CN111125699B - 基于深度学习的恶意程序可视化检测方法 - Google Patents

基于深度学习的恶意程序可视化检测方法 Download PDF

Info

Publication number
CN111125699B
CN111125699B CN201911227920.6A CN201911227920A CN111125699B CN 111125699 B CN111125699 B CN 111125699B CN 201911227920 A CN201911227920 A CN 201911227920A CN 111125699 B CN111125699 B CN 111125699B
Authority
CN
China
Prior art keywords
subgraph
malicious program
hash
program
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911227920.6A
Other languages
English (en)
Other versions
CN111125699A (zh
Inventor
汪洁
王长青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Zhongke Angu Information Technology Co ltd
Original Assignee
Central South University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Central South University filed Critical Central South University
Priority to CN201911227920.6A priority Critical patent/CN111125699B/zh
Publication of CN111125699A publication Critical patent/CN111125699A/zh
Application granted granted Critical
Publication of CN111125699B publication Critical patent/CN111125699B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于深度学习的恶意程序可视化检测方法,包括运行恶意程序并构建恶意程序的数据流图;从数据流图中提取特征子图构成子图语料库;将子图语料库中的子图映射成字符串;采用深度学习算法将子图向量化;采用minHash算法对恶意程序包含的子图向量进行hash计算构建恶意程序可视化的图片矩阵;构建分类模型;针对待检测的程序,构建待检测的程序可视化的图片矩阵,采用分类模型对待检测的程序可视化的图片矩阵进行分类得到分类结果。本发明方法易于实现,而且可靠性高、实用性好且检测结果准确。

Description

基于深度学习的恶意程序可视化检测方法
技术领域
本发明属于网络安全领域,具体涉及一种基于深度学习的恶意程序可视化检测方法。
背景技术
随着经济技术的发展和人们生活水平的提高,以及智能数据时代的来临,数据已经成为了未来最重要的资源之一。
恶意程序仍是信息安全的最大威胁之一,每年政府和企业因恶意攻击都遭受了巨大的损失。甚至可以说恶意程序已成为一种可以盈利的商业模式,高额的利润聚集着大量的非法人员,使得恶意程序愈发复杂。
目前恶意程序分析方法可以分为静态特征分析方法和动态行为分析。静态特征分析方法主要是利用恶意程序二进制文件进行分析和检测,通过反编译恶意程序提取操作码或系统调用等信息,并以此为特征建立恶意程序分析模型。然而恶意程序可以通过外壳加密,混淆和数据加密来避免反编译操作或者增加样本脱壳难度,这会影响到静态分析特征属性提取,从而造成静态分析方法检测精度的下降。动态行为分析方法弥补了静态特征分析方法的不足,同时也被认为为最具有前景的方法之一。动态行为分析方法通过捕获恶意程序运行时的行为特征,主流方式是使用系统调用或资源依赖来表示行为特征并以此构建行为分析图,之后再使用图挖掘算法提取出恶意样本中的恶意特征或子图,这些恶意特征能够有效地区分出恶意和正常程序。
但是,目前的动态行为分析方法,由于其方法自身的限制,使得目前的动态行为分析方法依然不能够较为可靠的对恶意程序进行检测。
发明内容
本发明的目的之一在于提供一种可靠性高、实用性好且检测结果准确的基于深度学习的恶意程序可视化检测方法。
本发明提供的这种基于深度学习的恶意程序可视化检测方法,包括如下步骤:
S1.运行恶意程序,并从恶意程序运行时的行为轨迹构建恶意程序的数据流图;
S2.从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库;
S3.将步骤S2构建的子图语料库中的子图映射成字符串;
S4.采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图向量化;
S5.采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构建恶意程序可视化的图片矩阵;
S6.根据步骤S5得到的恶意程序可视化的图片矩阵,构建分类模型;
S7.针对待检测的程序,构建待检测的程序可视化的图片矩阵,并采用步骤S6得到的分类模型对待检测的程序可视化的图片矩阵进行分类,从而得到最终的待检测的程序的分类结果。
步骤S1所述的从恶意程序运行时的行为轨迹构建恶意程序的数据流图,具体为在虚拟机中运行恶意程序,并通过Cuckoo来捕获运行时行为轨迹;数据流图的实体包括进程PROCESS,注册表REGISTRY,文件File和网络地址URL。
步骤S2所述的从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库,具体为采用TreeWalk(G,v,d)算法提取特征子图并构建子图语料库。
所述的采用TreeWalk(G,v,d)算法提取特征子图并构建子图语料库,具体为采用如下步骤提取子图:
A.初始化子图
Figure GDA0002427898070000031
内仅包含数据流图G的根节点v,并初始化提取深度d为正数;
B.将数据流图G中节点v的后继节点Nv中未处理的节点作为树根节点的孩子节点,同时d的值减1;
C.若d>0,则将树中叶子节点在数据流图G中的未处理的邻接节点作为该叶子节点的孩子节点,同时d的值减1;
D.重复步骤C,直至d=0;此时得到的子图
Figure GDA0002427898070000032
为最终的子图。
步骤S3所述的将步骤S2构建的子图语料库中的子图映射成字符串,具体为采用如下过程进行映射:初始时子图中节点标示为节点类型{PROCESS,FILE,REGISTRY,URL},然后将每个节点的后继节点标识排序后拼接在该节点标识后,再删除子图中出度为零的节点,并重复上述过程直至子图中只有一个节点为止。
步骤S4所述的采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图向量化,具体为采用如下步骤进行子图向量化:
a.构建子图
Figure GDA0002427898070000033
的上下文
Figure GDA0002427898070000034
信息:使用TreeWalk(G,v,d)算法提取子图
Figure GDA0002427898070000035
根节点v的所有后继节点v'∈Nv深度为{d,d-1,d+1}的子图构成子图
Figure GDA0002427898070000036
的上下文,Nv为节点v的后继节点集合;
b.利用子图上下文信息
Figure GDA0002427898070000037
来更新子图的向量表示;基于对数似然最大化
Figure GDA0002427898070000038
推导出
Figure GDA0002427898070000041
的更新迭代公式;其中
Figure GDA0002427898070000042
表示所有子图向量,
Figure GDA0002427898070000043
为子图
Figure GDA0002427898070000044
的向量表示,α表示学习率,J表示对数似然。
步骤S5所述的采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构建恶意程序可视化的图片矩阵,具体为采用如下步骤构建图片矩阵:
(1)恶意程序包含的子图向量为V={v(sg1),…,v(sgk)},对子图向量V中的每一个向量v(sg)=(a1,a2,...,am)的每个维度的值进行hash计算:
hashi(v(sg))=hashi((a1,…,am))=(hashi(a1),…,hashi(am))
其中i=1,2,...,k;
(2)选择最小的hash值作为该维度的最终值:vi=min(hashi(V));
(3)实用多个hash函数{hash1(x),hash2(x),…,hashm(x)}进行同样的操作,从而构建恶意程序的可视化图片矩阵
Figure GDA0002427898070000045
步骤S6所述的构建分类模型,具体为采用卷积神经网络算法CNN构建分类模型。
本发明提供的这种基于深度学习的恶意程序可视化检测方法,利用深度学习进行子图向量化同时利用minHash函数将向量间的关系映射到最后可视化图片矩阵中,其次将子图的结构信息进行字符串化字符串蕴含了原始子图的结构信息,用字符串匹配代替图的匹配;最后采用神经网络算法进行分类和辨识;因此本发明方法易于实现,而且可靠性高、实用性好且检测结果准确。
附图说明
图1为本发明方法的方法流程示意图。
图2为本发明方法的TreeWalk(G,v,d)算法的流程示意图。
图3为本发明方法与现有方法的比较ROC示意图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种基于深度学习的恶意程序可视化检测方法,包括如下步骤:
S1.运行恶意程序,并从恶意程序运行时的行为轨迹构建恶意程序的数据流图;具体为在虚拟机中运行恶意程序,并通过Cuckoo来捕获运行时行为轨迹;数据流图的实体包括进程PROCESS,注册表REGISTRY,文件File和网络地址URL;
在具体实施时,恶意程序运行在虚拟机中通过Cuckoo来捕获运行时行为轨迹,通过监测系统实体间的数据交互来构建流图。数据流图的系统实体包括进程PROCESS,注册表REGISTRY,文件File和网络地址URL;而数据交互包括进程ReadProcessMemory和WriteProcessMemory,文件ReadFile和WriteFile,注册表RegQueryValue和RegSetValue,网络Send和Recv;使用e(src,dest,s,t)表示这一事件,其中src表示文件F,dest表示进程P,s表示事件数据流大小即信息的字节数,t表示事件发生的时间;
使用update(G,e)来表示数据流图的生成过程,每次捕获系统实体间的事件就对数据流图进行更新;若该事件已存在,则合并流图G中该事件附加的信息,若不存在则保存该事件信息到流图中,其表示如下:
Figure GDA0002427898070000061
S2.从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库;具体为采用TreeWalk(G,v,d)算法(如图2所示)提取特征子图并构建子图语料库:
A.初始化子图
Figure GDA0002427898070000062
内仅包含数据流图G的根节点v,并初始化提取深度d为正数;
B.将数据流图G中节点v的后继节点Nv中未处理的节点作为树根节点的孩子节点,同时d的值减1;
C.若d>0,则将树中叶子节点在数据流图G中的未处理的邻接节点作为该叶子节点的孩子节点,同时d的值减1;其中树中叶子节点在数据流图已处理过的节点不进行这一过程;
D.重复步骤C,直至d=0;此时得到的子图
Figure GDA0002427898070000063
为最终的子图;
在具体实施时,使用TreeWalk算法可以从图中以任意节点提取深度为d的特征子图,这些特征子图包含了图的恶意行为,图2则表示使用TreeWalk算法从图2(a)提取了以根节点A,提取深度d=2的子图,图2(b);然而恶意程序间的差异性使得恶意行为也不同,仅通过深度为d的特征子图是不足以涵盖所有的恶意行为,因而本方法通过给定阈值D即最大提取深度来尽可能提取出恶意程序的恶意行为即从图中以任意节点提取深度d∈{0,1,…,D}的特征子图来尽可能的挖掘可能的恶意行为;对于图G其所有的提取子图可表示为
Figure GDA0002427898070000071
对于恶意程序数据流图集{G1,G2,…,Gn}中提取每个图的子图集sg(Gi)构造恶意程序的子图语料库sgcorpus=∪sg(Gi),i=1,2,…n,子图语料库包含了训练样本中恶意程序所有可能的恶意行为特征;
S3.将步骤S2构建的子图语料库中的子图映射成字符串;具体为采用如下过程进行映射:初始时子图中节点标示为节点类型{PROCESS,FILE,REGISTRY,URL},然后将每个节点的后继节点标识排序后拼接在该节点标识后,再删除子图中出度为零的节点,并重复上述过程直至子图中只有一个节点为止;
在具体实施时,将子图中节点类型标识为{P,F,R,U},之后将每个节点的后继节点标识排序后拼接在该节点的标识之后,之后再删除子图中出度为零的节点,重复该过程直至子图中只剩一个节点,该节点的标识字符串蕴含了原始子图的结构信息,这一过程类似于拓扑的逆排序,称之为“逆拓扑标识”。不过必须注意的是1)子图中存在环时方法将失效。子图语料库中的子图都是基于TreeWalk算法,而TreeWalk算法可以确保提取的子图是一棵树因而不存在环;2)子图字符串长度与子图的深度有关,当子图深度比较大时,字符串的长度会变得非常冗长;子图表示恶意程序公共的恶意行为特征,愈发复杂的子图出现在其他恶意程序中的概率愈低,因而恶意程序的特征子图应在一个合理的范围内,才可能出现在其他恶意程序中;
S4.采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图向量化;具体为采用如下步骤进行子图向量化:
a.构建子图
Figure GDA0002427898070000081
的上下文
Figure GDA0002427898070000082
信息:使用TreeWalk(G,v,d)算法提取子图
Figure GDA0002427898070000083
根节点v的所有后继节点v'∈Nv深度为{d,d-1,d+1}的子图构成子图
Figure GDA0002427898070000084
的上下文,Nv为节点v的后继节点集合;
b.利用子图上下文信息
Figure GDA0002427898070000085
来更新子图的向量表示;基于对数似然最大化
Figure GDA0002427898070000086
推导出
Figure GDA0002427898070000087
的更新迭代公式;其中
Figure GDA0002427898070000088
表示所有子图向量,
Figure GDA0002427898070000089
为子图
Figure GDA00024278980700000810
的向量表示,α表示学习率,J表示对数似然;
上述更新的依据是计算在目标子图条件下其上下文子图概率的最大化即给定目标子图sgi及其上下文信息context(sgi),使得对数似然公式
Figure GDA00024278980700000811
最大化,其中概率P(context(sgi)|sgi)是计算上下文中的所有子图sgj在目标子图sgi的条件下条件概率P(sgj|sgi)的总乘积表示为
Figure GDA00024278980700000812
而条件概率P(sgj|sgi)则是通过计算子图向量的比值
Figure GDA00024278980700000813
其中
Figure GDA00024278980700000814
Figure GDA00024278980700000815
是子图sgk的输入和输出向量,C表示子图库中子图的数量;
步骤S4需对所有的子图进行反复学习,即需要对子图库中的子图每出现一次在训练集的数据流图时,就利用该子图的上下文进行一次更新,通过不断地学习会使得语境相似(上下文)的子图其向量表示距离也相近;实际过程中,从数据流图提取子图的同时也保存了该子图的上下文信息,因而后续的过程只需要读取相关信息即可,这可以减少大量的时间开销;
S5.采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构建恶意程序可视化的图片矩阵;具体为采用如下步骤构建图片矩阵:
(1)恶意程序包含的子图向量为V={v(sg1),…,v(sgk)},对子图向量V中的每一个向量v(sg)=(a1,a2,...,am)的每个维度的值进行hash计算:
hashi(v(sg))=hashi((a1,…,am))=(hashi(a1),…,hashi(am))
其中i=1,2,...,k;
(2)选择最小的hash值作为该维度的最终值:vi=min(hashi(V));
(3)实用多个hash函数{hash1(x),hash2(x),…,hashm(x)}进行同样的操作,从而构建恶意程序的可视化图片矩阵
Figure GDA0002427898070000091
实际过程中,对向量hash过程中首先需要将向量中的值进行取整,之后使用hash算法hashi(x)=(coei,1·x+coei,2)%mod,其中mod是一个非常大的数,而coei,1和coei,2是由随机函数产生的随机数,每个hashi(x)函数中的coei,1和coei,2不会全相同;
S6.根据步骤S5得到的恶意程序可视化的图片矩阵,构建分类模型(比如采用卷积神经网络算法CNN);
S7.针对待检测的程序,构建待检测的程序可视化的图片矩阵,并采用步骤S6得到的分类模型对待检测的程序可视化的图片矩阵进行分类,从而得到最终的待检测的程序的分类结果。
以下结合一个实施例,对本发明方法和现有方法进行对比说明:
实验中使用Cuckoo Sandbox来捕获运行在虚拟机上样本的原始行为记录。
实验样本情况下表所示:
表1实验样本
Figure GDA0002427898070000101
本次实验与基于图匹配的方法(MDC)以及基于深度图内核并使用用SVM构建模型方法进行比较。数据集中随机选取90%的数据用于训练,剩余10%的数据用于测试,实验重复了10次且取平均值作为最终结果(如图3所示);
表2结果比较示意表
Accuracy Precision Recall F1
MDC 0.932 0.931 0.927 0.941
SVM 0.955 0.956 0.949 0.958
本专利 0.957 0.954 0.950 0.956
表2表示两个方法的分类结果比较,从中可以看出本专利准确率最高,因为本专利使用minHash算法对恶意程序包含的子图其对应的向量转化成可视化图片,图片包含了原有子图的信息,子图间的相关性也隐含在图片中;同时本方法使用多个hash函数可以有效地解决基于SVM方法中的规模的问题,这使得本专利的应用范围更广泛。最后本专利采用“逆拓扑标识”算法将特征子图映射成字符串,采用字符串匹配代替图的匹配,这易于实现。

Claims (4)

1.一种基于深度学习的恶意程序可视化检测方法,包括如下步骤:
S1.运行恶意程序,并从恶意程序运行时的行为轨迹构建恶意程序的数据流图;
S2.从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库;具体为采用TreeWalk(G,v,d)算法提取特征子图并构建子图语料库;具体实施时,采用如下步骤提取子图:
A.初始化子图
Figure FDA0004054149340000011
内仅包含数据流图G的根节点v,并初始化提取深度d为正数;
B.将数据流图G中节点v的后继节点Nv中未处理的节点作为树根节点的孩子节点,同时d的值减1;
C.若d>0,则将树中叶子节点在数据流图G中的未处理的邻接节点作为该叶子节点的孩子节点,同时d的值减1;
D.重复步骤C,直至d=0;此时得到的子图
Figure FDA0004054149340000012
为最终的子图
S3.将步骤S2构建的子图语料库中的子图映射成字符串;
S4.采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图向量化;具体为采用如下步骤进行子图向量化:
a.构建子图
Figure FDA0004054149340000013
的上下文
Figure FDA0004054149340000014
信息:使用TreeWalk(G,v,d)算法提取子图
Figure FDA0004054149340000015
根节点v的所有后继节点v'∈Nv深度为{d,d-1,d+1}的子图构成子图
Figure FDA0004054149340000016
的上下文,Nv为节点v的后继节点集合;
b.利用子图上下文信息
Figure FDA0004054149340000017
来更新子图的向量表示;基于对数似然最大化
Figure FDA0004054149340000018
推导出
Figure FDA0004054149340000021
的更新迭代公式;其中
Figure FDA0004054149340000022
表示所有子图向量,
Figure FDA0004054149340000023
为子图
Figure FDA0004054149340000024
的向量表示,α表示学习率,J表示对数似然;
S5.采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构建恶意程序可视化的图片矩阵;具体为采用如下步骤构建图片矩阵:
(1)恶意程序包含的子图向量为V={v(sg1),…,v(sgk)},对子图向量V中的每一个向量v(sg)=(a1,a2,...,am)的每个维度的值进行hash计算:
hashi(v(sg))=hashi((a1,…,am))=(hashi(a1),…,hashi(am))
其中i=1,2,...,k;
(2)选择最小的hash值作为该维度的最终值:vi=min(hashi(V));
(3)实用多个hash函数{hash1(x),hash2(x),…,hashm(x)}进行同样的操作,从而构建恶意程序的可视化图片矩阵
Figure FDA0004054149340000025
S6.根据步骤S5得到的恶意程序可视化的图片矩阵,构建分类模型;
S7.针对待检测的程序,构建待检测的程序可视化的图片矩阵,并采用步骤S6得到的分类模型对待检测的程序可视化的图片矩阵进行分类,从而得到最终的待检测的程序的分类结果。
2.根据权利要求1所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S1所述的从恶意程序运行时的行为轨迹构建恶意程序的数据流图,具体为在虚拟机中运行恶意程序,并通过Cuckoo来捕获运行时行为轨迹;数据流图的实体包括进程PROCESS,注册表REGISTRY,文件File和网络地址URL。
3.根据权利要求2所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S3所述的将步骤S2构建的子图语料库中的子图映射成字符串,具体为采用如下过程进行映射:初始时子图中节点标示为节点类型{PROCESS,FILE,REGISTRY,URL},然后将每个节点的后继节点标识排序后拼接在该节点标识后,再删除子图中出度为零的节点,并重复上述过程直至子图中只有一个节点为止。
4.根据权利要求1~3之一所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S6所述的构建分类模型,具体为采用卷积神经网络算法CNN构建分类模型。
CN201911227920.6A 2019-12-04 2019-12-04 基于深度学习的恶意程序可视化检测方法 Active CN111125699B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911227920.6A CN111125699B (zh) 2019-12-04 2019-12-04 基于深度学习的恶意程序可视化检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911227920.6A CN111125699B (zh) 2019-12-04 2019-12-04 基于深度学习的恶意程序可视化检测方法

Publications (2)

Publication Number Publication Date
CN111125699A CN111125699A (zh) 2020-05-08
CN111125699B true CN111125699B (zh) 2023-04-18

Family

ID=70497328

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911227920.6A Active CN111125699B (zh) 2019-12-04 2019-12-04 基于深度学习的恶意程序可视化检测方法

Country Status (1)

Country Link
CN (1) CN111125699B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105653956A (zh) * 2016-03-02 2016-06-08 中国科学院信息工程研究所 基于动态行为依赖图的Android恶意软件分类方法
CN108965245A (zh) * 2018-05-31 2018-12-07 国家计算机网络与信息安全管理中心 基于自适应异构多分类模型的钓鱼网站检测方法和系统
CN110245493A (zh) * 2019-05-22 2019-09-17 中国人民公安大学 一种基于深度置信网络的Android恶意软件检测的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160306971A1 (en) * 2015-04-15 2016-10-20 Los Alamos National Security, Llc Automated identification and reverse engineering of malware

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105653956A (zh) * 2016-03-02 2016-06-08 中国科学院信息工程研究所 基于动态行为依赖图的Android恶意软件分类方法
CN108965245A (zh) * 2018-05-31 2018-12-07 国家计算机网络与信息安全管理中心 基于自适应异构多分类模型的钓鱼网站检测方法和系统
CN110245493A (zh) * 2019-05-22 2019-09-17 中国人民公安大学 一种基于深度置信网络的Android恶意软件检测的方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Abubakr Sirageldin etal.《 Graph-based simulated annealing and support vector machine in Malware detection》.《2011 5th MySEC》.2012,全文. *
孙贺 ; 安庆杰 ; 颜慧颖 ; 吴礼发 ; .恶意程序相似性分析技术研究进展.军事通信技术.2017,(01),全文. *
陈浩 ; 王广南 ; 孙建华 ; .一种基于图的程序行为相似性比较方法.计算机应用研究.2010,(02),全文. *

Also Published As

Publication number Publication date
CN111125699A (zh) 2020-05-08

Similar Documents

Publication Publication Date Title
CN109753800B (zh) 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统
CN109981625B (zh) 一种基于在线层次聚类的日志模板抽取方法
CN111368289B (zh) 一种恶意软件检测方法和装置
CN113935033A (zh) 特征融合的恶意代码家族分类方法、装置和存储介质
CN113360912A (zh) 恶意软件检测方法、装置、设备及存储介质
CN114003910B (zh) 一种基于动态图对比学习的恶意变种实时检测方法
CN115357904B (zh) 一种基于程序切片和图神经网络的多类漏洞检测方法
CN115270954A (zh) 基于异常节点识别的无监督的apt攻击检测方法和系统
CN116010947A (zh) 一种基于异质网络的Android恶意软件检测方法
CN113762326A (zh) 一种数据识别方法、装置、设备及可读存储介质
Yujie et al. End-to-end android malware classification based on pure traffic images
CN108959922B (zh) 一种基于贝叶斯网的恶意文档检测方法及装置
CN117521066A (zh) 面向工业互联网的语义增强型恶意软件检测方法
CN111079145B (zh) 基于图处理的恶意程序检测方法
CN116938587A (zh) 基于溯源图行为语义提取的威胁检测方法及系统
CN115567306B (zh) 基于双向长短时记忆网络的apt攻击溯源分析方法
CN111125699B (zh) 基于深度学习的恶意程序可视化检测方法
CN113746780A (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
CN114817925B (zh) 基于多模态图特征的安卓恶意软件检测方法及系统
CN113259369B (zh) 一种基于机器学习成员推断攻击的数据集认证方法及系统
CN115622810A (zh) 一种基于机器学习算法的业务应用识别系统及方法
CN112733144B (zh) 一种基于深度学习技术的恶意程序智能检测方法
Cybersecurity Machine learning for malware detection
CN115622793A (zh) 一种攻击类型识别方法、装置、电子设备及存储介质
CN114969761A (zh) 一种基于lda主题特征的日志异常检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20240617

Address after: 410000 East Zone, floor 3, building 1, No. 348, xianjiahu West Road, high tech Development Zone, Changsha, Hunan

Patentee after: Hunan Zhongke Angu Information Technology Co.,Ltd.

Country or region after: China

Address before: Yuelu District City, Hunan province 410083 Changsha Lushan Road No. 932

Patentee before: CENTRAL SOUTH University

Country or region before: China