CN106384050B - 一种基于最大频繁子图挖掘的动态污点分析方法 - Google Patents
一种基于最大频繁子图挖掘的动态污点分析方法 Download PDFInfo
- Publication number
- CN106384050B CN106384050B CN201610821507.2A CN201610821507A CN106384050B CN 106384050 B CN106384050 B CN 106384050B CN 201610821507 A CN201610821507 A CN 201610821507A CN 106384050 B CN106384050 B CN 106384050B
- Authority
- CN
- China
- Prior art keywords
- dependency graph
- api
- behavior
- turn
- subgraph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明提供的是一种基于最大频繁子图挖掘的动态污点分析方法。包括动行为依赖图构建、最大频繁子图挖掘和行为依赖图匹配三个部分。采用邻接矩阵存储行为依赖图,其中顶点间的数据关联边用1表示,控制关联边用2表示,无相应依赖边用0表示。最大频繁子图挖掘算法即SPIN‑MBDGM算法的主要思想是首先使用FFSM算法从行为依赖图集中得到频繁子树,然后通过添加候选数据关联边和控制关联边的扩展算法生成最大频繁子图。该方法的主要优点是从同一恶意代码家族所有的行为依赖图中挖掘最大公共部分,在不丢失特征信息的情况下减少特征库中行为依赖图的数量,从而提高识别速度。
Description
技术领域
本发明涉及的是一种网络安全领域的动态污点分析方法。
背景技术
互联网技术的高速发展给人们工作和生活带来了前所未有的便利,但同时网络安全事件发生频率也越来越高,其中恶意代码攻击事件最为突出,给数据安全带来极大威胁。为保证主机正常安全运行,人们迫切需求一种合理高效的恶意代码识别方法。当前恶意代码识别方法主要分为两类,静态分析和动态分析。动态分析方法分析代码运行时的状态和行为,如注册表、文件系统、网络的访问情况等,它们很难被伪装。相对于静态分析,动态分析提取的行为更接近代码实际特征,而且对于代码层混淆技术处理后的代码,其运行时的特征不会改变,所以识别准确率相对较高。
目前具有代表性的动态分析工具主要有CWSandbox TTAnalyze、Norman Sandbox、Anubis等,其中最常用的技术是动态污点分析技术。由于能动态跟踪代码执行过程,可以从行为层获取代码特征,准确表达代码行为。动态污点分析方法首先通过污点标记、污点传播、API截获与参数提取和污点检查等过程来生成记录污点传播路径的污点文件,然后利用该污点文件构建行为依赖图。公开号为CN104008329A的专利文件中公开了一种基于虚拟化技术的软件隐私泄露行为检测方法及系统,其中采用指令级和进程级相结合的多级动态污点分析方法,获得细粒度的污点依赖分析图,从而可以获得系统污染的路径信息,以及信息泄露等高层次语义信息,实现软件隐私泄露行为的有效分析和检测。在文献《Usingfeature generation from API calls for malware detection》(Salehi Z,Sami A,Ghiasi M.Using feature generation from API calls for malware detection[J].Computer Fraud&Security,2014,2014(9):9-18P.)中,Salehi等人假设API不能正确代表样本的相似行为,因此他们提取了API调用和输入参数一起作为预测特征,将他们二进制特征向量并通过分类算法来实现检测功能。在文献《Dynamic VSA:a framework for malwaredetection based on register contents》(Ghiasi M,Sami A,Salehi Z.Dynamic VSA:aframework for malware detection based on register contents[J].EngineeringApplications of Artificial Intelligence,2015,44(1):111-122P.)中,MahboobeGhiasi等人提出一种基于寄存器内容的恶意代码检测框架。在一个可控环境中,动态分析API调用以记录恶意二进制文件功能,并且提出一种基于寄存器值集合计算两个二进制文件的相似距离的方法,加快了匹配过程。虽然通过比较行为依赖图之间的相似度来识别恶意代码更能准确反映代码行为,但也存在依赖图数量过多的问题。目前的研究成果针对此类问题涉及较少,但由于它严重影响了动态污点分析技术的效果及性能。
综上所述,目前通过比较行为依赖图之间的相似度来识别恶意代码存在依赖图数量过多的问题,而此问题已经逐渐成为影响动态污点分析技术发展的重要瓶颈。
发明内容
本发明的目的在于提供一种能够在不丢失特征信息的情况下,减少依赖图的数量、提高识别速度的基于最大频繁子图挖掘的动态污点分析方法。
本发明的目的是这样实现的:
包括行为依赖图构建、最大频繁子图挖掘和行为依赖图匹配三个部分;
1、行为依赖图的构建,采用表示顶点之间相邻关系的邻接矩阵存储行为依赖图,其中顶点间的数据关联边用1表示、控制关联边用2表示、无相应依赖边用0表示,行为依赖图的生成过程包括:
(1.1)分析由动态污点分析方法生成的污点文件,若已存在的污点数据都已被未污染的数据重新覆盖,则转(1.9),否则,转(1.2);
(1.2)将所有含有污点参数的API作为邻接矩阵的顶点;
(1.3)查询双向链表里的污点传播路径,得到两个API调用APIi与APIj,若APIi与APIj之间存在数据依赖关系,则转(1.4),否则转(1.5);
(1.4)如APIi调用APIj,在邻接矩阵APIi和APIj间记1,添加数据关联边;
(1.5)若APIj在某个污点数据通过控制转移指令能达到的范围内且APIi调用APIj,则转(1.6),否则转(1.7);
(1.6)在邻接矩阵APIi和APIj间记2,添加控制关联边;
(1.7)APIi和APIj间记0,两者无依赖关系;
(1.8)当污点文件分析完成,将邻接矩阵的所有空闲位置补0,并根据邻接矩阵绘制行为依赖图;
(1.9)生成行为依赖图结束;
所述行为依赖图为Gbeh表示行为依赖图,其中V表示图的顶点,DE表示数据关联边、CE表示控制关联边、 是标号集,包括API名称、输入参数、输出参数和返回值,L为顶点V和标号集间的映射关系L:将总行为依赖图记为集合GG总,GG总={Gbeh1,...,Gbehi,...,Gbehn},1≤i≤n;
2、最大频繁子图挖掘具体过程包括:
(2.1)利用FFSM算法从行为依赖图集中枚举候选频繁子树;
(2.2)对得到的候选频繁子树进行自底向上的剪枝处理,即根据左子树优先迭代删掉叶子,若得到的树的支持度大于等于原树,则删掉叶子,否则不变;
(2.3)对每一个频繁子树进行扩展一条候选数据关联边或控制关联边,即遍历候选边集合,对任意一条候选边,通过连接操作(⊕),添加到频繁子树,若添加边后的子图依然频繁,则添加该边,否则不添加该边;
(2.4)若添加候选数据关联边或控制关联边后依然频繁,则转(2.3),否则转(2.5);
(2.5)对扩展生成的子图进行剪枝处理,如果删掉某条边不改变支持度的大小,则删掉该边;
(2.6)若所有候选频繁子图之间存在子图同构关系,则转(2.7),否则转(2.3);
(2.7)剩下的子图部分即为最大频繁子图;
3、行为依赖图匹配部分中将最大频繁子图的边称为关键边、记为e,将挖掘完成的特征库中行为依赖图集记为GG,GG中的每个行为依赖图记为g,待测目标图记为Gtarget,Gtarget与GG中某个行为依赖图匹配的关键边数记为m,Gtarget中遗漏的关键边数为n,m和n初始值均为0,匹配过程包括:
(3.1)选择图集GG中任意一个行为依赖图g;
(3.2)选择每个行为依赖图g中的任意一条关键边e;
(3.3)若e属于属于Gtarget,则转(3.4),否则转(3.5);
(3.4)m的值加1;
(3.5)n的值加1;
(3.6)若遍历完g中的所有e,则转(3.7),否则转(3.2);
(3.7)将m/(m+n)的值存在数组里;
(3.8)若遍历完图集GG中所有行为依赖图g,则转(3.9),否则转(3.1);
(3.9)将数组中的最大值作为匹配结果。
针对传统动态污点分析技术生成的恶意代码行为依赖图数量巨大而导致识别匹配时间复杂度大的问题,本发明以减少依赖图数量为切入点,提出了一种基于最大频繁子图挖掘的动态污点分析方法,力图达到在不丢失特征信息的情况下,减少特征库中行为依赖图数量,从而达到提高识别速度的目的。该方法的主要优点是从同一恶意代码家族所有的行为依赖图中挖掘最大公共部分,在不丢失特征信息的情况下减少特征库中行为依赖图的数量,从而提高识别速度。
附图说明
图1是基于最大频繁子图挖掘的动态污点分析方法框图;
图2是行为依赖图构建流程图;
图3是最大频繁子图挖掘流程图;
图4是行为依赖图匹配流程图。
具体实施方式
结合图1,本发明主要包括分析动态污点生成污点文件、行为依赖图的构建、最大频繁子图挖掘和行为依赖图匹配四个部分。其中,分析动态污点生成污点文件的主要作用是为行为依赖图的构建做准备。
1.行为依赖图的构建。本发明采用邻接矩阵(表示顶点之间相邻关系的矩阵)存储行为依赖图,其中顶点间的数据关联边用1表示,控制关联边用2表示,无相应依赖边用0表示。参阅图2,行为依赖图的生成过程如下:
(1)分析由动态污点分析方法生成的污点文件,若已存在的污点数据都已被未污染的数据重新覆盖,则转(9),否则,转(2)。
(2)将所有含有污点参数的API作为邻接矩阵的顶点。
(3)查询双向链表(是链表的一种,它的每个数据结点中都有两个指针,分别指向直接后继和直接前驱)里的污点传播路径,得到两个API调用,如APIi调用APIj。若APIi APIj之间存在数据依赖关系,则转(4),否则转(5)。
(4)如APIi调用APIj,在邻接矩阵APIi和APIj间记1,添加数据关联边。
(5)若APIj在某个污点数据通过控制转移指令能达到的范围内且APIi调用APIj,则转(6),否则转(7)。
(6)在邻接矩阵APIi和APIj间记2,添加控制关联边。
(7)APIi和APIj间记0,两者无依赖关系。
(8)当污点文件分析完成,将邻接矩阵的所有空闲位置补0,并根据邻接矩阵绘制行为依赖图。
(9)生成行为依赖图结束。
其中,上述行为依赖图定义为Gbeh表示行为依赖图,其中V表示图的顶点,表示数据关联边,表示控制关联边,是标号集,包括API名称、输入参数、输出参数和返回值,L为顶点V和标号集间的映射关系L:将总行为依赖图记为集合GG总,GG总={Gbeh1,...,Gbehi,...,Gbehn},。
2.最大频繁子图(依赖图集中所有图的最大公共部分)挖掘算法即SPIN-MBDGM算法的主要思想是首先使用FFSM(Fast Frequent Subgragh Mining)算法从行为依赖图集中得到频繁子树(是无回路的有向图),然后通过添加候选数据关联边和控制关联边的扩展算法生成最大频繁子图。参阅图3,具体过程如下:
(1)利用本领域现有的FFSM算法从行为依赖图集中枚举候选频繁子树。
(2)对得到的候选频繁子树进行自底向上的剪枝处理,即根据左子树优先迭代删掉叶子,若得到的树的支持度,即与该图子图同构的图数占总图数的百分比,大于等于原树,则删掉叶子,否则不变。
(3)对每一个频繁子树进行扩展一条候选数据关联边或控制关联边,即遍历候选边集合,对任意一条候选边,通过连接操作(⊕),添加到频繁子树,若添加边后的子图依然频繁,则添加该边,否则不添加该边。
(4)若添加候选数据关联边或控制关联边后依然频繁,则转(3),否则转(5)。
(5)对扩展生成的子图进行剪枝处理,如果删掉某条边不改变支持度的大小,则删掉该边。
(6)若所有候选频繁子图之间存在子图(指节点集和边集分别是某一图的节点集的子集和边集的子集的图)同构(图G1和G2的顶点集合和边集合之间都分别建立了一一对应关系,并且G1的两个顶点间的边对应G2对应顶点间的边,则G1与G2互为同构)关系,则转(7),否则转(3)。
(7)剩下的子图部分即为最大频繁子图。
3.行为依赖图匹配部分。这里将最大频繁子图的边称为关键边,记为e。将挖掘完成的特征库中行为依赖图集记为GG,GG中的每个行为依赖图记为g,待测目标图记为Gtarget,Gtarget与GG中某个行为依赖图匹配的关键边数记为m,Gtarget中遗漏的关键边数为n,m和n初始值均为0。参阅图4,匹配主要过程如下:
(1)选择图集GG中任意一个图g。
(2)选择每个图g中的任意一条关键边e。
(3)若e属于属于Gtarget,则转(4),否则转(5)。
(4)m的值加1。
(5)n的值加1。
(6)若遍历完g中的所有e,则转(7),否则转(2)。
(7)将m/(m+n)的值存在数组里。
(8)若遍历完图集GG中所有行为依赖图g,则转(9),否则转(1)。
(9)将数组中的最大值作为匹配结果。
本发明的有益效果体现在:
针对传统动态污点分析技术生成的恶意代码行为依赖图数量巨大而导致识别匹配时间复杂度大的问题,本发明提出了一种基于最大频繁子图挖掘的动态污点分析方法,该方法的主要优点是从同一恶意代码家族所有的行为依赖图中挖掘最大公共部分,在不丢失特征信息的情况下减少特征库中行为依赖图的数量,从而提高识别速度。
Claims (1)
1.一种基于最大频繁子图挖掘的动态污点分析方法,包括行为依赖图构建、最大频繁子图挖掘和行为依赖图匹配三个部分,其特征是:
(1)、行为依赖图的构建,采用表示顶点之间相邻关系的邻接矩阵存储行为依赖图,其中顶点间的数据关联边用1表示、控制关联边用2表示、无相应依赖边用0表示,行为依赖图的生成过程包括:
(1.1)分析由动态污点分析方法生成的污点文件,若已存在的污点数据都已被未污染的数据重新覆盖,则转(1.9),否则,转(1.2);
(1.2)将所有含有污点参数的API作为邻接矩阵的顶点;
(1.3)查询双向链表里的污点传播路径,得到两个API调用APIi与APIj,若APIi与APIj之间存在数据依赖关系,则转(1.4),否则转(1.5);
(1.4)如APIi调用APIj,在邻接矩阵APIi和APIj间记1,添加数据关联边;
(1.5)若APIj在某个污点数据通过控制转移指令能达到的范围内且APIi调用APIj,则转(1.6),否则转(1.7);
(1.6)在邻接矩阵APIi和APIj间记2,添加控制关联边;
(1.7)APIi和APIj间记0,两者无依赖关系;
(1.8)当污点文件分析完成,将邻接矩阵的所有空闲位置补0,并根据邻接矩阵绘制行为依赖图;
(1.9)生成行为依赖图结束;
所述行为依赖图为Gbeh表示行为依赖图,其中V表示图的顶点,DE表示数据关联边、CE表示控制关联边、 是标号集,包括API名称、输入参数、输出参数和返回值,L为顶点V和标号集间的映射关系将总行为依赖图记为集合GG总,GG总={Gbeh1,...,Gbehi,...,Gbehn},1≤i≤n;
(2)、最大频繁子图挖掘具体过程包括:
(2.1)利用FFSM算法从行为依赖图集中枚举候选频繁子树;
(2.2)对得到的候选频繁子树进行自底向上的剪枝处理,即根据左子树优先迭代删掉叶子,若得到的树的支持度大于等于原树,则删掉叶子,否则不变;
(2.3)对每一个频繁子树进行扩展一条候选数据关联边或控制关联边,即遍历候选边集合,对任意一条候选边,通过连接操作添加到频繁子树,若添加边后的子图依然频繁,则添加该边,否则不添加该边;
(2.4)若添加候选数据关联边或控制关联边后依然频繁,则转(2.3),否则转(2.5);
(2.5)对扩展生成的子图进行剪枝处理,如果删掉某条边不改变支持度的大小,则删掉该边;
(2.6)若所有候选频繁子图之间存在子图同构关系,则转(2.7),否则转(2.3);
(2.7)剩下的子图部分即为最大频繁子图;
(3)、行为依赖图匹配部分中将最大频繁子图的边称为关键边、记为e,将挖掘完成的特征库中行为依赖图集记为GG,GG中的每个行为依赖图记为g,待测目标图记为Gtarget,Gtarget与GG中某个行为依赖图匹配的关键边数记为m,Gtarget中遗漏的关键边数为n,m和n初始值均为0,匹配过程包括:
(3.1)选择图集GG中任意一个行为依赖图g;
(3.2)选择每个行为依赖图g中的任意一条关键边e;
(3.3)若e属于属于Gtarget,则转(3.4),否则转(3.5);
(3.4)m的值加1;
(3.5)n的值加1;
(3.6)若遍历完g中的所有e,则转(3.7),否则转(3.2);
(3.7)将m/(m+n)的值存在数组里;
(3.8)若遍历完图集GG中所有行为依赖图g,则转(3.9),否则转(3.1);
(3.9)将数组中的最大值作为匹配结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610821507.2A CN106384050B (zh) | 2016-09-13 | 2016-09-13 | 一种基于最大频繁子图挖掘的动态污点分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610821507.2A CN106384050B (zh) | 2016-09-13 | 2016-09-13 | 一种基于最大频繁子图挖掘的动态污点分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106384050A CN106384050A (zh) | 2017-02-08 |
| CN106384050B true CN106384050B (zh) | 2019-01-15 |
Family
ID=57936487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610821507.2A Active CN106384050B (zh) | 2016-09-13 | 2016-09-13 | 一种基于最大频繁子图挖掘的动态污点分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106384050B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107315956B (zh) * | 2017-06-12 | 2019-06-21 | 东莞理工学院 | 一种用于快速准确检测零日恶意软件的图论方法 |
| CN108090354B (zh) * | 2017-11-14 | 2021-12-10 | 中国科学院信息工程研究所 | 基于文件访问图的非监督伪装者检测方法及系统 |
| CN109002712B (zh) * | 2018-06-22 | 2020-11-03 | 北京大学 | 一种基于值依赖图的污染数据分析方法、系统与电子设备 |
| CN109063089B (zh) * | 2018-07-26 | 2021-04-23 | 清华大学 | 一种基于社区结构的子图匹配方法及装置 |
| CN110866033B (zh) * | 2018-08-28 | 2022-06-21 | 北京国双科技有限公司 | 一种用于预测查询资源占用量的特征确定方法及装置 |
| CN112035836B (zh) * | 2019-06-04 | 2023-04-14 | 四川大学 | 一种恶意代码家族api序列挖掘方法 |
| CN112995110A (zh) * | 2019-12-17 | 2021-06-18 | 深信服科技股份有限公司 | 一种恶意事件信息的获取方法、装置及电子设备 |
| CN113282909B (zh) * | 2021-05-11 | 2024-04-09 | 南京大学 | 一种设备指纹信息采集项识别方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
| CN104008329A (zh) * | 2014-05-22 | 2014-08-27 | 中国科学院信息工程研究所 | 一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 |
| CN104951699A (zh) * | 2015-07-03 | 2015-09-30 | 西安交通大学 | 一种基于计算机时序依赖网络的入侵感染区域定位方法 |
| CN105160248A (zh) * | 2015-07-02 | 2015-12-16 | 哈尔滨工程大学 | 一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统及方法 |
| CN105653956A (zh) * | 2016-03-02 | 2016-06-08 | 中国科学院信息工程研究所 | 基于动态行为依赖图的Android恶意软件分类方法 |
| CN105740711A (zh) * | 2016-01-29 | 2016-07-06 | 哈尔滨工业大学深圳研究生院 | 一种基于内核对象行为本体的恶意代码检测方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140108867A1 (en) * | 2012-03-14 | 2014-04-17 | Nec Laboratories America, Inc. | Dynamic Taint Analysis of Multi-Threaded Programs |
-
2016
- 2016-09-13 CN CN201610821507.2A patent/CN106384050B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
| CN104008329A (zh) * | 2014-05-22 | 2014-08-27 | 中国科学院信息工程研究所 | 一种基于虚拟化技术的软件隐私泄露行为检测方法及系统 |
| CN105160248A (zh) * | 2015-07-02 | 2015-12-16 | 哈尔滨工程大学 | 一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统及方法 |
| CN104951699A (zh) * | 2015-07-03 | 2015-09-30 | 西安交通大学 | 一种基于计算机时序依赖网络的入侵感染区域定位方法 |
| CN105740711A (zh) * | 2016-01-29 | 2016-07-06 | 哈尔滨工业大学深圳研究生院 | 一种基于内核对象行为本体的恶意代码检测方法及系统 |
| CN105653956A (zh) * | 2016-03-02 | 2016-06-08 | 中国科学院信息工程研究所 | 基于动态行为依赖图的Android恶意软件分类方法 |
Non-Patent Citations (3)
| Title |
|---|
| Fast Malware Classification;Younghee Park et al;《CSIIRW "10》;20100423;全文 * |
| SPIN: Mining Maximal Frequent Subgraphs from Graph Databases;Jun Huan et al;《KDD "04》;20040825;全文 * |
| 基于系统调用依赖图的恶意代码检测;唐柯;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150228;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106384050A (zh) | 2017-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106384050B (zh) | 一种基于最大频繁子图挖掘的动态污点分析方法 | |
| US10303874B2 (en) | Malicious code detection method based on community structure analysis | |
| CN106250769B (zh) | 一种多级过滤的源代码数据检测方法及装置 | |
| CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及系统 | |
| CN111400724A (zh) | 基于代码相似性分析的操作系统脆弱性检测方法、系统及介质 | |
| CN108694042B (zh) | 网页中的JavaScript代码解混淆方法 | |
| CN112000952B (zh) | Windows平台恶意软件的作者组织特征工程方法 | |
| CN109543410B (zh) | 一种基于语义映射关联的恶意代码检测方法 | |
| Lee et al. | A study on malicious codes pattern analysis using visualization | |
| CN112733156A (zh) | 基于代码属性图的软件脆弱性智能检测方法、系统及介质 | |
| CN112163219A (zh) | 一种基于词嵌入和gcn的恶意程序识别和分类方法 | |
| Liu et al. | Functions-based CFG embedding for malware homology analysis | |
| CN114003910B (zh) | 一种基于动态图对比学习的恶意变种实时检测方法 | |
| CN113901463B (zh) | 面向概念漂移的可解释Android恶意软件检测方法 | |
| Godfrey | Understanding software artifact provenance | |
| Hang et al. | Malware detection method of android application based on simplification instructions | |
| CN109241706A (zh) | 基于静态胎记的软件抄袭检测方法 | |
| Sun et al. | Automatically generating malware analysis reports using sandbox logs | |
| CN111079145B (zh) | 基于图处理的恶意程序检测方法 | |
| Wang et al. | Deep Learning-Based Multi-Classification for Malware Detection in IoT | |
| Li et al. | APT malicious sample organization traceability based on text transformer model | |
| Ding et al. | MGeT: malware gene-based malware dynamic analyses | |
| Layton | Relative cyberattack attribution | |
| Ouyang et al. | Binary vulnerability mining based on long short-term memory network | |
| Zhao et al. | A Kind of Static Software Birthmark Based on Control Flow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |