CN105989288A - 一种基于深度学习的恶意代码样本分类方法及系统 - Google Patents

一种基于深度学习的恶意代码样本分类方法及系统 Download PDF

Info

Publication number
CN105989288A
CN105989288A CN201511013606.XA CN201511013606A CN105989288A CN 105989288 A CN105989288 A CN 105989288A CN 201511013606 A CN201511013606 A CN 201511013606A CN 105989288 A CN105989288 A CN 105989288A
Authority
CN
China
Prior art keywords
sample data
malicious code
image sample
code
neural networks
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201511013606.XA
Other languages
English (en)
Other versions
CN105989288B (zh
Inventor
何源浩
孙岩
马志远
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Antian Information Technology Co Ltd
Original Assignee
Wuhan Antian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Antian Information Technology Co Ltd filed Critical Wuhan Antian Information Technology Co Ltd
Priority to CN201511013606.XA priority Critical patent/CN105989288B/zh
Publication of CN105989288A publication Critical patent/CN105989288A/zh
Application granted granted Critical
Publication of CN105989288B publication Critical patent/CN105989288B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Virology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Image Analysis (AREA)

Abstract

本发明公开了一种基于深度学习的恶意代码样本分类方法,包括:对恶意代码样本进行反汇编得到汇编代码;基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;将所述图像样本数据输入预先训练得到的卷积神经网络,得到恶意代码样本分类结果。本发明还公开了一种基于深度学习的恶意代码样本分类系统。本发明所述技术方案能够准确识别恶意代码样本所属类别,并提高了恶意代码样本分类的准确性。

Description

一种基于深度学习的恶意代码样本分类方法及系统
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于深度学习的恶意代码样本分类方法及系统。
背景技术
恶意代码(Unwanted Code)是指没有作用却会带来危险的代码,又称恶意软件。Ed Skoudis将恶意软件定义为运行在计算机上,使系统按照攻击者的意愿执行任务的一组指令;微软用恶意软件来指代故意在计算机系统中执行恶意任务的蠕虫、病毒和特洛伊木马。恶意代码分类问题是恶意代码研究领域的重要内容,国内外研究学者对此进行了深入研究,现有的自动分析恶意代码技术主要包括静态分析和动态分析两类:(1)静态分析技术是通过文件结构解析、反汇编、反编译等技术对恶意代码进行分析。该方法的技术难度高,且难以应对采用了加壳、多态和变形技术的恶意代码;(2)动态分析技术通过在一个可控环境中运行恶意代码,利用API Hooking等技术对恶意代码运行过程中的行为进行监测,分析恶意代码与操作系统之间的行为特征从而实现分类。该技术虽能克服静态分析技术的部分局限,但是只能针对可执行的恶意代码,且部分恶意代码采用了反虚拟机技术,降低了分析的准确性。
深度学习是近十年来人工智能领域取得的最重要的突破之一,在语音识别、自然语言处理、计算机视觉、图像与视频分析、多媒体等诸多领域都取得了巨大成功。在图像分类上,深度学习主要应用于人脸识别和物体检测,2014 年IEEE国际计算机视觉与模式识别会议(CVPR)上,DeepID和DeepFace都将深度学习应用于人脸识别,在LFW Face Database数据集上取得了97.45%和97.35%的人脸识别率,且DeepID2+通过对DeepID2 加大网络结构,增加训练数据,将识别率提升到99.47%;同年,在Large Scale Visual Recognition Challenge中,物体检测方面引入深度卷积网络和支持向量机将平均物体检测率(meanAveraged Precision,mAP)从22.581%提升到43.933%。由此可见,深度学习在图像分类上展现出了极好的分类性能和广阔的应用前景。
发明内容
本发明所述的技术方案通过将恶意代码样本转化为图像形式的样本数据,并将图像样本数据输入预先训练的卷积神经网络最终得到恶意代码样本分类结果。本发明所述的技术方案能够克服传统分类方法效率低并且准确性不高的问题。
本发明采用如下方法来实现:一种基于深度学习的恶意代码样本分类方法,包括:
对恶意代码样本进行反汇编得到汇编代码;
基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;
将所述图像样本数据输入预先训练得到的卷积神经网络,得到恶意代码样本分类结果。
进一步地,所述基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据为:
各字节十六进制码的取值范围为00至FF,对应的图像灰度值范围为0至255阶;
将汇编代码的各字节转化为对应图片灰度值形成图像样本数据。
更进一步地,所述将汇编代码的各字节转化为对应图片灰度值形成图像样本数据后,还包括:
根据恶意代码样本文件大小确定所述图像样本数据的统一宽度值;
以高度值最大的图像样本数据为基准,填充0补齐其他图像样本数据达到同一高度值。
上述方法中,所述卷积神经网络共五层,包括:
输入层,用于接收输入的图像样本数据;
卷积层C1,用于采用6个7*7的卷积核与所述图像样本数据的对应元素相乘、求和并加上偏置项后得到卷积层C1的特征图;
卷积层S1,用于采用6个4*4的子矩阵对卷积层C1的特征图进行子采样,得到卷积层S1的特征图;
全连接层C2,用于采用16个7*7的卷积核与卷积层S1的特征图做卷积运算后,求和并加上偏置项后得到全连接层C2的特征图;
输出层,由8个欧式径向基函数单元组成,用于基于全连接层C2的特征图输出所述图像样本数据所属的恶意代码样本分类。
其中,在预先训练所述卷积神经网络时,选取已知分类的恶意代码样本作为输入,计算所述卷积神经网络输出的恶意代码样本分类结果与实际已知分类之间的误差,通过后向传播算法调整所述卷积神经网络各层的权值和偏置项直至所述卷积神经网络稳定。
本发明可以采用如下系统来实现:一种基于深度学习的恶意代码样本分类系统,包括:
反汇编模块,用于对恶意代码样本进行反汇编得到汇编代码;
图像样本数据生成模块,用于基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;
恶意代码样本分类模块,用于将所述图像样本数据输入预先训练得到的卷积神经网络,得到恶意代码样本分类结果。
进一步地,所述图像样本数据生成模块,具体用于:
各字节十六进制码的取值范围为00至FF,对应的图像灰度值范围为0至255阶;
将汇编代码的各字节转化为对应图片灰度值形成图像样本数据。
更进一步地,所述将汇编代码的各字节转化为对应图片灰度值形成图像样本数据后,还包括:
根据恶意代码样本文件大小确定所述图像样本数据的统一宽度值;
以高度值最大的图像样本数据为基准,填充0补齐其他图像样本数据达到同一高度值。
上述系统中,所述卷积神经网络共五层,包括:
输入层,用于接收输入的图像样本数据;
卷积层C1,用于采用6个7*7的卷积核与所述图像样本数据的对应元素相乘、求和并加上偏置项后得到卷积层C1的特征图;
卷积层S1,用于采用6个4*4的子矩阵对卷积层C1的特征图进行子采样,得到卷积层S1的特征图;
全连接层C2,用于采用16个7*7的卷积核与卷积层S1的特征图做卷积运算后,求和并加上偏置项后得到全连接层C2的特征图;
输出层,由8个欧式径向基函数单元组成,用于基于全连接层C2的特征图输出所述图像样本数据所属的恶意代码样本分类。
其中,在预先训练所述卷积神经网络时,选取已知分类的恶意代码样本作为输入,计算所述卷积神经网络输出的恶意代码样本分类结果与实际已知分类之间的误差,通过后向传播算法调整所述卷积神经网络各层的权值和偏置项直至所述卷积神经网络稳定。
综上,本发明给出一种基于深度学习的恶意代码样本分类方法及系统,首先,对恶意代码样本进行反汇编处理;基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;最后,将图像样本数据输入预先训练得到的卷积神经网络中,得到恶意代码样本的分类结果,所述分类结果包括:病毒、木马、蠕虫、工具类、流氓软件、广告件、风险软件或者情色软件等。
有益效果为:本发明所述技术方案将图像分类的深度学习算法用于恶意代码样本的分类上,利用卷积神经网络完成恶意代码样本抽象特征的提取和多通道特征的呈现,从而可以多维度表征恶意代码样本的内部特征,进而提升恶意代码样本分类的准确性;进一步,本发明中所述卷积神经网络的训练过程可以利用GPU并行计算来实现,提升了算法计算效率,缩短了训练所需的时间。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于深度学习的恶意代码样本分类方法实施例流程图;
图2为本发明提供的一种基于深度学习的恶意代码样本分类系统实施例结构图。
具体实施方式
本发明给出了一种基于深度学习的恶意代码样本分类方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于深度学习的恶意代码样本分类方法实施例,如图1所示,包括:
S101对恶意代码样本进行反汇编得到汇编代码;其中,所述恶意代码样本包括但不限于:apk文件或者dex文件;
S102基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;
S103将所述图像样本数据输入预先训练得到的卷积神经网络,得到恶意代码样本分类结果。
其中,所述恶意代码样本分类结果包括但不限于:病毒、木马、蠕虫、工具类、流氓软件、广告件、风险软件或者情色软件等。
优选地,所述基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据为:
各字节十六进制码的取值范围为00至FF,对应的图像灰度值范围为0至255阶;
将汇编代码的各字节转化为对应图片灰度值形成图像样本数据。
更优选地,所述将汇编代码的各字节转化为对应图片灰度值形成图像样本数据后,还包括:
根据恶意代码样本文件大小确定所述图像样本数据的统一宽度值;
以高度值最大的图像样本数据为基准,填充0补齐其他图像样本数据达到同一高度值。
其中,所述根据恶意代码样本文件大小确定所述图像样本数据的统一宽度值为:
恶意代码样本文件大小 图像样本数据的宽度值
<10 kB 32
10 kB-30 kB 64
30 kB-60 kB 128
60 kB-100 kB 256
100 kB-200kB 384
200 kB-500 kB 512
500 kB-1000kB 768
依据恶意代码样本反汇编文件大小的分布情况,所述图像样本数据的宽度值为512pixel。
上述方法实施例中,所述卷积神经网络共五层,包括:
输入层,用于接收输入的图像样本数据;
卷积层C1,用于采用6个7*7的卷积核与所述图像样本数据的对应元素相乘、求和并加上偏置项后得到卷积层C1的特征图;
卷积层S1,用于采用6个4*4的子矩阵对卷积层C1的特征图进行子采样,得到卷积层S1的特征图;
全连接层C2,用于采用16个7*7的卷积核与卷积层S1的特征图做卷积运算后,求和并加上偏置项后得到全连接层C2的特征图;
输出层,由8个欧式径向基函数单元组成,用于基于全连接层C2的特征图输出所述图像样本数据所属的恶意代码样本分类。
例如:
输入层:输入一张尺寸为N*M的图像样本数据;
卷积层C1:采用6个7*7的卷积核,步长为1,将输入的图像样本数据和卷积核的对应元素相乘,求和,加上偏置项b后生成C1层的特征图的对应元素,最终得到6个N1*M1的特征图,其中N1=[(N-7)%1]+1,M1=[(M-7)%1]+1,%表示整除,[x]表示对x取整;
卷积层S1:采用6个4*4的子矩阵,步长为4,对C1层的6个特征图进行子采样,选用最大池采样方法,得到6个N2*M2的特征图,其中N2=[(N1-4)%4]+1,M2=[(M1-4)%4]+1;
全连接层C2:全连接是指C2的前6个特征图以S1中3个相邻的特征图子集作为输入;接下来6个特征图以S1中4个相邻特征图子集为输入;随后3个以不相邻的4个特征图子集作为输入;最后一个将S1中所有特征图为输入。全连接过程需要用到16个7*7卷积核,步长为1。具体操作过程为:取S1层y个特征图,将其与各自对应的卷积核做卷积运算后得到y个N3*M3的矩阵,将y个矩阵的对应元素相加,并为每个元素加上一个偏置项后,用sigmoid函数做非线性映射,即得到C2层的一个特征图。其中N3=[(N2-7)%1]+1,M3=[(M2-7)%1]+1。
输出层:由欧式径向基函数(Euclidean Radial Basis Function)单元组成,每类一个单元(共8类),每个有16个输入。每个输出RBF单元计算输入向量和参数向量之间的欧式距离。输入离参数向量越远,RBF输出的越大。
其中,在预先训练所述卷积神经网络时,选取已知分类的恶意代码样本作为输入,计算所述卷积神经网络输出的恶意代码样本分类结果与实际已知分类之间的误差,通过后向传播算法调整所述卷积神经网络各层的权值和偏置项直至所述卷积神经网络稳定。
其中,采用GPU实现所述卷积神经网络的训练过程;从而提升计算效率,缩短所需的分类时间。
本发明还提供了一种基于深度学习的恶意代码样本分类系统实施例,如图2所示,包括:
反汇编模块201,用于对恶意代码样本进行反汇编得到汇编代码;
图像样本数据生成模块202,用于基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;
恶意代码样本分类模块203,用于将所述图像样本数据输入预先训练得到的卷积神经网络,得到恶意代码样本分类结果。
优选地,所述图像样本数据生成模块,具体用于:
各字节十六进制码的取值范围为00至FF,对应的图像灰度值范围为0至255阶;
将汇编代码的各字节转化为对应图片灰度值形成图像样本数据。
更优选地,所述将汇编代码的各字节转化为对应图片灰度值形成图像样本数据后,还包括:
根据恶意代码样本文件大小确定所述图像样本数据的统一宽度值;
以高度值最大的图像样本数据为基准,填充0补齐其他图像样本数据达到同一高度值。
上述系统实施例中,所述卷积神经网络共五层,包括:
输入层,用于接收输入的图像样本数据;
卷积层C1,用于采用6个7*7的卷积核与所述图像样本数据的对应元素相乘、求和并加上偏置项后得到卷积层C1的特征图;
卷积层S1,用于采用6个4*4的子矩阵对卷积层C1的特征图进行子采样,得到卷积层S1的特征图;
全连接层C2,用于采用16个7*7的卷积核与卷积层S1的特征图做卷积运算后,求和并加上偏置项后得到全连接层C2的特征图;
输出层,由8个欧式径向基函数单元组成,用于基于全连接层C2的特征图输出所述图像样本数据所属的恶意代码样本分类。
其中,在预先训练所述卷积神经网络时,选取已知分类的恶意代码样本作为输入,计算所述卷积神经网络输出的恶意代码样本分类结果与实际已知分类之间的误差,通过后向传播算法调整所述卷积神经网络各层的权值和偏置项直至所述卷积神经网络稳定。
其中,采用GPU实现所述卷积神经网络的训练过程;从而提升计算效率,缩短所需的分类时间。
上述实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。上述方法实施例和系统实施例中相关之处互相参加即可。
如上所述,上述实施例给出了一种基于深度学习的恶意代码样本分类方法及系统实施例,通过对恶意代码样本进行反汇编得到汇编代码;并且基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;最后,将图像样本数据输入预先训练稳定的卷积神经网络中,得到恶意代码样本分类结果。
综上,上述实施例通过十六进制码与图像灰度值的对应关系,将汇编代码转化为图像形式的样本数据,进而利用卷积神经网络对图像样本数据进行分类;更为优选地,所述卷积神经网络包含五层,利用多层卷积实现恶意代码样本的特征提取,利用多核卷积实现恶意代码样本的多通道特征的提取,从而实现从多维度表征恶意代码样本的内部特征,从而最终提升恶意代码样本分类结果的准确性。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于深度学习的恶意代码样本分类方法,其特征在于,包括:
对恶意代码样本进行反汇编得到汇编代码;
基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;
将所述图像样本数据输入预先训练得到的卷积神经网络,得到恶意代码样本分类结果。
2.如权利要求1所述的方法,其特征在于,所述基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据为:
各字节十六进制码的取值范围为00至FF,对应的图像灰度值范围为0至255阶;
将汇编代码的各字节转化为对应图片灰度值形成图像样本数据。
3.如权利要求2所述的方法,其特征在于,所述将汇编代码的各字节转化为对应图片灰度值形成图像样本数据后,还包括:
根据恶意代码样本文件大小确定所述图像样本数据的统一宽度值;
以高度值最大的图像样本数据为基准,填充0补齐其他图像样本数据达到同一高度值。
4.如权利要求1~3任一所述的方法,其特征在于,所述卷积神经网络共五层,包括:
输入层,用于接收输入的图像样本数据;
卷积层C1,用于采用6个7*7的卷积核与所述图像样本数据的对应元素相乘、求和并加上偏置项后得到卷积层C1的特征图;
卷积层S1,用于采用6个4*4的子矩阵对卷积层C1的特征图进行子采样,得到卷积层S1的特征图;
全连接层C2,用于采用16个7*7的卷积核与卷积层S1的特征图做卷积运算后,求和并加上偏置项后得到全连接层C2的特征图;
输出层,由8个欧式径向基函数单元组成,用于基于全连接层C2的特征图输出所述图像样本数据所属的恶意代码样本分类。
5.如权利要求4所述的方法,其特征在于,在预先训练所述卷积神经网络时,选取已知分类的恶意代码样本作为输入,计算所述卷积神经网络输出的恶意代码样本分类结果与实际已知分类之间的误差,通过后向传播算法调整所述卷积神经网络各层的权值和偏置项直至所述卷积神经网络稳定。
6.一种基于深度学习的恶意代码样本分类系统,其特征在于,包括:
反汇编模块,用于对恶意代码样本进行反汇编得到汇编代码;
图像样本数据生成模块,用于基于十六进制码与图像灰度值的对应关系,将汇编代码转化为图像样本数据;
恶意代码样本分类模块,用于将所述图像样本数据输入预先训练得到的卷积神经网络,得到恶意代码样本分类结果。
7.如权利要求6所述的系统,其特征在于,所述图像样本数据生成模块,具体用于:
各字节十六进制码的取值范围为00至FF,对应的图像灰度值范围为0至255阶;
将汇编代码的各字节转化为对应图片灰度值形成图像样本数据。
8.如权利要求7所述的系统,其特征在于,所述将汇编代码的各字节转化为对应图片灰度值形成图像样本数据后,还包括:
根据恶意代码样本文件大小确定所述图像样本数据的统一宽度值;
以高度值最大的图像样本数据为基准,填充0补齐其他图像样本数据达到同一高度值。
9.如权利要求7~8任一所述的系统,其特征在于,所述卷积神经网络共五层,包括:
输入层,用于接收输入的图像样本数据;
卷积层C1,用于采用6个7*7的卷积核与所述图像样本数据的对应元素相乘、求和并加上偏置项后得到卷积层C1的特征图;
卷积层S1,用于采用6个4*4的子矩阵对卷积层C1的特征图进行子采样,得到卷积层S1的特征图;
全连接层C2,用于采用16个7*7的卷积核与卷积层S1的特征图做卷积运算后,求和并加上偏置项后得到全连接层C2的特征图;
输出层,由8个欧式径向基函数单元组成,用于基于全连接层C2的特征图输出所述图像样本数据所属的恶意代码样本分类。
10.如权利要求9所述的系统,其特征在于,在预先训练所述卷积神经网络时,选取已知分类的恶意代码样本作为输入,计算所述卷积神经网络输出的恶意代码样本分类结果与实际已知分类之间的误差,通过后向传播算法调整所述卷积神经网络各层的权值和偏置项直至所述卷积神经网络稳定。
CN201511013606.XA 2015-12-31 2015-12-31 一种基于深度学习的恶意代码样本分类方法及系统 Active CN105989288B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511013606.XA CN105989288B (zh) 2015-12-31 2015-12-31 一种基于深度学习的恶意代码样本分类方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511013606.XA CN105989288B (zh) 2015-12-31 2015-12-31 一种基于深度学习的恶意代码样本分类方法及系统

Publications (2)

Publication Number Publication Date
CN105989288A true CN105989288A (zh) 2016-10-05
CN105989288B CN105989288B (zh) 2019-04-16

Family

ID=57040712

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511013606.XA Active CN105989288B (zh) 2015-12-31 2015-12-31 一种基于深度学习的恶意代码样本分类方法及系统

Country Status (1)

Country Link
CN (1) CN105989288B (zh)

Cited By (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790019A (zh) * 2016-12-14 2017-05-31 北京天融信网络安全技术有限公司 基于特征自学习的加密流量识别方法及装置
CN107103235A (zh) * 2017-02-27 2017-08-29 广东工业大学 一种基于卷积神经网络的Android恶意软件检测方法
CN107220180A (zh) * 2017-06-08 2017-09-29 电子科技大学 一种基于神经网络语言模型的代码分类方法
CN107392019A (zh) * 2017-07-05 2017-11-24 北京金睛云华科技有限公司 一种恶意代码家族的训练和检测方法及装置
CN107665307A (zh) * 2017-09-13 2018-02-06 北京金山安全软件有限公司 一种应用识别方法、装置、电子设备以及存储介质
CN108156130A (zh) * 2017-03-27 2018-06-12 上海观安信息技术股份有限公司 网络攻击检测方法和装置
CN108376081A (zh) * 2016-11-21 2018-08-07 北京大学(天津滨海)新代信息技术研究院 一种检测移动应用第三方库功能的方法
WO2018184102A1 (en) * 2017-04-03 2018-10-11 Royal Bank Of Canada Systems and methods for malicious code detection
CN108717512A (zh) * 2018-05-16 2018-10-30 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于卷积神经网络的恶意代码分类方法
CN108804919A (zh) * 2018-05-03 2018-11-13 上海交通大学 基于深度学习的恶意代码同源判定方法
CN109002711A (zh) * 2018-06-04 2018-12-14 上海交通大学 一种基于深度学习的恶意代码同源判定系统及其判定方法
CN109165688A (zh) * 2018-08-28 2019-01-08 暨南大学 一种安卓恶意软件家族分类器构建方法及其分类方法
CN109241741A (zh) * 2018-03-14 2019-01-18 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于图像纹理指纹的恶意代码分类方法
CN109656737A (zh) * 2018-10-31 2019-04-19 阿里巴巴集团控股有限公司 异常信息的统计方法及装置
CN109829306A (zh) * 2019-02-20 2019-05-31 哈尔滨工程大学 一种优化特征提取的恶意软件分类方法
CN110135157A (zh) * 2019-04-04 2019-08-16 国家计算机网络与信息安全管理中心 恶意软件同源性分析方法、系统、电子设备及存储介质
CN110245494A (zh) * 2019-06-18 2019-09-17 平安科技(深圳)有限公司 恶意软件的检测方法、电子装置及计算机可读存储介质
JP2019527447A (ja) * 2017-05-24 2019-09-26 イーストセキュリティー コーポレーションESTsecurity Corp. ニューラルネットワーク学習ベースの変種悪性コードを検出するための装置、そのための方法及びこの方法を実行するためのプログラムが記録されたコンピュータ読み取り可能な記録媒体
CN110389887A (zh) * 2018-04-16 2019-10-29 鸿富锦精密工业(武汉)有限公司 代码检测系统及方法
CN110532772A (zh) * 2018-05-23 2019-12-03 深信服科技股份有限公司 文件检测方法、模型、设备及计算机可读存储介质
CN110647745A (zh) * 2019-07-24 2020-01-03 浙江工业大学 基于深度学习的恶意软件汇编格式的检测方法
CN110765458A (zh) * 2019-09-19 2020-02-07 浙江工业大学 一种基于深度学习的恶意软件检测方法及其装置
CN110837638A (zh) * 2019-11-08 2020-02-25 鹏城实验室 一种勒索软件的检测方法、装置、设备及存储介质
CN111610975A (zh) * 2019-02-26 2020-09-01 深信服科技股份有限公司 一种可执行文件类别确定方法、装置、设备及存储介质
CN112005532A (zh) * 2017-11-08 2020-11-27 爱维士软件有限责任公司 通过卷积网络的可执行文件的恶意软件分类
CN113360911A (zh) * 2021-07-22 2021-09-07 北京天融信网络安全技术有限公司 恶意代码同源分析方法、装置、计算机设备和存储介质
CN115511015A (zh) * 2022-11-23 2022-12-23 中国人民解放军国防科技大学 一种样本筛选方法、装置、设备及计算机可读存储介质
CN116910752A (zh) * 2023-07-17 2023-10-20 重庆邮电大学 一种基于大数据的恶意代码检测方法
CN117978517A (zh) * 2024-02-22 2024-05-03 国网甘肃省电力公司电力科学研究院 一种基于电力监控系统的网络攻击态势智能识别方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102651088A (zh) * 2012-04-09 2012-08-29 南京邮电大学 基于A_Kohonen神经网络的恶意代码分类方法
WO2014152469A1 (en) * 2013-03-18 2014-09-25 The Trustees Of Columbia University In The City Of New York Unsupervised anomaly-based malware detection using hardware features
CN104123500A (zh) * 2014-07-22 2014-10-29 卢永强 一种基于深度学习的Android平台恶意应用检测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102651088A (zh) * 2012-04-09 2012-08-29 南京邮电大学 基于A_Kohonen神经网络的恶意代码分类方法
WO2014152469A1 (en) * 2013-03-18 2014-09-25 The Trustees Of Columbia University In The City Of New York Unsupervised anomaly-based malware detection using hardware features
CN104123500A (zh) * 2014-07-22 2014-10-29 卢永强 一种基于深度学习的Android平台恶意应用检测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
韩晓光等: "基于图像纹理聚类的恶意代码家族标注方法", 《解放军理工大学学报(自然科学版)》 *

Cited By (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108376081A (zh) * 2016-11-21 2018-08-07 北京大学(天津滨海)新代信息技术研究院 一种检测移动应用第三方库功能的方法
CN106790019A (zh) * 2016-12-14 2017-05-31 北京天融信网络安全技术有限公司 基于特征自学习的加密流量识别方法及装置
CN106790019B (zh) * 2016-12-14 2019-10-11 北京天融信网络安全技术有限公司 基于特征自学习的加密流量识别方法及装置
CN107103235A (zh) * 2017-02-27 2017-08-29 广东工业大学 一种基于卷积神经网络的Android恶意软件检测方法
CN108156130B (zh) * 2017-03-27 2020-12-08 上海观安信息技术股份有限公司 网络攻击检测方法和装置
CN108156130A (zh) * 2017-03-27 2018-06-12 上海观安信息技术股份有限公司 网络攻击检测方法和装置
US10685284B2 (en) 2017-04-03 2020-06-16 Royal Bank Of Canada Systems and methods for malicious code detection
WO2018184102A1 (en) * 2017-04-03 2018-10-11 Royal Bank Of Canada Systems and methods for malicious code detection
US11675903B2 (en) 2017-05-24 2023-06-13 Estsecurity Corp. Apparatus for detecting variants of malicious code based on neural network learning, method therefor and computer readable recording medium storing program for performing the method
JP2019527447A (ja) * 2017-05-24 2019-09-26 イーストセキュリティー コーポレーションESTsecurity Corp. ニューラルネットワーク学習ベースの変種悪性コードを検出するための装置、そのための方法及びこの方法を実行するためのプログラムが記録されたコンピュータ読み取り可能な記録媒体
CN107220180A (zh) * 2017-06-08 2017-09-29 电子科技大学 一种基于神经网络语言模型的代码分类方法
CN107392019A (zh) * 2017-07-05 2017-11-24 北京金睛云华科技有限公司 一种恶意代码家族的训练和检测方法及装置
CN107665307A (zh) * 2017-09-13 2018-02-06 北京金山安全软件有限公司 一种应用识别方法、装置、电子设备以及存储介质
CN112005532A (zh) * 2017-11-08 2020-11-27 爱维士软件有限责任公司 通过卷积网络的可执行文件的恶意软件分类
CN112005532B (zh) * 2017-11-08 2023-04-04 爱维士软件有限责任公司 用于对可执行文件进行分类的方法、系统和存储介质
CN109241741A (zh) * 2018-03-14 2019-01-18 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于图像纹理指纹的恶意代码分类方法
CN109241741B (zh) * 2018-03-14 2021-06-22 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于图像纹理指纹的恶意代码分类方法
CN110389887B (zh) * 2018-04-16 2022-07-05 鸿富锦精密工业(武汉)有限公司 代码检测系统及方法
CN110389887A (zh) * 2018-04-16 2019-10-29 鸿富锦精密工业(武汉)有限公司 代码检测系统及方法
CN108804919A (zh) * 2018-05-03 2018-11-13 上海交通大学 基于深度学习的恶意代码同源判定方法
CN108717512B (zh) * 2018-05-16 2021-06-18 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于卷积神经网络的恶意代码分类方法
CN108717512A (zh) * 2018-05-16 2018-10-30 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于卷积神经网络的恶意代码分类方法
CN110532772A (zh) * 2018-05-23 2019-12-03 深信服科技股份有限公司 文件检测方法、模型、设备及计算机可读存储介质
CN110532772B (zh) * 2018-05-23 2024-01-02 深信服科技股份有限公司 文件检测方法、模型、设备及计算机可读存储介质
CN109002711A (zh) * 2018-06-04 2018-12-14 上海交通大学 一种基于深度学习的恶意代码同源判定系统及其判定方法
CN109165688A (zh) * 2018-08-28 2019-01-08 暨南大学 一种安卓恶意软件家族分类器构建方法及其分类方法
CN109656737A (zh) * 2018-10-31 2019-04-19 阿里巴巴集团控股有限公司 异常信息的统计方法及装置
CN109829306A (zh) * 2019-02-20 2019-05-31 哈尔滨工程大学 一种优化特征提取的恶意软件分类方法
CN109829306B (zh) * 2019-02-20 2023-07-21 哈尔滨工程大学 一种优化特征提取的恶意软件分类方法
CN111610975A (zh) * 2019-02-26 2020-09-01 深信服科技股份有限公司 一种可执行文件类别确定方法、装置、设备及存储介质
CN110135157A (zh) * 2019-04-04 2019-08-16 国家计算机网络与信息安全管理中心 恶意软件同源性分析方法、系统、电子设备及存储介质
CN110245494A (zh) * 2019-06-18 2019-09-17 平安科技(深圳)有限公司 恶意软件的检测方法、电子装置及计算机可读存储介质
CN110245494B (zh) * 2019-06-18 2024-05-24 平安科技(深圳)有限公司 恶意软件的检测方法、电子装置及计算机可读存储介质
CN110647745A (zh) * 2019-07-24 2020-01-03 浙江工业大学 基于深度学习的恶意软件汇编格式的检测方法
CN110765458A (zh) * 2019-09-19 2020-02-07 浙江工业大学 一种基于深度学习的恶意软件检测方法及其装置
CN110837638A (zh) * 2019-11-08 2020-02-25 鹏城实验室 一种勒索软件的检测方法、装置、设备及存储介质
CN110837638B (zh) * 2019-11-08 2020-09-01 鹏城实验室 一种勒索软件的检测方法、装置、设备及存储介质
CN113360911A (zh) * 2021-07-22 2021-09-07 北京天融信网络安全技术有限公司 恶意代码同源分析方法、装置、计算机设备和存储介质
CN115511015A (zh) * 2022-11-23 2022-12-23 中国人民解放军国防科技大学 一种样本筛选方法、装置、设备及计算机可读存储介质
CN115511015B (zh) * 2022-11-23 2023-04-07 中国人民解放军国防科技大学 一种样本筛选方法、装置、设备及计算机可读存储介质
CN116910752A (zh) * 2023-07-17 2023-10-20 重庆邮电大学 一种基于大数据的恶意代码检测方法
CN116910752B (zh) * 2023-07-17 2024-03-08 重庆邮电大学 一种基于大数据的恶意代码检测方法
CN117978517A (zh) * 2024-02-22 2024-05-03 国网甘肃省电力公司电力科学研究院 一种基于电力监控系统的网络攻击态势智能识别方法

Also Published As

Publication number Publication date
CN105989288B (zh) 2019-04-16

Similar Documents

Publication Publication Date Title
CN105989288A (zh) 一种基于深度学习的恶意代码样本分类方法及系统
CN110765458B (zh) 一种基于深度学习的恶意软件图像格式检测方法及其装置
US11829880B2 (en) Generating trained neural networks with increased robustness against adversarial attacks
CN110334742B (zh) 一种用于文档分类的基于强化学习的通过添加虚假节点的图对抗样本生成方法
WO2021096649A1 (en) Detecting unknown malicious content in computer systems
US10354173B2 (en) Icon based malware detection
CN111209398B (zh) 一种基于图卷积神经网络的文本分类方法、系统
Zhao et al. A malware detection method of code texture visualization based on an improved faster RCNN combining transfer learning
CN110826060A (zh) 物联网恶意软件的可视化分类方法、装置与电子设备
CN111552964A (zh) 一种基于静态分析的恶意软件分类方法
CN111259397B (zh) 一种基于马尔科夫图和深度学习的恶意软件分类方法
Zhao et al. Maldeep: A deep learning classification framework against malware variants based on texture visualization
CN111914254B (zh) 一种基于弱耦合sgan的恶意软件家族分类器生成方法、装置及可读存储介质
CN113806746A (zh) 基于改进cnn网络的恶意代码检测方法
US10783247B1 (en) Software classification using phylogenetic techniques
CN111400713B (zh) 基于操作码邻接图特征的恶意软件族群分类方法
Yoo et al. The image game: exploit kit detection based on recursive convolutional neural networks
CN111241550A (zh) 基于二进制映射和深度学习的漏洞检测方法
CN110581856A (zh) 一种恶意代码的检测方法及系统
Fonseca et al. Model-agnostic approaches to handling noisy labels when training sound event classifiers
Tang et al. Android malware detection based on a novel mixed bytecode image combined with attention mechanism
Xiao et al. Benchmarking the robustness of quantized models
CN111581640A (zh) 一种恶意软件检测方法、装置及设备、存储介质
Mahony et al. Self-organizing neural networks to support the discovery of DNA-binding motifs
US20230409960A1 (en) Image embeddings via deep learning and adaptive batch normalization

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 430076 No. 8 Huacheng Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province

Applicant after: Wuhan Antian Information Technology Co., Ltd.

Address before: 430000 Hubei Wuhan East Lake New Technology Development Zone Software Park East Road 1 software industry 4.1 phase B4 building 12 stories 01 rooms.

Applicant before: Wuhan Antian Information Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant