CN110581857A - 一种虚拟执行的恶意软件检测方法及系统 - Google Patents
一种虚拟执行的恶意软件检测方法及系统 Download PDFInfo
- Publication number
- CN110581857A CN110581857A CN201910874122.6A CN201910874122A CN110581857A CN 110581857 A CN110581857 A CN 110581857A CN 201910874122 A CN201910874122 A CN 201910874122A CN 110581857 A CN110581857 A CN 110581857A
- Authority
- CN
- China
- Prior art keywords
- model
- software
- malware
- generator
- malicious software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种虚拟执行的恶意软件检测方法及系统,可以基于历史软件数据,分析构建一个噪声模拟恶意软件模型,将正常软件、恶意软件输入一个黑盒模型,进行打标,生成软件样本,使用该软件样本训练所述噪声模拟恶意软件模型,模型自身还有不断复合、变异恶意软件的能力。当噪声模拟恶意软件模型训练完毕后,接入机器学习模块,帮助提升机器学习模块检测的能力。同时,借助不同的虚拟执行技术,跟踪分析软件的行为特征,深入观察内存和指令属性的变化,提高发现高级恶意软件的能力。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种虚拟执行的恶意软件检测方法及系统。
背景技术
现有的统计分析和机器学习虽然能检测恶意软件、恶意代码、恶意行为等,但还存在两个不足:一是,训练过程中恶意软件数量不足,远远少于正常数据,数量的不足和不平衡会导致检测模型失衡,导致检测稳定性差;二是,随着技术的发展,恶意软件的攻击手段也在不断改变,然而却无法提前将它们用于模型训练,导致模型无法检测未知的恶意软件。
同时,主流的恶意软件检测技术主要是沙箱技术,在漏洞利用阶段之后,对恶意软件的行为进行分析。但是高级恶意软件通过多态和变形技术,能够掩饰自己的恶意行为,从而躲过沙箱的检测。
所以急需一种可以自我生成可使用的恶意软件,增强训练数据,提升检测模型性能的方法和系统。
发明内容
本发明的目的在于提供一种虚拟执行的恶意软件检测方法及系统,可以基于历史软件数据,分析构建一个噪声模拟恶意软件模型,将正常软件、恶意软件输入一个黑盒模型,进行打标,生成软件样本,使用该软件样本训练所述噪声模拟恶意软件模型,模型自身还有不断复合、变异恶意软件的能力。当噪声模拟恶意软件模型训练完毕后,接入机器学习模块,帮助提升机器学习模块检测的能力。同时,借助不同的虚拟执行技术,跟踪分析软件的行为特征,深入观察内存和指令属性的变化,提高发现高级恶意软件的能力。
第一方面,本申请提供一种虚拟执行的恶意软件检测方法,所述方法包括:
获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
将历史软件中已知的正常软件、恶意软件输入一个黑盒模型,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
从网络流量中分离文件传输数据流,识别对应的应用层传输协议,按照协议格式将文件从数据流中还原,将数据流中还原出来的文件放入文件存储队列中;
基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
其中,所述替代检测器不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;
所述替代检测器根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
将所述噪声模拟恶意软件模型接入机器学习模块,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员;
使用动态检测引擎从文件存储队列中获取文件,按照检测策略将文件使用不同的软件版本打开并放到多个虚拟机环境下执行,跟踪分析软件的行为特征,观察内存指令层面的变化,判断是否存在高级恶意软件攻击;观察文件在虚拟机中的后续行为特征,包括文件和网络的访问、注册表的修改、进程的变化和模块以及驱动的加载,识别其中哪些不是正常文件的行为,将检测结果反馈给管理员。
结合第一方面,在第一方面第一种可能的实现方式中,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
结合第一方面,在第一方面第二种可能的实现方式中,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
结合第一方面,在第一方面第三种可能的实现方式中,所述噪声模拟恶意软件模型包括更新机制,是指将调整参数后的所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
第二方面,本申请提供一种虚拟执行的恶意软件检测系统,所述系统包括:
获取单元,用于获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
黑盒模型,用于将历史软件中已知的正常软件、恶意软件一起输入,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
预处理单元,用于从网络流量中分离文件传输数据流,识别对应的应用层传输协议,按照协议格式将文件从数据流中还原,将数据流中还原出来的文件放入文件存储队列中;
创建单元,用于基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
生成器,用于将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
替代检测器,用于不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
所述生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
机器学习模块,用于接入所述噪声模拟恶意软件模型,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;所述机器学习模块对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员;
动态检测引擎,用于从文件存储队列中获取文件,按照检测策略将文件使用不同的软件版本打开并放到多个虚拟机环境下执行,跟踪分析软件的行为特征,观察内存指令层面的变化,判断是否存在高级恶意软件攻击;观察文件在虚拟机中的后续行为特征,包括文件和网络的访问、注册表的修改、进程的变化和模块以及驱动的加载,识别其中哪些不是正常文件的行为,将检测结果反馈给管理员。
结合第二方面,在第二方面第一种可能的实现方式中,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
结合第二方面,在第二方面第二种可能的实现方式中,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
结合第二方面,在第二方面第三种可能的实现方式中,所述噪声模拟恶意软件模型包括更新机制,是指将调整参数后的所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
本发明提供一种虚拟执行的恶意软件检测方法及系统,可以基于历史软件数据,分析构建一个噪声模拟恶意软件模型,将正常软件、恶意软件输入一个黑盒模型,进行打标,生成软件样本,使用该软件样本训练所述噪声模拟恶意软件模型,模型自身还有不断复合、变异恶意软件的能力。当噪声模拟恶意软件模型训练完毕后,接入机器学习模块,帮助提升机器学习模块检测的能力。同时,借助不同的虚拟执行技术,跟踪分析软件的行为特征,深入观察内存和指令属性的变化,提高发现高级恶意软件的能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明虚拟执行的恶意软件检测方法的流程图;
图2为本发明虚拟执行的恶意软件检测系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的虚拟执行的恶意软件检测方法的流程图,所述方法包括:
获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
将历史软件中已知的正常软件、恶意软件输入一个黑盒模型,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
从网络流量中分离文件传输数据流,识别对应的应用层传输协议,按照协议格式将文件从数据流中还原,将数据流中还原出来的文件放入文件存储队列中;
基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
其中,所述替代检测器不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;
所述替代检测器根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
将所述噪声模拟恶意软件模型接入机器学习模块,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员;
使用动态检测引擎从文件存储队列中获取文件,按照检测策略将文件使用不同的软件版本打开并放到多个虚拟机环境下执行,跟踪分析软件的行为特征,观察内存指令层面的变化,判断是否存在高级恶意软件攻击;观察文件在虚拟机中的后续行为特征,包括文件和网络的访问、注册表的修改、进程的变化和模块以及驱动的加载,识别其中哪些不是正常文件的行为,将检测结果反馈给管理员。
在一些优选实施例中,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
在一些优选实施例中,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
在一些优选实施例中,所述噪声模拟恶意软件模型包括更新机制,是指将调整参数后的所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
图2为本申请提供的虚拟执行的恶意软件检测系统的架构图,所述系统包括:
获取单元,用于获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
黑盒模型,用于将历史软件中已知的正常软件、恶意软件一起输入,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
预处理单元,用于从网络流量中分离文件传输数据流,识别对应的应用层传输协议,按照协议格式将文件从数据流中还原,将数据流中还原出来的文件放入文件存储队列中;
创建单元,用于基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
生成器,用于将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
替代检测器,用于不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
所述生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
机器学习模块,用于接入所述噪声模拟恶意软件模型,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;所述机器学习模块对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员;
动态检测引擎,用于从文件存储队列中获取文件,按照检测策略将文件使用不同的软件版本打开并放到多个虚拟机环境下执行,跟踪分析软件的行为特征,观察内存指令层面的变化,判断是否存在高级恶意软件攻击;观察文件在虚拟机中的后续行为特征,包括文件和网络的访问、注册表的修改、进程的变化和模块以及驱动的加载,识别其中哪些不是正常文件的行为,将检测结果反馈给管理员。
在一些优选实施例中,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
在一些优选实施例中,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
在一些优选实施例中,所述噪声模拟恶意软件模型包括更新机制,是指将调整参数后的所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (8)
1.一种虚拟执行的恶意软件检测方法,其特征在于,所述方法包括:
获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
将历史软件中已知的正常软件、恶意软件输入一个黑盒模型,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
从网络流量中分离文件传输数据流,识别对应的应用层传输协议,按照协议格式将文件从数据流中还原,将数据流中还原出来的文件放入文件存储队列中;
基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
其中,所述替代检测器不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;
所述替代检测器根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
将所述噪声模拟恶意软件模型接入机器学习模块,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员;
使用动态检测引擎从文件存储队列中获取文件,按照检测策略将文件使用不同的软件版本打开并放到多个虚拟机环境下执行,跟踪分析软件的行为特征,观察内存指令层面的变化,判断是否存在高级恶意软件攻击;观察文件在虚拟机中的后续行为特征,包括文件和网络的访问、注册表的修改、进程的变化和模块以及驱动的加载,识别其中哪些不是正常文件的行为,将检测结果反馈给管理员。
2.根据权利要求1所述的方法,其特征在于,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
3.根据权利要求1-2任一项所述的方法,其特征在于,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述噪声模拟恶意软件模型包括更新机制,是指将调整参数后的所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
5.一种虚拟执行的恶意软件检测系统,其特征在于,所述系统包括:
获取单元,用于获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
黑盒模型,用于将历史软件中已知的正常软件、恶意软件一起输入,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
预处理单元,用于从网络流量中分离文件传输数据流,识别对应的应用层传输协议,按照协议格式将文件从数据流中还原,将数据流中还原出来的文件放入文件存储队列中;
创建单元,用于基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
生成器,用于将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
替代检测器,用于不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
所述生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
机器学习模块,用于接入所述噪声模拟恶意软件模型,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;所述机器学习模块对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员;
动态检测引擎,用于从文件存储队列中获取文件,按照检测策略将文件使用不同的软件版本打开并放到多个虚拟机环境下执行,跟踪分析软件的行为特征,观察内存指令层面的变化,判断是否存在高级恶意软件攻击;观察文件在虚拟机中的后续行为特征,包括文件和网络的访问、注册表的修改、进程的变化和模块以及驱动的加载,识别其中哪些不是正常文件的行为,将检测结果反馈给管理员。
6.根据权利要求5所述的系统,其特征在于,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
7.根据权利要求5-6任一项所述的系统,其特征在于,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
8.根据权利要求5-7任一项所述的系统,其特征在于,所述噪声模拟恶意软件模型包括更新机制,是指将调整参数后的所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910874122.6A CN110581857B (zh) | 2019-09-17 | 2019-09-17 | 一种虚拟执行的恶意软件检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910874122.6A CN110581857B (zh) | 2019-09-17 | 2019-09-17 | 一种虚拟执行的恶意软件检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110581857A true CN110581857A (zh) | 2019-12-17 |
| CN110581857B CN110581857B (zh) | 2022-04-08 |
Family
ID=68811401
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910874122.6A Active CN110581857B (zh) | 2019-09-17 | 2019-09-17 | 一种虚拟执行的恶意软件检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110581857B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111475810A (zh) * | 2020-04-13 | 2020-07-31 | 广州锦行网络科技有限公司 | 一种恶意软件检测器训练方法及系统、检测方法及系统 |
| CN111552520A (zh) * | 2020-04-10 | 2020-08-18 | 武汉思普崚技术有限公司 | 一种用户自定义应用的识别方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
| US20180314716A1 (en) * | 2017-04-27 | 2018-11-01 | Sk Telecom Co., Ltd. | Method for learning cross-domain relations based on generative adversarial networks |
| CN109190379A (zh) * | 2018-08-03 | 2019-01-11 | 清华大学 | 一种深度学习系统的漏洞检测方法和装置 |
| US20190215329A1 (en) * | 2018-01-08 | 2019-07-11 | Sophos Limited | Malware detection using machine learning |
-
2019
- 2019-09-17 CN CN201910874122.6A patent/CN110581857B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180314716A1 (en) * | 2017-04-27 | 2018-11-01 | Sk Telecom Co., Ltd. | Method for learning cross-domain relations based on generative adversarial networks |
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
| US20190215329A1 (en) * | 2018-01-08 | 2019-07-11 | Sophos Limited | Malware detection using machine learning |
| CN109190379A (zh) * | 2018-08-03 | 2019-01-11 | 清华大学 | 一种深度学习系统的漏洞检测方法和装置 |
Non-Patent Citations (4)
| Title |
|---|
| WEIWEI HU 等: "Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN", 《HTTPS://ARXIV.ORG/ABS/1702.05983》 * |
| 傅建明等: "基于GAN的网络攻击检测研究综述", 《信息网络安全》 * |
| 柴梦婷等: "生成式对抗网络研究与应用进展", 《计算机工程》 * |
| 郑生军等: "基于虚拟执行技术的高级恶意软件攻击在线检测系统", 《信息网络安全》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111552520A (zh) * | 2020-04-10 | 2020-08-18 | 武汉思普崚技术有限公司 | 一种用户自定义应用的识别方法及系统 |
| CN111552520B (zh) * | 2020-04-10 | 2021-07-27 | 武汉思普崚技术有限公司 | 一种用户自定义应用的识别方法及系统 |
| CN111475810A (zh) * | 2020-04-13 | 2020-07-31 | 广州锦行网络科技有限公司 | 一种恶意软件检测器训练方法及系统、检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110581857B (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ilyas et al. | Black-box adversarial attacks with limited queries and information | |
| US11483318B2 (en) | Providing network security through autonomous simulated environments | |
| CN110505241B (zh) | 一种网络攻击面检测方法及系统 | |
| Hu et al. | GANFuzz: A GAN-based industrial network protocol fuzzing framework | |
| EP3651043A1 (en) | Url attack detection method and apparatus, and electronic device | |
| CN111931179B (zh) | 基于深度学习的云端恶意程序检测系统及方法 | |
| CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
| CN110493262B (zh) | 一种改进分类的网络攻击检测方法及系统 | |
| CN107944274A (zh) | 一种基于宽度学习的Android平台恶意应用离线检测方法 | |
| CN110619216B (zh) | 一种对抗性网络的恶意软件检测方法及系统 | |
| CN110581857B (zh) | 一种虚拟执行的恶意软件检测方法及系统 | |
| KR20190028880A (ko) | 봇넷 탐지 시스템을 학습하기 위한 학습 데이터를 생성하는 방법 및 그 장치 | |
| US11625483B2 (en) | Fast identification of trustworthy deep neural networks | |
| CN110618854A (zh) | 基于深度学习与内存镜像分析的虚机行为分析系统 | |
| Noppel et al. | Disguising attacks with explanation-aware backdoors | |
| CN110598794A (zh) | 一种分类对抗的网络攻击检测方法及系统 | |
| CN106844219A (zh) | 应用检测方法及应用检测装置 | |
| CN110826062B (zh) | 恶意软件的检测方法及装置 | |
| Jap et al. | Practical side-channel based model extraction attack on tree-based machine learning algorithm | |
| CN114285587A (zh) | 域名鉴别方法和装置、域名分类模型的获取方法和装置 | |
| Han et al. | IMShell-Dec: Pay more attention to external links in powershell | |
| CN110414233A (zh) | 恶意代码检测方法及装置 | |
| CN112532562B (zh) | 一种对抗性网络的恶意数据流检测方法及系统 | |
| Lescisin et al. | A Machine learning based monitoring framework for side-channel information leaks | |
| Mohammadkhani et al. | A new method for behavioural-based malware detection using reinforcement learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |