CN105653956B - 基于动态行为依赖图的Android恶意软件分类方法 - Google Patents
基于动态行为依赖图的Android恶意软件分类方法 Download PDFInfo
- Publication number
- CN105653956B CN105653956B CN201610119003.6A CN201610119003A CN105653956B CN 105653956 B CN105653956 B CN 105653956B CN 201610119003 A CN201610119003 A CN 201610119003A CN 105653956 B CN105653956 B CN 105653956B
- Authority
- CN
- China
- Prior art keywords
- behavior
- dependency graph
- android
- subgraph
- dynamic behaviour
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及一种基于动态行为依赖图的Android恶意软件分类方法。其步骤包括:通过自定义的Dalvik虚拟机运行APP,提取框架层接口调用行为和行为间的依赖关系等动态行为信息;根据动态行为信息构建相应的动态行为依赖图;优化动态行为依赖图,并将行为依赖图划分成子图;从由不同族的Android恶意软件组成的集合中提取相似的子图结构,将其作为基本特征;根据基本特征,对由已知的恶意软件和正常软件组成的训练集进行模型训练,得到分类器;通过分类器,对未知的APP进行归类判断;对该方法进行验证和评估。本发明通过图的编辑距离来衡量行为子图的相似性,以此来寻找基本特征,具有良好的灵活性和可扩展性。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于动态行为依赖图的Android恶意软件分类方法。
背景技术
随着Android系统的流行,越来越多的应用软件被用户下载安装。根据Google官方数据,每个月有超过15亿的APP从Google Play应用市场中被下载。在这巨大的利益的驱动下,攻击者开发出大量的Android恶意软件并上传到网上或者第三方的应用市场进行破坏或牟利。如McAfee实验室的报告所描述,他们2015年第一季度便检测出了110万移动恶意软件。这些恶意软件严重威胁Android系统平台的安全。
为了保护Android系统的安全和抵御恶意软件的攻击,研究者已经提出一系列的静态分析方法和动态分析方法。静态分析法通常是在不执行应用软件的情况下对其进行反编译,采用控制流分析、数据流分析和语义分析等技术从APK文件、配置文件以及解析生成的文件中提取特征。进一步地,根据这些特征对Android恶意软件进行检测或分类。虽然静态分析法能够快速高效的进行检测,但是易受到代码混淆和多态变化技术的影响。比如对APK进行加密后,静态分析法将无法反编译程序,进而无法从源码或解析生成的文件中提取有效信息。再如采用java反射机制的APK,将在运行时动态获取类的信息以及动态调用对象的方法,这给静态构造控制流等信息带来了很大的困难。这些因素限制的静态分析法在一些场景下的使用。
而动态分析法在一定程度上可以弥补静态分析法的不足,它一般通过运行代码来监测系统调用、网络特征、文件或内存修改以及信息处理等行为等对Android恶意软件的检测或分类。针对Android恶意软件,当前的动态技术主要针对敏感数据的传播进行管控,防止隐私泄露。或者直接根据关键的接口调用行为进行简单的恶意评估,如区分恶意或者正常的软件,不能有效的确定具体的恶意软件类型。此外,也有利用动态分析法提取恶意软件线程级的API行为序列进行分析,但是该方法会受到划分线程行为或记录独立API等技术的攻击。针对这些不足,研究能够基于动态行为、抵抗多种攻击、高准确率的恶意Android软件分类方法能够有效帮助安全厂商和工作者对恶意软件进行分析。
发明内容
本发明的目的在于提供一种能够同时基于Android恶意软件动态行为与行为语义关联的恶意软件分类方法,抵御多种存在的代码攻击方法,如代码加密攻击,线程划分攻击,垃圾代码注入攻击。
本方法的主要内容是:Android软件首先在一个特殊的执行沙盒中被执行,用于提取它们的动态执行行为信息。基于这些信息,每一个Android软件被模型化为一个动态行为依赖图(Dynamic Behavior Dependency Graph,DBDG)。在图中,不仅包含Android应用软件的行为,也包括行为之间的依赖。这些图信息将进一步被划分和优化。最终,同一族恶意软件的行为图被搜集,用于机器学习模型的训练和分类未知的Android恶意软件。
本发明的基于动态行为依赖图的Android恶意软件分类方法,其具体步骤如下:
1)动态行为信息提取:在沙盒中执行Android应用并提取其动态行为信息,包括框架层接口调用行为和行为间的依赖关系;
2)构建行为依赖图:根据提取的动态行为信息,将Android应用模型化为行为依赖图;
3)优化并划分行为依赖图:将构建的行为依赖图进行优化,然后将行为依赖图划分为更小尺寸的行为子图,每个Android应用被表示为一个行为子图集合;
4)特征的自动提取:从已知的Android恶意软件族中分别挑选多个样本进行第1)-3)步操作,并从得到的所有行为子图中通过图匹配技术挑选部分行为子图作为特征;
5)模型训练:对已知的Android恶意应用族样本和正常Android应用样本分别进行第1)-3)步操作,得到一系列的行为子图集合,然后通过比较第4)步选择的行为子图特征,将每一个Android应用表示为一个特征向量,进行模型训练;
6)分类未知APP:将未知的Android应用首先进行第1)-3)步操作,并与第4)步选择的行为子图特征进行比较,表示为一个特征向量;该特征向量输入到基于步骤5)训练的模型,实现对未知Android应用的分类。
进一步地,步骤1)所述的动态行为信息提取过程为:修改Android应用执行的Dalvik虚拟机,掌管应用Java代码指令的解释过程;通过分析函数调用指令,输出Android系统框架层调用行为;通过分析Dalvik虚拟机中的Java对象(Object)创建、修改等指令过程,输出框架层接口调用行为间的数据依赖。
进一步地,步骤2)所述的行为依赖图构建是根据步骤1)提取到的框架层接口调用行为和行为间的依赖关系,将其抽象为一个有向图,图中的节点是指APP整个生命周期间调用的接口函数,边是指函数节点之间的数据依赖关系。
进一步地,步骤3)所述的优化行为依赖图的过程为:首先,预先从恶意软件和正常软件中选择关键函数,关键函数的选取原则是在恶意软件中函数出现的频率高于在正常软件中出现的频率;然后,合并行为依赖图中的重复节点并去除行为依赖图中的冗余边。
进一步地,步骤3)划分行为依赖图的过程为:首先,在行为依赖图找到所有的叶子节点(出度为0);然后,递归针对每一个叶子节点寻找其所有的祖先节点;最后,每个叶子节点和它的祖先节点构成一个行为子图。
进一步地,步骤4)中特征的自动提取方法为:当同一个行为子图至少同时出现在同一族的两个恶意Android应用样本中时,它将被挑选作为一个子图特征。
进一步地,在步骤4)中,同一个行为子图的定义为:当两个子图相似度(相同的节点和相同的边)达到一定程度时,即认为两个行为子图是同一子图。
进一步地,步骤5)中模型训练方法为:一个Android应用根据其是否包含步骤4)中选择的特征,被表示为一个由0和1组成的特征向量;已知类型的恶意应用和正常应用的特征向量由支持向量机(SVM)进行训练。
进一步地,步骤6)中Android应用的分类方法为:基于步骤5)生成的SVM模型,Android应用被判断是否为恶意软件,如果是,进一步输出恶意软件类型。
进一步地,上述方法还可包括步骤7),即验证与评估步骤,该步骤是利用步骤5)训练出的模型对现实环境中大量的APP进行测试和评估,并且模拟了三种攻击场景,如代码加密攻击,线程划分攻击,垃圾代码注入攻击,对该方法进行验证。
本发明还提供一种采用上述方法的基于动态行为依赖图的Android恶意软件分类系统,其包括:
Android应用执行沙盒模块:用于执行Android应用并提取其动态行为信息,包括框架层接口调用行为和行为间的依赖关系,然后根据动态信息构建动态行为依赖图;
行为依赖图处理模块:用于优化复杂的行为依赖图结构,并将行为依赖图划分成子图;
特征的自动提取模块:用于从恶意软件动态行为依赖图中提取相似的子图结构,将至少被两个恶意软件共同拥有的相似子图结构作为分类时的基本特征;
模型训练模块:用于训练含有恶意软件和正常软件集合的训练样本,生成分类器,用于对未知APP的分类;
未知APP分类模块:用于分类未知APP。
进一步地,还包括验证评估模块:用于进行测试和验证,并模拟一些攻击场景进行验证和评估。
本发明的优点和积极效果如下:
本发明通过一个自定义的Dalvik虚拟机运行APP,生成相应的动态行为依赖图,这种动态提取行为信息的方法可以克服静态分析法的不足;此外基于动态行为依赖图,通过图匹配技术进行聚类,自动提取相似的子图结构作为基本特征,使得特征选择具有很强的灵活性和扩展性;为有效快速地提取特征而进行的选择关键函数、重复点合并、冗余边删除以及将动态行为依赖图划分成子图等优化行为依赖图的操作,保证了本发明的性能;最后通过SVM对700多个APP进行了验证,具有很高的检测率,模拟的三种攻击场景也说明了本发明的有效性。
附图说明
图1是本发明的Android恶意程序分类方法的步骤流程图。
图2是Dalvik沙盒执行应用提取行为及行为依赖的基本过程图。
具体实施方式
下面通过具体实施例和附图,对本发明做进一步说明。
图1是本发明的Android恶意程序分类方法的步骤流程图,其中1(a)、1(b)、1(c)是Android应用训练样本的处理过程,2(a)、2(b)、2(c)是未知Android应用的处理过程。该方法具体包括如下步骤:
1)动态行为信息提取
图2是Dalvik沙盒执行Android应用,并提取行为及行为间依赖关系的基本过程图。Android应用首先在特别构造的执行沙盒中被执行,提取它的框架层接口调用行为和行为之间的依赖关系。在这个过程中,Dalvik虚拟机中的Java指令解释过程被掌管,当函数调用指令,如“invoke-*”被解释执行时,将首先判断是否为一个框架层接口调用行为。如果是,则该函数行为将被记录,其函数内的指令行为将进一步被分析,用于记录行为之间的依赖关系。
为了区分普通函数调用和框架层接口调用行为,本系统首先搜集了所有的系统框架层DEX函数库的文件指纹。当Dalvik虚拟机中发生函数调用,将同时检查调用函数和被调用函数。如果调用函数所在文件的指纹不属于系统函数库文件,且被调用函数所在文件的指纹属于系统函数库文件,则认为该函数调用过程为一次框架层接口调用行为,系统将为其分配一个唯一的标识(BID)。
在框架层接口函数执行过程中,执行沙盒将进一步记录其中指令操作的数据依赖关系。本系统中对Java对象级的数据依赖进行了记录。如果在框架层接口函数执行过程中,一个Java对象被创建,本系统将为其分配同等大小的影子内存,影子内存用于记录Java对象中每一个域依赖关系。初始时,对象的影子内存将用对象创建时所处接口调用的BID填充;如果一个对象域数据被修改,该对象域的影子内存也将修改为当前指令所在接口调用行为BID;如果对象域中的数据被读取,则当前指令所在接口调用行为将与对象域影子内存中的BID建立依赖关系。当一个框架层接口调用函数完成,这些信息统一被输出。
2)构建行为依赖图
根据提取到的框架层接口调用行为和行为间的依赖关系,将Android应用模型化为行为依赖图。该图是一个有向图,图中的节点是指APP整个生命周期间调用的接口函数,边是指函数节点之间的数据依赖关系。
3)优化并划分行为依赖图
将构建的行为依赖图进行优化,然后将行为依赖图划分为更小尺寸的行为子图,每个APP被表示为一个行为子图集合。
根据动态行为信息构建的行为依赖图可能会很复杂,需要对该图进行优化处理:第一,预先在恶意软件和正常软件中计算函数的调用频率,如果一个函数在恶意软件中调用的频率高于在正常软件中调用的频率,则将其作为关键函数;此外一些无效的函数可能会掩盖掉关键行为的表现,因此需要排除这些无效的函数。这样有利于减少行为依赖图中节点的数目。第二,由于从APP中提取的行为依赖图可能含有重复节点和冗余边,可以将相互依赖的节点、依赖于同一节点的两个点合并成一个节点;对于依赖关系:A依赖于B,B依赖于C,则存在很大的概率推导出A依赖于C,如果存在A依赖于C,可以将该冗余边删除。
如果直接在动态行为依赖图中寻找公共子图,关键的恶意行为可能会被许多正常行为掩盖,为此可将行为依赖图图划分成子图。其划分过程为:首先,在行为依赖图找到所有的叶子节点(出度为0);然后,递归针对每一个叶子节点寻找其所有的祖先节点;最后,每个叶子节点和它的祖先节点构成一个行为子图。
4)特征的自动提取
从已知的Android恶意应用族中分别挑选多个样本进行上述步骤操作,从得到的所有行为子图中通过图匹配技术挑选部分子图结构作为基本特征。这里的图匹配技术是通过图的编辑距离来衡量两个子图的匹配程度的,即当两个子图相似度(相同的节点和相同的边)达到一定程度时,即认为两个行为子图是同一子图。假设有任意两个图A和B,它们的编辑距离是指,通过增加、删除、替换顶点或者边操作,将图A变换为图B所需的最小代价。
当一个行为子图至少同时出现在同一族的两个恶意应用样本中时,它将被挑选作为一个基本特征。
5)模型训练
对已知的Android恶意应用族样本和正常应用样本分别进行上述步骤1)-3)的操作,得到一系列的行为子图集合。进一步通过比较上述步骤4)所得到的基本特征,即对于一个APP,如果含有上述的基本特征,则将其记为1,反之将其记为0,从而可将每一个APP表示为一个0和1组成的特征向量,最后通过机器学习法支持向量机(SVM)对含恶意应用和正常应用的样本集进行模型训练,生成分类器。
6)分类未知APP
未知的Android应用首先进行第1)-3)步操作,生成相应的子图集合,然后与第4步生成的基本特征(即行为子图)进行比较,可将该APP表示为一个0与1组成的特征向量。该特征向量输入到训练所得到的分类器中,实现对未知APP的分类。如果该APP被判定为恶意软件,则输出恶意软件所属类型。
7)验证与评估
为了验证该方法的有效性和实用性,对700多个真实环境中的APP进行了验证与评估。并模拟了三种攻击场景,如代码加密攻击,线程划分攻击,垃圾代码注入攻击,以此验证该方法对这三种攻击的防御性,模拟的这三种攻击场景证明了本发明方法的有效性。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (9)
1.一种基于动态行为依赖图的Android恶意软件分类方法,其步骤包括:
1)在沙盒中执行Android应用并提取其动态行为信息,包括框架层接口调用行为和行为间的依赖关系;
该步骤1)在自定义的Dalvik虚拟机中运行Android应用,得到其相应的动态行为信息,包括以下子步骤:
1-1)在Dalvik虚拟机运行过程中,Java指令解释过程被掌管,当函数调用指令被解释执行时,判断是否为一个框架层接口调用行为,如果是,则函数内的指令行为进一步被分析,用于记录行为之间的依赖关系;
1-2)搜集所有的系统框架层DEX函数库的文件指纹,以便区分普通函数调用和框架层接口调用行为;
1-3)在框架层接口函数执行过程中,执行沙盒进一步记录其中指令操作的数据依赖关系;
2)根据提取的动态行为信息,将Android应用模型化为行为依赖图;
3)将构建的行为依赖图进行优化,然后将行为依赖图划分为更小尺寸的行为子图,每个Android应用被表示为一个行为子图集合;
4)从已知的Android恶意软件族中分别挑选多个样本进行第1)-3)步操作,并从得到的所有行为子图中通过图匹配技术挑选部分行为子图作为特征;
5)对已知的Android恶意应用族样本和正常Android应用样本分别进行第1)-3)步操作,得到一系列的行为子图集,然后通过比较第4)步选择的基本特征,将每一个Android应用表示为一个特征向量,进行模型训练;
6)将未知的Android应用利用步骤5)训练所得的分类器,实现对未知Android应用的分类。
2.如权利要求1所述的方法,其特征在于,步骤2)所述行为依赖图是有向图,图中的节点是指APP整个生命周期间调用的接口函数,边是指函数节点之间的数据依赖关系。
3.如权利要求1所述的方法,其特征在于,步骤3)对构建的行为依赖图进行优化和划分,具体过程如下:
3-1)选择关键函数,合并重复节点,删除冗余边,以优化复杂的行为依赖图;
3-2)将行为依赖图划分成子图,以使得关键的恶意行为不会被正常行为所掩盖。
4.如权利要求3所述的方法,其特征在于,所述选择关键函数的方法为:预先在恶意软件和正常软件中计算函数的调用频率,如果一个函数在恶意软件中调用的频率高于在正常软件中调用的频率,则将其作为关键函数;所述合并重复节点的方法为:将相互依赖的节点、依赖于同一节点的两个点合并成一个节点;所述删除冗余边的方法为:对于依赖关系:A依赖于B,B依赖于C,则存在很大的概率推导出A依赖于C,如果存在A依赖于C,将该冗余边删除;所述的划分子图的步骤为:首先在行为依赖图找到所有的叶子节点;然后递归针对每一个叶子节点寻找其所有的祖先节点;最后,每个叶子节点和它的祖先节点构成一个行为子图。
5.如权利要求1所述的方法,其特征在于,步骤4)中,当同一个行为子图至少同时出现在同一族的两个恶意Android应用样本中时,该行为子图被挑选作为一个子图特征;所述图匹配技术通过图的编辑距离来衡量两个子图的匹配程度,即当两个子图相似度达到一定程度时,即认为两个行为子图是同一子图。
6.如权利要求1所述的方法,其特征在于,步骤5)对已知的Android恶意应用族样本和正常应用样本利用步骤1)-4)将每一个应用构建为一个0与1的特征向量,然后对这些特征向量利用支持向量机进行模型训练,生成分类器。
7.如权利要求1所述的方法,其特征在于,步骤6)对未知的Android应用首先构建其相应的特征向量,然后利用生成的分类器进行分类。
8.如权利要求1所述的方法,其特征在于,还包括步骤7)即验证与评估步骤,该步骤利用步骤5)训练出的模型对现实环境中大量APP进行测试和评估,并且模拟三种攻击场景进行验证,所述三种攻击场景包括:代码加密攻击,线程划分攻击,垃圾代码注入攻击。
9.一种采用权利要求1所述方法的基于动态行为依赖图的Android恶意软件分类系统,其特征在于,包括:
Android应用执行沙盒模块,用于执行Android应用并提取其动态行为信息,包括框架层接口调用行为和行为间的依赖关系,然后根据动态信息构建动态行为依赖图;
行为依赖图处理模块,用于优化复杂的行为依赖图结构,并将行为依赖图划分成子图;
特征的自动提取模块,用于从恶意软件动态行为依赖图中提取相似的子图结构,将至少被两个恶意软件共同拥有的相似子图结构作为分类时的基本特征;
模型训练模块,用于训练含有恶意软件和正常软件集合的训练样本,生成分类器,用于对未知APP的分类;
未知APP分类模块,用于利用模型训练模块所得的分类器,实现对未知Android应用的分类。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610119003.6A CN105653956B (zh) | 2016-03-02 | 2016-03-02 | 基于动态行为依赖图的Android恶意软件分类方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610119003.6A CN105653956B (zh) | 2016-03-02 | 2016-03-02 | 基于动态行为依赖图的Android恶意软件分类方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105653956A CN105653956A (zh) | 2016-06-08 |
CN105653956B true CN105653956B (zh) | 2019-01-25 |
Family
ID=56492097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610119003.6A Active CN105653956B (zh) | 2016-03-02 | 2016-03-02 | 基于动态行为依赖图的Android恶意软件分类方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105653956B (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106384050B (zh) * | 2016-09-13 | 2019-01-15 | 哈尔滨工程大学 | 一种基于最大频繁子图挖掘的动态污点分析方法 |
CN106599688B (zh) * | 2016-12-08 | 2019-07-12 | 西安电子科技大学 | 一种基于应用类别的安卓恶意软件检测方法 |
CN106845224A (zh) * | 2016-12-16 | 2017-06-13 | 华东师范大学 | 一种恶意程序识别系统 |
CN106874762B (zh) * | 2017-01-06 | 2019-09-17 | 暨南大学 | 基于api依赖关系图的安卓恶意代码检测方法 |
CN106778277A (zh) * | 2017-01-13 | 2017-05-31 | 北京邮电大学 | 恶意程序检测方法及装置 |
CN109032572B (zh) * | 2017-06-08 | 2023-03-31 | 阿里巴巴集团控股有限公司 | 一种基于字节码的java程序方法内联的方法 |
CN107315956B (zh) * | 2017-06-12 | 2019-06-21 | 东莞理工学院 | 一种用于快速准确检测零日恶意软件的图论方法 |
CN107133085B (zh) * | 2017-06-26 | 2020-10-27 | 珠海大横琴科技发展有限公司 | 优化oat中冗余指令的方法及移动终端 |
US10333961B2 (en) | 2017-06-27 | 2019-06-25 | Intel Corporation | Malware detection system attack prevention |
CN107657176A (zh) * | 2017-09-26 | 2018-02-02 | 四川长虹电器股份有限公司 | 一种基于行为分析的未知恶意代码识别与分析方法 |
CN107742079B (zh) * | 2017-10-18 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 恶意软件识别方法及系统 |
CN108197464A (zh) * | 2017-12-25 | 2018-06-22 | 中国科学院信息工程研究所 | 一种面向云环境的环境敏感型恶意软件分析检测方法和系统 |
CN108053033A (zh) * | 2017-12-27 | 2018-05-18 | 中南大学 | 一种函数调用序列生成方法和系统 |
CN108536463B (zh) * | 2018-04-09 | 2021-12-21 | 深圳市腾讯网络信息技术有限公司 | 获取资源包的方法、装置、设备及计算机可读存储介质 |
EP3588348A1 (en) * | 2018-06-29 | 2020-01-01 | AO Kaspersky Lab | Systems and methods for detecting malicious activity in a computer system |
CN109117635B (zh) * | 2018-09-06 | 2023-07-04 | 腾讯科技(深圳)有限公司 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
CN110765457A (zh) * | 2018-12-24 | 2020-02-07 | 哈尔滨安天科技集团股份有限公司 | 一种基于程序逻辑识别同源攻击的方法、装置及存储设备 |
CN111079145B (zh) * | 2019-12-04 | 2023-04-07 | 中南大学 | 基于图处理的恶意程序检测方法 |
CN111125699B (zh) * | 2019-12-04 | 2023-04-18 | 中南大学 | 基于深度学习的恶意程序可视化检测方法 |
CN111241544B (zh) * | 2020-01-08 | 2023-05-02 | 北京梆梆安全科技有限公司 | 一种恶意程序识别方法、装置、电子设备及存储介质 |
CN113268734B (zh) * | 2021-04-27 | 2023-11-24 | 中国科学院信息工程研究所 | 一种基于信息流分析的关键主机事件识别方法 |
CN113761912B (zh) * | 2021-08-09 | 2024-04-16 | 国家计算机网络与信息安全管理中心 | 一种对恶意软件归属攻击组织的可解释判定方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
CN102968591A (zh) * | 2012-11-21 | 2013-03-13 | 中国人民解放军国防科学技术大学 | 基于行为片段共享的恶意软件特征聚类分析方法及系统 |
CN104850781A (zh) * | 2014-02-17 | 2015-08-19 | 中国科学院信息工程研究所 | 一种动态多级恶意代码行为分析方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
-
2016
- 2016-03-02 CN CN201610119003.6A patent/CN105653956B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
CN102968591A (zh) * | 2012-11-21 | 2013-03-13 | 中国人民解放军国防科学技术大学 | 基于行为片段共享的恶意软件特征聚类分析方法及系统 |
CN104850781A (zh) * | 2014-02-17 | 2015-08-19 | 中国科学院信息工程研究所 | 一种动态多级恶意代码行为分析方法及系统 |
Non-Patent Citations (1)
Title |
---|
基于行为依赖的恶意代码分析及检测方法;王蕊等;《2010年中国计算机大会》;20101011;第2-5页 * |
Also Published As
Publication number | Publication date |
---|---|
CN105653956A (zh) | 2016-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105653956B (zh) | 基于动态行为依赖图的Android恶意软件分类方法 | |
Hussain et al. | IMIAD: intelligent malware identification for android platform | |
Pirscoveanu et al. | Analysis of malware behavior: Type classification using machine learning | |
CN105989283B (zh) | 一种识别病毒变种的方法及装置 | |
Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
CN108133139A (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测系统 | |
CN102054149B (zh) | 一种恶意代码行为特征提取方法 | |
CN109948345A (zh) | 一种智能合约漏洞检测的方法、系统 | |
CN105893848A (zh) | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 | |
Ceccato et al. | SOFIA: An automated security oracle for black-box testing of SQL-injection vulnerabilities | |
CN111523117A (zh) | 一种安卓恶意软件检测和恶意代码定位系统及方法 | |
CN109922052A (zh) | 一种结合多重特征的恶意url检测方法 | |
CN102034050A (zh) | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 | |
Bhandari et al. | Sword: semantic aware android malware detector | |
CN107944274A (zh) | 一种基于宽度学习的Android平台恶意应用离线检测方法 | |
Shankar et al. | AndroTaint: An efficient android malware detection framework using dynamic taint analysis | |
Narayanan et al. | Contextual weisfeiler-lehman graph kernel for malware detection | |
Röhling et al. | Standardized container virtualization approach for collecting host intrusion detection data | |
CN106055479A (zh) | 一种基于强制执行的Android应用软件测试方法 | |
CN111324893B (zh) | 基于敏感模式的安卓恶意软件的检测方法及后台系统 | |
Li et al. | Large-scale third-party library detection in android markets | |
CN113407946A (zh) | 一种针对IoT设备的智能防护方法、系统 | |
Li et al. | Novel Android Malware Detection Method Based on Multi-dimensional Hybrid Features Extraction and Analysis. | |
Kang et al. | Scaling javascript abstract interpretation to detect and exploit node. js taint-style vulnerability | |
Arslan | Identify type of android malware with machine learning based ensemble model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |