CN108694319A - 一种恶意代码家族判定方法及装置 - Google Patents
一种恶意代码家族判定方法及装置 Download PDFInfo
- Publication number
- CN108694319A CN108694319A CN201710222016.0A CN201710222016A CN108694319A CN 108694319 A CN108694319 A CN 108694319A CN 201710222016 A CN201710222016 A CN 201710222016A CN 108694319 A CN108694319 A CN 108694319A
- Authority
- CN
- China
- Prior art keywords
- feature
- malicious code
- code family
- sample
- family
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种恶意代码家族判定方法及装置,本发明基于对现有各恶意代码家族的分析,提取并合并各恶意代码家族的特征,生成恶意代码家族特征库,根据恶意代码家族特征库的结构,将提取的待测样本的各特征生成特征向量,将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。本发明将各种特征标量量化组合成为特征向量,通过特征向量来代表样本本身,不用深入到具体的代码层、方法里,大大节省了计算资源且判断准确度高;通过对特征向量的计算,精简了对样本特征的计算,大大提高处理速率。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种恶意代码家族判定方法及装置。
背景技术
移动互联网近几年的迅猛发展带来的平台安全问题与日俱增,尤以Android平台最为突出,其生态圈繁荣的表象之下,是潜藏着的以巨额利益为驱动的黑色产业链。Android整个生态愈发繁荣,Android相关的黑色产业链也愈发猖獗,Android平台上的病毒也越来越多,数量几乎成指数级增长,但是恶意代码家族的增长数量却十分缓慢。通常情况下,一个家族下面往往对应着大量的样本。
目前对于家族的定性主要是依赖于病毒分析工程师的经验,十分耗费人力,同时由于个体经验的差异性,也很容易出现恶意代码家族的识别分歧。另外,学术界目前关于家族聚类主要是基于Android行为来进行判断的,例如采用行为来进行家族聚类一方面需要对应用进行自动触发,触发存在不完整的情况,另一方面,动态触发需要耗费大量的计算资源,并且本身行为标量比较少,会导致分类不准的情形出现。
发明内容
本发明的目的在于提供一种恶意代码家族判定方法及装置,其能准确有效判断恶意代码家族,且实现简单快速、不会浪费计算资源。
一种恶意代码家族判定方法,包括以下步骤:
提取并合并各恶意代码家族的特征,生成恶意代码家族特征库;
提取待判断样本的各特征;
根据恶意代码家族特征库的结构,将提取的各特征生成该待测样本的特征向量;
将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。
进一步的,将提取的各特征生成特征向量的方法包括:构建一个长度为N的全0数组,其中N为恶意代码家族特征库中的特征数;根据恶意代码家族特征库中的所有特征遍历待判断样本中的各特征,若样本中存在相应的特征,则将数组的对应角标下的元素赋值为1,否则为0;将得到的数组转化成一个N维空间的特征向量。
进一步的,生成恶意代码家族特征库的方法还包括提取并合并各恶意代码家族的特征后,还对所提取的特征按照预定义规则进行分类;
进一步的,将提取的各特征生成特征向量的方法包括:构建一个长度为N’的全0数组,其中N’=N+b, N为恶意代码家族特征库中的特征数,b为恶意代码家族特征库中的特征类别数;根据恶意代码家族特征库中的所有特征遍历待判断样本中的各特征,若样本中存在相应的特征,则将数组的对应角标下的元素赋值为1,否则为0;根据恶意代码家族特征库中的所有特征类别对待判断样本的特征进行分类统计,并将数组的对应角标下的元素赋值为相应的特征数量;将得到的数组转化成一个N维空间的特征向量。
进一步的,提取待判断样本的各特征的方法包括:对待判断样本进行反编译解析或/和动态执行,获取预设的静态行为特征或/和动态行为特征。
进一步的,将提取的特征按如下类别中的至少一种进行分类:行为、敏感字符串、Elf文件敏感字符串、Activity、接收者、服务、权限。
进一步的,将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算的方法为余弦相似算法。
一种恶意代码家族判定装置,包括恶意代码家族特征库模块、样本特征提取模块、特征向量生成模块、判断模块;
恶意代码家族特征库模块,用于提取并合并各恶意代码家族的特征,生成恶意代码家族特征库;
样本特征提取模块,用于提取待判断样本的各特征;
特征向量生成模块,用于根据恶意代码家族特征库的结构,将提取的各特征生成该待测样本的特征向量;
判断模块,用于将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。
进一步的,恶意代码家族特征库模块,用于提取并合并各恶意代码家族的特征,并对所提取的特征按照预定义规则进行分类,生成恶意代码家族特征库。
进一步的,本判断装置还包括预处理模块,所述预处理模块包括各恶意代码家族的特征及相应的恶意代码家族特征向量,并将各特征及特征向量发送给所述恶意代码家族特征库模块。
本发明与现有技术相比的有益效果是:本发明基于对现有各恶意代码家族的分析,提取并合并各恶意代码家族的特征,生成恶意代码家族特征库,根据恶意代码家族特征库的结构,将提取的待测样本的各特征生成特征向量,将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。本发明将各种特征标量量化组合成为特征向量,通过特征向量来代表样本本身,不用深入到具体的代码层、方法里,大大节省了计算资源且判断准确度高;通过对特征向量的计算,精简了对样本特征的计算,大大提高处理速率。
附图说明
图1为本发明一种恶意代码家族判定方法的流程图。
图2 为将提取的各特征生成特征向量的方法的流程图。
图3为本发明一种恶意代码家族判定装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
本发明中的步骤虽然用标号进行了排列,但并不用于限定步骤的先后次序,除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础,否则步骤的相对次序是可以调整的。
在一些实施例中,如图1所示,恶意代码家族判定方法包括以下步骤:
S01,提取并合并各恶意代码家族的特征,生成恶意代码家族特征库。
恶意代码想要完成其恶意行为,在代码编写、行为等方面有明显的表象特征;而同一家族(即行为模式相同或开发者相同)的恶意代码,在其动态行为、静态代码等表象特征上必然具有高度相似性,因此本发名将现有各恶意代码家族的特征进行合并,并对合并后的所有特征进行分类,有利于了解恶意代码的共性,为后文判断未知样本提供依据。
恶意代码家族的特征一般包括动态特征和静态特征,表1和表2分别示出该恶意代码家族特征库中的动态特征和静态特征情况。
表1
| 序号 | 内容 | 描述 |
| 1 | DeviceAdmin_Add | 添加设备管理器 |
| 2 | File_Delete | 文件删除 |
| 3 | Database_Delete | 数据库删除 |
| 4 | Auto_Boot | 开机自启动 |
| 5 | Silent_Install | 静默安装 |
| 6 | Silent_Uninstall | 静默卸载 |
| 7 | Root_Acces | 获取管理员权限 |
| 8 | Location_Get | 地理位置获取 |
| 9 | System_KillProcess | 杀死进程 |
| 10 | Package_GetRunningTasks | 获取正在运行的应用 |
| 11 | System_ReceiverRegister | 注册接收者 |
| 12 | SMS_Send | 短信发送 |
| 13 | SMS_Listen | 短信监听 |
| 14 | Phone_GetIMEI | 获取IMEI号码 |
表2
| 序号 | 内容 | 描述 |
| 1 | RECEIVE_SMS | 接收短信 |
| 2 | READ_CALL_LOG | 读取通话记录 |
| 3 | WRITE_CALL_LOG | 修改通话记录 |
| 4 | BIND_DEVICE_ADMIN | 绑定设备管理器 |
| 5 | CAMERA | 使用相机 |
| 6 | REBOOT | 重启设备 |
S02,提取待判断样本的各特征。
提取待判断样本的各特征的方法包括:对待判断样本进行反编译解析或/和动态执行,获取预设的静态行为特征或/和动态行为特征。
S03,根据恶意代码家族特征库的结构,将提取的各特征生成该待测样本的特征向量。
如图2所示,将提取的各特征生成特征向量的方法包括:
S031,构建一个长度为N的全0数组[0,0,0,0,...0,0,0],其中N为恶意代码家族特征库中的特征数。
根据表1-2可知,在本实施例中,该全0数组的长度为14+6=20。
S032,根据恶意代码家族特征库中的特征遍历待判断样本中的各特征,若样本中存在相应的特征,则将数组的对应角标下的元素赋值为1,否则为0。
根据表1、2的特征项依次遍历检查该样本是否具有这些特征,依次对这组全0的数组中的每一个元素进行赋值,例如待判断样本包含DeviceAdmin_Add这个行为,则数组的第一个元素被赋值为1;不包含File_Delete,则数组的第二个元素被赋值为0;包含Database_Delete,则数组的第三个元素被赋值为1,后面的依此类推,可以得到数组[1,0,1,0,...0,0,0]。
S033,将得到的数组转化成一个N维空间的特征向量[1,0,1,0,...0,0,0]。
上述行为特征是对大量恶意家族的样本进行分析后得到的,能很好的代表样本本身,具有准确率高的特点。通过上述行为特征转化为一个N维空间的特征向量,在进行相似度计算时非常方便。
S04,将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。
计算相似度的方法可以采用余弦相似算法等。
本发明基于对现有各恶意代码家族的分析,提取并合并各恶意代码家族的特征,生成恶意代码家族特征库,根据恶意代码家族特征库的结构,将提取的待测样本的各特征生成特征向量,将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。本发明将各种特征标量量化组合成为特征向量,通过特征向量来代表样本本身,不用深入到具体的代码层、方法里,大大节省了计算资源且判断准确度高;通过对特征向量的计算,精简了对样本特征的计算,大大提高处理速率。
在另一些实施例中,本发明还公开了一种恶意代码家族判定装置,如图3所示,本装置恶意代码家族特征库模块10、样本特征提取模块20、特征向量生成模块30、判断模块40,其中:
恶意代码家族特征库模块10,用于提取并合并各恶意代码家族的特征,生成恶意代码家族特征库。
优选的,该恶意代码家族特征库模块10包括动态特征子库11、静态特征子库12。
样本特征提取模块20,用于提取待判断样本的各特征。
提取待判断样本的各特征的方法包括:对待判断样本进行反编译解析或/和动态执行,获取预设的静态行为特征或/和动态行为特征。
特征向量生成模块30,用于根据恶意代码家族特征库的结构,将提取的各特征生成该待测样本的特征向量。
生成特征向量的方法参见步骤S03。
判断模块40,用于将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。
可以理解的,本判断装置还包括预处理模块50,所述预处理模块50包括各恶意代码家族的特征及相应的恶意代码家族特征向量。该恶意代码家族特征库模块10提取并合并来自预处理模块50的各恶意代码家族的特征。
各恶意代码家族特征向量的生成方法可以参见步骤S03。
为了提高判断的准确度,在另一些实施例中,恶意代码家族判定方法,包括以下步骤:
S’01,提取并合并各恶意代码家族的特征,并对所提取的特征按照预定义规则进行分类,生成恶意代码家族特征库。
通过对现有各恶意代码家族特征的分析,发现恶意代码家族的特征具有一些共同类别,因此,若待判断样本的特征还满足现有恶意代码家族的特征分类情况,则可进一步提高恶意样本判断的准确度。
在本实施例中,恶意代码家族特征库优选同时包含动态特征子库(如表3所示)、静态特征子库(如表4所示)和特征类别子库(如表5所示)。
表3
| 序号 | 内容 | 描述 |
| 1 | DeviceAdmin_Add | 添加设备管理器 |
| 2 | File_Delete | 文件删除 |
| 3 | Database_Delete | 数据库删除 |
| 4 | Auto_Boot | 开机自启动 |
| 5 | Silent_Install | 静默安装 |
| 6 | Silent_Uninstall | 静默卸载 |
| 7 | Root_Acces | 获取管理员权限 |
| 8 | Location_Get | 地理位置获取 |
| 9 | System_KillProcess | 杀死进程 |
| 10 | Package_GetRunningTasks | 获取正在运行的应用 |
| 11 | System_ReceiverRegister | 注册接收者 |
| 12 | SMS_Send | 短信发送 |
| 13 | SMS_Listen | 短信监听 |
| 14 | Phone_GetIMEI | 获取IMEI号码 |
| 15 | System_Alet_Window | 装置弹窗 |
| 16 | System_DexLoad | 加载Dex文件 |
| 17 | SMS_Scan | 短信读取 |
| 18 | WipeData | 格式化数据 |
| 19 | SMS_Delete | 短信删除 |
| 20 | Package_Add | 安装应用 |
| 21 | Package_GetInstalledInfo | 获取已安装程序信息 |
| 22 | NoLauncher | 无启动图标 |
| 23 | HideIcon | 隐藏图标 |
| 24 | BrowserHistory_Get | 浏览器历史记录获取 |
| 25 | Camera_TakePicture | 拍摄照片 |
| 26 | System_ReflectInvoke | 反射调用 |
表4
| 序号 | 内容 | 描述 |
| 1 | RECEIVE_SMS | 接收短信 |
| 2 | READ_CALL_LOG | 读取通话记录 |
| 3 | WRITE_CALL_LOG | 修改通话记录 |
| 4 | BIND_DEVICE_ADMIN | 绑定设备管理器 |
| 5 | CAMERA | 使用相机 |
| 6 | REBOOT | 重启设备 |
| 7 | MODIFY_AUDIO_SETTINGS | 修改全局音频设置 |
| 8 | MOUNT_FORMAT_FILESYSTEMS | 格式化可移动文件装置 |
| 9 | WRITE_HISTORY_BOOKMARKS | 修改书签 |
| 10 | READ_HISTORY_BOOKMARKS | 读取书签 |
| 11 | SYSTEM_ALERT_WINDOW | 装置弹窗 |
表5
| 序号 | 内容 | 描述 |
| 1 | avl_behavior | 行为 |
| 2 | avl_sensitives | 敏感字符串 |
| 3 | avl_sensitives_elf | Elf文件敏感字符串 |
| 4 | activities | Activity |
| 5 | receivers | 接收者 |
| 6 | services | 服务 |
| 7 | permissions | 权限 |
S’02,提取待判断样本的各特征。
提取待判断样本的各特征的方法包括:对待判断样本进行反编译解析或/和动态执行,获取预设的静态行为特征或/和动态行为特征。
S’03,根据恶意代码家族特征库的结构,将提取的各特征生成该待测样本的特征向量。
将提取的各特征生成特征向量的方法包括:
S’031,构建一个长度为N’的全0数组[0,0,0,0,...0,0,0],其中N’=N+b,N为恶意代码家族特征库中的特征数, b为特征类别数。
可以理解的,N=N1+N2,N1、N2可以分别为表1和表2中特征的数量。根据表1-表3可知,在本实施例中,该全0数组的长度为26+11+7=44。
S’032,根据恶意代码家族特征库中的特征遍历待判断样本中的各特征,若样本中存在相应的特征,则将数组的对应角标下的元素赋值为1,否则为0。
根据表3、表4的特征项依次遍历检查该样本是否具有这些特征,依次对这组全0的数组中的每一个元素进行赋值,例如待判断样本包含DeviceAdmin_Add这个行为,则数组的第一个元素被赋值为1;不包含File_Delete,则数组的第二个元素被赋值为0;包含Database_Delete,则数组的第三个元素被赋值为1,后面的依此类推,可以得到数组[1,0,1,0,...0,0,0]。
S’033,根据恶意代码家族特征库中的特征类别对待判断样本的特征进行分类统计,并将数组的对应角标下的元素赋值为相应的特征数量。
根据表5的类别,若待判断样本触发了19个行为,50个敏感字符串,25个Elf文件敏感字符串,5个Activity,4个receiver,3个service以及声明了7个权限,则得到的数组为[1,0,1,0...19,50,25,5,4,3,7]。
当然,S’022和S’023的顺序可以改变。
S’034,将得到的数组转化成一个N维空间的特征向量[1,0,1,0...19,50,25,5,4,3,7]。
S’04,将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。
可以理解的,各恶意代码家族特征向量也可以按照S’02的方法生成。
计算相似度的方法可以采用余弦相似算法等。
当待测样本可能与多个恶意代码家族均具有较高相似度时,还可以结合其余判断手段进一步判断待测样本。
本发明基于对现有各恶意代码家族的分析,提取并合并各恶意代码家族的特征,并对所提取的特征按照预定义规则进行分类,生成恶意代码家族特征库,根据恶意代码家族特征库的结构,将提取的待测样本的各特征生成特征向量,将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。本发明将各种特征标量量化组合成为特征向量,通过特征向量来代表样本本身,不用深入到具体的代码层、方法里,大大节省了计算资源且判断准确度高;通过对特征向量的计算,精简了对样本特征的计算,大大提高处理速率。
在另一些实施例中,本发明还公开了一种恶意代码家族判定装置,本装置恶意代码家族特征库模块10’、样本特征提取模块20’、特征向量生成模块30’、判断模块40’,其中:
恶意代码家族特征库模块10’,用于提取并合并各恶意代码家族的特征,并对所提取的特征按照预定义规则进行分类,生成恶意代码家族特征库。
优选的,该恶意代码家族特征库模块10’包括动态特征子库11’、静态特征子库12’和特征分类子库13’,参见表3-表5所示。
样本特征提取模块20’,用于提取待判断样本的各特征。
提取待判断样本的各特征的方法包括:对待判断样本进行反编译解析或/和动态执行,获取预设的静态行为特征或/和动态行为特征。
特征向量生成模块30’,用于根据恶意代码家族特征库的结构,将提取的各特征生成该待测样本的特征向量。
生成特征向量的方法参见步骤S’03。
判断模块40’,用于将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。
可以理解的,本判断装置还包括预处理模块50’,所述预处理模块50’包括各恶意代码家族的特征及相应的恶意代码家族特征向量。该恶意代码家族特征库模块10’提取并合并来自预处理模块50’的各恶意代码家族的特征。
各恶意代码家族特征向量的生成方法可以参见步骤S’03。
上述说明示出并描述了本发明的若干实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种恶意代码家族判定方法,其特征在于,包括以下步骤:
提取并合并各恶意代码家族的特征,生成恶意代码家族特征库;
提取待判断样本的各特征;
根据恶意代码家族特征库的结构,将提取的各特征生成该待测样本的特征向量;
将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。
2.如权利要求1所示的判定方法,其特征在于,将提取的各特征生成特征向量的方法包括:构建一个长度为N的全0数组,其中N为恶意代码家族特征库中的特征数;根据恶意代码家族特征库中的所有特征遍历待判断样本中的各特征,若样本中存在相应的特征,则将数组的对应角标下的元素赋值为1,否则为0;将得到的数组转化成一个N维空间的特征向量。
3.如权利要求1所示的判定方法,其特征在于,生成恶意代码家族特征库的方法还包括提取并合并各恶意代码家族的特征后,还对所提取的特征按照预定义规则进行分类。
4.如权利要求3所示的判定方法,其特征在于,将提取的各特征生成特征向量的方法包括:构建一个长度为N’的全0数组,其中N’=N+b,N为恶意代码家族特征库中的特征数,b为恶意代码家族特征库中的特征类别数;根据恶意代码家族特征库中的所有特征遍历待判断样本中的各特征,若样本中存在相应的特征,则将数组的对应角标下的元素赋值为1,否则为0;根据恶意代码家族特征库中的所有特征类别对待判断样本的特征进行分类统计,并将数组的对应角标下的元素赋值为相应的特征数量;将得到的数组转化成一个N维空间的特征向量。
5.一种恶意代码家族判定装置,包括恶意代码家族特征库模块、样本特征提取模块、特征向量生成模块、判断模块;
恶意代码家族特征库模块,用于提取并合并各恶意代码家族的特征,生成恶意代码家族特征库;
样本特征提取模块,用于提取待判断样本的各特征;
特征向量生成模块,用于根据恶意代码家族特征库的结构,将提取的各特征生成该待测样本的特征向量;
判断模块,用于将该待测样本的特征向量与预设的各恶意代码家族特征向量进行相似度计算,当相似度满足预设值时判断该待测样本属于相应的恶意代码家族。
6.如权利要求5所示的判定装置,其特征在于,将提取的各特征生成特征向量的方法包括:构建一个长度为N的全0数组,其中N为恶意代码家族特征库中的特征数;根据恶意代码家族特征库中的所有特征遍历待判断样本中的各特征,若样本中存在相应的特征,则将数组的对应角标下的元素赋值为1,否则为0;将得到的数组转化成一个N维空间的特征向量。
7.如权利要求5所示的判定装置,其特征在于,所述恶意代码家族特征库模块,用于提取并合并各恶意代码家族的特征,并对所提取的特征按照预定义规则进行分类。
8.如权利要求7所示的判定装置,其特征在于,将提取的各特征生成特征向量的方法包括:构建一个长度为N’的全0数组,其中N’=N+b,N为恶意代码家族特征库中的特征数,b为恶意代码家族特征库中的特征类别数;根据恶意代码家族特征库中的所有特征遍历待判断样本中的各特征,若样本中存在相应的特征,则将数组的对应角标下的元素赋值为1,否则为0;根据恶意代码家族特征库中的所有特征类别对待判断样本的特征进行分类统计,并将数组的对应角标下的元素赋值为相应的特征数量;将得到的数组转化成一个N维空间的特征向量。
9.如权利要求1所示的判定方法或如权利要求5所示的判断装置,其特征在于,提取待判断样本的各特征的方法包括:对待判断样本进行反编译解析或/和动态执行,获取预设的静态行为特征或/和动态行为特征。
10.如权利要求3所示的判定方法或如权利要求7所示的判断装置,其特征在于,将提取的特征按如下类别中的至少一种进行分类:行为、敏感字符串、Elf文件敏感字符串、Activity、接收者、服务、权限。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710222016.0A CN108694319B (zh) | 2017-04-06 | 2017-04-06 | 一种恶意代码家族判定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710222016.0A CN108694319B (zh) | 2017-04-06 | 2017-04-06 | 一种恶意代码家族判定方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108694319A true CN108694319A (zh) | 2018-10-23 |
| CN108694319B CN108694319B (zh) | 2021-04-16 |
Family
ID=63842073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710222016.0A Active CN108694319B (zh) | 2017-04-06 | 2017-04-06 | 一种恶意代码家族判定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108694319B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110751807A (zh) * | 2019-10-23 | 2020-02-04 | 智洋创新科技股份有限公司 | 一种输电线路通道可视化烟火异物类连续告警的确定方法 |
| CN112580047A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 工业恶意代码标记方法、设备、存储介质及装置 |
| CN112887328A (zh) * | 2021-02-24 | 2021-06-01 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
| CN113254928A (zh) * | 2021-05-14 | 2021-08-13 | 重庆贝特计算机系统工程有限公司 | 基于工业互联网远程恶意代码识别方法 |
| CN113392397A (zh) * | 2020-03-11 | 2021-09-14 | 四川大学 | 基于混合特征和emd的恶意代码半监督聚类方法 |
| CN114254317A (zh) * | 2021-11-29 | 2022-03-29 | 上海戎磐网络科技有限公司 | 基于软件基因的软件处理方法、装置以及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101604364A (zh) * | 2009-07-10 | 2009-12-16 | 珠海金山软件股份有限公司 | 基于文件指令序列的计算机恶意程序分类系统和分类方法 |
| US20140344931A1 (en) * | 2013-05-17 | 2014-11-20 | Arbor Networks, Inc. | Systems and methods for extracting cryptographic keys from malware |
| CN104866765A (zh) * | 2015-06-03 | 2015-08-26 | 康绯 | 基于行为特征相似性的恶意代码同源性分析方法 |
| CN105512555A (zh) * | 2014-12-12 | 2016-04-20 | 哈尔滨安天科技股份有限公司 | 基于文件字符串聚类的划分同源家族和变种的方法及系统 |
-
2017
- 2017-04-06 CN CN201710222016.0A patent/CN108694319B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101604364A (zh) * | 2009-07-10 | 2009-12-16 | 珠海金山软件股份有限公司 | 基于文件指令序列的计算机恶意程序分类系统和分类方法 |
| US20140344931A1 (en) * | 2013-05-17 | 2014-11-20 | Arbor Networks, Inc. | Systems and methods for extracting cryptographic keys from malware |
| CN105512555A (zh) * | 2014-12-12 | 2016-04-20 | 哈尔滨安天科技股份有限公司 | 基于文件字符串聚类的划分同源家族和变种的方法及系统 |
| CN104866765A (zh) * | 2015-06-03 | 2015-08-26 | 康绯 | 基于行为特征相似性的恶意代码同源性分析方法 |
Non-Patent Citations (1)
| Title |
|---|
| 赵恒立: "恶意代码检测与分类技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110751807A (zh) * | 2019-10-23 | 2020-02-04 | 智洋创新科技股份有限公司 | 一种输电线路通道可视化烟火异物类连续告警的确定方法 |
| CN110751807B (zh) * | 2019-10-23 | 2021-09-07 | 智洋创新科技股份有限公司 | 一种输电线路通道可视化烟火异物类连续告警的确定方法 |
| CN113392397A (zh) * | 2020-03-11 | 2021-09-14 | 四川大学 | 基于混合特征和emd的恶意代码半监督聚类方法 |
| CN112580047A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 工业恶意代码标记方法、设备、存储介质及装置 |
| CN112580047B (zh) * | 2020-12-23 | 2022-11-04 | 苏州三六零智能安全科技有限公司 | 工业恶意代码标记方法、设备、存储介质及装置 |
| CN112887328A (zh) * | 2021-02-24 | 2021-06-01 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
| CN113254928A (zh) * | 2021-05-14 | 2021-08-13 | 重庆贝特计算机系统工程有限公司 | 基于工业互联网远程恶意代码识别方法 |
| CN114254317A (zh) * | 2021-11-29 | 2022-03-29 | 上海戎磐网络科技有限公司 | 基于软件基因的软件处理方法、装置以及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108694319B (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108694319A (zh) | 一种恶意代码家族判定方法及装置 | |
| Zhang et al. | Enhancing state-of-the-art classifiers with api semantics to detect evolved android malware | |
| CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及系统 | |
| CN109271788B (zh) | 一种基于深度学习的Android恶意软件检测方法 | |
| CN103778373B (zh) | 病毒检测方法及装置 | |
| CN109753801A (zh) | 基于系统调用的智能终端恶意软件动态检测方法 | |
| CN111460446B (zh) | 基于模型的恶意文件检测方法及装置 | |
| CN109614795B (zh) | 一种事件感知的安卓恶意软件检测方法 | |
| KR101858620B1 (ko) | 기계 학습을 이용한 자바스크립트 분석 장치 및 방법 | |
| RU91213U1 (ru) | Система автоматического составления описания и кластеризации различных, в том числе и вредоносных, объектов | |
| Zhang et al. | SaaS: A situational awareness and analysis system for massive android malware detection | |
| CN112084497A (zh) | 嵌入式Linux系统恶意程序检测方法及装置 | |
| KR102058966B1 (ko) | 악성 어플리케이션 탐지 방법 및 그 장치 | |
| US20200159925A1 (en) | Automated malware analysis that automatically clusters sandbox reports of similar malware samples | |
| CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
| Liu et al. | Using g features to improve the efficiency of function call graph based android malware detection | |
| Li et al. | Novel Android Malware Detection Method Based on Multi-dimensional Hybrid Features Extraction and Analysis. | |
| Ideses et al. | Adware detection and privacy control in mobile devices | |
| CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
| CN112231696B (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
| CN107766342A (zh) | 一种应用的识别方法和装置 | |
| US20210406916A1 (en) | Method and system for user protection in ride-hailing platforms based on semi-supervised learning | |
| CN112685255A (zh) | 一种接口监控方法、装置、电子设备及存储介质 | |
| CN111597557A (zh) | 恶意应用程序的检测方法、系统、装置、设备及存储介质 | |
| CN111460449A (zh) | 应用程序识别方法、系统、存储介质以及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 430000 No.C20 Building of Wuhan Software New Town Industry Phase III, No.8 Huacheng Avenue, Donghu New Technology Development Zone, Wuhan City, Hubei Province Applicant after: WUHAN ANTIY INFORMATION TECHNOLOGY Co.,Ltd. Address before: Room 01, 12 / F, building B4, phase 4-1, software industry, No.1, Software Park East Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province, 430000 Applicant before: WUHAN ANTIY INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |