CN106845228A - 一种检测恶意程序的方法和装置 - Google Patents

一种检测恶意程序的方法和装置 Download PDF

Info

Publication number
CN106845228A
CN106845228A CN201611233485.4A CN201611233485A CN106845228A CN 106845228 A CN106845228 A CN 106845228A CN 201611233485 A CN201611233485 A CN 201611233485A CN 106845228 A CN106845228 A CN 106845228A
Authority
CN
China
Prior art keywords
program
decision tree
rogue program
rogue
training data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611233485.4A
Other languages
English (en)
Inventor
夏宇天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weimeng Chuangke Network Technology China Co Ltd
Original Assignee
Weimeng Chuangke Network Technology China Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Weimeng Chuangke Network Technology China Co Ltd filed Critical Weimeng Chuangke Network Technology China Co Ltd
Priority to CN201611233485.4A priority Critical patent/CN106845228A/zh
Publication of CN106845228A publication Critical patent/CN106845228A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例提供一种检测恶意程序的方法和装置,其中,该方法包括:获取待检测程序的日志数据;将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;通过所述决策树,确定所述待检测程序是否为恶意程序。本发明实施例解决了现有的恶意程序检测方式所存在准确性低,操作复杂度高的技术问题,达到了简单高效实现恶意程序检测的技术效果。

Description

一种检测恶意程序的方法和装置
技术领域
本发明涉及计算机领域,具体涉及一种检测恶意程序的方法和装置。
背景技术
目前在识别操作系统中的恶意程序的时候,主要有以下两种识别方式:
1)基于特征码识别的识别方式:
该方式主要是通过获取待检测程序的特征,其中,该特征可以包括:网络访问、文件读取、隐私数据访问等多维度的信息,进而生成匹配于当前样本的特征码,并将生成的特征码与现有特征库中的特征码进行比对,从而确定当前待检测程序是否为恶意程序。
具体地,可以如图1所示,读入样本,获取多维度的特征数据,生成特征码,特征码校验,生成检测结果。其中,较为重要的环节是:获取多维度的特征数据,该环节将直接导致最终的特征校验能否顺利地发现恶意程序。因此,需要通过尽可能多的方式去挖掘多维度的数据。
该方式不具备预测性,基于特征码的问题在于只能针对已经发现的恶意样本进行匹配,未知的样本则无法进行匹配。因为对于未知的样本,其特征码是未知的。且该方式准确性较低,主要体现在未知恶意样本的检测过程中。同时还需要维护一份非常庞大的特征码校验库,因为维护成本比较高。
2)基于操作系统定向定制的方式:
通过监控网络出入接口,监控文件读取接口,监控隐私数据读取接口,监控系统权限获取接口等,以截获样本程序的运行轨迹(即,获取运行日志),进而发现其恶意性。
具体地,可以如图2所示,样本读入,输入定向定制的操作系统,结果输出。相比于上一种方式,该方式准确率更高,且具备一定的预测性。
然而,因为其判断应用是否恶意的机制不是简单的特征码校验,而是从行为的角度上去审查,因此,会弱化对历史样本的依赖性。该方式涉及到源代码,不仅源码量大,而且源码结构复杂,对技术实现要求较高,时间成本和维护成本也比较高。因为,随着版本的升级,相应的接口存在调整的可能性,这也就表明有可能需要对每个发行版都进行对应的修改,维护成本比较高。
针对现有的检测恶意程序的方法中所存在的准确性低、维护成本高等问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供一种检测恶意程序的方法和装置,以便达到简单高效检测出恶意程序的目标。
一方面,本发明实施例提供了一种检测恶意程序的方法,该方法包括:
获取待检测程序的日志数据;
将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;
通过所述决策树,确定所述待检测程序是否为恶意程序。
在一个实施方式中,在获取待检测程序的日志数据之前,所述方法还包括:
获取训练数据;
通过对所述训练数据进行训练,得到所述决策树。
在一个实施方式中,获取所述训练数据包括:
获取多个程序的应用文件;
将多个程序的应用文件置于模拟器中,其中,所述多个程序中各个程序是否为恶意程序是已知的;
在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个程序的用户行为进行触发,并记录用户行为日志;
将所述用户行为日志作为所述训练数据;
相应的,在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。
在一个实施方式中,所述用户行为日志是按照各个程序中各个行为是否触发,以及各个程序是否为恶意程序的方式存储的。
在一个实施方式中,所述用户行为日志中的行为包括以下至少之一:是否访问网络、是否读取隐私数据、是否访问文件和是否获取系统权限。
另一方面,本发明实施例提供了一种检测恶意程序的装置,包括:
获取模块,用于获取待检测程序的日志数据;
输入模块,用于将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;
确定模块,用于通过所述决策树,确定所述待检测程序是否为恶意程序。
在一个实施方式中,上述检测恶意程序的装置还包括:建立模块,用于在获取待检测程序的日志数据之前,获取训练数据,并通过对所述训练数据进行训练,得到所述决策树。
在一个实施方式中,所述建立模块包括:
获取单元,用于获取多个程序的应用文件;
放置单元,用于将多个程序的应用文件置于模拟器中,其中,所述多个程序中各个程序是否为恶意程序是已知的;
模拟单元,用于在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个程序的用户行为进行触发,并记录用户行为日志;
生成单元,用于将所述用户行为日志作为所述训练数据;
相应的,所述建立模块具体用于在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。
在一个实施方式中,所述用户行为日志是按照各个程序中各个用户行为是否触发,以及各个程序是否为恶意程序的方式存储的。
在一个实施方式中,所述用户行为日志中的用户行为包括以下至少之一:是否访问网络、是否读取隐私数据、是否访问文件和是否获取系统权限。
上述技术方案具有如下有益效果:因为采用了决策树来检测恶意程序,通过获取待检测程序的日志文件,通过决策树进行恶意程序的判断,从而解决了现有的恶意程序检测方式所存在准确性低,操作复杂度高的技术问题,达到了简单高效实现恶意程序检测的技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是基于特征码识别的识别方式的方法流程图;
图2是基于操作系统定向定制的方式的方法流程图;
图3是根据本发明实施例的检测恶意程序的方法的流程图;
图4是根据本发明实施例的检测恶意程序的装置的结构框图;
图5是根据本发明实施例的恶意程序检测示意图;
图6是根据本发明实施例的决策树示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到现有的恶意程序检测方法中所存在的问题,在本发明实施例中提供了一种检测恶意程序的方法,如图3所示,可以包括以下步骤:
步骤301:获取待检测程序的日志数据;
例如,当前需要检测某程序是否为恶意程序,那么就可以获取该程序的日志数据,这个日志数据中有用户对该程序的用户行为数据。
如果需要检测某份日志数据中是否存在恶意程序,那么也可以将该份日志文件拿过来作为待判断的日志数据进行恶意程序的检测。
步骤302:将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;
即,通过决策树的方式检测是否有恶意程序,或者是否存在恶意程序。该决策树可以是按照以下方式建立的,包括:
S1:获取训练数据;
S2:通过对所述训练数据进行训练,得到所述决策树。
为了获取进行决策树训练的数据,可以通过程序模拟器对程序进行模拟,并模拟用户的行为数据,因为这些程序都是开始就知道是否是恶意程序的,因此,基于这些行为数据,可以建立决策树,即,通过对已知是否恶意的程序的模拟以及用户行为的模拟,然后,通过模拟得到的用户行为数据,即可建立一个判断模型,即决策树。在一个实施方式中,可以通过以下方式获取训练数据包括:获取多个程序的应用文件;将多个程序的应用文件置于模拟器中;在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个程序的用户行为进行触发,并记录用户行为日志;将所述用户行为日志作为所述训练数据,相应的,在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。
上述决策树的建立可以是根据行为具体是否被触发来建立的,最终的叶子节点标识是否为恶意程序。相应的,用户行为日志可以是按照各个程序中各个行为是否触发,以及各个程序是否为恶意程序的方式存储的,这样就可以实现决策树的有效建立。
具体地,上述用户行为日志中的行为可以包括但不限于以下至少之一:是否访问网络、是否读取隐私数据、是否访问文件和是否获取系统权限。
步骤303:通过所述决策树,确定所述待检测程序是否为恶意程序。
基于同一发明构思,本发明实施例中还提供了一种检测恶意程序的装置,如下面的实施例所述。由于检测恶意程序的装置解决问题的原理与检测恶意程序的方法相似,因此检测恶意程序的装置的实施可以参见检测恶意程序的方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图4是本发明实施例的检测恶意程序的装置的一种结构框图,如图4所示,可以包括:获取模块401、输入模块402和确定模块403,下面对该结构进行说明。
获取模块401,用于获取待检测程序的日志数据;
输入模块402,用于将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;
确定模块403,用于通过所述决策树,确定所述待检测程序是否为恶意程序。
在一个实施方式中,上述检测恶意程序的装置还可以包括:建立模块,用于在获取待检测程序的日志数据之前,获取训练数据,并通过对所述训练数据进行训练,得到所述决策树。
在一个实施方式中,建立模块可以包括:获取单元,用于获取多个程序的应用文件;放置单元,用于将多个程序的应用文件置于模拟器中,其中,所述多个程序中各个程序是否为恶意程序是已知的;模拟单元,用于在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个应用的用户行为进行触发,并记录用户行为日志;生成单元,用于将所述用户行为日志作为所述训练数据;
相应的,所述建立模块具体用于在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。
在一个实施方式中,用户行为日志可以是按照各个程序中各个用户行为是否触发,以及各个程序是否为恶意程序的方式存储的。
在一个实施方式中,用户行为日志中的用户行为可以包括但不限于以下至少之一:是否访问网络、是否读取隐私数据、是否访问文件和是否获取系统权限。
下面结合一具体实施例对上述检测恶意程序的方法和装置进行说明,然而值得注意的是,该具体实施例仅是为了更好地说明本申请,并不构成对本申请的不当限定。
在本例中,提供了一种恶意程序识别装置,包括:应用加载模块、日志记录模块、决策树构建模块和生成模型模块。其中:
应用加载模块,用于获取被检测应用的apk文件,并将其置于模拟器中运行;
日志记录模块,用于通过自动化的模拟用户操作脚本,将应用的行为进行大量触发,此时,记录下用户的行为日志,并输出至决策树构建模块;
决策树构建模块,用于依据产生的行为日志生成并不断的完善决策树;
生成模型模块,用于通过大量的行为日志对决策树进行完善,以生成适用于判断应用类别的模型。
在进行恶意程序判别的时候,可以如图5所示,在获取了新的日志输入(当前并不知道该应用是恶意的还是非恶意的,仅是获取了其行为日志),则可以通过生成的判别模型,对该应用的类别进行判定。
如下表1所示,构建决策树需要一定的训练数据输入,而已知应用的行为日志就是此系统的训练数据(即输入数据)。其中,可以包括:访问网络、读取隐私数据、访问文件,获取系统权限等分类,具体,可以通过0和1来表示这些操作是否被触发,其中,1表示存在该行为,0则表示不存在该行为。对于应用类型一栏,0代表不是恶意应用,1则代表是恶意应用。
表1
访问网络 读取隐私数据 访问文件 获取系统权限 应用类型
1 1 0 1 1
如下表2所示为日志数据的示例:
表2
通过如表2所示的示例日志数据,可以得到如图6所示的决策树。如图6所示,决策树就是一个不断决策的过程。在决策的过程中,通过将获得的每一条log数据(0或者1)映射至定义好的log类,具体地,可以参照表2,如读取隐私数据,获取系统权限等等,其中,每一行代表一条具体的log数据,进而将每一条log实例(log类经由log数据实例化的对象)喂给决策树算法,决策树则不断增长,最终的恶意应用标签和非恶意应用标签都位于叶结点,输入的数据经过决策树模型的决策,最终都会进入叶结点,即,得到最终的决策结果,即,判断出该应用是否为恶意应用。
在上例中,通过决策树的行为日志分析的方式,提高了恶意应用判断的准确性,环境架设方便,无需耗费较高的时间成本、开发成本和维护成本,且框架的耦合性较低,便于拓展。进一步的,采用了决策树的方式对应用的行为日志进行分析,不仅能够建立符合已有样本的决策树模型,还能够利用已建立的决策树模型对未知样本的行为日志进行准确的分析,进而获得更为准确的恶意应用识别结果。
进一步的,现有的方式判断程序的载体是否为模拟器,如果判断所处的环境是否为模拟器,如果是模拟器,那么就停止一切的应用行为并退出。很明显,这对检测日志的获取是极其不利的,因此,可以通过钩子(hook)的方式,对常见的模拟器躲避接口进行了隐藏,让应用程序即使处于模拟器中,依旧可以像真机版一样释放其行为。
通过本申请的方式进行恶意程序的检测,部署较为简单,且不需要修改系统的源代码,采用自带的模拟器就可以实现,日志的获取可以通过钩子(hook)的方式,同时,可以自动化地模拟用户的操作脚本。解决了现有的通过机器随机点击的事件触发方式,导致的准确性低的问题,且可以通过动态的广播系统中的状态信息方式,让处于其中的应用程序暴露其行为,且自动化脚本的实现方式,可以大大提高执行效率。
在上例中,有效地利用日志文件,根据从模拟器中截取的应用行为日志,分析并生成对应其行为日志的决策树,不仅可以贴切现有的日志行为,还可以依据新的日志行为对应用的恶意性进行准确评估,即具备了预测性。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种检测恶意程序的方法,其特征在于,包括:
获取待检测程序的日志数据;
将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序的判断结果,所述决策树除叶节点之外的节点为恶意程序判定条件;
通过所述决策树,确定所述待检测程序是否为恶意程序。
2.根据权利要求1所述的方法,其特征在于,在获取待检测程序的日志数据之前,所述方法还包括:
获取训练数据;
通过对所述训练数据进行训练,得到所述决策树。
3.根据权利要求2所述的方法,其特征在于,获取所述训练数据包括:
获取多个程序的应用文件;
将多个程序的应用文件置于模拟器中,其中,所述多个程序中各个程序是否为恶意程序是已知的;
在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个程序的用户行为进行触发,并记录用户行为日志;
将所述用户行为日志作为所述训练数据;
相应的,在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。
4.根据权利要求3所述的方法,其特征在于,所述用户行为日志是按照各个程序中各个用户行为是否触发,以及各个程序是否为恶意程序的方式存储的。
5.根据权利要求4所述的方法,其特征在于,所述用户行为日志中的用户行为包括以下至少之一:访问网络、读取隐私数据、访问文件和获取系统权限。
6.一种检测恶意程序的装置,其特征在于,包括:
获取模块,用于获取待检测程序的日志数据;
输入模块,用于将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;
确定模块,用于通过所述决策树,确定所述待检测程序是否为恶意程序。
7.根据权利要求6所述的装置,其特征在于,还包括:
建立模块,用于在获取待检测程序的日志数据之前,获取训练数据,并通过对所述训练数据进行训练,得到所述决策树。
8.根据权利要求7所述的装置,其特征在于,所述建立模块包括:
获取单元,用于获取多个程序的应用文件;
放置单元,用于将多个程序的应用文件置于模拟器中,其中,所述多个程序中各个程序是否为恶意程序是已知的;
模拟单元,用于在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个程序的用户行为进行触发,并记录用户行为日志;
生成单元,用于将所述用户行为日志作为所述训练数据;
相应的,所述建立模块具体用于在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。
9.根据权利要求8所述的装置,其特征在于,所述用户行为日志是按照各个程序中各个用户行为是否触发,以及各个程序是否为恶意程序的方式存储的。
10.根据权利要求9所述的装置,其特征在于,所述用户行为日志中的用户行为包括以下至少之一:是否访问网络、是否读取隐私数据、是否访问文件和是否获取系统权限。
CN201611233485.4A 2016-12-28 2016-12-28 一种检测恶意程序的方法和装置 Pending CN106845228A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611233485.4A CN106845228A (zh) 2016-12-28 2016-12-28 一种检测恶意程序的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611233485.4A CN106845228A (zh) 2016-12-28 2016-12-28 一种检测恶意程序的方法和装置

Publications (1)

Publication Number Publication Date
CN106845228A true CN106845228A (zh) 2017-06-13

Family

ID=59114222

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611233485.4A Pending CN106845228A (zh) 2016-12-28 2016-12-28 一种检测恶意程序的方法和装置

Country Status (1)

Country Link
CN (1) CN106845228A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107392024A (zh) * 2017-08-08 2017-11-24 微梦创科网络科技(中国)有限公司 一种恶意程序的识别方法及装置
CN108549813A (zh) * 2018-03-02 2018-09-18 彭根 判别方法、装置及处理器和存储介质
CN110868421A (zh) * 2019-11-19 2020-03-06 泰康保险集团股份有限公司 恶意代码的识别方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103870754A (zh) * 2010-11-29 2014-06-18 北京奇虎科技有限公司 恶意程序识别及训练模型生成方法和装置
CN104205111A (zh) * 2012-03-19 2014-12-10 高通股份有限公司 用以检测恶意软件的计算装置
CN105184166A (zh) * 2015-10-21 2015-12-23 南京大学 基于内核的安卓程序实时行为分析方法及系统
CN105809035A (zh) * 2016-03-07 2016-07-27 南京邮电大学 基于安卓应用实时行为的恶意软件检测方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103870754A (zh) * 2010-11-29 2014-06-18 北京奇虎科技有限公司 恶意程序识别及训练模型生成方法和装置
CN104205111A (zh) * 2012-03-19 2014-12-10 高通股份有限公司 用以检测恶意软件的计算装置
CN105184166A (zh) * 2015-10-21 2015-12-23 南京大学 基于内核的安卓程序实时行为分析方法及系统
CN105809035A (zh) * 2016-03-07 2016-07-27 南京邮电大学 基于安卓应用实时行为的恶意软件检测方法和系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107392024A (zh) * 2017-08-08 2017-11-24 微梦创科网络科技(中国)有限公司 一种恶意程序的识别方法及装置
CN108549813A (zh) * 2018-03-02 2018-09-18 彭根 判别方法、装置及处理器和存储介质
CN110868421A (zh) * 2019-11-19 2020-03-06 泰康保险集团股份有限公司 恶意代码的识别方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN108304720B (zh) 一种基于机器学习的安卓恶意程序检测方法
CN105653956B (zh) 基于动态行为依赖图的Android恶意软件分类方法
CN106572117B (zh) 一种WebShell文件的检测方法和装置
CN105184160B (zh) 一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法
CN107659570A (zh) 基于机器学习与动静态分析的Webshell检测方法及系统
CN103136471B (zh) 一种恶意Android应用程序检测方法和系统
CN103927483B (zh) 用于检测恶意程序的判定模型及恶意程序的检测方法
CN105446864B (zh) 缓存文件删除影响的校验方法、装置及移动终端
CN108156166A (zh) 异常访问识别和接入控制方法及装置
CN105205397B (zh) 恶意程序样本分类方法及装置
Wang et al. Representing fine-grained co-occurrences for behavior-based fraud detection in online payment services
CN107944274A (zh) 一种基于宽度学习的Android平台恶意应用离线检测方法
CN106027528B (zh) 一种web水平权限自动化识别的方法及装置
Frantzeskou et al. Examining the significance of high-level programming features in source code author classification
CN107392024A (zh) 一种恶意程序的识别方法及装置
CN109784059B (zh) 一种木马文件溯源方法、系统及设备
CN106130959A (zh) 恶意应用识别方法及装置
Cao et al. Applying data mining in money laundering detection for the Vietnamese banking industry
CN104462985A (zh) bat漏洞的检测方法以及装置
CN106845228A (zh) 一种检测恶意程序的方法和装置
CN105224614A (zh) 应用程序分类的展示方法和装置
CN108090360A (zh) 一种基于行为特征的安卓恶意应用分类方法及系统
CN106874760A (zh) 一种基于层次式SimHash的Android恶意代码分类方法
CN105303442A (zh) 网上银行开户账号检测方法和装置
CN114329455B (zh) 基于异构图嵌入的用户异常行为检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170613

RJ01 Rejection of invention patent application after publication