CN108021810A - 一种海量恶意代码高效检测方法 - Google Patents

一种海量恶意代码高效检测方法 Download PDF

Info

Publication number
CN108021810A
CN108021810A CN201711279055.0A CN201711279055A CN108021810A CN 108021810 A CN108021810 A CN 108021810A CN 201711279055 A CN201711279055 A CN 201711279055A CN 108021810 A CN108021810 A CN 108021810A
Authority
CN
China
Prior art keywords
assembler
section
sample
constant
sentence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711279055.0A
Other languages
English (en)
Other versions
CN108021810B (zh
Inventor
韩伟杰
薛静锋
王勇
刘振岩
单纯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Original Assignee
Beijing Institute of Technology BIT
Peoples Liberation Army Strategic Support Force Aerospace Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT, Peoples Liberation Army Strategic Support Force Aerospace Engineering University filed Critical Beijing Institute of Technology BIT
Priority to CN201711279055.0A priority Critical patent/CN108021810B/zh
Publication of CN108021810A publication Critical patent/CN108021810A/zh
Application granted granted Critical
Publication of CN108021810B publication Critical patent/CN108021810B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种海量恶意代码高效检测方法,能够实现对海量恶意代码的高效率的检测。该检测方法针对汇编程序样本进行恶意代码检测,该方法采用多核计算资源并行执行汇编程序样本识别步骤,汇编程序样本识别步骤具体为:提取汇编程序切片,汇编程序切片为汇编程序样本中对指定变量产生影响的语句或表达式。基于预设的汇编程序切片类型,统计汇编程序样本中所提取的每种类型汇编程序切片出现的次数,作为汇编程序样本的特征向量。针对汇编程序样本的特征向量,预先训练获得分类器,采用分类器进行恶意代码识别。

Description

一种海量恶意代码高效检测方法
技术领域
本发明涉及信息技术领域,具体涉及一种海量恶意代码高效检测方法。
背景技术
在当今网络空间环境下,随着信息技术的飞速发展和网络应用的日益广泛,网络安全的形势也越发严峻,网络攻击呈现组织化和产业化的特征,各种类型的恶意代码层出不穷,并且变化快、种类多,数量急剧增加,规模越发庞大。
据统计2016年捕获的移动互联网恶意程序数量近205万个,恶意程序数量在近7年来保持高速增长趋势。
在此背景下,如何从海量的应用程序中,快速、准确地检测出恶意代码,已成为构筑网络安全防护之盾必须首先要解决的关键问题。
目前,在恶意代码检测方面的研究工作主要研究重点是恶意代码特征的提取过程,以及基于机器学习的分类过程。这两个过程是恶意代码检测的两个主要阶段,两者组成了一个恶意代码检测的串行处理过程。在特征提取阶段,现有研究工作主要侧重于从代码中提取各种类型的特征,并对特征进行组合以实现对代码的特征刻画;在代码分类阶段,现有的研究工作主要侧重于研究基于机器学习算法的分类方法,以实现基于代码特征对良性代码和恶意代码进行准确分类,并确保检测出恶意代码的准确率。现有研究工作存在的缺点包括:
(1)特征集合较大。现有的静态分析方法通常是在将恶意代码反汇编之后,对汇编程序中出现的汇编指令进行组合作为代码的静态特征,但是汇编指令集的规模比较庞大。比如,x86-64汇编指令集的数目就超过800。通常由恶意代码反汇编得到的汇编程序中出现的汇编指令数量都达到几百个。在此基础上将指令集进行组合生成n-grams特征,其特征集将会十分庞大。此外,汇编指令集中的很多汇编指令并不能有效反映恶意代码的特征,所以通过汇编指令组合构建特征集的方法会严重影响分析效率。
(2)传统的串行处理过程效率较低。现有的检测方法主要包括训练阶段和检测阶段,而这两个阶段分别按照“提取特征-训练分类器”和“提取特征-使用训练好的分类器检测”的步骤实施,所以传统的恶意代码检测过程本质上是一种串行处理过程。如果单从检测准确性的要求考虑,这种处理方式是能够满足要求的。但是在面临海量的恶意代码需要分析时,如果仍然采用传统的串行处理方式,就需要逐个分析恶意代码,将很难在短时间内完成海量恶意代码的检测任务。这样的话,当面临APT攻击时将很难做出快速响应。
发明内容
有鉴于此,本发明提供了一种海量恶意代码高效检测方法,能够实现对海量恶意代码的高效率的检测。
本发明的技术方案为:该检测方法针对汇编程序样本进行恶意代码检测,该方法采用多核计算资源并行执行汇编程序样本识别步骤,汇编程序样本识别步骤具体为:
提取汇编程序切片,汇编程序切片为汇编程序样本中对指定变量产生影响的语句或表达式。
基于预设的汇编程序切片类型,统计汇编程序样本中所提取的每种类型汇编程序切片出现的次数,作为汇编程序样本的特征向量。
针对汇编程序样本的特征向量,预先训练获得分类器,采用分类器进行恶意代码识别。
进一步地,指定变量为对汇编程序运行主体的性能表现产生影响的变量。
进一步地,汇编程序切片类型包括赋值语句、跳转语句、目标调用语句、堆栈操作语句、库调用语句以及变量测试语句。
进一步地,预设的汇编程序切片类型包括:
变量赋值切片ASSIGN,即使用寄存器进行赋值的语句;
常量赋值切片ASSIGN_CONSTANT,即使用常量进行赋值的语句。
目标未知判断切片CONTROL,即跳转目标为未知地址的判断语句。
目标已知判断切片CONTROL_CONSTANT,即跳转目标为已知地址的判断语句。
目标未知调用切片CALL,即调用目标未知的调用语句。
目标已知调用切片CALL_CONSTANT,即调用目标已知的调用语句。
目标未知跳转切片JUMP,即跳转目标未知的跳转语句。
目标已知跳转切片JUMP_CONSTANT,即跳转目标已知的跳转语句。
返回跳转切片JUMP_STACK,即跳转返回语句。
普通库调用切片LIBCALL,即调用库的语句。
常量库调用切片LIBCALL_CONSTANT,即包含常量的库调用语句。
终止切片HALT,即终止语句。
锁切片LOCK,即封锁总线语句。
空操作切片NOP,即空操作语句。
普通堆栈切片STACK,即普通的堆栈操作语句。
常量堆栈切片STACK_CONSTANT,即包含常量的堆栈操作语句。
变量测试切片TEST,即变量测试语句。
常量测试切片TEST_CONSTANT,即包含常量的测试语句。
未知切片UNKNOWN,即任意不能被转换的未知汇编指令。
进一步地,基于预设的汇编程序切片类型,统计汇编程序样本中所提取的每种类型汇编程序切片出现的次数,作为汇编程序样本的特征向量,具体包括:
汇编程序切片类型包括n种,其中第i种类型的汇编程序切片记为Si,i=1~n。
在汇编程序样本s中,第i种类型的汇编程序切片出现的次数为Ni
则汇编程序样本s的特征向量为其中labels为汇编程序样本s的代码类型,包括恶意代码和良性代码两种类型。
进一步地,预先训练获得分类器,具体包括如下步骤:
选取恶意代码和良性代码组成训练样本集。
对训练样本集中的恶意代码和良性代码执行反汇编操作,生成汇编程序训练样本,并采用标签标记汇编程序训练样本的代码类型。
基于预设的汇编程序切片类型,从汇编程序训练样本中提取汇编程序切片,统计汇编程序训练样本中每种类型汇编程序切片出现的次数,作为汇编程序训练样本的特征向量。
基于汇编程序训练样本的特征向量训练获得分类器。
进一步地,分类器为集成分类器。
集成分类器由多个分类器组成,集成分类器的分类结果由多个分类器的分类结果通过投票机制投票获得。
进一步地,集成分类器由K最近邻分类器、NaiveBayes分类器、SVM分类器、DecisionTree分类器以及RandomForest分类器组成。
进一步地,采用多核计算资源并行执行汇编程序样本识别步骤,具体为:
构建多核资源池,多核资源池由多个计算资源节点组成,每一个计算资源节点作为一个核承担一个处理任务。
选定一个计算资源节点作为主节点用于存储多个汇编程序样本,其他计算资源节点作为从节点。
查询多核资源池中的可用计算资源节点,将可用计算资源节点组成当前可用资源队列。
基于当前可用资源队列,主节点为每个可用计算资源节点分配一个汇编程序样本,可用计算资源节点并行执行汇编程序样本识别步骤。
从节点实时监控自身运行状态,内部维护并实时更新一个状态向量,状态向量由描述从节点当前运行状况的信息组成;从节点实时将状态向量发送至主节点。
主节点实时监控各从节点的状态向量,当发现从节点已完成汇编程序样本识别步骤之后,为从节点再次分配汇编程序样本。
进一步地,状态向量由当前任务处理进程、计算资源消耗、存储资源消耗、带宽资源消耗以及已被分配任务次数信息组成。
有益效果:
1、本发明针对传统特征工程存在特征集合较大,以及串行处理过程效率较低等问题,提出通过对汇编程序切片,以提取构建简练有效的恶意代码静态特征,并充分利用当前普遍具备的多核计算资源,采用多核并行处理的方式缩短检测海量恶意代码的时间。通过两者的结合使用,有效提升海量恶意代码检测的效率,为保障网络及时安全防护提供支撑。
附图说明
图1为本发明提供的海量恶意代码高效检测方法中的汇编程序样本识别步骤流程框图。
图2为本发明所提供的海量恶意代码高效检测方法并行处理的流程框图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
本发明实施例提供了一种海量恶意代码高效检测方法,该方法检测方法针对汇编程序样本进行恶意代码检测,该方法采用多核计算资源并行执行汇编程序样本识别步骤,其中的汇编程序样本识别步骤如图1所示,具体为:
S1、提取汇编程序切片,汇编程序切片为汇编程序样本中对指定变量产生影响的语句或表达式。
本发明实施例中指定变量可以是用户指定的变量,也可以直接采用对汇编程序运行主体的性能表现产生影响的变量。具体地,通过Fenix(分析),能够对汇编程序运行主体的性能表现产生影响的语句,一般可能包括:赋值语句、跳转语句、目标调用语句、堆栈操作语句、库调用语句以及变量测试语句。
本实施例以X86-64指令集为例,汇编指令主要包括控制指令、运算指令、逻辑指令、数据传输指令、系统指令及混合指令等。恶意代码虽然由各种类型的指令组成,但是其恶意功能部分主要涉及的则是一些能够对操作过程和结果产生影响的指令。
为此,本发明中定义了如下19种切片,系统涵盖了恶意代码汇编程序中能够对恶意功能产生影响的环节,由此实现对恶意代码汇编程序的抽象概括,及其特征的精炼描绘。
19种汇编程序切片具体定义如下:
1)变量赋值切片(ASSIGN):使用寄存器进行赋值的语句,比如EAX=EAX+ECX;
2)常量赋值切片(ASSIGN_CONSTANT):使用常量进行赋值的语句,比如EBX=EBX+0XA1;
3)目标未知判断切片(CONTROL):跳转目标为未知地址的判断语句,比如if(ZF==1)JMP[EAX+EBX+0X1A];
4)目标已知判断切片(CONTROL_CONSTANT):跳转目标为已知地址的判断语句,比如if(ZF==1)JMP 0x401245;
5)目标未知调用切片(CALL):调用目标未知的调用语句,比如CALL EBX;
6)目标已知调用切片(CALL_CONSTANT):调用目标已知的调用语句,比如CALL0X603284;
7)目标未知跳转切片(JUMP):跳转目标未知的跳转语句,比如JMP[EAX+ECX+0X10];
8)目标已知跳转切片(JUMP_CONSTANT):跳转目标已知的跳转语句,比如JMP0X680376;
9)返回跳转切片(JUMP_STACK):跳转返回语句,比如JMP[SP=SP–0X8];
10)普通库调用切片(LIBCALL):调用库的语句,比如compare(EAX,ECX);
11)常量库调用切片(LIBCALL_CONSTANT):包含常量的库调用语句,比如compare(EAX,0x25);
12)终止切片(HALT):终止语句,比如HALT;
13)锁切片(LOCK):封锁总线语句,比如LOCK;
14)空操作切片(NOP):空操作语句,比如NOP;
15)普通堆栈切片(STACK):普通的堆栈操作语句,比如EAX=[SP=SP–0x1];
16)常量堆栈切片(STACK_CONSTANT):包含常量的堆栈操作语句,比如[SP SP+0X1]=0X432516;
17)变量测试切片(TEST):变量测试语句,比如EAX and ECX;
18)常量测试切片(TEST_CONSTANT):包含常量的测试语句,比如EAX and 0x10;
19)未知切片(UNKNOWN):任意不能被转换的未知汇编指令,比如不在以上定义类型范围内的指令。
S2、基于预设的汇编程序切片类型,统计汇编程序样本中所提取的每种类型汇编程序切片出现的次数,作为汇编程序样本的特征向量。
本实施例中该步骤S102具体包括如下步骤:
S201、汇编程序切片类型包括n种,其中第i种类型的汇编程序切片记为Si,i=1~n;
在汇编程序样本s中,第i种类型的汇编程序切片出现的次数为Ni
S202、构建汇编程序样本s的特征向量为其中labels为汇编程序样本s的代码类型,包括恶意代码和良性代码两种类型。
S3、针对汇编程序样本的特征向量,预先训练获得的分类器,采用分类器进行恶意代码识别。
本发明实施例中,该步骤S3包括如下步骤:
S301、训练获得分类器;该步骤S301具体包括如下步骤:
S3011、选取恶意代码和良性代码组成训练样本集;
S3012、对训练样本集中的恶意代码和良性代码执行反汇编操作,生成汇编程序训练样本,并采用标签label标记汇编程序训练样本的代码类型。其中标签label的使用可以采用0、1标志,例如可以将恶意代码反汇编得到的汇编程序训练样本的标签记为1,将良性代码反汇编得到的汇编程序训练样本的标签记为0,或者采用其他的标志位进行标记均可,只要能够实现对汇编程序训练样本的代码类型的区别即可。
S3013、基于预设的汇编程序切片类型,从汇编程序训练样本中汇编程序切片,统计汇编程序训练样本中每种类型汇编程序切片出现的次数,作为汇编程序训练样本的特征向量。
例如可以采用s1~sp来标记汇编程序训练样本
S1~Sn来标记n种类型的汇编程序切片;则可以建立一个汇编程序切片集合,Setslice={S1,S2,…,Sn}。
对于样本sj,j=1~p,第i种类型的汇编程序切片出现的次数为Nj,i
则汇编程序样本s的特征向量为其中labels为汇编程序样本s的代码类型,包括恶意代码和良性代码两种类型。
则p个汇编程序训练样本的特征向量集合为:
S3014、基于汇编程序训练样本的特征向量训练获得分类器。
本实施例中所采用的分类器可以为单个的独立分类器,例如K最近邻分类器、NaiveBayes分类器、SVM分类器、DecisionTree分类器或者RandomForest分类器;
实际分类过程中,单个分类器的分类结果可能会出现偏差的情况。
为提高分类准确率,本申请的一种优选的实施例,可以基于训练样本特征向量集合训练多个分类器,使用多个分类器组成一个集成分类器,对未知代码进行分类。最后分类结果由集成分类器中各分类器投票决定。
即可以采用由如上独立分类器组合形成的集成分类器。
集成分类器由多个分类器组成,集成分类器的分类结果由多个分类器的分类结果通过投票机制投票获得。
S302、针对汇编程序样本的特征向量,采用分类器进行恶意代码识别
本实施例中,针对采用多核计算资源并行执行汇编程序样本识别步骤进行具体描述,该方法具体流程如图2所示,包括如下步骤:
步骤A、构建多核资源池,多核资源池由多个计算资源节点组成,每一个计算资源节点作为一个核承担一个处理任务。
例如,当有q个计算资源节点时,则可以建立一个计算资源节点集合:
Queuecore={core1,core2,……,coreq}
步骤B、选定一个计算资源节点作为主节点用于存储多个汇编程序样本,其他计算资源节点作为从节点。
例如,当有m个汇编程序样本时,可以建立一个样本队列:
Queuesample={sample1,sample2,……,samplem}
步骤C、查询多核资源池中的可用计算资源节点,将可用计算资源节点组成当前可用资源队列。
例如,当1~q’个计算资源可用时,可用资源时所建立的可用资源队列可以为:
Queuecore={core1,core2,……,coreq’}
步骤D、基于当前可用资源队列,主节点为每个可用计算资源节点分配一个汇编程序样本,可用计算资源节点并行执行汇编程序样本识别步骤;
步骤E、从节点实时监控自身运行状态,内部维护并实时更新一个状态向量,状态向量由描述从节点当前运行状况的信息组成;从节点实时将状态向量发送至主节点。
本实施例中状态向量可以包括当前任务处理进程、计算资源消耗、存储资源消耗、带宽资源消耗以及已被分配任务次数等信息。
其中针对第k个计算资源corek,所建立的状态向量可以是如下形式:
状态向量中各元素定义如下:
1)ComputeCapk为corek的计算资源消耗情况;
2)StorageCapk为corek的存储资源消耗情况;
3)BandCapk为corek的带宽消耗情况;
4)Numk为corek的被分配任务次数;
5)Percentk为corek的上任务执行进度。
步骤F、主节点并实时监控各从节点的状态向量,当发现从节点已完成汇编程序样本识别步骤之后,为从节点再次分配汇编程序样本。
主节点在将状态向量组合起来之后,可以将各从节点的状态向量组合成状态矩阵,为了确保后续任务的合理分配,需要按照实时状态将各节点进行排序,将承载负荷较轻的节点排在前面,将承载负荷较重的节点排在后面。
综上,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种海量恶意代码高效检测方法,其特征在于,所述检测方法针对汇编程序样本进行恶意代码检测,该方法采用多核计算资源并行执行汇编程序样本识别步骤,所述汇编程序样本识别步骤具体为:
提取汇编程序切片,所述汇编程序切片为汇编程序样本中对指定变量产生影响的语句或表达式;
基于预设的汇编程序切片类型,统计所述汇编程序样本中所提取的每种类型汇编程序切片出现的次数,作为所述汇编程序样本的特征向量;
针对所述汇编程序样本的特征向量,预先训练获得的分类器,采用所述分类器进行恶意代码识别。
2.如权利要求1所述的检测方法,其特征在于,所述指定变量为对汇编程序运行主体的性能表现产生影响的变量。
3.如权利要求1所述的检测方法,其特征在于,所述汇编程序切片类型包括赋值语句、跳转语句、目标调用语句、堆栈操作语句、库调用语句以及变量测试语句。
4.如权利要求1所述的检测方法,其特征在于,所述预设的汇编程序切片类型包括:
变量赋值切片ASSIGN,即使用寄存器进行赋值的语句;
常量赋值切片ASSIGN_CONSTANT,即使用常量进行赋值的语句;
目标未知判断切片CONTROL,即跳转目标为未知地址的判断语句;
目标已知判断切片CONTROL_CONSTANT,即跳转目标为已知地址的判断语句;
目标未知调用切片CALL,即调用目标未知的调用语句;
目标已知调用切片CALL_CONSTANT,即调用目标已知的调用语句;
目标未知跳转切片JUMP,即跳转目标未知的跳转语句;
目标已知跳转切片JUMP_CONSTANT,即跳转目标已知的跳转语句;
返回跳转切片JUMP_STACK,即跳转返回语句;
普通库调用切片LIBCALL,即调用库的语句;
常量库调用切片LIBCALL_CONSTANT,即包含常量的库调用语句;
终止切片HALT,即终止语句;
锁切片LOCK,即封锁总线语句;
空操作切片NOP,即空操作语句;
普通堆栈切片STACK,即普通的堆栈操作语句;
常量堆栈切片STACK_CONSTANT,即包含常量的堆栈操作语句;
变量测试切片TEST,即变量测试语句;
常量测试切片TEST_CONSTANT,即包含常量的测试语句;
未知切片UNKNOWN,即任意不能被转换的未知汇编指令。
5.如权利要求1所述的检测方法,其特征在于,所述基于预设的汇编程序切片类型,统计所述汇编程序样本中所提取的每种类型汇编程序切片出现的次数,作为所述汇编程序样本的特征向量,具体包括:
所述汇编程序切片类型包括n种,其中第i种类型的汇编程序切片记为Si,i=1~n;
在汇编程序样本s中,第i种类型的汇编程序切片出现的次数为Ni
则所述汇编程序样本s的特征向量为其中labels为所述汇编程序样本s的代码类型,包括恶意代码和良性代码两种类型。
6.如权利要求1或者5所述的检测方法,其特征在于,所述预先训练获得的分类器,具体包括如下步骤:
选取恶意代码和良性代码组成训练样本集;
对所述训练样本集中的恶意代码和良性代码执行反汇编操作,生成汇编程序训练样本,并采用标签标记所述汇编程序训练样本的代码类型;
基于预设的汇编程序切片类型,从所述汇编程序训练样本中提取汇编程序切片,统计所述汇编程序训练样本中每种类型汇编程序切片出现的次数,作为所述汇编程序训练样本的特征向量;
基于所述汇编程序训练样本的特征向量训练获得分类器。
7.如权利要求6所述的检测方法,其特征在于,所述分类器为集成分类器;
所述集成分类器由多个分类器组成,所述集成分类器的分类结果由多个分类器的分类结果通过投票机制投票获得。
8.如权利要求7所述的检测方法,其特征在于,所述集成分类器由K最近邻分类器、NaiveBayes分类器、SVM分类器、DecisionTree分类器以及RandomForest分类器组成。
9.如权利要求1所述的检测方法,其特征在于,所述采用多核计算资源并行执行汇编程序样本识别步骤,具体为:
构建多核资源池,所述多核资源池由多个计算资源节点组成,每一个计算资源节点作为一个核承担一个处理任务;
选定一个计算资源节点作为主节点用于存储多个汇编程序样本,其他计算资源节点作为从节点;
查询所述多核资源池中的可用计算资源节点,将所述可用计算资源节点组成当前可用资源队列;
基于当前可用资源队列,所述主节点为每个可用计算资源节点分配一个汇编程序样本,所述可用计算资源节点并行执行所述汇编程序样本识别步骤;
所述从节点实时监控自身运行状态,内部维护并实时更新一个状态向量,所述状态向量由描述所述从节点当前运行状况的信息组成;从节点实时将所述状态向量发送至主节点;
所述主节点并实时监控各从节点的状态向量,当发现从节点已完成所述汇编程序样本识别步骤之后,为从节点再次分配汇编程序样本。
10.如权利要求9所述的检测方法,其特征在于,所述状态向量由当前任务处理进程、计算资源消耗、存储资源消耗、带宽资源消耗以及已被分配任务次数信息组成。
CN201711279055.0A 2017-12-06 2017-12-06 一种海量恶意代码高效检测方法 Active CN108021810B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711279055.0A CN108021810B (zh) 2017-12-06 2017-12-06 一种海量恶意代码高效检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711279055.0A CN108021810B (zh) 2017-12-06 2017-12-06 一种海量恶意代码高效检测方法

Publications (2)

Publication Number Publication Date
CN108021810A true CN108021810A (zh) 2018-05-11
CN108021810B CN108021810B (zh) 2019-12-17

Family

ID=62078706

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711279055.0A Active CN108021810B (zh) 2017-12-06 2017-12-06 一种海量恶意代码高效检测方法

Country Status (1)

Country Link
CN (1) CN108021810B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985055A (zh) * 2018-06-26 2018-12-11 东北大学秦皇岛分校 一种恶意软件的检测方法及系统
CN114253866A (zh) * 2022-03-01 2022-03-29 紫光恒越技术有限公司 恶意代码检测的方法、装置、计算机设备及可读存储介质
CN116910757A (zh) * 2023-09-13 2023-10-20 北京安天网络安全技术有限公司 一种多进程检测系统、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070204344A1 (en) * 2006-02-26 2007-08-30 Chun Xue Parallel Variable Length Pattern Matching Using Hash Table
CN106778266A (zh) * 2016-11-24 2017-05-31 天津大学 一种基于机器学习的安卓恶意软件动态检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070204344A1 (en) * 2006-02-26 2007-08-30 Chun Xue Parallel Variable Length Pattern Matching Using Hash Table
CN106778266A (zh) * 2016-11-24 2017-05-31 天津大学 一种基于机器学习的安卓恶意软件动态检测方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985055A (zh) * 2018-06-26 2018-12-11 东北大学秦皇岛分校 一种恶意软件的检测方法及系统
CN108985055B (zh) * 2018-06-26 2020-08-28 东北大学秦皇岛分校 一种恶意软件的检测方法及系统
CN114253866A (zh) * 2022-03-01 2022-03-29 紫光恒越技术有限公司 恶意代码检测的方法、装置、计算机设备及可读存储介质
CN116910757A (zh) * 2023-09-13 2023-10-20 北京安天网络安全技术有限公司 一种多进程检测系统、电子设备及存储介质
CN116910757B (zh) * 2023-09-13 2023-11-17 北京安天网络安全技术有限公司 一种多进程检测系统、电子设备及存储介质

Also Published As

Publication number Publication date
CN108021810B (zh) 2019-12-17

Similar Documents

Publication Publication Date Title
Aggarwal et al. Black box fairness testing of machine learning models
Hu et al. GANFuzz: A GAN-based industrial network protocol fuzzing framework
CN105577440B (zh) 一种网络故障时间定位方法和分析设备
DE112016004801T5 (de) Arbeitslastzuweisung für computerressourcen
CN102930210A (zh) 恶意程序行为自动化分析、检测与分类系统及方法
CN104572449A (zh) 一种基于用例库的自动化测试方法
CN110287702A (zh) 一种二进制漏洞克隆检测方法及装置
CN103902885A (zh) 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法
CN109871686A (zh) 基于图标表示和软件行为一致性分析的恶意程序识别方法及装置
CN109902024A (zh) 一种程序路径敏感的灰盒测试方法及装置
CN108021810A (zh) 一种海量恶意代码高效检测方法
CN107180190A (zh) 一种基于混合特征的Android恶意软件检测方法及系统
US11424993B1 (en) Artificial intelligence system for network traffic flow based detection of service usage policy violations
Liu et al. An efficient method for unfolding colored Petri nets
CN109639734B (zh) 一种具有计算资源自适应性的异常流量检测方法
CN107944274A (zh) 一种基于宽度学习的Android平台恶意应用离线检测方法
CN106453320A (zh) 恶意样本的识别方法及装置
CN114090406A (zh) 电力物联网设备行为安全检测方法、系统、设备及存储介质
CN118260158A (zh) 云计算服务运维管理平台
CN108920958A (zh) 检测pe文件异常行为的方法、装置、介质及设备
CN111049828A (zh) 网络攻击检测及响应方法及系统
CN106650449A (zh) 一种基于变量名混淆程度的脚本启发式检测方法及系统
CN111967003A (zh) 基于黑盒模型与决策树的风控规则自动生成系统及方法
Araújo et al. Accelerating VNF-based Deep Packet Inspection with the use of GPUs
CN109271295A (zh) 一种云集群环境下的异常作业预测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant