CN106295337A - 用于检测恶意漏洞文件的方法、装置及终端 - Google Patents
用于检测恶意漏洞文件的方法、装置及终端 Download PDFInfo
- Publication number
- CN106295337A CN106295337A CN201510377521.3A CN201510377521A CN106295337A CN 106295337 A CN106295337 A CN 106295337A CN 201510377521 A CN201510377521 A CN 201510377521A CN 106295337 A CN106295337 A CN 106295337A
- Authority
- CN
- China
- Prior art keywords
- file
- detected
- entropy
- training
- detection model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000001514 detection method Methods 0.000 claims abstract description 107
- 238000012549 training Methods 0.000 claims description 74
- 238000012360 testing method Methods 0.000 claims description 13
- 238000007689 inspection Methods 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 238000012937 correction Methods 0.000 claims description 3
- 239000012634 fragment Substances 0.000 description 9
- 239000000203 mixture Substances 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000003068 static effect Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 210000003127 knee Anatomy 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N99/00—Subject matter not provided for in other groups of this subclass
-
- G—PHYSICS
- G10—MUSICAL INSTRUMENTS; ACOUSTICS
- G10L—SPEECH ANALYSIS TECHNIQUES OR SPEECH SYNTHESIS; SPEECH RECOGNITION; SPEECH OR VOICE PROCESSING TECHNIQUES; SPEECH OR AUDIO CODING OR DECODING
- G10L19/00—Speech or audio signals analysis-synthesis techniques for redundancy reduction, e.g. in vocoders; Coding or decoding of speech or audio signals, using source filter models or psychoacoustic analysis
- G10L2019/0001—Codebooks
- G10L2019/0013—Codebook search algorithms
- G10L2019/0014—Selection criteria for distances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了用于检测恶意漏洞文件的方法、装置及终端。所述方法的一具体实施方式包括:获取待检测文件;确定所述待检测文件的熵向量;使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。该实施方式通过提取待检测文件的熵向量,并基于待检测文件的熵向量,确定该待检测文件是否为恶意漏洞文件。解决了现有技术中对恶意漏洞文件查杀速度慢,查杀能力和效率低下的技术问题,提高了对恶意漏洞文件的查杀效率。
Description
技术领域
本申请涉及计算机技术领域,具体漏洞检测技术领域,尤其涉及用于检测恶意漏洞文件的方法、装置及终端。
背景技术
目前,随着计算机技术的不断发展,计算机已经被广泛地应用于人们的日常生活中,并且功能也越来越多,成为人们生活和工作的重要工具。然而,有一些个人或组织利用先进的攻击手段对特定目标进行长期持续性网络攻击,从而导致恶意代码的执行及敏感信息泄露,威胁了网络的安全。
现有的检测恶意漏洞文件的方法有两种:一种为静态检测方法,一种为动态执行的检测方法。静态特征检测方法是比较常用的方法,检测的方式有两种:A、通过文件格式的异常检测异常文档。B、通过检测漏洞利用文件的固定特征检测异常文档。动态执行检测方法是一种启发式检测的方法。在一些较为高级的启发环境中会使用模拟环境执行待执行的文档,检测正常文档不存在的行为。如果文档触发了shellcode(填充数据,属于漏洞代码),就会具有文档本身不应该有的行为。比如:链接网络、执行程序、注入进程等等。
然而,对于静态检测方法来说,可以通过构造文档结构和改变shellcode,很容易的绕过静态检测的方法。因此,静态检测方法启发查杀能力很差,对于新出现的恶意漏洞文件没有什么查杀的能力。对于动态执行检测方法来说,有多种方法可以检测动态执行的虚拟环境,导致不触发相关的病毒代码,从而使得检测失败。因此,动态执行检测方法有一定的启发能力,但是效率低下,速度慢,并且启发能力不是很高。
发明内容
本申请提供了一种用于检测恶意漏洞文件的方法、装置及终端。解决了现有技术中对恶意漏洞文件查杀速度慢,查杀能力和效率低下的问题。
第一方面,本申请提供了一种用于检测恶意漏洞文件的方法,所述方法包括:获取待检测文件;确定所述待检测文件的熵向量;使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。
在某些实施方式中,所述检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;按照所述安全类别对所述训练文件进行安全类别的标识;确定所述训练文件的熵向量;基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。
在某些实施方式中,所述训练并输出检测模型包括:基于所述训练文件的熵向量和安全类别标识获得初始检测模型;
测试所述初始检测模型的误判率是否小于预定阈值;如果否,循环执行修正当前检测模型的步骤以及测试修正后的检测模型的误判率是否小于预定阈值的步骤;响应于修正后的检测模型的误判率小于预定阈值,停止循环并输出所述修正后的检测模型。
在某些实施方式中,所述获得初始检测模型,包括:从所述训练文件中获取部分文件作为第一文件;对所述第一文件的熵向量进行特征分类;基于所述特征分类的结果以及所述第一文件的安全类别标识,学习得到初始检测模型。
在某些实施方式中,测试检测模型的误判率是否小于预定阈值,包括:从所述训练文件中获取部分文件作为第二文件;使用待测试的检测模型对所述第二文件的熵向量进行检测;根据检测的结果以及所述第二文件的安全类别标识确定误判率;将所述误判率与所述预定阈值进行比较,以确定所述误判率是否小于预定阈值;其中,所述第二文件中不包含所述第一文件。
在某些实施方式中,所述修正当前检测模型,包括以下至少一项:增加第一文件的数量并重新学习得到检测模型;以及调整熵向量的维度数并重新学习得到检测模型。
在某些实施方式中,通过如下方式确定文件的熵向量:将文件切分为预定数量的切片;获取每个所述切片的熵值;将所述切片的数量作为熵向量的维度数,每个所述切片对应一个熵向量的方向,基于每个所述切片的熵值确定文件的熵向量。
第二方面,本申请提供了一种用于检测恶意漏洞文件的装置,获取单元,用于获取待检测文件;确定单元,用于确定所述待检测文件的熵向量;检测单元,用于使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。
在某些实施方式中,所述检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;按照所述安全类别对所述训练文件进行安全类别的标识;确定所述训练文件的熵向量;基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。
在某些实施方式中,所述训练并输出检测模型包括:基于所述训练文件的熵向量和安全类别标识获得初始检测模型;测试所述初始检测模型的误判率是否小于预定阈值;如果否,循环执行修正当前检测模型的步骤以及测试修正后的检测模型的误判率是否小于预定阈值的步骤;响应于修正后的检测模型的误判率小于预定阈值,停止循环并输出所述修正后的检测模型。
在某些实施方式中,所述获得初始检测模型,包括:从所述训练文件中获取部分文件作为第一文件;对所述第一文件的熵向量进行特征分类;基于所述特征分类的结果以及所述第一文件的安全类别标识,学习得到初始检测模型。
在某些实施方式中,测试检测模型的误判率是否小于预定阈值,包括:从所述训练文件中获取部分文件作为第二文件;使用待测试的检测模型对所述第二文件的熵向量进行检测;根据检测的结果以及所述第二文件的安全类别标识确定误判率;将所述误判率与所述预定阈值进行比较,以确定所述误判率是否小于预定阈值;其中,所述第二文件中不包含所述第一文件。
在某些实施方式中,所述修正当前检测模型,包括以下至少一项:增加第一文件的数量并重新学习得到检测模型;以及调整熵向量的维度数并重新学习得到检测模型。
在某些实施方式中,所述确定单元配置用于:将文件切分为预定数量的切片;获取每个所述切片的熵值;将所述切片的数量作为熵向量的维度数,每个所述切片对应一个熵向量的方向,基于每个所述切片的熵值确定文件的熵向量。
第三方面,本申请提供了一种终端,所述终端包括处理器,存储器;其中,所述存储器用于存储经过训练的检测模型,所述处理器用于获取待检测文件,确定所述待检测文件的熵向量,并使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。
在某些实施方式中,所述检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;按照所述安全类别对所述训练文件进行安全类别的标识;确定所述训练文件的熵向量;基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。
本申请提供的用于识别手势的方法、装置及终端,通过提取待检测文件的熵向量,并基于待检测文件的熵向量,确定该待检测文件是否为恶意漏洞文件。解决了现有技术中对恶意漏洞文件查杀速度慢,查杀能力和效率低下的技术问题,提高了对恶意漏洞文件的查杀效率。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请实施例提供的用于检测恶意漏洞文件的方法的一个实施例的流程图;
图2是本申请实施例提供的恶意漏洞文件内容的熵值曲线变化示意图;
图3是本申请实施例提供的包含shellcode的文件的内容熵值曲线变化示意图;
图4是本申请实施例提供的获得检测模型的方法的一个实施例的流程图;
图5是本申请实施例提供的用于检测恶意漏洞文件的装置的一个实施例的结构示意图;
图6是本申请实施例提供的终端的一个实施例的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
本申请所涉及的终端可以包括但不限于智能手机、平板电脑、个人数字助理、膝上型便携计算机以及台式电脑等等。出于示例描述目的以及为了简洁起见,在接下来的讨论中,结合台式电脑来描述本申请的示例性实施例。
请参考图1,其示出了根据本申请的用于检测恶意漏洞文件的方法的一个实施例的流程100。
如图1所示,在步骤101中,获取待检测文件。
接着,在步骤102中,确定待检测文件的熵向量。
一般来说,恶意漏洞文件在文档中构造了大量的重复字串,然后构造ROP(Return-oriented programming,返回导向编程),执行其他模块中的代码,从而绕过DEP(Data Execution Prevention,数据执行保护)以释放病毒体。
在本实施例中,通过对一些恶意漏洞文件进行深入地分析发现,构造好的可疑文件会将病毒文件加密放在文本后面,此部分内容的熵值必然非常大,而且会用大量的重复数据填充,所以文件的熵值曲线应该在末尾有一个突增。
例如,图2示出了恶意漏洞文件内容的熵值曲线变化示意图,如图2所示,横坐标表示文件内容的片段的位置,横坐标的原点表示文件头的位置,横坐标的值越大表示文件的内容片段越靠后。纵坐标表示文件中对应于横坐标位置的内容片段的熵值。从图2可以看出恶意漏洞文件内容在末尾的片段的熵值有一个突增。
又例如,图3示出了包含shellcode的文件的内容熵值曲线变化示意图,如图3所示,横坐标表示文件内容的片段的位置,横坐标的原点表示文件头的位置,横坐标的值越大表示文件的内容片段越靠后。纵坐标表示文件中对应于横坐标位置的内容片段的熵值。从图3可以看出,包含shellcode的文件的内容熵值包含了大量的连续的4左右的数据。
因此,在本实施例中,可以根据待检测文件的熵向量的特征判断待检测文件是否为恶意漏洞文件。
需要说明的是,文件片段的熵值表征了该文件片段的混乱程度,文字、图片、代码、压缩包、应用程序等,由于组织方式不同,熵值也不相同。例如,图片经过压缩,压缩包也经过压缩,其熵值就会很高,而且有一定的规律。可以用数据编码的信息熵来表示编码的状态。
在本实施例中,可以通过如下方式确定文件的熵向量:首先,将文件等值切分为预定数量的切片,计算每一片切片的信息熵,以表示整个文件编码的变化情况。其中,预定数量可以是用户预先设定的一个值,可以理解,本申请对预定数量的具体数值不限定。将上述切片的数量作为熵向量的维度数,每个切片对应一个熵向量的方向,基于每个切片的熵值确定文件的熵向量。例如,假设将文件等值切分为3个切片,分别为切片i,切片j,切片k,计算这3个切片对应的熵值,分别为a,b,c,则该文件的熵向量为3维向量,熵向量可以表示为
最后,在步骤103中,使用经过训练的检测模型对上述待检测文件的熵向量进行检测,以确定该待检测文件是否为恶意漏洞文件。
在本实施例中,可以使用经过训练的检测模型对上述待检测文件的熵向量进行检测,分析待检测文件的熵向量的特征,根据待检测文件的熵向量的特征确定该待检测文件是否为恶意漏洞文件。
需要说明的是,恶意漏洞文件的文件类型不同,其熵向量的特征就不相同。因此,每种文件类型对应一种检测模型,在检测待检测文件时,所选取的检测模型对应的文件类型与待检测文件的文件类型相同。
本申请的上述实施例提供的方法,通过提取待检测文件的熵向量,并基于待检测文件的熵向量,确定该待检测文件是否为恶意漏洞文件。解决了现有技术中对恶意漏洞文件查杀速度慢,查杀能力和效率低下的技术问题,提高了对恶意漏洞文件的查杀效率。
进一步参考图4,其示出了获得检测模型的方法的一个实施例的流程400。
如图4所示,在步骤401中,获取多个文件类型相同且安全类别已知的文件作为训练文件。
在本实施例中,任意获取多个文件类型相同的文件作为训练文件,并且这些文件的安全类别已知,其中,安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别。需要说明的是,上述训练文件的安全类别可以是通过其它方法确定的,可以理解,本申请对确定上述训练文件的安全类别的具体方法不限定。
接着,在步骤402中,按照安全类别对上述训练文件进行安全类别的标识。
在本实施例中,按照训练文件的安全类别对上述训练文件进行标识,在本实施例的一种实现中,可以采用特殊颜色对训练文件进行安全类别的标识,不同的颜色表示不同的安全类别。在本实施例的另一种实现中,可以采用特殊符号对训练文件进行安全类别的标识,不同的符号表示不同的安全类别。可以理解,还可以通过其它的方式对上述训练文件进行安全类别的标识,本申请对此方面不限定。
继而,在步骤403中,确定上述训练文件的熵向量。
最后,在步骤404中,基于上述训练文件的熵向量和安全类别标识训练并输出检测模型。
在本实施例中,首先,基于上述训练文件的熵向量和安全类别标识获得初始检测模型。具体地,先从训练文件中获取部分文件作为第一文件,对第一文件的熵向量进行特征分类。可以采用SVM(SupportVector Machine,支持向量机)算法对第一文件的熵向量进行特征分类。可以理解,还可以采用其它的方式对第一文件的熵向量进行特征分类,本申请对进行特征分类所采用的具体方式方面不限定。然后,基于特征分类的结果以及第一文件的安全类别标识,学习得到初始检测模型。
接着,测试上述初始检测模型的误判率是否小于预定阈值。具体地,从训练文件中不包含第一文件的部分文件中获取多个文件作为第二文件(第二文件中不包含第一文件),使用初始检测模型(待测试的检测模型)对每个第二文件的熵向量进行检测,判断每个第二文件的安全类别。然后将初始检测模型判断的结果与每个第二文件的安全类别标识进行比较。如果初始检测模型判断的结果与某个第二文件的安全类别标识所对应的安全类别一致,则该判断结果正确。如果初始检测模型判断的结果与某个第二文件的安全类别标识所对应的安全类别不一致,则该判断结果错误。用判断结果出现错误的次数除以测试的总次数,从而获得该初始检测模型的误判率。将该误判率与预定阈值进行比较,以确定误判率是否小于预定阈值。
继而,如果初始检测模型的误判率大于等于预定阈值,说明该模型的准确率不够高,因此,循环执行修正当前检测模型的步骤以及测试修正后的检测模型的误判率是否小于预定阈值的步骤。具体地,修正当前检测模型,可以包括以下至少一项:增加第一文件的数量并重新学习得到检测模型以及调整熵向量的维度数并重新学习得到检测模型。
最后,响应于修正后的检测模型的误判率小于预定阈值,说明该模型的准确率已经满足条件,停止循环并输出修正后的检测模型。
应当注意,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,流程图中描绘的步骤可以改变执行顺序。例如,在图4的流程400中,可以先执行步骤403,确定上述训练文件的熵向量,然后再执行步骤402,按照安全类别对上述训练文件进行安全类别的标识。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
进一步参考图5,其示出了根据本申请的用于检测恶意漏洞文件的装置的一个实施例的结构示意图。
如图5所示,本实施例的装置500包括:获取单元501,确定单元502和检测单元503。其中,获取单元501用于获取待检测文件。确定单元502用于确定待检测文件的熵向量。检测单元503用于使用经过训练的检测模型对待检测文件的熵向量进行检测,以确定待检测文件是否为恶意漏洞文件,其中,待检测文件的文件类型和检测模型对应的文件类型相同。
在一些可选实施方式中,检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别。按照安全类别对训练文件进行安全类别的标识。确定训练文件的熵向量。基于训练文件的熵向量和安全类别标识训练并输出检测模型。
在一些可选实施方式中,训练并输出检测模型包括:基于训练文件的熵向量和安全类别标识获得初始检测模型。测试初始检测模型的误判率是否小于预定阈值。如果否,循环执行修正当前检测模型的步骤以及测试修正后的检测模型的误判率是否小于预定阈值的步骤。响应于修正后的检测模型的误判率小于预定阈值,停止循环并输出所述修正后的检测模型。
在一些可选实施方式中,获得初始检测模型,包括:从训练文件中获取部分文件作为第一文件。对第一文件的熵向量进行特征分类。基于特征分类的结果以及第一文件的安全类别标识,学习得到初始检测模型。
在一些可选实施方式中,测试检测模型的误判率是否小于预定阈值,包括:从训练文件中获取部分文件作为第二文件。使用待测试的检测模型对第二文件的熵向量进行检测。根据检测的结果以及第二文件的安全类别标识确定误判率。将误判率与预定阈值进行比较,以确定误判率是否小于预定阈值。其中,第二文件中不包含第一文件。
在一些可选实施方式中,修正当前检测模型,包括以下至少一项:增加第一文件的数量并重新学习得到检测模型,以及调整熵向量的维度数并重新学习得到检测模型。
在一些可选实施方式中,确定单元配置用于:将文件切分为预定数量的切片。获取每个切片的熵值。将切片的数量作为熵向量的维度数,每个切片对应一个熵向量的方向,基于每个切片的熵值确定文件的熵向量。
应当理解,装置500中记载的诸单元或模块与参考图1-4描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作和特征同样适用于装置500及其中包含的单元,在此不再赘述。装置500可以预先设置在终端中,也可以通过下载等方式而加载到终端中。装置500中的相应单元可以与终端中的单元相互配合以实现用于识别手势的方案。
进一步参考图6,其示出了根据本申请的终端的一个实施例的结构示意图。
如图6所示,本实施例的终端600包括:至少一个处理器601,例如CPU(Central Processing Unit,中央处理器),至少一个通信接口602,至少一个用户接口603,存储器604,至少一个通信总线605。通信总线605用于实现上述组件之间的连接通信。终端600可选的包含用户接口603,如显示组件,键盘或者点击设备(例如,鼠标,轨迹球(trackball),触感板或者触感显示屏)等等。存储器604可能包含高速RAM(Random Access Memory,随机存取存储器),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器604可选的可以包含至少一个位于远离前述处理器601的存储装置。
在一些实施方式中,存储器604存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:
操作系统614,包含各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
应用程序624,包含各种应用程序,用于实现各种应用业务。
在本实施例中,存储器604用于存储经过训练的检测模型。处理器601用于获取待检测文件,确定待检测文件的熵向量,并使用经过训练的检测模型对待检测文件的熵向量进行检测,以确定待检测文件是否为恶意漏洞文件,其中,待检测文件的文件类型和所述检测模型对应的文件类型相同。
进一步地,检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别。按照安全类别对训练文件进行安全类别的标识。确定训练文件的熵向量。基于训练文件的熵向量和安全类别标识训练并输出检测模型。
描述于本申请实施例中所涉及到的单元模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取单元,确定单元,检测单元。其中,这些单元模块的名称在某种情况下并不构成对该单元模块本身的限定,例如,获取单元还可以被描述为“用于获取待检测文件的单元”。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本申请的用于检测恶意漏洞文件的方法。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (12)
1.一种用于检测恶意漏洞文件的方法,其特征在于,所述方法包括:
获取待检测文件;
确定所述待检测文件的熵向量;
使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。
2.根据权利要求1所述的方法,其特征在于,所述检测模型通过如下方式获得:
获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;
按照所述安全类别对所述训练文件进行安全类别的标识;
确定所述训练文件的熵向量;
基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。
3.根据权利要求2所述的方法,其特征在于,所述训练并输出检测模型包括:
基于所述训练文件的熵向量和安全类别标识获得初始检测模型;
测试所述初始检测模型的误判率是否小于预定阈值;
如果否,循环执行修正当前检测模型的步骤以及测试修正后的检测模型的误判率是否小于预定阈值的步骤;
响应于修正后的检测模型的误判率小于预定阈值,停止循环并输出所述修正后的检测模型。
4.根据权利要求3所述的方法,其特征在于,所述获得初始检测模型,包括:
从所述训练文件中获取部分文件作为第一文件;
对所述第一文件的熵向量进行特征分类;
基于所述特征分类的结果以及所述第一文件的安全类别标识,学习得到初始检测模型。
5.根据权利要求4所述的方法,其特征在于,测试检测模型的误判率是否小于预定阈值,包括:
从所述训练文件中获取部分文件作为第二文件;
使用待测试的检测模型对所述第二文件的熵向量进行检测;
根据检测的结果以及所述第二文件的安全类别标识确定误判率;
将所述误判率与所述预定阈值进行比较,以确定所述误判率是否小于预定阈值;
其中,所述第二文件中不包含所述第一文件。
6.根据权利要求5所述的方法,其特征在于,所述修正当前检测模型,包括以下至少一项:
增加第一文件的数量并重新学习得到检测模型;以及
调整熵向量的维度数并重新学习得到检测模型。
7.根据权利要求1-6中任意一项所述的方法,其特征在于,通过如下方式确定文件的熵向量:
将文件切分为预定数量的切片;
获取每个所述切片的熵值;
将所述切片的数量作为熵向量的维度数,每个所述切片对应一个熵向量的方向,基于每个所述切片的熵值确定文件的熵向量。
8.一种用于检测恶意漏洞文件的装置,其特征在于,所述装置包括:
获取单元,用于获取待检测文件;
确定单元,用于确定所述待检测文件的熵向量;
检测单元,用于使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。
9.根据权利要求8所述的装置,其特征在于,所述检测模型通过如下方式获得:
获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;
按照所述安全类别对所述训练文件进行安全类别的标识;
确定所述训练文件的熵向量;
基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。
10.根据权利要求8或9所述的装置,其特征在于,所述确定单元配置用于:
将文件切分为预定数量的切片;
获取每个所述切片的熵值;
将所述切片的数量作为熵向量的维度数,每个所述切片对应一个熵向量的方向,基于每个所述切片的熵值确定文件的熵向量。
11.一种终端,其特征在于,所述终端包括处理器,存储器;
其中,所述存储器用于存储经过训练的检测模型,所述处理器用于获取待检测文件,确定所述待检测文件的熵向量,并使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。
12.根据权利要求11所述的终端,其特征在于,所述检测模型通过如下方式获得:
获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;
按照所述安全类别对所述训练文件进行安全类别的标识;
确定所述训练文件的熵向量;
基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510377521.3A CN106295337B (zh) | 2015-06-30 | 2015-06-30 | 用于检测恶意漏洞文件的方法、装置及终端 |
KR1020150166482A KR101711882B1 (ko) | 2015-06-30 | 2015-11-26 | 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기 |
JP2015234043A JP6138896B2 (ja) | 2015-06-30 | 2015-11-30 | 悪質な脆弱性のあるファイルを検出する方法、装置及び端末 |
US14/985,944 US10176323B2 (en) | 2015-06-30 | 2015-12-31 | Method, apparatus and terminal for detecting a malware file |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510377521.3A CN106295337B (zh) | 2015-06-30 | 2015-06-30 | 用于检测恶意漏洞文件的方法、装置及终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106295337A true CN106295337A (zh) | 2017-01-04 |
CN106295337B CN106295337B (zh) | 2018-05-22 |
Family
ID=57651270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510377521.3A Active CN106295337B (zh) | 2015-06-30 | 2015-06-30 | 用于检测恶意漏洞文件的方法、装置及终端 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10176323B2 (zh) |
JP (1) | JP6138896B2 (zh) |
KR (1) | KR101711882B1 (zh) |
CN (1) | CN106295337B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108763931A (zh) * | 2018-05-28 | 2018-11-06 | 上海交通大学 | 基于Bi-LSTM和文本相似性的漏洞检测方法 |
CN109194609A (zh) * | 2018-07-20 | 2019-01-11 | 西安四叶草信息技术有限公司 | 一种检测漏洞文件的方法及装置 |
CN109992969A (zh) * | 2019-03-25 | 2019-07-09 | 腾讯科技(深圳)有限公司 | 一种恶意文件检测方法、装置及检测平台 |
WO2019242444A1 (zh) * | 2018-06-20 | 2019-12-26 | 深信服科技股份有限公司 | 一种训练机器学习引擎的方法、系统及相关装置 |
CN111191242A (zh) * | 2019-08-09 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 漏洞信息确定方法、装置、计算机可读存储介质及设备 |
WO2020168614A1 (zh) * | 2019-02-18 | 2020-08-27 | 暨南大学 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
CN111723373A (zh) * | 2019-03-19 | 2020-09-29 | 国家计算机网络与信息安全管理中心 | 复合式二进制文档的漏洞利用文件检测方法及装置 |
CN112966267A (zh) * | 2021-03-02 | 2021-06-15 | 北京六方云信息技术有限公司 | 基于机器学习的恶意文件检测方法及系统 |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US9864956B1 (en) * | 2017-05-01 | 2018-01-09 | SparkCognition, Inc. | Generation and use of trained file classifiers for malware detection |
US10616252B2 (en) | 2017-06-30 | 2020-04-07 | SparkCognition, Inc. | Automated detection of malware using trained neural network-based file classifiers and machine learning |
US10305923B2 (en) | 2017-06-30 | 2019-05-28 | SparkCognition, Inc. | Server-supported malware detection and protection |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10922139B2 (en) * | 2018-10-11 | 2021-02-16 | Visa International Service Association | System, method, and computer program product for processing large data sets by balancing entropy between distributed data segments |
US10880328B2 (en) | 2018-11-16 | 2020-12-29 | Accenture Global Solutions Limited | Malware detection |
KR101963756B1 (ko) * | 2018-11-19 | 2019-03-29 | 세종대학교산학협력단 | 소프트웨어 취약점 예측 모델 학습 장치 및 방법, 소프트웨어 취약점 분석 장치 및 방법 |
US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11374946B2 (en) * | 2019-07-19 | 2022-06-28 | Palo Alto Networks, Inc. | Inline malware detection |
US11636208B2 (en) | 2019-07-19 | 2023-04-25 | Palo Alto Networks, Inc. | Generating models for performing inline malware detection |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
CN113050015B (zh) * | 2021-03-26 | 2023-01-17 | 联想(北京)有限公司 | 一种数据处理方法及电子装置 |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
US11934667B1 (en) * | 2021-06-30 | 2024-03-19 | Amazon Technologies, Inc. | Encrypted-data-only media operations |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
CN116578536B (zh) * | 2023-07-12 | 2023-09-22 | 北京安天网络安全技术有限公司 | 文件检测方法、存储介质及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102024112A (zh) * | 2010-12-17 | 2011-04-20 | 四川大学 | 基于静态特征的pe文件加壳检测方法 |
CN102708313A (zh) * | 2012-03-08 | 2012-10-03 | 珠海市君天电子科技有限公司 | 针对大文件的病毒检测系统及方法 |
CN103839006A (zh) * | 2010-11-29 | 2014-06-04 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
Family Cites Families (53)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6578018B1 (en) * | 1999-07-27 | 2003-06-10 | Yamaha Hatsudoki Kabushiki Kaisha | System and method for control using quantum soft computing |
US7376635B1 (en) * | 2000-07-21 | 2008-05-20 | Ford Global Technologies, Llc | Theme-based system and method for classifying documents |
US6775405B1 (en) * | 2000-09-29 | 2004-08-10 | Koninklijke Philips Electronics, N.V. | Image registration system and method using cross-entropy optimization |
JP2003207565A (ja) * | 2002-01-10 | 2003-07-25 | Mitsubishi Electric Corp | 類識別装置及び類識別方法 |
US7593904B1 (en) * | 2005-06-30 | 2009-09-22 | Hewlett-Packard Development Company, L.P. | Effecting action to address an issue associated with a category based on information that enables ranking of categories |
US8176414B1 (en) * | 2005-09-30 | 2012-05-08 | Google Inc. | Document division method and system |
US20070152854A1 (en) * | 2005-12-29 | 2007-07-05 | Drew Copley | Forgery detection using entropy modeling |
US8490194B2 (en) * | 2006-01-31 | 2013-07-16 | Robert Moskovitch | Method and system for detecting malicious behavioral patterns in a computer, using machine learning |
KR20070095718A (ko) * | 2006-03-22 | 2007-10-01 | 한국전자통신연구원 | 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 |
WO2008055156A2 (en) * | 2006-10-30 | 2008-05-08 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
US8069484B2 (en) * | 2007-01-25 | 2011-11-29 | Mandiant Corporation | System and method for determining data entropy to identify malware |
US8019700B2 (en) * | 2007-10-05 | 2011-09-13 | Google Inc. | Detecting an intrusive landing page |
US20090113128A1 (en) * | 2007-10-24 | 2009-04-30 | Sumwintek Corp. | Method and system for preventing virus infections via the use of a removable storage device |
US20100205198A1 (en) * | 2009-02-06 | 2010-08-12 | Gilad Mishne | Search query disambiguation |
US8266698B1 (en) * | 2009-03-09 | 2012-09-11 | Symantec Corporation | Using machine infection characteristics for behavior-based detection of malware |
US8744171B1 (en) * | 2009-04-29 | 2014-06-03 | Google Inc. | Text script and orientation recognition |
JP5126694B2 (ja) * | 2009-07-21 | 2013-01-23 | 日本電気株式会社 | 学習システム |
JP2011034177A (ja) * | 2009-07-30 | 2011-02-17 | Sony Corp | 情報処理装置および情報処理方法、並びにプログラム |
US8924314B2 (en) * | 2010-09-28 | 2014-12-30 | Ebay Inc. | Search result ranking using machine learning |
US8869277B2 (en) * | 2010-09-30 | 2014-10-21 | Microsoft Corporation | Realtime multiple engine selection and combining |
US9349006B2 (en) * | 2010-11-29 | 2016-05-24 | Beijing Qihoo Technology Company Limited | Method and device for program identification based on machine learning |
US8521667B2 (en) * | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
KR101228899B1 (ko) * | 2011-02-15 | 2013-02-06 | 주식회사 안랩 | 벡터량 산출을 이용한 악성코드의 분류 및 진단 방법과 장치 |
US8402543B1 (en) * | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
US20130018650A1 (en) * | 2011-07-11 | 2013-01-17 | Microsoft Corporation | Selection of Language Model Training Data |
US9501640B2 (en) * | 2011-09-14 | 2016-11-22 | Mcafee, Inc. | System and method for statistical analysis of comparative entropy |
US20130097704A1 (en) * | 2011-10-13 | 2013-04-18 | Bitdefender IPR Management Ltd. | Handling Noise in Training Data for Malware Detection |
US8549645B2 (en) * | 2011-10-21 | 2013-10-01 | Mcafee, Inc. | System and method for detection of denial of service attacks |
CN103906473B (zh) * | 2011-10-28 | 2016-01-06 | 日立阿洛卡医疗株式会社 | 超声波成像装置、超声波成像方法 |
JP2013103072A (ja) * | 2011-11-16 | 2013-05-30 | Ntt Docomo Inc | メンタル状態推定装置、メンタル状態推定システム、メンタル状態推定方法、メンタル状態推定プログラム、及び携帯端末 |
US8918353B2 (en) * | 2012-02-22 | 2014-12-23 | Knowmtech, Llc | Methods and systems for feature extraction |
US8837720B2 (en) * | 2012-03-16 | 2014-09-16 | Paul de Roulet | Cryptographically secure pseudorandom number generator |
KR20130126814A (ko) * | 2012-04-26 | 2013-11-21 | 한국전자통신연구원 | 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법 |
US9548987B1 (en) * | 2012-06-11 | 2017-01-17 | EMC IP Holding Company LLC | Intelligent remediation of security-related events |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US9607272B1 (en) * | 2012-10-05 | 2017-03-28 | Veritas Technologies Llc | System and method for training data generation in predictive coding |
JP2014085854A (ja) * | 2012-10-24 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 類似度評価システム、類似度評価装置、利用者端末、類似度評価方法、およびプログラム |
KR101432429B1 (ko) * | 2013-02-26 | 2014-08-22 | 한양대학교 산학협력단 | 시각적 데이터 생성을 이용한 악성 코드 분석 시스템과 그 방법 |
US9465942B1 (en) * | 2013-04-08 | 2016-10-11 | Amazon Technologies, Inc. | Dictionary generation for identifying coded credentials |
WO2014183089A1 (en) * | 2013-05-09 | 2014-11-13 | Metavana, Inc. | Hybrid human machine learning system and method |
WO2014184934A1 (ja) * | 2013-05-16 | 2014-11-20 | 株式会社日立製作所 | 障害分析方法、障害分析システム及び記憶媒体 |
US9288220B2 (en) * | 2013-11-07 | 2016-03-15 | Cyberpoint International Llc | Methods and systems for malware detection |
US9438624B2 (en) * | 2013-12-04 | 2016-09-06 | Empire Technology Development Llc | Detection of side channel attacks between virtual machines |
US9386034B2 (en) * | 2013-12-17 | 2016-07-05 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
KR102131099B1 (ko) * | 2014-02-13 | 2020-08-05 | 삼성전자 주식회사 | 지식 그래프에 기초한 사용자 인터페이스 요소의 동적 수정 방법 |
US9342869B2 (en) * | 2014-04-29 | 2016-05-17 | Adobe Systems Incorporated | Discriminative indexing for patch-based image enhancement |
CN105260628B (zh) * | 2014-06-03 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 分类器训练方法和装置、身份验证方法和系统 |
US9483742B1 (en) * | 2014-10-27 | 2016-11-01 | Amazon Technologies, Inc. | Intelligent traffic analysis to detect malicious activity |
US9465940B1 (en) * | 2015-03-30 | 2016-10-11 | Cylance Inc. | Wavelet decomposition of software entropy to identify malware |
KR101716564B1 (ko) * | 2015-04-02 | 2017-03-15 | 현대오토에버 주식회사 | 하둡 기반의 악성코드 탐지 방법과 시스템 |
US20160307113A1 (en) * | 2015-04-20 | 2016-10-20 | Xerox Corporation | Large-scale batch active learning using locality sensitive hashing |
US20170193230A1 (en) * | 2015-05-03 | 2017-07-06 | Microsoft Technology Licensing, Llc | Representing and comparing files based on segmented similarity |
CN105095755A (zh) * | 2015-06-15 | 2015-11-25 | 安一恒通(北京)科技有限公司 | 文件识别方法和装置 |
-
2015
- 2015-06-30 CN CN201510377521.3A patent/CN106295337B/zh active Active
- 2015-11-26 KR KR1020150166482A patent/KR101711882B1/ko active IP Right Grant
- 2015-11-30 JP JP2015234043A patent/JP6138896B2/ja active Active
- 2015-12-31 US US14/985,944 patent/US10176323B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103839006A (zh) * | 2010-11-29 | 2014-06-04 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
CN102024112A (zh) * | 2010-12-17 | 2011-04-20 | 四川大学 | 基于静态特征的pe文件加壳检测方法 |
CN102708313A (zh) * | 2012-03-08 | 2012-10-03 | 珠海市君天电子科技有限公司 | 针对大文件的病毒检测系统及方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108763931A (zh) * | 2018-05-28 | 2018-11-06 | 上海交通大学 | 基于Bi-LSTM和文本相似性的漏洞检测方法 |
WO2019242444A1 (zh) * | 2018-06-20 | 2019-12-26 | 深信服科技股份有限公司 | 一种训练机器学习引擎的方法、系统及相关装置 |
CN109194609A (zh) * | 2018-07-20 | 2019-01-11 | 西安四叶草信息技术有限公司 | 一种检测漏洞文件的方法及装置 |
WO2020168614A1 (zh) * | 2019-02-18 | 2020-08-27 | 暨南大学 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
CN111723373A (zh) * | 2019-03-19 | 2020-09-29 | 国家计算机网络与信息安全管理中心 | 复合式二进制文档的漏洞利用文件检测方法及装置 |
CN109992969A (zh) * | 2019-03-25 | 2019-07-09 | 腾讯科技(深圳)有限公司 | 一种恶意文件检测方法、装置及检测平台 |
CN109992969B (zh) * | 2019-03-25 | 2023-03-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件检测方法、装置及检测平台 |
CN111191242A (zh) * | 2019-08-09 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 漏洞信息确定方法、装置、计算机可读存储介质及设备 |
CN112966267A (zh) * | 2021-03-02 | 2021-06-15 | 北京六方云信息技术有限公司 | 基于机器学习的恶意文件检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
JP6138896B2 (ja) | 2017-05-31 |
KR20170003356A (ko) | 2017-01-09 |
US10176323B2 (en) | 2019-01-08 |
CN106295337B (zh) | 2018-05-22 |
JP2017016626A (ja) | 2017-01-19 |
KR101711882B1 (ko) | 2017-03-03 |
US20170004306A1 (en) | 2017-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106295337A (zh) | 用于检测恶意漏洞文件的方法、装置及终端 | |
CN103729595B (zh) | 一种Android应用程序隐私数据泄露离线检测方法 | |
CN106815521B (zh) | 一种样本关联性检测方法、系统及电子设备 | |
US8719797B2 (en) | System and method for debugging dynamically generated code of an application | |
CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
US20140137256A1 (en) | Security analysis using relational abstraction of data structures | |
CN105653949B (zh) | 一种恶意程序检测方法及装置 | |
Sanz et al. | Anomaly detection using string analysis for android malware detection | |
CN107861793A (zh) | 虚拟硬件平台启动方法、装置、设备及计算机存储介质 | |
CN107480068A (zh) | 代码完整性检测方法、装置、电子终端及可读存储介质 | |
CN106294317A (zh) | 一种云平台界面的表单信息校验方法及系统 | |
CN107491691A (zh) | 一种基于机器学习的远程取证工具安全分析系统 | |
CN104077527B (zh) | 病毒检测机的生成方法和装置及病毒检测方法和装置 | |
CN110362995A (zh) | 一种基于逆向与机器学习的恶意软件检测及分析系统 | |
CN105631336B (zh) | 检测移动装置上的恶意文件的系统及方法 | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
CN109213850A (zh) | 确定包含机密数据的文本的系统和方法 | |
Rowe | Confining adversary actions via measurement | |
CN110766402B (zh) | 交易顺序依赖漏洞检测方法、系统、电子装置及存储介质 | |
US11392686B2 (en) | Detecting stack cookie utilization in a binary software component using binary static analysis | |
CN106878248A (zh) | 一种验证方法和设备 | |
CN115664864A (zh) | 一种信息安全提示方法及系统 | |
CN111414525B (zh) | 小程序的数据获取方法、装置、计算机设备和存储介质 | |
CN105138894B (zh) | 一种验证码安全防御方法、系统及装置 | |
CN104573419B (zh) | 一种移动应用软件保护有效性的评估方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20190822 Address after: 100085 Beijing, Haidian District, No. ten on the ground floor, No. 10 Baidu building, layer 2 Patentee after: BEIJING BAIDU NETCOM SCIENCE AND TECHNOLOGY Co.,Ltd. Address before: 100091 C, block, building No. 4, Zhongguancun Software Park, No. 8, West flourishing West Road, Beijing, China 1-03 Patentee before: Pacify a Heng Tong (Beijing) Science and Technology Ltd. |