CN108563951A - 病毒检测方法及装置 - Google Patents
病毒检测方法及装置 Download PDFInfo
- Publication number
- CN108563951A CN108563951A CN201810329073.3A CN201810329073A CN108563951A CN 108563951 A CN108563951 A CN 108563951A CN 201810329073 A CN201810329073 A CN 201810329073A CN 108563951 A CN108563951 A CN 108563951A
- Authority
- CN
- China
- Prior art keywords
- file
- detected
- behavior
- vector
- training sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明涉及了一种病毒检测方法及装置,所述病毒检测方法包括:获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;从所述待检测文件的行为日志中获取行为向量;根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量;根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量;根据所述待检测文件的全局特征向量进行病毒预测,得到所述待检测文件的病毒标签。采用本发明所提供的病毒检测方法及装置解决了现有技术中因特征码依赖于人工提取而造成病毒检测准确率不高的问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种病毒检测方法及装置。
背景技术
随着计算机技术的发展,具有传染性、破坏性且携带恶意行为的病毒也日益增加,并在用户不知情时便对终端,例如智能手机造成危害。传统的病毒检测方法是:在病毒库中对待检测文件进行特征码匹配搜索,如果待检测文件命中病毒库中的特征码,则认为待检测文件为病毒。
上述病毒检测过程中,主要基于特征码的静态检测,所谓的静态检测指的是由分析人员通过查看样本中二进制片段的方式或者反编译样本的方式进行源代码分析,以提取出病毒对应的特征码。
由上可知,特征码的提取依赖于人工实现,仍存在效率低下的缺陷,进而导致病毒检测准确率不高。
发明内容
为了解决上述技术问题,本发明的一个目的在于提供一种病毒检测方法及装置。
其中,本发明所采用的技术方案为:
一种病毒检测方法,包括:获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;从所述待检测文件的行为日志中获取行为向量;根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量;根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量;根据所述待检测文件的全局特征向量进行病毒预测,得到所述待检测文件的病毒标签。
一种病毒检测装置,包括:行为日志获取模块,用于获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;行为向量获取模块,用于从所述待检测文件的行为日志中获取行为向量;局部向量获取模块,用于根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量;全局向量获取模块,用于根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量;病毒预测模块,用于根据所述待检测文件的全局特征向量进行病毒预测,得到所述待检测文件的病毒标签。
一种病毒检测装置,包括处理器及存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时实现如上所述的病毒检测方法。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的病毒检测方法。
在上述技术方案中,从所获取到待检测文件的行为日志中获取行为向量,以根据待检测文件的行为向量提取得到待检测文件的局部特征向量,并根据待检测文件的局部特征向量构建用于描述待检测文件整体行为的全局特征向量,进而根据待检测文件的全局特征向量进行病毒预测,得到待检测文件的病毒标签,其中,待检测文件的行为日志表征待检测文件在运行环境中运行时被触发执行的行为。
也就是说,病毒检测所采用的行为向量基于待检测文件在运行环境中运行时被触发执行的行为,避免在病毒检测过程中依赖于人工提取特征码,从而解决效率低下的问题,保证较高的病毒检测准确率。
此外,通过病毒检测模型,既能学习到用于描述相邻行为的局部特征,又能学习到用于描述整体行为的全局特征,有效地保障了病毒检测的泛化能力,进一步有利于提高病毒检测准确率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并于说明书一起用于解释本发明的原理。
图1为一种病毒检测方法所涉及的实施环境在一实施例的示意图。
图2为一种病毒检测方法所涉及的实施环境在另一实施例的示意图。
图3是根据一示例性实施例示出的一种病毒检测装置的硬件结构框图。
图4是根据一示例性实施例示出的一种病毒检测方法的流程图。
图5是根据一示例性实施例示出的另一种病毒检测方法的流程图。
图6是图4对应实施例中步骤330在一个实施例的流程图。
图7是根据一示例性实施例示出的另一种病毒检测方法的流程图。
图8是图7对应实施例中步骤510在一个实施例的流程图。
图9是一应用场景中一种病毒检测方法的具体实现示意图。
图10是一应用场景中模型训练分支的具体实现示意图。
图11是一应用场景中病毒检测分支的具体实现示意图。
图12是一应用场景中病毒检测模型架构的具体实现示意图。
图13是根据一示例性实施例示出的一种病毒检测装置的框图。
图14是根据一示例性实施例示出的另一种病毒检测装置的框图。
图15是根据一示例性实施例示出的第一标识转化单元931在一个实施例的框图。
图16是根据一示例性实施例示出的另一种病毒检测装置的框图。
图17是图16对应实施例中第二行为向量获取模块1110在一个实施例的框图。
通过上述附图,已示出本发明明确的实施例,后文中将有更详细的描述,这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围,而是通过参考特定实施例为本领域技术人员说明本发明的概念。
具体实施方式
这里将详细地对示例性实施例执行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
如前所述,病毒检测过程主要基于特征码的静态检测,即特征码的提取不需要病毒的动态执行,而依赖于人工实现。
随着病毒的逐步增多,特征码提取时间过长将导致效率难以提升,而且人为因素直接影响特征码的提取质量,既对分析人员的要求较高,造成人力成本较高,还容易引起病毒检测出错,造成病毒检测准确率不高,例如,疑似病毒因特征码提取不够准确而导致误检、漏检等。
此外,对于加固、源代码混淆加密的病毒,分析人员提取特征码愈发困难,而针对母体并不包含恶意代码的病毒,通过反编译病毒的方式也无法由母体提取得到特征码。
为了使病毒检测过程不依赖于静态提取的特征码,现有技术中提出了一种基于动态行为规则的病毒检测方法,该方法中,分析人员根据病毒行为,例如发送短信、加载冗余信息等等,人工制定行为规则,且随着病毒行为的变化将动态调整行为规则,以此提高病毒检测准确率。
然而,由于行为规则仍然需要分析人员根据病毒行为进行人工制定,仍存在效率低下的缺陷,而且人工经验受限于低维度的病毒行为特征,一旦病毒行为特征高维度,人工发现病毒行为并依此进行行为规则的制定相对困难,这将导致病毒检测准确率提高有限。
为此,本发明特提出了一种不依赖于人工实现的病毒检测方法,能够有效地提高病毒检测准确率,相应地,该种病毒检测方法所对应的病毒检测装置部署于具有冯诺依曼体系的电子设备中,例如,电子设备可以是智能手机、服务器等,在此不进行限定。
图1为一种病毒检测方法所涉及的实施环境在一实施例的示意图。该实施环境包括终端110以及用于部署病毒检测装置200的服务端130。
其中,终端110可以是智能手机、平板电脑、笔记本电脑、台式电脑或者其他提供联网功能的电子设备,在此不进行限定。
终端110与服务端130之间预先建立无线网络连接或者有线网络连接,通过所建立的连接实现终端110与服务端130之间的数据传输。例如,数据为疑似病毒。
具体地,在用户允许的情况下,终端110将不定期地收集终端110中的疑似病毒,并上报至服务端130作进一步的病毒检测。
通过终端110与服务端130交互,服务端130将不定期地接收到疑似病毒,并通过病毒检测装置200对接收到的疑似病毒(视为待检测文件和/或训练样本)进行病毒检测。
进一步地,对于作为疑似病毒的待检测文件而言,服务端130将病毒检测结果返回至终端110,以供终端110对此疑似病毒进行相关处理,例如,病毒消杀等等。
而对于作为疑似病毒的训练样本来说,将被用于病毒检测模型的模型训练,进而实现精准度高的病毒检测。
图2为一种病毒检测方法所涉及的实施环境在另一实施例的示意图。该实施环境包括部署了病毒检测装置200的终端150以及服务端170。
就服务端170而言,通过与终端150的交互,将模型文件下发至终端150,该模型文件是病毒检测模型存储形成的。
对于终端150来说,则是通过病毒检测装置200调用模型文件检测待检测文件是否为病毒,以此完成待检测文件的病毒检测。
图3是根据一示例性实施例示出的一种病毒检测装置的硬件结构框图。需要说明的是,该病毒检测装置只是一个适配于本发明的示例,不能认为是提供了对本发明的使用范围的任何限制。该病毒检测装置也不能解释为需要依赖于或者必须具有图3中示出的示例性的病毒检测装置200中的一个或者多个组件。
如图3所示,该病毒检测装置200的硬件结构可因配置或者性能的不同而产生较大的差异。该病毒检测装置200包括:电源210、接口230、至少一存储器250、以及至少一中央处理器(CPU,Central Processing Units)270。
其中,电源210用于为病毒检测装置200上的各硬件设备提供工作电压。
接口230包括至少一有线或无线网络接口231、至少一串并转换接口233、至少一输入输出接口235以及至少一USB接口237等,用于与外部设备通信。
存储器250作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统251、应用程序253及数据255等,存储方式可以是短暂存储或者永久存储。其中,操作系统251用于管理与控制病毒检测装置200上的各硬件设备以及应用程序253,以实现中央处理器270对海量数据255的计算与处理,其可以是WindowsServerTM、Mac OS XTM、UnixTM、LinuxTM、FreeBSDTM等。应用程序253是基于操作系统251之上完成至少一项特定工作的计算机程序,其可以包括至少一模块(图3中未示出),每个模块都可以分别包含有对病毒检测装置200的一系列计算机可读指令。数据255可以是存储于磁盘中的照片、图片等。
中央处理器270可以包括一个或多个以上的处理器,并设置为通过总线与存储器250通信,用于运算与处理存储器250中的海量数据255。
如上面所详细描述的,适用本发明的病毒检测装置200将通过中央处理器270读取存储器250中存储的一系列计算机可读指令的形式来完成病毒检测方法。
此外,通过硬件电路或者硬件电路结合软件也能同样实现本发明,因此,实现本发明并不限于任何特定硬件电路、软件以及两者的组合。
请参阅图4,在一示例性实施例中,一种病毒检测方法适用于图1或者图2所示实施环境的病毒检测装置,该病毒检测装置的结构可以如图3所示。
该种病毒检测方法可以由病毒检测装置执行,可以包括以下步骤:
步骤310,获取待检测文件的行为日志。
其中,行为日志表征待检测文件在运行环境中运行时被触发执行的行为。
步骤330,从待检测文件的行为日志中获取行为向量。
首先说明的是,待检测文件是能够独立运行于终端中安装部署的运行环境的应用程序。随着终端所提供的运行环境变化,待检测文件的文件类型不同。例如,运行环境是安卓操作系统,则待检测文件的文件类型为APK类型。
其次,行为日志,表征待检测文件在运行环境中运行时被触发执行的行为。也可以理解为,行为日志,是由不同文件类型的待检测文件输入至对应的运行环境中运行时生成的。例如,APK类型的待检测文件将输入至安卓操作系统运行,以得到待检测文件的行为日志。
进一步地,行为日志中,待检测文件在运行环境中运行时被触发执行的行为是通过行为标识进行表示的,该行为标识包含至少一个字符,换而言之,行为日志是若干个由一个字符或者多个字符组合的行为标识构成的。
因此,行为向量是以行为日志所包含的行为标识为基础数据,转化得到的一串数字集合,进而以数字的形式唯一地标识行为日志所表征的行为,即实现了对待检测文件在运行环境中运行时被触发执行的行为的准确描述。
应当理解,如果待检测文件不同,则待检测文件在运行环境中运行时被触发执行的行为将有所区别,进而使得从用于表征该行为的行为日志中获取到的行为向量也各不相同。
例如,行为向量为[3,2,2,7,13,5,17,1,……],其中,该行为向量中的数字即为用于表示行为的行为标识。
步骤350,根据待检测文件的行为向量提取得到待检测文件的局部特征向量。
本实施例中,对待检测文件所进行的病毒检测是通过本地调用病毒检测模型实现的。即无论是终端还是服务端,病毒检测装置部署于本地。
病毒检测模型,是根据训练样本的行为向量和病毒标签训练得到的,其中,病毒标签用于指示训练样本是否为病毒。也可以理解为,病毒检测模型通过指定模型结构来表征训练样本的行为向量和病毒标签之间的数学关系。
由此,通过病毒检测模型的调用,即可根据待检测文件的行为向量进行病毒标签预测,进而根据预测得到的病毒标签判定待检测文件是否为病毒。
其中,指定模型结构包括但不限于:至少一级神经网络、至少一级向量机模型、至少一级逻辑回归模型等等。
进一步地,每一级神经网络还可以包含多层神经网络,例如,多层卷积神经网络(CNN)、多层长短期记忆神经网络(LSTM)等等。
具体而言,首先调用病毒检测模型提取待检测文件的局部特征,以获得待检测文件的局部特征向量。
局部特征向量,是通过局部特征提取实现对待检测文件的相邻行为的准确描述。其中,相邻行为,是指待检测文件在运行环境中运行时,在相邻时刻被触发执行的行为。
例如,行为向量为[3,2,2,7,13,5,17,1,……],其中,行为标识13所表示的行为和行为标识5所表示的行为、行为标识7所表示的行为即为相邻行为。
当然,在其他实施例中,病毒检测还可基于终端与部署了病毒检测装置的服务端二者交互实现,即,终端将待检测文件发送至服务端,通过服务端所部署的病毒检测装置调用病毒检测模型对此待检测文件进行病毒检测。
步骤370,根据待检测文件的局部特征向量构建用于描述待检测文件整体行为的全局特征向量。
在完成待检测文件的局部特征提取之后,便调用病毒检测模型根据待检测文件的局部特征向量进行待检测文件的全局特征构建,以得到待检测文件的全局特征向量。
全局特征向量,用于描述待检测文件的整体行为,其中,整体行为,反映了待检测文件在运行环境中运行时被触发执行的所有行为。
假设行为向量为[3,2,2,7],则整体行为即包含了行为标识3、2、2、7所分别表示的全部行为。
步骤390,根据待检测文件的全局特征向量进行病毒预测,得到待检测文件的病毒标签。
本实施例中,病毒预测,是通过病毒检测模型中的分类器实现的。
具体地,将待检测文件的全局特征向量输入分类器,分别计算待检测文件的全局特征向量属于不同类别病毒标签的概率,由此预测得到待检测文件的病毒标签,进而通过病毒标签判定待检测文件是否为病毒。其中,不同类别的病毒标签是指:用于指示病毒的病毒标签和用于指示非病毒的病毒标签。
假设待检测文件的全局特征向量属于用于指示病毒的病毒标签的概率为P1,待检测文件的全局特征向量属于用于指示非病毒的病毒标签的概率为P2,如果P1>P2,则预测待检测文件的病毒标签为用于指示病毒的病毒标签,进而判定待检测文件为病毒,反之,如果P2>P1,则预测待检测文件的病毒标签为用于指示非病毒的病毒标签,进而判定待检测文件为非病毒。
通过如上所述的过程,实现了全局特征向量的自动化构建,避免静态特征码的人工提取,有效地解决了现有技术所存在的因特征码依赖于人工实现而导致病毒检测准确率不高的问题。
此外,待检测文件的行为向量是基于运行环境中运行时被触发执行的行为生成的,避免人工进行行为规则的制定,在待检测文件动态执行的前提下,充分地保障了病毒检测准确率。
请参阅图5,在一示例性实施例中,运行环境由计算机模拟器提供。
应当理解,假设服务端所安装部署的运行环境为Windows操作系统,如果待检测文件为病毒,当该待检测文件直接在Windows操作系统中运行时将会对服务端造成危害。
为此,待检测文件运行的运行环境,区别于服务端所部署的运行环境。也就是说,待检测文件运行的运行环境是虚拟的,由计算机模拟器提供,不同于服务端中部署的真实运行环境。例如,服务端中的真实运行环境为Windows系统,而计算机模拟器所提供的虚拟运行环境为安卓操作系统,由此,服务端能够为安卓用户所在智能手机上报的待检测文件(例如疑似病毒)提供病毒检测服务。
计算机模拟器,可以理解为是一个运行在服务端的虚拟设备,可以不使用服务端的内存而运行所支持文件类型的待检测文件,进而能够有效地降低服务端的任务处理压力,有利于提高服务端的处理效率。
相应地,步骤310之前,如上所述的方法还可以包括以下步骤:
步骤410,在启动的计算机模拟器中输入待检测文件,通过待检测文件的输入进行待检测文件的模拟运行。
如前所述,计算机模拟器为待检测文件的运行提供虚拟运行环境,以便于待检测文件在该虚拟运行环境中运行,而不会对服务端造成危害。
具体地,在服务端中安装部署计算机模拟器,在计算机模拟器启动之后,便为待检测文件提供了虚拟运行环境,以便于后续收集待检测文件在该虚拟运行环境运行时被触发执行的行为。
步骤430,在待检测文件被模拟运行过程中,根据待检测文件被模拟触发执行的行为生成待检测文件的行为日志,并存储至系统日志。
模拟运行,是指模拟待检测文件在真实运行环境中被触发执行的行为。例如,待检测文件为一App应用,则对该App应用的模拟运行包括但不限于在虚拟运行环境中点击该App应用的页面。
相应地,通过待检测文件输入计算机模拟器而进行的模拟运行,使得待检测文件被模拟触发执行的行为将通过行为日志的形式被记录,并存储至系统日志。
由上可知,对于服务端而言,将由计算机模拟器为待检测文件模拟出虚拟运行环境,以便于待检测文件在该虚拟运行环境中运行时生成行为日志,并存储至系统日志。
对于终端而言,待检测文件则以终端中安装部署的操作系统作为运行环境,由此生成待检测文件相应的行为日志并存储至系统日志,以便于终端在对该待检测文件进行病毒检测时调用。
换而言之,对于终端来说,待检测文件的行为日志反映了待检测文件在真实运行环境中被触发执行的行为,对于服务端而言,待检测文件的行为日志则是通过模拟待检测文件在终端中被触发执行的行为而得到的。
应当说明的是,在终端中,系统日志是基于终端中安装部署的操作系统而言,而在服务端中,系统日志则是基于计算机模拟器。
基于此,在一示例性实施例中,步骤310可以包括以下步骤:
从系统日志中提取得到待检测文件的行为日志。
系统日志,为待检测文件在运行环境中运行时被触发执行的行为以及行为结果按行为触发时间进行了记录。
由此,行为日志,便能够从系统日志中过滤出待检测文件的行为日志。
具体地,根据待检测文件确认待检测文件标识。例如,待检测文件为一App应用,则待检测文件标识为应用标识。也就是说,待检测文件标识被用于唯一地表示待检测文件。
在确认待检测文件标识之后,便能够由系统日志中提取该待检测文件标识对应的行为日志。
为了提高后续行为向量的生成效率,还可以根据行为标识和行为触发时间对提取的行为日志进一步地过滤。换而言之,待检测文件的行为日志由行为标识和行为触发时间构成。
进一步地,在一示例性实施例中,步骤330可以包括以下步骤:
对行为日志中用于表示行为的行为标识进行转化,得到待检测文件的行为向量。
如前所述,行为日志是若干个由一个字符或者多个字符组合的行为标识构成的,该行为标识用于表示行为。相应地,行为向量是以行为日志所包含的行为标识为基础数据,转化得到的一串数字集合。
例如,将行为日志中的行为标识相互拼接成待检测文件的特征向量。又或者,对行为日志中的行为标识进行累加运算,得到待检测文件的特征向量。
在上述实施例的作用下,实现了对待检测文件行为的准确描述,为后续进行待检测文件的病毒检测提供了数据依据,充分地保障了病毒检测准确率。
请参阅图6,在一示例性实施例中,步骤对所述行为日志中用于表示所述行为的行为标识进行转化,得到所述待检测文件的行为向量,可以包括以下步骤:
步骤3331,根据行为日志中的行为触发时间进行行为标识排序。
步骤3333,将排序后的行为标识顺序拼接为待检测文件的行为向量。
如前所述,行为日志是由行为标识和行为触发时间构成的。
举例来说,行为标识排序后,行为日志包括:行为标识3,行为触发时间T1;行为标识2,行为触发时间T2;行为标识2,行为触发时间T3;行为标识7,行为触发时间T4;行为标识13,行为触发时间T5。
在此说明下,行为标识相同表示的是待检测文件在不同时刻被触发执行了相同的行为。
基于此,将行为标识顺序拼接后,待检测文件的行为向量为:[3,2,2,7,13]。
在上述过程中,实现了对待检测文件的行为的数字转化,有利于准确地表征待检测文件的行为,进而有利于后续提高病毒检测准确率。
在一示例性实施例中,步骤310之后,如上所述的方法还可以包括以下步骤:
对待检测文件的行为向量进行向量化处理,使得待检测文件的局部特征提取是根据向量化处理后的行为向量进行的。
向量化处理,是针对行为向量中的每一个行为标识而言,即将每一个行为标识扩展为n维列(行)向量,进而使得行为向量由m维行(列)向量扩展为m×n维矩阵。
由此,经过向量化处理后的行为向量,不仅反映了待检测文件行为在时序上的时序关系,还反映了待检测文件行为在空间上的位置关系,进而实现了对待检测文件行为更加准确地描述。
例如,以one-hot向量化处理方式加以说明,假设行为向量为[3,2,2,7],则向量化处理后的行为向量表示如公式(1)所示:
当然,根据不同应用场景的实际需求,向量化处理还可以采用其他处理方式,在此不进行限定。
请参阅图7,在一示例性实施例中,如上所述的方法还可以包括以下步骤:
步骤510,获取训练样本的行为向量和病毒标签。
病毒检测模型,是用于对待检测文件进行病毒预测的,而训练样本则是病毒检测模型的训练基础。通过获取大量的训练样本才能够得到准确的病毒检测模型,进而实现准确地病毒预测。
训练样本的获取中,训练样本可以来源于终端对疑似病毒的主动上报,还可以来自于服务端对疑似病毒的拦截,在此不进行限定。
本实施例中,训练样本被配置了病毒标签,以此指示训练样本是否为病毒。例如,病毒标签为1,表示训练样本为病毒。
进一步地,训练样本不仅可以是病毒,还可以是非病毒,且通过不同的病毒标签进行标识。例如,病毒标签为0,表示训练样本为非病毒。
将病毒、非病毒的训练样本作为病毒检测模型的训练基础,确保训练得到的病毒检测模型不仅具备预测未知病毒的能力,还同时能够排除非病毒对病毒检测的干扰,进而充分地保障了病毒检测准确率。
步骤530,将训练样本的行为向量和病毒标签输入第一级神经网络,得到训练样本的局部特征向量。
其中,第一级神经网络,由多层卷积神经网络构成,用于根据训练样本的行为向量和病毒标签进行训练样本的局部特征提取。
也就是说,第一级神经网络,基于大量训练样本所提取到的局部特征向量,对训练样本的相邻行为实现准确地描述,以便于后续经过训练实现对训练样本的整体行为的准确描述。
当然,根据不同应用场景的实际需求,可以采用其他模型结构构建第一级神经网络,并且模型结构的层数也可以灵活地设定,本实施例并非对此加以限定。
步骤550,根据训练样本的局部特征向量引导第二级神经网络进行训练,学习得到训练样本的全局特征向量。
其中,第二级神经网络,由多层长短期记忆神经网络构成,用于根据提取得到的局部特征向量进行训练。
训练,是指根据局部特征向量对第二级神经网络所涉及的参数进行优化,以学习得到训练样本的全局特征向量,进而输入至分类器,实现病毒检测模型的生成。
当然,根据不同应用场景的实际需求,可以采用其他模型结构构建第二级神经网络,并且模型结构的层数也可以灵活地调整,在此并未对此进行限定。
步骤570,将训练样本的全局特征向量输入分类器,得到病毒检测模型,以调用病毒检测模型对待检测文件进行病毒检测。
以分类器为softmax分类激活函数对病毒检测模型的模型训练过程进行说明。
具体而言,首先对第二级神经网络所涉及的参数执行随机初始化,得到训练样本的全局特征向量。
根据训练样本的全局特征向量计算softmax分类激活函数的损失,如果softmax分类激活函数的损失未达到最小,则对随机初始化的参数进行更新,并基于更新后的参数得到训练样本的全局特征向量。
再次根据训练样本的全局特征向量计算softmax分类激活函数的损失,直至softmax分类激活函数的损失最小或者迭代次数达到目标值。
此时,完成第二级神经网络所涉及参数的学习,亦即完成训练样本的全局特征向量的学习,进而将学习得到的训练样本的全局特征向量输入分类器,得到病毒检测模型。
进一步地,病毒检测模型以文件形式存储于服务端,以便于服务端为终端上传的疑似病毒提供病毒检测服务,或者由服务端下发至终端为待检测文件执行病毒检测。
通过上述实施例的配合,实现了病毒检测模型的自动化生成,不仅避免特征码人工提取而导致的效率低下的问题,而且既能学习到用于描述相邻行为的局部特征,又能学习到用于描述整体行为的全局特征,有效地保障了病毒检测的泛化能力,进一步有利于提高病毒检测准确率。
此外,病毒检测模型基于训练样本的动态执行,避免依赖于特征码的静态检测,有效地提高了病毒检测模型对病毒的抗加固、抗混淆加密能力,并且不受限病毒行为特征维度。
在一具体应用场景中,只要获得待检测文件的行为向量,便能够输入至病毒检测模型进行病毒预测,进而得到待检测文件所属不同类别病毒标签的概率,并由概率高的病毒标签来判定待检测文件是否为病毒,避免因无法命中病毒库中的特征码而导致无法判断待检测文件是否为病毒的问题,不仅提高了病毒检测的成功率,还有效地提升了病毒检测能力。
请参阅图8,在一示例性实施例中,步骤510可以包括以下步骤:
步骤511,获取配置有样本标签的训练样本。
步骤513,在计算机模拟器中运行训练样本,得到训练样本的行为日志。
步骤515,将训练样本的行为日志中行为标识转化为训练样本的行为向量。
无论是待检测文件的行为向量,还是训练样本的行为向量,都是以样本在对应运行环境中生成的行为日志为基础转化得到的,因此,对训练样本的行为日志的转化过程实质与上述实施例所描述的对待检测文件的行为日志的转化过程一致,区别仅在于一个是针对待检测文件进行,一个是针对训练样本进行,故在此不再重复赘述。
图9是一应用场景中一种病毒检测方法的具体实现示意图。该应用场景中,病毒检测模型作为服务端的安卓病毒检测引擎,对于待检测文件能够有效地进行病毒预测。其中,待检测文件为能够独立运行于安卓操作系统的安卓应用程序。
在本应用场景中,包括两个分支:模型训练分支和病毒检测分支。
模型训练分支:
输入对象701为若干训练样本所构成的训练集,即一批病毒标签指示为病毒的病毒样本和病毒标签指示为安全的安全样本,进而通过执行步骤702~步骤704,实现病毒检测模型的生成。
具体地,如图10所示,将训练集801中的训练样本输入至计算机模拟器运行,即执行步骤802,以此获得训练样本的行为日志,并将训练样本的行为日志转化为训练样本的行为向量,即执行步骤803。
例如,病毒标签为0的训练样本在计算机模拟器运行一段时间后,对应的行为日志如下:
行为标识4,行为触发时间:10:00;
行为标识8,行为触发时间:10:10;
行为标识5,行为触发时间:10:20;
行为标识2,行为触发时间:10:30;
……。
由此,经过转换后,该病毒标签为0的训练样本的行为向量为[4,8,5,2,…]。
病毒标签为1的训练样本在计算机模拟器运行一段时间后,对应的行为日志如下:
行为标识5,行为触发时间:10:00;
行为标识6,行为触发时间:10:20;
行为标识5,行为触发时间:10:30;
行为标识2,行为触发时间:10:10;
……。
由此,经过转化后,该病毒标签为1的训练样本的行为向量为[5,2,6,5,…]。
进一步地,通过执行步骤804,获取上述训练样本的病毒标签,以在模型训练之前,将训练样本的病毒标签和行为向量组合为下述指定格式的向量:
向量=病毒标签(安全记为0、病毒记为1):特征向量。
由此,便得到训练样本的向量表示:0:[4,8,5,2,…]和1:[5,2,6,5,…]。
在完成训练样本的向量表示之后,通过执行步骤805的模型训练,便得到病毒检测模型,进而存储为进行病毒检测的模型文件806。
病毒检测分支:
回请参阅图9,输入对象705为若干待检测文件构成的检测集,进而通过执行步骤706~步骤707,实现待检测文件的病毒标签预测。
如图11所示,通过执行步骤807~步骤808,将得到待检测文件的行为向量,进而通过模型文件806的加载,对待检测文件的行为向量进行病毒预测,得到待检测文件的病毒标签,以此确定待检测文件是否为病毒,即执行步骤809~步骤810。
具体地,如图12所示,由待检测文件的行为日志获得行为向量601,对行为向量601进行向量化处理,以基于向量化处理后的行为向量602执行后续的病毒预测。
将行为向量602输入多层卷积神经网络603进行局部特征提取,得到待检测文件的局部特征向量。
将局部特征向量输入多层长短期记忆神经网络604进行训练,学习得到待检测文件的全局特征向量,进而输入至分类器605进行病毒预测,以此得到待检测文件属于不同类别病毒标签的概率P,即606,进而由概率高的病毒标签判定待检测文件是否为病毒。
回请参阅图9,在预测得到待检测文件的病毒标签之后,如果概率高的病毒标签为1,则判定待检测文件为病毒,否则,判定待检测文件为非病毒,即执行步骤708~步骤710。
例如,待检测文件1的行为向量为[3,7,5,6,8,…]、待检测文件2的行为向量为[4,8,5,2,…]、待检测文件3的行为向量为[5,2,6,5,…]。
经过预测之后,假设待检测文件1的病毒标签预测为0或者1的概率均为50%,则不足以判定待检测文件1是否为病毒。
假设待检测文件2的行为向量[4,8,5,2,…]与模型文件806中训练样本向量表示为0:[4,8,5,2,…]的行为向量接近,则根据待检测文件2的行为向量对待检测文件2的病毒标签预测为0的概率高于预测为1的概率,以此根据概率高的病毒标签(0)判定待检测文件2为非病毒。
假设待检测文件3的行为向量[5,2,6,5,…]与模型文件806中训练样本向量表示为1:[5,2,6,5,…]的行为向量接近,则根据待检测文件3的行为向量对待检测文件3的病毒标签预测为1的概率高于预测为0的概率,以此根据概率高的病毒标签(1)判定待检测文件3为病毒。
由此,完成了对待检测文件的病毒检测过程。
本应用场景中,实现了病毒检测模型的自训练,即随着训练样本的增加,根据行为向量进行病毒标签预测的能力将随之不断地增强,而且无需人工维护,不仅有利于降低人工成本,而且有效地提高了病毒检测效率,充分地保证了病毒检测的准确性。
此外,病毒检测基于待检测文件动态执行时的行为,而不是对待检测文件中静态代码块进行特征码匹配,能够有效地抗加固、抗混淆加密。
下述为本发明装置实施例,可以用于执行本发明所涉及的病毒检测方法。对于本发明装置实施例中未披露的细节,请参照本发明所涉及的病毒检测方法的方法实施例。
请参阅图13,在一示例性实施例中,一种病毒检测装置900包括但不限于:行为日志获取模块910、行为向量获取模块930、局部向量获取模块950、全局向量获取模块970和病毒预测模块990。
其中,行为日志获取模块910用于获取待检测文件的行为日志,行为日志表征待检测文件在运行环境中运行时被触发执行的行为。
行为向量获取模块930用于从待检测文件的行为日志中获取行为向量。
局部向量获取模块950用于根据待检测文件的行为向量提取得到待检测文件的局部特征向量。
全局向量获取模块970用于根据待检测文件的局部特征向量构建用于描述待检测文件整体行为的全局特征向量。
病毒预测模块990用于根据待检测文件的全局特征向量进行病毒预测,得到待检测文件的病毒标签。
请参阅图14,在一示例性实施例中,运行环境由计算机模拟器提供,如上所述的装置900还包括但不限于:行为模拟模块1010和日志生成模块1030。
其中,行为模拟模块1010用于在启动的计算机模拟器中输入待检测文件,通过待检测文件的输入进行待检测文件的模拟运行。
日志生成模块1030用于在待检测文件被模拟运行过程中,根据待检测文件被模拟触发执行的行为生成待检测文件的行为日志,并存储至系统日志。
相应地,行为日志获取模块910包括但不限于:日志提取单元。
其中,日志提取单元用于从所述系统日志中提取得到所述待检测文件的行为日志。进一步地,在一示例性实施例中,行为向量获取模块930包括但不限于:第一标识转化单元。
其中,第一标识转化单元用于对行为日志中用于表示行为的行为标识进行转化,得到待检测文件的行为向量。
请参阅图15,在一示例性实施例中,第一标识转化单元931包括但不限于:标识排序子单元9311和标识拼接子单元9313。
其中,标识排序子单元9311用于根据行为日志中的行为触发时间进行行为标识排序。
标识拼接子单元9313用于将排序后的行为标识顺序拼接为待检测文件的行为向量。
在一示例性实施例中,如上所述的装置900还包括但不限于:向量化处理模块。
其中,向量化处理模块用于对待检测文件的行为向量进行向量化处理,使得待检测文件的局部特征提取是根据向量化处理后的行为向量进行的。
请参阅图16,在一示例性实施例中,如上所述的装置900还包括但不限于:第二行为向量获取模块1110、局部特征提取模块1130、引导训练模块1150和模型生成模块1170。
其中,第二行为向量获取模块1110用于获取训练样本的行为向量和病毒标签,病毒标签用于指示训练样本是否为病毒。
局部特征提取模块1130用于将训练样本的行为向量和病毒标签输入第一级神经网络,得到训练样本的局部特征向量。
引导训练模块1150用于根据训练样本的局部特征向量引导第二级神经网络进行训练,学习得到训练样本的全局特征向量。
模型生成模块1170用于将训练样本的全局特征向量输入分类器,得到病毒检测模型,以调用病毒检测模型对待检测文件进行病毒检测。
请参阅图17,在一示例性实施例中,第二行为向量获取模块1110包括但不限于:样本获取单元1111、样本运行单元1113和第二标识转化单元1115。
其中,样本获取单元1111用于获取配置有病毒标签的训练样本。
样本运行单元1113用于在计算机模拟器中运行训练样本,得到训练样本的行为日志。
第二标识转化单元1115用于将训练样本的行为日志中行为标识转化为训练样本的行为向量。
需要说明的是,上述实施例所提供的病毒检测装置在进行病毒检测处理时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即病毒检测装置的内部结构将划分为不同的功能模块,以完成以上描述的全部或者部分功能。
另外,上述实施例所提供的病毒检测装置与病毒检测方法的实施例属于同一构思,其中各个模块执行操作的具体方式已经在方法实施例中进行了详细描述,此处不再赘述。
在一示例性实施例中,一种病毒检测装置,包括处理器及存储器。
其中,存储器上存储有计算机可读指令,该计算机可读指令被处理器执行时实现上述各实施例中的病毒检测方法。
在一示例性实施例中,一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各实施例中的病毒检测方法。
上述内容,仅为本发明的较佳示例性实施例,并非用于限制本发明的实施方案,本领域普通技术人员根据本发明的主要构思和精神,可以十分方便地进行相应的变通或修改,故本发明的保护范围应以权利要求书所要求的保护范围为准。
Claims (15)
1.一种病毒检测方法,其特征在于,包括:
获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;
从所述待检测文件的行为日志中获取行为向量;
根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量;
根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量;
根据所述待检测文件的全局特征向量进行病毒预测,得到所述待检测文件的病毒标签。
2.如权利要求1所述的方法,其特征在于,所述运行环境由计算机模拟器提供,所述获取待检测文件的行为日志之前,所述方法还包括:
在启动的计算机模拟器中输入所述待检测文件,通过所述待检测文件的输入进行所述待检测文件的模拟运行;
在所述待检测文件被模拟运行过程中,根据所述待检测文件被模拟触发执行的行为生成所述待检测文件的行为日志,并存储至所述系统日志;
所述获取待检测文件的行为日志,包括:
从所述系统日志中提取得到所述待检测文件的行为日志。
3.如权利要求1所述的方法,其特征在于,所述从所述待检测文件的行为日志中获取行为向量,包括:
对所述行为日志中用于表示所述行为的行为标识进行转化,得到所述待检测文件的行为向量。
4.如权利要求3所述的方法,其特征在于,所述对所述行为日志中用于表示所述行为的行为标识进行转化,得到所述待检测文件的行为向量,包括:
根据所述行为日志中的行为触发时间进行行为标识排序;
将排序后的行为标识顺序拼接为所述待检测文件的行为向量。
5.如权利要求1所述的方法,其特征在于,所述从所述待检测文件的行为日志中获取行为向量之后,所述方法还包括:
对所述待检测文件的行为向量进行向量化处理,使得所述待检测文件的局部特征提取是根据向量化处理后的行为向量进行的。
6.如权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:
获取训练样本的行为向量和病毒标签,所述病毒标签用于指示所述训练样本是否为病毒;
将所述训练样本的行为向量和病毒标签输入第一级神经网络,得到所述训练样本的局部特征向量;
根据所述训练样本的局部特征向量引导第二级神经网络进行训练,学习得到所述训练样本的全局特征向量;
将所述训练样本的全局特征向量输入分类器,得到病毒检测模型,以调用所述病毒检测模型对所述待检测文件进行病毒检测。
7.如权利要求6所述的方法,其特征在于,所述获取训练样本的行为向量和病毒标签,包括:
获取配置有样本标签的所述训练样本;
在计算机模拟器中运行所述训练样本,得到所述训练样本的行为日志;
将所述训练样本的行为日志中行为标识转化为所述训练样本的行为向量。
8.一种病毒检测装置,其特征在于,包括:
行为日志获取模块,用于获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;
行为向量获取模块,用于从所述待检测文件的行为日志中获取行为向量;
局部向量获取模块,用于根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量;
全局向量获取模块,用于根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量;
病毒预测模块,用于根据所述待检测文件的全局特征向量进行病毒预测,得到所述待检测文件的病毒标签。
9.如权利要求8所述的装置,其特征在于,所述运行环境由计算机模拟器提供,所述装置还包括:
行为模拟模块,用于在启动的计算机模拟器中输入所述待检测文件,通过所述待检测文件的输入进行所述待检测文件的模拟运行;
日志生成模块,用于在所述待检测文件被模拟运行过程中,根据所述待检测文件被模拟触发执行的行为生成所述待检测文件的行为日志,并存储至所述系统日志;
所述行为日志获取模块包括:
日志提取单元,用于从所述系统日志中提取得到所述待检测文件的行为日志。
10.如权利要求8所述的装置,其特征在于,所述行为向量获取模块包括:
第一标识转化单元,用于对所述行为日志中用于表示所述行为的行为标识进行转化,得到所述待检测文件的行为向量。
11.如权利要求10所述的装置,其特征在于,所述第一标识转化单元包括:
标识排序子单元,用于根据所述行为日志中的行为触发时间进行行为标识排序;
标识拼接子单元,用于将排序后的行为标识顺序拼接为所述待检测文件的行为向量。
12.如权利要求8所述的装置,其特征在于,所述装置还包括:
向量化处理模块,用于对所述待检测文件的行为向量进行向量化处理,使得所述待检测文件的局部特征提取是根据向量化处理后的行为向量进行的。
13.如权利要求8至12任一项所述的装置,其特征在于,所述装置还包括:
第二行为向量获取模块,用于获取训练样本的行为向量和病毒标签,所述病毒标签用于指示所述训练样本是否为病毒;
局部特征提取模块,用于将所述训练样本的行为向量和病毒标签输入第一级神经网络,得到所述训练样本的局部特征向量;
引导训练模块,用于根据所述训练样本的局部特征向量引导第二级神经网络进行训练,学习得到所述训练样本的全局特征向量;
模型生成模块,用于将所述训练样本的全局特征向量输入分类器,得到病毒检测模型,以调用所述病毒检测模型对所述待检测文件进行病毒检测。
14.如权利要求13所述的装置,其特征在于,所述第二行为向量获取模块包括:
样本获取单元,用于获取配置有样本标签的所述训练样本;
样本运行单元,用于在计算机模拟器中运行所述训练样本,得到所述训练样本的行为日志;
第二标识转化单元,用于将所述训练样本的行为日志中行为标识转化为所述训练样本的行为向量。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的病毒检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810329073.3A CN108563951B (zh) | 2018-04-13 | 2018-04-13 | 病毒检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810329073.3A CN108563951B (zh) | 2018-04-13 | 2018-04-13 | 病毒检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108563951A true CN108563951A (zh) | 2018-09-21 |
| CN108563951B CN108563951B (zh) | 2023-03-24 |
Family
ID=63534890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810329073.3A Active CN108563951B (zh) | 2018-04-13 | 2018-04-13 | 病毒检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108563951B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109344911A (zh) * | 2018-10-31 | 2019-02-15 | 北京国信云服科技有限公司 | 一种基于多层lstm模型的并行处理分类方法 |
| CN110414228A (zh) * | 2018-12-20 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 计算机病毒的检测方法、装置、存储介质和计算机设备 |
| CN111091175A (zh) * | 2018-10-23 | 2020-05-01 | 北京嘀嘀无限科技发展有限公司 | 神经网络模型训练方法、分类方法、装置和电子设备 |
| CN111191239A (zh) * | 2019-12-30 | 2020-05-22 | 北京邮电大学 | 一种用于应用程序的进程检测方法及系统 |
| CN111259385A (zh) * | 2018-11-30 | 2020-06-09 | 北京奇虎科技有限公司 | 应用程序识别方法、装置及神经网络系统 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567118A (zh) * | 2004-03-29 | 2005-01-19 | 四川大学 | 一种计算机病毒检测和识别系统及方法 |
| CN101187872A (zh) * | 2007-10-31 | 2008-05-28 | 白杰 | 基于行为的程序种类判断方法、装置和程序控制方法、装置 |
| US8401982B1 (en) * | 2010-01-14 | 2013-03-19 | Symantec Corporation | Using sequencing and timing information of behavior events in machine learning to detect malware |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| CN105160249A (zh) * | 2015-07-02 | 2015-12-16 | 哈尔滨工程大学 | 一种基于改进的神经网络集成的病毒检测方法 |
| CN105205396A (zh) * | 2015-10-15 | 2015-12-30 | 上海交通大学 | 一种基于深度学习的安卓恶意代码检测系统及其方法 |
| CN106203103A (zh) * | 2016-06-23 | 2016-12-07 | 百度在线网络技术(北京)有限公司 | 文件的病毒检测方法及装置 |
| CN106778266A (zh) * | 2016-11-24 | 2017-05-31 | 天津大学 | 一种基于机器学习的安卓恶意软件动态检测方法 |
| CN106789149A (zh) * | 2016-11-18 | 2017-05-31 | 北京工业大学 | 采用改进型自组织特征神经网络聚类算法的入侵检测方法 |
| CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN107092596A (zh) * | 2017-04-24 | 2017-08-25 | 重庆邮电大学 | 基于attention CNNs和CCR的文本情感分析方法 |
| CN107291822A (zh) * | 2017-05-24 | 2017-10-24 | 北京邮电大学 | 基于深度学习的问题分类模型训练方法、分类方法及装置 |
| CN107392024A (zh) * | 2017-08-08 | 2017-11-24 | 微梦创科网络科技(中国)有限公司 | 一种恶意程序的识别方法及装置 |
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
-
2018
- 2018-04-13 CN CN201810329073.3A patent/CN108563951B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567118A (zh) * | 2004-03-29 | 2005-01-19 | 四川大学 | 一种计算机病毒检测和识别系统及方法 |
| CN101187872A (zh) * | 2007-10-31 | 2008-05-28 | 白杰 | 基于行为的程序种类判断方法、装置和程序控制方法、装置 |
| US8401982B1 (en) * | 2010-01-14 | 2013-03-19 | Symantec Corporation | Using sequencing and timing information of behavior events in machine learning to detect malware |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| CN105160249A (zh) * | 2015-07-02 | 2015-12-16 | 哈尔滨工程大学 | 一种基于改进的神经网络集成的病毒检测方法 |
| CN105205396A (zh) * | 2015-10-15 | 2015-12-30 | 上海交通大学 | 一种基于深度学习的安卓恶意代码检测系统及其方法 |
| CN106921608A (zh) * | 2015-12-24 | 2017-07-04 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
| CN106203103A (zh) * | 2016-06-23 | 2016-12-07 | 百度在线网络技术(北京)有限公司 | 文件的病毒检测方法及装置 |
| CN106789149A (zh) * | 2016-11-18 | 2017-05-31 | 北京工业大学 | 采用改进型自组织特征神经网络聚类算法的入侵检测方法 |
| CN106778266A (zh) * | 2016-11-24 | 2017-05-31 | 天津大学 | 一种基于机器学习的安卓恶意软件动态检测方法 |
| CN107092596A (zh) * | 2017-04-24 | 2017-08-25 | 重庆邮电大学 | 基于attention CNNs和CCR的文本情感分析方法 |
| CN107291822A (zh) * | 2017-05-24 | 2017-10-24 | 北京邮电大学 | 基于深度学习的问题分类模型训练方法、分类方法及装置 |
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
| CN107392024A (zh) * | 2017-08-08 | 2017-11-24 | 微梦创科网络科技(中国)有限公司 | 一种恶意程序的识别方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| AZMANDIAN F ET AL.: "Virtual machine monitor-based lightweight intrusion", 《ACM SIGOPS OPERATING SYSTEMS REVIEW》 * |
| 杨燕: "基于行为分析和特征码的计算机病毒检测技术", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111091175A (zh) * | 2018-10-23 | 2020-05-01 | 北京嘀嘀无限科技发展有限公司 | 神经网络模型训练方法、分类方法、装置和电子设备 |
| CN109344911A (zh) * | 2018-10-31 | 2019-02-15 | 北京国信云服科技有限公司 | 一种基于多层lstm模型的并行处理分类方法 |
| CN109344911B (zh) * | 2018-10-31 | 2022-04-12 | 北京国信云服科技有限公司 | 一种基于多层lstm模型的并行处理分类方法 |
| CN111259385A (zh) * | 2018-11-30 | 2020-06-09 | 北京奇虎科技有限公司 | 应用程序识别方法、装置及神经网络系统 |
| CN111259385B (zh) * | 2018-11-30 | 2023-10-31 | 北京奇虎科技有限公司 | 应用程序识别方法、装置及神经网络系统 |
| CN110414228A (zh) * | 2018-12-20 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 计算机病毒的检测方法、装置、存储介质和计算机设备 |
| CN110414228B (zh) * | 2018-12-20 | 2023-01-03 | 腾讯科技(深圳)有限公司 | 计算机病毒的检测方法、装置、存储介质和计算机设备 |
| CN111191239A (zh) * | 2019-12-30 | 2020-05-22 | 北京邮电大学 | 一种用于应用程序的进程检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108563951B (zh) | 2023-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108563951A (zh) | 病毒检测方法及装置 | |
| CN110837550B (zh) | 基于知识图谱的问答方法、装置、电子设备及存储介质 | |
| CN109032611A (zh) | 脚本部署方法、装置、计算机设备及存储介质 | |
| CN111242317B (zh) | 管理应用的方法、装置、计算机设备和存储介质 | |
| Buinevich et al. | The life cycle of vulnerabilities in the representations of software for telecommunication devices | |
| US11048621B2 (en) | Ensuring source code integrity in a computing environment | |
| Narayanan et al. | Contextual weisfeiler-lehman graph kernel for malware detection | |
| CN109522228A (zh) | 接口自动化测试数据构造方法、装置、平台及存储介质 | |
| CN112506779A (zh) | 软件接口测试方法、装置、电子设备及存储介质 | |
| CN112069498A (zh) | 一种sql注入检测模型构建方法及检测方法 | |
| CN111159897B (zh) | 基于系统建模应用的目标优化方法和装置 | |
| CN103971054A (zh) | 一种基于行为序列的浏览器扩展漏洞的检测方法 | |
| CN112398674B (zh) | 虚拟网络功能描述vnfd配置模板的生成方法及装置 | |
| CN113032257B (zh) | 自动化测试方法、装置、计算机系统和可读存储介质 | |
| CN116868193A (zh) | 固件组件标识和漏洞评估 | |
| CN109284590A (zh) | 访问行为安全防护的方法、设备、存储介质及装置 | |
| CN110008698A (zh) | 病毒检测方法及装置 | |
| CN116861362A (zh) | 智能合约攻击检测方法及装置 | |
| CN115712566A (zh) | 一种针对接口字段的校验方法、装置、设备和存储介质 | |
| CN105447251B (zh) | 一种基于事务类型激励的验证方法 | |
| CN113032256A (zh) | 自动化测试方法、装置、计算机系统和可读存储介质 | |
| US20200159872A1 (en) | Intelligent Fail Recognition | |
| CN110362471A (zh) | 测试用例处理方法、系统、终端及存储介质 | |
| KR102553366B1 (ko) | 지능형 응용 IoT를 위한 스파이킹 신경망 기반 컴포넌트 생성시스템 | |
| Jacoub et al. | UML Modelling of Design Patterns for Wireless Sensor Networks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |