置 | |
| EP2977928B1 (en) | Malicious code detection | |
| US20230092159A1 (en) | Label guided unsupervised learning based network-level application signature generation | |
| CN104765882B (zh) | 一种基于网页特征字符串的互联网网站统计方法 | |
| Zhang et al. | Toward unsupervised protocol feature word extraction | |
| Allodi | The heavy tails of vulnerability exploitation | |
| CN109660517B (zh) | 异常行为检测方法、装置及设备 | |
| CN105407096A (zh) | 基于流管理的报文数据检测方法 | |
| CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 | |
| CN106301979B (zh) | 检测异常渠道的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 150010 Heilongjiang science and technology innovation city, Harbin new and high tech Industrial Development Zone, No. 7 building, innovation and entrepreneurship Plaza, 838 Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for detecting malicious code family variety and new family Effective date of registration: 20190718 Granted publication date: 20180424 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin antiy Technology Group Limited by Share Ltd Registration number: 2019230000007 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150010 Heilongjiang science and technology innovation city, Harbin new and high tech Industrial Development Zone, No. 7 building, innovation and entrepreneurship Plaza, 838 Patentee after: Antan Technology Group Co.,Ltd. Address before: 150010 Heilongjiang science and technology innovation city, Harbin new and high tech Industrial Development Zone, No. 7 building, innovation and entrepreneurship Plaza, 838 Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20211119 Granted publication date: 20180424 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: Harbin Antian Science and Technology Group Co.,Ltd. Registration number: 2019230000007 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |