CN110348214A - 对恶意代码检测的方法及系统 - Google Patents
对恶意代码检测的方法及系统 Download PDFInfo
- Publication number
- CN110348214A CN110348214A CN201910638126.4A CN201910638126A CN110348214A CN 110348214 A CN110348214 A CN 110348214A CN 201910638126 A CN201910638126 A CN 201910638126A CN 110348214 A CN110348214 A CN 110348214A
- Authority
- CN
- China
- Prior art keywords
- file
- feature
- deep learning
- feature vector
- malicious code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及对恶意代码检测的方法及系统,方法包括:A.对训练数据集中单个PE文件的二进制数据提取相应特征;B.对所述特征降维处理;C.通过门控卷积网络提取二进制数据的特征为深度学习模型前半部分;D.将降维后的特征与步骤C得到的特征向量组合后,输入到作为深度学习模型后半部分的全连接神经网络中,生成最终的待分类特征向量;E.所有的PE文件都生成了对应的待分类特征向量;F.对所有待分类特征向量分类后与测试数据集中已知的类别进行比较以验证深度学习模型的正确性,并通过调整参数获得最优的深度学习模型。本发明能够不受恶意代码指令变换的影响,准确检测出未知软件中是否包含恶意代码,并且还提高了检测效率。
Description
技术领域
本发明涉及软件安全检测的方法和系统,具体讲是对恶意代码检测的方法及系统。
背景技术
在反病毒研究与恶意代码的对抗过程中,恶意代码技术的不断发展也促使了恶意程序检测技术的不断发展与进步,新型恶意代码编写技术也导致了新型检测技术的出现。
深度学习在计算机视觉和语音识别方面都取得了良好的效果。在计算机视觉方面,Krizhevsky等人提出了采用深度卷积神经网络来进行图片分类,Farabet提出了层次学习场景标签的方法,Kavukcuoglu提出了视觉功能的卷积识别方法。
n-gram是自然语言处理领域的概念,早期的语音识别技术和统计语言模型与它密不可分。n-gram基于一个简单的假设,即认为一个词出现的概率仅与它之前的n-1个词有关,这个概率可从大量语料中统计得到。例如“吃”的后面出现“苹果”或“披萨”的概率就会比“公路”的概率大(正常的语料中基本不会出现“吃公路”这种组合)。可以看出n-gram在一定程度上包含了部分语言特征。将n-gram应用于恶意代码识别的想法最早由Tony等人在2004年的论文N-gram-based Detection of New Malicious Code中提出,不过他们的方法是基于ByteCode的。2008年Moskovitch等人的论文Unknown Malcode Detection UsingOPCODE Representation中提出利用opcode(操作码)代替ByteCode更加科学。
传统的基于机器学习进行恶意代码的检测分类方法基本都是进行精确检测,一般方式为提取恶意代码中具有相同点的opcode序列(操作码)作为特征,检测符合特征的恶意代码。而现今的反病毒是一个对抗的过程。众所周知,完成同样功能的opcode指令并不唯一,有些功能存在几个甚至十几个完成同样功能的指令。传统方法是提取精确的opcode指令序列,而一旦其中某个功能的指令被其他指令所替代,则无法检出,因此传统方法很难对抗这种指令变换的恶意代码。
发明内容
本发明提供了一种对恶意代码检测的方法及系统,可以不受恶意代码指令变换的影响,准确检测出软件中是否包含恶意代码,以解决现有技术中无法准确识别一个未知软件是否是恶意软件的问题。
本发明对恶意代码检测的方法,包括步骤:
A.预处理:将预先已获取的包含PE文件(Portable Executable,可移植的可执行的文件)的训练数据集中具有恶意代码的PE文件和正常PE文件分开,对单个PE文件的二进制数据提取相应的特征,包括对应的操作码、API(应用程序接口)调用序列和PE文件头部字段;
B.对所述特征通过层叠降噪自编码器进行降维处理,得到降维后的特征向量;
C.将门控卷积网络作为深度学习模型的前半部分,通过门控卷积网络提取二进制数据的特征,作为深度学习模型前半部分的特征向量;
D.将步骤B得到的降维后的特征向量输入到所述门控卷积网络中,与步骤C得到的深度学习模型前半部分的特征向量进行组合后,作为新的特征输入到作为深度学习模型后半部分的全连接神经网络中,生成最终的待分类特征向量;
E.循环步骤A~步骤D,直到所有的PE文件都生成了对应的待分类特征向量;
F.设置测试数据集,在测试数据集中包含正常PE文件和具有恶意代码的PE文件;将测试数据集中的PE文件通过步骤A~步骤E得到的所有待分类特征向量输入分类器进行分类,并将分类结果与测试数据集中已知的PE文件类别进行比较以验证深度学习模型的正确性是否达到期望值,并通过对所述门控卷积网络和全连接神经网络的参数调整获得最优化的深度学习模型。
由于在对PE文件进行处理的时候,很多PE文件都会加壳(对可执行程序资源压缩、加密,压缩后的程序可以直接运行),所以导致不能直接看到其内部真正的指令,因此在特征提取之前需要对PE文件进行脱壳处理,从而获取PE文件真正执行时所获得的代码。因此,在步骤A中将训练数据集中具有恶意代码的PE文件和正常PE文件分开后,分别对单个PE文件进行查壳处理,例如通过PEID软件,并做标记,然后根据标记确定每类壳的脱壳工具,得到各PE文件的二进制数据。
进一步的,步骤A中对得到PE文件的二进制数据进行反汇编,得到该PE文件反汇编后的汇编指令,该汇编指令为所述的操作码;将单个PE文件的操作码按照3-gram的形式依次组成相应的序列,计算每个序列的TF-IDF(term frequency–inverse documentfrequency,用以评估一个字词对于一份文件的重要程度);然后提取每个PE文件二进制数据的API调用序列和PE文件头部字段;
每个序列的TF-IDF与对应的API调用序列以及PE文件头部字段组合为该PE文件的组合特征;步骤B中对所有PE文件的组合特征分别进行所述的降维处理。
优选的,步骤B得到维度为30的指纹特征类型的特征向量。
进一步的,步骤C中,将一个PE文件的二进制数据通过词嵌入算法生成一个embbding矩阵,将所述的embbding矩阵输入到门控卷积网络,通过门控卷积网络提取二进制数据的特征。门控卷积网络这也是目前处理大量文本型比较高效的神经网络。
本发明还提供了一种用于上述方法的对恶意代码检测的系统,包括:
预处理模块:用于获取PE文件的特征,包括操作码、API调用序列和PE文件头部字段;
特征处理模块:用于接收预处理模块的输出,对所述特征通过层叠降噪自编码器进行降维处理,得到降维后的特征向量;
深度学习建模模块:根据PE文件的二进制数据的特征和降维后的特征向量,通过门控卷积网络和全连接神经网络得到深度学习模型,并最终生成待分类特征向量;
分类器:对深度学习建模模块生成的待分类特征向量分类。
本发明对恶意代码检测的方法及系统的有益效果包括:
1、能够准确得到二进制程序执行所需要的原始指令代码,不会因为代码混淆技术而使得结果发生偏差,不会受到恶意代码指令变换的影响,能够准确检测出软件中是否包含恶意代码。
2、因为在同一个二进制文件中所使用指令代码都是同一种风格,不会出现不同指令表达同一个程序行为的情况,因此依据不同操作码、API调用以及PE文件头部字段计算得到的类别概率能够更准确的展现这个程序的风格,进而能够更准确的描述这个文件特征。
3、通常一个二进制文件的二进制字节之间存在时序上的依赖关系,但是因为一个二进制的序列长度太长了,使用普通的循环神经网络进行判断会非常耗时;因此通过卷积神经网络进行并行处理,从而极大提升了对深度学习模型的训练及检测效率。
4、使用深度学习作为训练方法,能够从大量的训练数据集中得到一个非常精准的模型。其中既使用了基于原始PE文件的二进制序列提取的特征,又使用了经额外概率统计算法提取并降维的指纹特征,即在用到局部特征的同时还自动学习到了全局特征,具有极高的检测精度。
以下结合实施例的具体实施方式,对本发明的上述内容再作进一步的详细说明。但不应将此理解为本发明上述主题的范围仅限于以下的实例。在不脱离本发明上述技术思想情况下,根据本领域普通技术知识和惯用手段做出的各种替换或变更,均应包括在本发明的范围内。
附图说明
图1为本发明对恶意代码检测的系统的结构框图。
图2为本发明对恶意代码检测的方法的路程图。
具体实施方式
因为所涉及的样本数据集的其中一部分是恶意程序,可能会对终端计算机产生危害,因此整个系统的搭建和方法的执行在虚拟机下执行。本实施例中选用VMwareWorkstations软件,能够简单方便的搭建本实施例所需要的环境。
如图1所示本发明对恶意代码检测的系统,包括:
预处理模块:用于获取PE文件的特征,包括操作码、API调用序列和PE文件头部字段;
特征处理模块:用于接收预处理模块的输出,对所述特征通过层叠降噪自编码器进行降维处理,得到降维后的特征向量;
深度学习建模模块:根据PE文件的二进制数据的特征和降维后的特征向量,通过门控卷积网络和全连接神经网络得到深度学习模型,并最终生成待分类特征向量;
分类器:对深度学习建模模块生成的待分类特征向量分类。
根据上述的系统,本发明对恶意代码检测的方法包括:
A.预处理:将预先已获取的包含PE文件(Portable Executable,可移植的可执行的文件)的训练数据集中具有恶意代码的PE文件和正常PE文件分开。由于在对PE文件进行处理的时候,很多PE文件都会加壳(对可执行程序资源压缩、加密,压缩后的程序可以直接运行),所以导致不能直接看到其内部真正的指令,因此在特征提取之前需要对PE文件进行脱壳处理,从而获取PE文件真正执行时所获得的代码。因此,通过PEID软件分别对单个PE文件进行查壳处理,并做标记,然后根据标记确定每类壳的脱壳工具,得到各PE文件的二进制数据。
然后提取单个PE文件的二进制数据的特征,包括对应的操作码、API(应用程序接口)调用序列和PE文件头部字段:通过IDA Pro软件对得到PE文件的二进制数据进行反汇编,得到该PE文件反汇编后的汇编指令,得到二进制数据的操作码;将单个PE文件的操作码按照3-gram的形式依次组成相应的序列,计算每个序列的TF-IDF(term frequency–inverse document frequency,用以评估一个字词对于一份文件的重要程度);然后提取每个PE文件二进制数据的API调用序列和PE文件头部字段。
每个序列的TF-IDF与对应的API调用序列以及PE文件头部字段组合为该PE文件的组合特征。
B.对所有PE文件的组合特征分别通过层叠降噪自编码器进行降维处理,得到降维后维度为30的指纹特征类型的特征向量。
C.门控卷积网络是目前处理大量文本型比较高效的神经网络,因此将门控卷积网络作为深度学习模型的前半部分。将一个PE文件的二进制数据通过词嵌入算法生成一个embbding矩阵,将所述的embbding矩阵输入到门控卷积网络,通过门控卷积网络提取二进制数据的特征,作为深度学习模型前半部分的特征向量,并配以辅助的损失函数。
D.将步骤B得到的降维后的特征向量作为额外输入数据输入到所述门控卷积网络中,与步骤C得到的深度学习模型前半部分的特征向量进行组合后,作为新的特征输入到作为深度学习模型后半部分的全连接神经网络中,生成最终的待分类特征向量。
E.循环步骤A~步骤D,直到所有的PE文件都生成了对应的待分类特征向量。
F.设置测试数据集,在测试数据集中包含正常PE文件和具有恶意代码的PE文件;测试方式与传统的检测反病毒程序中的启发式检测方法相似。将测试数据集中的PE文件通过步骤A~步骤E得到的所有待分类特征向量输入softmax分类器进行分类,并将分类结果与测试数据集中已知的PE文件类别进行比较以验证深度学习模型的正确性是否达到期望值,以此作为主损失函数。如果没有达到期望值,通过对所述门控卷积网络和全连接神经网络的参数调整获得最优化的深度学习模型。
在深度学习模型检测的准确率达到期望之后,整个检测系统及检测方法就实现了,可以用于实际运用了。在检测一个未知的程序的时候,可以先对该程序进行查壳和脱壳处理,并提取opcode序列、API调用序列、PE头部字段,再使用特征提取模块提取出它的指纹特征,最后载入保存好的深度学习模型以该程序的二进制序列和指纹特征为输入来检测是否为恶意程序。
Claims (6)
1.对恶意代码检测的方法,其特征包括步骤:
A.预处理:将预先已获取的包含PE文件的训练数据集中具有恶意代码的PE文件和正常PE文件分开,对单个PE文件的二进制数据提取相应的特征,包括对应的操作码、API调用序列和PE文件头部字段;
B.对所述特征通过层叠降噪自编码器进行降维处理,得到降维后的特征向量;
C.将门控卷积网络作为深度学习模型的前半部分,通过门控卷积网络提取二进制数据的特征,作为深度学习模型前半部分的特征向量;
D.将步骤B得到的降维后的特征向量输入到所述门控卷积网络中,与步骤C得到的深度学习模型前半部分的特征向量进行组合后,作为新的特征输入到作为深度学习模型后半部分的全连接神经网络中,生成最终的待分类特征向量;
E.循环步骤A~步骤D,直到所有的PE文件都生成了对应的待分类特征向量;
F.设置测试数据集,在测试数据集中包含正常PE文件和具有恶意代码的PE文件;将测试数据集中的PE文件通过步骤A~步骤E得到的所有待分类特征向量输入分类器进行分类,并将分类结果与测试数据集中已知的PE文件类别进行比较以验证深度学习模型的正确性是否达到期望值,并通过对所述门控卷积网络和全连接神经网络的参数调整获得最优化的深度学习模型。
2.如权利要求1所述的对恶意代码检测的方法,其特征为:步骤A中将训练数据集中具有恶意代码的PE文件和正常PE文件分开后,分别对单个PE文件进行查壳处理,并做标记,然后根据标记确定每类壳的脱壳工具,得到各PE文件的二进制数据。
3.如权利要求2所述的对恶意代码检测的方法,其特征为:步骤A中对得到的PE文件的二进制数据进行反汇编,得到该PE文件反汇编后的汇编指令,该汇编指令为所述的操作码;将单个PE文件的操作码按照3-gram的形式依次组成相应的序列,计算每个序列的TF-IDF;然后提取每个PE文件二进制数据的API调用序列和PE文件头部字段;
每个序列的TF-IDF与对应的API调用序列以及PE文件头部字段组合为该PE文件的组合特征;步骤B中对所有PE文件的组合特征分别进行所述的降维处理。
4.如权利要求1所述的对恶意代码检测的方法,其特征为:步骤B得到维度为30的指纹特征类型的特征向量。
5.如权利要求1所述的对恶意代码检测的方法,其特征为:步骤C中,将一个PE文件的二进制数据通过词嵌入算法生成一个embbding矩阵,将所述的embbding矩阵输入到门控卷积网络,通过门控卷积网络提取二进制数据的特征。
6.用于权利要求1至5之一所述方法的系统,其特征包括:
预处理模块:用于获取PE文件的特征,包括操作码、API调用序列和PE文件头部字段;
特征处理模块:用于接收预处理模块的输出,对所述特征通过层叠降噪自编码器进行降维处理,得到降维后的特征向量;
深度学习建模模块:根据PE文件的二进制数据的特征和降维后的特征向量,通过门控卷积网络和全连接神经网络得到深度学习模型,并最终生成待分类特征向量;
分类器:对深度学习建模模块生成的待分类特征向量分类。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910638126.4A CN110348214B (zh) | 2019-07-16 | 2019-07-16 | 对恶意代码检测的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910638126.4A CN110348214B (zh) | 2019-07-16 | 2019-07-16 | 对恶意代码检测的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110348214A true CN110348214A (zh) | 2019-10-18 |
CN110348214B CN110348214B (zh) | 2021-06-08 |
Family
ID=68176472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910638126.4A Active CN110348214B (zh) | 2019-07-16 | 2019-07-16 | 对恶意代码检测的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110348214B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110826063A (zh) * | 2019-10-23 | 2020-02-21 | 中国人民解放军陆军工程大学 | 一种基于api片段的恶意代码检测方法 |
CN111241496A (zh) * | 2020-04-24 | 2020-06-05 | 支付宝(杭州)信息技术有限公司 | 确定小程序特征向量的方法、装置和电子设备 |
CN111400715A (zh) * | 2020-06-04 | 2020-07-10 | 鹏城实验室 | 分类引擎诊断方法、装置及计算机可读存储介质 |
CN111881447A (zh) * | 2020-06-28 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 恶意代码片段智能取证方法及系统 |
CN112149124A (zh) * | 2020-11-02 | 2020-12-29 | 电子科技大学 | 一种基于异构信息网络的安卓恶意程序检测的方法和系统 |
CN112417447A (zh) * | 2020-11-11 | 2021-02-26 | 北京京航计算通讯研究所 | 一种恶意代码分类结果的精确度验证方法及装置 |
CN112861131A (zh) * | 2021-02-08 | 2021-05-28 | 山东大学 | 基于卷积自编码器的库函数识别检测方法及系统 |
CN112883374A (zh) * | 2021-02-02 | 2021-06-01 | 电子科技大学 | 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统 |
CN112890828A (zh) * | 2021-01-14 | 2021-06-04 | 重庆兆琨智医科技有限公司 | 一种密集连接门控网络的脑电信号识别方法及系统 |
CN113139187A (zh) * | 2021-04-22 | 2021-07-20 | 北京启明星辰信息安全技术有限公司 | 一种预训练语言模型的生成、检测方法及装置 |
CN113221109A (zh) * | 2021-03-30 | 2021-08-06 | 浙江工业大学 | 一种基于生成对抗网络的恶意文件智能分析方法 |
CN116089951A (zh) * | 2023-02-24 | 2023-05-09 | 山东云天安全技术有限公司 | 一种恶意代码检测方法、可读存储介质及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090133126A1 (en) * | 2007-11-20 | 2009-05-21 | Jang Moon Su | Apparatus and method for detecting dll inserted by malicious code |
CN103294951A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于文档型漏洞的恶意代码样本提取方法及系统 |
CN107180191A (zh) * | 2017-05-03 | 2017-09-19 | 北京理工大学 | 一种基于半监督学习的恶意代码分析方法和系统 |
US20180314829A1 (en) * | 2017-05-01 | 2018-11-01 | International Business Machines Corporation | Portable executable and non-portable executable boot file security |
-
2019
- 2019-07-16 CN CN201910638126.4A patent/CN110348214B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090133126A1 (en) * | 2007-11-20 | 2009-05-21 | Jang Moon Su | Apparatus and method for detecting dll inserted by malicious code |
CN103294951A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于文档型漏洞的恶意代码样本提取方法及系统 |
US20180314829A1 (en) * | 2017-05-01 | 2018-11-01 | International Business Machines Corporation | Portable executable and non-portable executable boot file security |
CN107180191A (zh) * | 2017-05-03 | 2017-09-19 | 北京理工大学 | 一种基于半监督学习的恶意代码分析方法和系统 |
Non-Patent Citations (2)
Title |
---|
BOJAN KOLOSNJAJI ETC: "Empowering convolutional networks for malware classification and analysis", 《IEEE》 * |
陈维: "恶意软件识别方法研究与应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110826063A (zh) * | 2019-10-23 | 2020-02-21 | 中国人民解放军陆军工程大学 | 一种基于api片段的恶意代码检测方法 |
CN111241496A (zh) * | 2020-04-24 | 2020-06-05 | 支付宝(杭州)信息技术有限公司 | 确定小程序特征向量的方法、装置和电子设备 |
CN111400715A (zh) * | 2020-06-04 | 2020-07-10 | 鹏城实验室 | 分类引擎诊断方法、装置及计算机可读存储介质 |
CN111881447A (zh) * | 2020-06-28 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 恶意代码片段智能取证方法及系统 |
CN111881447B (zh) * | 2020-06-28 | 2022-12-06 | 中国人民解放军战略支援部队信息工程大学 | 恶意代码片段智能取证方法及系统 |
CN112149124A (zh) * | 2020-11-02 | 2020-12-29 | 电子科技大学 | 一种基于异构信息网络的安卓恶意程序检测的方法和系统 |
CN112149124B (zh) * | 2020-11-02 | 2022-04-29 | 电子科技大学 | 一种基于异构信息网络的安卓恶意程序检测的方法和系统 |
CN112417447A (zh) * | 2020-11-11 | 2021-02-26 | 北京京航计算通讯研究所 | 一种恶意代码分类结果的精确度验证方法及装置 |
CN112890828A (zh) * | 2021-01-14 | 2021-06-04 | 重庆兆琨智医科技有限公司 | 一种密集连接门控网络的脑电信号识别方法及系统 |
CN112883374A (zh) * | 2021-02-02 | 2021-06-01 | 电子科技大学 | 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统 |
CN112883374B (zh) * | 2021-02-02 | 2022-07-01 | 电子科技大学 | 一种基于ART环境下的Android平台应用程序通用脱壳方法及系统 |
CN112861131A (zh) * | 2021-02-08 | 2021-05-28 | 山东大学 | 基于卷积自编码器的库函数识别检测方法及系统 |
CN113221109A (zh) * | 2021-03-30 | 2021-08-06 | 浙江工业大学 | 一种基于生成对抗网络的恶意文件智能分析方法 |
CN113221109B (zh) * | 2021-03-30 | 2022-06-28 | 浙江工业大学 | 一种基于生成对抗网络的恶意文件智能分析方法 |
CN113139187A (zh) * | 2021-04-22 | 2021-07-20 | 北京启明星辰信息安全技术有限公司 | 一种预训练语言模型的生成、检测方法及装置 |
CN113139187B (zh) * | 2021-04-22 | 2023-12-19 | 北京启明星辰信息安全技术有限公司 | 一种预训练语言模型的生成、检测方法及装置 |
CN116089951A (zh) * | 2023-02-24 | 2023-05-09 | 山东云天安全技术有限公司 | 一种恶意代码检测方法、可读存储介质及电子设备 |
CN116089951B (zh) * | 2023-02-24 | 2023-07-14 | 山东云天安全技术有限公司 | 一种恶意代码检测方法、可读存储介质及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN110348214B (zh) | 2021-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110348214A (zh) | 对恶意代码检测的方法及系统 | |
CN110147726B (zh) | 业务质检方法和装置、存储介质及电子装置 | |
CN109753801B (zh) | 基于系统调用的智能终端恶意软件动态检测方法 | |
CN106407809B (zh) | 一种Linux平台恶意软件检测方法 | |
KR101162051B1 (ko) | 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법 | |
CN106934275B (zh) | 一种基于个人信息的口令强度评测方法 | |
CN109491914B (zh) | 基于不平衡学习策略高影响缺陷报告预测方法 | |
CN108268777A (zh) | 一种利用补丁信息进行未知漏洞发现的相似性检测方法 | |
KR102221492B1 (ko) | 텍스트 마이닝 기반 보안 이벤트 자동 검증 시스템 및 방법 | |
CN113076994B (zh) | 一种开集域自适应图像分类方法及系统 | |
CN109598124A (zh) | 一种webshell检测方法以及装置 | |
CN110428845A (zh) | 合成音频检测方法、系统、移动终端及存储介质 | |
CN107368592B (zh) | 一种用于网络安全报告的文本特征模型建模方法及装置 | |
CN109033833B (zh) | 一种基于多特征与特征选择的恶意代码分类方法 | |
CN111931179A (zh) | 基于深度学习的云端恶意程序检测系统及方法 | |
CN106485146A (zh) | 一种信息处理方法及服务器 | |
CN115758388A (zh) | 一种基于低维字节码特征的智能合约的漏洞检测方法 | |
CN114386511B (zh) | 基于多维度特征融合和模型集成的恶意软件家族分类方法 | |
CN113783852B (zh) | 一种基于神经网络的智能合约庞氏骗局检测算法 | |
CN113536308B (zh) | 软件基因视角下多粒度信息融合的二进制代码溯源方法 | |
CN112231775A (zh) | 一种基于Adaboost算法的硬件木马检测方法 | |
CN117454387A (zh) | 基于多维度的特征提取的漏洞代码检测方法 | |
CN108052501A (zh) | 一种基于人工智能的实体关系对识别方法及系统 | |
CN106970908A (zh) | 一种语音内容分析方法 | |
KR102405799B1 (ko) | 사이버 공간에서 실시간 공격 탐지를 위한 시간에 따른 지속적인 적응형 학습을 제공하는 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |