CN106529293A - 一种用于恶意软件检测的样本类别判定方法 - Google Patents

一种用于恶意软件检测的样本类别判定方法 Download PDF

Info

Publication number
CN106529293A
CN106529293A CN201610996935.9A CN201610996935A CN106529293A CN 106529293 A CN106529293 A CN 106529293A CN 201610996935 A CN201610996935 A CN 201610996935A CN 106529293 A CN106529293 A CN 106529293A
Authority
CN
China
Prior art keywords
sample
program
model
training
collection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610996935.9A
Other languages
English (en)
Other versions
CN106529293B (zh
Inventor
李薛
吴来云
张妍
江志华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
East Sunda Technology (beijing) Co Ltd
Original Assignee
East Sunda Technology (beijing) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by East Sunda Technology (beijing) Co Ltd filed Critical East Sunda Technology (beijing) Co Ltd
Priority to CN201610996935.9A priority Critical patent/CN106529293B/zh
Publication of CN106529293A publication Critical patent/CN106529293A/zh
Application granted granted Critical
Publication of CN106529293B publication Critical patent/CN106529293B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/285Selection of pattern recognition techniques, e.g. of classifiers in a multi-classifier system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Evolutionary Biology (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种样本类别判定方法,包括如下步骤:收集样本程序集,分别组成样本库;将所述样本库中的程序集提交至虚拟沙箱环境运行,后生成相应的样本分析报告;解析所述样本分析报告,提取特有特征组合信息,生成特征向量集;将所述特征向量集输入分类器进行训练,得到最佳模型;将待测程序输入所述最佳模型,得到所述待测程序是恶意程序或正常程序的判别结果。本发明提高了恶意软件检测的效率和准确率,避免了动态检测技术中繁杂的操作和较大的能耗,在保证准确率的基础上大幅提高了检测的速度。

Description

一种用于恶意软件检测的样本类别判定方法
技术领域
本发明涉及信息安全技术领域,具体涉及一种用于恶意软件检测的样本类别判定方法。
背景技术
随着当今互联网、个人计算机和移动计算平台的迅速发展,各种各样的恶意软件也层出不穷,并以极快的速度传播,严重威胁了终端用户的信息安全。同时,恶意代码的数量和种类日趋增多,加上代码迷惑技术的兴起,使得检测恶意软件的工作变得越来越困难。恶意软件的全面研究比较困难。在进行逆向工程和构建时间轴之前,研究人员需要从恶意软件的多个发展阶段获取大量样本,并通过静态及动态等检测方法,研究分析样本程序的恶意行为以及不同恶意软件之间的关联度。由于统计的花费巨大而收获常常有限,因此寻找相似样本的工作非常困难。所有这些传统的方法,使得对恶意软件的检测效率较低。
发明内容
本发明的目的在于提供一种用于恶意软件检测的样本类别判定方法,用以解决现有恶意软件自动检测中很难寻找近似样本,检测效率低的问题。
为实现上述目的,本发明提供一种用于恶意软件检测的样本类别判定方法,该方法包括如下步骤:
步骤1、收集样本程序集,由人对程序集进行分类判断标记分为恶意程序集和正常程序集,分别组成样本库;
步骤2、将所述样本库中的所述恶意程序集和正常程序集提交至虚拟沙箱环境运行,所述样本程序集中每一个样本程序在所述模拟沙箱环境运行后生成相应的样本分析报告;
步骤3、解析所述样本分析报告,提取特有特征组合信息,生成特征向量集;
步骤4、将所述特征向量集输入分类器进行训练,得到最佳模型;
步骤5、将待测程序输入所述最佳模型,得到所述待测程序是恶意程序或正常程序的判别结果。
进一步地,所述步骤2中所述分析报告为JSON格式(JavaScript ObjectNotation),所述分析报告包括所述每一样本程序在执行过程中对不同API(ApplicationProgramming Interface,应用程序编程接口)的调用信息、以及所述每一样本程序触发的不同规则的信息。
进一步地,所述规则信息包括API行为规则,文件操作行为规则,网络行为规则,注册表行为规则以及上述行为的混合行为规则。
进一步地,所述步骤3中提取的特有特征为:所述样本程序调用特有的API(应用程序编程接口),以及所述样本程序是否触发可疑规则两种,将所述样本程序对可疑规则的触发情况,以及对特有API调用进行统计组合后,形成多维度特征向量集。
进一步地,所述步骤4中分类器生成过程如下:
将所述样本集分为训练样本集和测试样本集;
将所述训练样本集的特征向量分别输入到n个不同的分类器进行训练,得到训练后的n个分类器;
将所述测试样本集的特征向量分别输入到所述n个训练后的分类器,得到预测结果;
比较所述预测结果与所述训练样本集的实际类别标记值,生成最佳分类器。
进一步地,所述步骤4中所述得到最佳模型过程如下:
将所述步骤3得到的所述特征向量和所述样本集的实际类别标记值组合;
将所述组合划分为训练样本集和测试样本集;
将所述训练集输入到所述最佳分类器进行训练;
调整所述最佳分类器参数并进行交叉验证;
选择最佳参数并对所述测试集进行预测;
通过比较所述测试集预测结果与所述测试集实际类别标记值,得出最佳模型。
进一步地,将所述带有标记的恶意程序集拆分,使得每堆恶意程序数量和所述正常程序数量近似相同,形成多份训练样本集;
将所述多份训练样本集输入所述分类器,训练生成多个模型;
将所有所述训练样本集分别输入至所述每个模型,得到所述每个模型对所有所述训练样本集的预测结果矩阵;
将所述预测结果矩阵与所述训练样本集的实际类别标记值组成特征向量;
将所述特征向量集输入机器学习分类器进行训练,得到所述每个模型计算未知程序分类结果的权值;
将待测样本程序输入至所述每个模型得出预测值,然后再根据所述每个模型的权值对上述预测再进行加权求和,得出所述待测样本程序的最终分类结果。
进一步地,所述机器学习分类器训练目标函数为其中r为所述模型的个数,训练时,调整所述目标函数J(θ)的参数向量θ,使得所述目标函数J(θ)取极值,生成的参数向量θ(θ12,...,θr)即为所述模型的权值。
进一步地,所述模型权值加权求和具体方法为:
其中,r为所述模型的个数,θi为第i个模型的权值,Ci则为第i个模型对待测样本程序的预测值。
本发明具有如下优点:
本发明提高了恶意软件检测的效率和准确率,具有简单、高效的特点,避免了动态检测技术中繁杂的操作和较大的能耗,在保证准确率的基础上大幅提高了检测的速度。
附图说明
图1为本发明一较佳实施例的样本类别判定方法流程示意图。
图2为本发明一较佳实施例的分类器产生过程示意图。
图3为本发明一较佳实施例的最佳模型产生过程示意图。
图4是本发明一较佳实施例的多模型加权原理示意图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例1
一种用于恶意软件检测的样本类别判定方法,通过对标记样本集的训练和学习,得到一种最佳模型,用于判断待测程序是否恶意程序,具体流程如图1所示,包括如下步骤:
步骤1收集样本程序集,由人工对程序集进行分类判断标记,分为恶意程序集和正常程序集,分别组成样本库。
综合各类已有的程序检测工具对程序的扫描结果,以及针对程序进行的人工分析结果判定,作为对恶意程序集和正常程序集的分类标准,由人工对程序集进行标记。
步骤2将样本库中的恶意程序集和正常程序集提交至虚拟沙箱环境运行,样本程序集中每一样本程序运行后生成相应的样本分析报告。
分析报告为JSON格式(JavaScript Object Notation),分析报告包括每一样本程序在执行过程中对不同API(Application Programming Interface,应用程序编程接口)的调用信息、以及每一样本程序触发的不同规则的信息,其中,不同的规则包括API行为规则,文件操作行为规则,网络行为规则,注册表行为规则以及上述行为的混合行为规则。
步骤3解析所述样本分析报告,提取特有特征组合信息,生成特征向量。本实施例选择两个特征:样本程序调用特有的API次数统计,以及样本程序是否触发可疑规则。根据样本分析报告,统计出每一个程序样本对不同API的调用次数,以及该程序样本是否触发了不同的规则。这些统计信息作为不同的特征并组合后,形成多维度特征向量集
例如某个程序样本假设API以及规则触发情况调用情况如下表所示:
Api001 Api002 Api003 Api004 Api005 规则001 规则002 规则003 规则004
12 4 8 10 1 1 0 0 1
则生成的特征向量为[12 4 8 10 1 1 1 0 0 1]。多个程序样本的特征向量构成特征向量集。
步骤4将特征向量集输入分类器进行训练,得到最佳模型。
分类器生成过程如图2所示,具体过程如下:
将多维度样本特征向量集与样本类别标记值组合,得到新的样本特征向量集其中为样本类别标记值向量,将组合后的样本集的分为训练样本集和测试样本集;
将训练样本集按照分类器个数n分成n个训练子集T1,T2,...,Tn,将n个训练子集的特征向量分别输入到n个不同的分类器进行训练,得到训练后的n个分类器;
将测试样本集的特征向量分别输入到n个训练后的分类器,得到预测结果;
比较预测结果与测试样本集的实际类别标记值,生成最佳分类器。
最佳模型训练流程如图3所示,具体步骤如下:
将步骤3得到的特征向量集和样本集的实际类别标记值组合;
将该组合划分为训练样本集和测试样本集;
将训练集输入到最佳分类器进行训练;
调整最佳分类器参数并进行交叉验证;
选择最佳参数并对所述测试集进行预测;
通过比较测试集预测结果与测试集实际类别标记值,得出最佳模型。
步骤5将待测程序输入最佳模型,得到该待测程序是恶意程序或正常程序的判别结果。
本实施例通过对带有标记的恶意程序集和正常程序集样本库的学习,得到判断待测程序是否是恶意程序的最佳模型,提高了恶意软件检测的效率和准确率。
实施例2
一种用于恶意软件检测的样本类别判定方法,采集到的已标记恶意程序数量远远大于正常程序数量,具体步骤如下:
步骤1收集带有标记的恶意程序集和正常程序集作为样本集,分别组成样本库。
步骤2将样本库中的恶意程序集和正常程序集提交至虚拟沙箱环境运行,程序集中每一个程序运行后生成相应的样本分析报告。
步骤3解析样本分析报告,提取特有特征组合信息,生成特征向量集;拆分恶意程序特征向量集,使得拆分后的每堆恶意程序数量和正常程序数量近似1:1,形成多份训练样本集。
如图4所示,训练样本集为T(x),拆分后的训练样本集为{T1(X),T2(X),T3(X),...,Tr(X)},其中r为训练样本集的个数。
步骤4将多份特征向量集分别输入分类器,训练生成多个模型。
如图4所示,生成的模型为{模型1、模型2、....、模型r}。
步骤5将所有训练样本集分别输入至生成的每个模型,得到每个模型对所有训练样本集的预测结果矩阵;将所述预测结果矩阵与所述训练样本集的实际类别标记值组成特征向量;将所述特征向量输入机器学习分类器进行训练,得到所述每个模型计算未知程序分类结果的权值。
如图4所示,{模型1、模型2、....、模型r}对训练样本集{T1(X),T2(X),T3(X),...,Tr(X)}的预测结果矩阵与所述训练样本集的实际类别标记值组成特征向量为将该特征向量输入分类器训练,得到每个模型的权值。
机器学习分类器训练目标函数为其中r为所述模型的个数,训练时,调整目标函数J(θ)的参数向量θ,使得所述目标函数J(θ)取极值,生成的参数向量θ(θ12,...,θr)即为模型的权值。
步骤6将待测样本程序输入至每个模型得出预测值,然后再根据所述模型的权值对上述预测进行加权求和,得出所述待测样本程序的最终分类结果。
模型加权求和具体方法为:
其中,r为所述模型的个数,θi为第i个模型的权值,Ci则为第i个模型对待测样本程序的预测值。
本实施例根据采集到的恶意程序数量远远大于正常程序数量这一事实,采用欠采样的手段,拆分恶意程序特征向量集,训练得到多个模型,通过加权求和得出最终的分类结果。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。

Claims (9)

1.一种样本类别判定方法,其特征在于,所述方法包括如下步骤:
步骤1、收集样本程序集,由人工对程序集进行分类判断标记分为恶意程序集和正常程序集,分别组成样本库;
步骤2、将所述样本库中的所述恶意程序集和正常程序集提交至虚拟沙箱环境运行,所述样本程序集中每一样本程序在所述模拟沙箱环境运行后生成相应的样本分析报告;
步骤3、解析所述样本分析报告,提取特有特征组合信息,生成特征向量集;
步骤4、将所述特征向量集输入分类器进行训练,得到最佳模型;
步骤5、将待测程序输入所述最佳模型,得到所述待测程序是恶意程序或正常程序的判别结果。
2.根据权利要求1所述的样本类别判定方法,其特征在于,所述步骤2中所述分析报告为JSON格式,所述分析报告包括所述每一样本程序在执行过程中对不同API的调用信息、以及所述每一样本程序触发的不同规则的信息。
3.根据权利要求2所述的样本类别判定方法,其特征在于,所述规则信息包括API行为规则,文件操作行为规则,网络行为规则,注册表行为规则以及上述行为的混合行为规则。
4.根据权利要求3所述的样本类别判定方法,其特征在于,所述步骤3中提取的特有特征为:所述样本程序调用特有的API,以及所述样本程序是否触发可疑规则两种,将所述样本程序对可疑规则的触发情况,以及对特有API调用进行统计组合后形成多维度特征向量集。
5.根据权利要求4所述的样本类别判定方法,其特征在于,所述步骤4中分类器生成过程如下:
将所述样本集分为训练样本集和测试样本集;
将所述训练样本集的特征向量分别输入到n个不同的分类器进行训练,得到训练后的n个分类器;
将所述测试样本集的特征向量分别输入到所述n个训练后的分类器,得到预测结果;
比较所述预测结果与所述训练样本集的实际类别标记值,生成最佳分类器。
6.根据权利要求5所述的样本类别判定方法,其特征在于,所述步骤4中所述得到最佳模型过程如下:
将所述步骤3得到的所述特征向量集和所述样本集的实际类别标记值组合;
将所述组合划分为训练样本集和测试样本集;
将所述训练集输入到所述最佳分类器进行训练;
调整所述最佳分类器参数并进行交叉验证;
选择最佳参数并对所述测试集进行预测;
通过比较所述测试集预测结果与所述测试集实际类别标记值,得出最佳模型。
7.根据权利要求1所述的样本类别判定方法,其特征在于,将所述带有标记的恶意程序集拆分,使得每堆恶意程序数量和所述正常程序数量近似相同,形成多份训练样本集;
将所述多份训练样本集输入所述分类器,训练生成多个模型;
将所有所述训练样本集分别输入至所述每个模型,得到所述每个模型对所有所述训练样本集的预测结果矩阵;
将所述预测结果矩阵与所述训练样本集的实际类别标记值组成特征向量;
将所述特征向量集输入机器学习分类器进行训练,得到所述每个模型计算未知程序分类结果的权值;
将待测样本程序输入至所述每个模型得出预测值,然后再根据所述每个模型的权值对上述预测在进行加权求和,得出所述待测样本程序的最终分类结果。
8.根据权利要求7所述的样本类别判定方法,其特征在于,所述机器学习分类器训练目标函数为其中r为所述模型的个数,训练时,调整所述目标函数J(θ)的参数向量θ,使得所述目标函数J(θ)取极值,生成的参数向量θ(θ12,...,θr)即为所述模型的权值。
9.根据权利要求8所述的样本类别判定方法,其特征在于,所述加权求和具体方法为:
Σ i = 1 r θ i * C i
其中,θi为所述第i个模型的权值,Ci则为所述第i个模型对待测样本程序的预测值。
CN201610996935.9A 2016-11-09 2016-11-09 一种用于恶意软件检测的样本类别判定方法 Active CN106529293B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610996935.9A CN106529293B (zh) 2016-11-09 2016-11-09 一种用于恶意软件检测的样本类别判定方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610996935.9A CN106529293B (zh) 2016-11-09 2016-11-09 一种用于恶意软件检测的样本类别判定方法

Publications (2)

Publication Number Publication Date
CN106529293A true CN106529293A (zh) 2017-03-22
CN106529293B CN106529293B (zh) 2019-11-05

Family

ID=58351299

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610996935.9A Active CN106529293B (zh) 2016-11-09 2016-11-09 一种用于恶意软件检测的样本类别判定方法

Country Status (1)

Country Link
CN (1) CN106529293B (zh)

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106960154A (zh) * 2017-03-30 2017-07-18 兴华永恒(北京)科技有限责任公司 一种基于决策树模型的恶意程序动态识别方法
CN107273747A (zh) * 2017-05-22 2017-10-20 中国人民公安大学 勒索软件检测的方法
CN107368856A (zh) * 2017-07-25 2017-11-21 深信服科技股份有限公司 恶意软件的聚类方法及装置、计算机装置及可读存储介质
CN107491691A (zh) * 2017-08-08 2017-12-19 东北大学 一种基于机器学习的远程取证工具安全分析系统
CN107577943A (zh) * 2017-09-08 2018-01-12 北京奇虎科技有限公司 基于机器学习的样本预测方法、装置及服务器
CN107742079A (zh) * 2017-10-18 2018-02-27 杭州安恒信息技术有限公司 恶意软件识别方法及系统
CN107862327A (zh) * 2017-10-26 2018-03-30 华中科技大学 一种基于多特征的安全缺陷识别系统和方法
CN108009425A (zh) * 2017-11-29 2018-05-08 四川无声信息技术有限公司 文件检测及威胁等级判定方法、装置及系统
CN108021806A (zh) * 2017-11-24 2018-05-11 北京奇虎科技有限公司 一种恶意安装包的识别方法和装置
CN108304720A (zh) * 2018-02-06 2018-07-20 恒安嘉新(北京)科技股份公司 一种基于机器学习的安卓恶意程序检测方法
CN108376220A (zh) * 2018-02-01 2018-08-07 东巽科技(北京)有限公司 一种基于深度学习的恶意样本程序分类方法及系统
CN108763092A (zh) * 2018-05-31 2018-11-06 北京理工大学 一种基于交叉验证的代码缺陷检测方法及装置
CN108804924A (zh) * 2018-06-15 2018-11-13 深信服科技股份有限公司 一种基于沙盒的病毒检测方法、系统及相关装置
CN108920954A (zh) * 2018-06-28 2018-11-30 中国科学院软件研究所 一种恶意代码自动化检测平台及方法
CN109101817A (zh) * 2018-08-13 2018-12-28 亚信科技(成都)有限公司 一种识别恶意文件类别的方法及计算设备
CN109191451A (zh) * 2018-09-11 2019-01-11 百度在线网络技术(北京)有限公司 异常检测方法、装置、设备和介质
CN109271780A (zh) * 2017-07-17 2019-01-25 卡巴斯基实验室股份制公司 机器学习恶意软件检测模型的方法、系统和计算机可读介质
CN110175655A (zh) * 2019-06-03 2019-08-27 中国科学技术大学 数据识别方法及装置、存储介质及电子设备
CN110414233A (zh) * 2019-06-28 2019-11-05 奇安信科技集团股份有限公司 恶意代码检测方法及装置
WO2020168718A1 (zh) * 2019-02-20 2020-08-27 深圳大学 分类器鲁棒性的测试方法、装置、终端及存储介质
CN112116018A (zh) * 2020-09-25 2020-12-22 奇安信科技集团股份有限公司 样本分类方法、装置、计算机设备、介质和程序产品
CN112347479A (zh) * 2020-10-21 2021-02-09 北京天融信网络安全技术有限公司 恶意软件检测的误报纠正方法、装置、设备和存储介质
CN112597494A (zh) * 2020-12-21 2021-04-02 成都安思科技有限公司 一种用于恶意程序检测的行为白名单自动收集方法
CN113691492A (zh) * 2021-06-11 2021-11-23 杭州安恒信息安全技术有限公司 违法应用程序的确定方法、系统、装置及可读存储介质
CN117077141A (zh) * 2023-10-13 2023-11-17 国网山东省电力公司鱼台县供电公司 一种智能电网恶意软件检测方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663296A (zh) * 2012-03-31 2012-09-12 杭州安恒信息技术有限公司 面向网页JavaScript恶意代码的智能检测方法
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类系统及方法
CN103927483A (zh) * 2014-04-04 2014-07-16 西安电子科技大学 用于检测恶意程序的判定模型及恶意程序的检测方法
CN105426760A (zh) * 2015-11-05 2016-03-23 工业和信息化部电信研究院 一种安卓恶意应用的检测方法及装置
CN105893848A (zh) * 2016-04-27 2016-08-24 南京邮电大学 一种基于代码行为相似度匹配的Android恶意应用程序防范方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663296A (zh) * 2012-03-31 2012-09-12 杭州安恒信息技术有限公司 面向网页JavaScript恶意代码的智能检测方法
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类系统及方法
CN103927483A (zh) * 2014-04-04 2014-07-16 西安电子科技大学 用于检测恶意程序的判定模型及恶意程序的检测方法
CN105426760A (zh) * 2015-11-05 2016-03-23 工业和信息化部电信研究院 一种安卓恶意应用的检测方法及装置
CN105893848A (zh) * 2016-04-27 2016-08-24 南京邮电大学 一种基于代码行为相似度匹配的Android恶意应用程序防范方法

Cited By (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106960154A (zh) * 2017-03-30 2017-07-18 兴华永恒(北京)科技有限责任公司 一种基于决策树模型的恶意程序动态识别方法
CN107273747A (zh) * 2017-05-22 2017-10-20 中国人民公安大学 勒索软件检测的方法
CN109271780A (zh) * 2017-07-17 2019-01-25 卡巴斯基实验室股份制公司 机器学习恶意软件检测模型的方法、系统和计算机可读介质
CN109271780B (zh) * 2017-07-17 2022-05-24 卡巴斯基实验室股份制公司 机器学习恶意软件检测模型的方法、系统和计算机可读介质
CN107368856A (zh) * 2017-07-25 2017-11-21 深信服科技股份有限公司 恶意软件的聚类方法及装置、计算机装置及可读存储介质
CN107491691A (zh) * 2017-08-08 2017-12-19 东北大学 一种基于机器学习的远程取证工具安全分析系统
CN107577943A (zh) * 2017-09-08 2018-01-12 北京奇虎科技有限公司 基于机器学习的样本预测方法、装置及服务器
CN107577943B (zh) * 2017-09-08 2021-07-13 北京奇虎科技有限公司 基于机器学习的样本预测方法、装置及服务器
CN107742079B (zh) * 2017-10-18 2020-02-21 杭州安恒信息技术股份有限公司 恶意软件识别方法及系统
CN107742079A (zh) * 2017-10-18 2018-02-27 杭州安恒信息技术有限公司 恶意软件识别方法及系统
CN107862327B (zh) * 2017-10-26 2020-07-24 华中科技大学 一种基于多特征的安全缺陷识别系统和方法
CN107862327A (zh) * 2017-10-26 2018-03-30 华中科技大学 一种基于多特征的安全缺陷识别系统和方法
CN108021806A (zh) * 2017-11-24 2018-05-11 北京奇虎科技有限公司 一种恶意安装包的识别方法和装置
CN108009425A (zh) * 2017-11-29 2018-05-08 四川无声信息技术有限公司 文件检测及威胁等级判定方法、装置及系统
CN108376220A (zh) * 2018-02-01 2018-08-07 东巽科技(北京)有限公司 一种基于深度学习的恶意样本程序分类方法及系统
CN108304720B (zh) * 2018-02-06 2020-12-11 恒安嘉新(北京)科技股份公司 一种基于机器学习的安卓恶意程序检测方法
CN108304720A (zh) * 2018-02-06 2018-07-20 恒安嘉新(北京)科技股份公司 一种基于机器学习的安卓恶意程序检测方法
CN108763092B (zh) * 2018-05-31 2020-12-01 北京理工大学 一种基于交叉验证的代码缺陷检测方法及装置
CN108763092A (zh) * 2018-05-31 2018-11-06 北京理工大学 一种基于交叉验证的代码缺陷检测方法及装置
CN108804924A (zh) * 2018-06-15 2018-11-13 深信服科技股份有限公司 一种基于沙盒的病毒检测方法、系统及相关装置
CN108920954B (zh) * 2018-06-28 2020-08-04 中国科学院软件研究所 一种恶意代码自动化检测平台及方法
CN108920954A (zh) * 2018-06-28 2018-11-30 中国科学院软件研究所 一种恶意代码自动化检测平台及方法
CN109101817A (zh) * 2018-08-13 2018-12-28 亚信科技(成都)有限公司 一种识别恶意文件类别的方法及计算设备
CN109101817B (zh) * 2018-08-13 2023-09-01 亚信科技(成都)有限公司 一种识别恶意文件类别的方法及计算设备
CN109191451A (zh) * 2018-09-11 2019-01-11 百度在线网络技术(北京)有限公司 异常检测方法、装置、设备和介质
WO2020168718A1 (zh) * 2019-02-20 2020-08-27 深圳大学 分类器鲁棒性的测试方法、装置、终端及存储介质
CN110175655A (zh) * 2019-06-03 2019-08-27 中国科学技术大学 数据识别方法及装置、存储介质及电子设备
CN110175655B (zh) * 2019-06-03 2020-12-25 中国科学技术大学 数据识别方法及装置、存储介质及电子设备
CN110414233A (zh) * 2019-06-28 2019-11-05 奇安信科技集团股份有限公司 恶意代码检测方法及装置
CN112116018A (zh) * 2020-09-25 2020-12-22 奇安信科技集团股份有限公司 样本分类方法、装置、计算机设备、介质和程序产品
CN112116018B (zh) * 2020-09-25 2024-05-14 奇安信科技集团股份有限公司 样本分类方法、装置、计算机设备、介质和程序产品
CN112347479B (zh) * 2020-10-21 2021-08-24 北京天融信网络安全技术有限公司 恶意软件检测的误报纠正方法、装置、设备和存储介质
CN112347479A (zh) * 2020-10-21 2021-02-09 北京天融信网络安全技术有限公司 恶意软件检测的误报纠正方法、装置、设备和存储介质
CN112597494A (zh) * 2020-12-21 2021-04-02 成都安思科技有限公司 一种用于恶意程序检测的行为白名单自动收集方法
CN113691492A (zh) * 2021-06-11 2021-11-23 杭州安恒信息安全技术有限公司 违法应用程序的确定方法、系统、装置及可读存储介质
CN117077141A (zh) * 2023-10-13 2023-11-17 国网山东省电力公司鱼台县供电公司 一种智能电网恶意软件检测方法及系统

Also Published As

Publication number Publication date
CN106529293B (zh) 2019-11-05

Similar Documents

Publication Publication Date Title
CN106529293A (zh) 一种用于恶意软件检测的样本类别判定方法
CN104391860B (zh) 内容类别检测方法及装置
CN108108902B (zh) 一种风险事件告警方法和装置
CN102479298B (zh) 基于机器学习的程序识别方法及装置
CN109753801B (zh) 基于系统调用的智能终端恶意软件动态检测方法
CN103839006B (zh) 基于机器学习的程序识别方法及装置
CN107436875A (zh) 文本分类方法及装置
CN107577942A (zh) 一种用于Android恶意软件检测的混合特征筛选方法
CN106960154A (zh) 一种基于决策树模型的恶意程序动态识别方法
CN108376220A (zh) 一种基于深度学习的恶意样本程序分类方法及系统
CN106709349B (zh) 一种基于多维度行为特征的恶意代码分类方法
CN104376262A (zh) 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法
CN111639337A (zh) 一种面向海量Windows软件的未知恶意代码检测方法及系统
CN106685964A (zh) 基于恶意网络流量词库的恶意软件检测方法及系统
CN108718291A (zh) 一种基于大数据的恶意url检测方法
CN107368592B (zh) 一种用于网络安全报告的文本特征模型建模方法及装置
CN109063478A (zh) 可移植的可执行文件的病毒检测方法、装置、设备及介质
CN105354198A (zh) 一种数据处理方法及装置
CN103870754A (zh) 恶意程序识别及训练模型生成方法和装置
CN103810424A (zh) 一种异常应用程序的识别方法及装置
CN107392021A (zh) 一种基于多类特征的Android恶意应用检测方法
CN108509561B (zh) 基于机器学习的岗位招聘数据筛选方法、系统及存储介质
CN114499956A (zh) 一种网络信息安全风险评估系统及其方法
CN114676431A (zh) 一种基于api增强顺序的安卓恶意代码检测方法
CN106650449A (zh) 一种基于变量名混淆程度的脚本启发式检测方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant