CN109002715B - 一种基于卷积神经网络的恶意软件识别方法及系统 - Google Patents
一种基于卷积神经网络的恶意软件识别方法及系统 Download PDFInfo
- Publication number
- CN109002715B CN109002715B CN201810730246.2A CN201810730246A CN109002715B CN 109002715 B CN109002715 B CN 109002715B CN 201810730246 A CN201810730246 A CN 201810730246A CN 109002715 B CN109002715 B CN 109002715B
- Authority
- CN
- China
- Prior art keywords
- neural network
- convolutional neural
- matrix
- software
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本发明公开了一种基于卷积神经网络的恶意软件识别方法及系统。该方法包括:获取样本软件的操作码和权限信息;将操作码转换为十进制数;将转换后的操作码进行预处理;将预处理后的操作码与权限信息混合;将混合后的数据作为特征矩阵输入卷积神经网络,对卷积神经网络进行训练;判断卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;如果是,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;如果否,则根据卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络。本发明提供的基于卷积神经网络的恶意软件识别方法及系统具有识别精度高、操作简便的特点。
Description
技术领域
本发明涉及恶意软件检测领域,特别是涉及一种基于卷积神经网络的恶意软件识别方法及系统。
背景技术
随着科学技术的发展,恶意软件的种类以及复杂度越来越高,对恶意软件的识别也越来越具有难度,尤其是在移动领域平台。鉴于移动设备和手机应用商店的快速增长。新应用程序的数量太大而无法手动检查每个程序的恶意行为。恶意软件检测传统基于手动检测已知恶意软件行为或编码来手动设计恶意软件签名,这个过程难以检测大量应用程序。而且这种基于签名的静态恶意软件检测意味着新的恶意软件可以被设计来逃避现有的签名。
发明内容
本发明的目的是提供一种基于卷积神经网络的恶意软件识别方法及系统,具有识别精度高、操作简便的特点。
为实现上述目的,本发明提供了如下方案:
一种基于卷积神经网络的恶意软件识别方法,所述方法包括:
获取样本软件的操作码和权限信息,所述样本软件为已知类型的软件,所述类型包括恶意软件和非恶意软件;
将所述操作码转换为十进制数;
将转换后的操作码进行预处理;
将预处理后的操作码与所述权限信息混合;
将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,所述卷积神经网络的输出为所述样本软件的恶意概率和非恶意概率;
判断所述卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;
如果是,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;
如果否,则根据所述卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络。
可选的,所述将所述操作码转换为十进制数,具体包括:
将所述操作码两两分割;
将每两个代码为一组转换为十进制数。
可选的,所述将转换后的操作码进行预处理,具体包括:
将每个十进制数加2,换行用1代替。
可选的,所述将预处理后的操作码与所述权限信息混合,具体包括:
将预处理后的操作码排在所述权限信息后,得到一个一维矩阵。
可选的,所述对所述卷积神经网络进行训练,具体包括:
将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,其中,将卷积层的输出矩阵平均分为三份,每份矩阵的每行中选取三个值组成reshape层的输入矩阵,三个值为所在行排前三大的数值。
可选的,所述采用训练好的卷积神经网络对待识别软件进行识别,具体包括:
获取待识别软件的操作码和权限信息;
将所述待识别软件的操作码转换为十进制数;
将所述待识别软件转换后的操作码进行预处理;
将所述待识别软件预处理后的操作码与所述权限信息混合;
将所述待识别软件混合后的数据作为特征矩阵输入卷积神经网络,进行识别。
本发明还提供了一种基于卷积神经网络的恶意软件识别系统,所述系统包括:
样本获取模块,用于获取样本软件的操作码和权限信息,所述样本软件为已知类型的软件,所述类型包括恶意软件和非恶意软件;
转换模块,用于将所述操作码转换为十进制数;
预处理模块,用于将转换后的操作码进行预处理;
混合模块,用于将预处理后的操作码与所述权限信息混合;
训练模块,用于将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,所述卷积神经网络的输出为所述样本软件的恶意概率和非恶意概率;
准确度判断模块,用于判断所述卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;
识别模块,用于当所述卷积神经网络输出的恶意概率或非恶意概率的准确度达到设定值时,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;
所述训练模块还用于当所述卷积神经网络输出的恶意概率或非恶意概率的准确度没有达到设定值时,则根据所述卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络。
可选的,所述转换模块,具体包括:
分割单元,用于将所述操作码两两分割;
转换单元,用于将每两个代码为一组转换为十进制数。
所述预处理模块,具体包括:
预处理单元,用于将每个十进制数加2,换行用1代替。
所述混合模块,具体包括:
混合单元,用于将预处理后的操作码排在所述权限信息后,得到一个一维矩阵。
可选的,所述训练模块,具体包括:
训练单元,用于将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,其中,将卷积层的输出矩阵平均分为三份,每份矩阵的每行中选取三个值组成reshape层的输入矩阵,三个值为所在行排前三大的数值。
可选的,所述识别模块,具体包括:
待识别软件获取单元,用于获取待识别软件的操作码和权限信息;
待识别软件转换单元,用于将所述待识别软件的操作码转换为十进制数;
待识别软件与处理单元,用于将所述待识别软件转换后的操作码进行预处理;
待识别软件混合单元,用于将所述待识别软件预处理后的操作码与所述权限信息混合;
待识别软件识别单元,用于将所述待识别软件混合后的数据作为特征矩阵输入卷积神经网络,进行识别。
根据本发明提供的具体实施例,本发明公开了以下技术效果:本发明提供的基于卷积神经网络的恶意软件识别方法及系统,采用软件的操作码和权限信息作为识别对象,通过将操作码转换为十进制数,并对十进制数加二,以及换行用一代替,使得卷积神经网络的输入数据更加的均匀,此外,本发明对卷积神经网络的trunk k层进行了分块处理,保留了更多的特征值。通过操作码与权限信息的混合以及对trunk k层的分块处理,提高了卷积神经网络的准确性。而且,相比于传统的手动识别,操作更加简便。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例基于卷积神经网络的恶意软件识别方法流程图;
图2为本发明实施例基于卷积神经网络的恶意软件识别系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于卷积神经网络的恶意软件识别方法及系统,具有识别精度高、操作简便的特点。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明实施例基于卷积神经网络的恶意软件识别方法流程图,如图1所示,本发明提供的基于卷积神经网络的恶意软件识别方法包括以下步骤:
步骤101:获取样本软件的操作码和权限信息,所述样本软件为已知类型的软件,所述类型包括恶意软件和非恶意软件;
步骤102:将所述操作码转换为十进制数;
步骤103:将转换后的操作码进行预处理;
步骤104:将预处理后的操作码与所述权限信息混合;
步骤105:将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,所述卷积神经网络的输出为所述样本软件的恶意概率和非恶意概率;
步骤106:判断所述卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;
步骤107:所述卷积神经网络输出的恶意概率或非恶意概率的准确度达到设定值时,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;
步骤108:所述卷积神经网络输出的恶意概率或非恶意概率的准确度没有达到设定值时,则根据所述卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络。
其中,步骤102具体包括:
将所述操作码两两分割;
将每两个代码为一组转换为十进制数。
步骤103具体包括:
将每个十进制数加2,换行用1代替。
步骤104具体包括:
将预处理后的操作码排在所述权限信息后,得到一个一维矩阵。
步骤105具体包括:
将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,其中,将卷积层的输出矩阵分为三份,每份矩阵的每行中选取三个值组成reshape层的输入矩阵,三个值为所在行排前三大的数值。
下面对卷积神经网络各层的训练过程进行介绍:
将特征混合得到的一维矩阵N*1乘以一个1*256权重后变为N*256的矩阵后输入卷积神经网络,权重先随机初始化,然后在训练期间通过反向传播进行更新,并与其余网络参数一起进行更新。
Embedding Layer:将N*256的矩阵乘以256*8的权重矩阵得到N*8的矩阵;
Reshape层:将N*8的矩阵变为1*N*8*1的矩阵;
卷积层:将1*N*8*1的矩阵经过k*8*64的卷积核得到1*(N-k+1)*1*64的矩阵;
trunkk层(将卷积层输出的矩阵分为k块,本发明选的是三块,以保留更多特征):将卷积层输出的矩阵平均分为三份,在每份中取最大的三个值(top3),得到1*9*1*64的矩阵;
Reshape层:将1*9*1*64的矩阵变成9*64的矩阵;
全连接层:用1*9的全连接权重矩阵乘以上一步得到的9*64的矩阵变成1*64的矩阵;
全连接层:将1*64的矩阵乘以64*16的全连接权重矩阵变成1*16的矩阵;
全连接层:将1*16的矩阵乘以16*2的全连接矩阵变成1*2的矩阵获得最终解果(x,y)即预测应用是恶意和非恶意的概率;
在上述过程中权重开始是随机初始化的,然后根据神经网络的误测精度反向传播进行权重的调整直至神经网络的精度达到要求。
步骤106具体包括:
获取待识别软件的操作码和权限信息;
将所述待识别软件的操作码转换为十进制数;
将所述待识别软件转换后的操作码进行预处理;
将所述待识别软件预处理后的操作码与所述权限信息混合;
将所述待识别软件混合后的数据作为特征矩阵输入卷积神经网络,进行识别。
本发明提供的基于卷积神经网络的恶意软件识别方法,采用软件的操作码和权限信息作为识别对象,通过将操作码转换为十进制数,并对十进制数加二,以及换行用一代替,使得卷积神经网络的输入数据更加的均匀,此外,本发明对卷积神经网络的trunk k层进行了分块处理,保留了更多的特征值。通过操作码与权限信息的混合以及对trunk k层的分块处理,提高了卷积神经网络的准确性。而且,相比于传统的手动识别,操作更加简便。
本发明还提供了一种基于卷积神经网络的恶意软件识别系统,图2为本发明实施例基于卷积神经网络的恶意软件识别系统结构图,如图2所示,本发明提供的基于卷积神经网络的恶意软件识别系统包括:
样本获取模块201,用于获取样本软件的操作码和权限信息,所述样本软件为已知类型的软件,所述类型包括恶意软件和非恶意软件;
转换模块202,用于将所述操作码转换为十进制数;
预处理模块203,用于将转换后的操作码进行预处理;
混合模块204,用于将预处理后的操作码与所述权限信息混合;
训练模块205,用于将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,所述卷积神经网络的输出为所述样本软件的恶意概率和非恶意概率;
准确度判断模块206,用于判断所述卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;
识别模块207,用于当所述卷积神经网络输出的恶意概率或非恶意概率的准确度达到设定值时,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;
所述训练模块还用于当所述卷积神经网络输出的恶意概率或非恶意概率的准确度没有达到设定值时,则根据所述卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络。
其中,所述转换模块202,具体包括:
分割单元,用于将所述操作码两两分割;
转换单元,用于将每两个代码为一组转换为十进制数。
所述预处理模块203,具体包括:
预处理单元,用于将每个十进制数加2,换行用1代替。
所述混合模块204,具体包括:
混合单元,用于将预处理后的操作码排在所述权限信息后,得到一个一维矩阵。
所述训练模块205,具体包括:
训练单元,用于将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,其中,将卷积层的输出矩阵分为三份,每份矩阵的每行中选取三个值组成reshape层的输入矩阵,三个值为所在行排前三大的数值。
所述识别模块207,具体包括:
待识别软件获取单元,用于获取待识别软件的操作码和权限信息;
待识别软件转换单元,用于将所述待识别软件的操作码转换为十进制数;
待识别软件与处理单元,用于将所述待识别软件转换后的操作码进行预处理;
待识别软件混合单元,用于将所述待识别软件预处理后的操作码与所述权限信息混合;
待识别软件识别单元,用于将所述待识别软件混合后的数据作为特征矩阵输入卷积神经网络,进行识别。
本发明提供的基于卷积神经网络的恶意软件识别系统,采用软件的操作码和权限信息作为识别对象,通过将操作码转换为十进制数,并对十进制数加二,以及换行用一代替,使得卷积神经网络的输入数据更加的均匀,此外,本发明对卷积神经网络的trunk k层进行了分块处理,保留了更多的特征值。通过操作码与权限信息的混合以及对trunk k层的分块处理,提高了卷积神经网络的准确性。而且,相比于传统的手动识别,操作更加简便。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (5)
1.一种基于卷积神经网络的恶意软件识别方法,其特征在于,所述方法包括:
获取样本软件的操作码和权限信息,所述样本软件为已知类型的软件,所述类型包括恶意软件和非恶意软件;
将所述操作码转换为十进制数;
将转换后的操作码进行预处理;
将预处理后的操作码与所述权限信息混合;
将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,所述卷积神经网络的输出为所述样本软件的恶意概率和非恶意概率;
判断所述卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;
如果是,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;
如果否,则根据所述卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络;
所述将所述操作码转换为十进制数,具体包括:
将所述操作码两两分割;
将每两个代码为一组转换为十进制数;
所述将转换后的操作码进行预处理,具体包括:
将每个十进制数加2,换行用1代替;
所述对所述卷积神经网络进行训练,具体包括:
将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,其中,将卷积层的输出矩阵平均分为三份,每份矩阵的每行中选取三个值组成reshape层的输入矩阵,三个值为所在行排前三大的数值;
对卷积神经网络各层的训练过程,具体如下:
将特征混合得到的一维矩阵N*1乘以一个1*256权重后变为N*256的矩阵后输入卷积神经网络,权重先随机初始化,然后在训练期间通过反向传播进行更新,并与其余网络参数一起进行更新;
Embedding Layer:将N*256的矩阵乘以256*8的权重矩阵得到N*8的矩阵;
Reshape层:将N*8的矩阵变为1*N*8*1的矩阵;
卷积层:将1*N*8*1的矩阵经过k*8*64的卷积核得到1*(N-k+1)*1*64的矩阵;
trunkk层:将卷积层输出的矩阵平均分为三份,在每份中取最大的三个值,得到1*9*1*64的矩阵;
Reshape层:将1*9*1*64的矩阵变成9*64的矩阵;
全连接层:用1*9的全连接权重矩阵乘以上一步得到的9*64的矩阵变成1*64的矩阵;
全连接层:将1*64的矩阵乘以64*16的全连接权重矩阵变成1*16的矩阵;
全连接层:将1*16的矩阵乘以16*2的全连接矩阵变成1*2的矩阵获得最终解果(x,y)即预测应用是恶意和非恶意的概率;
在上述过程中权重开始是随机初始化的,然后根据神经网络的误测精度反向传播进行权重的调整直至神经网络的精度达到要求。
2.根据权利要求1所述的恶意软件识别方法,其特征在于,所述将预处理后的操作码与所述权限信息混合,具体包括:
将预处理后的操作码排在所述权限信息后,得到一个一维矩阵。
3.根据权利要求1所述的恶意软件识别方法,其特征在于,所述采用训练好的卷积神经网络对待识别软件进行识别,具体包括:
获取待识别软件的操作码和权限信息;
将所述待识别软件的操作码转换为十进制数;
将所述待识别软件转换后的操作码进行预处理;
将所述待识别软件预处理后的操作码与所述权限信息混合;
将所述待识别软件混合后的数据作为特征矩阵输入卷积神经网络,进行识别。
4.一种基于卷积神经网络的恶意软件识别系统,其特征在于,所述系统包括:
样本获取模块,用于获取样本软件的操作码和权限信息,所述样本软件为已知类型的软件,所述类型包括恶意软件和非恶意软件;
转换模块,用于将所述操作码转换为十进制数;
预处理模块,用于将转换后的操作码进行预处理;
混合模块,用于将预处理后的操作码与所述权限信息混合;
训练模块,用于将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,所述卷积神经网络的输出为所述样本软件的恶意概率和非恶意概率;
准确度判断模块,用于判断所述卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;
识别模块,用于当所述卷积神经网络输出的恶意概率或非恶意概率的准确度达到设定值时,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;
所述训练模块还用于当所述卷积神经网络输出的恶意概率或非恶意概率的准确度没有达到设定值时,则根据所述卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络;
所述转换模块,具体包括:
分割单元,用于将所述操作码两两分割;
转换单元,用于将每两个代码为一组转换为十进制数;
所述预处理模块,具体包括:
预处理单元,用于将每个十进制数加2,换行用1代替;
所述混合模块,具体包括:
混合单元,用于将预处理后的操作码排在所述权限信息后,得到一个一维矩阵;
所述训练模块,具体包括:
训练单元,用于将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,其中,将卷积层的输出矩阵平均分为三份,每份矩阵的每行中选取三个值组成reshape层的输入矩阵,三个值为所在行排前三大的数值。
5.根据权利要求4所述的恶意软件识别系统,其特征在于,所述识别模块,具体包括:
待识别软件获取单元,用于获取待识别软件的操作码和权限信息;
待识别软件转换单元,用于将所述待识别软件的操作码转换为十进制数;
待识别软件与处理单元,用于将所述待识别软件转换后的操作码进行预处理;
待识别软件混合单元,用于将所述待识别软件预处理后的操作码与所述权限信息混合;
待识别软件识别单元,用于将所述待识别软件混合后的数据作为特征矩阵输入卷积神经网络,进行识别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810730246.2A CN109002715B (zh) | 2018-07-05 | 2018-07-05 | 一种基于卷积神经网络的恶意软件识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810730246.2A CN109002715B (zh) | 2018-07-05 | 2018-07-05 | 一种基于卷积神经网络的恶意软件识别方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109002715A CN109002715A (zh) | 2018-12-14 |
| CN109002715B true CN109002715B (zh) | 2020-09-15 |
Family
ID=64599171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810730246.2A Active CN109002715B (zh) | 2018-07-05 | 2018-07-05 | 一种基于卷积神经网络的恶意软件识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109002715B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110458239A (zh) * | 2019-08-15 | 2019-11-15 | 东北大学秦皇岛分校 | 基于双通道卷积神经网络的恶意软件分类方法及系统 |
| CN110472417B (zh) * | 2019-08-22 | 2021-03-30 | 东北大学秦皇岛分校 | 基于卷积神经网络的恶意软件操作码分析方法 |
| US11811791B2 (en) * | 2020-01-09 | 2023-11-07 | Vmware, Inc. | Generative adversarial network based predictive model for collaborative intrusion detection systems |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548073A (zh) * | 2016-11-01 | 2017-03-29 | 北京大学 | 基于卷积神经网络的恶意apk的筛查方法 |
| CN107103235A (zh) * | 2017-02-27 | 2017-08-29 | 广东工业大学 | 一种基于卷积神经网络的Android恶意软件检测方法 |
| CN107665307A (zh) * | 2017-09-13 | 2018-02-06 | 北京金山安全软件有限公司 | 一种应用识别方法、装置、电子设备以及存储介质 |
| CN107798243A (zh) * | 2017-11-25 | 2018-03-13 | 国网河南省电力公司电力科学研究院 | 终端应用的检测方法和装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6952679B2 (ja) * | 2015-07-15 | 2021-10-20 | サイランス・インコーポレイテッドCylance Inc. | マルウェア検出 |
| US9721097B1 (en) * | 2016-07-21 | 2017-08-01 | Cylance Inc. | Neural attention mechanisms for malware analysis |
| US10503901B2 (en) * | 2016-09-01 | 2019-12-10 | Cylance Inc. | Training a machine learning model for container file analysis |
| CN106709532B (zh) * | 2017-01-25 | 2020-03-10 | 京东方科技集团股份有限公司 | 图像处理方法和装置 |
| CN108205703B (zh) * | 2017-12-29 | 2021-01-12 | 中国人民解放军国防科技大学 | 多输入多输出矩阵平均值池化向量化实现方法 |
| CN107885700B (zh) * | 2017-12-29 | 2021-05-14 | 中国人民解放军国防科技大学 | 一种大规模矩阵卷积的多核实现方法 |
-
2018
- 2018-07-05 CN CN201810730246.2A patent/CN109002715B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548073A (zh) * | 2016-11-01 | 2017-03-29 | 北京大学 | 基于卷积神经网络的恶意apk的筛查方法 |
| CN107103235A (zh) * | 2017-02-27 | 2017-08-29 | 广东工业大学 | 一种基于卷积神经网络的Android恶意软件检测方法 |
| CN107665307A (zh) * | 2017-09-13 | 2018-02-06 | 北京金山安全软件有限公司 | 一种应用识别方法、装置、电子设备以及存储介质 |
| CN107798243A (zh) * | 2017-11-25 | 2018-03-13 | 国网河南省电力公司电力科学研究院 | 终端应用的检测方法和装置 |
Non-Patent Citations (10)
| Title |
|---|
| CNN-based Android Malware Detection;Meenu Ganesh et al;《https://ieeexplore.ieee.org/document/8392619》;20180625;参见论文第1页 * |
| Deep Android Malware Detection;Niall McLaughlin et al;《https://dl.acm.org/citation.cfm?id=3029823》;20170322;参见论文第1页和第3页 * |
| Maldetect:基于Dalvik指令抽象的Android恶意代码检测系统;陈铁明等;《计算机研究与发展》;20161114;第53卷(第10期);全文 * |
| 卷积神经网络研究综述;周飞燕等;《计算机学报》;20170630;第40卷(第6期);全文 * |
| 基于多维特征的Android恶意应用检测系统;陈泽峰;《信息安全研究》;20180228;第4卷(第2期);全文 * |
| 基于操作码N-Gram的Windows恶意软件检测;李志周等;《中小企业管理与科技》;20150415(第11期);全文 * |
| 基于操作码序列的静态恶意代码检测方法的研究;卢占军;《中国优秀硕士学位论文全文数据库 信息科技辑》;20140415;全文 * |
| 基于深度学习的安卓恶意应用检测;苏志达等;《计算机应用》;20170610;第37卷(第6期);参见论文第2-3页和第5-6页 * |
| 开源 _ 深度安卓恶意软件检测系统:用卷积神经网络保护你的手机;佚名;《http://www.sohu.com/a/153757434_465975》;20170701;全文 * |
| 深度安卓恶意软件检测系统:用卷积神经网络保护你的手机;佚名;《https://www.jiqizhixin.com/articles/2017-06-28-7》;20170628;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109002715A (zh) | 2018-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109002715B (zh) | 一种基于卷积神经网络的恶意软件识别方法及系统 | |
| CN103839005B (zh) | 移动操作系统的恶意软件检测方法和恶意软件检测系统 | |
| CN109005145B (zh) | 一种基于自动特征抽取的恶意url检测系统及其方法 | |
| CN106294105B (zh) | 刷量工具检测方法和装置 | |
| CN104123501B (zh) | 一种基于多鉴定器集合的病毒在线检测方法 | |
| CN108694319B (zh) | 一种恶意代码家族判定方法及装置 | |
| CN105847127A (zh) | 一种用户属性信息确定方法以及服务器 | |
| CN112528284A (zh) | 恶意程序的检测方法及装置、存储介质、电子设备 | |
| CN109740347A (zh) | 一种针对智能设备固件的脆弱哈希函数的识别与破解方法 | |
| CN107015993B (zh) | 一种用户类型识别方法及装置 | |
| WO2020082763A1 (zh) | 基于决策树的钓鱼网站检测方法、装置及计算机设备 | |
| CN106845220A (zh) | 一种Android恶意软件检测系统及方法 | |
| CN112347474A (zh) | 一种安全威胁情报的构建方法、装置、设备和存储介质 | |
| CN111475402A (zh) | 程序功能的测试方法及相关装置 | |
| CN110674488B (zh) | 基于神经网络的验证码识别方法、系统及计算机设备 | |
| CN105279061A (zh) | 服务器接口并发测试的方法和装置 | |
| CN116055165A (zh) | 一种恶意流量数据检测方法及系统 | |
| CN111159115A (zh) | 相似文件检测方法、装置、设备及存储介质 | |
| CN110162973A (zh) | 一种Webshell文件检测方法及装置 | |
| CN109388999B (zh) | 一种条形码识别方法及装置 | |
| CN110197068B (zh) | 基于改进灰狼算法的Android恶意应用检测方法 | |
| CN103902894B (zh) | 基于用户行为差异化的病毒防御方法及系统 | |
| CN110222507B (zh) | 一种基于模糊哈希的恶意软件大数据智能学习识别方法 | |
| CN109359274B (zh) | 一种对批量生成的字符串进行识别的方法、装置及设备 | |
| CN111353147A (zh) | 口令强度评估方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |