CN110543765A - 一种恶意软件检测方法 - Google Patents
一种恶意软件检测方法 Download PDFInfo
- Publication number
- CN110543765A CN110543765A CN201910803258.8A CN201910803258A CN110543765A CN 110543765 A CN110543765 A CN 110543765A CN 201910803258 A CN201910803258 A CN 201910803258A CN 110543765 A CN110543765 A CN 110543765A
- Authority
- CN
- China
- Prior art keywords
- software
- target
- malware
- malicious
- target software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种恶意软件检测方法,包括如下步骤:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API。本发明中,目标软件的运行与解析均在隔离沙箱中进行,隔离沙箱是与现有系统相隔离的,独立创建的密闭程序运行空间,在运行不确定程序时,可以很好的保护当前程序不受到破坏,以及打开目标软件时被植入木马病毒,保障了系统的安全性。
Description
技术领域
本发明属于恶意软件检测技术领域,具体为一种恶意软件检测方法。
背景技术
随着信息技术的不断发展,应用在各种电子设备上的软件越来越多,各种软件内容供应商也越来越繁杂,相应地,对软件安全的要求也越来越高。软件安全技术领域,常需要对未知的软件进行检测识别,判断软件是否为恶意软件。恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马程序等。恶意软件会窃取用户信息、影响用户对电子设备的使用体验,甚至严重的威胁到用户的财产安全。
针对恶意软件虽然以提出大量的查杀方案,现有的查杀方案主要通过根据恶意软件的代码特征建立病毒库,再以病毒库为参考对用户电子设备内存在的可以软件进行查杀。这样的方法对已知的病毒具有很好的查杀效果,但面对不断的推陈出新的恶意软件依然显得力不从心。需要不断的完善病毒库,以应对恶意软件的变化。这样的方式不仅对新出现的恶意软件查杀不及时,同时面对已知的恶意软件只需稍微改变部分代码或新增一个壳体也无法及时识别及查杀,因此我们提出一种恶意软件检测方法。
发明内容
本发明的目的在于:为了解决现有的软件查杀方法对不断出现的新恶意软件缺乏有效查杀的问题,提供一种恶意软件检测方法。
本发明采用的技术方案如下:
一种恶意软件检测方法,包括如下步骤:
S1:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;
S2:在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;
S3:记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API,生成待识别样本向量;
S4:创建恶意软件识别模型,使用预先创建的恶意软件识别模型,采用机器学习算法对待识别的样本向量进行分类,并获取识别结果;
S5:建立恶意软件特征库,根据检测的恶意软件提取其特征,创建特征库。
其中,所述记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况方法,包括如下具体步骤:S301、当目标程序运行时,将某一特定底层函数调用,则对该特定底层函数的对应位置进行一号标记,不同的特定底层函数使用不同的一号小值化进行标记;S302、在目标程序运行结束后,对运行过程中未调用的特定底层函数位置进行二号标记,获取目标程序行为链以及训练样本特征向量,从而获取训练样本特征向量集。
其中,所述记录目标软件在运行过程中调用的系统API,生成待识别样本向量的方法,包括如下步骤:S303、使用行为记录组记录目标在运行过程中调用的系统API,将记录的API拆分为多段,S304、使用预先架构的DGA训练模型处理,得到API向量。
其中,所述恶意软件模型的创建方法,包括如下具体步骤:S401、在隔离沙箱中运行已知的恶意样本软件程序以及非恶意样本软件程序;
S402、依次全部记录每一个样本软件程序在运行过程中对应的预先选中的多个特定底层函数启动情况,然后生成每个样本软件程序的行为链以及对应的训练样本特征向量,以获取对应的训练样本特征向量集;
S403、获取每个样本软件的系统权限、系统调用和系统控制程序图三个特征混合的综合特征向量,并对应存入训练样本特征向量集;
S404、根据获取的训练样本特征向量集,构建恶意软件模型。
其中,所述S404、根据获取的训练样本特征向量集,构建恶意软件模型的方法,包括如下具体步骤:S4041、提取所有训练样本特征向量,将特征向量分类为恶意软件特征向量和非恶意软件特征向量;
S4042、提取对应软件的综合特征向量,按已完成的特征向量分类分别归纳入对应的分类中;
S4043、将对应的恶意软件特征向量与该软件的综合特征向量组合,构成恶意软件识别模型。
其中,所述对应的非恶意软件特征向量与该软件的综合特征向量组合,构成非恶意软件模型,同时根据恶意软件模型中训练样本特征向量集中的标记,构成概率恶意集。
其中,所述恶意软件特征库包括恶意软件的典型特征与变动特征。
其中,所述特征库中根据恶意软件的变动特征创建学习机制,补充特征库恶意软件。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、本发明中,通过记录所述待识别目标程序运行过程中对应预先选中的多个特定底层函数的启用情况,然后再与识别的目标程序的行为链组成训练样本特征向量集,根据获取的训练样本特征向量集来构建恶意软件识别模型,对目标软件进行进一步的识别检测,判断是否为恶意软件,较现有的单纯依靠检查软件代码形式相比,对老软件以及新软件都具有很好的检测识别能力。
2、本发明中,目标软件的运行与解析均在隔离沙箱中进行,隔离沙箱是与现有系统相隔离的,独立创建的密闭程序运行空间,在运行不确定程序时,可以很好的保护当前程序不受到破坏,以及打开目标软件时被植入木马病毒,保障了系统的安全性。
3、本发明中,采用机器学习算法对待识别的样本向量进行识别分类,以获得该样本向量的识别结果,进而获取与该样本向量对应的目标软件的识别结果,学习算法依据目标软件的行为链进行识别,可以对目标进行进行高效快速判断,提升检测效率。
4、本发明中,在特征库中创建学习机制,学习机制根据特征库中储存的已有恶意软件特征和非恶意软件特征,进行自我学习,同时在不断检测新软件的同时记录学习该软件的新的代码和特征向量,进行系统的自我升级,有效保证了对新型恶意软件的有效查杀。
附图说明
图1为本发明的流程示意图;
图2为本发明中S3记录目标软件的启用情况的流程示意图;
图3为本发明中S4创建恶意软件识别模型的流程示意图;
图4为本发明中S4根据获取的训练样本特征向量集,构建恶意软件模型的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
实施例一:请参阅图1~4,一种恶意软件检测方法,包括如下步骤:
S1:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;
S2:在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;
S3:记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API,生成待识别样本向量;
S4:创建恶意软件识别模型,使用预先创建的恶意软件识别模型,采用机器学习算法对待识别的样本向量进行分类,并获取识别结果;
S5:建立恶意软件特征库,根据检测的恶意软件提取其特征,创建特征库。
所述记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况方法,包括如下具体步骤:S301、当目标程序运行时,将某一特定底层函数调用,则对该特定底层函数的对应位置进行一号标记,不同的特定底层函数使用不同的一号小值化进行标记;S302、在目标程序运行结束后,对运行过程中未调用的特定底层函数位置进行二号标记,获取目标程序行为链以及训练样本特征向量,从而获取训练样本特征向量集。
所述记录目标软件在运行过程中调用的系统API,生成待识别样本向量的方法,包括如下步骤:S303、使用行为记录组记录目标在运行过程中调用的系统API,将记录的API拆分为多段,S304、使用预先架构的DGA训练模型处理,得到API向量。
所述恶意软件模型的创建方法,包括如下具体步骤:S401、在隔离沙箱中运行已知的恶意样本软件程序以及非恶意样本软件程序;
S402、依次全部记录每一个样本软件程序在运行过程中对应的预先选中的多个特定底层函数启动情况,然后生成每个样本软件程序的行为链以及对应的训练样本特征向量,以获取对应的训练样本特征向量集;
S403、获取每个样本软件的系统权限、系统调用和系统控制程序图三个特征混合的综合特征向量,并对应存入训练样本特征向量集;
S404、根据获取的训练样本特征向量集,构建恶意软件模型。
所述S404、根据获取的训练样本特征向量集,构建恶意软件模型的方法,包括如下具体步骤:S4041、提取所有训练样本特征向量,将特征向量分类为恶意软件特征向量和非恶意软件特征向量;
S4042、提取对应软件的综合特征向量,按已完成的特征向量分类分别归纳入对应的分类中;
S4043、将对应的恶意软件特征向量与该软件的综合特征向量组合,构成恶意软件识别模型。
实施例二:本实施例在实施例一的基础上增加了如下技术特征:
所述对应的非恶意软件特征向量与该软件的综合特征向量组合,构成非恶意软件模型,同时根据恶意软件模型中训练样本特征向量集中的标记,构成概率恶意集;所述恶意软件特征库包括恶意软件的典型特征与变动特征;所述特征库中根据恶意软件的变动特征创建学习机制,补充特征库恶意软件。
本发明工作原理:本发明中通过记录所述待识别目标程序运行过程中对应预先选中的多个特定底层函数的启用情况,然后再与识别的目标程序的行为链组成训练样本特征向量集,根据获取的训练样本特征向量集来构建恶意软件识别模型,对目标软件进行进一步的识别检测,判断是否为恶意软件,较现有的单纯依靠检查软件代码形式相比,对老软件以及新软件都具有很好的检测识别能力;本发明中目标软件的运行与解析均在隔离沙箱中进行,隔离沙箱是与现有系统相隔离的,独立创建的密闭程序运行空间,在运行不确定程序时,可以很好的保护当前程序不受到破坏,以及打开目标软件时被植入木马病毒,保障了系统的安全性;本发明中采用机器学习算法对待识别的样本向量进行识别分类,以获得该样本向量的识别结果,进而获取与该样本向量对应的目标软件的识别结果,学习算法依据目标软件的行为链进行识别,可以对目标进行进行高效快速判断,提升检测效率;本发明中在特征库中创建学习机制,学习机制根据特征库中储存的已有恶意软件特征和非恶意软件特征,进行自我学习,同时在不断检测新软件的同时记录学习该软件的新的代码和特征向量,进行系统的自我升级,有效保证了对新型恶意软件的有效查杀。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种恶意软件检测方法,其特征在于,包括如下步骤:
S1:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;
S2:在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;
S3:记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API,生成待识别样本向量;
S4:创建恶意软件识别模型,使用预先创建的恶意软件识别模型,采用机器学习算法对待识别的样本向量进行分类,并获取识别结果;
S5:建立恶意软件特征库,根据检测的恶意软件提取其特征,创建特征库。
2.如权利要求1所述的一种恶意软件检测方法,其特征在于,所述记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况方法,包括如下具体步骤:S301、当目标程序运行时,将某一特定底层函数调用,则对该特定底层函数的对应位置进行一号标记,不同的特定底层函数使用不同的一号小值化进行标记;S302、在目标程序运行结束后,对运行过程中未调用的特定底层函数位置进行二号标记,获取目标程序行为链以及训练样本特征向量,从而获取训练样本特征向量集。
3.如权利要求2所述的一种恶意软件检测方法,其特征在于,所述记录目标软件在运行过程中调用的系统API,生成待识别样本向量的方法,包括如下步骤:S303、使用行为记录组记录目标在运行过程中调用的系统API,将记录的API拆分为多段,S304、使用预先架构的DGA训练模型处理,得到API向量。
4.如权利要求1所述的一种恶意软件检测方法,其特征在于,所述恶意软件模型的创建方法,包括如下具体步骤:S401、在隔离沙箱中运行已知的恶意样本软件程序以及非恶意样本软件程序;
S402、依次全部记录每一个样本软件程序在运行过程中对应的预先选中的多个特定底层函数启动情况,然后生成每个样本软件程序的行为链以及对应的训练样本特征向量,以获取对应的训练样本特征向量集;
S403、获取每个样本软件的系统权限、系统调用和系统控制程序图三个特征混合的综合特征向量,并对应存入训练样本特征向量集;
S404、根据获取的训练样本特征向量集,构建恶意软件模型。
5.如权利要求4所述的一种恶意软件检测方法,其特征在于,所述S404、根据获取的训练样本特征向量集,构建恶意软件模型的方法,包括如下具体步骤:S4041、提取所有训练样本特征向量,将特征向量分类为恶意软件特征向量和非恶意软件特征向量;
S4042、提取对应软件的综合特征向量,按已完成的特征向量分类分别归纳入对应的分类中;
S4043、将对应的恶意软件特征向量与该软件的综合特征向量组合,构成恶意软件识别模型。
6.如权利要求5所述的一种恶意软件检测方法,其特征在于,所述对应的非恶意软件特征向量与该软件的综合特征向量组合,构成非恶意软件模型,同时根据恶意软件模型中训练样本特征向量集中的标记,构成概率恶意集。
7.如权利要求6所述的一种恶意软件检测方法,其特征在于,所述恶意软件特征库包括恶意软件的典型特征与变动特征。
8.如权利要求7所述的一种恶意软件检测方法,其特征在于,所述特征库中根据恶意软件的变动特征创建学习机制,自动学习补充特征库恶意软件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910803258.8A CN110543765A (zh) | 2019-08-28 | 2019-08-28 | 一种恶意软件检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910803258.8A CN110543765A (zh) | 2019-08-28 | 2019-08-28 | 一种恶意软件检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110543765A true CN110543765A (zh) | 2019-12-06 |
Family
ID=68712304
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910803258.8A Pending CN110543765A (zh) | 2019-08-28 | 2019-08-28 | 一种恶意软件检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110543765A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
CN112463606A (zh) * | 2020-11-26 | 2021-03-09 | 深信服科技股份有限公司 | 一种软件检测方法、装置、设备及可读存储介质 |
CN112580049A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 基于沙箱的恶意软件监测方法、设备、存储介质及装置 |
CN113672908A (zh) * | 2021-07-31 | 2021-11-19 | 荣耀终端有限公司 | 定点插桩方法、相关装置及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104834857A (zh) * | 2015-03-27 | 2015-08-12 | 清华大学深圳研究生院 | 批量安卓恶意软件检测方法及装置 |
CN107423621A (zh) * | 2017-03-21 | 2017-12-01 | 湘潭大学 | 一种针对恶意软件变种的高效识别算法 |
CN107742079A (zh) * | 2017-10-18 | 2018-02-27 | 杭州安恒信息技术有限公司 | 恶意软件识别方法及系统 |
CN108734012A (zh) * | 2018-05-21 | 2018-11-02 | 上海戎磐网络科技有限公司 | 恶意软件识别方法、装置及电子设备 |
CN109918907A (zh) * | 2019-01-30 | 2019-06-21 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
-
2019
- 2019-08-28 CN CN201910803258.8A patent/CN110543765A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104834857A (zh) * | 2015-03-27 | 2015-08-12 | 清华大学深圳研究生院 | 批量安卓恶意软件检测方法及装置 |
CN107423621A (zh) * | 2017-03-21 | 2017-12-01 | 湘潭大学 | 一种针对恶意软件变种的高效识别算法 |
CN107742079A (zh) * | 2017-10-18 | 2018-02-27 | 杭州安恒信息技术有限公司 | 恶意软件识别方法及系统 |
CN108734012A (zh) * | 2018-05-21 | 2018-11-02 | 上海戎磐网络科技有限公司 | 恶意软件识别方法、装置及电子设备 |
CN109918907A (zh) * | 2019-01-30 | 2019-06-21 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109214171A (zh) * | 2018-08-29 | 2019-01-15 | 深信服科技股份有限公司 | 一种软件的检测方法、装置、设备及介质 |
CN112463606A (zh) * | 2020-11-26 | 2021-03-09 | 深信服科技股份有限公司 | 一种软件检测方法、装置、设备及可读存储介质 |
CN112463606B (zh) * | 2020-11-26 | 2023-11-03 | 深信服科技股份有限公司 | 一种软件检测方法、装置、设备及可读存储介质 |
CN112580049A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 基于沙箱的恶意软件监测方法、设备、存储介质及装置 |
CN112580049B (zh) * | 2020-12-23 | 2022-11-04 | 苏州三六零智能安全科技有限公司 | 基于沙箱的恶意软件监测方法、设备、存储介质及装置 |
CN113672908A (zh) * | 2021-07-31 | 2021-11-19 | 荣耀终端有限公司 | 定点插桩方法、相关装置及系统 |
CN113672908B (zh) * | 2021-07-31 | 2022-09-13 | 北京荣耀终端有限公司 | 定点插桩方法、相关装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10956477B1 (en) | System and method for detecting malicious scripts through natural language processing modeling | |
CN110543765A (zh) | 一种恶意软件检测方法 | |
CN109753800B (zh) | 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统 | |
Bazrafshan et al. | A survey on heuristic malware detection techniques | |
CN114077741B (zh) | 软件供应链安全检测方法和装置、电子设备及存储介质 | |
RU2614557C2 (ru) | Система и способ обнаружения вредоносных файлов на мобильных устройствах | |
US20160021174A1 (en) | Computer implemented method for classifying mobile applications and computer programs thereof | |
Zhu et al. | Android malware detection based on multi-head squeeze-and-excitation residual network | |
US11106801B1 (en) | Utilizing orchestration and augmented vulnerability triage for software security testing | |
US20200159925A1 (en) | Automated malware analysis that automatically clusters sandbox reports of similar malware samples | |
CN113360912A (zh) | 恶意软件检测方法、装置、设备及存储介质 | |
Motiur Rahman et al. | StackDroid: Evaluation of a multi-level approach for detecting the malware on android using stacked generalization | |
Li et al. | Cross-architecture Intemet-of-Things malware detection based on graph neural network | |
CN115659330A (zh) | 一种基于内存取证和图神经网络的恶意代码检测方法 | |
CN111400713A (zh) | 基于操作码邻接图特征的恶意软件族群分类方法 | |
CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
EP3113065A1 (en) | System and method of detecting malicious files on mobile devices | |
Pranav et al. | Detection of botnets in IoT networks using graph theory and machine learning | |
CN113127868A (zh) | 脚本识别方法、装置、设备及存储介质 | |
CN115545091A (zh) | 基于集成学习器的恶意程序api调用序列检测方法 | |
US11989293B2 (en) | Systems, methods, and media for identifying and responding to malicious files having similar features | |
Firdaus et al. | Selecting root exploit features using flying animal-inspired decision | |
US11868473B2 (en) | Method for constructing behavioural software signatures | |
CN110719274B (zh) | 网络安全控制方法、装置、设备及存储介质 | |
Ju et al. | Detection of malicious code using the direct hashing and pruning and support vector machine |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191206 |
|
RJ01 | Rejection of invention patent application after publication |