CN108376220A - 一种基于深度学习的恶意样本程序分类方法及系统 - Google Patents
一种基于深度学习的恶意样本程序分类方法及系统 Download PDFInfo
- Publication number
- CN108376220A CN108376220A CN201810102365.3A CN201810102365A CN108376220A CN 108376220 A CN108376220 A CN 108376220A CN 201810102365 A CN201810102365 A CN 201810102365A CN 108376220 A CN108376220 A CN 108376220A
- Authority
- CN
- China
- Prior art keywords
- sample
- program
- report
- api
- malice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/285—Selection of pattern recognition techniques, e.g. of classifiers in a multi-classifier system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种基于深度学习的恶意样本程序分类方法及系统,该方法将收集的恶意程序集分别通过虚拟沙箱环境进行运行分析,针对每一个恶意程序样本生成对应的样本报告,对样本报告分别解析并提取特征信息,生成相应的数值化特征向量,将数值化特征向量输入神经网络模型中进行训练。本发明通过收集带有病毒分类标记的恶意程序集,利用虚拟沙箱环境运行分析,并生成相应的样本报告,从样本报告中提取样本行为信息作为特征集,并将特征集进行数值向量化处理,构建神经网络模型,提取样本程序对系统API的操作序列信息并进行数值化向量转换。本发明能够准确识别恶意样本所属的类别,提高了对恶意样本识别的效率和准确率。
Description
技术领域
本发明涉及信息安全技术,具体涉及一种基于深度学习的恶意样本程序分类方法及系统。
背景技术
近年来,根据不同杀毒软件厂商的调查报告,不同种类的恶意软件正在成倍的增长。所谓的恶意软件,指的是旨在破坏计算机系统或者在计算机系统上执行不良行为的软件程序,如中断计算机操作,收集敏感信息,绕过访问控制,非法访问私人计算机以及显示各种广告信息等。根据样本的不同目的可以将其分为不同种类的恶意软件,目前常见的恶意软件家族分类有:广告、间谍、病毒、蠕虫、木马、后门、勒索等。McAfee最近的报告显示,每天都有数以万计的新的病毒样本被提交。同时,根据Virus Total的统计页面显示,仅在一天之内,就有超过百万的样本需要进行分析。造成这一现象的原因之一是,为了逃避检测,病毒制作者开始使用各种多态及变形技术。
目前,恶意软件的检测主要是基于启发式和基于签名的方法。基于签名的检测技术主要基于模式匹配的思想,为每种已知恶意代码产生一个唯一的签名特征标记来创建恶意代码库。这种技术无疑需要不断人为去更新签名库。而基于启发式的检测技术主要是基于动态分析专家确定的一些规则,它可以处理一些未知的恶意软件。但由于并不是每一个被检测的可疑文件都是恶意软件,因此它也比基于签名的检测方法产生更多的误报。
恶意软件样本的数量和种类的增加扩大了对恶意软件变体的自动检测和分类的改进需求。机器学习是应对这种增长的自然选择,因为它解决了在大规模数据集中发现潜在模式的需求。而目前,神经网络方法已经发展到可以超越以前的机器学习方法,如隐马尔可夫模型和支持向量机的局限性。因此,神经网络现在可以在诸如计算机视觉或自然语言处理等许多领域提供出色的分类准确性。这种改进来自于构建具有更多潜在不同层次的神经网络的可能性,并被称为深度学习。
发明内容
本发明的目的在于提供一种基于深度学习的恶意样本程序分类方法及系统,基于当前主流的深度学习的模型和算法,组合CNN卷积神经网络以及LSTM长短期记忆神经网络,通过构建神经网络模型,提取样本程序对系统API的操作序列信息并进行数值化向量转换,得出恶意样本的家族分类结果。
为实现上述目的,本发明的技术方案为:一种基于深度学习的恶意样本程序分类方法,所述分类方法包括:将收集的恶意程序集分别通过虚拟沙箱环境进行运行分析,针对每一个恶意程序样本生成对应的样本报告,对样本报告分别解析并提取特征信息,生成相应的数值化特征向量,将数值化特征向量输入神经网络模型中进行训练。
如上所述的一种基于深度学习的恶意样本程序分类方法,提交至虚拟沙箱环境运行分析后的样本生成JSON格式的样本报告,所述样本报告包括API行为信息、网络行为信息和注册表操作信息。
如上所述的一种基于深度学习的恶意样本程序分类方法,将采集到的恶意程序集分别提交至病毒分析系统进行分析,在分析结果中,取反病毒引擎的扫描结果作为该样本程序的家族标记,在反病毒引擎扫描结果均不相同的情况下,由人工对样本程序进行分析并标记家族信息。
如上所述的一种基于深度学习的恶意样本程序分类方法,将样本程序对系统API的调用序列信息传入神经网络模型之前,提取API序列的变长N-gram作为特征并删除API信息重复大于2次的子序列。
如上所述的一种基于深度学习的恶意样本程序分类方法,将API序列输入神经网络模型之前,通过one-hot编码,将每一个API序列表示成1*n的行向量,n为统计的所有样本报告中不重复的API的个数。
如上所述的一种基于深度学习的恶意样本程序分类方法,所述神经网络模型包括CNN卷积神经网络模型和LSTM长短期记忆网络模型,CNN卷积神经网络模型包含卷积层和池化层,神经网络模型将已经数值化特征向量的数据输入给CNN卷积神经网络模型,CNN卷积神经网络的输出作为一个序列,输入给包含若干个LSTM单元的模型,长短期记忆网络模型的输出端连接有均值池化层,所述均值池化层后连接有dropout层,长短期记忆网络模型通过softmax多分类器,识别出样本程序的家族分类结果。
本发明还提供一种基于深度学习的恶意样本程序分类系统,所述分类系统包括恶意程序收集单元、沙箱运行分析单元、报告解析处理单元和神经网络训练单元,所述恶意程序收集单元用于对恶意程序集进行收集,恶意程序收集单元与所述沙箱运行分析单元建立连接关系,恶意程序收集单元将收集的恶意程序集输送至所述沙箱运行分析单元;所述沙箱运行分析单元用于对每个恶意程序集中的样本程序进行分析并生成的样本报告,所述沙箱运行分析单元与所述报告解析处理单元建立连接关系,沙箱运行分析单元将生成的样本报告输送至所述报告解析处理单元;所述报告解析处理单元用于对样本报告进行解析并提取特征信息,所述报告解析处理单元与所述神经网络训练单元建立连接关系;所述神经网络训练单元用于对输入神经网络模型中的特征信息进行训练,识别恶意程序家族分类结果。
如上所述的一种基于深度学习的恶意样本程序分类系统,所述报告解析处理单元包括API信息处理模块,所述API信息处理模块用于提取样本报告中API序列的变长N-gram作为特征,并删除API信息重复大于2次的子序列;所述报告解析处理单元还包括API序列数值化模块,所述API序列数值化模块通过one-hot编码,将API信息序列表示成1*n的行向量。
如上所述的一种基于深度学习的恶意样本程序分类系统,所述神经网络训练单元连接有归一化单元,所述归一化单元用于恶意程序的分类和归一化。
本发明通过收集带有病毒分类标记的恶意程序集,利用虚拟沙箱环境运行分析,并生成相应的样本报告,从样本报告中提取样本行为信息作为特征集,并将特征集进行数值向量化处理,组合CNN卷积神经网络和LSTM长短期记忆神经网络,构建神经网络模型,提取样本程序对系统API的操作序列信息并进行数值化向量转换,输入该模型,从而得出恶意样本的家族分类结果。本发明结合各种深度学习模型的优势和特点,能够准确识别恶意样本所属的类别,提高了对恶意样本识别的效率和准确率。
附图说明
图1为基于深度学习的恶意样本程序分类方法流程图;
图2为基于深度学习的恶意样本程序分类方法API信息处理示意图;
图3为基于深度学习的恶意样本程序分类方法API信息数值化示意图;
图4为基于深度学习的恶意样本程序分类方法中神经网络模型拓扑结构示意图;
图5为基于深度学习的恶意样本程序分类系统示意图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,一种基于深度学习的恶意样本程序分类方法,所述分类方法包括:将收集的恶意程序集分别通过虚拟沙箱环境进行运行分析,针对每一个恶意程序样本生成对应的样本报告,对样本报告分别解析并提取特征信息,生成相应的数值化特征向量,将数值化特征向量输入神经网络模型中进行训练。本发明基于深度学习的模型和算法,将采集的恶意程序集提交至虚拟沙箱环境,针对每一个样本程序运行分析后的报告,分别解析并提取特征信息,生成相应的数值化特征向量后,输入构建的神经网络模型中进行训练,最终达到识别恶意程序家族分类结果。本发明中所述家族分类结果可分为广告、间谍、病毒、蠕虫、木马、后门、勒索七个类别。
基于深度学习的恶意样本程序分类方法的一个实施例中,提交至虚拟沙箱环境运行分析后的样本生成JSON格式的样本报告,所述样本报告包括API行为信息、网络行为信息和注册表操作信息。本发明中,将收集的恶意程序集分别提交至虚拟沙箱环境进行运行分析,针对每一个样本都会生成一份JSON格式的样本报告。样本报告中收集了样本运行过程中对操作系统各种资源的操作,诸如API行为信息、网络行为信息、注册表操作信息等。本发明主要关注并利用了API行为信息,解析报告,并基于线程,提取出样本对系统API的调用序列信息作为特征。与此同时,由于本发明的目的最终是对样本程序进行分类识别,也就是传统意义上的监督学习,因此需要对样本程序进行类别标记。为此将采集到的恶意程序集分别提交至病毒分析系统进行分析,在分析结果中,取多数反病毒引擎的扫描结果作为该样本程序的家族标记。若遇到多数反病毒引擎扫描结果均不相同的情况,则由人工对样本进行分析并标记样本程序的家族信息。
基于深度学习的恶意样本程序分类方法的一个实施例中,将采集到的恶意程序集分别提交至病毒分析系统进行分析,在分析结果中,取反病毒引擎的扫描结果作为该样本程序的家族标记,在反病毒引擎扫描结果均不相同的情况下,由人工对样本程序进行分析并标记家族信息。
参见图2,基于深度学习的恶意样本程序分类方法的一个实施例中,将样本程序对系统API的调用序列信息传入神经网络模型之前,提取API序列的变长N-gram作为特征并删除API信息重复大于2次的子序列。在将样本对系统API的调用序列信息传入神经网络之前,提取API序列的变长N-gram作为特征并删除API信息重复多次的子序列。本发明实施例中,主要对API序列进行3-grams提取,因此在形成子序列之前,剔除重复的API信息,保证相连的API序列中,同一个API最多只出现2次。如序列中API001连续出现了3次,删除一次,最终只保留两次,基于处理后的API序列再进行3-grams提取。
参见图3,基于深度学习的恶意样本程序分类方法的一个实施例中,将API序列输入神经网络模型之前,通过one-hot编码,将每一个API序列表示成1*n的行向量,n为统计的所有样本报告中不重复的API的个数。在将API序列输入神经网络模型之前,需要将序列进行数值化。本发明中,使用one-hot编码,将每一个API最终表示成1*n的行向量,其中n是统计的所有样本报告中不重复的API的个数。本发明实施例中所有样本报告统计的不重复的API个数为75个,故n即为75。
基于深度学习的恶意样本程序分类方法的一个实施例中,所述神经网络模型包括CNN卷积神经网络模型和LSTM长短期记忆网络模型,CNN卷积神经网络模型包含卷积层和池化层,神经网络模型将已经数值化特征向量的数据输入给CNN卷积神经网络模型,CNN卷积神经网络的输出作为一个序列,输入给包含若干个LSTM单元的模型,长短期记忆网络模型的输出端连接有均值池化层,所述均值池化层后连接有dropout层,长短期记忆网络模型通过softmax多分类器,识别出样本程序的家族分类结果。
参见图4,本发明结合CNN卷积神经网络和LSTM长短期记忆网络各自的特点,并将二者组合,构建能够识别样本家族信息的网络拓扑模型。CNN卷积神经网络能够捕获相邻输入向量之间的相关性,并产生新的特征,属于一种空间意义上的扩展模型。而LSTM模型具有一定的记忆效应,适用于序列数据,属于一种时间意义上的扩展模型。而本发明中,样本对系统API的调用即存在先后顺序关系,LSTM模型能够记忆API调用的顺序依赖关系。因此,结合二者模型特点,本发明构建了CNN+LSTM模型。在该模型中,首先将已经向量化的数据输入给CNN卷积神经网络,其中包含一个卷积层和一个池化层。由于对API序列进行了3-grams的提取,因此,卷积核为一个3*75的二维矩阵。为了减少特征数据的维度,紧接着卷积层之后为最大池化层,并采用了最大值区域采样,过滤窗口为2*2,将数据的维度降低了一倍。随后将卷积神经网络的输出作为一个序列,并输入给包含若干个LSTM单元的模型。同时,在LSTM模型的输出端连接了一个均值池化层。均值池化层的作用主要是为了从LSTM的输出中提取出相对最重要的特征信息。为了防止过拟合,均值池化层后连接了一个dropout层。最后,使用softmax多分类器,并结合交叉熵损失函数,反复训练,最终识别出样本的家族分类结果。
参见图5,本发明还提供一种基于深度学习的恶意样本程序分类系统,所述分类系统包括恶意程序收集单元1、沙箱运行分析单元2、报告解析处理单元3和神经网络训练单元4,所述恶意程序收集单元1用于对恶意程序集进行收集,恶意程序收集单元1与所述沙箱运行分析单元2建立连接关系,恶意程序收集单元1将收集的恶意程序集输送至所述沙箱运行分析单元2;所述沙箱运行分析单元2用于对每个恶意程序集中的样本程序进行分析并生成的样本报告,所述沙箱运行分析单元2与所述报告解析处理单元3建立连接关系,沙箱运行分析单元2将生成的样本报告输送至所述报告解析处理单元3;所述报告解析处理单元3用于对样本报告进行解析并提取特征信息,所述报告解析处理单元3与所述神经网络训练单元4建立连接关系;所述神经网络训练单元4用于对输入神经网络模型中的特征信息进行训练,识别恶意程序家族分类结果。
基于深度学习的恶意样本程序分类系统的一个实施例中,所述报告解析处理单元3包括API信息处理模块301,所述API信息处理模块301用于提取样本报告中API序列的变长N-gram作为特征,并删除API信息重复大于2次的子序列;所述报告解析处理单元3还包括API序列数值化模块302,所述API序列数值化模块302通过one-hot编码,将API信息序列表示成1*n的行向量。
基于深度学习的恶意样本程序分类系统的一个实施例中,所述神经网络训练单元4连接有归一化单元5,所述归一化单元5用于恶意程序的分类和归一化。
本发明通过收集带有病毒分类标记的恶意程序集,利用虚拟沙箱环境运行分析,并生成相应的样本报告,从样本报告中提取样本行为信息作为特征集,并将特征集进行数值向量化处理,组合CNN卷积神经网络和LSTM长短期记忆神经网络,构建神经网络模型,提取样本程序对系统API的操作序列信息并进行数值化向量转换,输入该模型,从而得出恶意样本的家族分类结果。本发明结合各种深度学习模型的优势和特点,能够准确识别恶意样本所属的类别,提高了对恶意样本识别的效率和准确率。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (9)
1.一种基于深度学习的恶意样本程序分类方法,其特征在于,所述分类方法包括:将收集的恶意程序集分别通过虚拟沙箱环境进行运行分析,针对每一个恶意程序样本生成对应的样本报告,对样本报告分别解析并提取特征信息,生成相应的数值化特征向量,将数值化特征向量输入神经网络模型中进行训练。
2.根据权利要求1所述的一种基于深度学习的恶意样本程序分类方法,其特征在于,提交至虚拟沙箱环境运行分析后的样本生成JSON格式的样本报告,所述样本报告包括API行为信息、网络行为信息和注册表操作信息。
3.根据权利要求1所述的一种基于深度学习的恶意样本程序分类方法,其特征在于,将采集到的恶意程序集分别提交至病毒分析系统进行分析,在分析结果中,取反病毒引擎的扫描结果作为该样本程序的家族标记,在反病毒引擎扫描结果均不相同的情况下,由人工对样本程序进行分析并标记家族信息。
4.根据权利要求1所述的一种基于深度学习的恶意样本程序分类方法,其特征在于,将样本程序对系统API的调用序列信息传入神经网络模型之前,提取API序列的变长N-gram作为特征并删除API信息重复大于2次的子序列。
5.根据权利要求1所述的一种基于深度学习的恶意样本程序分类方法,其特征在于,将API序列输入神经网络模型之前,通过one-hot编码,将每一个API序列表示成1*n的行向量,n为统计的所有样本报告中不重复的API的个数。
6.根据权利要求1所述的一种基于深度学习的恶意样本程序分类方法,其特征在于,所述神经网络模型包括CNN卷积神经网络模型和LSTM长短期记忆网络模型,CNN卷积神经网络模型包含卷积层和池化层,神经网络模型将已经数值化特征向量的数据输入给CNN卷积神经网络模型,CNN卷积神经网络的输出作为一个序列,输入给包含若干个LSTM单元的模型,长短期记忆网络模型的输出端连接有均值池化层,所述均值池化层后连接有dropout层,长短期记忆网络模型通过softmax多分类器,识别出样本程序的家族分类结果。
7.一种基于深度学习的恶意样本程序分类系统,其特征在于,所述分类系统包括恶意程序收集单元、沙箱运行分析单元、报告解析处理单元和神经网络训练单元,所述恶意程序收集单元用于对恶意程序集进行收集,恶意程序收集单元与所述沙箱运行分析单元建立连接关系,恶意程序收集单元将收集的恶意程序集输送至所述沙箱运行分析单元;所述沙箱运行分析单元用于对每个恶意程序集中的样本程序进行分析并生成的样本报告,所述沙箱运行分析单元与所述报告解析处理单元建立连接关系,沙箱运行分析单元将生成的样本报告输送至所述报告解析处理单元;所述报告解析处理单元用于对样本报告进行解析并提取特征信息,所述报告解析处理单元与所述神经网络训练单元建立连接关系;所述神经网络训练单元用于对输入神经网络模型中的特征信息进行训练,识别恶意程序家族分类结果。
8.根据权利要求7所述的一种基于深度学习的恶意样本程序分类系统,其特征在于,所述报告解析处理单元包括API信息处理模块,所述API信息处理模块用于提取样本报告中API序列的变长N-gram作为特征,并删除API信息重复大于2次的子序列;所述报告解析处理单元还包括API序列数值化模块,所述API序列数值化模块通过one-hot编码,将API信息序列表示成1*n的行向量。
9.根据权利要求7所述的一种基于深度学习的恶意样本程序分类系统,其特征在于,所述神经网络训练单元连接有归一化单元,所述归一化单元用于恶意程序的分类和归一化。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810102365.3A CN108376220A (zh) | 2018-02-01 | 2018-02-01 | 一种基于深度学习的恶意样本程序分类方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810102365.3A CN108376220A (zh) | 2018-02-01 | 2018-02-01 | 一种基于深度学习的恶意样本程序分类方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108376220A true CN108376220A (zh) | 2018-08-07 |
Family
ID=63017108
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810102365.3A Pending CN108376220A (zh) | 2018-02-01 | 2018-02-01 | 一种基于深度学习的恶意样本程序分类方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108376220A (zh) |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109194635A (zh) * | 2018-08-22 | 2019-01-11 | 杭州安恒信息技术股份有限公司 | 基于自然语言处理与深度学习的恶意url识别方法及装置 |
CN109670306A (zh) * | 2018-11-27 | 2019-04-23 | 国网山东省电力公司济宁供电公司 | 基于人工智能的电力恶意代码检测方法、服务器及系统 |
CN109684845A (zh) * | 2018-12-27 | 2019-04-26 | 北京天融信网络安全技术有限公司 | 一种检测方法和装置 |
CN109711163A (zh) * | 2018-12-26 | 2019-05-03 | 西安电子科技大学 | 基于api调用序列的安卓恶意软件检测方法 |
CN109886021A (zh) * | 2019-02-19 | 2019-06-14 | 北京工业大学 | 一种基于api全局词向量和分层循环神经网络的恶意代码检测方法 |
CN110135160A (zh) * | 2019-04-29 | 2019-08-16 | 北京邮电大学 | 软件检测的方法、装置及系统 |
CN110175456A (zh) * | 2019-06-04 | 2019-08-27 | 网御安全技术(深圳)有限公司 | 软件行为取样方法、相关设备及软件系统 |
CN110210213A (zh) * | 2019-04-26 | 2019-09-06 | 北京奇安信科技有限公司 | 过滤恶意样本的方法及装置、存储介质、电子装置 |
CN110414234A (zh) * | 2019-06-28 | 2019-11-05 | 奇安信科技集团股份有限公司 | 恶意代码家族识别方法及装置 |
CN110704840A (zh) * | 2019-09-10 | 2020-01-17 | 中国人民公安大学 | 一种基于卷积神经网络cnn的恶意软件检测方法 |
CN110704842A (zh) * | 2019-09-27 | 2020-01-17 | 山东理工大学 | 一种恶意代码家族分类检测方法 |
CN111338692A (zh) * | 2018-12-18 | 2020-06-26 | 北京奇虎科技有限公司 | 基于漏洞代码的漏洞分类方法、装置及电子设备 |
CN111797995A (zh) * | 2020-06-29 | 2020-10-20 | 第四范式(北京)技术有限公司 | 一种模型预测样本的解释报告的生成方法及装置 |
CN112000952A (zh) * | 2020-07-29 | 2020-11-27 | 暨南大学 | Windows平台恶意软件的作者组织特征工程方法 |
CN112149116A (zh) * | 2020-10-26 | 2020-12-29 | 北京安信天行科技有限公司 | 一种基于沙箱的行为检测方法与系统 |
CN112257757A (zh) * | 2020-09-27 | 2021-01-22 | 北京锐服信科技有限公司 | 一种基于深度学习的恶意样本检测方法及系统 |
CN112417447A (zh) * | 2020-11-11 | 2021-02-26 | 北京京航计算通讯研究所 | 一种恶意代码分类结果的精确度验证方法及装置 |
CN112632541A (zh) * | 2020-12-29 | 2021-04-09 | 网神信息技术(北京)股份有限公司 | 行为恶意程度的确定方法、装置、计算机设备和存储介质 |
CN112685739A (zh) * | 2020-12-31 | 2021-04-20 | 卓尔智联(武汉)研究院有限公司 | 恶意代码检测方法、数据交互方法及相关设备 |
WO2021259207A1 (zh) * | 2020-06-24 | 2021-12-30 | 广州大学 | 基于stacking集成的APT组织识别方法、系统及存储介质 |
CN113971285A (zh) * | 2020-07-24 | 2022-01-25 | 深信服科技股份有限公司 | 一种终端恶意进程识别方法、装置、设备及可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106529293A (zh) * | 2016-11-09 | 2017-03-22 | 东巽科技(北京)有限公司 | 一种用于恶意软件检测的样本类别判定方法 |
CN107180191A (zh) * | 2017-05-03 | 2017-09-19 | 北京理工大学 | 一种基于半监督学习的恶意代码分析方法和系统 |
CN107239733A (zh) * | 2017-04-19 | 2017-10-10 | 上海嵩恒网络科技有限公司 | 连续手写字识别方法及系统 |
CN107301385A (zh) * | 2017-06-09 | 2017-10-27 | 浙江宇视科技有限公司 | 一种遮挡车牌识别方法及装置 |
CN107392109A (zh) * | 2017-06-27 | 2017-11-24 | 南京邮电大学 | 一种基于深度神经网络的新生儿疼痛表情识别方法 |
CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
-
2018
- 2018-02-01 CN CN201810102365.3A patent/CN108376220A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106529293A (zh) * | 2016-11-09 | 2017-03-22 | 东巽科技(北京)有限公司 | 一种用于恶意软件检测的样本类别判定方法 |
CN107239733A (zh) * | 2017-04-19 | 2017-10-10 | 上海嵩恒网络科技有限公司 | 连续手写字识别方法及系统 |
CN107180191A (zh) * | 2017-05-03 | 2017-09-19 | 北京理工大学 | 一种基于半监督学习的恶意代码分析方法和系统 |
CN107301385A (zh) * | 2017-06-09 | 2017-10-27 | 浙江宇视科技有限公司 | 一种遮挡车牌识别方法及装置 |
CN107392109A (zh) * | 2017-06-27 | 2017-11-24 | 南京邮电大学 | 一种基于深度神经网络的新生儿疼痛表情识别方法 |
CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
Cited By (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109194635A (zh) * | 2018-08-22 | 2019-01-11 | 杭州安恒信息技术股份有限公司 | 基于自然语言处理与深度学习的恶意url识别方法及装置 |
CN109670306A (zh) * | 2018-11-27 | 2019-04-23 | 国网山东省电力公司济宁供电公司 | 基于人工智能的电力恶意代码检测方法、服务器及系统 |
CN111338692A (zh) * | 2018-12-18 | 2020-06-26 | 北京奇虎科技有限公司 | 基于漏洞代码的漏洞分类方法、装置及电子设备 |
CN111338692B (zh) * | 2018-12-18 | 2024-04-16 | 北京奇虎科技有限公司 | 基于漏洞代码的漏洞分类方法、装置及电子设备 |
CN109711163A (zh) * | 2018-12-26 | 2019-05-03 | 西安电子科技大学 | 基于api调用序列的安卓恶意软件检测方法 |
CN109711163B (zh) * | 2018-12-26 | 2021-07-27 | 西安电子科技大学 | 基于api调用序列的安卓恶意软件检测方法 |
CN109684845A (zh) * | 2018-12-27 | 2019-04-26 | 北京天融信网络安全技术有限公司 | 一种检测方法和装置 |
CN109684845B (zh) * | 2018-12-27 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 一种检测方法和装置 |
CN109886021A (zh) * | 2019-02-19 | 2019-06-14 | 北京工业大学 | 一种基于api全局词向量和分层循环神经网络的恶意代码检测方法 |
CN110210213A (zh) * | 2019-04-26 | 2019-09-06 | 北京奇安信科技有限公司 | 过滤恶意样本的方法及装置、存储介质、电子装置 |
CN110135160B (zh) * | 2019-04-29 | 2021-11-30 | 北京邮电大学 | 软件检测的方法、装置及系统 |
CN110135160A (zh) * | 2019-04-29 | 2019-08-16 | 北京邮电大学 | 软件检测的方法、装置及系统 |
CN110175456A (zh) * | 2019-06-04 | 2019-08-27 | 网御安全技术(深圳)有限公司 | 软件行为取样方法、相关设备及软件系统 |
CN110414234A (zh) * | 2019-06-28 | 2019-11-05 | 奇安信科技集团股份有限公司 | 恶意代码家族识别方法及装置 |
CN110704840A (zh) * | 2019-09-10 | 2020-01-17 | 中国人民公安大学 | 一种基于卷积神经网络cnn的恶意软件检测方法 |
CN110704842A (zh) * | 2019-09-27 | 2020-01-17 | 山东理工大学 | 一种恶意代码家族分类检测方法 |
WO2021259207A1 (zh) * | 2020-06-24 | 2021-12-30 | 广州大学 | 基于stacking集成的APT组织识别方法、系统及存储介质 |
CN111797995A (zh) * | 2020-06-29 | 2020-10-20 | 第四范式(北京)技术有限公司 | 一种模型预测样本的解释报告的生成方法及装置 |
CN111797995B (zh) * | 2020-06-29 | 2024-01-26 | 第四范式(北京)技术有限公司 | 一种模型预测样本的解释报告的生成方法及装置 |
CN113971285A (zh) * | 2020-07-24 | 2022-01-25 | 深信服科技股份有限公司 | 一种终端恶意进程识别方法、装置、设备及可读存储介质 |
CN112000952B (zh) * | 2020-07-29 | 2022-05-24 | 暨南大学 | Windows平台恶意软件的作者组织特征工程方法 |
CN112000952A (zh) * | 2020-07-29 | 2020-11-27 | 暨南大学 | Windows平台恶意软件的作者组织特征工程方法 |
CN112257757A (zh) * | 2020-09-27 | 2021-01-22 | 北京锐服信科技有限公司 | 一种基于深度学习的恶意样本检测方法及系统 |
CN112149116A (zh) * | 2020-10-26 | 2020-12-29 | 北京安信天行科技有限公司 | 一种基于沙箱的行为检测方法与系统 |
CN112417447A (zh) * | 2020-11-11 | 2021-02-26 | 北京京航计算通讯研究所 | 一种恶意代码分类结果的精确度验证方法及装置 |
CN112632541A (zh) * | 2020-12-29 | 2021-04-09 | 网神信息技术(北京)股份有限公司 | 行为恶意程度的确定方法、装置、计算机设备和存储介质 |
CN112685739A (zh) * | 2020-12-31 | 2021-04-20 | 卓尔智联(武汉)研究院有限公司 | 恶意代码检测方法、数据交互方法及相关设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108376220A (zh) | 一种基于深度学习的恶意样本程序分类方法及系统 | |
Kalash et al. | Malware classification with deep convolutional neural networks | |
CN110704840A (zh) | 一种基于卷积神经网络cnn的恶意软件检测方法 | |
CN108200054A (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
CN110210434A (zh) | 病虫害识别方法及装置 | |
CN109165688A (zh) | 一种安卓恶意软件家族分类器构建方法及其分类方法 | |
Li et al. | ROSA: Robust salient object detection against adversarial attacks | |
CN110232280A (zh) | 一种基于树结构卷积神经网络的软件安全漏洞检测方法 | |
CN104391860A (zh) | 内容类别检测方法及装置 | |
CN106096413B (zh) | 一种基于多特征融合的恶意代码检测方法及系统 | |
CN102479298A (zh) | 基于机器学习的程序识别方法及装置 | |
CN107468260A (zh) | 一种判断动物心理状态的脑电分析装置及分析方法 | |
CN111260568B (zh) | 基于多辨别器对抗网络的碑帖二值化背景噪声去除方法 | |
CN108021806A (zh) | 一种恶意安装包的识别方法和装置 | |
Qiao et al. | A multi-channel visualization method for malware classification based on deep learning | |
CN106685964A (zh) | 基于恶意网络流量词库的恶意软件检测方法及系统 | |
CN116361801A (zh) | 基于应用程序接口语义信息的恶意软件检测方法及系统 | |
CN109067800A (zh) | 一种固件漏洞的跨平台关联检测方法 | |
CN108229170A (zh) | 利用大数据和神经网络的软件分析方法和装置 | |
Khan et al. | Malware classification framework using convolutional neural network | |
Sun et al. | Android malware family classification based on deep learning of code images | |
CN116665214A (zh) | 一种基于对抗样本的大字符集验证码攻击防御方法 | |
Anders et al. | Compensating class imbalance for acoustic chimpanzee detection with convolutional recurrent neural networks | |
Ding et al. | Towards backdoor attack on deep learning based time series classification | |
CN111737688B (zh) | 基于用户画像的攻击防御系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180807 |
|
RJ01 | Rejection of invention patent application after publication |