CN110362995A - 一种基于逆向与机器学习的恶意软件检测及分析系统 - Google Patents
一种基于逆向与机器学习的恶意软件检测及分析系统 Download PDFInfo
- Publication number
- CN110362995A CN110362995A CN201910471439.5A CN201910471439A CN110362995A CN 110362995 A CN110362995 A CN 110362995A CN 201910471439 A CN201910471439 A CN 201910471439A CN 110362995 A CN110362995 A CN 110362995A
- Authority
- CN
- China
- Prior art keywords
- file
- server
- data
- machine learning
- inversely
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Virology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于逆向与机器学习的恶意软件检测及分析系统,包括客户端,用户在客户端上传需要检测的PE文件,通过网络传输到达服务端,将其解析为二进制文件并保存为二进制文件P2,服务器基于熵的壳检测技术来检测上传的PE文件是否存在保护;PE文件存在保护时,服务器进行脱壳处理后进行第二次扫描检测;PE文件未存在保护:服务器直接进行第二次扫描检测;服务器对PE文件进行第二次扫描检测时,检测PE文件是否存在敏感字符串或调用恶意API函数;将敏感字符串或调用恶意API函数映射到预先设置的数据格式A;将A输出到训练好的ML模型进行识别,通过客户端显示四种不同等级的提醒。
Description
技术领域
本发明属于机器学习领域,涉及一种基于逆向与机器学习的恶意软件检测及分析系统。
背景技术
计算机网络是信息社会的基础,已经进入了社会的各个角落,经济、文化、军事和社会生活越来越多依赖计算机网络。然而,计算机在给人们带来巨大便利的同时,也带来了不可忽视的问题,那就是计算机病毒给网络系统的安全运行带来了极大的挑战。2017年5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见。通过这种网络安全事件的影响表明,恶意软件已经成为威胁网络和信息安全的关键因素之一。恶意软件除了本身的恶意功能之外,恶意软件的作者会花费更多的时间在软件捆绑或加壳等技术上,用来进一步加强恶意软件的传播功能以及规避检测机制。这使得对恶意软件的检测变得更加困难。因此,恶意软件检测问题是当前恶意软件防范的重点,同时也是难点。
发明内容
本发明的目的在于:提供了一种基于逆向与机器学习的恶意软件检测及分析系统,完成恶意软件的检测。
本发明采用的技术方案如下:
一种基于逆向与机器学习的恶意软件检测及分析系统,包括客户端,用户在客户端上传需要检测的PE文件,通过网络传输到达服务端,将其解析为二进制文件并保存为二进制文件P2,服务器基于熵的壳检测技术来检测上传的PE文件是否存在保护;PE文件存在保护时,服务器进行脱壳处理后进行第二次扫描检测;PE文件未存在保护:服务器直接进行第二次扫描检测;服务器对PE文件进行第二次扫描检测时,检测PE文件是否存在敏感字符串或调用恶意API函数;将敏感字符串或调用恶意API函数映射到预先设置的数据格式A;将A输出到训练好的ML模型进行识别,通过客户端显示四种不同等级的提醒;其中,ML模型通过以下步骤训练;
S1:通过解析提取文件头部信息、标签和行为字节码;静态分析数据:原始数据和一系列指令;
S2:将生成的数据提取并缩放值为0~1的矩阵中,即如果将原始值缩放到0~1之间以减少计算复杂性
如指令或序列给出了API调用,他被投射到N*M矩阵中,其中N为指令序列的数量,M为类型的数量;
S3:将转化来的数据,输入SVM、随机森林、KNN、朴素贝叶斯算法、CNN等学习模型进行训练;
S4:将它们的输出结果都交于“EnsembleMethod”对每一个进行评价打分,最后给出最佳的学习模型;
S5:利用上一步骤得到的最佳模型,对数据进行预测,并给出是否为敏感字符串或调用恶意API函数的结论。
为了解决传统问题的不足,本发明采用机器学习,首选训练ML模型,通过ML模型来对数据进行预测,并给出是否为敏感字符串或调用恶意API函数的结论;不同类型的恶意代码有着不同的数据特征,单一的分类算法(即文章开头提到的各种机器学习模型)。所以,我们的思路是利用现今对于这六类恶意代码有着良好分类性能的分类算法对训练数据集进行训练。比如说,我们有500个一类病毒(计算机病毒)数据,输入图一中进行训练。分类算法1—分类算法5都会对着500个数据进行训练,分成5批,然后一批一批输出给“EnsembleMethod”;“EnsembleMethod”阶段,借用集成学习的思想。大概的思路是:因为是500个训练集,因此它们都事先贴好了标签,“EnsembleMethod”会接收到分类算法1—分类算法5的分类结果。比如说,一共有五种分类算法在模型内,那么“EnsembleMethod”给予每种分类算法的权重都是0.2。分类算法1对于第一批数据的准确率是90%,分类算法2对于第一批数据的准确率是80%,分类算法3对于第一批数据的准确率是70%·那么给予分类算法1合适的权重加成,算法一的权重就会变为0.3,而其他算法或增或减,总值为1不变。这样一批批数据过后,算法一就会有极高的权重,也代表着这种算法对于当前“计算机病毒”这一类病毒有着良好的分类效果。如上所述,每一类的恶意代码的数据都经过训练后,分类算法1—分类算法5对于各类恶意代码都有着对应的权重和识别效果;这样模型就训练好了,当用户输入新的恶意代码时,分类算法1—分类算法N都会对其进行分类识别,每种算法都会有不同的识别程度,例如会输出:
若五种算法,都判断是非恶意病毒,那么就输出给用户:恶意病毒若五种算法中,有算法一和算法二判断是恶意代码“计算机病毒”,而其他3种算法判断是非恶意代码,那么“EnsembleMethod”就会根据训练过程中,分类算法1—分类算法5对于“计算机病毒”的相关权重进行计算。所述恶意病毒为敏感字符串或调用恶意API函数。所述四种不同等级包括高危、警告、未知和安全,每种等级中列出搜索到的敏感操作,ML模型会对这些操作进行打分,不同的分数反应不同的危险程度。
进一步,所述步骤5中的敏感字符串或调用恶意API函数包括计算机病毒、特洛伊木马、蠕虫、后门、Rookit、间谍软件。
进一步,所述脱壳过程,使用命令行传递文件路径,使用启发式方法找到程序入口OriginalEntryPoint,其中有四种启发方法:熵、跳到节外、长跳转、pushad和popad;之后修复ImportDirectory重构可执行版本,最终输出脱壳结果。本系统,使用Dynamic BinaryInstrumentation(DBI)frameworks对程序进行动态分析。DBI提供分析二进制文件非常细粒度的控制,可以全面控制程序执行的代码,深入分析程序做了什么,对反调试和反汇编技术免疫,有丰富且文档完备的API集合用于从程序中提取出信息,能改变程序运行时的行为。加壳程序往往违反程序的一个内存地址要么可写要么可执行的规则,即WritexorExecution(WxorX)。通用脱壳原理:加壳可执行文件必须运行时脱壳,脱壳过程中会向内存写入新的代码,然后执行写入的代码,利用上述特性构建通用脱壳工具。脱壳过程,使用命令行传递文件路径,使用启发式方法找到程序入口OriginalEntryPoint(OEP),其中有四种启发方法:1、熵;2、跳到节外;3、长跳转;4、pushad和popad,之后修复ImportDirectory重构可执行版本,最终输出脱壳结果。
进一步,所述数据格式A通过以下步骤得到:
SS1:输入类型(X1):
有exe、DLL、OCX、SYS等PE文件格式类型
这个数据类型属于虚拟变量,需要进行虚拟变量处理
SS2:提权操作(X2):
根据不同的提权操作函数赋予值并添加权重,其结果位于X2
SS3:网络行为(X3):
根据记录在文件中与IP\FTP操作相关行为赋予值并添加权重,其结果位于X3
SS4:硬盘操作(X4):
根据不同的硬盘操作函数赋予值并添加权重,其结果位于X4
SS5:进程附加(X5):
根据不同的硬盘操作函数赋予值并添加权重,其结果位于X5
SS6:其他待定义(Xn)
SS7:y:得到的结果,
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1.市面上一些恶意软件检测产品需要将用户的PE文件上传到网络或检测网站,需要网络,本产品有比对样本库可以离线处理。
2.本发明中机器学习算法中采用同态算法。
3.待检文件作为新的样本用于算法修正,判断率随着该系统使用率增大而提高,使用该系统的用户越多判断越精确。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图,其中:
图1是本发明系统流程图
图2是本发明ML模型训练流程图
图3是本发明客户端操作流程图
图4是本发明机器学习流程图
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
实际工作时:后台框架使用Java作为主框架,兼容python进行机器学习,调用函数实现外部应用调用,网络接口使用Java,脱壳接口使用gattime开放子线程调用外部应用脱壳,分析处理直接使用Java调用python实现。如,java的Runtime.getRuntime().exec(commandStr)
具体的:
在java中新建线程启动Windows命令解释器的一个新实例:
参数规则:
可以调用执行cmd指令,处理脱壳使用的是命令行软件,直接使用Java写入bat批处理,然后调用cmd执行。
下面结合实施例对本发明的特征和性能作进一步的详细描述。
实施例一
一种基于逆向与机器学习的恶意软件检测及分析系统,包括客户端,用户在客户端上传需要检测的PE文件,通过网络传输到达服务端,将其解析为二进制文件并保存为二进制文件P2,服务器基于熵的壳检测技术来检测上传的PE文件是否存在保护;PE文件存在保护时,服务器进行脱壳处理后进行第二次扫描检测;PE文件未存在保护:服务器直接进行第二次扫描检测;服务器对PE文件进行第二次扫描检测时,检测PE文件是否存在敏感字符串或调用恶意API函数;将敏感字符串或调用恶意API函数映射到预先设置的数据格式A;将A输出到训练好的ML模型进行识别,通过客户端显示四种不同等级的提醒;其中,ML模型通过以下步骤训练;
S1:通过解析提取文件头部信息、标签和行为字节码;静态分析数据:原始数据和一系列指令;
S2:将生成的数据提取并缩放值为0~1的矩阵中,即如果将原始值缩放到0~1之间以减少计算复杂性
如指令或序列给出了API调用,他被投射到N*M矩阵中,其中N为指令序列的数量,M为类型的数量;
S3:将转化来的数据,输入SVM、随机森林、KNN、朴素贝叶斯算法、CNN等学习模型进行训练;
S4:将它们的输出结果都交于“EnsembleMethod”对每一个进行评价打分,最后给出最佳的学习模型;
S5:利用上一步骤得到的最佳模型,对数据进行预测,并给出是否为敏感字符串或调用恶意API函数的结论。
工作时:我们将在服务器上建立多个字符串规则库及二进制特征库。例如一般木马所特有的特征库、恶意API函数特征库、混淆加密相关特征库、敏感注册表路径规则库、比特币地址正则表达式规则库等。关于二进制特征库的建立,将使用N-gram特征提取方法和变长N-gram滑动窗口特征提取方法进行特征的提取。
实施例二
本发明在实施例提一的基础上:所述脱壳过程,使用命令行传递文件路径,使用启发式方法找到程序入口OriginalEntryPoint,其中有四种启发方法:熵、跳到节外、长跳转、pushad和popad;之后修复ImportDirectory重构可执行版本,最终输出脱壳结果。
工作时:本系统,使用Dynamic Binary Instrumentation(DBI)frameworks对程序进行动态分析。DBI提供分析二进制文件非常细粒度的控制,可以全面控制程序执行的代码,深入分析程序做了什么,对反调试和反汇编技术免疫,有丰富且文档完备的API集合用于从程序中提取出信息,能改变程序运行时的行为。加壳程序往往违反程序的一个内存地址要么可写要么可执行的规则,即WritexorExecution(WxorX)。通用脱壳原理:加壳可执行文件必须运行时脱壳,脱壳过程中会向内存写入新的代码,然后执行写入的代码,利用上述特性构建通用脱壳工具。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明的保护范围,任何熟悉本领域的技术人员在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于逆向与机器学习的恶意软件检测及分析系统,其特征在于:包括客户端,用户在客户端上传需要检测的PE文件,通过网络传输到达服务端,将其解析为二进制文件并保存为二进制文件P2,
服务器基于熵的壳检测技术来检测上传的PE文件是否存在保护;PE文件存在保护时,服务器进行脱壳处理后进行第二次扫描检测;PE文件未存在保护:服务器直接进行第二次扫描检测;
服务器对PE文件进行第二次扫描检测时,检测PE文件是否存在敏感字符串或调用恶意API函数;将敏感字符串或调用恶意API函数映射到预先设置的数据格式A;将A输出到训练好的ML模型进行识别,通过客户端显示四种不同等级的提醒;
其中,ML模型通过以下步骤训练;
S1:通过解析提取文件头部信息、标签和行为字节码;静态分析数据:原始数据和一系列指令;
S2:将生成的数据提取并缩放值为0~1的矩阵中,即如果将原始值缩放到0~1之间以减少计算复杂性
如指令或序列给出了API调用,他被投射到N*M矩阵中,其中N为指令序列的数量,M为类型的数量;
S3:将转化来的数据,输入SVM、随机森林、KNN、朴素贝叶斯算法、CNN等学习模型进行训练;
S4:将它们的输出结果都交于“EnsembleMethod”对每一个进行评价打分,最后给出最佳的学习模型;
S5:利用上一步骤得到的最佳模型,对数据进行预测,并给出是否为敏感字符串或调用恶意API函数的结论。
2.根据权利要求1所述的一种基于逆向与机器学习的恶意软件检测及分析系统,其特征在于:所述步骤5中的敏感字符串或调用恶意API函数包括计算机病毒、特洛伊木马、蠕虫、后门、Rookit、间谍软件。
3.根据权利要求1所述的一种基于逆向与机器学习的恶意软件检测及分析系统,其特征在于:所述脱壳过程,使用命令行传递文件路径,使用启发式方法找到程序入口OriginalEntryPoint,其中有四种启发方法:熵、跳到节外、长跳转、pushad和popad;之后修复ImportDirectory重构可执行版本,最终输出脱壳结果。
4.根据权利要求1所述的一种基于逆向与机器学习的恶意软件检测及分析系统,其特征在于:所述数据格式A通过以下步骤得到:
SS1:输入类型(X1):
有exe、DLL、OCX、SYS等PE文件格式类型
这个数据类型属于虚拟变量,需要进行虚拟变量处理
SS2:提权操作(X2):
根据不同的提权操作函数赋予值并添加权重,其结果位于X2
SS3:网络行为(X3):
根据记录在文件中与IP\FTP操作相关行为赋予值并添加权重,其结果位于X3
SS4:硬盘操作(X4):
根据不同的硬盘操作函数赋予值并添加权重,其结果位于X4
SS5:进程附加(X5):
根据不同的硬盘操作函数赋予值并添加权重,其结果位于X5
SS6:其他待定义(Xn)
SS7:y:得到的结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910471439.5A CN110362995B (zh) | 2019-05-31 | 2019-05-31 | 一种基于逆向与机器学习的恶意软件检测及分析系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910471439.5A CN110362995B (zh) | 2019-05-31 | 2019-05-31 | 一种基于逆向与机器学习的恶意软件检测及分析系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110362995A true CN110362995A (zh) | 2019-10-22 |
CN110362995B CN110362995B (zh) | 2022-12-02 |
Family
ID=68215003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910471439.5A Active CN110362995B (zh) | 2019-05-31 | 2019-05-31 | 一种基于逆向与机器学习的恶意软件检测及分析系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110362995B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112612557A (zh) * | 2020-12-25 | 2021-04-06 | 平安国际智慧城市科技股份有限公司 | 敏感数据识别方法、系统、计算机设备及可读存储介质 |
CN112711723A (zh) * | 2019-10-25 | 2021-04-27 | 北京搜狗科技发展有限公司 | 一种恶意网址检测方法、装置及电子设备 |
TWI767582B (zh) * | 2021-02-23 | 2022-06-11 | 財團法人資訊工業策進會 | 檔案弱點檢測系統及其檢測方法 |
CN114629711A (zh) * | 2022-03-21 | 2022-06-14 | 广东云智安信科技有限公司 | 一种针对Windows平台特种木马检测的方法及系统 |
CN117216797A (zh) * | 2022-12-01 | 2023-12-12 | 丰立有限公司 | 保护数据文件的系统及方法 |
Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070294768A1 (en) * | 2006-01-31 | 2007-12-20 | Deutsche Telekom Ag | Method and system for detecting malicious behavioral patterns in a computer, using machine learning |
CN102034050A (zh) * | 2011-01-25 | 2011-04-27 | 四川大学 | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 |
CN102945347A (zh) * | 2012-09-29 | 2013-02-27 | 中兴通讯股份有限公司 | 一种检测Android恶意软件的方法、系统及设备 |
CN103927483A (zh) * | 2014-04-04 | 2014-07-16 | 西安电子科技大学 | 用于检测恶意程序的判定模型及恶意程序的检测方法 |
US20150227741A1 (en) * | 2014-02-07 | 2015-08-13 | Cylance, Inc. | Application Execution Control Utilizing Ensemble Machine Learning For Discernment |
CN105138916A (zh) * | 2015-08-21 | 2015-12-09 | 中国人民解放军信息工程大学 | 基于数据挖掘的多轨迹恶意程序特征检测方法 |
US20170063897A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Interface Providing An Interactive Timeline For Evaluating Instances Of Potential Network Compromise |
CN106599686A (zh) * | 2016-10-12 | 2017-04-26 | 四川大学 | 一种基于tlsh特征表示的恶意软件聚类方法 |
US20170289183A1 (en) * | 2016-03-31 | 2017-10-05 | Mcafee, Inc. | Iot and pos anti-malware strategy |
CN107622200A (zh) * | 2016-07-14 | 2018-01-23 | 腾讯科技(深圳)有限公司 | 应用程序的安全性检测方法及装置 |
CN107908963A (zh) * | 2018-01-08 | 2018-04-13 | 北京工业大学 | 一种自动化检测恶意代码核心特征方法 |
CN108038376A (zh) * | 2017-12-21 | 2018-05-15 | 中国人民解放军战略支援部队信息工程大学 | 基于混合分析的加壳程序通用脱壳方法及装置 |
CN108182248A (zh) * | 2017-12-28 | 2018-06-19 | 贵州小爱机器人科技有限公司 | 信息处理方法以及信息处理装置 |
CN108280348A (zh) * | 2018-01-09 | 2018-07-13 | 上海大学 | 基于rgb图像映射的安卓恶意软件识别方法 |
CN109254827A (zh) * | 2018-08-27 | 2019-01-22 | 电子科技大学成都学院 | 一种基于大数据与机器学习的虚拟机安全防护方法及系统 |
CN109344614A (zh) * | 2018-07-23 | 2019-02-15 | 厦门大学 | 一种Android恶意应用在线检测方法 |
CN109543406A (zh) * | 2018-09-29 | 2019-03-29 | 广东工业大学 | 一种基于XGBoost机器学习算法的Android恶意软件检测方法 |
CN109684840A (zh) * | 2018-12-20 | 2019-04-26 | 西安电子科技大学 | 基于敏感调用路径的Android恶意软件检测方法 |
-
2019
- 2019-05-31 CN CN201910471439.5A patent/CN110362995B/zh active Active
Patent Citations (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070294768A1 (en) * | 2006-01-31 | 2007-12-20 | Deutsche Telekom Ag | Method and system for detecting malicious behavioral patterns in a computer, using machine learning |
CN102034050A (zh) * | 2011-01-25 | 2011-04-27 | 四川大学 | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 |
CN102945347A (zh) * | 2012-09-29 | 2013-02-27 | 中兴通讯股份有限公司 | 一种检测Android恶意软件的方法、系统及设备 |
US20150227741A1 (en) * | 2014-02-07 | 2015-08-13 | Cylance, Inc. | Application Execution Control Utilizing Ensemble Machine Learning For Discernment |
CN103927483A (zh) * | 2014-04-04 | 2014-07-16 | 西安电子科技大学 | 用于检测恶意程序的判定模型及恶意程序的检测方法 |
CN105138916A (zh) * | 2015-08-21 | 2015-12-09 | 中国人民解放军信息工程大学 | 基于数据挖掘的多轨迹恶意程序特征检测方法 |
US20170063897A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Interface Providing An Interactive Timeline For Evaluating Instances Of Potential Network Compromise |
US20170289183A1 (en) * | 2016-03-31 | 2017-10-05 | Mcafee, Inc. | Iot and pos anti-malware strategy |
CN107622200A (zh) * | 2016-07-14 | 2018-01-23 | 腾讯科技(深圳)有限公司 | 应用程序的安全性检测方法及装置 |
CN106599686A (zh) * | 2016-10-12 | 2017-04-26 | 四川大学 | 一种基于tlsh特征表示的恶意软件聚类方法 |
CN108038376A (zh) * | 2017-12-21 | 2018-05-15 | 中国人民解放军战略支援部队信息工程大学 | 基于混合分析的加壳程序通用脱壳方法及装置 |
CN108182248A (zh) * | 2017-12-28 | 2018-06-19 | 贵州小爱机器人科技有限公司 | 信息处理方法以及信息处理装置 |
CN107908963A (zh) * | 2018-01-08 | 2018-04-13 | 北京工业大学 | 一种自动化检测恶意代码核心特征方法 |
CN108280348A (zh) * | 2018-01-09 | 2018-07-13 | 上海大学 | 基于rgb图像映射的安卓恶意软件识别方法 |
CN109344614A (zh) * | 2018-07-23 | 2019-02-15 | 厦门大学 | 一种Android恶意应用在线检测方法 |
CN109254827A (zh) * | 2018-08-27 | 2019-01-22 | 电子科技大学成都学院 | 一种基于大数据与机器学习的虚拟机安全防护方法及系统 |
CN109543406A (zh) * | 2018-09-29 | 2019-03-29 | 广东工业大学 | 一种基于XGBoost机器学习算法的Android恶意软件检测方法 |
CN109684840A (zh) * | 2018-12-20 | 2019-04-26 | 西安电子科技大学 | 基于敏感调用路径的Android恶意软件检测方法 |
Non-Patent Citations (11)
Title |
---|
SHINA SHEEN: "Malware detection by pruning of parallel ensembles using harmony search", 《PATTERN RECOGNITION LETTERS(2013)》 * |
YANFANG YE: "An intelligent PE-malware detection system based on association mining", 《DOI 10.1007/S11416-008-0082-4》 * |
代琪怡: "基于计算机网络技术的计算机网络信息安全及其防护策略", 《计算机产品与流通》 * |
唐永旺等: "基于改进卷积神经网络的恶意代码检测技术", 《信息工程大学学报》 * |
李东宏: "恶意样本分析手册——API函数篇", 《HTTPS://BLOG.NSFOCUS.NET/MALWARE-SAMPLE-ANALYSIS-API/》 * |
李双双: "基于SVM方法的恶意软件加壳分类系统旳研究与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
樊 震: "一种基于信息熵的 PE文件加壳检测方法", 《电脑开发与应用》 * |
沈科: "基于API调用分析的Android应用行为意图推测", 《清华大学学报(自然科学版)》 * |
王玉良等: "基于iOS系统的恶意行为检测研究", 《电信科学》 * |
白金荣等: "基于敏感Native API的恶意软件检测方法", 《计算机工程》 * |
陈峰等: "网络攻击技术研究进展", 《西北大学学报(自然科学版)》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112711723A (zh) * | 2019-10-25 | 2021-04-27 | 北京搜狗科技发展有限公司 | 一种恶意网址检测方法、装置及电子设备 |
CN112711723B (zh) * | 2019-10-25 | 2024-04-30 | 北京搜狗科技发展有限公司 | 一种恶意网址检测方法、装置及电子设备 |
CN112612557A (zh) * | 2020-12-25 | 2021-04-06 | 平安国际智慧城市科技股份有限公司 | 敏感数据识别方法、系统、计算机设备及可读存储介质 |
CN112612557B (zh) * | 2020-12-25 | 2023-08-15 | 平安国际智慧城市科技股份有限公司 | 敏感数据识别方法、系统、计算机设备及可读存储介质 |
TWI767582B (zh) * | 2021-02-23 | 2022-06-11 | 財團法人資訊工業策進會 | 檔案弱點檢測系統及其檢測方法 |
CN114629711A (zh) * | 2022-03-21 | 2022-06-14 | 广东云智安信科技有限公司 | 一种针对Windows平台特种木马检测的方法及系统 |
CN114629711B (zh) * | 2022-03-21 | 2024-02-06 | 广东云智安信科技有限公司 | 一种针对Windows平台特种木马检测的方法及系统 |
CN117216797A (zh) * | 2022-12-01 | 2023-12-12 | 丰立有限公司 | 保护数据文件的系统及方法 |
CN117216797B (zh) * | 2022-12-01 | 2024-05-31 | 丰立有限公司 | 保护数据文件的系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110362995B (zh) | 2022-12-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Darem et al. | Visualization and deep-learning-based malware variant detection using OpCode-level features | |
Hashemi et al. | Graph embedding as a new approach for unknown malware detection | |
CN109359439B (zh) | 软件检测方法、装置、设备及存储介质 | |
CN110362995A (zh) | 一种基于逆向与机器学习的恶意软件检测及分析系统 | |
Li et al. | Attribution classification method of APT malware in IoT using machine learning techniques | |
Zhao et al. | A review of computer vision methods in network security | |
CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
CN110362996B (zh) | 一种离线检测PowerShell恶意软件的方法与系统 | |
CN112492059A (zh) | Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质 | |
US20210334371A1 (en) | Malicious File Detection Technology Based on Random Forest Algorithm | |
CN112329012B (zh) | 针对包含JavaScript的恶意PDF文档的检测方法及电子设备 | |
CN117077153B (zh) | 基于大规模语言模型的静态应用安全检测误报判别方法 | |
Barlow et al. | A novel approach to detect phishing attacks using binary visualisation and machine learning | |
CN112241530A (zh) | 恶意pdf文档的检测方法及电子设备 | |
CN108509794A (zh) | 一种基于分类学习算法的恶意网页防御检测方法 | |
Dewanje et al. | A new malware detection model using emerging machine learning algorithms | |
McGahagan et al. | A comprehensive evaluation of webpage content features for detecting malicious websites | |
Song et al. | Evaluations of AI‐based malicious PowerShell detection with feature optimizations | |
Poudyal et al. | Malware analytics: Review of data mining, machine learning and big data perspectives | |
Xiao et al. | A novel malware classification method based on crucial behavior | |
CN114003910A (zh) | 一种基于动态图对比学习的恶意变种实时检测方法 | |
Yoo et al. | The image game: exploit kit detection based on recursive convolutional neural networks | |
CN114386511A (zh) | 基于多维度特征融合和模型集成的恶意软件家族分类方法 | |
Yamany et al. | Ransomware clustering and classification using similarity matrix | |
Wang et al. | Deep learning and regularization algorithms for malicious code classification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |