CN105989283A - 一种识别病毒变种的方法及装置 - Google Patents
一种识别病毒变种的方法及装置 Download PDFInfo
- Publication number
- CN105989283A CN105989283A CN201510065074.8A CN201510065074A CN105989283A CN 105989283 A CN105989283 A CN 105989283A CN 201510065074 A CN201510065074 A CN 201510065074A CN 105989283 A CN105989283 A CN 105989283A
- Authority
- CN
- China
- Prior art keywords
- virus
- api
- sample
- sequence
- api calls
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Telephonic Communication Services (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本申请涉及互联网技术,公开了一种识别病毒变种的方法及装置,用以提高病毒查杀的准确率。该方法为,将待检测病毒样本在运行过程中产生的API调用序列和预设的病毒家族样本在运行过程中产生的标准API调用序列进行匹配,确定匹配成功时,判定待检测病毒样本为病毒变种,由于API调用序列反映了待检测病毒样本运行时调用的API类型和调用顺序,因此,无论待检测病毒样本是否经技术手段进行身份掩盖,都能够准确无误地检测出病毒变种,通过动态检测机制,扩大提高现有识别和查杀技术的应用范围,大大提高了病毒查全率。
Description
技术领域
本申请涉及互联网技术,特别涉及一种识别病毒变种的方法及装置。
背景技术
随着移动互联网技术和智能终端设备的日益普及,Android平台以其开放、免费等优势,成为目前占据市场份额最大的智能终端操作系统,且增长迅速。
与此同时,Android平台由于代码开源,各类病毒带来的安全性问题也不断涌现,包括但不限于恶意程序、蠕虫、木马、僵尸等等。
病毒开发和传播者也一直在不断研究新的“免杀”技术,包括但不限于修改特征码、利用Java反射调用机制、字符串加解密技术、以及对函数调用结构进行微调等,制造出大量的病毒变种,致使现有技术已无法完成有效识别和高效查杀。
当前Android平台下的各类安全软件一般通过采用特征码方式进行病毒查杀。但病毒开发和传播者为了实现免杀功能,也在不断研究反病毒查杀技术,例如,采用包括Proguard在内的混淆机制,可将病毒程序中包括类名、函数名、常量字符串在内的各类特征信息混淆,导致现有的安全软件无法查杀病毒及其变种。
发明内容
本申请实施例提供一种识别病毒变种的方法及装置,用以提升病毒查杀的准确率。
本申请实施例提供的具体技术方案如下:
一种识别病毒变种的方法,包括:
运行待检测病毒样本,记录运行过程中产生的应用程序编程接口API调用序列;
获取预设的各个病毒家族样本对应的标准API调用序列,并将运行所述待检测病毒样本产生的API调用序列,与病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果;
根据所述匹配结果,确定所述待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时,确定所述待检测病毒样本为病毒变种。
这样,本申请以病毒家族样本对应的标准API调用情况为参考,对待检测病毒样本运行时产生的API的调用情况进行监控,无论待检测病毒样本是否经技术手段进行身份掩盖,若待检测病毒样本的API调用情况与病毒家族样本对应的标准API调用情况匹配,则被认为是病毒变种,从而能够准确无误地检测出病毒变种,通过动态检测机制,扩大提高现有识别和查杀技术的应用范围,大大提高了病毒查全率,并降低了病毒误杀率。特别需要说明的是,本申请实施例中所能够检测的病毒包括但不限于恶意程序、蠕虫、木马、僵尸等;适用范围包括但不限于针对修改特征码等各类病毒变种技术。
较佳的,进一步包括:
运行预设的病毒家族样本,记录每一种病毒家族在运行过程中调用的API类型和调用顺序,生成每一种病毒家族对应的标准API调用序列,构建API序列特征库。
较佳的,进一步包括:
在运行待检测病毒样本和预设的病毒家族样本的过程中,按照设定周期模拟用于激活病毒运行的物理触发事件。
较佳的,将运行所述待检测病毒样本产生的API调用序列与任一病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果,并根据所述匹配结果,确定所述待检测病毒样本的API调用序列与所述任一病毒家族样本对应的标准API调用序列匹配成功,包括:
确定运行任一病毒家族样本对应的标准API调用序列时,所调用的第一API类型和调用顺序;
确定运行所述待检测病毒样本产生的API调用序列中,所调用的第二API类型和调用顺序;
计算所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度,确定所述匹配度达到第一设定门限时,判定所述待检测病毒样本的API调用序列与所述任一病毒家族样本对应的标准API调用序列匹配成功。
较佳的,确定所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度未达到第一设定门限时,进一步包括:
获取所述任一病毒家族样本对应的关键API调用序列,以及确定运行所述关键API调用序列时,所调用的第三API类型和调用顺序,其中,所述任一病毒家族样本对应的关键API调用序列中包含有从所述任一病毒家族对应的标准API调用序列中筛选出的关键API,所述关键API为预先设定的能够对系统安全运行造成影响的API;
计算所述第二API类型和调用顺序与所述第三API类型和调用顺序的匹配度,确定所述匹配度达到第二设定门限时,判定匹配成功;或者,将匹配结果呈现给用户,根据用户反馈的结果判断是否匹配成功。
一种识别病毒变种的装置,包括:
执行单元,用于运行待检测病毒样本,记录运行过程中产生的应用程序编程接口API调用序列;
匹配单元,获取预设的各个病毒家族样本对应的标准API调用序列,并将运行所述待检测病毒样本产生的API调用序列分别,与每一个病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果;
识别单元,用于根据所述匹配结果,确定所述待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时,确定所述待检测病毒样本为病毒变种。
这样,本申请以病毒家族样本对应的标准API调用情况为参考,对待检测病毒样本运行时产生的API的调用情况进行监控,无论待检测病毒样本是否经技术手段进行身份掩盖,若待检测病毒样本的API调用情况与病毒家族样本对应的标准API调用情况匹配,则被认为是病毒变种,从而能够准确无误地检测出病毒变种,通过动态检测机制,扩大提高现有识别和查杀技术的应用范围,大大提高了病毒查全率,并降低了病毒误杀率。特别需要说明的是,本申请实施例中所能够检测的病毒包括但不限于恶意程序、蠕虫、木马、僵尸等;适用范围包括但不限于针对修改特征码等各类病毒变种技术。
较佳的,所述执行单元进一步用于:
运行预设的病毒家族样本,记录每一种病毒家族在运行过程中调用的API类型和调用顺序,生成每一种病毒家族对应的标准API调用序列,构建API序列特征库。
较佳的,所述执行单元进一步用于:
在运行待检测病毒样本和预设的病毒家族样本的过程中,按照设定周期模拟用于激活病毒运行的物理触发事件。
较佳的,将运行所述待检测病毒样本产生的的API调用序列与任一病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果,并根据所述匹配结果,确定所述待检测病毒样本的API调用序列与所述任一病毒家庭样本对应的标准API调用序列匹配成功时,
所述匹配单元进一步用于:
确定运行所述任一病毒家族样本对应的标准API调用序列时,所调用的第一API类型和调用顺序;
确定运行所述所述待检测病毒样本对应的API调用序列时,所调用的第二API类型和调用顺序;
计算所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度;
所述识别单元进一步用于:
确定所述匹配度达到第一设定门限时,判定所述待检测病毒样本的API调用序列与所述任一病毒家庭样本对应的标准API调用序列匹配成功。
较佳的,所述匹配单元进一步用于:
根据所述识别单元的通知确定所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度未达到第一设定门限时,获取所述任一病毒家族样本对应的关键API调用序列,以及确定运行所述关键API调用序列时,所调用的第三API类型和调用顺序,其中,所述任一病毒家族对应的关键API调用序列中包含有从所述任一病毒家族对应的标准API调用序列中筛选出的指定的关键API,所述关键API为预先设定的能够对系统安全运行造成影响的API;
计算所述第二API类型和调用顺序与所述第三API类型和调用顺序的匹配度;
所述识别单元进一步用于:
确定所述匹配度达到第二设定门限时,判定匹配成功;或者,将匹配结果呈现给用户,根据用户反馈的结果判断是否匹配成功。采用分配匹配算法计算两者的匹配度。
附图说明
图1为本申请实施例中对病毒变种进行识别流程图;
图2为本申请实施例中对病毒变种进行识别装置结构示意图。
具体实施方式
为了提升病毒查杀的准确率,本申请提出了一种通过模拟器技术识别病毒变种的方法,通过这种方法可以提高现有识别和查杀技术的应用范围,大大提高了病毒查全率,并降低了病毒误杀率。
下面结合附图对本申请优选的实施方式进行详细说明。
在预处理阶段,需要建立API调用序列特征库,用于在后续流程中对病毒变种进行识别。具体过程如下:
首先,在预处理阶段,需要调用Android模拟器环境,针对系统中关键应用程序编程接口(Application Programming Interface,API)进行打桩和标记。所谓API,是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。而所谓打桩,即是在系统中每一个关键API位置处,记录该API的关键信息。比如被谁调用、API名称、类名称等等。由于病毒及其变种在运行过程中往往会调用一些关键API实现破坏行为,因此,可以基于开发经验,可以将具有重要作用的API标记为关键API,以便后续识别病毒及其变种时使用。
具体的,可以先创建Android模拟器,在框架(Framework)或者Android原生层(Native层)对系统调用的API进行打桩和标记,记录,调用程序的用户标识(Uid)等等数据。
样本,记录每一种病毒家族在运行过程中调用的API类型和调用顺序,生成每一种病毒家族对应的标准API调用序列,构建API序列特征库。
实际应用中,每一种病毒家族(即同源的一系列病毒)在运行过程中,其恶意行为是类似的,即是指同一病毒家族在运行过程中,调用API的行为是类似的,因此,可以根据预设的病毒家族样本,分别提取出每一个病毒家族在运行过程中执行的共同的API调用序列(即API调用命令),从而建立API序列特征库,为便于描述,后续将每一个病毒家族执行的共同的API调用序列称为这个病毒家族的标准API调用序列。
具体的,在运行病毒家族样本时,可以修改Android模拟器框架逻辑,使得各种病毒家族样本在运行时,无需等待必要的物理触发事件,而是由系统定期发送各种模拟自启事件,自动触发各各病毒家族样本的运行。如,若病毒家族A的运行需要依赖的物理触发事件为“系统启动”,则系统在运行过程中,无需定期重启,而是定期在系统中模拟自启事件“系统启动”,以指示各类病毒家族样本已满足其触发条件,可以运行。
进一步地,Android模拟器上运行病毒家族的已知病毒样本时,可以通过monkey、uiautomator模块,模拟用户操作环境,例如,手机环境、PC环境等等。其中,Monkey为在Android上进行自动化测试Android安装包(APK)的工具。Uiautomato为一套用于Android进行自动化测试的框架结构,用户可以使用该框架逻辑,编写测试某APK的测试用例。
例如,假设病毒家族A中存在病毒变种a1、病毒变种a2和病毒变种a3,
其中,病毒变种a1在执行过程中,调用了API 1、API 2、AIP 3、API 4;
病毒变种a2在执行过程中,调用了API 1、API 3、API 5、API 6;病毒变种a3在执行过程中,调用了API 2、API3、API 6、API 7。
显然,三个病毒变种都调用了API 3,其中两个调用了API 1和API 2,因此,这三种API的调用率都超过了预设阈值(假设为50%),则最终选定病毒家族A对应的标准AIP调用序列为API 1API 2和API 3,较佳的,在针对病毒家族记录标准API调用序列时,可以记录各个API的调用顺序,也可以不记录各个API的调用顺序,具体视应用环境而定,在此不再赘述。
基于生成的各个病毒家族样本的标准API调用序列,可以建立标准API调用序列特征库,用于后续匹配流程中随时获取所需的标准API调用序列。
进一步地,在针对每一个病毒家族制定了对应的标准API调用序列后,可选的,可以进一步在各个病毒家族对应的标准API调用序列中筛选出关键API调用序列,也保存在API序列特征库中,其中,每一个病毒家族对应的关键API调用序列中都包含了从相应API调用序列中筛选出的预先进行打桩和标记的关键API,这些关键API对应了系统中的关键性操作,比如:自启动事件、联网、获取隐私数据、发送短信等。
基于上述预处理过程,参阅图1所示,本申请实施例中,对病毒变种进行识别的详细流程如下:
步骤100:运行待检测病毒样本,记录运行过程中产生的API调用序列。
实际应用中,待检测的病毒样本可以是一个也可以是多个,每一个病毒样本的检测流程相同,因此,本申请实施例中仅以一个为例进行介绍。
具体的,在运行待检测病毒样本时,根据待检测病毒样本在运行过程中所调用的API的类型的调用顺序,生成相应的API调用序列。在运行待检测病毒家族样本时,同样可以修改Android模拟器框架逻辑,使得待检测病毒样本在运行时,无需等待必要的物理触发事件,而是由系统定期发送各种模拟自启事件,自动触发待检测病毒家族样本的运行。如,若待检测病毒家族样本的运行需要依赖的物理触发事件为“用户发送短信”,则系统在运行过程中,无需定期发送短信,而是定期在系统中模拟自启事件“发送短信”,以指示待检测病毒家族样本已满足其触发条件,可以运行。
进一步地,Android模拟器上运行待检测病毒家族样本时,同样可以通过monkey、uiautomator模块,模拟用户操作环境,例如,手机环境、PC环境等等。
步骤110:获取预设的各个病毒家族样本对应的标准API调用序列,并将运行待检测病毒样本产生的API调用序列,与病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果。
具体的,可以从预处理阶段生成的API调用序列特征库中,获取预先生成的各个病毒家族样本对应的标准API调用序列,然后将各个标准API调用序列一一与待检测病毒样本的API调用进行匹配。
实际应用中,由于可能存在海量待检测病毒样本的API调用序列,因此,为了提高匹配效率,较佳的,可以采用分段匹配算法判断待检测病毒样本对应的API调用序列是否与某病毒家族样本的标准API调用序列匹配的唯一API时序路径,如果存在,则直接判定为病毒变种。
分段匹配算法为现有技术下常用的匹配算法之一,下面以举例形式进行介绍:
比如有一串病毒特征的函数调用路径为“P:p1p2p3p4”,而某一个病毒样本运行之后,得到的函数调用路径为“T:t1t2t3t4t5t6t7t8t9”,那么,就是要从路径“t1t2t3t4t5t6t7t8t9”中寻找是否存在路径“p1p2p3p4”路径。那么,最简单的匹配方式为:先判断t1是否等于p1,若相等,再比较t2是否等于p2,若不相等,则比较t2是否等于p1,以此类推,采用分段匹配的方式来比较全部的路径。
具体的,分段匹配算法中有很经典的算法:如克努特-莫里斯-普拉特(The Knuth-Morris-Pratt Algorithm,KMP)和波尔-莫尔(Boyer-Moore,BM)算法。
以标准API特征序列1为例,在匹配过程中,可以执行但不限于以下操作:
确定运行标准API调用序列1时所调用的第一API类型和调用顺序,以及确定运行待检测病毒样本的API调用序列时所调用的第二API类型和调用顺序,计算第一API类型和调用顺序与第二API类型和调用顺序的匹配度(可以采用但不限于使用分段匹配算法),确定该匹配度达到第一设定门限(例如,80%)时,判定匹配成功。
进一步地,在确定上述两者的匹配度未达到第一设定门限时,可选的,可以从预处理阶段配置的API序列特征库中,进一步挑选出上述标准API调用序列1所对应的关键API调用序列1,其中,关键API调用序列中1包含有从标准API调用序列1中筛选出的指定的关键API(即在预处理阶段进行打桩和标记的API),所谓关键API即是指预先设定的能够对系统安全运行造成影响的API。
接着,确定运行关键API调用序列1时,所调用的第三API类型和调用顺序,以及计算第二API类型和调用顺序与第三API类型和调用顺序的匹配度,确定该匹配度达到第二设定门限时,直接判定匹配成功;或者,将匹配结果呈现给用户,根据用户反馈的结果判断是否匹配成功。
之所以在API序列特征库中记录各个病毒家族样本的标准API调用序列之外,进一步记录了各个病毒家族样本的关键API调用序列,是因为即使待检测病毒样本和任何一个病毒家族样本的标准API调用序列均不匹配,也不能完全排队待检测病毒样本是病毒变种的可能性,很大程度上,待检测病毒有可能是一个新的病毒变种,其调用的API类型和调用顺序相较归属的病毒家族样本发生了很大改变,因此与已有的病毒家族样本对应的标准API调用序列均不匹配。
有鉴于此,为了确保不漏检病毒变种,此时,需要使用各个病毒家族样本对应的关键API调用序列与待检测病毒对应的API调用序列进行再次匹配(此种匹配亦称为模糊匹配),若待检测病毒对应的API调用序列在执行过程中,调用了关键API且调用顺序与病毒家族样本类似(即匹配度达到门限值),则可以直接确定匹配成功,即将待检测病毒确定为病毒变种,或者,为了得到更明确的结果,可以将待检测病毒发往后台,提示管理人员该待检测病毒有可能为病毒变种,请求进行确认;在接收到管理人员的反馈结果时,根据管理人员的指示确定待检测病毒是否为病毒变种并进行记录。
步骤120:根据获得的匹配结果,确定待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时,确定所述待检测病毒样本为病毒变种。
确定待检测病毒为病毒变种后,可以将其对应的API调用序列作为标准API调用序列记录至API序列特征库中,同时,筛选出对应的关键API调用序列,亦记录至API序列特征库中,这样,可以通过连续的匹配过程,不断更新API序列特征库,以保持数据的实时性和有效性。
基于上述实施例,参阅图2所示,本申请实施例中,用于识别病毒变种的装置包括执行单元20、匹配单元21和识别单元22,其中,
执行单元20,用于运行待检测病毒样本,记录运行过程中产生的应用程序编程接口API调用序列;
匹配单元21,获取预设的各个病毒家族样本对应的标准API调用序列,并将运行待检测病毒样本产生的API调用序列分别,与每一个病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果;
识别单元22,用于根据匹配结果,确定待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时,确定待检测病毒样本为病毒变种。
较佳的,执行单元20进一步用于:
运行预设的病毒家族样本,记录每一种病毒家族在运行过程中调用的API类型和调用顺序,生成每一种病毒家族对应的标准API调用序列,构建API序列特征库。
较佳的,执行单元20进一步用于:
在运行待检测病毒样本和预设的病毒家族样本的过程中,按照设定周期模拟用于激活病毒运行的物理触发事件。
较佳的,将运行待检测病毒样本产生的的API调用序列与任一病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果,并根据匹配结果,确定待检测病毒样本的API调用序列与任一病毒家庭样本对应的标准API调用序列匹配成功时,匹配单元21进一步用于:
确定运行任一病毒家族样本对应的标准API调用序列时,所调用的第一API类型和调用顺序;
确定运行待检测病毒样本对应的API调用序列时,所调用的第二API类型和调用顺序;
计算第一API类型和调用顺序与第二API类型和调用顺序的匹配度;
识别单元22进一步用于:
确定匹配度达到第一设定门限时,判定待检测病毒样本的API调用序列与任一病毒家庭样本对应的标准API调用序列匹配成功。
较佳的,匹配单元21进一步用于:
根据识别单元的通知确定第一API类型和调用顺序与第二API类型和调用顺序的匹配度未达到第一设定门限时,获取任一病毒家族样本对应的关键API调用序列,以及确定运行关键API调用序列时,所调用的第三API类型和调用顺序,其中,任一病毒家族对应的关键API调用序列中包含有从任一病毒家族对应的标准API调用序列中筛选出的指定的关键API,关键API为预先设定的能够对系统安全运行造成影响的API;
计算第二API类型和调用顺序与第三API类型和调用顺序的匹配度;
识别单元22进一步用于:
确定匹配度达到第二设定门限时,判定匹配成功;或者,将匹配结果呈现给用户,根据用户反馈的结果判断是否匹配成功。采用分配匹配算法计算两者的匹配度。
综上所述,本申请实施例中,以病毒家族样本对应的标准API调用情况为参考,对待检测病毒样本运行时产生的API的调用情况进行监控,无论待检测病毒样本是否经技术手段进行身份掩盖,若待检测病毒样本的API调用情况与病毒家族样本对应的标准API调用情况匹配,则被认为是病毒变种,从而能够准确无误地检测出病毒变种,通过动态检测机制,扩大提高现有识别和查杀技术的应用范围,大大提高了病毒查全率。特别需要说明的是,本申请实施例中所能够检测的病毒包括但不限于恶意程序、蠕虫、木马、僵尸等;适用范围包括但不限于针对修改特征码等各类病毒变种技术。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种识别病毒变种的方法,其特征在于,包括:
运行待检测病毒样本,记录运行过程中产生的应用程序编程接口API调用序列;
获取预设的各个病毒家族样本对应的标准API调用序列,并将运行所述待检测病毒样本产生的API调用序列,与病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果;
根据所述匹配结果,确定所述待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时,确定所述待检测病毒样本为病毒变种。
2.如权利要求1所述的方法,其特征在于,进一步包括:
运行预设的病毒家族样本,记录每一种病毒家族在运行过程中调用的API类型和调用顺序,生成每一种病毒家族对应的标准API调用序列,构建API序列特征库。
3.如权利要求2所述的方法,其特征在于,进一步包括:
在运行待检测病毒样本和预设的病毒家族样本的过程中,按照设定周期模拟用于激活病毒运行的物理触发事件。
4.如权利要求1、2或3所述的方法,其特征在于,将运行所述待检测病毒样本产生的API调用序列与任一病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果,并根据所述匹配结果,确定所述待检测病毒样本的API调用序列与所述任一病毒家族样本对应的标准API调用序列匹配成功,包括:
确定运行任一病毒家族样本对应的标准API调用序列时,所调用的第一API类型和调用顺序;
确定运行所述待检测病毒样本产生的API调用序列中,所调用的第二API类型和调用顺序;
计算所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度,确定所述匹配度达到第一设定门限时,判定所述待检测病毒样本的API调用序列与所述任一病毒家族样本对应的标准API调用序列匹配成功。
5.如权利要求4所述的方法,其特征在于,确定所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度未达到第一设定门限时,进一步包括:
获取所述任一病毒家族样本对应的关键API调用序列,以及确定运行所述关键API调用序列时,所调用的第三API类型和调用顺序,其中,所述任一病毒家族样本对应的关键API调用序列中包含有从所述任一病毒家族对应的标准API调用序列中筛选出的关键API,所述关键API为预先设定的能够对系统安全运行造成影响的API;
计算所述第二API类型和调用顺序与所述第三API类型和调用顺序的匹配度,确定所述匹配度达到第二设定门限时,判定匹配成功;或者,将匹配结果呈现给用户,根据用户反馈的结果判断是否匹配成功。
6.一种识别病毒变种的装置,其特征在于,包括:
执行单元,用于运行待检测病毒样本,记录运行过程中产生的应用程序编程接口API调用序列;
匹配单元,获取预设的各个病毒家族样本对应的标准API调用序列,并将运行所述待检测病毒样本产生的API调用序列分别,与每一个病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果;
识别单元,用于根据所述匹配结果,确定所述待检测病毒样本的API调用序列与任一病毒家族样本对应的标准API调用序列匹配成功时,确定所述待检测病毒样本为病毒变种。
7.如权利要求6所述的装置,其特征在于,所述执行单元进一步用于:
运行预设的病毒家族样本,记录每一种病毒家族在运行过程中调用的API类型和调用顺序,生成每一种病毒家族对应的标准API调用序列,构建API序列特征库。
8.如权利要求7所述的装置,其特征在于,所述执行单元进一步用于:
在运行待检测病毒样本和预设的病毒家族样本的过程中,按照设定周期模拟用于激活病毒运行的物理触发事件。
9.如权利要求6、7或8所述的装置,其特征在于,将运行所述待检测病毒样本产生的的API调用序列与任一病毒家族样本对应的标准API调用序列进行匹配,获得匹配结果,并根据所述匹配结果,确定所述待检测病毒样本的API调用序列与所述任一病毒家庭样本对应的标准API调用序列匹配成功时,所述匹配单元进一步用于:
确定运行所述任一病毒家族样本对应的标准API调用序列时,所调用的第一API类型和调用顺序;
确定运行所述所述待检测病毒样本对应的API调用序列时,所调用的第二API类型和调用顺序;
计算所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度;
所述识别单元进一步用于:
确定所述匹配度达到第一设定门限时,判定所述待检测病毒样本的API调用序列与所述任一病毒家庭样本对应的标准API调用序列匹配成功。
10.如权利要求9所述的装置,其特征在于,所述匹配单元进一步用于:
根据所述识别单元的通知确定所述第一API类型和调用顺序与所述第二API类型和调用顺序的匹配度未达到第一设定门限时,获取所述任一病毒家族样本对应的关键API调用序列,以及确定运行所述关键API调用序列时,所调用的第三API类型和调用顺序,其中,所述任一病毒家族对应的关键API调用序列中包含有从所述任一病毒家族对应的标准API调用序列中筛选出的指定的关键API,所述关键API为预先设定的能够对系统安全运行造成影响的API;
计算所述第二API类型和调用顺序与所述第三API类型和调用顺序的匹配度;
所述识别单元进一步用于:
确定所述匹配度达到第二设定门限时,判定匹配成功;或者,将匹配结果呈现给用户,根据用户反馈的结果判断是否匹配成功。采用分配匹配算法计算两者的匹配度。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510065074.8A CN105989283B (zh) | 2015-02-06 | 2015-02-06 | 一种识别病毒变种的方法及装置 |
| TW104129020A TW201629832A (zh) | 2015-02-06 | 2015-09-02 | 一種識別病毒變種的方法及裝置 |
| US15/016,048 US10460106B2 (en) | 2015-02-06 | 2016-02-04 | Method and device for identifying computer virus variants |
| PCT/US2016/016741 WO2016127037A1 (en) | 2015-02-06 | 2016-02-05 | Method and device for identifying computer virus variants |
| US16/588,398 US11126717B2 (en) | 2015-02-06 | 2019-09-30 | Techniques for identifying computer virus variant |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510065074.8A CN105989283B (zh) | 2015-02-06 | 2015-02-06 | 一种识别病毒变种的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105989283A true CN105989283A (zh) | 2016-10-05 |
| CN105989283B CN105989283B (zh) | 2019-08-09 |
Family
ID=56566017
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510065074.8A Active CN105989283B (zh) | 2015-02-06 | 2015-02-06 | 一种识别病毒变种的方法及装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10460106B2 (zh) |
| CN (1) | CN105989283B (zh) |
| TW (1) | TW201629832A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682314A (zh) * | 2017-08-30 | 2018-02-09 | 北京明朝万达科技股份有限公司 | 一种apt攻击的检测方法和装置 |
| CN108804922A (zh) * | 2018-05-30 | 2018-11-13 | 郑州云海信息技术有限公司 | 一种未知代码的属性判断方法 |
| CN109241742A (zh) * | 2018-10-23 | 2019-01-18 | 北斗智谷(北京)安全技术有限公司 | 一种恶意程序的识别方法及电子设备 |
| CN109472134A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种基于api调用序列提取控制端的方法及系统 |
| CN109492391A (zh) * | 2018-11-05 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 一种应用程序的防御方法、装置和可读介质 |
| CN109815700A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 应用程序的处理方法及装置、存储介质、计算机设备 |
| CN110210219A (zh) * | 2018-05-30 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 病毒文件的识别方法、装置、设备及存储介质 |
| CN110399720A (zh) * | 2018-12-14 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种文件检测的方法以及相关装置 |
| CN110414228A (zh) * | 2018-12-20 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 计算机病毒的检测方法、装置、存储介质和计算机设备 |
| CN110944332A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 短信拦截马检测方法及装置 |
| CN112580043A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
| CN112580042A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
| CN112580041A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
| CN114969734A (zh) * | 2022-05-16 | 2022-08-30 | 北京航空航天大学 | 一种基于api调用序列的勒索病毒变种检测方法 |
| CN117540385A (zh) * | 2024-01-09 | 2024-02-09 | 北京数基信息有限公司 | 脚本文件的监测方法、系统及存储介质 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
| CN105989283B (zh) | 2015-02-06 | 2019-08-09 | 阿里巴巴集团控股有限公司 | 一种识别病毒变种的方法及装置 |
| JP6866645B2 (ja) | 2017-01-05 | 2021-04-28 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
| JP2018109910A (ja) * | 2017-01-05 | 2018-07-12 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
| WO2018178028A1 (en) | 2017-03-28 | 2018-10-04 | British Telecommunications Public Limited Company | Initialisation vector identification for encrypted malware traffic detection |
| CN107220546B (zh) * | 2017-06-27 | 2020-01-10 | Oppo广东移动通信有限公司 | 应用运行方法、装置及终端设备 |
| CN109214178B (zh) * | 2017-06-30 | 2021-03-16 | 中国电信股份有限公司 | App应用恶意行为检测方法及装置 |
| US10853457B2 (en) * | 2018-02-06 | 2020-12-01 | Didi Research America, Llc | System and method for program security protection |
| US12008102B2 (en) | 2018-09-12 | 2024-06-11 | British Telecommunications Public Limited Company | Encryption key seed determination |
| EP3623980B1 (en) | 2018-09-12 | 2021-04-28 | British Telecommunications public limited company | Ransomware encryption algorithm determination |
| EP3623982B1 (en) | 2018-09-12 | 2021-05-19 | British Telecommunications public limited company | Ransomware remediation |
| US11481498B2 (en) * | 2019-01-28 | 2022-10-25 | Visa International Service Association | Continuous vulnerability management for modern applications |
| US10929276B2 (en) * | 2019-06-14 | 2021-02-23 | Paypal, Inc. | Simulation computing services for testing application functionalities |
| DE202020106660U1 (de) | 2020-11-19 | 2020-12-04 | Dominik Heinzelmann | Hebehilfe |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2501771B2 (ja) | 1993-01-19 | 1996-05-29 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置 |
| US5440723A (en) | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
| US6017536A (en) | 1993-06-07 | 2000-01-25 | Trimeris, Inc. | Simian immunodeficiency virus peptides with antifusogenic and antiviral activities |
| US6479055B1 (en) | 1993-06-07 | 2002-11-12 | Trimeris, Inc. | Methods for inhibition of membrane fusion-associated events, including respiratory syncytial virus transmission |
| US5684875A (en) | 1994-10-21 | 1997-11-04 | Ellenberger; Hans | Method and apparatus for detecting a computer virus on a computer |
| US6067618A (en) | 1998-03-26 | 2000-05-23 | Innova Patent Trust | Multiple operating system and disparate user mass storage resource separation for a computer system |
| US6347375B1 (en) | 1998-07-08 | 2002-02-12 | Ontrack Data International, Inc | Apparatus and method for remote virus diagnosis and repair |
| US6356937B1 (en) | 1999-07-06 | 2002-03-12 | David Montville | Interoperable full-featured web-based and client-side e-mail system |
| US6792543B2 (en) | 2001-08-01 | 2004-09-14 | Networks Associates Technology, Inc. | Virus scanning on thin client devices using programmable assembly language |
| US7356736B2 (en) | 2001-09-25 | 2008-04-08 | Norman Asa | Simulated computer system for monitoring of software performance |
| US7266844B2 (en) | 2001-09-27 | 2007-09-04 | Mcafee, Inc. | Heuristic detection of polymorphic computer viruses based on redundancy in viral code |
| US7478431B1 (en) | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
| WO2004104825A1 (en) | 2003-05-15 | 2004-12-02 | Applianz Technologies, Inc. | Systems and methods of creating and accessing software simulated computers |
| US7284273B1 (en) | 2003-05-29 | 2007-10-16 | Symantec Corporation | Fuzzy scanning system and method |
| US7360253B2 (en) | 2004-12-23 | 2008-04-15 | Microsoft Corporation | System and method to lock TPM always ‘on’ using a monitor |
| US20070083930A1 (en) | 2005-10-11 | 2007-04-12 | Jim Dumont | Method, telecommunications node, and computer data signal message for optimizing virus scanning |
| US7822782B2 (en) | 2006-09-21 | 2010-10-26 | The University Of Houston System | Application package to automatically identify some single stranded RNA viruses from characteristic residues of capsid protein or nucleotide sequences |
| WO2008048665A2 (en) | 2006-10-18 | 2008-04-24 | University Of Virginia Patent Foundation | Method, system, and computer program product for malware detection analysis, and response |
| US8250655B1 (en) | 2007-01-12 | 2012-08-21 | Kaspersky Lab, Zao | Rapid heuristic method and system for recognition of similarity between malware variants |
| US8239959B2 (en) | 2007-05-09 | 2012-08-07 | International Business Machines Corporation | Method and data processing system to prevent manipulation of computer systems |
| US20090313700A1 (en) * | 2008-06-11 | 2009-12-17 | Jefferson Horne | Method and system for generating malware definitions using a comparison of normalized assembly code |
| US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US9177144B2 (en) * | 2008-10-30 | 2015-11-03 | Mcafee, Inc. | Structural recognition of malicious code patterns |
| US20100154062A1 (en) | 2008-12-16 | 2010-06-17 | Elad Baram | Virus Scanning Executed Within a Storage Device to Reduce Demand on Host Resources |
| US8424091B1 (en) * | 2010-01-12 | 2013-04-16 | Trend Micro Incorporated | Automatic local detection of computer security threats |
| US20120124007A1 (en) | 2010-11-16 | 2012-05-17 | F-Secure Corporation | Disinfection of a file system |
| US20120173155A1 (en) | 2010-12-30 | 2012-07-05 | St. Louis University | Network threading approach for predicting a patient's response to hepatitis c virus therapy |
| US8555385B1 (en) * | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
| CN102930206B (zh) | 2011-08-09 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 病毒文件的聚类划分处理方法和装置 |
| CN102930210B (zh) | 2012-10-14 | 2015-11-25 | 江苏金陵科技集团有限公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
| US9202053B1 (en) | 2013-02-27 | 2015-12-01 | Trend Micro Inc. | MBR infection detection using emulation |
| WO2014143000A1 (en) | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware |
| WO2015060832A1 (en) * | 2013-10-22 | 2015-04-30 | Mcafee, Inc. | Control flow graph representation and classification |
| US9652362B2 (en) * | 2013-12-06 | 2017-05-16 | Qualcomm Incorporated | Methods and systems of using application-specific and application-type-specific models for the efficient classification of mobile device behaviors |
| CN105989283B (zh) | 2015-02-06 | 2019-08-09 | 阿里巴巴集团控股有限公司 | 一种识别病毒变种的方法及装置 |
-
2015
- 2015-02-06 CN CN201510065074.8A patent/CN105989283B/zh active Active
- 2015-09-02 TW TW104129020A patent/TW201629832A/zh unknown
-
2016
- 2016-02-04 US US15/016,048 patent/US10460106B2/en not_active Expired - Fee Related
-
2019
- 2019-09-30 US US16/588,398 patent/US11126717B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN103839005A (zh) * | 2013-11-22 | 2014-06-04 | 北京智谷睿拓技术服务有限公司 | 移动操作系统的恶意软件检测方法和恶意软件检测系统 |
Non-Patent Citations (3)
| Title |
|---|
| 吴晨 等: "一种虚拟化恶意程序检测系统的实现", 《西安邮电大学学报》 * |
| 彭国军 等: "基于行为的Android恶意软件家族分类系统", 《保密科学技术》 * |
| 陈娟英 等: "一种基于亲缘性的恶意代码分析方法", 《信息安全与技术》 * |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682314A (zh) * | 2017-08-30 | 2018-02-09 | 北京明朝万达科技股份有限公司 | 一种apt攻击的检测方法和装置 |
| CN109472134A (zh) * | 2017-12-25 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种基于api调用序列提取控制端的方法及系统 |
| CN109472134B (zh) * | 2017-12-25 | 2022-04-19 | 北京安天网络安全技术有限公司 | 一种基于api调用序列提取控制端的方法及系统 |
| CN110210219A (zh) * | 2018-05-30 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 病毒文件的识别方法、装置、设备及存储介质 |
| CN108804922A (zh) * | 2018-05-30 | 2018-11-13 | 郑州云海信息技术有限公司 | 一种未知代码的属性判断方法 |
| CN110944332A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 短信拦截马检测方法及装置 |
| CN110944332B (zh) * | 2018-09-21 | 2023-05-02 | 武汉安天信息技术有限责任公司 | 短信拦截马检测方法及装置 |
| CN109241742A (zh) * | 2018-10-23 | 2019-01-18 | 北斗智谷(北京)安全技术有限公司 | 一种恶意程序的识别方法及电子设备 |
| CN109492391A (zh) * | 2018-11-05 | 2019-03-19 | 腾讯科技(深圳)有限公司 | 一种应用程序的防御方法、装置和可读介质 |
| CN109492391B (zh) * | 2018-11-05 | 2023-02-28 | 腾讯科技(深圳)有限公司 | 一种应用程序的防御方法、装置和可读介质 |
| CN110399720B (zh) * | 2018-12-14 | 2022-12-16 | 腾讯科技(深圳)有限公司 | 一种文件检测的方法以及相关装置 |
| CN110399720A (zh) * | 2018-12-14 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种文件检测的方法以及相关装置 |
| CN110414228A (zh) * | 2018-12-20 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 计算机病毒的检测方法、装置、存储介质和计算机设备 |
| CN110414228B (zh) * | 2018-12-20 | 2023-01-03 | 腾讯科技(深圳)有限公司 | 计算机病毒的检测方法、装置、存储介质和计算机设备 |
| CN109815700A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 应用程序的处理方法及装置、存储介质、计算机设备 |
| CN112580041A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
| CN112580042A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
| CN112580043A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 基于虚拟机的杀毒方法及装置、存储介质、计算机设备 |
| CN112580042B (zh) * | 2019-09-30 | 2024-02-02 | 奇安信安全技术(珠海)有限公司 | 恶意程序的对抗方法及装置、存储介质、计算机设备 |
| CN114969734A (zh) * | 2022-05-16 | 2022-08-30 | 北京航空航天大学 | 一种基于api调用序列的勒索病毒变种检测方法 |
| CN114969734B (zh) * | 2022-05-16 | 2024-05-14 | 北京航空航天大学 | 一种基于api调用序列的勒索病毒变种检测方法 |
| CN117540385A (zh) * | 2024-01-09 | 2024-02-09 | 北京数基信息有限公司 | 脚本文件的监测方法、系统及存储介质 |
| CN117540385B (zh) * | 2024-01-09 | 2024-03-29 | 北京数基信息有限公司 | 脚本文件的监测方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160232351A1 (en) | 2016-08-11 |
| US11126717B2 (en) | 2021-09-21 |
| US20200026854A1 (en) | 2020-01-23 |
| CN105989283B (zh) | 2019-08-09 |
| TW201629832A (zh) | 2016-08-16 |
| US10460106B2 (en) | 2019-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105989283A (zh) | 一种识别病毒变种的方法及装置 | |
| CN108304720B (zh) | 一种基于机器学习的安卓恶意程序检测方法 | |
| CN105229612B (zh) | 使用基于硬件的微体系结构数据的异常程序执行的检测 | |
| Crussell et al. | Andarwin: Scalable detection of android application clones based on semantics | |
| CN105069355B (zh) | webshell变形的静态检测方法和装置 | |
| CN103761475B (zh) | 检测智能终端中恶意代码的方法及装置 | |
| EP2975873A1 (en) | A computer implemented method for classifying mobile applications and computer programs thereof | |
| CN114077741B (zh) | 软件供应链安全检测方法和装置、电子设备及存储介质 | |
| CN113821804B (zh) | 一种面向第三方组件及其安全风险的跨架构自动化检测方法与系统 | |
| CN106326737B (zh) | 用于检测可在虚拟堆栈机上执行的有害文件的系统和方法 | |
| Ceccato et al. | SOFIA: An automated security oracle for black-box testing of SQL-injection vulnerabilities | |
| CN103761481A (zh) | 一种恶意代码样本自动处理的方法及装置 | |
| TW201220118A (en) | A method and a system for automatically analyzing and classifying a malicious program | |
| CN103927483A (zh) | 用于检测恶意程序的判定模型及恶意程序的检测方法 | |
| CN103475671B (zh) | 恶意程序检测方法 | |
| CN108595953A (zh) | 对手机应用进行风险评估的方法 | |
| CN109558207A (zh) | 在虚拟机中形成用于进行文件的防病毒扫描的日志的系统和方法 | |
| CN107103237A (zh) | 一种恶意文件的检测方法及装置 | |
| CN109815697A (zh) | 误报行为处理方法及装置 | |
| CN110298173A (zh) | 检测由软件程序的延迟循环隐藏的恶意软件 | |
| CN106055479A (zh) | 一种基于强制执行的Android应用软件测试方法 | |
| Eskandari et al. | To incorporate sequential dynamic features in malware detection engines | |
| Li et al. | Large-scale third-party library detection in android markets | |
| CN110532776B (zh) | 基于运行时数据分析的Android恶意软件高效检测方法、系统及介质 | |
| CN105205398B (zh) | 一种基于apk加壳软件动态行为的查壳方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1229479 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201120 Address after: Room 603, 6 / F, Roche Plaza, 788 Cheung Sha Wan Road, Kowloon, China Patentee after: Zebra smart travel network (Hong Kong) Limited Address before: Cayman Islands Grand Cayman capital building, a four storey No. 847 mailbox Patentee before: Alibaba Group Holding Ltd. |