CN107679403A - 一种基于序列比对算法的勒索软件变种检测方法 - Google Patents
一种基于序列比对算法的勒索软件变种检测方法 Download PDFInfo
- Publication number
- CN107679403A CN107679403A CN201710942962.2A CN201710942962A CN107679403A CN 107679403 A CN107679403 A CN 107679403A CN 201710942962 A CN201710942962 A CN 201710942962A CN 107679403 A CN107679403 A CN 107679403A
- Authority
- CN
- China
- Prior art keywords
- sample
- software
- sequence alignment
- extorting
- extort
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2413—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on distances to training or reference patterns
- G06F18/24147—Distances to closest patterns, e.g. nearest neighbour classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种基于序列比对算法的勒索软件变种检测方法,具体过程为:勒索软件样本输入,样本特征序列提取,将样本特征序列处理为基因序列,进行勒索软件变种检测;所述变种检测具体为:对样本集中的各个基因序列进行聚类,提取出聚类的结果信息,得到各类勒索软件家族;采用序列比对算法Needleman‑Wunsch计算待检测样本与各类勒索软件家族的类簇中心样本的相似度,选出相似度大于设定阈值的簇,使用筛选出来的簇组成新的勒索软件训练样本集;对于待检测样本,使用新筛选出来的训练样本集,结合序列比对算法和KNN分类算法确定其所属的勒索软件家族类别,实现变种检测。该方法将序列比对算法与现有的分类算法相结合来达到快速实现勒索软件变种检测的目的。
Description
技术领域
本发明涉及一种基于序列比对算法的勒索软件变种检测方法,属于软件检测技术领域。
背景技术
目前国内外针对勒索软件的检测防御方法并不是很多,主要分为以下几类:基于网络流量分析的检测方法、基于勒索软件动静态特征的检测方法、基于诱饵文件的检测方法。
现有技术中,发明专利申请“一种勒索者病毒的检测方法及系统”,申请号:CN201611094356.1,通过对比修改后文件与备份文件的熵值判断是否加密操作,若存在加密操作则收集被加密的所有文件,并判断具备相同扩展名的文件所占比例是否超过预设值,若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串,若是则判定为疑似勒索者病毒。此发明是基于勒索软件动态特征的检测方法。发明专利申请“一种基于改进贝叶斯算法的安卓恶意软件检测方法”,申请号:CN201510050936.X,通过改进贝叶斯算法对安卓恶意程序和良性程序的特征属性进行分析和分类,实现一种基于改进贝叶斯算法的恶意软件检测方法。发明专利申请“基于机器学习的安卓平台恶意软件检测方法”,申请号:CN201510184628.6,通过收集恶意程序集和正常程序集组成样本库并进行训练,比较后得出最佳的分类模型,将待测程序输入模型得到分类结果。发明专利申请“基于网络流量的多特征移动终端恶意软件检测方法及系统”,申请号:CN201510486986.2从网络流量数据中提取出能够有效表征移动终端恶意软件网络行为的特征;按照不同的特征类型对提取的能够有效表征移动终端恶意软件网络行为的特征进行分类。是基于网络流量分析的检测方法。发明专利申请“基于软件控制流特征的计算机恶意软件检测新方法”,申请号:CN201310069852.1,对二进制文件自动提取操作码序列,并利用空间向量模型将序列转为结构化信息,经过筛选后作为文件的特征集,再使用数据挖掘方法从大量特征集中发现软件分类的规则,并将其用于恶意软件的检测。发明专利申请“一种检测恶意软件的方法及装置”,申请号:CN201710241552.5,利用诱饵文件对恶意软件进行检测,具体方法为将每个被勒索软件操作后的诱饵文件的特征值组成目标特征值序列;将目标特征值序列与原始特征值序列进行比较由此得出检测结果。是基于诱饵文件的检测方法。
以上主流检测方法中并未重点研究勒索软件或勒索软件变种,且大都为对多类别恶意软件的通用检测方法,没有针对勒索软件进行优化。
发明内容
有鉴于此,本发明提供一种基于序列比对算法的勒索软件变种检测方法,该方法将序列比对算法与现有的分类算法相结合来达到快速实现勒索软件变种检测的目的。
实现本发明的技术方案如下:
一种基于序列比对算法的勒索软件变种检测方法,具体过程为:勒索软件样本输入,样本特征序列提取,将样本特征序列处理为基因序列,使用分类算法基于样本基因序列进行勒索软件变种检测;所述变种检测具体为:
对样本集中的各个基因序列进行聚类,提取出聚类的结果信息,得到各类勒索软件家族;
采用序列比对算法Needleman-Wunsch计算待检测样本与各类勒索软件家族的类簇中心样本的相似度,选出相似度大于设定阈值的簇,使用筛选出来的簇组成新的勒索软件训练样本集;
对于待检测样本,使用新筛选出来的训练样本集,结合序列比对算法和KNN分类算法确定其所属的勒索软件家族类别,实现变种检测。
进一步地,本发明输入的勒索软件样本均为PE文件。
进一步地,本发明所提取的样本特征序列包括:Web Entities序列、CryptoAPI序列及网络通信协议序列。
进一步地,本发明所述将样本特征处理为基因序列为:将Web Entities序列中的每一个字符串进行直接拼接,将CryptoAPI序列和网络通信协议序列采用与氨基酸一一对应的方式将这两种序列转化为基因序列。
进一步地,本发明所述序列比对算法中的基因序列包括:Web Entities基因序列、CryptoAPI基因序列、网络通信协议基因序列、CryptoAPI+通信协议基因序列。
进一步地,本发明使用样本汇编指令操作码的3gram序列来对训练样本集中的勒索软件样本进行聚类,使用反汇编工具得到训练样本集中所有勒索软件样本的汇编代码文件之后从中提取操作码的3gram,从所有的3gram中筛选出出现次数最多的前500个,分别统计这500个3gram在每个样本中的出现次数,这样对每个样本可以形成一个500维的特征向量作为聚类算法的输入。
进一步地,本发明采用K-means算法对样本集中的各个基因序列进行聚类。
有益效果
第一,针对勒索软件变种,提出了基于序列比对算法的检测分类方法,将提取出来的特征序列处理为基因序列,使用全局序列比对算法Needleman-Wunsch来计算不同样本之间的相似度,然后作为KNN算法的输入,本发明利用相似度代替传统样本距离,能够充分利用基因序列比对算法在长序列比对上的准确度优势,达到样本精确比对的目标。
第二,本发明利用聚类算法筛选出相似度大于设定阈值的样本构成训练样本集,精简了训练样本集的的样本数,缩短了检测耗时。
第三,针对勒索软件的行为特点,提出了基于WebEntities序列(勒索信息)、CryptoAPI序列(密码函数调用)和通信协议的综合特征提取方法,该三种特征能够准确地对勒索软件进行分类。
附图说明
图1为本发明勒索软件变种检测流程图;
图2为勒索信息截图;
图3为勒索信息截图的文本信息分析效果图;
图4为本发明勒索软件变种检测流程图。
具体实施方式
下面结合附图和具体实例对本发明进行详细说明。
勒索软件变种检测的过程其实就是分析类别未知的勒索软件样本与已知家族之间的相似性和同源性,与生物信息学领域的序列比对算法可以用来分析DNA序列或者蛋白质序列之间的相似性和同源性类似。因此,本发明以已有的检测方法为理论基础,结合生物信息学领域的序列比对算法和数据挖掘领域的分类算法,将重点放在勒索软件变种检测上,主要目的是为了将类别未知的勒索软件划分到已知勒索软件家族中去,即:区分被检测的勒索软件是哪个已知家族的变种,方便研究人员根据已有经验快速制定防御对策。
本发明基于序列比对算法的勒索软件变种检测方法,如图1所示,具体过程为:
步骤一:样本输入。
勒索软件样本可以从VirusShare和MalWare Traffic Analysis等的恶意代码分析网站上获得。得到的勒索软件样本均为PE文件。PE(PortableExecutable)文件为Windows下可执行文件的统称,常见的EXE、DLL、OCX、SYS、COM等格式的文件都是PE文件,这些类型的文件可以被直接执行,如EXE类型的文件;也可以被间接执行,如DLL文件。
步骤二:特征序列提取。
对比大量不同家族样本的分析结果,本发明选定了以下三种类型的动态特征作为勒索软件变种检测的基础数据。
(1)提取样本的Web Entities序列
数据加密类勒索软件在加密用户数据以后会弹出提示信息,告知用户发生了什么以及通过哪些途径来支付赎金以恢复被加密的文件,这些提示信息称为勒索信息。勒索软件样本在Cuckoo-SandBox中运行过程中,弹出的勒索信息会以截图的形式保存下来,如图2所示。同一个家族的勒索软件弹出的勒索信息在内容和格式上存在很高的相似度,一些不同的勒索软件家族之间的勒索信息虽然在内容也存在着很高的相似度,但是在格式上差别很大。基于这些发现,本发明利用Google Vision API等图像识别软件对勒索信息截图进行了文本信息的分析。分析效果图如图3所示。
根据图片的分析结果将网络中与图片相关度比较高的15个词汇罗列出来,并按照相关度的大小进行排序,如下所示。该序列被称为Web Entities序列。由于Web Entities序列的内容和图片的内容和内容的表现形式密切相关,因此,同一个家族的勒索软件的WebEntities序列存在很高相似度,而不同家族样本之间的WE序列则存在较大差别,所以发明选取Web Entities序列作为勒索软件变种检测的基础特征之一。
按照相关度排序的Web Entities序列
以CrypMic家族的样本83c7d9357d2b6d1d6ca044484da6ddda(MD5)为例最终提取出来的Web Entities特征序列在未进行进一步处理之前采用如下所示的文本序列的形式进行保存:
Web Entities文本序列
(2)提取样本的CryptoAPI序列
大多数勒索软件在加密用户数据过程中都会调用Windows提供的CryptoAPI用于提高执行效率和躲避杀毒软件的检测。利用沙箱系统例如Cuckoo-SandBox将被分析的勒索软件调用的所有Windows API都记录下来,与其他分析结果一起保存在json格式的报告中。
CryptoAPI体系主要由以下及部分组成:
●基本加密函数。如CryptAcquireContext(用于获得指定CSP的密钥容器)、CryptGenKey(创建一个随机密钥)、CryptEncrypt(使用指定加密密钥来加密一段明文)、CryptVerifySignature(校验一个数字签名)等。
●证书和证书库函数。如CertAddStoreToCollection(在证书库中增加一个证书)、CertCreateSelfSignCertificate(创建一个自签名证书)等。
●证书验证函数。如CertFreeCertificateChain(释放证书链)。
●消息函数。如CryptMsgCalculateEncodedLength(计算加密消息的长度)。
●辅助函数。如CertCompareCertificate(比较两个证书是否相同)、CryptMemAlloc(分配内存)等。
勒索软件对CryptoAPI的调用穿插在大量的Windows API调用序列之间。本发明首先根据CryptoAPI的体系结构建立了一个包含CryptoAPI所有函数的集合,然后根据该集合将CryptoAPI调用序列从json报告中提取出来。序列中的一系列CryptoAPI是按照在勒索软件运行过程中被调用的先后顺序排列的,排列顺序不同,反应的加密逻辑也不同。
以Locky家族的样本ee1ef763460f073bbc845c245d08288f为例,最终提取出来的CryptoAPI特征序列在未进进一步处理之前采用如下所示的文本序列的形式进行保存:
CryptoAPI文本序列
(3)提取样本的网络通信协议序列
数据加密类勒索软件与C&C服务器进行通信是一个必不可少的阶段。针对这一阶段,本发明基于沙箱分析结果中的PCAP文件,使用流量包分析工具Tshark对样本通信过程中使用的网络通信协议进行了过滤,发现同一个家族之间的样本在通信过程中使用的通信协议构成的序列具有很大的相似性,都使用相对固定种类的通信协议而且这些协议出现的先后顺序相对固定,而不同家族的样本之间使用的协议种类则存在较大差别。
PCAP文件中按照OSI模型详细记录了样本每次通信时在不同层次所使用的协议,一般的记录形式为:数据链路层协议:网络层协议:传输层协议:应用层协议:数据类型,即上述中的记录形式。从中可以看出不同勒索软件家族之间,在与服务器通信过程中,所使用的通信协议以及不同协议出现的先后顺序存在较大差别,因此,可以将网络通信协议的序列提取出来作为区分勒索软件变种的特征之一。
本发明将Tshark命令封装在Linux脚本中对样本的PCAP文件进行批量处理,可以快速将样本通信过程中的通信协议过滤出来,结果可以保存为多种形式,.txt、.csv等。
以Cerber家族的样本40857137331ca64ccc346f845e987fd9为例,最终提取出来的网络通信协议特征序列在未进行进一步的处理之前采用如下所示的文本序列的形式进行保存:
网络通信协议文本序列
步骤三:将样本特征序列处理为基因序列。
由于后续阶段要使用序列比对算法计算样本之间的相似度,因此需要对提取出来的动态特征序列进行处理,使其更加适用与序列比对算法。
Web Entities序列由15个字符串组成,并且每个字符串的长度都比较短,数据量很小,因此可以直接将这15个字符串拼接起来组成形成一个大的序列直接作为序列比对的输入,将拼接而成的长序列称为Web Entities文本基因序列。
对于数据量较大的CryptoAPI序列和网络通信协议序列,采用与氨基酸一一对应的方式将这两种序列转化为基因序列。本发明分析了目前流行的勒索软件家族的大量样本,从中总结出了目前的勒索软件使用到的所有CryptoAPI类型,如表1所示。
表1CryptoAPI类型
从表中可以看出,虽然CryptoAPI种类繁多,但是主流的勒索软件家族通常只调用其中的几种来使用。根据表中显示的CryptoAPI的类型,与氨基酸的对应关系如表2所示。
表2CryptoAPI与氨基酸的映射关系
假设现有一个Cerber家族的勒索软件样本,其部分原始的CryptoAPI序列为CryptEncrypt、CryptCreateHash、CryptHashData、CryptEncrypt,则根据表2所示的对应关系可以得到其CryptoAPI基因序列为:ACQA。
与处理CryptoAPI的方法相同,本发明使用Tshark对分属于7个家族的大量勒索软件样本在与服务器通信过程中使用到的网络通信协议进行了过滤和去重,最终确定了主流勒索软件所使用的网络通信协议的种类,主要包含以下几种:eth:ip:tcp、eth:ip:tcp:http、eth:ip:tcp:http:data-text-lines、eth:ip:tcp:http:media、eth:ip:tcp:http:data、eth:ip:tcp:ssl、eth:ip:tcp:http:image-jfif、eth:ip:tcp:http:png、eth:ip:tcp:http:json、eth:ip:udp:data、eth:ip:udp:dns
将上述类型与不同种类的氨基酸建立对应关系,如表3所示。
表3通信协议与氨基酸的映射关系
假设某勒索软件样本的通信协议序列为eth:ip:tcp、eth:ip:tcp、eth:ip:tcp、eth:ip:tcp:http、eth:ip:tcp:http:data-text-lines、eth:ip:tcp:http:png、eth:ip:tcp:http:png、eth:ip:udp:data、eth:ip:udp:data、eth:ip:udp:dns,则对应的基因序列为:EEEGHPPSSW。
到目前未为止,一共可以得到四种用于序列比对的基因序列:Web Entities基因序列、CryptoAPI基因序列、网络通信协议基因序列、CryptoAPI+通信协议基因序列。
步骤四:使用KNN分类算法基于样本基因特征进行勒索软件变种检测。
序列比对算法只能计算勒索软件样本之间的相似度,并不能将类别未知的勒索软件样本归类到已知勒索软件家族中去,因此本发明将通过序列比对得到的样本相似度作为KNN算法的输入实现对类别未知的样本的分类。而传统KNN分类算法需要计算待分类数据项与训练集中所有数据项之间的距离,当训练集样本很多时,计算的开销很高。
综上所述,为了降低开销,提高检测效率,本发明采用削减训练集的方法来降低序列比对过程的开销,同时对使用到的序列比对算法Needleman-Wusch算法进行了并行化。主要的检测分类流程如下:
1.对样本集中的各个基因序列分别使用K-means算法进行聚类,并提取出聚类的结果信息。
2.采用序列比对算法计算待检测样本与步骤1中得到的各个类簇的类簇中心样本的相似度,按照相似度大小排序选出前一定数量的簇,使用这些筛选出来的簇组成新的勒索软件训练样本集。
3.对于待检测样本,使用新筛选出来的训练集,结合序列比对算法和KNN分类算法确定其所属的勒索软件家族类别。
根据上述步骤,本发明最终的勒索软件变种检测流程如图4所示。
本发明使用样本汇编指令操作码的3gram序列来对训练样本集中的勒索软件样本进行聚类,使用反汇编工具得到训练集中所有勒索软件样本的汇编代码文件之后从中提取操作码的3gram,从所有的3gram中筛选出出现次数最多的前500个,分别统计这500个3gram在每个样本中的出现次数,这样对每个样本可以形成一个500维的特征向量作为聚类算法的输入。
本发明使用了多线程流水线技术优化了全局序列比对算法Needleman-Wunsch的分矩阵的计算过程,进一步提高了检测效率。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于序列比对算法的勒索软件变种检测方法,其特征在于,具体过程为:勒索软件样本输入,样本特征序列提取,将样本特征序列处理为基因序列,使用分类算法基于样本基因序列进行勒索软件变种检测;所述变种检测具体为:
对样本集中的各个基因序列进行聚类,提取出聚类的结果信息,得到各类勒索软件家族;
采用序列比对算法Needleman-Wunsch计算待检测样本与各类勒索软件家族的类簇中心样本的相似度,选出相似度大于设定阈值的簇,使用筛选出来的簇组成新的勒索软件训练样本集;
对于待检测样本,使用新筛选出来的训练样本集,结合序列比对算法和KNN分类算法确定其所属的勒索软件家族类别,实现变种检测。
2.根据权利要求1所述基于序列比对算法的勒索软件变种检测方法,其特征在于,输入的勒索软件样本均为PE文件。
3.根据权利要求1所述基于序列比对算法的勒索软件变种检测方法,其特征在于,所提取的样本特征序列包括:Web Entities序列、CryptoAPI序列及网络通信协议序列。
4.根据权利要求3所述基于序列比对算法的勒索软件变种检测方法,其特征在于,所述将样本特征处理为基因序列为:将Web Entities序列中的每一个字符串进行直接拼接,将CryptoAPI序列和网络通信协议序列采用与氨基酸一一对应的方式将这两种序列转化为基因序列。
5.根据权利要求4所述基于序列比对算法的勒索软件变种检测方法,其特征在于,所述序列比对算法中的基因序列包括:Web Entities基因序列、CryptoAPI基因序列、网络通信协议基因序列、CryptoAPI+通信协议基因序列。
6.根据权利要求1所述基于序列比对算法的勒索软件变种检测方法,其特征在于,使用样本汇编指令操作码的3gram序列来对训练样本集中的勒索软件样本进行聚类,使用反汇编工具得到训练样本集中所有勒索软件样本的汇编代码文件之后从中提取操作码的3gram,从所有的3gram中筛选出出现次数最多的前500个,分别统计这500个3gram在每个样本中的出现次数,这样对每个样本可以形成一个500维的特征向量作为聚类算法的输入。
7.根据权利要求1所述基于序列比对算法的勒索软件变种检测方法,其特征在于,采用K-means算法对样本集中的各个基因序列进行聚类。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710942962.2A CN107679403B (zh) | 2017-10-11 | 2017-10-11 | 一种基于序列比对算法的勒索软件变种检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710942962.2A CN107679403B (zh) | 2017-10-11 | 2017-10-11 | 一种基于序列比对算法的勒索软件变种检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107679403A true CN107679403A (zh) | 2018-02-09 |
| CN107679403B CN107679403B (zh) | 2021-02-12 |
Family
ID=61140558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710942962.2A Active CN107679403B (zh) | 2017-10-11 | 2017-10-11 | 一种基于序列比对算法的勒索软件变种检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107679403B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600195A (zh) * | 2018-04-04 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种基于增量学习的快速工控协议格式逆向推断方法 |
| CN108932430A (zh) * | 2018-07-02 | 2018-12-04 | 北京大学 | 一种基于软件基因技术的恶意软件检测方法 |
| CN109614797A (zh) * | 2018-12-14 | 2019-04-12 | 北京车和家信息技术有限公司 | 车载信息娱乐系统的锁屏勒索软件查杀方法、装置及设备 |
| CN110046501A (zh) * | 2019-03-09 | 2019-07-23 | 中国人民解放军战略支援部队信息工程大学 | 一种受生物基因启发的恶意代码检测方法 |
| CN110399722A (zh) * | 2019-02-20 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种病毒家族生成方法、装置、服务器及存储介质 |
| CN111027065A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111324890A (zh) * | 2018-12-14 | 2020-06-23 | 华为技术有限公司 | 可移植的执行体文件的处理方法、检测方法及装置 |
| CN112511525A (zh) * | 2020-11-24 | 2021-03-16 | 山西三友和智慧信息技术股份有限公司 | 一种网站恶意第三方内容检测方法及系统 |
| CN113378165A (zh) * | 2021-06-25 | 2021-09-10 | 中国电子科技集团公司第十五研究所 | 一种基于Jaccard系数的恶意样本相似性判定方法 |
| CN114492366A (zh) * | 2022-01-10 | 2022-05-13 | 阿里云计算有限公司 | 二进制文件的分类方法、计算设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101739337A (zh) * | 2009-12-14 | 2010-06-16 | 北京理工大学 | 一种基于聚类的软件漏洞序列特征的分析方法 |
| CN106845226A (zh) * | 2016-12-26 | 2017-06-13 | 中国电子科技集团公司第三十研究所 | 一种恶意程序分析方法 |
| US9721097B1 (en) * | 2016-07-21 | 2017-08-01 | Cylance Inc. | Neural attention mechanisms for malware analysis |
| CN107180191A (zh) * | 2017-05-03 | 2017-09-19 | 北京理工大学 | 一种基于半监督学习的恶意代码分析方法和系统 |
-
2017
- 2017-10-11 CN CN201710942962.2A patent/CN107679403B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101739337A (zh) * | 2009-12-14 | 2010-06-16 | 北京理工大学 | 一种基于聚类的软件漏洞序列特征的分析方法 |
| US9721097B1 (en) * | 2016-07-21 | 2017-08-01 | Cylance Inc. | Neural attention mechanisms for malware analysis |
| CN106845226A (zh) * | 2016-12-26 | 2017-06-13 | 中国电子科技集团公司第三十研究所 | 一种恶意程序分析方法 |
| CN107180191A (zh) * | 2017-05-03 | 2017-09-19 | 北京理工大学 | 一种基于半监督学习的恶意代码分析方法和系统 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600195A (zh) * | 2018-04-04 | 2018-09-28 | 国家计算机网络与信息安全管理中心 | 一种基于增量学习的快速工控协议格式逆向推断方法 |
| CN108600195B (zh) * | 2018-04-04 | 2022-01-04 | 国家计算机网络与信息安全管理中心 | 一种基于增量学习的快速工控协议格式逆向推断方法 |
| CN108932430A (zh) * | 2018-07-02 | 2018-12-04 | 北京大学 | 一种基于软件基因技术的恶意软件检测方法 |
| CN111324890B (zh) * | 2018-12-14 | 2022-12-02 | 华为技术有限公司 | 可移植的执行体文件的处理方法、检测方法及装置 |
| CN109614797A (zh) * | 2018-12-14 | 2019-04-12 | 北京车和家信息技术有限公司 | 车载信息娱乐系统的锁屏勒索软件查杀方法、装置及设备 |
| CN111324890A (zh) * | 2018-12-14 | 2020-06-23 | 华为技术有限公司 | 可移植的执行体文件的处理方法、检测方法及装置 |
| CN110399722A (zh) * | 2019-02-20 | 2019-11-01 | 腾讯科技(深圳)有限公司 | 一种病毒家族生成方法、装置、服务器及存储介质 |
| CN110399722B (zh) * | 2019-02-20 | 2024-03-26 | 腾讯科技(深圳)有限公司 | 一种病毒家族生成方法、装置、服务器及存储介质 |
| CN110046501A (zh) * | 2019-03-09 | 2019-07-23 | 中国人民解放军战略支援部队信息工程大学 | 一种受生物基因启发的恶意代码检测方法 |
| CN110046501B (zh) * | 2019-03-09 | 2020-09-29 | 中国人民解放军战略支援部队信息工程大学 | 一种受生物基因启发的恶意代码检测方法 |
| CN111027065A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111027065B (zh) * | 2019-10-28 | 2023-09-08 | 安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN112511525A (zh) * | 2020-11-24 | 2021-03-16 | 山西三友和智慧信息技术股份有限公司 | 一种网站恶意第三方内容检测方法及系统 |
| CN112511525B (zh) * | 2020-11-24 | 2022-07-22 | 山西三友和智慧信息技术股份有限公司 | 一种网站恶意第三方内容检测方法及系统 |
| CN113378165B (zh) * | 2021-06-25 | 2021-11-05 | 中国电子科技集团公司第十五研究所 | 一种基于Jaccard系数的恶意样本相似性判定方法 |
| CN113378165A (zh) * | 2021-06-25 | 2021-09-10 | 中国电子科技集团公司第十五研究所 | 一种基于Jaccard系数的恶意样本相似性判定方法 |
| CN114492366A (zh) * | 2022-01-10 | 2022-05-13 | 阿里云计算有限公司 | 二进制文件的分类方法、计算设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107679403B (zh) | 2021-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107679403A (zh) | 一种基于序列比对算法的勒索软件变种检测方法 | |
| CN107180192B (zh) | 基于多特征融合的安卓恶意应用程序检测方法和系统 | |
| Ye et al. | CIMDS: adapting postprocessing techniques of associative classification for malware detection | |
| CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及系统 | |
| US11163877B2 (en) | Method, server, and computer storage medium for identifying virus-containing files | |
| CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
| CN104331436A (zh) | 基于家族基因码的恶意代码快速归类方法 | |
| CN108446559A (zh) | 一种apt组织的识别方法及装置 | |
| US20210027861A1 (en) | Identifying signature snippets for nucleic acid sequence types | |
| CN113935033A (zh) | 特征融合的恶意代码家族分类方法、装置和存储介质 | |
| CN107368592B (zh) | 一种用于网络安全报告的文本特征模型建模方法及装置 | |
| CN108197474A (zh) | 移动终端应用的分类和检测方法 | |
| CN112464232A (zh) | 一种基于混合特征组合分类的Android系统恶意软件检测方法 | |
| Wang et al. | TextDroid: Semantics-based detection of mobile malware using network flows | |
| Sivakumar et al. | Malware Detection Using The Machine Learning Based Modified Partial Swarm Optimization Approach | |
| CN108932430A (zh) | 一种基于软件基因技术的恶意软件检测方法 | |
| Elkhawas et al. | Malware detection using opcode trigram sequence with SVM | |
| Rathore et al. | Android malicious application classification using clustering | |
| Park et al. | Birds of a feature: Intrafamily clustering for version identification of packed malware | |
| Naeem et al. | Digital forensics for malware classification: An approach for binary code to pixel vector transition | |
| CN114386511A (zh) | 基于多维度特征融合和模型集成的恶意软件家族分类方法 | |
| CN108229168B (zh) | 一种嵌套类文件的启发式检测方法、系统及存储介质 | |
| CN110647747B (zh) | 一种基于多维相似度的虚假移动应用检测方法 | |
| CN110197068B (zh) | 基于改进灰狼算法的Android恶意应用检测方法 | |
| Sujyothi et al. | Dynamic malware analysis and detection in virtual environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |