CN110222715A - 一种基于动态行为链和动态特征的样本同源分析方法 - Google Patents
一种基于动态行为链和动态特征的样本同源分析方法 Download PDFInfo
- Publication number
- CN110222715A CN110222715A CN201910375363.6A CN201910375363A CN110222715A CN 110222715 A CN110222715 A CN 110222715A CN 201910375363 A CN201910375363 A CN 201910375363A CN 110222715 A CN110222715 A CN 110222715A
- Authority
- CN
- China
- Prior art keywords
- sample
- chain
- homogeneous assays
- dynamic behaviour
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种基于动态行为链和动态特征的样本同源分析方法,步骤如下:1:收集整理攻击样本;2:将训练样本集进行分类处理;3:将训练样本集投入沙箱运行;4:将样本进行排序整理,生成动态行为链;5:使用以训练数据集提取的行为链训练同源分析决策树模型;6:提取行为链和样本IOCs信息;7:测试数据集通过决策树模型判断所属APT组织,或所属恶意家族和类型;8:测试数据集通过知识库模糊匹配IOCs信息,得出同源信息;9:得出最终同源分析结论;本发明达到了从动态行为入手,对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果,解决了传统同源分析手段导致的样本特征单一,人工分析效率低投入大等实际问题。
Description
一.技术领域
本发明提供一种基于动态行为链和动态特征的样本同源分析方法,它涉及恶意样本同源分析技术,属于网络安全技术领域。
二.背景技术
面对日渐频繁的针对政府,军工,航空航天,能源,教育,医疗,高科技单位和企业的高级持续性威胁事件(Advanced Persistent Threat-APT),以及APT组织的不断增多,对层出不穷的攻击样本进行从样本到组织的关联和同源分析,由样本关联到事件再关联到幕后的犯罪组织的同源分析变得越来越重要,它不仅能为防御APT攻击做出贡献,也为攻击溯源分析提供强有力的数据支持。
现在,APT组织同源分析已经成为APT攻击防御与溯源领域的研究热点,在对可执行文件的同源分析方面,目前主要有特征码识别,人工分析两个方面。其中,人工分析对人力物力要求极高,需要具有专业知识和丰富经验的研究人员投入大量时间分析,无法做到高效的追踪各APT攻击事件。特征码识别方面,由于APT样本的多变性和复杂性,大部分时候提取的特征只能做到一对一检测,和同源分析的目的相去甚远,无法适应越来越严峻的APT攻击事态。
综上所述,随着APT攻击越来越频繁,对APT攻击的检测和追踪都需要有同源性样本分析作为数据基础和支持。而目前的主流同源分析技术,从识别能力、反应时间以及工作效率上无法达到要求。
三.发明内容
1.发明目的
为解决上述同源分析领域问题,更高效更准确的进行APT组织样本同源分析,本发明提供一种基于动态行为链和动态特征的样本同源分析方法,旨在从海量攻击样本中智能高效的发现APT攻击样本并进行同源分析,定位攻击来源,同时,减少人力成本和时间消耗,从而在严峻的APT攻击形势和海量的攻击样本数据中,做出高效准确的响应,并为后续溯源分析提供强有力的数据支撑。
2.技术方案
本发明是一种基于动态行为链和动态特征的样本同源分析方法,步骤如下:
步骤101:收集整理已知APT组织曾使用的攻击样本,覆盖可执行文件格式包括exe文件和dll文件,通过组织名分类,再分为训练集数据和测试集数据两部分,分别用作训练和测试用途;
步骤102:将训练样本集通过恶意样本家族及类型名进行分类处理,并标记样本的家族及类型名;
步骤103:将训练样本集投入沙箱运行,通过动态引擎提取样本的动态行为集合和样本运行中暴露的IOCs信息;
步骤104:将样本在沙箱中被捕获到的动态行为集合按照时间顺序进行排序整理,生成动态行为链;将通过动态沙箱执行捕获到的样本IOCs信息存入同源分析知识库中;
步骤105:使用以训练数据集提取的行为链训练同源分析决策树模型;
步骤106:测试数据集投入沙箱运行,提取行为链和样本IOCs信息;
步骤107:测试数据集通过决策树模型判断所属APT组织,或所属恶意家族和类型;
步骤108:测试数据集通过知识库模糊匹配IOCs信息,得出同源信息;
步骤109:使用权值法综合分析决策树判断结果和IOCs匹配结果,得出最终同源分析结论;
其中,在步骤101中所述的“APT组织”,是指Advanced Persistent Threat组织,即高级持续性威胁组织或集团;
其中,在步骤101中所述的“exe文件”,是指“Executable File”,即可执行文件,可移植可执行文件格式的文件,能加载到内存中并由操作系统加载程序执行;所述的“dll文件”,是指“Dynamic Link Library File”,即动态链接库文件,是软件文件类型,又称“应用程序拓展”;
其中,在步骤101中所述的“训练集数据”,是指用于收集同源特征,建立威胁知识库的样本集,占总样本数的90%;
其中,在步骤101中所述的“测试集数据”,是指用于测试本技术检测率和效率的样本集,占总样本数的10%。
其中,在步骤102中所述的“家族及类型名”,是指具有明显特征的恶意样本种类,具有总体相似性和个体差异性,包括该恶意家族的变种。
其中,在步骤103中所述的“沙箱”,是指用于仿真执行样本搭建的虚拟运行环境,具备可执行文件执行系统环境,具备主流的反沙箱对抗手段,具备仿真用户沙箱环境,能够确保恶意样本进入沙箱后被正确执行并暴露恶意行为;
其中,在步骤103中所述的“动态引擎”,是指在沙箱中可提供动态行为提取功能的工具,由驱动程序和代理程序组成,能够以样本为污染源,对样本执行过程中触发的行为和与样本有关联的进程,文件触发的行为进行定向捕获提取;
其中,在步骤103中所述的“行为集合”,是指样本执行过程中产生的进程行为、文件行为、注册表行为、内存行为和网络行为;
其中,在步骤103中所述的“IOCs信息”,是指样本执行过程中暴露的受关联文件名,网络信息,注册表访问信息,进程模块名。
其中,在步骤104中所述的“行为链”,是指通过时间顺序将样本行为进行排序生成的链式可视化行为流程图;
其中,在步骤104中所述的“同源分析知识库”,是指以样本为单位,存放样本行为链信息,IOCs信息的数据库,用于对未知样本进行匹配和同源分析。
其中,在步骤105中所述的“同源分析决策树模型”,是指通过决策树方法(一种逼近离散函数值的方法),建立的用于通过行为链判断样本所属APT组织或恶意样本家族或类型的机器学习模型,具有占用资源少,高效快速的优点。
其中,在步骤108中所述的“模糊匹配”,是指匹配具有相似特点的文件路径/名,进程名,注册表值,URL(Uniform Resource Locator,即统一资源定位符)或域名(注册表路径和IP地址采用精确匹配)。
其中,在步骤109中所述的“权值法”,是指采用加权的方式,区分各特征和分析结果的重要性,辅助综合分析得出最终结论;其中,行为链决策树占比50%,网络信息占比20%,文件路径,进程名,注册表项各占比10%。
通过以上步骤,即使用训练集数据对同源分析知识库进行知识储备,对同源分析决策树模型进行充分的训练,再使用测试集数据对本方法进行测试,达到了从动态行为入手,对恶意样本进行基于动态行为链和动态特征的样本同源分析的效果,解决了传统同源分析手段导致的样本特征单一,人工分析效率低投入大等实际问题,给出了一个能够应对不断变化的APT样本进行高效准确的同源分析的解决方案。
3.优点
综上所述,本发明通过对恶意样本动态行为链进行决策树建模,以动态执行过程中暴露的IOCs信息为辅助,实现一套基于动态行为链和动态特征的样本同源分析方法,适用于有大量已知不同类型不同APT组织的恶意样本的分析环境,能够解决同源分析过程中,由特征单一导致的样本特征一对一的情况,能够解决人工分析导致的效率低投入大的问题。
四.附图说明
图1是本发明所述方法流程示意图。
图2是本发明方法测试流程示意图。
五.具体实施方式
本发明旨在解决目前同源分析常用方法存在的问题,弥补主流分析方法不足之处,即特征规则针对单一样本,无法适应APT样本快速的变化过程,资源和时间开销过大,存在滞后问题。本发明提供一种基于动态行为链和动态特征的样本同源分析方法,通过对样本执行过程中的行为特征进行链式建模分析和动态执行中暴露的文件IOCs信息匹配,实现对恶意样本的同源分析。
为了使本发明目的更加明确,技术方案更加清楚,以下结合附图进一步进行详细步骤说明。上述“技术方案”内容中训练方法是“步骤101~步骤105”,而本“具体实施方式”内容中是“步骤S101~步骤S106”;上述“技术方案”内容中测试方法是“步骤106~步骤109”,而本“具体实施方式”内容中是“步骤S201~步骤S205”。
参见图1,图1为本发明方法流程示意图,本发明是一种基于动态行为链和动态特征的样本同源分析方法,详细流程步骤如下:
步骤S101:收集整理APT组织样本数据,使用组织名分类标记,并将样本分为训练样本集和测试样本集两部分。训练样本集用于训练同源分析决策树模型和APT样本IOCs信息收集,测试样本集用于对同源分析方法进行测试验证。
步骤S102:通过恶意样本家族,类型对样本进行分类,为每个样本标记APT组织名和恶意样本家族\类型名,方便决策树模型训练时使用。
步骤S103:将样本投入动态沙箱运行,沙箱配备可执行文件运行时必要系统环境,具备沙箱仿真环境,具备反沙箱对抗手段,能够确保样本在沙箱能够正确执行并暴露恶意行为功能。
步骤S104:捕获沙箱运行过程中样本的动态行为和运行过程中暴露的IOCs信息,行为包括文件行为,注册表行为,内存行为,进程行为,网路行为。IOCs信息包括文件路径\名,操作的注册表项,关联的进程名,网络请求信息(IP,URL,域名)。
步骤S105:将获取到的动态行为按时间顺序生成行为链,通过行为链对同源分析决策树模型进行训练;将获取的IOCs信息存入知识库以便进行IOCs信息模糊匹配。
步骤S106:通过测试数据集对本发明方法进行测试,识别所属的APT组织。见附图2,附图2步骤如下,包含“步骤S201-步骤S205”:
步骤S201:测试样本投入沙箱检测。沙箱环境与步骤S103中相同。
步骤S202:测试样本在沙箱中运行并捕获动态行为和IOCs信息,方法与步骤S104中运行训练集数据时相同。
步骤S203:按照时间顺序整理动态行为并生成动态行为链,并通过行为链使用决策树模型进行判断。
步骤S204:对捕获的IOCs信息进行知识库模糊匹配,其中,文件路径,文件名称,URL,进程名进行模糊匹配,IP地址,域名,注册表项进行精确匹配。
步骤S205:通过权值法,综合分析匹配结果,得出最终结论,判断恶意样本所述APT组织。
Claims (8)
1.一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:其步骤如下:
步骤101:收集整理已知APT组织曾使用的攻击样本,覆盖能执行文件格式包括exe文件和dll文件,通过组织名分类,再分为训练集数据和测试集数据两部分,分别用作训练和测试用途;
步骤102:将训练样本集通过恶意样本家族及类型名进行分类处理,并标记样本的家族及类型名;
步骤103:将训练样本集投入沙箱运行,通过动态引擎提取样本的动态行为集合和样本运行中暴露的IOCs信息;
步骤104:将样本在沙箱中被捕获到的动态行为集合按照时间顺序进行排序整理,生成动态行为链;将通过动态沙箱执行捕获到的样本IOCs信息存入同源分析知识库中;
步骤105:使用以训练数据集提取的行为链训练同源分析决策树模型;
步骤106:测试数据集投入沙箱运行,提取行为链和样本IOCs信息;
步骤107:测试数据集通过决策树模型判断所属APT组织,及所属恶意家族和类型;
步骤108:测试数据集通过知识库模糊匹配IOCs信息,得出同源信息;
步骤109:使用权值法综合分析决策树判断结果和IOCs匹配结果,得出最终同源分析结论。
2.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:
在步骤101中所述的“APT组织”,是指Advanced Persistent Threat组织,即高级持续性威胁组织及集团;
在步骤101中所述的“exe文件”,是指“Executable File”,即能执行文件,能移植可执行文件格式的文件,能加载到内存中并由操作系统加载程序执行;所述的“dll文件”,是指“Dynamic Link Library File”,即动态链接库文件,是软件文件类型,又称“应用程序拓展”;
在步骤101中所述的“训练集数据”,是指用于收集同源特征,建立威胁知识库的样本集,占总样本数的90%;
在步骤101中所述的“测试集数据”,是指用于测试本技术检测率和效率的样本集,占总样本数的10%。
3.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:
在步骤102中所述的“家族及类型名”,是指具有明显特征的恶意样本种类,具有总体相似性和个体差异性,包括该恶意家族的变种。
4.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:
在步骤103中所述的“沙箱”,是指用于仿真执行样本搭建的虚拟运行环境,具备能执行文件执行系统环境,具备主流的反沙箱对抗手段,具备仿真用户沙箱环境,能够确保恶意样本进入沙箱后被正确执行并暴露恶意行为;
在步骤103中所述的“动态引擎”,是指在沙箱中能提供动态行为提取功能的工具,由驱动程序和代理程序组成,能够以样本为污染源,对样本执行过程中触发的行为和与样本有关联的进程,文件触发的行为进行定向捕获提取;
在步骤103中所述的“行为集合”,是指样本执行过程中产生的进程行为、文件行为、注册表行为、内存行为和网络行为;
在步骤103中所述的“IOCs信息”,是指样本执行过程中暴露的受关联文件名,网络信息,注册表访问信息,进程模块名。
5.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:
在步骤104中所述的“行为链”,是指通过时间顺序将样本行为进行排序生成的链式可视化行为流程图;
在步骤104中所述的“同源分析知识库”,是指以样本为单位,存放样本行为链信息,IOCs信息的数据库,用于对未知样本进行匹配和同源分析。
6.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:
在步骤105中所述的“同源分析决策树模型”,是指通过决策树方法,即一种逼近离散函数值的方法,建立的用于通过行为链判断样本所属APT组织及恶意样本家族及类型的机器学习模型,具有占用资源少,高效快速的优点。
7.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:
在步骤108中所述的“模糊匹配”,是指匹配具有相似特点的文件路径/名,进程名,注册表值,URL及域名,即注册表路径和IP地址采用精确匹配。
8.根据权利要求1所述的一种基于动态行为链和动态特征的样本同源分析方法,其特征在于:
在步骤109中所述的“权值法”,是指采用加权的方式,区分各特征和分析结果的重要性,辅助综合分析得出最终结论;其中,行为链决策树占比50%,网络信息占比20%,文件路径,进程名,注册表项各占比10%。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910375363.6A CN110222715B (zh) | 2019-05-07 | 2019-05-07 | 一种基于动态行为链和动态特征的样本同源分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910375363.6A CN110222715B (zh) | 2019-05-07 | 2019-05-07 | 一种基于动态行为链和动态特征的样本同源分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110222715A true CN110222715A (zh) | 2019-09-10 |
| CN110222715B CN110222715B (zh) | 2021-07-27 |
Family
ID=67820590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910375363.6A Active CN110222715B (zh) | 2019-05-07 | 2019-05-07 | 一种基于动态行为链和动态特征的样本同源分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110222715B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111783295A (zh) * | 2020-06-28 | 2020-10-16 | 中国人民公安大学 | 城市社区特定人行为链动态识别与预测评估方法及系统 |
| CN111797394A (zh) * | 2020-06-24 | 2020-10-20 | 广州大学 | 基于stacking集成的APT组织识别方法、系统及存储介质 |
| CN112202759A (zh) * | 2020-09-28 | 2021-01-08 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
| CN112804373A (zh) * | 2020-12-30 | 2021-05-14 | 微医云(杭州)控股有限公司 | 接口域名确定方法、装置、电子设备及存储介质 |
| CN113761912A (zh) * | 2021-08-09 | 2021-12-07 | 国家计算机网络与信息安全管理中心 | 一种对恶意软件归属攻击组织的可解释判定方法及装置 |
| CN113935022A (zh) * | 2021-12-17 | 2022-01-14 | 北京微步在线科技有限公司 | 一种同源样本捕获方法、装置、电子设备及存储介质 |
| CN114021138A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种同源分析知识库的构建方法、同源分析方法及装置 |
| CN114662111A (zh) * | 2022-05-18 | 2022-06-24 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
| CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
| CN116471123A (zh) * | 2023-06-14 | 2023-07-21 | 杭州海康威视数字技术股份有限公司 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016089567A1 (en) * | 2014-12-01 | 2016-06-09 | Empow Cyber Security Ltd. | A cyber-security system and methods thereof for detecting and mitigating advanced persistent threats |
| CN106817248A (zh) * | 2016-12-19 | 2017-06-09 | 西安电子科技大学 | 一种apt攻击检测方法 |
| CN108446559A (zh) * | 2018-02-13 | 2018-08-24 | 北京兰云科技有限公司 | 一种apt组织的识别方法及装置 |
| CN109040136A (zh) * | 2018-09-29 | 2018-12-18 | 成都亚信网络安全产业技术研究院有限公司 | 一种网络攻击的检测方法及电子设备 |
| CN109190657A (zh) * | 2018-07-18 | 2019-01-11 | 国家计算机网络与信息安全管理中心 | 基于数据切片及图像哈希组合的样本同源分析方法 |
| CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
-
2019
- 2019-05-07 CN CN201910375363.6A patent/CN110222715B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016089567A1 (en) * | 2014-12-01 | 2016-06-09 | Empow Cyber Security Ltd. | A cyber-security system and methods thereof for detecting and mitigating advanced persistent threats |
| CN106817248A (zh) * | 2016-12-19 | 2017-06-09 | 西安电子科技大学 | 一种apt攻击检测方法 |
| CN108446559A (zh) * | 2018-02-13 | 2018-08-24 | 北京兰云科技有限公司 | 一种apt组织的识别方法及装置 |
| CN109190657A (zh) * | 2018-07-18 | 2019-01-11 | 国家计算机网络与信息安全管理中心 | 基于数据切片及图像哈希组合的样本同源分析方法 |
| CN109040136A (zh) * | 2018-09-29 | 2018-12-18 | 成都亚信网络安全产业技术研究院有限公司 | 一种网络攻击的检测方法及电子设备 |
| CN109660515A (zh) * | 2018-11-15 | 2019-04-19 | 中国科学院信息工程研究所 | 攻击链检测方法及装置 |
Non-Patent Citations (4)
| Title |
|---|
| DAESUNG MOON ET AL: "DTB-IDS: an intrusion detection system based on decision tree using behavior analysis for preventing APT attacks", 《J SUPERCOMPUT》 * |
| GBADEBO AYOADE ET AL: "Automated Threat Report Classification Over Multi-Source Data", 《2018 IEEE 4TH INTERNATIONAL CONFERENCE ON COLLABORATION AND INTERNET COMPUTING》 * |
| 罗文塽 等: "基于非用户操作序列的恶意软件检测方法", 《计算机应用》 * |
| 胡俊 等: "一种基于深度学习的层次化钓鱼网站检测方法", 《通信技术》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111797394A (zh) * | 2020-06-24 | 2020-10-20 | 广州大学 | 基于stacking集成的APT组织识别方法、系统及存储介质 |
| CN111783295A (zh) * | 2020-06-28 | 2020-10-16 | 中国人民公安大学 | 城市社区特定人行为链动态识别与预测评估方法及系统 |
| CN111783295B (zh) * | 2020-06-28 | 2020-12-22 | 中国人民公安大学 | 城市社区特定人行为链动态识别与预测评估方法及系统 |
| CN112202759A (zh) * | 2020-09-28 | 2021-01-08 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
| CN112202759B (zh) * | 2020-09-28 | 2021-09-07 | 广州大学 | 基于同源性分析的apt攻击识别及归属方法、系统和存储介质 |
| CN112804373A (zh) * | 2020-12-30 | 2021-05-14 | 微医云(杭州)控股有限公司 | 接口域名确定方法、装置、电子设备及存储介质 |
| CN113761912A (zh) * | 2021-08-09 | 2021-12-07 | 国家计算机网络与信息安全管理中心 | 一种对恶意软件归属攻击组织的可解释判定方法及装置 |
| CN113761912B (zh) * | 2021-08-09 | 2024-04-16 | 国家计算机网络与信息安全管理中心 | 一种对恶意软件归属攻击组织的可解释判定方法及装置 |
| CN113935022A (zh) * | 2021-12-17 | 2022-01-14 | 北京微步在线科技有限公司 | 一种同源样本捕获方法、装置、电子设备及存储介质 |
| CN114021138A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种同源分析知识库的构建方法、同源分析方法及装置 |
| CN114662111A (zh) * | 2022-05-18 | 2022-06-24 | 成都数默科技有限公司 | 一种恶意代码软件基因同源性分析方法 |
| CN115001868A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
| CN115001868B (zh) * | 2022-08-01 | 2022-10-11 | 北京微步在线科技有限公司 | Apt攻击同源分析方法、装置、电子设备及存储介质 |
| CN116471123A (zh) * | 2023-06-14 | 2023-07-21 | 杭州海康威视数字技术股份有限公司 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
| CN116471123B (zh) * | 2023-06-14 | 2023-08-25 | 杭州海康威视数字技术股份有限公司 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110222715B (zh) | 2021-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110222715A (zh) | 一种基于动态行为链和动态特征的样本同源分析方法 | |
| CN102930210B (zh) | 恶意程序行为自动化分析、检测与分类系统及方法 | |
| CN105893256B (zh) | 基于机器学习算法的软件故障定位方法 | |
| Gardiner et al. | Lessons from lady beetles: accuracy of monitoring data from US and UK citizen‐science programs | |
| CN109753801A (zh) | 基于系统调用的智能终端恶意软件动态检测方法 | |
| CN109739755A (zh) | 一种基于程序追踪和混合执行的模糊测试系统 | |
| Dyer | Is there such a thing as landscape genetics? | |
| CN106960154A (zh) | 一种基于决策树模型的恶意程序动态识别方法 | |
| Steidl et al. | Feature-based detection of bugs in clones | |
| CN110287702A (zh) | 一种二进制漏洞克隆检测方法及装置 | |
| CN106843941B (zh) | 信息处理方法、装置和计算机设备 | |
| CN113489685B (zh) | 一种基于核主成分分析的二次特征提取及恶意攻击识别方法 | |
| CN109886021A (zh) | 一种基于api全局词向量和分层循环神经网络的恶意代码检测方法 | |
| CN110245693B (zh) | 结合混合随机森林的关键信息基础设施资产识别方法 | |
| CN109410184A (zh) | 基于稠密对抗网络半监督学习的直播色情图像检测方法 | |
| CN108256329A (zh) | 基于动态行为的细粒度rat程序检测方法、系统及相应的apt攻击检测方法 | |
| Hussain et al. | Mining moodle data to detect the inactive and low-performance students during the moodle course | |
| CN115629998B (zh) | 一种基于KMeans聚类和相似度的测试用例筛选方法 | |
| CN109800309A (zh) | 课堂话语类型分类方法及装置 | |
| CN111191935A (zh) | 一种测评评估系统及方法 | |
| Li et al. | Current progress and future prospects in phylofloristics | |
| Peffer et al. | Clustering analysis reveals authentic science inquiry trajectories among undergraduates | |
| CN107729510A (zh) | 信息交互方法、信息交互终端及存储介质 | |
| CN107203469A (zh) | 基于机器学习的编译器测试加速方法 | |
| CN111507534A (zh) | 基于学生学习数据的知识点掌握情况的预测分析算法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |