CN110941827B - 应用程序异常行为检测方法及装置 - Google Patents

应用程序异常行为检测方法及装置 Download PDF

Info

Publication number
CN110941827B
CN110941827B CN201911024100.7A CN201911024100A CN110941827B CN 110941827 B CN110941827 B CN 110941827B CN 201911024100 A CN201911024100 A CN 201911024100A CN 110941827 B CN110941827 B CN 110941827B
Authority
CN
China
Prior art keywords
training sample
abnormal behavior
layer
sample
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911024100.7A
Other languages
English (en)
Other versions
CN110941827A (zh
Inventor
谢文奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yuanxin Information Technology Group Co ltd
Original Assignee
Yuanxin Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yuanxin Technology filed Critical Yuanxin Technology
Priority to CN201911024100.7A priority Critical patent/CN110941827B/zh
Publication of CN110941827A publication Critical patent/CN110941827A/zh
Application granted granted Critical
Publication of CN110941827B publication Critical patent/CN110941827B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了应用程序异常行为检测方法及装置,其中所述方法包括:提取系统调用序列;对系统调用序列进行格式化处理;将格式化处理后的系统调用序列送入经训练的异常行为检测模型;异常行为检测模型返回系统调用序列所对应的应用程序是否存在异常行为的预测结果;其中,异常行为检测模型包括词嵌入层、LSTM层、注意层及全连接层,词嵌入层将系统调用序列转换为适合LSTM层的词向量,LSTM层用于至少学习所述系统调用序列的前后单词之间的顺序关系、语义和抽象特征,注意层用于使得异常行为检测模型对不同敏感度的系统调用赋予不同注意力,及全连接层用于分类以输出所述预测结果。本发明方法使能高效、快速检测未知攻击。

Description

应用程序异常行为检测方法及装置
技术领域
本申请涉及电数字数据处理领域,尤其涉及应用程序异常行为检测方法及装置。
背景技术
随着移动互联网技术的发展,手机等智能移动终端不断增多,移动应用程序的数量和种类也呈爆发式的增长,这其中包含大量的恶意程序,而普通用户对恶意程序的认知和辨识能力有限。
移动端恶意应用程序的种类也在不断变化,新的攻击手段不断增加,由于传统的静态和动态检测很容易通过混淆技术等手段绕过,已经无法实时有效检测出恶意应用程序。
基于系统调用(System Call)的恶意应用程序检测技术,由于进程所要执行的关键操作都必须通过System Call从用户态转换到内核态,而且System Call及时准确,入侵者很难修改,所以目前该领域研究非常活跃。System Call代表着程序与系统内核底层交互,所有的软件行为都会以System Call序列的形式体现,相比于传统应用的静态特征数据提取,基于System Call的内核层系统调用序列在异常数据的采集上更具备可靠性、精确性和不可混淆性。
然而,传统的基于System Call的恶意软件检测技术,大多采用特征工程,如System Call的频率特征等进行提取,而这些特征具备一定的人为主观性和不全面性,且检测准确率较低、对未知攻击的检测能力有限。
发明内容
为了克服现有技术中存在的不足,本发明要解决的技术问题是提供一种能更有效的检测未知攻击并提高检测速度的应用程序异常行为检测方法及装置。
为解决上述技术问题,本发明的应用程序异常行为检测方法,包括:
提取应用程序进程的系统调用序列;
对所述系统调用序列按异常行为检测模型的维度进行格式化处理;
将格式化处理后的系统调用序列送入经训练的所述异常行为检测模型;
所述异常行为检测模型返回所述系统调用序列所对应的应用程序是否存在异常行为的预测结果;
其中,所述异常行为检测模型包括词嵌入层、长短期记忆LSTM(Long Short-TermMemory)层、注意层及全连接层,所述词嵌入层将所述系统调用序列转换为适合LSTM层的词向量,所述LSTM层用于至少学习所述系统调用序列的前后单词之间的顺序关系、语义和抽象特征,所述注意层用于使得所述异常行为检测模型对不同敏感度的系统调用赋予不同注意力,及所述全连接层用于分类以输出所述预测结果。
作为本发明所述方法的改进,所述维度为样本的最大长度,所述最大长度在50-200之间。
作为本发明所述方法的另一种改进,所述异常行为检测模型的训练包括:
提取每个应用程序进程的系统调用序列;
将提取出来的系统调用序列按照应用程序的正常和异常标签分为正常样本和异常样本;
统计正常样本和异常样本中的词频和句频,并根据统计结果计算每一系统调用与敏感操作有关的敏感度权重;
对正常样本和异常样本按预设最大长度进行分割得到正训练样本和负训练样本;
将所述敏感度权重作为所述注意层的注意力因子,将正训练样本和负训练样本送入所述异常行为检测模型进行训练。
作为本发明所述方法的进一步改进,所述异常行为检测模型的训练还包括:
对正训练样本和负训练样本进行各自的序列去重操作和正负交叉去重操作;
其中,在正负交叉去重操作中,如果负训练样本中出现的序列在正训练样本中也出现,则视为正训练样本,并从负训练样本中去除。
作为本发明所述方法的又一进一步改进,所述敏感度权重的计算包括:
分别计算正训练样本、负训练样本中每一个系统调用的词频占比率;
分别计算正训练样本、负训练样本中每一个系统调用的句频占比率;
通过正训练样本、负训练样本的词频占比率和句频占比率分别相乘而分别得到正训练样本、负训练样本的每一个系统调用的概率分布;及
计算负训练样本的每一个系统调用的概率分布与正训练样本的每一个系统调用的概率分布的比得到每一系统调用的敏感度权重。
为解决上述技术问题,本发明的应用程序异常行为检测装置,包括:
提取模块,用于提取应用程序进程的系统调用序列;
格式化处理模块,用于对所述系统调用序列按异常行为检测模型的维度进行格式化处理;
输入模块,用于将格式化处理后的系统调用序列送入经训练的所述异常行为检测模型;
预测模块,用于使得所述异常行为检测模型返回所述系统调用序列所对应的应用程序是否存在异常行为的预测结果;
其中,所述异常行为检测模型包括词嵌入层、长短期记忆LSTM层、注意层及全连接层,所述词嵌入层将所述系统调用序列转换为适合LSTM层的词向量,所述LSTM层用于至少学习所述系统调用序列的前后单词之间的顺序关系、语义和抽象特征,所述注意层用于使得所述异常行为检测模型对不同敏感度的系统调用赋予不同注意力,及所述全连接层用于分类以输出所述预测结果。
为解决上述技术问题,本发明的有形计算机可读介质,包括用于执行本发明的应用程序异常行为检测方法的计算机程序代码。
为解决上述技术问题,本发明提供一种装置,包括至少一个处理器;及至少一个存储器,含有计算机程序代码,所述至少一个存储器和所述计算机程序代码被配置为利用所述至少一个处理器使得所述装置执行本发明的应用程序异常行为检测方法的至少部分步骤。
本发明采用LSTM进行训练,与传统的基于特征的静动态检测技术相比,可以有效解决传统基于特征工程的System call检测所存在的时序性、不定长性、长期依赖性等问题,可以学习到很多序列前后的顺序关系和语义关系等,还能学习到一些抽象特征,这些是特征工程无法提取到的,通过LSTM进行训练可以更加有效的检测出异常的应用程序,使对未知攻击的检测成为可能。而且,通过增加System call的敏感度权重,将先验知识赋予异常行为检测模型,可以使该检测模型更快地收敛,使用更少的模型参数达到更高的准确率,获得更好的检测效果。
结合附图阅读本发明实施方式的详细描述后,本发明的其它特点和优点将变得更加清楚。
附图说明
图1为根据本发明方法的一实施例的流程图。
图2为根据本发明装置的一实施例的结构示意图。
为清晰起见,这些附图均为示意性及简化的图,它们只给出了对于理解本发明所必要的细节,而省略其他细节。
具体实施方式
下面参照附图对本发明的实施方式和实施例进行详细说明。
通过下面给出的详细描述,本发明的适用范围将显而易见。然而,应当理解,在详细描述和具体例子表明本发明优选实施例的同时,它们仅为说明目的给出。
移动应用程序的种类繁多和功能复杂,普通用户很难区分一个应用是正常还是异常,而且很多应用表面上看是正常的,但是却隐藏着很多异常的行为操作,有些应用在运行时才会主动触发一些异常行为,有些异常行为是运行时被动触发的,这些都是静态检测无法解决的。传统的基于特征的动态检测,在特征提取上存在主观性,而且特征数据具备可篡改性,且很难检测新的未知攻击模式。
通过监控软件运行时在用户态和内核态之间所调用的System Call序列,来实时检测恶意软件所产生的异常System Call行为序列。而System Call序列本身具备时序性、不定长性和行为的长期依赖性,鉴于循环神经网络在序列模型上取得的不错的效果,在序列时序性、不定长性和长期依赖性具备先天优势,以及System call数据集的庞大,本发明采用LSTM来自动学习System Call序列前后单词之间的顺序关系、语义和抽象特征等,并通过语义、抽象特征等的学习,可以更有效的检测未知攻击。同时,鉴于正常和恶意软件所产生的System Call序列的差异性,本专利提出基于System Call与敏感操作有关的敏感度权重概念,通过赋予模型先验的敏感度知识,辅助模型训练,可以更快地收敛,并在相同效果的基础上减少模型参数。
下面结合图1所示流程图对根据本发明一实施例的应用程序异常行为检测方法的各步骤进行具体说明。
在步骤S102,通过采集应用程序运行时产生的系统调用日志,提取应用程序进程的系统调用序列。
在步骤S104,对系统调用序列按最大长度200进行划分,不足的补0,超过200长度的按照固定长度分割,得到格式化处理的系统调用序列样本。最大长度也可以是50到200之间的任意长度,例如50、100。
在步骤S106,将系统调用序列样本送入经训练的异常行为检测模型。该异常行为检测模型包括依次连接的词嵌入(Embedding)层、LSTM层、注意(Attention)层及全连接(Dense)层。每一层的输入输出信息如下:
Embedding层:输入:(batch_size,sequence_length);输出:(batch_size,sequence_length,output_dim);
LSTM层:输入:(batch_size,sequence_length,input_dim);输出:(batch_size,sequence_length,output_dim);
Attention层:输入:(batch_size,sequence_length,input_dim);输出:(batch_size,1);
Dense层:输入:(batch_size,1);输出:(batch_size,1);
其中batch_size是每次送入模型的相应层的样本数,sequence_length是序列的长度,output_dim是输出维度。
在其它实施例中,异常行为检测模型也可包括依次连接的词嵌入层、注意层、LSTM层及全连接层。每一层的输入输出信息如下:
Embedding层:输入:(batch_size,sequence_length);输出:(batch_size,sequence_length,output_dim);
Attention层:输入:(batch_size,sequence_length,input_dim);输出:(batch_size,sequence_length,output_dim);
LSTM层:输入:(batch_size,sequence_length,input_dim);输出:(batch_size,1);
Dense层:输入:(batch_size,1);输出:(batch_size,1)。
在实施例中,Embedding、LSTM、Dense层均采用Keras框架中封装好的API接口,参见https://keras.io/layers/recurrent/#lstm。当然,在其它实施例中,也可使用其它LSTM版本。注意层是本发明特地新加入的一层。
异常行为检测模型按如下进行训练:
通过采集应用程序运行时产生的System call日志,提取每个应用进程的Systemcall调用序列。
将提取出来的System call调用序列按照应用程序的正常和异常标签,分为正常样本和异常样本两类。
通过对System call序列全集进行正常样本和异常样本中的词频和句频的统计并计算出每一个System call的敏感度权重,得到System call敏感度权重表,其是一个概率分布表。具体地,设System-call的字典大小为n;正常样本中System-call集合为B,对于集合B中的每一个元素bi(i=1,2,3…n),都有bi∈B;异常样本中的System-call集合为M,对于集合M中的每一个元素mi(i=1,2,3…n),都有mi∈M。
敏感度计算主要参数表
Figure BDA0002248131430000071
敏感度计算过程主要分为三个部分。
设任意样本类型为x,当且满足以下条件:
Figure BDA0002248131430000072
设集合类型X,当且仅当满足以下条件:
Figure BDA0002248131430000073
A、对分类System-call进行词频和频占比的计算
对样本进行词频统计,对任意:
Figure BDA0002248131430000074
Figure BDA0002248131430000075
样本词频占比率为:
Figure BDA0002248131430000076
B、对分类System-call进行句频和频占比的计算
对样本进行句频统计
Figure BDA0002248131430000081
dfX= ADC(X) (7)
样本句频占比率为:
Figure BDA0002248131430000082
C、进行异常样本与正常样本的敏感度计算和标准化处理
Figure BDA0002248131430000083
Figure BDA0002248131430000084
Figure BDA0002248131430000085
计算每一个System-call的敏感度权重,并进行数据的标准化处理。
Figure BDA0002248131430000086
最终得出System-call的敏感度权重集合:
Figure BDA0002248131430000087
对正常样本和异常样本进行最大长度200的划分,不足的补0,超过200长度的按照固定长度分割,得到正训练样本和负训练样本。同时对正训练样本和负训练样本进行各自的序列去重操作和正负交叉去重操作,在正负交叉去重操作中,如果负训练样本中出现的序列在正训练样本中也出现了,则视为正训练样本序列,并从负训练样本中去除该序列。最后所有分割好的正、负训练样本序列分别存入文件作为后续模型训练的System Call序列训练数据集。
将敏感度权重集作为注意层的注意力因子,及将正训练样本和负训练样本送入异常行为检测模型对该模型进行训练,得到经训练的应用程序异常行为检测模型。
在步骤S108,如果异常行为检测模型确定系统调用序列中有一个被检测是异常的,则代表着存在异常行为,返回预测结果。
图2示出了根据本发明的应用程序异常行为检测装置的一实施例的结构示意图。该实施例的装置包括:提取模块202,用于提取应用程序进程的系统调用序列;格式化处理模块204,用于对系统调用序列按异常行为检测模型的维度进行格式化处理;输入模块206,用于将格式化处理后的系统调用序列送入经训练的异常行为检测模型;预测模块208,用于使得异常行为检测模型返回系统调用序列所对应的应用程序是否存在异常行为的预测结果;其中,异常行为检测模型包括词嵌入层、长短期记忆LSTM层、注意层及全连接层,词嵌入层将系统调用序列转换为适合LSTM层的词向量,LSTM层用于至少学习系统调用序列的前后单词之间的顺序关系、语义和抽象特征,注意层用于使得异常行为检测模型对不同敏感度的系统调用赋予不同注意力,及全连接层用于分类以输出预测结果。
在此所述的多个不同实施例或者其特定特征、结构或特性可在本发明的一个或多个实施方式中适当组合。另外,在某些情形下,只要适当,流程图中和/或流水处理描述的步骤顺序可修改,并不必须精确按照所描述的顺序执行。另外,本发明的多个不同方面可使用软件、硬件、固件或者其组合和/或执行所述功能的其它计算机实施的模块或装置进行实施。本发明的软件实施可包括保存在计算机可读介质中并由一个或多个处理器执行的可执行代码。计算机可读介质可包括计算机硬盘驱动器、ROM、RAM、闪存、便携计算机存储介质如CD-ROM、DVD-ROM、闪盘驱动器和/或例如具有通用串行总线(USB)接口的其它装置,和/或任何其它适当的有形或非短暂计算机可读介质或可执行代码可保存于其上并由处理器执行的计算机存储器。本发明可结合任何适当的操作系统使用。
除非明确指出,在此所用的单数形式“一”、“该”均包括复数含义(即具有“至少一”的意思)。应当进一步理解,说明书中使用的术语“具有”、“包括”和/或“包含”表明存在所述的特征、步骤、操作、元件和/或部件,但不排除存在或增加一个或多个其他特征、步骤、操作、元件、部件和/或其组合。如在此所用的术语“和/或”包括一个或多个列举的相关项目的任何及所有组合。
前面说明了本发明的一些优选实施例,但是应当强调的是,本发明不局限于这些实施例,而是可以本发明主题范围内的其它方式实现。本领域技术人员可以在本发明技术构思的启发和不脱离本发明内容的基础上对本发明做出各种变型和修改,这些变型或修改仍落入本发明的保护范围之内。

Claims (8)

1.一种应用程序异常行为检测方法,其特征在于,所述方法包括:
提取应用程序进程的系统调用序列;
对所述系统调用序列按异常行为检测模型的维度进行格式化处理;
将格式化处理后的系统调用序列送入经训练的所述异常行为检测模型;
所述异常行为检测模型返回所述系统调用序列所对应的应用程序是否存在异常行为的预测结果;
其中,所述异常行为检测模型包括词嵌入层、长短期记忆LSTM层、注意层及全连接层,所述词嵌入层将所述系统调用序列转换为适合LSTM层的词向量,所述LSTM层用于至少学习所述系统调用序列的前后单词之间的顺序关系、语义和抽象特征,所述注意层用于使得所述异常行为检测模型对不同敏感度的系统调用赋予不同注意力,及所述全连接层用于分类以输出所述预测结果;
其中,所述异常行为检测模型的训练包括:
提取每个应用程序进程的系统调用序列;
将提取出来的系统调用序列按照应用程序的正常和异常标签分为正常样本和异常样本;
统计正常样本和异常样本中的词频和句频,并根据统计结果计算每一系统调用与敏感操作有关的敏感度权重;
对正常样本和异常样本按预设最大长度进行分割得到正训练样本和负训练样本;
将所述敏感度权重作为所述注意层的注意力因子,将正训练样本和负训练样本送入所述异常行为检测模型进行训练。
2.根据权利要求1所述的方法,其特征在于,所述维度为样本的最大长度,所述最大长度在50-200之间。
3.根据权利要求1所述的方法,其特征在于,所述异常行为检测模型的训练还包括:
对正训练样本和负训练样本进行各自的序列去重操作和正负交叉去重操作;
其中,在正负交叉去重操作中,如果负训练样本中出现的序列在正训练样本中也出现,则视为正训练样本,并从负训练样本中去除。
4.根据权利要求1所述的方法,其特征在于,所述敏感度权重的计算包括:
分别计算正训练样本、负训练样本中每一个系统调用的词频占比率;
分别计算正训练样本、负训练样本中每一个系统调用的句频占比率;
通过正训练样本、负训练样本的词频占比率和句频占比率分别相乘而分别得到正训练样本、负训练样本的每一个系统调用的概率分布;及
计算负训练样本的每一个系统调用的概率分布与正训练样本的每一个系统调用的概率分布的比得到每一系统调用的敏感度权重。
5.一种应用程序异常行为检测装置,其特征在于,所述装置包括:
提取模块,用于提取应用程序进程的系统调用序列;
格式化处理模块,用于对所述系统调用序列按异常行为检测模型的维度进行格式化处理;
输入模块,用于将格式化处理后的系统调用序列送入经训练的所述异常行为检测模型;
预测模块,用于使得所述异常行为检测模型返回所述系统调用序列所对应的应用程序是否存在异常行为的预测结果;
其中,所述异常行为检测模型包括词嵌入层、长短期记忆LSTM层、注意层及全连接层,所述词嵌入层将所述系统调用序列转换为适合LSTM层的词向量,所述LSTM层用于至少学习所述系统调用序列的前后单词之间的顺序关系、语义和抽象特征,所述注意层用于使得所述异常行为检测模型对不同敏感度的系统调用赋予不同注意力,及所述全连接层用于分类以输出所述预测结果;
其中,所述异常行为检测模型的训练包括:
提取每个应用程序进程的系统调用序列;
将提取出来的系统调用序列按照应用程序的正常和异常标签分为正常样本和异常样本;
统计正常样本和异常样本中的词频和句频,并根据统计结果计算每一系统调用与敏感操作有关的敏感度权重;
对正常样本和异常样本按预设最大长度进行分割得到正训练样本和负训练样本;
将所述敏感度权重作为所述注意层的注意力因子,将正训练样本和负训练样本送入所述异常行为检测模型进行训练。
6.根据权利要求5所述的装置,其特征在于,所述维度为样本的最大长度,所述最大长度在50-200之间。
7.根据权利要求5所述的装置,其特征在于,所述异常行为检测模型的训练还包括:
对正训练样本和负训练样本进行各自的序列去重操作和正负交叉去重操作;
其中,在正负交叉去重操作中,如果负训练样本中出现的序列在正训练样本中也出现,则视为正训练样本,并从负训练样本中去除。
8.根据权利要求5所述的装置,其特征在于,所述敏感度权重的计算包括:
分别计算正训练样本、负训练样本中每一个系统调用的词频占比率;
分别计算正训练样本、负训练样本中每一个系统调用的句频占比率;
通过正训练样本、负训练样本的词频占比率和句频占比率分别相乘而分别得到正训练样本、负训练样本的每一个系统调用的概率分布;及
计算负训练样本的每一个系统调用的概率分布与正训练样本的每一个系统调用的概率分布的比得到每一系统调用的敏感度权重。
CN201911024100.7A 2019-10-25 2019-10-25 应用程序异常行为检测方法及装置 Active CN110941827B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911024100.7A CN110941827B (zh) 2019-10-25 2019-10-25 应用程序异常行为检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911024100.7A CN110941827B (zh) 2019-10-25 2019-10-25 应用程序异常行为检测方法及装置

Publications (2)

Publication Number Publication Date
CN110941827A CN110941827A (zh) 2020-03-31
CN110941827B true CN110941827B (zh) 2022-04-05

Family

ID=69906195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911024100.7A Active CN110941827B (zh) 2019-10-25 2019-10-25 应用程序异常行为检测方法及装置

Country Status (1)

Country Link
CN (1) CN110941827B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111797978A (zh) * 2020-07-08 2020-10-20 北京天融信网络安全技术有限公司 一种内部威胁检测方法、装置、电子设备及存储介质
CN112330442A (zh) * 2020-11-17 2021-02-05 深圳市欢太科技有限公司 基于超长行为序列的建模方法及装置、终端、存储介质
CN112860484A (zh) * 2021-01-29 2021-05-28 深信服科技股份有限公司 容器运行时异常行为检测、模型训练方法及相关装置
CN114301630A (zh) * 2021-11-30 2022-04-08 北京六方云信息技术有限公司 网络攻击检测方法、装置、终端设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108647518A (zh) * 2018-03-16 2018-10-12 广东工业大学 一种基于深度学习的Android平台恶意软件检测方法
CN109753801B (zh) * 2019-01-29 2022-04-22 重庆邮电大学 基于系统调用的智能终端恶意软件动态检测方法
CN109886021A (zh) * 2019-02-19 2019-06-14 北京工业大学 一种基于api全局词向量和分层循环神经网络的恶意代码检测方法

Also Published As

Publication number Publication date
CN110941827A (zh) 2020-03-31

Similar Documents

Publication Publication Date Title
CN110941827B (zh) 应用程序异常行为检测方法及装置
CN110444198B (zh) 检索方法、装置、计算机设备和存储介质
CN111027069B (zh) 恶意软件家族检测方法、存储介质和计算设备
US20120136812A1 (en) Method and system for machine-learning based optimization and customization of document similarities calculation
CN111814822B (zh) 一种敏感图片检测方法、装置及电子设备
CN113328994B (zh) 一种恶意域名处理方法、装置、设备及机器可读存储介质
CN113360912A (zh) 恶意软件检测方法、装置、设备及存储介质
CN115221516B (zh) 恶意应用程序识别方法及装置、存储介质、电子设备
CN116055293B (zh) 路由器的远程故障监控方法及路由器
JP2022120024A (ja) オーディオ信号処理方法、モデルトレーニング方法、並びにそれらの装置、電子機器、記憶媒体及びコンピュータプログラム
CN111639493A (zh) 一种地址信息标准化方法、装置、设备及可读存储介质
CN114692778B (zh) 用于智能巡检的多模态样本集生成方法、训练方法及装置
CN108875050B (zh) 面向文本的数字取证分析方法、装置和计算机可读介质
CN110705282A (zh) 关键词提取方法、装置、存储介质及电子设备
CN112052375B (zh) 舆情获取和词粘度模型训练方法及设备、服务器和介质
CN112003834B (zh) 异常行为检测方法和装置
CN113468035A (zh) 日志异常检测方法、装置、训练方法、装置及电子设备
CN115858776B (zh) 一种变体文本分类识别方法、系统、存储介质和电子设备
Vahedi et al. Cloud based malware detection through behavioral entropy
CN106294292B (zh) 章节目录筛选方法及装置
CN113691525A (zh) 一种流量数据处理方法、装置、设备及存储介质
CN114676428A (zh) 基于动态特征的应用程序恶意行为检测方法及设备
CN114662099A (zh) 基于ai模型的应用程序恶意行为检测方法及设备
Yeh et al. A fraud detection system for real-time messaging communication on Android Facebook messenger
CN112597498A (zh) 一种webshell的检测方法、系统、装置及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20230427

Address after: Room 401, Floor 4, No. 2, Haidian East Third Street, Haidian District, Beijing 100080

Patentee after: Yuanxin Information Technology Group Co.,Ltd.

Address before: 100080 401-06, 4th floor, 2 Haidian East 3rd Street, Haidian District, Beijing

Patentee before: YUANXIN TECHNOLOGY

TR01 Transfer of patent right