CN110543765A - 一种恶意软件检测方法 - Google Patents

一种恶意软件检测方法 Download PDF

Info

Publication number
CN110543765A
CN110543765A CN201910803258.8A CN201910803258A CN110543765A CN 110543765 A CN110543765 A CN 110543765A CN 201910803258 A CN201910803258 A CN 201910803258A CN 110543765 A CN110543765 A CN 110543765A
Authority
CN
China
Prior art keywords
software
target
malware
malicious
target software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910803258.8A
Other languages
English (en)
Inventor
谢川
何太炎
王民峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Chenhuang Software Technology Co Ltd
Original Assignee
Nanjing Chenhuang Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Chenhuang Software Technology Co Ltd filed Critical Nanjing Chenhuang Software Technology Co Ltd
Priority to CN201910803258.8A priority Critical patent/CN110543765A/zh
Publication of CN110543765A publication Critical patent/CN110543765A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种恶意软件检测方法,包括如下步骤:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API。本发明中,目标软件的运行与解析均在隔离沙箱中进行,隔离沙箱是与现有系统相隔离的,独立创建的密闭程序运行空间,在运行不确定程序时,可以很好的保护当前程序不受到破坏,以及打开目标软件时被植入木马病毒,保障了系统的安全性。

Description

一种恶意软件检测方法
技术领域
本发明属于恶意软件检测技术领域,具体为一种恶意软件检测方法。
背景技术
随着信息技术的不断发展,应用在各种电子设备上的软件越来越多,各种软件内容供应商也越来越繁杂,相应地,对软件安全的要求也越来越高。软件安全技术领域,常需要对未知的软件进行检测识别,判断软件是否为恶意软件。恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马程序等。恶意软件会窃取用户信息、影响用户对电子设备的使用体验,甚至严重的威胁到用户的财产安全。
针对恶意软件虽然以提出大量的查杀方案,现有的查杀方案主要通过根据恶意软件的代码特征建立病毒库,再以病毒库为参考对用户电子设备内存在的可以软件进行查杀。这样的方法对已知的病毒具有很好的查杀效果,但面对不断的推陈出新的恶意软件依然显得力不从心。需要不断的完善病毒库,以应对恶意软件的变化。这样的方式不仅对新出现的恶意软件查杀不及时,同时面对已知的恶意软件只需稍微改变部分代码或新增一个壳体也无法及时识别及查杀,因此我们提出一种恶意软件检测方法。
发明内容
本发明的目的在于:为了解决现有的软件查杀方法对不断出现的新恶意软件缺乏有效查杀的问题,提供一种恶意软件检测方法。
本发明采用的技术方案如下:
一种恶意软件检测方法,包括如下步骤:
S1:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;
S2:在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;
S3:记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API,生成待识别样本向量;
S4:创建恶意软件识别模型,使用预先创建的恶意软件识别模型,采用机器学习算法对待识别的样本向量进行分类,并获取识别结果;
S5:建立恶意软件特征库,根据检测的恶意软件提取其特征,创建特征库。
其中,所述记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况方法,包括如下具体步骤:S301、当目标程序运行时,将某一特定底层函数调用,则对该特定底层函数的对应位置进行一号标记,不同的特定底层函数使用不同的一号小值化进行标记;S302、在目标程序运行结束后,对运行过程中未调用的特定底层函数位置进行二号标记,获取目标程序行为链以及训练样本特征向量,从而获取训练样本特征向量集。
其中,所述记录目标软件在运行过程中调用的系统API,生成待识别样本向量的方法,包括如下步骤:S303、使用行为记录组记录目标在运行过程中调用的系统API,将记录的API拆分为多段,S304、使用预先架构的DGA训练模型处理,得到API向量。
其中,所述恶意软件模型的创建方法,包括如下具体步骤:S401、在隔离沙箱中运行已知的恶意样本软件程序以及非恶意样本软件程序;
S402、依次全部记录每一个样本软件程序在运行过程中对应的预先选中的多个特定底层函数启动情况,然后生成每个样本软件程序的行为链以及对应的训练样本特征向量,以获取对应的训练样本特征向量集;
S403、获取每个样本软件的系统权限、系统调用和系统控制程序图三个特征混合的综合特征向量,并对应存入训练样本特征向量集;
S404、根据获取的训练样本特征向量集,构建恶意软件模型。
其中,所述S404、根据获取的训练样本特征向量集,构建恶意软件模型的方法,包括如下具体步骤:S4041、提取所有训练样本特征向量,将特征向量分类为恶意软件特征向量和非恶意软件特征向量;
S4042、提取对应软件的综合特征向量,按已完成的特征向量分类分别归纳入对应的分类中;
S4043、将对应的恶意软件特征向量与该软件的综合特征向量组合,构成恶意软件识别模型。
其中,所述对应的非恶意软件特征向量与该软件的综合特征向量组合,构成非恶意软件模型,同时根据恶意软件模型中训练样本特征向量集中的标记,构成概率恶意集。
其中,所述恶意软件特征库包括恶意软件的典型特征与变动特征。
其中,所述特征库中根据恶意软件的变动特征创建学习机制,补充特征库恶意软件。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
1、本发明中,通过记录所述待识别目标程序运行过程中对应预先选中的多个特定底层函数的启用情况,然后再与识别的目标程序的行为链组成训练样本特征向量集,根据获取的训练样本特征向量集来构建恶意软件识别模型,对目标软件进行进一步的识别检测,判断是否为恶意软件,较现有的单纯依靠检查软件代码形式相比,对老软件以及新软件都具有很好的检测识别能力。
2、本发明中,目标软件的运行与解析均在隔离沙箱中进行,隔离沙箱是与现有系统相隔离的,独立创建的密闭程序运行空间,在运行不确定程序时,可以很好的保护当前程序不受到破坏,以及打开目标软件时被植入木马病毒,保障了系统的安全性。
3、本发明中,采用机器学习算法对待识别的样本向量进行识别分类,以获得该样本向量的识别结果,进而获取与该样本向量对应的目标软件的识别结果,学习算法依据目标软件的行为链进行识别,可以对目标进行进行高效快速判断,提升检测效率。
4、本发明中,在特征库中创建学习机制,学习机制根据特征库中储存的已有恶意软件特征和非恶意软件特征,进行自我学习,同时在不断检测新软件的同时记录学习该软件的新的代码和特征向量,进行系统的自我升级,有效保证了对新型恶意软件的有效查杀。
附图说明
图1为本发明的流程示意图;
图2为本发明中S3记录目标软件的启用情况的流程示意图;
图3为本发明中S4创建恶意软件识别模型的流程示意图;
图4为本发明中S4根据获取的训练样本特征向量集,构建恶意软件模型的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
实施例一:请参阅图1~4,一种恶意软件检测方法,包括如下步骤:
S1:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;
S2:在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;
S3:记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API,生成待识别样本向量;
S4:创建恶意软件识别模型,使用预先创建的恶意软件识别模型,采用机器学习算法对待识别的样本向量进行分类,并获取识别结果;
S5:建立恶意软件特征库,根据检测的恶意软件提取其特征,创建特征库。
所述记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况方法,包括如下具体步骤:S301、当目标程序运行时,将某一特定底层函数调用,则对该特定底层函数的对应位置进行一号标记,不同的特定底层函数使用不同的一号小值化进行标记;S302、在目标程序运行结束后,对运行过程中未调用的特定底层函数位置进行二号标记,获取目标程序行为链以及训练样本特征向量,从而获取训练样本特征向量集。
所述记录目标软件在运行过程中调用的系统API,生成待识别样本向量的方法,包括如下步骤:S303、使用行为记录组记录目标在运行过程中调用的系统API,将记录的API拆分为多段,S304、使用预先架构的DGA训练模型处理,得到API向量。
所述恶意软件模型的创建方法,包括如下具体步骤:S401、在隔离沙箱中运行已知的恶意样本软件程序以及非恶意样本软件程序;
S402、依次全部记录每一个样本软件程序在运行过程中对应的预先选中的多个特定底层函数启动情况,然后生成每个样本软件程序的行为链以及对应的训练样本特征向量,以获取对应的训练样本特征向量集;
S403、获取每个样本软件的系统权限、系统调用和系统控制程序图三个特征混合的综合特征向量,并对应存入训练样本特征向量集;
S404、根据获取的训练样本特征向量集,构建恶意软件模型。
所述S404、根据获取的训练样本特征向量集,构建恶意软件模型的方法,包括如下具体步骤:S4041、提取所有训练样本特征向量,将特征向量分类为恶意软件特征向量和非恶意软件特征向量;
S4042、提取对应软件的综合特征向量,按已完成的特征向量分类分别归纳入对应的分类中;
S4043、将对应的恶意软件特征向量与该软件的综合特征向量组合,构成恶意软件识别模型。
实施例二:本实施例在实施例一的基础上增加了如下技术特征:
所述对应的非恶意软件特征向量与该软件的综合特征向量组合,构成非恶意软件模型,同时根据恶意软件模型中训练样本特征向量集中的标记,构成概率恶意集;所述恶意软件特征库包括恶意软件的典型特征与变动特征;所述特征库中根据恶意软件的变动特征创建学习机制,补充特征库恶意软件。
本发明工作原理:本发明中通过记录所述待识别目标程序运行过程中对应预先选中的多个特定底层函数的启用情况,然后再与识别的目标程序的行为链组成训练样本特征向量集,根据获取的训练样本特征向量集来构建恶意软件识别模型,对目标软件进行进一步的识别检测,判断是否为恶意软件,较现有的单纯依靠检查软件代码形式相比,对老软件以及新软件都具有很好的检测识别能力;本发明中目标软件的运行与解析均在隔离沙箱中进行,隔离沙箱是与现有系统相隔离的,独立创建的密闭程序运行空间,在运行不确定程序时,可以很好的保护当前程序不受到破坏,以及打开目标软件时被植入木马病毒,保障了系统的安全性;本发明中采用机器学习算法对待识别的样本向量进行识别分类,以获得该样本向量的识别结果,进而获取与该样本向量对应的目标软件的识别结果,学习算法依据目标软件的行为链进行识别,可以对目标进行进行高效快速判断,提升检测效率;本发明中在特征库中创建学习机制,学习机制根据特征库中储存的已有恶意软件特征和非恶意软件特征,进行自我学习,同时在不断检测新软件的同时记录学习该软件的新的代码和特征向量,进行系统的自我升级,有效保证了对新型恶意软件的有效查杀。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种恶意软件检测方法,其特征在于,包括如下步骤:
S1:静态检测目标软件的目标代码,在隔离沙箱中对目标软件进行反编译获取目标代码,然后对目标代码进行分析,判断是否存在恶意代码;
S2:在隔离沙箱中运行目标软件,在隔离沙箱中复制创建本地系统,然后使用沙箱中的系统运行目标软件;
S3:记录目标软件的启用情况,记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况,以及目标软件调用的系统API,生成待识别样本向量;
S4:创建恶意软件识别模型,使用预先创建的恶意软件识别模型,采用机器学习算法对待识别的样本向量进行分类,并获取识别结果;
S5:建立恶意软件特征库,根据检测的恶意软件提取其特征,创建特征库。
2.如权利要求1所述的一种恶意软件检测方法,其特征在于,所述记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况方法,包括如下具体步骤:S301、当目标程序运行时,将某一特定底层函数调用,则对该特定底层函数的对应位置进行一号标记,不同的特定底层函数使用不同的一号小值化进行标记;S302、在目标程序运行结束后,对运行过程中未调用的特定底层函数位置进行二号标记,获取目标程序行为链以及训练样本特征向量,从而获取训练样本特征向量集。
3.如权利要求2所述的一种恶意软件检测方法,其特征在于,所述记录目标软件在运行过程中调用的系统API,生成待识别样本向量的方法,包括如下步骤:S303、使用行为记录组记录目标在运行过程中调用的系统API,将记录的API拆分为多段,S304、使用预先架构的DGA训练模型处理,得到API向量。
4.如权利要求1所述的一种恶意软件检测方法,其特征在于,所述恶意软件模型的创建方法,包括如下具体步骤:S401、在隔离沙箱中运行已知的恶意样本软件程序以及非恶意样本软件程序;
S402、依次全部记录每一个样本软件程序在运行过程中对应的预先选中的多个特定底层函数启动情况,然后生成每个样本软件程序的行为链以及对应的训练样本特征向量,以获取对应的训练样本特征向量集;
S403、获取每个样本软件的系统权限、系统调用和系统控制程序图三个特征混合的综合特征向量,并对应存入训练样本特征向量集;
S404、根据获取的训练样本特征向量集,构建恶意软件模型。
5.如权利要求4所述的一种恶意软件检测方法,其特征在于,所述S404、根据获取的训练样本特征向量集,构建恶意软件模型的方法,包括如下具体步骤:S4041、提取所有训练样本特征向量,将特征向量分类为恶意软件特征向量和非恶意软件特征向量;
S4042、提取对应软件的综合特征向量,按已完成的特征向量分类分别归纳入对应的分类中;
S4043、将对应的恶意软件特征向量与该软件的综合特征向量组合,构成恶意软件识别模型。
6.如权利要求5所述的一种恶意软件检测方法,其特征在于,所述对应的非恶意软件特征向量与该软件的综合特征向量组合,构成非恶意软件模型,同时根据恶意软件模型中训练样本特征向量集中的标记,构成概率恶意集。
7.如权利要求6所述的一种恶意软件检测方法,其特征在于,所述恶意软件特征库包括恶意软件的典型特征与变动特征。
8.如权利要求7所述的一种恶意软件检测方法,其特征在于,所述特征库中根据恶意软件的变动特征创建学习机制,自动学习补充特征库恶意软件。
CN201910803258.8A 2019-08-28 2019-08-28 一种恶意软件检测方法 Pending CN110543765A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910803258.8A CN110543765A (zh) 2019-08-28 2019-08-28 一种恶意软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910803258.8A CN110543765A (zh) 2019-08-28 2019-08-28 一种恶意软件检测方法

Publications (1)

Publication Number Publication Date
CN110543765A true CN110543765A (zh) 2019-12-06

Family

ID=68712304

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910803258.8A Pending CN110543765A (zh) 2019-08-28 2019-08-28 一种恶意软件检测方法

Country Status (1)

Country Link
CN (1) CN110543765A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109214171A (zh) * 2018-08-29 2019-01-15 深信服科技股份有限公司 一种软件的检测方法、装置、设备及介质
CN112463606A (zh) * 2020-11-26 2021-03-09 深信服科技股份有限公司 一种软件检测方法、装置、设备及可读存储介质
CN112580049A (zh) * 2020-12-23 2021-03-30 苏州三六零智能安全科技有限公司 基于沙箱的恶意软件监测方法、设备、存储介质及装置
CN113672908A (zh) * 2021-07-31 2021-11-19 荣耀终端有限公司 定点插桩方法、相关装置及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104834857A (zh) * 2015-03-27 2015-08-12 清华大学深圳研究生院 批量安卓恶意软件检测方法及装置
CN107423621A (zh) * 2017-03-21 2017-12-01 湘潭大学 一种针对恶意软件变种的高效识别算法
CN107742079A (zh) * 2017-10-18 2018-02-27 杭州安恒信息技术有限公司 恶意软件识别方法及系统
CN108734012A (zh) * 2018-05-21 2018-11-02 上海戎磐网络科技有限公司 恶意软件识别方法、装置及电子设备
CN109918907A (zh) * 2019-01-30 2019-06-21 国家计算机网络与信息安全管理中心 Linux平台进程内存恶意代码取证方法、控制器及介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104834857A (zh) * 2015-03-27 2015-08-12 清华大学深圳研究生院 批量安卓恶意软件检测方法及装置
CN107423621A (zh) * 2017-03-21 2017-12-01 湘潭大学 一种针对恶意软件变种的高效识别算法
CN107742079A (zh) * 2017-10-18 2018-02-27 杭州安恒信息技术有限公司 恶意软件识别方法及系统
CN108734012A (zh) * 2018-05-21 2018-11-02 上海戎磐网络科技有限公司 恶意软件识别方法、装置及电子设备
CN109918907A (zh) * 2019-01-30 2019-06-21 国家计算机网络与信息安全管理中心 Linux平台进程内存恶意代码取证方法、控制器及介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109214171A (zh) * 2018-08-29 2019-01-15 深信服科技股份有限公司 一种软件的检测方法、装置、设备及介质
CN112463606A (zh) * 2020-11-26 2021-03-09 深信服科技股份有限公司 一种软件检测方法、装置、设备及可读存储介质
CN112463606B (zh) * 2020-11-26 2023-11-03 深信服科技股份有限公司 一种软件检测方法、装置、设备及可读存储介质
CN112580049A (zh) * 2020-12-23 2021-03-30 苏州三六零智能安全科技有限公司 基于沙箱的恶意软件监测方法、设备、存储介质及装置
CN112580049B (zh) * 2020-12-23 2022-11-04 苏州三六零智能安全科技有限公司 基于沙箱的恶意软件监测方法、设备、存储介质及装置
CN113672908A (zh) * 2021-07-31 2021-11-19 荣耀终端有限公司 定点插桩方法、相关装置及系统
CN113672908B (zh) * 2021-07-31 2022-09-13 北京荣耀终端有限公司 定点插桩方法、相关装置及系统

Similar Documents

Publication Publication Date Title
US10956477B1 (en) System and method for detecting malicious scripts through natural language processing modeling
CN110543765A (zh) 一种恶意软件检测方法
CN109753800B (zh) 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
Bazrafshan et al. A survey on heuristic malware detection techniques
CN114077741B (zh) 软件供应链安全检测方法和装置、电子设备及存储介质
RU2614557C2 (ru) Система и способ обнаружения вредоносных файлов на мобильных устройствах
US20160021174A1 (en) Computer implemented method for classifying mobile applications and computer programs thereof
Zhu et al. Android malware detection based on multi-head squeeze-and-excitation residual network
US11106801B1 (en) Utilizing orchestration and augmented vulnerability triage for software security testing
US20200159925A1 (en) Automated malware analysis that automatically clusters sandbox reports of similar malware samples
CN113360912A (zh) 恶意软件检测方法、装置、设备及存储介质
Motiur Rahman et al. StackDroid: Evaluation of a multi-level approach for detecting the malware on android using stacked generalization
Li et al. Cross-architecture Intemet-of-Things malware detection based on graph neural network
CN115659330A (zh) 一种基于内存取证和图神经网络的恶意代码检测方法
CN111400713A (zh) 基于操作码邻接图特征的恶意软件族群分类方法
CN113468524B (zh) 基于rasp的机器学习模型安全检测方法
EP3113065A1 (en) System and method of detecting malicious files on mobile devices
Pranav et al. Detection of botnets in IoT networks using graph theory and machine learning
CN113127868A (zh) 脚本识别方法、装置、设备及存储介质
CN115545091A (zh) 基于集成学习器的恶意程序api调用序列检测方法
US11989293B2 (en) Systems, methods, and media for identifying and responding to malicious files having similar features
Firdaus et al. Selecting root exploit features using flying animal-inspired decision
US11868473B2 (en) Method for constructing behavioural software signatures
CN110719274B (zh) 网络安全控制方法、装置、设备及存储介质
Ju et al. Detection of malicious code using the direct hashing and pruning and support vector machine

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191206

RJ01 Rejection of invention patent application after publication