CN105760762A - 一种嵌入式处理器的未知恶意代码检测方法 - Google Patents

一种嵌入式处理器的未知恶意代码检测方法 Download PDF

Info

Publication number
CN105760762A
CN105760762A CN201610134408.7A CN201610134408A CN105760762A CN 105760762 A CN105760762 A CN 105760762A CN 201610134408 A CN201610134408 A CN 201610134408A CN 105760762 A CN105760762 A CN 105760762A
Authority
CN
China
Prior art keywords
binary string
collection
malicious code
detector
autologous
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610134408.7A
Other languages
English (en)
Other versions
CN105760762B (zh
Inventor
刘政林
裴根
鲁赵骏
刘文超
童乔凌
邹雪城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN201610134408.7A priority Critical patent/CN105760762B/zh
Publication of CN105760762A publication Critical patent/CN105760762A/zh
Application granted granted Critical
Publication of CN105760762B publication Critical patent/CN105760762B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Abstract

本发明公开了一种嵌入式处理器的未知恶意代码检测方法,包括创建嵌入式系统自体集、生成检测器集、检测未知恶意代码的步骤;在处理器指令级对系统内正常程序的指令序列信息进行采集编码生成二进制串集合作为自体集,随机生成二进制串作为候选检测器,并将其与自体集中的元素进行否定选择生成检测器集;利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配;采用双阈值的海民规则进行自体集的二进制串、检测器二进制串以及待检测二进制串之间的模糊匹配,以提高对未知恶意代码的检测率,降低检测系统的资源消耗;本发明中的自体集与检测器集均采用CAM字内存可寻址存储器存储,以提高查找匹配效率,提高检测器的生成效率。

Description

一种嵌入式处理器的未知恶意代码检测方法
技术领域
本发明属于数字集成电路和嵌入式系统安全技术领域,更具体地,涉及一种嵌入式处理器的未知恶意代码检测方法。
背景技术
近些年来,嵌入式系统受到来自恶意代码的威胁日趋严重。现有技术中,解决嵌入式系统易受到恶意软件攻击的方法大都延用传统病毒防御方法,有如下几种:
(1)基于哈希摘要的恶意代码检测技术:利用哈希函数的特性对系统中文件等资源进行完整性校验,判断是否被恶意代码篡改;方法对于各类恶意代码具有较好的通用性,但是误报率较高。
(2)基于特征码的恶意代码检测技术:利用特征码区分恶意代码文件与正常文件;该方法对于已知恶意代码有较高的检测率,误报率低,可准确的对应恶意代码的名称和类型;但其检测率依赖于对恶意代码的准确分析,需要获得恶意代码样本文件之后提取恶意代码的特征码;对于使用了加密和指令变换等技术隐藏或改变了特征码的恶意代码不能有效检测;随着恶意代码数目的增加,恶意代码特征库越来越大,对检测速度造成较大制约;由于嵌入式系统资源十分有限,这一点尤其制约了该技术在嵌入式系统病毒防御中的应用。
(3)基于启发式的恶意代码检测技术:该方法通过析引擎基于规则库进行处理,通过匹配可能代表恶意代码的规则检测目标文件,匹配的话则分配一个分值,如果目标文件的总分值超过了预设的阈值,则文件被标识为可疑的恶意代码程序并进行处理;该方法可以提高未知恶意代码检测率,但同样增加误报的风险,同时启发式分析的计算复杂度要高于特征码匹配,这也将降低杀毒软件的处理速度;攻击者可以通过降低恶意代码的危险特征,规避杀毒软件的启发式分规则,降低被检出的可能性。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种嵌入式处理器的未知恶意代码检测方法,其目的在于解决现有检测方法资源开销过高的问题。
为实现上述目的,按照本发明的一个方面,提供了一种嵌入式处理器的未知恶意代码检测方法,具体如下:
(1)从嵌入式系统正常程序的运行过程中提取指令序列二进制串,存储在自体集存储器里,作为自体集;
自体集里不存在的二进制串的集合则为非自体集;通过该步骤划分自体集与非自体集;在程序运行过程中从嵌入式处理器流水线上获取二进制串,若该二进制串属于自体集则是当前运行的程序是正常的,若属于非自体集则判断为恶意代码;
(2)随机生成二进制串作为候选检测器,利用双阈值的海民匹配规则将候选检测器与上述自体集进行否定选择,获得覆盖高且与自体集交叉最小的检测器集;
其中,作为候选检测器的二进制串的长度与自体集里的二进制串长度一致;经过上述否定选择获得的检测器集里的每一个二进制串都不会与自体集里的二进制串发生匹配,由此避免误报;并且,由于新加入检测器集的二进制串不会与检测器集里已有的二进制串发生匹配,所以避免了检测器集覆盖空间重叠的问题;
(3)利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配;若发生匹配则表明运行中的代码为恶意代码。
优选地,步骤(1)生成自体集的过程具体如下:
(1.1)在处理器运行过程中对指令流水线进行监测,将指令的操作码和地址译码器产生的目标地址合并为二进制串;该二进制串包含了该指令的操作类型以及操作目标地址信息;采用连续的若干个二进制串合并得到指令序列二进制串;合并后获得的指令序列二进制串可以更好的反映程序的行为特征;
(1.2)判断上述从流水线上获取的指令序列二进制串与当前自体集里的每一个二进制串是否匹配;若是,则弃该二进制串;若否,则将该二进制串写进自体集里;
由此确保没有冗余的自体二进制串,从而最高效的利用硬件资源;生成的自体集最能反映系统内正常程序的行为特征。
优选地,采用CAM(Content-addressablememory)作为自体集存储器;目的在于,CAM可以在一个时钟周期内完成对CAM里的所有元素的查找;若CAM里有与查找字相匹配的存储字,则返回该存储字的地址;利用CAM的这一特性可以加快否定选择算法的匹配过程,提高检测器的生成效率。
优选地,步骤(2)具体如下:
(2.1)由伪随机数发生器模块产生二进制字符串作为候选检测器;
(2.2)将候选检测器与自体集和当前检测器集里的每一个元素进行比较;若候选检测器与自体集或当前检测器集里的某个元素发生匹配则丢弃该候选检测器,若无匹配则将该候选检测器加入到检测器集里;
(2.3)重复(2.1)~(2.2),直到当检测器集里元素的个数达到预先设定的最大值Nmax
优选地,步骤(3)具体为:(3.1)在系统正常工作期间,对处理器运行过程中指令流水线进行监测,获取指令序列二进制串作为待检测目标;
(3.2)将待检测目标与检测器集里的每一个二进制串进行匹配;若发生匹配则将运行中的代码判定为恶意代码,可采用中断方式向处理器发出警告,中止当前程序;本步骤中,可采用双阈值的海民匹配规则来判定两个二进制串之间是否相匹配:
优选地,双阈值的海民匹配规则具体为:对于两个L位的字符串,设定双阈值为r1和r2;若L位二进制串中有至少r1位是相同的,而在相同位中,又有r2位是连续的,则表明这两个二进制串是匹配的,反之则不匹配;其中,L为正整数。
优选地,本发明中,所采用的二进制串长度根据系统资源总量的情况确定,采用32位、64位或128位;长度越长则资源开销越高,检测率也随之提高。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明提供的嵌入式处理器的未知恶意代码检测方法,采用否定选择算法,对运行中的程序进行指令级监控与检测,从而保证嵌入式处理器中程序运行的安全性;
(2)本发明提供的嵌入式处理器的未知恶意代码检测方法,采用的双阈值海民匹配规则进行模糊匹配,被匹配的两个二进制串并不需要每一位都相同,而是只要部分位相同则代表两个二进制串相匹配;自体集、检测器集以及待检测二进制串之间的匹配均采用这种模糊匹配的方式;
其优势在于:一方面可以使用一个二进制串检测器匹配一系列的二进制串,即用一个检测器就可以检测若干的满足一定相似度(相匹配则代表有一定的相似度)的恶意二进制串;因此可以用一定数量的二进制串检测器就能完成对绝大部分已知或者未知病毒二进制串的检测,因此可以得到理想的检测率;另一方面,由于限制了检测器的数量,与传统的检测方式对比而言,大大的降低了检测系统的资源开销;
(3)本发明提供的嵌入式处理器的未知恶意代码检测方法,生成检测器的过程中,随机生成的候选检测器与自体集内所有的二进制串进行了否定选择,故检测器不会与任何自体二进制串发生匹配,在理想的情况下,防御恶意代码攻击时的误报率为0;同样由于新加入检测器集的二进制串不会与检测器集里已有的二进制串发生匹配,避免了检测器集合覆盖空间重叠问题;
(4)本发明提供的嵌入式处理器的未知恶意代码检测方法,采用CAM字内存可寻址存储器对自体集、检测器集进行存储,提高了查找与匹配的效率;极大提高了检测器的生成效率。
附图说明
图1是实施例中嵌入式处理器片上特异性免疫机制框图;
图2为实施例中OR1200处理器的32位哈佛结构和5级流水线示意图;
图3为实施例中硬件免疫系统的模块框图;
图4为实施例中简化的8位二进制串模糊匹配的电路示意图;
图5为实施例中生成检测器集的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明提供的一种嵌入式处理器的未知恶意代码检测方法,包括获取处理器指令序列的二进制串、构建自体集、构建检测器集、以及利用检测器集里的检测器对处理器正在运行的代码进行检测,及时判断其行为的安全性,从而保证嵌入式系统正常的运行。
如图1所示,是实施例中嵌入式处理器片上特异性免疫机制框图;特异性免疫机制是生物免疫系统所特有的,人工免疫系统否定选择方法是模仿生物的这一特征被提出的。本发明基于嵌入式处理器架构,通过修改处理器内核以达到保护系统安全的目的;实施例中,采用OR1200处理器作为仿真平台验证恶意代码检测系统的性能,为了实现对恶意代码的检测,将设计的硬件免疫模块加入到OR1200处理器的源码(寄存器级代码)中,以满足实时监测处理器指令序列的要求;实施例中,将整个系统映射到FPGA上进行验证;
以下结合附图和实施例,具体描述本发明提供的一种嵌入式处理器的未知恶意代码检测方法,该方法具体如下:
(1)获取指令序列:
通过图2所示的恶意代码检测系统的信息获取模块,截取cache与IU(IntegerUnit)之间的数据通路,取得硬件免疫系统模块所需要的信息;图2中,FE是指FETCH,DE是指DECODE,EX是指EXECUTE,ME是指MEMORY,WB是指WRITEBACK;
信息获取模块将指令的操作码和地址译码器产生的目标地址合并为16位二进制串,该二进制串包含了该指令的操作类型以及操作目标地址信息;采用连续的若干个16位二进制串合并得到新的二进制串,合并后获得的二进制串可以更好的反映程序的行为特征;
实施例中,为了兼顾硬件资源,采用4个连续产生的16位二进制串合并作为一个元素即长度为64位的二进制串(指令序列串)作为硬件免疫系统的输入(如图2和图3中的64位二进制串);实际应用中,可以根据嵌入式系统硬件资源的情况将信息获取模块所产生的的若干个连续的二进制序列合并为一个二进制串。
(2)生成自体集:
图3所示意的是硬件免疫系统的模块框图,嵌入式系统在与外界隔绝的并确定无错的情况下运行,而从流水线上获取的64位指令序列二进制串则被缓存到FIFO里,然后被送到硬件免疫系统的中枢模块;
生成自体集的过程具体如下:首先,通过中枢模块判断收到的二进制串是否存在于当前的自体集CAM中,若该二进制串与存储在CAM中的每一个二进制串都不匹配,则将该字符串写进自体集CAM里,否则丢弃该二进制串,由此确保CAM里没有冗余的自体二进制串,从而最高效的利用硬件资源;生成的自体集最能反映系统内正常程序的行为特征。
用CAM作为存储结构的目的在于,CAM可以在一个时钟周期内完成对CAM里的所有元素的查找,如果发现CAM里有与查找字相匹配的存储字,则返回该存储字的地址;CAM的这一特性可以加快否定选择算法的匹配过程。
在实施例中,将海民匹配规则的双阈值分别设定为24、12;实际应用中,阈值可以根据嵌入式系统的实际资源情况,综合权衡检测率和检测器生成效率来调整。
图4所示,为实施例中简化的8位二进制串模糊匹配的电路示意图;若8位里有3位连续相同,则输出为1,反之则输出为0;实施例中,采用64位二进制串比较电路,并将其整合到CAM存储器里。
(3)生成检测器集:
图5所示,是生成检测器集的流程示意图;由伪随机数发生器模块产生二进制字符串作为候选检测器,将候选检测器与自体集CAM和检测器集CAM里的每一个元素进行比较;若候选检测器与CAM里的某个元素发生匹配则丢弃该候选检测器;若无匹配则将该检测器加入到检测器集CAM里,当检测器集CAM里元素的个数N达到预先设定的最大值Nmax,则结束检测器的生成过程;实施例里,最大值Nmax为216
(4)恶意代码检测:
采用与步骤(1)中同样的方法,获取嵌入式系统在运行过程中的64位指令序列二进制串,并通过FIFO传输给硬件免疫中枢系统,与检测器集CAM里的每一个元素进行匹配比较;如果发生匹配,则表明检测到了恶意代码,进行报警;若未发生匹配,则表明未检出恶意代码,嵌入式处理器运行正常。
由于CAM可以在一个时钟周期内完成对CAM里的所有元素的查找,相比传统使用RAM存储方式大大提高了检测器的生成效率。以实施例中最大检测器数量216来看,检测模块仅需要消耗4MB左右的检测器存储空间即可完成264数量级的二进制串的检测,大大的降低了检测系统的资源消耗,对于资源相对匮乏的嵌入式系统来说这一优势尤为重要。
对于实际的应用,可根据嵌入式系统的实际规模来调整相关的参数(例如二进制串的长度,双阈值r1和r2的大小)来兼顾协调检测模块的运行效率,资源消耗和检测率之间的平衡。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种嵌入式处理器的未知恶意代码检测方法,其特征在于,包括如下步骤:
(1)从嵌入式系统正常程序的运行过程中提取指令序列二进制串,存储在自体集存储器里,作为自体集;
(2)随机生成二进制串作为候选检测器,利用双阈值的海民匹配规则将候选检测器与所述自体集进行否定选择,获得检测器集;
(3)利用检测器集里的二进制串与从指令级收集到的待检测代码的行为信息二进制串进行匹配;若发生匹配则表明运行中的代码为恶意代码。
2.如权利要求1所述的未知恶意代码检测方法,其特征在于,所述步骤(1)生成自体集的过程具体如下:
(1.1)在处理器运行过程中对指令流水线进行监测,将指令的操作码和地址译码器产生的目标地址合并为二进制串;采用连续的若干个二进制串合并得到指令序列二进制串;
(1.2)判断所述指令序列二进制串与当前自体集里的每一个二进制串是否匹配;若是,则弃该二进制串;若否,则将该二进制串写进自体集里。
3.如权利要求1或2所述的未知恶意代码检测方法,其特征在于,采用CAM作为自体集存储器;由于CAM可以在一个时钟周期内完成对CAM里的所有元素的查找,可加快否定选择的匹配过程,提高检测器的生成效率。
4.如权利要求1所述的未知恶意代码检测方法,其特征在于,所述步骤(2)具体如下:
(2.1)由伪随机数发生器模块产生二进制字符串作为候选检测器;
(2.2)将候选检测器与自体集和当前检测器集里的每一个元素进行比较;若候选检测器与自体集或当前检测器集里的某个元素发生匹配则丢弃该候选检测器,若无匹配则将该候选检测器加入到检测器集里;
(2.3)重复(2.1)~(2.2),直到当检测器集里元素的个数达到预先设定的最大值Nmax
5.如权利要求1所述的未知恶意代码检测方法,其特征在于,所述步骤(3)具体为:
(3.1)在系统正常工作期间,对处理器运行过程中指令流水线进行监测,获取指令序列二进制串作为待检测目标;
(3.2)将待检测目标与检测器集里的每一个二进制串进行匹配;若发生匹配则将运行中的代码判定为恶意代码,可采用中断方式向处理器发出警告,中止当前程序。
6.如权利要求1所述的未知恶意代码检测方法,其特征在于,所述双阈值的海民匹配规则具体为:对于两个L位的字符串,设定双阈值为r1和r2;若L位二进制串中有至少r1位是相同的,而在相同位中,又有r2位是连续的,则表明这两个二进制串是匹配的,反之则不匹配;其中,L为正整数。
7.如权利要求1或2所述的未知恶意代码检测方法,其特征在于,所述指令序列二进制串长度根据系统资源总量确定,采用32位、64位或128位;所述指令序列二进制串长度越长则资源开销越高,检测率也随之提高。
CN201610134408.7A 2016-03-10 2016-03-10 一种嵌入式处理器的未知恶意代码检测方法 Expired - Fee Related CN105760762B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610134408.7A CN105760762B (zh) 2016-03-10 2016-03-10 一种嵌入式处理器的未知恶意代码检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610134408.7A CN105760762B (zh) 2016-03-10 2016-03-10 一种嵌入式处理器的未知恶意代码检测方法

Publications (2)

Publication Number Publication Date
CN105760762A true CN105760762A (zh) 2016-07-13
CN105760762B CN105760762B (zh) 2018-05-22

Family

ID=56331889

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610134408.7A Expired - Fee Related CN105760762B (zh) 2016-03-10 2016-03-10 一种嵌入式处理器的未知恶意代码检测方法

Country Status (1)

Country Link
CN (1) CN105760762B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106599564A (zh) * 2016-12-07 2017-04-26 河海大学常州校区 基于免疫学习的多智能体燃气管道的故障监测及自愈方法
CN106650445A (zh) * 2016-12-16 2017-05-10 华东师范大学 一种恶意程序识别方法
CN108920954A (zh) * 2018-06-28 2018-11-30 中国科学院软件研究所 一种恶意代码自动化检测平台及方法
CN109635566A (zh) * 2018-12-29 2019-04-16 深圳豪客互联网有限公司 一种对未知app的安全性检测方法及装置
CN114510495A (zh) * 2022-04-21 2022-05-17 北京安华金和科技有限公司 一种数据库业务数据一致性处理方法和系统
US11556640B1 (en) * 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162485A (zh) * 2006-10-11 2008-04-16 飞塔信息科技(北京)有限公司 一种计算机恶意代码处理方法和系统
CN101477605A (zh) * 2009-01-15 2009-07-08 北京航空航天大学 一种基于硬件的嵌入式系统程序执行安全增强模块
US9117078B1 (en) * 2008-09-17 2015-08-25 Trend Micro Inc. Malware behavior analysis and policy creation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162485A (zh) * 2006-10-11 2008-04-16 飞塔信息科技(北京)有限公司 一种计算机恶意代码处理方法和系统
US9117078B1 (en) * 2008-09-17 2015-08-25 Trend Micro Inc. Malware behavior analysis and policy creation
CN101477605A (zh) * 2009-01-15 2009-07-08 北京航空航天大学 一种基于硬件的嵌入式系统程序执行安全增强模块

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106599564A (zh) * 2016-12-07 2017-04-26 河海大学常州校区 基于免疫学习的多智能体燃气管道的故障监测及自愈方法
CN106650445A (zh) * 2016-12-16 2017-05-10 华东师范大学 一种恶意程序识别方法
CN106650445B (zh) * 2016-12-16 2019-05-28 华东师范大学 一种恶意程序识别方法
CN108920954A (zh) * 2018-06-28 2018-11-30 中国科学院软件研究所 一种恶意代码自动化检测平台及方法
CN109635566A (zh) * 2018-12-29 2019-04-16 深圳豪客互联网有限公司 一种对未知app的安全性检测方法及装置
US11556640B1 (en) * 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
CN114510495A (zh) * 2022-04-21 2022-05-17 北京安华金和科技有限公司 一种数据库业务数据一致性处理方法和系统
CN114510495B (zh) * 2022-04-21 2022-07-08 北京安华金和科技有限公司 一种数据库业务数据一致性处理方法和系统

Also Published As

Publication number Publication date
CN105760762B (zh) 2018-05-22

Similar Documents

Publication Publication Date Title
CN105760762A (zh) 一种嵌入式处理器的未知恶意代码检测方法
CN109359439B (zh) 软件检测方法、装置、设备及存储介质
Yan et al. Detecting malware with an ensemble method based on deep neural network
US9990583B2 (en) Match engine for detection of multi-pattern rules
CN110266647B (zh) 一种命令和控制通信检测方法及系统
Bruschi et al. Code normalization for self-mutating malware
CN109784056B (zh) 一种基于深度学习的恶意软件检测方法
CN105074717A (zh) 在网络环境中的恶意脚本语言代码的检测
Fang et al. Detecting webshell based on random forest with fasttext
CN106411921A (zh) 基于因果贝叶斯网络的多步攻击预测方法
US20160196427A1 (en) System and Method for Detecting Branch Oriented Programming Anomalies
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
Naik et al. Evaluating automatically generated YARA rules and enhancing their effectiveness
CN105138916A (zh) 基于数据挖掘的多轨迹恶意程序特征检测方法
CN105046152A (zh) 基于函数调用图指纹的恶意软件检测方法
Nguyen et al. Toward a deep learning approach for detecting php webshell
Yu et al. {DeepDi}: Learning a relational graph convolutional network model on instructions for fast and accurate disassembly
CN110362995A (zh) 一种基于逆向与机器学习的恶意软件检测及分析系统
EP2189920B1 (en) Malware signature builder and detection for executable code
CN114003910B (zh) 一种基于动态图对比学习的恶意变种实时检测方法
CN105468975A (zh) 恶意代码误报的追踪方法、装置及系统
CN105468972B (zh) 一种移动终端文件检测方法
WO2010149986A2 (en) A method, a computer program and apparatus for analysing symbols in a computer
Chao et al. A virus detection system based on artificial immune system
CN114880665B (zh) 一种针对面向返回编程攻击的智能化检测方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180522

Termination date: 20200310

CF01 Termination of patent right due to non-payment of annual fee