CN111079143B - 一种基于多维特征图的木马检测方法 - Google Patents
一种基于多维特征图的木马检测方法 Download PDFInfo
- Publication number
- CN111079143B CN111079143B CN201911164938.6A CN201911164938A CN111079143B CN 111079143 B CN111079143 B CN 111079143B CN 201911164938 A CN201911164938 A CN 201911164938A CN 111079143 B CN111079143 B CN 111079143B
- Authority
- CN
- China
- Prior art keywords
- sequence
- layer
- operation code
- feature map
- opcode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明针对目前特洛伊木马种类繁多,形态各异,给检测技术带来困扰的问题,提出一种基于多维特征图的木马检测方法。该方法包括:将木马可执行文件转化为反汇编ASM文件,根据所述反汇编ASM文件构建ASM多维特征图,基于深度残差神经网络构建所述ASM多维特征图的恶意代码家族分类模型。
Description
技术领域
本发明涉及一种基于多维特征图的木马检测方法,属于恶意代码检测领域。
背景技术
恶意代码检测技术是指使用一种分析技术对未知文件进行识别,识别其是否为正常文件或者为恶意文件,分析技术有很多种,主要有静态检测技术和动态检测技术。
静态检测技术主要是分析文件本身,或者分析对文件进行简单处理后的文件,常见的就是分析PE文件,PE文件中包含了很多信息,比如文件头信息,DLL列表信息,API调用信息等等,分析这些信息,找出其中的信息规律,就能够识别其文件是否为恶意文件。
动态检测技术是一种非常实用的检测技术,但是该检测技术操作难度大,并且对试验环境要求高,这样的高要求使得检测的准确率非常高,该检测技术主要工作是将未知文件放入虚拟环境中进行运行,并且该环境需要与外界隔离,但是隔离的同时也需要尽量保证是一种真实的环境,这样的作法主要是为了防止未知文件识别出该环境为虚拟环境,将未知文件放入虚拟环境中运行,监测该未知文件的运行过程的信息,最后将这些信息进行对比,使用一些规则方法提取,用于识别未知文件是否为恶意文件。
Shultz在2001年从恶意文件中提取了DLL相关信息作为特征,首次使用数据挖掘技术用于恶意代码检测,使用签名方法进行比较,该方法的准确率明显高于签名扫描方法的准确率。Johannes在2005年将CTL语义规则进行了创新,并首次将该方法用于恶意代码检测中,实现了一种高效的恶意代码检测模型。戴敏在2006年使用PE文件进行特征提取,将PE文件信息进行了重要性划分,然后根据PE文件特征的重要性使用决策树进行特征筛选,该方法通过实验证明了其有效性。杨彦在2008年提取了PE文件中的API函数调用序列作为特征模型,并首次使用扩展攻击树将恶意文件与正常文件的API函数调用集合进行对比,通过实验表明,在一定程度上能够识别恶意程序。Tang在2009年使用了各种分类器算法,对PE文件信息进行提取,然后判断该PE文件是否为恶意代码的PE文件。Tian在2010提取了恶意软件运行是的API调用序列和调用日志作为特征,然后使用分类学习算法进行识别,试验表明该方法在一定程度上能够识别恶意代码。Jin在2010年使用PE文件信息作为特征,首次使用动态攻击树模型将恶意软件和正常软件进行对比,找出两者之间的不同之处。Rieck在2011年提出一种使用机器学习来分析恶意程序的方法。该框架可以识别具有相似行为的恶意软件,并提供恶意软件的类别列表。将聚类算法和分类算法相结合,形成了一个恶意代码检测模型,处理速度快,并且有较好的分类准确率。Baldangombo在2013年通过提取PE文件信息作为特征,使用信息增益算法对这些特征进行特征筛选,然后使用PCA主成分分析对筛选出来的特征向量进行降维,最后使用J48分类器构建一个恶意代码分类系统。梁光辉在2016年通过搭建虚拟环境,获得恶意代码运行时的API函数调用序列,使用这些序列构建了API函数关系链,并且根据这个关系链,计算出了恶意程序与正常文件之间的差异与相似,在一定程度上能够识别恶意代码。HUANG等人在2016年基于神经网络构建了一个恶意代码家族分类模型。该模型对450万个样本进行训练,并用200万个样本进行测试,恶意代码分类的准确率高达97.06%。
发明内容
本发明针对目前特洛伊木马种类繁多,形态各异,给检测技术带来困扰的问题,提出一种基于多维特征图的木马检测方法。
本发明通过以下技术方案实现:
一种基于多维特征图的木马检测方法,包括:
将木马可执行文件转化为反汇编ASM文件,根据所述反汇编ASM文件构建ASM多维特征图,基于深度残差神经网络构建所述ASM多维特征图的恶意代码家族分类模型。
所述构建ASM多维特征图具体包括:
对所述反汇编ASM文件中的操作码opcode序列进行k序列去重操作,生成多维特征图的第一维特征;
根据去重的操作码opcode序列构建N-Gram序列,生成多维特征图的第二维特征;
以所述去重的操作码opcode序列作为基础,找出操作码opcode序列对应的N-gram序列,然后进行赋值,作为多维特征图的第三维特征。
本发明的有益效果:
1、相比于常规方法对操作码opcode序列进行N-gram处理提取N-gram频率序列的等提取文本统计特征的方式,本发明提出了从恶意代码反汇编ASM文件中提取操作码opcode序列,通过操作码opcode序列构建ASM多维特征图,保留了操作码opcode序列的相对完整性,并将ASM文件可视化,作为图像进行进一步处理。
2、本发明在上述多维特征图的基础上,改进了恶意代码家族的神经网络分类器,根据木马的多维特征图特性与尺寸设计深度神经网络模型,构建了基于残差神经网络和木马多维特征图的恶意代码家族分类器。
附图说明
图1为本发明实施例中基于多维特征图的木马检测方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。
本发明的实现思想:在恶意代码反汇编ASM文件中,操作码opcode序列是一个非常重要的特征,虽然操作码是非常重要的特征,但是该特征无法直接使用,该序列需要经过一些处理与分析。本发明从恶意代码反汇编ASM文件中提取了操作码opcode序列,通过对该操作码opcode序列构建多维特征图的方法,保留操作码opcode序列的相对完整性。
如图1所示,本实施例中基于多维特征图的木马检测方法,具体包括:
步骤一、将木马可执行文件转化为反汇编ASM文件;
在本实施例中,将所述木马可执行文件转化为反汇编ASM文件之前先进行加壳检测,如果程序加壳,则进行脱壳处理。
所述ASM文件,是汇编语言源程序的扩展名。它是面向机器的程序设计语言,是一种利用计算机所有硬件特性并能直接控制硬件的语言。
所述加壳,是指对程序以一种特定的方式进行打包。现在绝多数恶意代码都会使用加壳器,所述加壳器能够使恶意代码逃避检测,使得对恶意代码分析变得非常困难,并且会使得恶意代码体积缩小。现有的分析技术无法对加壳后的恶意代码起作用,所以对恶意代码分析时,先对恶意代码进行脱壳处理。本实施例中使用ollydbg软件采用单步跟踪法进行脱壳。
本实施例中经过脱壳的恶意代码再进行反汇编分析,以脱壳后的可执行文件作为输入,反汇编ASM文件作为输出。
本实施例使用IDA Pro软件进行反汇编,所述IDA Pro软件是交互式反汇编器的专业版(Interactive Disassembler Professional)。
步骤二、根据所述反汇编ASM文件构建ASM多维特征图;
在本实施例中,所述构建ASM多维特征图具体包括:
一、对所述反汇编ASM文件中的操作码opcode序列进行k序列去重操作,生成多维特征图的第一维特征;
恶意代码为了掩盖自己真正的行为,往往会在其中增加很多多余的功能,这些功能在操作码序列中就是一些垃圾指令,但是这些指令影响了传统的数据挖掘技术,会得到许多垃圾的指令信息,导致对恶意代码分析出错。这些垃圾指令有两个明显的特点:大量和连续,这样的会使得恶意代码的操作码序列非常的冗长。根据恶意代码的上述特点,本发明对操作码opcode序列进行k序列去重操作,用于生成多维特征图的第一维特征。下面是具体生成流程:
1、对每个所述反汇编ASM文件提取操作码opcode序列;
2、对所述操作码opcode序列进行k序列去重;
3、对去重后的操作码opcode序列包含的操作码进行数字化,得到多维特征图的第一维特征。
所述对所述操作码opcode序列进行k序列去重,具体包括:
①定义k序列:表示由k个操作码组成的序列;
②判断所述操作码opcode序列中是否存在连续且相同的k序列,且存在数量大于m,则说明k序列重复;
③保留m个序列,去除其余重复k序列;
④重复步骤①至③,直到序列中不存在连续且相同的k序列。
所述对去重后的操作码opcode序列所包含的操作码进行数字化,具体包括:
①统计所述去重后的操作码opcode序列中的不同操作码出现的次数,并按照次数进行大小排序;
②取前22n的操作码进行编号1~22n,保留0位,每一个操作码对应一个数,该数在1~22n之间;不是前22n的操作码统一为0。实验证明,通过统计了所有的操作码,前255的操作码数量占总数量超过99%。
③根据步骤②的编号规则,将操作码数字化。
二、根据所述的k序列去重的操作码opcode序列构建N-Gram序列,作为多维特征图的第二维特征;
在本实施例中,所述N-gram是指给定的一段文本或语音中N个项目的序列,它是计算机语言学和概率论中的概念。通常N-gram来自文本或者语料库。
在本实施例中,所述根据所述的k序列去重的操作码opcode序列构建N-Gram序列,具体包括:
(1)对每个k序列去重后的操作码opcode序列提取操作码N-gram序列;
(2)统计每个操作码N-gram序列出现的次数,并将所述次数放入map中保存;
(3)对所述map中所有的次数进行归一化处理,乘以255,将结果作为多维特征图的第二维特征。
所述保存的格式为:(key,value),其中key表示所述操作码N-gram序列,value表示所述操作码N-gram序列出现的次数。
三、以所述k序列去重的操作码opcode序列作为基础,找出操作码opcode序列对应的N-gram序列,然后进行赋值,作为多维特征图的第三维特征。
所述找出操作码opcode序列对应的N-gram序列,然后进行赋值,具体包括:在k序列去重后的操作码opcode中以N为窗口大小,提取出每个N元组,与所述map中的key进行比对:
①如果存在,则记录连续N个value作为特征,窗口步长为N;
②如果不存在,则记录一个0作为特征,窗口步长为1。
步骤三、基于深度残差神经网络构建所述ASM多维特征图的恶意代码家族分类模型;
本实施例所述的恶意代码家族分类模型,具体为:
第一层为输入层;第二层为卷积层;第三层、第四层、第五层为一个整体结构,是整个神经网络的第一个残差结构;第六层、第七层为一个整体结构,是整个神经网络的第二个残差结构;第八层、第九层、第十层为一个整体结构,是整个神经网络的第三个残差结构;第十一层、第十二层为一个整体结构,是整个神经网络的第四个残差结构;第十三层为平均池化层;第十四层、第十五层为深度卷积神经网络结构的全连接层,为输出层。
在本实施例中,恶意代码家族分类模型具体设计为:
(1)第一层
第一层为输入层,该层是为了将输入数据导入深度神经网络中,本实施例中,多维特征图的大小取48×48×3,因此该层使用48×48×3特征矩阵神经元来接收输入数据。
(2)第二层
第二层为卷积层,将所述输入层的48×48×3特征矩阵转换为单层矩阵48×48×1,便于后面卷积操作和池化操作;提取所述输入层48×48×3特征矩阵中的细粒度数据,并使用64个卷积核进行操作,得到64个不同的特征图,增加特征图的特征多样性。
该层包含64个尺寸为2×2×3的卷积核,采用64个卷积核对48×48×3的特征矩阵向量细粒度扫描提取:卷积操作的步长为2。
(3)第三层、第四层、第五层
第三层、第四层、第五层为一个整体结构,是整个神经网络的第一个残差结构。本实施例中所述残差结构由四个卷积层和四个批量标准层构成,分为两部分,第一部分看做3个卷积层做卷积操作,其中卷积核尺寸分别为1×1,3×3,1×1。本实施例中使用两个1×1的卷积核有下面几个原因:
1、通过改变卷积核的数量,实现通道数大小的放缩。
2、1×1卷积核的卷积过程相当于全连接层操作,由于加入非线性激活函数,网络中非线性增加,使得网络具有很强的表达能力。
3、可以减少大量参数。使用1×1确保效果的同时,减少了计算量。
虽然传统的梯度下降法训练神经网络非常高效,但是这种高效是有前提的,必须有适合的参数,这些参数的选择直接影响了整个神经网络的运行效率。假如,我们不需要调整参数的话,神经网络学习起来就会更加简单,本实施例中使用批量标准层完美的解决了这个问题。
(4)第六层、第七层
第六层、第七层为一个整体结构,是整个神经网络的第二个残差结构。由三个卷积层和三个批量标准层构成。该结构可以分为两部分,第一部分可以看做为两个卷积层做卷积操作;第一个卷积核尺寸为3×3,256个卷积核,步长为1,为了卷积操作之后的特征矩阵尺寸与原输入尺寸相同,将每层的像素填充一个像素;第二个卷积核尺寸为3×3,256个卷积核,与第一个卷积核不同的是,它的步长为2,卷积操作之后使得输出的特征矩阵尺寸减半,尺寸变成12×12×256。
由于第一部分的尺寸输出减半,相应的第二部分也会尺寸减半。第二部分的卷积核尺寸为3×3,256个卷积核,步长为2。
(5)第八层、第九层、第十层
第八层、第九层、第十层为一个整体结构,是整个神经网络的第三个残差结构。由四个卷积层和四个批量标准层构成,该残差结构与第一个结构相同,分为两个部分,第一部分有三个卷积核,第一个卷积核尺寸为1×1,个数为256,步长为1,不需要填充;第二个卷积核尺寸为3×3,个数为256,步长为1,每层需要填充一个像素;第三个卷积核尺寸为1×1,个数为1024,步长为1,不需要填充;第二部分有一个卷积核,卷积核尺寸为1×1,个数为1024,步长为1,不需要填充。
(6)第十一层、第十二层
第十一层、第十二层为一个整体结构,这里将残差结构和Inception结构相结合。由五个卷积层和三个批量标准层构成。该结构也分为两个部分,第一部分有四个卷积核,前三个卷积核是一个Inception结构。其他卷积操作类似于第二个残差结构卷积操作。
所述Inception结构所含三个卷积核的卷积尺寸尺寸分别是1×1,3×3,5×5。Inception结构没有明显的增加网络深度,达到的增加网络深度和宽度的效果,解决了传统神经网络增加深度和宽度之后的过拟合、计算复杂度变大、梯度弥散等问题。
该结构的第一部分的第四个卷积核尺寸为3×3,512个,步长为2,所以输出的矩阵大小会减少一半,为6×6×1024,该结构的第二部分也是相同的卷积核,由于输入和输出的尺寸变化,所以shortcut connections(捷径连接)为虚线连接。
(7)第十三层
第十三层为平均池化层,目的是将输入矩阵拉直,并且控制输出向量维度,优化计算,方便训练。将输出矩阵尺寸为6×6×1024转化为尺寸1×1×1024的输出矩阵。具体的池化公式如下:
式中,xij为上一层输入的矩阵向量,average()函数表示取平均值操作,y输出表示一次池化操作的输出。
(8)第十四层、第十五层
第十四层、第十五层都是本实例网络结构的全连接层,该全连接层为输出层。第十四层利用256个神经元将1024维向量转化为256维向量。转化规则公式为:
其中w和b表示网络参数,xi表示第i处的向量值,Activation_Func为该层节点所用的激活函数。
第十五层与第十四层类似,具体的设定为:利用9个神经元将256维向量转化为9维向量,转化公式与十四层类似。本实例是将恶意代码按家族分为九大类,输出层的激活函数使用softmax函数。
为了得到实验的最优解,本实施例中网络内部参数设置如下:
(1)激活函数选择
本实验选用了RELU激活函数作为激活函数。
(2)参数初始化选择
因为使用了批量标准层,所以对于参数初始化而言,不需要做太多处理,网络模型的参数初始化采用区间均匀随机取值的方式。
(3)优化器算法选择
网络模型使用Adam优化器算法,该优化器算法同样也会记录一阶梯度变化率,并且会更进一步记录二阶梯度变化率,然后使用这些变化率来修正权重偏差,进而更新权重。
Claims (8)
1.一种基于多维特征图的木马检测方法,其特征在于,包括:
将木马可执行文件转化为反汇编ASM文件;所述将木马可执行文件转化为反汇编ASM文件之前先进行加壳检测,如果所述木马可执行文件为加壳程序,则进行脱壳处理;
根据所述反汇编ASM文件构建ASM多维特征图;
所述构建ASM多维特征图具体包括:
对所述反汇编ASM文件中的操作码opcode序列进行k序列去重操作,生成多维特征图的第一维特征;
根据去重的操作码opcode序列构建N-Gram序列,生成多维特征图的第二维特征;
以所述去重的操作码opcode序列作为基础,找出操作码opcode序列对应的N-gram序列,然后进行赋值,作为多维特征图的第三维特征;
基于深度残差神经网络构建所述ASM多维特征图的恶意代码家族分类模型,对木马进行检测。
2.如权利要求1所述一种基于多维特征图的木马检测方法,其特征在于,对所述反汇编ASM文件中的操作码opcode序列进行k序列去重操作,具体包括:
3.1、对每个所述反汇编ASM文件提取操作码opcode序列;
3.2、对所述操作码opcode序列进行k序列去重;
3.3、对去重后的操作码opcode序列包含的操作码进行数字化,得到多维特征图的第一维特征。
3.如权利要求2所述一种基于多维特征图的木马检测方法,其特征在于,所述对所述操作码opcode序列进行k序列去重,具体包括:
①定义k序列:表示由k个操作码组成的序列;
②判断所述操作码opcode序列中是否存在连续且相同的k序列,且存在数量大于设定值m,则说明k序列重复;
③保留m个序列,去除opcode序列其余重复k序列;
④重复步骤②至③,直到序列中不存在连续且相同的k序列。
4.如权利要求2或3所述一种基于多维特征图的木马检测方法,其特征在于,所述对去重后的操作码opcode序列所包含的操作码进行数字化,具体包括:
①统计所述去重后的操作码opcode序列中的不同操作码出现的次数,并按照次数进行大小排序;
②取前22n的操作码进行编号1~22n,保留0位,每一个操作码对应一个数,该数在1~22n之间;不是前22n的操作码统一为0;
③根据步骤②的编号规则,将操作码数字化。
5.如权利要求2所述一种基于多维特征图的木马检测方法,其特征在于,所述根据去重的操作码opcode序列构建N-Gram序列,具体包括:
(1)对每个k序列去重后的操作码opcode序列提取操作码N-gram序列;
(2)统计每个操作码N-gram序列出现的次数,并将所述次数放入map中保存;
(3)对所述map中所有的次数进行归一化处理,乘以255,将结果作为多维特征图的第二维特征。
6.如权利要求5所述一种基于多维特征图的木马检测方法,其特征在于,所述放入map中保存的保存格式为:(key,value),其中key表示所述操作码N-gram序列,value表示所述操作码N-gram序列出现的次数。
7.如权利要求2或3所述一种基于多维特征图的木马检测方法,其特征在于,所述的恶意代码家族分类模型,具体为:
第一层为输入层;第二层为卷积层;第三层、第四层、第五层为一个整体结构,是整个神经网络的第一个残差结构;第六层、第七层为一个整体结构,是整个神经网络的第二个残差结构;第八层、第九层、第十层为一个整体结构,是整个神经网络的第三个残差结构;第十一层、第十二层为一个整体结构,是整个神经网络的第四个残差结构,在所述第四个残差结构中包含Inception结构;第十三层为平均池化层;第十四层、第十五层为深度卷积神经网络结构的全连接层,为输出层。
8.如权利要求7所述一种基于多维特征图的木马检测方法,其特征在于,所述输出层的激活函数使用softmax函数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911164938.6A CN111079143B (zh) | 2019-11-25 | 2019-11-25 | 一种基于多维特征图的木马检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911164938.6A CN111079143B (zh) | 2019-11-25 | 2019-11-25 | 一种基于多维特征图的木马检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111079143A CN111079143A (zh) | 2020-04-28 |
CN111079143B true CN111079143B (zh) | 2022-02-11 |
Family
ID=70311471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911164938.6A Active CN111079143B (zh) | 2019-11-25 | 2019-11-25 | 一种基于多维特征图的木马检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111079143B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116028936B (zh) * | 2023-02-24 | 2023-05-30 | 山东云天安全技术有限公司 | 一种基于神经网络的恶意代码检测方法、介质及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109063478A (zh) * | 2018-07-19 | 2018-12-21 | 中国人民解放军61660部队 | 可移植的可执行文件的病毒检测方法、装置、设备及介质 |
CN109711160A (zh) * | 2018-11-30 | 2019-05-03 | 北京奇虎科技有限公司 | 应用程序检测方法、装置及神经网络系统 |
CN110365639A (zh) * | 2019-05-29 | 2019-10-22 | 中国科学院信息工程研究所 | 一种基于深度残差网络的恶意流量检测方法及系统 |
CN110458239A (zh) * | 2019-08-15 | 2019-11-15 | 东北大学秦皇岛分校 | 基于双通道卷积神经网络的恶意软件分类方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10193915B2 (en) * | 2016-09-30 | 2019-01-29 | Oath Inc. | Computerized system and method for automatically determining malicious IP clusters using network activity data |
-
2019
- 2019-11-25 CN CN201911164938.6A patent/CN111079143B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109063478A (zh) * | 2018-07-19 | 2018-12-21 | 中国人民解放军61660部队 | 可移植的可执行文件的病毒检测方法、装置、设备及介质 |
CN109711160A (zh) * | 2018-11-30 | 2019-05-03 | 北京奇虎科技有限公司 | 应用程序检测方法、装置及神经网络系统 |
CN110365639A (zh) * | 2019-05-29 | 2019-10-22 | 中国科学院信息工程研究所 | 一种基于深度残差网络的恶意流量检测方法及系统 |
CN110458239A (zh) * | 2019-08-15 | 2019-11-15 | 东北大学秦皇岛分校 | 基于双通道卷积神经网络的恶意软件分类方法及系统 |
Non-Patent Citations (3)
Title |
---|
IRMD: Malware Variant Detection Using Opcode Image Recognition;Jixin Zhang 等;《 2016 IEEE 22nd International Conference on Parallel and Distributed Systems (ICPADS)》;20170119;第1175-1180页 * |
基于多特征融合的安卓恶意应用程序检测方法;王勇 等;《信息安全学报》;20180731;第3卷(第4期);第54-62页 * |
安卓恶意软件家族多分类方案研究;张伯安;《中国优秀硕士学位论文全文数据库 信息科技辑》;20190815(第8期);第I138-73页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111079143A (zh) | 2020-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111027069B (zh) | 恶意软件家族检测方法、存储介质和计算设备 | |
CN109005145B (zh) | 一种基于自动特征抽取的恶意url检测系统及其方法 | |
CN110704840A (zh) | 一种基于卷积神经网络cnn的恶意软件检测方法 | |
CN110348214B (zh) | 对恶意代码检测的方法及系统 | |
CN114610515A (zh) | 基于日志全语义的多特征日志异常检测方法及系统 | |
CN113596007B (zh) | 一种基于深度学习的漏洞攻击检测方法和设备 | |
CN110674865B (zh) | 面向软件缺陷类分布不平衡的规则学习分类器集成方法 | |
CN116361801B (zh) | 基于应用程序接口语义信息的恶意软件检测方法及系统 | |
CN113011194B (zh) | 融合关键词特征和多粒度语义特征的文本相似度计算方法 | |
CN107357895B (zh) | 一种基于词袋模型的文本表示的处理方法 | |
CN116340944B (zh) | 基于rgb图像和轻量化模型的恶意代码分类方法及系统 | |
US11947572B2 (en) | Method and system for clustering executable files | |
CN111400713B (zh) | 基于操作码邻接图特征的恶意软件族群分类方法 | |
CN111382438A (zh) | 基于多尺度卷积神经网络的恶意软件检测方法 | |
CN111259397A (zh) | 一种基于马尔科夫图和深度学习的恶意软件分类方法 | |
CN112418320A (zh) | 一种企业关联关系识别方法、装置及存储介质 | |
CN116361788A (zh) | 一种基于机器学习的二进制软件漏洞预测方法 | |
CN111079143B (zh) | 一种基于多维特征图的木马检测方法 | |
CN114329474A (zh) | 一种融合机器学习和深度学习的恶意软件检测方法 | |
CN117271701A (zh) | 一种基于tggat和cnn的系统运行异常事件关系抽取方法及系统 | |
CN111782811A (zh) | 一种基于卷积神经网络和支持向量机的电子政务敏感文本检测方法 | |
CN115935360A (zh) | 一种基于信息增益和共现矩阵的恶意代码可视化方法 | |
CN112733144B (zh) | 一种基于深度学习技术的恶意程序智能检测方法 | |
CN115278752A (zh) | 一种5g通信系统异常日志ai检测方法 | |
CN113420127A (zh) | 威胁情报处理方法、装置、计算设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |