CN111552966A - 一种基于信息融合的恶意软件同源性检测方法 - Google Patents

一种基于信息融合的恶意软件同源性检测方法 Download PDF

Info

Publication number
CN111552966A
CN111552966A CN202010264309.7A CN202010264309A CN111552966A CN 111552966 A CN111552966 A CN 111552966A CN 202010264309 A CN202010264309 A CN 202010264309A CN 111552966 A CN111552966 A CN 111552966A
Authority
CN
China
Prior art keywords
malicious software
attack
tickets
mark
malware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010264309.7A
Other languages
English (en)
Inventor
李静梅
彭弘
白丹
薛迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Engineering University
Original Assignee
Harbin Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Engineering University filed Critical Harbin Engineering University
Priority to CN202010264309.7A priority Critical patent/CN111552966A/zh
Publication of CN111552966A publication Critical patent/CN111552966A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于计算机安全技术领域,具体涉及一种基于信息融合的恶意软件同源性检测方法。本发明应用静态分析方法有效地分析和判定恶意软件所属家族,发现样本中的同源关系,从而对攻击组织溯源、运行环境还原以及攻击防范等方面的研究有进一步了解。本发明主要从静态特征入手,通过文件轮廓、指令序列和控制流程,得到不同恶意软件的相似性度量,进行同源性分析,汇聚成不同的恶意软件家族。本发明增加了恶意软件攻击成本、降低恶意软件检测的不确定性,可在对恶意软件进行追踪溯源、对攻击行为的取证和分析、掌握攻击方法并部署相应的防御措施领域发挥重要的作用。

Description

一种基于信息融合的恶意软件同源性检测方法
技术领域
本发明属于计算机安全技术领域,具体涉及一种基于信息融合的恶意软件同源性检测方法。
背景技术
随着互联网的不断发展,智能终端设备成为人们生活中的主要工具。然而在各类软件为人们提供便利的同时,恶意软件的攻击与传播也有了可乘之机。尽管目前的恶意软件检测系统已经能够对许多的攻击行为采取措施,但是随着各种自动化工具的出现,互联网上恶意软件的衍生速度远远超过检测系统的更新速度。除此之外,随着攻击向高级、持续等方向发展,使得恶意软件的定义越来越宽泛,攻击场景越来越复杂,传播手段也越来越隐蔽,这些改变都将提高检测系统的误报率和漏报率。但是研究发现,大多数恶意软件都是由已知恶意软件变形得到,且某些功能模块反复地被某些恶意软件使用。因此,通过研究样本中的同源关系,对攻击组织溯源、运行环境还原以及攻击防范等方面具有重要的作用。
目前基于签名完成恶意软件检测的方法是大多杀毒软件首选的技术,该方法的主要特点就是需要将专家提取的恶意软件特征手动存入本地数据库。因此针对攻击者借助各种生成工具和检测逃避技术生成大量的、可以躲避该检测方法的恶意软件,多数杀毒程序展现出了较差的检测性能。虽然安全领域的研究人员在努力解决各种恶意软件变种,但还是无法完全应对恶意软件呈指数增长的趋势。
综上所述,虽然研究人员已经在恶意软件检测和防御方面做了大量研究工作,但是恶意软件攻击增长趋势仍然显著。针对现行特征提取技术过于单一,无法全面分析恶意软件的同源关系,以及在实现特征提取时过度依赖于专业知识等弊端,使得研究如何在降低特征提取成本的前提下提取更多的特征,以及如何从原始恶意软件样本中提取更多有用信息,从而实现模型自动化,提高恶意软件同源性检测的准确性和效率具有非常重要的科学理论价值与实际应用意义。
发明内容
本发明的目的在于提供一种基于信息融合的恶意软件同源性检测方法。
本发明的目的通过如下技术方案来实现:包括以下步骤:
步骤1:输入待分类的恶意软件样本数据集,取部分数据构建训练集;
步骤2:从训练集中选择一个恶意软件样本,应用反汇编工具将恶意软件样本转化为反汇编文件;
步骤3:对反汇编文件进行控制流操作码序列提取;统计每个子序列出现的频率,按照子序列出现的频率进行特征筛选,挑选出频率位于所定义区间的子序列作为软件特征;
步骤4:对控制流操作码进行处理并生成RGB图像;
步骤5:若训练集中所有恶意软件样本均转化成RGB图像,则执行步骤6;否则,返回步骤2;
步骤6:构造多个卷积神经网络模型,用训练集分别进行训练,得到多个基分类器;
所述的卷积神经网络模型包含8个卷积层、5个池化层、5个dropout层、3个全连接层和一个输出层;所有的卷积层都使用3×3的卷积核,步长设置为1;卷积层对输入特征图进行1像素的边缘填充,将所有的池化层最大化;使用2×2的滑动窗口,将步长设置为2,dropout正则化层的概率设置为0.5;使用Leaky ReLU激活函数、均匀分布权重初始化和批量归一化来增强CNN网络的收敛性能;
步骤7:应用绝对多数投票法集成策略将多个基分类器进行决策级融合,得到强分类器;
步骤8:将其它待分类的恶意软件样本数据集输入到卷积神经网络分类器中,得到分类结果。
本发明还可以包括:
所述的步骤4中对控制流操作码进行处理并生成RGB图像的方法具体为:
步骤4.1:使用SimHash函数将控制流操作码转化成40比特位的指纹;
步骤4.2:将40比特位的指纹划分为5个8位字符,分别表示一个操作码序列在RGB图像中像素的坐标和颜色;如果在映射过程中,因为坐标相同而相互重叠,则将RGB颜色的和作为新的像素颜色,求和结果超过255按照255计算。
所述的步骤7中应用绝对多数投票法集成策略将多个基分类器进行决策级融合具体为:若某标记所得票数低于全部票数的一半,则预测该类别标记上的输出为0;若某标记所得票数为全部票数的一半,则预测该类别标记上的输出为0;若某标记所得票数超过全部票数的一半,则预测该类别标记上的输出为1;当输出结果为1时,代表恶意软件属于某个家族;当输出结果为0时,其余位置为0,代表恶意软件不属于某个家族。
本发明的有益效果在于:
本发明应用静态分析方法有效地分析和判定恶意软件所属家族,发现样本中的同源关系,从而对攻击组织溯源、运行环境还原以及攻击防范等方面的研究有进一步了解。本发明主要从静态特征入手,通过文件轮廓、指令序列和控制流程,得到不同恶意软件的相似性度量,进行同源性分析,汇聚成不同的恶意软件家族。本发明增加了恶意软件攻击成本、降低恶意软件检测的不确定性,可在对恶意软件进行追踪溯源、对攻击行为的取证和分析、掌握攻击方法并部署相应的防御措施领域发挥重要的作用。
附图说明
图1为本发明的总流程图。
图2为本发明生成RGB图像的流程图。
图3为本发明的卷积神经网络模型的结构图。
具体实施方式
下面结合附图对本发明做进一步描述。
本发明提供的是一种基于信息融合的恶意软件同源性检测方法,属于计算机安全领域。本发明包括以下步骤:1.对恶意软件进行数据预处理,将待分析的Windows可执行文件转化为.asm格式的反汇编文件;2.对反汇编文件进行控制流操作码序列提取;3.对提取的控制流操作码进行处理,从而生成RGB图像;4.使用卷积神经网络对生成的RGB图像进行学习,并生成六个基学习器;5.应用集成策略对生成的六个基学习器进行决策级融合,从而得到基于信息融合的恶意软件同源性检测强分类器。本发明的目的在于应用静态分析方法有效地分析和判定恶意软件所属家族,发现样本中的同源关系,从而对攻击组织溯源、运行环境还原以及攻击防范等方面的研究有进一步了解。
一种基于信息融合的恶意软件同源性检测方法,包括如下步骤:
(1)对恶意软件样本数据进行预处理,应用反汇编工具将待分析的Windows可执行文件转化为.asm格式的反汇编文件。
(2)对反汇编文件进行控制流操作码序列提取。然后统计恶意软件样本数据中每个子序列出现的频率,按照子序列出现的频率进行特征筛选,挑选出频率位于所定义区间的子序列作为软件特征。
(3)使用Simhash函数将步骤(2)中提取的控制流操作码序列转化成一个哈希值,进而生成一个RGB图像矩阵。
(4)使用卷积神经网络对步骤(3)中生成的RGB图像进行学习,并构造六个基学习器。
(5)应用绝对多数投票法集成策略对步骤(4)中生成的六个基学习器进行决策级融合,并根据最终的学习结果,判断恶意软件所属家族,完成恶意软件检测。
步骤(3)所述RGB图像生成进一步包括:
对步骤二提取的操作码序列,使用SimHash函数将其转化成40比特位的指纹,并将其划分为5个8位字符,分别表示一个操作码序列在RGB图像中像素的坐标和颜色。如果在映射过程中,因为坐标相同而相互重叠,则RGB颜色的和成为新的像素颜色,求和结果超过255按照255计算。
步骤(4)所述基学习器的构造进一步包括:
每个基学习器都有22层(除去输入层),包含8个卷积层、5个池化层、5个dropout层、3个全连接层和一个输出层。所有的卷积层都使用3×3的卷积核,步长设置为1。首先在卷积层对输入特征图进行1像素的边缘填充。然后对于RGB图像卷积神经网络结构的构造,需将所有的池化层最大化。同时使用2×2的滑动窗口,并将步长设置为2以及dropout正则化层的概率设置为0.5。此外,使用Leaky ReLU激活函数、均匀分布权重初始化和批量归一化来增强CNN网络的收敛性能。
步骤(5)所述应用绝对多数投票法进行决策级融合进一步包括:
对于绝对多数投票法,若某标记所得票数低于全部票数的一半,则预测该类别标记上的输出为0;若某标记所得票数为全部票数的一半,则预测该类别标记上的输出为0;若某标记所得票数超过全部票数的一半,则预测该类别标记上的输出为1。当输出结果为1时,代表恶意软件属于某个家族;当输出结果为0时,其余位置为0,代表恶意软件不属于某个家族。
本发明应用静态分析方法有效地分析和判定恶意软件所属家族,发现样本中的同源关系,从而对攻击组织溯源、运行环境还原以及攻击防范等方面的研究有进一步了解。本发明主要从静态特征入手,通过文件轮廓、指令序列和控制流程,得到不同恶意软件的相似性度量,进行同源性分析,汇聚成不同的恶意软件家族。本发明增加了恶意软件攻击成本、降低恶意软件检测的不确定性,可在对恶意软件进行追踪溯源、对攻击行为的取证和分析、掌握攻击方法并部署相应的防御措施领域发挥重要的作用。
图1为本发明的总流程图。本发明应用于恶意软件同源性分析过程中的特征提取,其具体实现包括如下步骤:
(1)对恶意软件样本数据进行预处理,应用反汇编工具将待分析的Windows可执行文件转化为.asm格式的反汇编文件。
(2)对反汇编文件进行控制流操作码序列提取。统计恶意软件样本数据中每个子序列出现的频率,按照子序列出现的频率进行特征筛选,挑选出频率位于所定义区间的子序列作为软件特征。
(3)应用Simhash函数将步骤(2)中提取的控制流操作码序列转化成一个哈希值,进而生成一个RGB图像矩阵。
结合图2说明,对步骤二提取的操作码序列,使用SimHash函数将其转化成40比特位的指纹,并将其划分为5个8位字符,分别表示一个操作码序列在RGB图像中像素的坐标和颜色。如果在映射过程中,因为坐标相同而相互重叠,则RGB颜色的和成为新的像素颜色,求和结果超过255按照255计算。
(4)使用卷积神经网络对步骤(3)中生成的RGB图像进行学习,并构造六个基学习器。
结合图3进行说明,每个基学习器共有22层(除去输入层),包含8个卷积层、5个池化层、5个dropout层、3个全连接层和一个输出层。所有的卷积层都使用3×3的卷积核,步长设置为1。首先在卷积层对输入特征图进行1像素的边缘填充。然后对于RGB图像卷积神经网络结构的构造,需将所有的池化层最大化。同时使用2×2的滑动窗口,并将步长设置为2以及dropout正则化层的概率设置为0.5。此外,使用Leaky ReLU激活函数、均匀分布权重初始化和批量归一化来增强CNN网络的收敛性能。
(5)应用绝对多数投票法对步骤(4)中生成的六个卷积神经网络结构进行决策级融合,并根据最终的学习结果,判断恶意软件所属家族,完成恶意软件检测。
对于绝对多数投票法,若某标记所得票数低于全部票数的一半,则预测该类别标记上的输出为0;若某标记所得票数为全部票数的一半,则预测该类别标记上的输出为0;若某标记所得票数超过全部票数的一半,则预测该类别标记上的输出为1。当输出结果为1时,代表恶意软件属于某个家族;当输出结果为0时,其余位置为0,代表恶意软件不属于某个家族。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于信息融合的恶意软件同源性检测方法,其特征在于,包括以下步骤:
步骤1:输入待分类的恶意软件样本数据集,取部分数据构建训练集;
步骤2:从训练集中选择一个恶意软件样本,应用反汇编工具将恶意软件样本转化为反汇编文件;
步骤3:对反汇编文件进行控制流操作码序列提取;统计每个子序列出现的频率,按照子序列出现的频率进行特征筛选,挑选出频率位于所定义区间的子序列作为软件特征;
步骤4:对控制流操作码进行处理并生成RGB图像;
步骤5:若训练集中所有恶意软件样本均转化成RGB图像,则执行步骤6;否则,返回步骤2;
步骤6:构造多个卷积神经网络模型,用训练集分别进行训练,得到多个基分类器;
所述的卷积神经网络模型包含8个卷积层、5个池化层、5个dropout层、3个全连接层和一个输出层;所有的卷积层都使用3×3的卷积核,步长设置为1;卷积层对输入特征图进行1像素的边缘填充,将所有的池化层最大化;使用2×2的滑动窗口,将步长设置为2,dropout正则化层的概率设置为0.5;使用Leaky ReLU激活函数、均匀分布权重初始化和批量归一化来增强CNN网络的收敛性能;
步骤7:应用绝对多数投票法集成策略将多个基分类器进行决策级融合,得到强分类器;
步骤8:将其它待分类的恶意软件样本数据集输入到卷积神经网络分类器中,得到分类结果。
2.根据权利要求1所述的一种基于信息融合的恶意软件同源性检测方法,其特征在于:所述的步骤4中对控制流操作码进行处理并生成RGB图像的方法具体为:
步骤4.1:使用SimHash函数将控制流操作码转化成40比特位的指纹;
步骤4.2:将40比特位的指纹划分为5个8位字符,分别表示一个操作码序列在RGB图像中像素的坐标和颜色;如果在映射过程中,因为坐标相同而相互重叠,则将RGB颜色的和作为新的像素颜色,求和结果超过255按照255计算。
3.根据权利要求1或2所述的一种基于信息融合的恶意软件同源性检测方法,其特征在于:所述的步骤7中应用绝对多数投票法集成策略将多个基分类器进行决策级融合具体为:若某标记所得票数低于全部票数的一半,则预测该类别标记上的输出为0;若某标记所得票数为全部票数的一半,则预测该类别标记上的输出为0;若某标记所得票数超过全部票数的一半,则预测该类别标记上的输出为1;当输出结果为1时,代表恶意软件属于某个家族;当输出结果为0时,其余位置为0,代表恶意软件不属于某个家族。
CN202010264309.7A 2020-04-07 2020-04-07 一种基于信息融合的恶意软件同源性检测方法 Pending CN111552966A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010264309.7A CN111552966A (zh) 2020-04-07 2020-04-07 一种基于信息融合的恶意软件同源性检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010264309.7A CN111552966A (zh) 2020-04-07 2020-04-07 一种基于信息融合的恶意软件同源性检测方法

Publications (1)

Publication Number Publication Date
CN111552966A true CN111552966A (zh) 2020-08-18

Family

ID=72007338

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010264309.7A Pending CN111552966A (zh) 2020-04-07 2020-04-07 一种基于信息融合的恶意软件同源性检测方法

Country Status (1)

Country Link
CN (1) CN111552966A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112214767A (zh) * 2020-10-13 2021-01-12 北京理工大学 一种基于操作码序列的恶意软件家族分类方法
CN112329016A (zh) * 2020-12-31 2021-02-05 四川大学 一种基于深度神经网络的可视化恶意软件检测装置及方法
CN113222053A (zh) * 2021-05-28 2021-08-06 广州大学 基于RGB图像和Stacking多模型融合的恶意软件家族分类方法、系统和介质
CN113536308A (zh) * 2021-06-11 2021-10-22 中国人民解放军战略支援部队信息工程大学 软件基因视角下多粒度信息融合的二进制代码溯源方法
CN113761912A (zh) * 2021-08-09 2021-12-07 国家计算机网络与信息安全管理中心 一种对恶意软件归属攻击组织的可解释判定方法及装置
CN115564970A (zh) * 2022-09-20 2023-01-03 东华理工大学 一种网络攻击追踪溯源方法、系统及可存储介质
CN116186702A (zh) * 2023-02-24 2023-05-30 中国科学院信息工程研究所 基于协同注意力的恶意软件分类方法和装置
CN116226854A (zh) * 2023-05-06 2023-06-06 江西萤火虫微电子科技有限公司 恶意软件检测方法、系统、可读存储介质及计算机

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160358312A1 (en) * 2015-06-05 2016-12-08 Mindaptiv LLC Digital quaternion logarithm signal processing system and method for images and other data types
CN108280348A (zh) * 2018-01-09 2018-07-13 上海大学 基于rgb图像映射的安卓恶意软件识别方法
CN108399334A (zh) * 2018-01-19 2018-08-14 东华大学 一种基于操作码频率的恶意代码可视化分析方法
CN108846284A (zh) * 2018-06-29 2018-11-20 浙江工业大学 一种基于字节码图像和深度学习的Android恶意应用检测方法
CN109241741A (zh) * 2018-03-14 2019-01-18 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于图像纹理指纹的恶意代码分类方法
CN109829306A (zh) * 2019-02-20 2019-05-31 哈尔滨工程大学 一种优化特征提取的恶意软件分类方法
US20190220605A1 (en) * 2019-03-22 2019-07-18 Intel Corporation Adversarial training of neural networks using information about activation path differentials
CN110633570A (zh) * 2019-07-24 2019-12-31 浙江工业大学 面向恶意软件汇编格式检测模型的黑盒攻击的防御方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160358312A1 (en) * 2015-06-05 2016-12-08 Mindaptiv LLC Digital quaternion logarithm signal processing system and method for images and other data types
CN108280348A (zh) * 2018-01-09 2018-07-13 上海大学 基于rgb图像映射的安卓恶意软件识别方法
CN108399334A (zh) * 2018-01-19 2018-08-14 东华大学 一种基于操作码频率的恶意代码可视化分析方法
CN109241741A (zh) * 2018-03-14 2019-01-18 中国人民解放军陆军炮兵防空兵学院郑州校区 一种基于图像纹理指纹的恶意代码分类方法
CN108846284A (zh) * 2018-06-29 2018-11-20 浙江工业大学 一种基于字节码图像和深度学习的Android恶意应用检测方法
CN109829306A (zh) * 2019-02-20 2019-05-31 哈尔滨工程大学 一种优化特征提取的恶意软件分类方法
US20190220605A1 (en) * 2019-03-22 2019-07-18 Intel Corporation Adversarial training of neural networks using information about activation path differentials
CN110633570A (zh) * 2019-07-24 2019-12-31 浙江工业大学 面向恶意软件汇编格式检测模型的黑盒攻击的防御方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
SANG NI: "Malware identification using visualization images and deep learning", 《SCIENCEDIRECT》 *
徐继伟: "集成学习方法:研究综述", 《云南大学学报(自然科学版)》 *
杨益敏: "基于字节码图像的 Android 恶意代码家族分类方法", 《网络与信息安全学报》 *
陈晨: "基于操作码行为深度学习的恶意代码检测方法", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112214767A (zh) * 2020-10-13 2021-01-12 北京理工大学 一种基于操作码序列的恶意软件家族分类方法
CN112214767B (zh) * 2020-10-13 2022-09-20 北京理工大学 一种基于操作码序列的恶意软件家族分类方法
CN112329016A (zh) * 2020-12-31 2021-02-05 四川大学 一种基于深度神经网络的可视化恶意软件检测装置及方法
CN112329016B (zh) * 2020-12-31 2021-03-23 四川大学 一种基于深度神经网络的可视化恶意软件检测装置及方法
CN113222053B (zh) * 2021-05-28 2022-03-15 广州大学 基于RGB图像和Stacking多模型融合的恶意软件家族分类方法、系统和介质
CN113222053A (zh) * 2021-05-28 2021-08-06 广州大学 基于RGB图像和Stacking多模型融合的恶意软件家族分类方法、系统和介质
CN113536308A (zh) * 2021-06-11 2021-10-22 中国人民解放军战略支援部队信息工程大学 软件基因视角下多粒度信息融合的二进制代码溯源方法
CN113536308B (zh) * 2021-06-11 2023-01-06 中国人民解放军战略支援部队信息工程大学 软件基因视角下多粒度信息融合的二进制代码溯源方法
CN113761912A (zh) * 2021-08-09 2021-12-07 国家计算机网络与信息安全管理中心 一种对恶意软件归属攻击组织的可解释判定方法及装置
CN113761912B (zh) * 2021-08-09 2024-04-16 国家计算机网络与信息安全管理中心 一种对恶意软件归属攻击组织的可解释判定方法及装置
CN115564970A (zh) * 2022-09-20 2023-01-03 东华理工大学 一种网络攻击追踪溯源方法、系统及可存储介质
CN116186702A (zh) * 2023-02-24 2023-05-30 中国科学院信息工程研究所 基于协同注意力的恶意软件分类方法和装置
CN116186702B (zh) * 2023-02-24 2024-02-13 中国科学院信息工程研究所 基于协同注意力的恶意软件分类方法和装置
CN116226854A (zh) * 2023-05-06 2023-06-06 江西萤火虫微电子科技有限公司 恶意软件检测方法、系统、可读存储介质及计算机

Similar Documents

Publication Publication Date Title
CN111552966A (zh) 一种基于信息融合的恶意软件同源性检测方法
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN112491796B (zh) 一种基于卷积神经网络的入侵检测及语义决策树量化解释方法
CN109005145B (zh) 一种基于自动特征抽取的恶意url检测系统及其方法
CN100550038C (zh) 图片内容识别方法及识别系统
Zhao et al. A malware detection method of code texture visualization based on an improved faster RCNN combining transfer learning
CN113806746B (zh) 基于改进cnn网络的恶意代码检测方法
CN112597495B (zh) 一种恶意代码检测方法、系统、设备及存储介质
CN113935033A (zh) 特征融合的恶意代码家族分类方法、装置和存储介质
WO2023165616A1 (zh) 图像模型隐蔽后门的检测方法及系统、存储介质、终端
CN115100739B (zh) 人机行为检测方法、系统、终端设备及存储介质
CN116910752A (zh) 一种基于大数据的恶意代码检测方法
Wu et al. Contrastive learning for robust android malware familial classification
CN113343898B (zh) 基于知识蒸馏网络的口罩遮挡人脸识别方法、装置及设备
CN113283388A (zh) 活体人脸检测模型的训练方法、装置、设备及存储介质
CN111539390A (zh) 一种基于Yolov3的小目标图像识别方法、设备和系统
CN114970694B (zh) 一种网络安全态势评估方法及其模型训练方法
CN114817925B (zh) 基于多模态图特征的安卓恶意软件检测方法及系统
CN116361791A (zh) 基于api分组重构与图像表示的恶意软件检测方法
CN115766090A (zh) 一种多特征融合神经网络网络安全检测方法
CN108446558A (zh) 一种基于空间填充曲线的恶意代码可视化分析方法
CN113328986A (zh) 基于卷积神经网络与lstm结合的网络流量异常检测方法
Min et al. Adversarial attack? don't panic
CN114638356B (zh) 一种静态权重引导的深度神经网络后门检测方法及系统
CN113420628B (zh) 一种群体行为识别方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200818