CN108304720A - 一种基于机器学习的安卓恶意程序检测方法 - Google Patents
一种基于机器学习的安卓恶意程序检测方法 Download PDFInfo
- Publication number
- CN108304720A CN108304720A CN201810116416.8A CN201810116416A CN108304720A CN 108304720 A CN108304720 A CN 108304720A CN 201810116416 A CN201810116416 A CN 201810116416A CN 108304720 A CN108304720 A CN 108304720A
- Authority
- CN
- China
- Prior art keywords
- sample
- feature
- detection methods
- malware detection
- extraction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于机器学习的安卓恶意程序检测方法,所述方法包括:对黑白样本进行特征提取;使用样本集进行模型训练;待检测样本通过训练好的模型识别;如识别为恶意样本,则对该样本进行家族分类,如识别为白样本,则进行异常检测,判别是否是新的恶意样本;将识别结果反馈至样本库保存;对识别错误的样本加入训练集,重新训练模型。本发明使用机器学习算法和在线学习方法解决了现有的检测方法漏检率高、恶意程序的识别准确率低的问题。
Description
技术领域
本发明涉及移动安卓程序网络安全领域,具体地说,是一种基于机器学习的安卓恶意程序检测方法。
背景技术
目前已经有基于签名、启发式、行为式等几种检测恶意代码的方法,应用最广泛也是最成熟的当属基于签名的检测技术,当前研究的热点是能够检测未知恶意代码的基于数据挖掘和机器学习的检测技术。
但是,现有技术方案通常存在如下缺点:1.漏检率较高2.新的恶意样本很难识别出来3.识别效率较低4.使用数据挖掘和机器学习技术会出现当前训练集上有效,对于出现新的恶意程序不能及时发现。
发明内容
本发明的目的是,提供一种基于机器学习的安卓恶意程序检测方法,以解决现有的检测方法漏检率高、恶意程序的识别准确低的和新的恶意程序不能及时发现的问题。
本发明采用的技术方案如下:
一种基于机器学习的安卓恶意程序检测方法,所述方法包括:
对黑白样本进行特征提取;
使用样本集训练模型,样本包括黑样本和白样本;
待检测程序提取特征后通过训练的模型识别;
待检测程序若被识别为黑样本,则该样本进行家族分类,如识别为白样本,则进行异常检测,判别是否是新的恶意样本;
将识别结果反馈至样本库保存。
进一步地,对样本特征提取的方法包括:
静态特征提取和动态特征提取;其中,
所述静态特征提取包括:
行为特征提取和权限特征提取;
将提取到的静态的行为特征、静态的权限特征和动态特征构成一条特征向量。
进一步地,所述行为特征提取的方法包括:使用API引擎,采用静态分析方法获取函数调用和命令,获取静态的行为特征;所述权限特征提取的方法包括:对AndriodManifest.xml配置文件进行分析,获取静态的APP权限特征。
进一步地,提取的所述动态特征向量包括:使用模拟器获取宏观行为特征、API调用特征、Dalvik指令特征、系统调用特征、ARM指令特征,其中,宏观行为特征模拟基于应用程序的攻击、API调用特征和Dalvik指令特征模拟基于系统核心程序的攻击、系统调用特征模拟基于linux内核的攻击、ARM指令特征模拟基于硬件的特征。
进一步地,还包括在线更新模型的过程,使用黑白分类模型引识别错误的样本,添加到原来的训练样本重新训练新的模型,在新的模型召回率和准确率都满足条件的时候替换掉原来的模型。
进一步地,所述动态特征向量的提取通过基于定制ROM的动态沙箱来检测获取,所述动态沙箱分别在应用层、框架层、运行环境层及内核层加入检测代码,并编译生成系统镜像,然后和载入的样本共同写入虚拟机或真机,并输出结果。
进一步地,所述模型训练采用xgboost算法。
进一步地,所述异常检测采用Isolation Forest算法。
进一步地,对黑样本进行家族的分类采用卷积神经网络算法和K-means算法综合实现。
与现有技术相比,本发明所述的一种基于机器学习的安卓恶意程序检测方法,首先是对恶意程序分析,黑白样本特征提取,然后使用xgboost算法进行模型训练,对恶意样本进行家族识别。对识别为白样本再进行异常检测,目的是检测出新的恶意样本。最后根据识别结果,对识别错误的样本加入训练集重新训练,本方法明显提高了检测的准确率。
附图说明
图1为本发明实施例所述的基于机器学习的恶意程序检测方法的流程图。
图2为本发明实施例所述的恶意样本检测流程图。
图3为本发明实施例所述的动态沙箱提取动态特征向量的架构图。
图4为本发明实施例所述的特征向量的构建图。
图5为本发明实施例所述的xgboost的原理示意图。
图6为本发明实施例所述的在线学习模型的原理图。
具体实施方式
以下结合附图对本发明作进一步详细说明,但不作为对本发明的限定。
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。
参照图1、图2所示,本发明实施例公开了一种基于安卓应用的恶意程序检测方法,该检测方法的核心思想为:综合APK文件多类特征统一建立特征向量,采用多种方式提取可以反映Android恶意程序行为的特征,包括敏感权限、敏感API函数调用序列、文件名字符串、So文件名称、文件大小以及文件权限特征。通过随机森林或XGBOOST进行二分类判断黑白,通过卷积神经网络和K-means聚类进行多分类识别家族,通过异常检测发现未知类型的黑样本,多种算法的结果互相印证。识别结果经验证后可加入样本集迭代训练,实现模型的在线更新。
下面来对本发明实施例的方法作具体详述。
步骤S1、从样本库中对黑白样本进行特征提取;
具体来说,首先是对恶意程序进行分析,对黑白样本的特征进行提取。特征包括静态特征和动态特征,静态特征包括行为特征和权限特征,提取方法是使用现有的API引擎,静态行为特征主要是使用静态分析的方法获取函数调用的特征,提取APP权限特征的提取主要对AndriodManifest.xml文件进行分析。
为获取基于机器学习的检测方法中所使用的特征。在本发明实施例中,对静态特征向量的提取,可采用特征选择模块共抽取54个关键的APP调用和命令,另外,还有129个权限特征是来自“Manafest file”所描述的APP权限。这些通过API获取函数调用的模块包括短消息模块、设备管理模块(获取设备ID、订阅号、网络操作、SIM序列号等)、应用管理模块(列举已安装应用、待安装应用等),还包括检测到的加密、反射、JNI、动态类加载、创建新进程和运行时方法。特征抽取模块还会抽取特定的linux命令作为特征,像“chmod"、"chown"、"mount"以及一些特别的字符串象"/sys/bin/sh"等等。本发明的静态特征提取含行为特征及权限特征,能够较为全面的反应安卓系统程序的特点。
参照图3所示,对于动态特征向量的提取,由于Android的多层次体系架构,程序语义在执行中也会有多层次的展现。对于恶意程序包含的恶意代码,也会在多个层面上表现出恶意行为。越处于底层的恶意行为,在系统中隐蔽性越高,反之则越明显。多层次的恶意代码展现也为恶意行为的监控提供了多个层次选择,部署于不同层次的监控方法,所能够获取的语义层次也不同。针对上述特点,本发明将动态特征分为五类,即宏观行为特征、API调用特征、Dalvik指令特征、系统调用特征、ARM指令特征,其中,宏观行为特征针对应用层,模拟基于应用程序的攻击;API调用特征,针对应用框架层;Dalvik指令特征,针对系统库和运行环境层;其中,API调用特征和Dalvik指令特征,二者合起来共同模拟基于系统核心程序的攻击,系统调用特征,针对内合成,模拟基于linux内核的攻击;ARM指令特征,针对硬件层,模拟基于硬件的特征。本发明的动态特征的获取涵盖多层次,提取较为全面,对后续的分析提供了极大的参考。
作为本发明一个优选的实施方式,本发明设计了基于定制版ROM的动态沙箱来检测和提取动态特征。现有技术中的主流动态沙箱技术采用动态插桩注入方式,通过插桩Hook,需要检测的关键点,在关键点调用时,通过钩子进行日志输出后返回系统原代码流程,此种方式实现相对简单,但在运行稳定性及检测点覆盖上都有一定的局限性。本发明的动态沙箱通过对Android核心源码的修改,分别在应用层(Libraries)、框架层(Framework)、运行环境层(Runtime)及内核层(Linux kernel)加入检测代码,并编译生成系统镜像,实现了具有行为检测功能的原生系统,然后和载入的样本共同写入虚拟机或真机,并输出结果。本发明使用编译后的系统在各个层级关键的检测点运行时,可由系统直接输出日志,省去了在系统代码和钩子代码的跳转,由于所有功能已编译在系统固件中,不需要后期注入,所以在沙箱的稳定性和效率方面有了很大的提高。并且通过对不同层级的代码修改,实现了更加广泛的检测点覆盖。
参照图4所示,在静态特征和动态特征提取完毕之后,将动态特征和静态特征构成一条特征向量,以供机器学习使用。根据提取的183个静态特征(包括54个行为特征和129个权限特征)以及77个动态特征,构建一个包含260个特征的特征向量,其中前183个是代表静态信息的静态特征,后77个是代表动态信息的动态特征,绝大部分特征在向量中的取值只有0和1,当应用程序中检测到相应特征时,特征值为1,没有检测到时特征值为0;少数特征是其它数字或字母,用来表示样本大小或安装名称等其它规律。静态特征和动态特征结合来对Android应用程序的行为进行刻画,覆盖了进程控制、文件操作、文件系统操作、系统控制、网络管理、socket控制、用户控制和进程间通信8种类别,对安卓应用的描述更加全面,使得安卓应用的检测更加精确。
步骤S2、使用样本集进行训练,样本包括黑样本和白样本;
具体来说,对上述黑白样本提取的到的特征,每个样本都是一条向量,针对每类特征建立N-gram模型,每个模型可以独立评判恶意程序行为,最后将特征向量加入随机森林算法进行学习,最终输出启发式规则并给予赋值。使用xgboost算法对样本进行二分类模型训练,xgboost最大的特点能够自动利用CPU的多线程进行并行,同时在算法上加以改进提高了精度。xgboost的模型和传统的GBDT相比加入了对于模型复杂度的控制以及后期的剪枝处理,使得学习出来的模型更加不容易过拟合,使用xgboost得到的模型具有很高的准确率。xgboost主要原理参照图5所示。本领域技术人员应当理解的,对样本的模型训练不限于采用本实施中的xgboost算法,还可以采用随机森林等算法。
下表1显示了采用不同算法在检测准确率上的比较,下表2显示了采用xgboost算法在样本量和比例变化效果。
| 算法 | 准确率 | 召回率 | F1值 |
| SVM | 92.49% | 93.85% | 0.9317 |
| 随机森林 | 99.63% | 96.2% | 0.974 |
| CNN | 98.2% | 96.5% | 0.9734 |
| DBN | 96.29% | 97.92% | 0.971 |
| Xgboost | 99.83% | 99.6% | 0.997 |
表1
由表1可以看出,xgboost效果比其他机器学习算法表现的要好。
表2
从表2来看,训练样本数量多,准确率和召回率都会提升,并且具有更好的鲁棒性。
步骤S3、待检测程序进行模型识别;
具体来说,训练集的样本提取完特征来训练模型,测试集样本提取特征进入训练好的模型进行判断,然后输出测试结果。
步骤S4、如待检测样本被识别为黑样本,则对该样本进行家族分类,如识别出为白样本,则进行异常检测,判断是否为新的恶意样本;
具体来说,在本步骤中,分为两个过程:一、如果待检测样本识别为黑样本,则对该样本进行家族分类,其中,在本实施例中,对家族的分类采用了有监督的卷积神经网络(CNN)模型实现,或者也可以通过无监督的k-means进行聚类,更优选地,采用两者结果综合可获得更优的结果。二、如果检测为白样本,则进行异常检测,判断是否是新的恶意样本,在本实施例中,使用Isolation Forest算法,这个算法是一种异常检测算法,算法效果好,时间效率高,能有效处理高维数据和海量数据。
Android平台下的恶意样本有一些是家族式的,有一些可能是独特的。以上模型都是基于已知样本训练出来的,能够识别与已知样本类似的样本。为了识别未知类型的恶意样本,引入了异常检测算法iForest,比如以3341个白样本训练模型,以黑白混合的数据集测试,检测到黑样本时视为异常,检测出335个异常样本,正确率为90%。
步骤S5、将识别结果反馈至样本库保存。
具体来说,就是将识别出的结果保存到原来的样本库中。
参照图6所示,作为本发明的一个优选的实施方式,本发明还包括在线更新模型的步骤。这个主要是解决恶意样本更新周期短,特征变化太快导致模型识别错误的问题,达到模型随着样本的变化自动更新。模型更新是使用引擎中识别错误的样本,添加到原来的样本集重新训练新的模型,在新的模型召回率和准确率都满足条件的时候替换掉原来的模型,实现在线模型的更新。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种基于机器学习的安卓恶意程序检测方法,其特征在于,所述方法包括:
从样本库中对黑白样本进行特征提取;
使用样本集训练模型,样本包括黑样本和白样本;
待检测程序提取特征后通过训练的好的模型进行识别,若识别为黑样本,则对该样本进行家族分类,如识别为白样本,则进行异常检测,判别是否是新的恶意样本;
将识别结果反馈至样本库保存。
2.如权利要求1所述的基于机器学习的安卓恶意程序检测方法,其特征在于,对黑白样本进行特征提取的方法包括:
静态特征向量提取和动态特征向量提取;其中,
所述静态特征向量提取包括:
行为特征提取和权限特征提取;
将提取到的静态的行为特征、静态的权限特征和动态特征构成一条特征向量。
3.如权利要求2所述的基于机器学习的安卓恶意程序检测方法,其特征在于,所述行为特征提取的方法包括:使用API引擎,采用静态分析方法获取函数调用和命令,获取静态的行为特征;所述权限特征提取的方法包括:对AndriodManifest.xml配置文件进行分析,获取静态的APP权限特征。
4.如权利要求2所述的基于机器学习的安卓恶意程序检测方法,其特征在于,提取的所述动态特征包括:使用模拟器获取宏观行为特征、API调用特征、Dalvik指令特征、系统调用特征、ARM指令特征,其中,宏观行为特征模拟基于应用程序的攻击、API调用特征和Dalvik指令特征模拟基于系统核心程序的攻击、系统调用特征模拟基于linux内核的攻击、ARM指令特征模拟基于硬件的特征。
5.如权利要求1所述的恶意程序检测方法,其特征在于,还包括在线更新模型的过程,使用引擎中识别错误的样本,添加到原来的样本重新训练新的模型,在新的模型召回率和准确率都满足条件的时候替换掉原来的模型。
6.如权利要求4所述的恶意程序检测方法,其特征在于,所述动态特征向量的提取通过基于定制ROM的动态沙箱来检测获取,所述动态沙箱分别在应用层、框架层、运行环境层及内核层加入检测代码,并编译生成系统镜像,然后和载入的样本共同写入虚拟机或真机,并输出结果。
7.如权利要求1所述的恶意程序检测方法,其特征在于,所述模型训练采用xgboost算法。
8.如权利要求4所述的恶意程序检测方法,其特征在于,所述异常检测采用IsolationForest算法。
9.如权利要求1所述的恶意程序检测方法,其特征在于,对黑样本进行家族的分类采用卷积神经网络和K-means算法综合实现。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810116416.8A CN108304720B (zh) | 2018-02-06 | 2018-02-06 | 一种基于机器学习的安卓恶意程序检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810116416.8A CN108304720B (zh) | 2018-02-06 | 2018-02-06 | 一种基于机器学习的安卓恶意程序检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108304720A true CN108304720A (zh) | 2018-07-20 |
| CN108304720B CN108304720B (zh) | 2020-12-11 |
Family
ID=62864165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810116416.8A Active CN108304720B (zh) | 2018-02-06 | 2018-02-06 | 一种基于机器学习的安卓恶意程序检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108304720B (zh) |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965340A (zh) * | 2018-09-25 | 2018-12-07 | 网御安全技术(深圳)有限公司 | 一种工业控制系统入侵检测方法及系统 |
| CN109255234A (zh) * | 2018-08-15 | 2019-01-22 | 腾讯科技(深圳)有限公司 | 机器学习模型的处理方法、装置、介质及电子设备 |
| CN109271788A (zh) * | 2018-08-23 | 2019-01-25 | 北京理工大学 | 一种基于深度学习的Android恶意软件检测方法 |
| CN109284606A (zh) * | 2018-09-04 | 2019-01-29 | 中国人民解放军陆军工程大学 | 基于经验特征与卷积神经网络的数据流异常检测系统 |
| CN109543409A (zh) * | 2018-11-09 | 2019-03-29 | 腾讯科技(深圳)有限公司 | 用于检测恶意应用及训练检测模型的方法、装置及设备 |
| CN109587350A (zh) * | 2018-11-16 | 2019-04-05 | 国家计算机网络与信息安全管理中心 | 一种基于滑动时间窗口聚合的电信诈骗电话的序列异常检测方法 |
| CN109582833A (zh) * | 2018-11-06 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 异常文本检测方法及装置 |
| CN109684834A (zh) * | 2018-12-21 | 2019-04-26 | 福州大学 | 一种基于XGBoost的门级硬件木马识别方法 |
| CN110363003A (zh) * | 2019-07-25 | 2019-10-22 | 哈尔滨工业大学 | 一种基于深度学习的Android病毒静态检测方法 |
| CN110515654A (zh) * | 2019-08-27 | 2019-11-29 | 北京电子科技学院 | 一种基于深度学习的安卓应用管理系统及方法 |
| CN110647746A (zh) * | 2019-08-22 | 2020-01-03 | 成都网思科平科技有限公司 | 一种恶意软件检测方法、系统及存储介质 |
| CN110751354A (zh) * | 2018-07-24 | 2020-02-04 | 北京京东金融科技控股有限公司 | 一种异常用户的检测方法和装置 |
| CN110858247A (zh) * | 2018-08-23 | 2020-03-03 | 北京京东尚科信息技术有限公司 | 安卓恶意应用检测方法、系统、设备及存储介质 |
| CN110874472A (zh) * | 2018-09-04 | 2020-03-10 | 中国信息安全测评中心 | 一种pe病毒逃逸样本的生成方法和系统 |
| CN110929256A (zh) * | 2019-11-20 | 2020-03-27 | 秒针信息技术有限公司 | 一种识别异常访问设备的方法及装置 |
| CN110995459A (zh) * | 2019-10-12 | 2020-04-10 | 平安科技(深圳)有限公司 | 异常对象识别方法、装置、介质及电子设备 |
| CN111063057A (zh) * | 2019-11-25 | 2020-04-24 | 吉林大学 | 一种基于历史数据的轨迹规划的sotif的实现方法 |
| CN111077769A (zh) * | 2018-10-19 | 2020-04-28 | 罗伯特·博世有限公司 | 用于控制或调节技术系统的方法 |
| CN111460453A (zh) * | 2019-01-22 | 2020-07-28 | 百度在线网络技术(北京)有限公司 | 机器学习训练方法、控制器、装置、服务器、终端和介质 |
| CN111460446A (zh) * | 2020-03-06 | 2020-07-28 | 奇安信科技集团股份有限公司 | 基于模型的恶意文件检测方法及装置 |
| CN111723371A (zh) * | 2020-06-22 | 2020-09-29 | 上海斗象信息科技有限公司 | 构建恶意文件的检测模型以及检测恶意文件的方法 |
| CN111931187A (zh) * | 2020-08-13 | 2020-11-13 | 深信服科技股份有限公司 | 一种组件漏洞检测方法、装置、设备及可读存储介质 |
| CN111985298A (zh) * | 2020-06-28 | 2020-11-24 | 百度在线网络技术(北京)有限公司 | 人脸识别样本收集方法和装置 |
| CN112149121A (zh) * | 2019-06-27 | 2020-12-29 | 深信服科技股份有限公司 | 一种恶意文件识别方法、装置、设备及存储介质 |
| CN112149116A (zh) * | 2020-10-26 | 2020-12-29 | 北京安信天行科技有限公司 | 一种基于沙箱的行为检测方法与系统 |
| CN112487430A (zh) * | 2020-12-01 | 2021-03-12 | 杭州电子科技大学 | 一种Android恶意软件检测方法 |
| CN112818344A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 一种运用人工智能算法提高病毒查杀率的方法 |
| CN113497785A (zh) * | 2020-03-20 | 2021-10-12 | 深信服科技股份有限公司 | 恶意加密流量检测方法、系统、存储介质和云端服务器 |
| CN113742726A (zh) * | 2021-08-27 | 2021-12-03 | 恒安嘉新(北京)科技股份公司 | 程序识别模型训练和程序识别方法、装置、设备及介质 |
| CN113761521A (zh) * | 2021-09-02 | 2021-12-07 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的脚本文件检测方法、装置、设备和存储介质 |
| CN113761523A (zh) * | 2021-09-02 | 2021-12-07 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的文本数据检测方法、装置和设备 |
| CN114679331A (zh) * | 2022-04-11 | 2022-06-28 | 北京国联天成信息技术有限公司 | 一种基于ai技术的恶意代码被动检测方法及系统 |
| CN117077141A (zh) * | 2023-10-13 | 2023-11-17 | 国网山东省电力公司鱼台县供电公司 | 一种智能电网恶意软件检测方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106529293A (zh) * | 2016-11-09 | 2017-03-22 | 东巽科技(北京)有限公司 | 一种用于恶意软件检测的样本类别判定方法 |
| CN106960154A (zh) * | 2017-03-30 | 2017-07-18 | 兴华永恒(北京)科技有限责任公司 | 一种基于决策树模型的恶意程序动态识别方法 |
| CN107180192A (zh) * | 2017-05-09 | 2017-09-19 | 北京理工大学 | 基于多特征融合的安卓恶意应用程序检测方法和系统 |
| CN107240005A (zh) * | 2017-06-13 | 2017-10-10 | 携程旅游网络技术(上海)有限公司 | 机票附加产品的推荐系统及方法 |
-
2018
- 2018-02-06 CN CN201810116416.8A patent/CN108304720B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106529293A (zh) * | 2016-11-09 | 2017-03-22 | 东巽科技(北京)有限公司 | 一种用于恶意软件检测的样本类别判定方法 |
| CN106960154A (zh) * | 2017-03-30 | 2017-07-18 | 兴华永恒(北京)科技有限责任公司 | 一种基于决策树模型的恶意程序动态识别方法 |
| CN107180192A (zh) * | 2017-05-09 | 2017-09-19 | 北京理工大学 | 基于多特征融合的安卓恶意应用程序检测方法和系统 |
| CN107240005A (zh) * | 2017-06-13 | 2017-10-10 | 携程旅游网络技术(上海)有限公司 | 机票附加产品的推荐系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 苏志达等: "基于深度学习的安卓恶意应用检测", 《计算机应用》 * |
Cited By (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110751354A (zh) * | 2018-07-24 | 2020-02-04 | 北京京东金融科技控股有限公司 | 一种异常用户的检测方法和装置 |
| CN110751354B (zh) * | 2018-07-24 | 2024-03-05 | 京东科技控股股份有限公司 | 一种异常用户的检测方法和装置 |
| CN109255234A (zh) * | 2018-08-15 | 2019-01-22 | 腾讯科技(深圳)有限公司 | 机器学习模型的处理方法、装置、介质及电子设备 |
| CN109271788A (zh) * | 2018-08-23 | 2019-01-25 | 北京理工大学 | 一种基于深度学习的Android恶意软件检测方法 |
| CN109271788B (zh) * | 2018-08-23 | 2021-10-12 | 北京理工大学 | 一种基于深度学习的Android恶意软件检测方法 |
| CN110858247A (zh) * | 2018-08-23 | 2020-03-03 | 北京京东尚科信息技术有限公司 | 安卓恶意应用检测方法、系统、设备及存储介质 |
| CN109284606A (zh) * | 2018-09-04 | 2019-01-29 | 中国人民解放军陆军工程大学 | 基于经验特征与卷积神经网络的数据流异常检测系统 |
| CN110874472B (zh) * | 2018-09-04 | 2024-02-13 | 中国信息安全测评中心 | 一种pe病毒逃逸样本的生成方法和系统 |
| CN109284606B (zh) * | 2018-09-04 | 2019-08-27 | 中国人民解放军陆军工程大学 | 基于经验特征与卷积神经网络的数据流异常检测系统 |
| CN110874472A (zh) * | 2018-09-04 | 2020-03-10 | 中国信息安全测评中心 | 一种pe病毒逃逸样本的生成方法和系统 |
| CN108965340A (zh) * | 2018-09-25 | 2018-12-07 | 网御安全技术(深圳)有限公司 | 一种工业控制系统入侵检测方法及系统 |
| CN111077769A (zh) * | 2018-10-19 | 2020-04-28 | 罗伯特·博世有限公司 | 用于控制或调节技术系统的方法 |
| CN109582833A (zh) * | 2018-11-06 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 异常文本检测方法及装置 |
| CN109582833B (zh) * | 2018-11-06 | 2023-09-22 | 创新先进技术有限公司 | 异常文本检测方法及装置 |
| CN109543409A (zh) * | 2018-11-09 | 2019-03-29 | 腾讯科技(深圳)有限公司 | 用于检测恶意应用及训练检测模型的方法、装置及设备 |
| CN109543409B (zh) * | 2018-11-09 | 2021-06-08 | 腾讯科技(深圳)有限公司 | 用于检测恶意应用及训练检测模型的方法、装置及设备 |
| CN109587350B (zh) * | 2018-11-16 | 2021-06-22 | 国家计算机网络与信息安全管理中心 | 一种基于滑动时间窗口聚合的电信诈骗电话的序列异常检测方法 |
| CN109587350A (zh) * | 2018-11-16 | 2019-04-05 | 国家计算机网络与信息安全管理中心 | 一种基于滑动时间窗口聚合的电信诈骗电话的序列异常检测方法 |
| CN109684834B (zh) * | 2018-12-21 | 2022-10-25 | 福州大学 | 一种基于XGBoost的门级硬件木马识别方法 |
| CN109684834A (zh) * | 2018-12-21 | 2019-04-26 | 福州大学 | 一种基于XGBoost的门级硬件木马识别方法 |
| CN111460453B (zh) * | 2019-01-22 | 2023-12-12 | 百度在线网络技术(北京)有限公司 | 机器学习训练方法、控制器、装置、服务器、终端和介质 |
| CN111460453A (zh) * | 2019-01-22 | 2020-07-28 | 百度在线网络技术(北京)有限公司 | 机器学习训练方法、控制器、装置、服务器、终端和介质 |
| CN112149121A (zh) * | 2019-06-27 | 2020-12-29 | 深信服科技股份有限公司 | 一种恶意文件识别方法、装置、设备及存储介质 |
| CN110363003B (zh) * | 2019-07-25 | 2022-08-02 | 哈尔滨工业大学 | 一种基于深度学习的Android病毒静态检测方法 |
| CN110363003A (zh) * | 2019-07-25 | 2019-10-22 | 哈尔滨工业大学 | 一种基于深度学习的Android病毒静态检测方法 |
| CN110647746A (zh) * | 2019-08-22 | 2020-01-03 | 成都网思科平科技有限公司 | 一种恶意软件检测方法、系统及存储介质 |
| CN110515654A (zh) * | 2019-08-27 | 2019-11-29 | 北京电子科技学院 | 一种基于深度学习的安卓应用管理系统及方法 |
| CN110995459A (zh) * | 2019-10-12 | 2020-04-10 | 平安科技(深圳)有限公司 | 异常对象识别方法、装置、介质及电子设备 |
| CN110929256A (zh) * | 2019-11-20 | 2020-03-27 | 秒针信息技术有限公司 | 一种识别异常访问设备的方法及装置 |
| CN111063057A (zh) * | 2019-11-25 | 2020-04-24 | 吉林大学 | 一种基于历史数据的轨迹规划的sotif的实现方法 |
| CN111460446B (zh) * | 2020-03-06 | 2023-04-11 | 奇安信科技集团股份有限公司 | 基于模型的恶意文件检测方法及装置 |
| CN111460446A (zh) * | 2020-03-06 | 2020-07-28 | 奇安信科技集团股份有限公司 | 基于模型的恶意文件检测方法及装置 |
| CN113497785A (zh) * | 2020-03-20 | 2021-10-12 | 深信服科技股份有限公司 | 恶意加密流量检测方法、系统、存储介质和云端服务器 |
| CN113497785B (zh) * | 2020-03-20 | 2023-05-12 | 深信服科技股份有限公司 | 恶意加密流量检测方法、系统、存储介质和云端服务器 |
| CN111723371B (zh) * | 2020-06-22 | 2024-02-20 | 上海斗象信息科技有限公司 | 构建恶意文件的检测模型以及检测恶意文件的方法 |
| CN111723371A (zh) * | 2020-06-22 | 2020-09-29 | 上海斗象信息科技有限公司 | 构建恶意文件的检测模型以及检测恶意文件的方法 |
| CN111985298A (zh) * | 2020-06-28 | 2020-11-24 | 百度在线网络技术(北京)有限公司 | 人脸识别样本收集方法和装置 |
| CN111931187A (zh) * | 2020-08-13 | 2020-11-13 | 深信服科技股份有限公司 | 一种组件漏洞检测方法、装置、设备及可读存储介质 |
| CN112818344A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 一种运用人工智能算法提高病毒查杀率的方法 |
| CN112149116A (zh) * | 2020-10-26 | 2020-12-29 | 北京安信天行科技有限公司 | 一种基于沙箱的行为检测方法与系统 |
| CN112487430A (zh) * | 2020-12-01 | 2021-03-12 | 杭州电子科技大学 | 一种Android恶意软件检测方法 |
| CN113742726A (zh) * | 2021-08-27 | 2021-12-03 | 恒安嘉新(北京)科技股份公司 | 程序识别模型训练和程序识别方法、装置、设备及介质 |
| CN113761523A (zh) * | 2021-09-02 | 2021-12-07 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的文本数据检测方法、装置和设备 |
| CN113761521A (zh) * | 2021-09-02 | 2021-12-07 | 恒安嘉新(北京)科技股份公司 | 一种基于机器学习的脚本文件检测方法、装置、设备和存储介质 |
| CN114679331A (zh) * | 2022-04-11 | 2022-06-28 | 北京国联天成信息技术有限公司 | 一种基于ai技术的恶意代码被动检测方法及系统 |
| CN114679331B (zh) * | 2022-04-11 | 2024-02-02 | 北京国联天成信息技术有限公司 | 一种基于ai技术的恶意代码被动检测方法及系统 |
| CN117077141A (zh) * | 2023-10-13 | 2023-11-17 | 国网山东省电力公司鱼台县供电公司 | 一种智能电网恶意软件检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108304720B (zh) | 2020-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108304720A (zh) | 一种基于机器学习的安卓恶意程序检测方法 | |
| Yuxin et al. | Malware detection based on deep learning algorithm | |
| Kim et al. | A multimodal deep learning method for android malware detection using various features | |
| CN109697162B (zh) | 一种基于开源代码库的软件缺陷自动检测方法 | |
| Caliskan et al. | When coding style survives compilation: De-anonymizing programmers from executable binaries | |
| CN105184160B (zh) | 一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法 | |
| Peng et al. | Building program vector representations for deep learning | |
| CN109753801A (zh) | 基于系统调用的智能终端恶意软件动态检测方法 | |
| CN109614795B (zh) | 一种事件感知的安卓恶意软件检测方法 | |
| Li et al. | ModelDiff: Testing-based DNN similarity comparison for model reuse detection | |
| CN116361801B (zh) | 基于应用程序接口语义信息的恶意软件检测方法及系统 | |
| CN108090360A (zh) | 一种基于行为特征的安卓恶意应用分类方法及系统 | |
| CN109886021A (zh) | 一种基于api全局词向量和分层循环神经网络的恶意代码检测方法 | |
| CN113297580B (zh) | 基于代码语义分析的电力信息系统安全防护方法及装置 | |
| CN108229170A (zh) | 利用大数据和神经网络的软件分析方法和装置 | |
| Sun et al. | Android malware family classification based on deep learning of code images | |
| Zhao et al. | Malware detection using machine learning based on the combination of dynamic and static features | |
| He et al. | Binprov: Binary code provenance identification without disassembly | |
| Sheneamer | CCDLC detection framework-combining clustering with deep learning classification for semantic clones | |
| CN113536308B (zh) | 软件基因视角下多粒度信息融合的二进制代码溯源方法 | |
| CN110795736A (zh) | 一种基于svm决策树的恶意安卓软件检测方法 | |
| Anupama et al. | Detection and robustness evaluation of android malware classifiers | |
| Liu et al. | Learning graph-based code representations for source-level functional similarity detection | |
| CN111444502A (zh) | 面向种群的安卓恶意软件检测模型库方法 | |
| Haile et al. | Identifying ubiquitious third-party libraries in compiled executables using annotated and translated disassembled code with supervised machine learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20180720 Assignee: CHINA TECHNOLOGY EXCHANGE Co.,Ltd. Assignor: EVERSEC (BEIJING) TECHNOLOGY Co.,Ltd. Contract record no.: X2023110000035 Denomination of invention: An Android malware detection method based on machine learning Granted publication date: 20201211 License type: Exclusive License Record date: 20230317 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Machine Learning Based Method for Detecting Android Malicious Programs Effective date of registration: 20230323 Granted publication date: 20201211 Pledgee: CHINA TECHNOLOGY EXCHANGE Co.,Ltd. Pledgor: EVERSEC (BEIJING) TECHNOLOGY Co.,Ltd. Registration number: Y2023110000116 |