CN111797395B - 恶意代码可视化及变种检测方法、装置、设备及存储介质 - Google Patents
恶意代码可视化及变种检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111797395B CN111797395B CN202010598372.4A CN202010598372A CN111797395B CN 111797395 B CN111797395 B CN 111797395B CN 202010598372 A CN202010598372 A CN 202010598372A CN 111797395 B CN111797395 B CN 111797395B
- Authority
- CN
- China
- Prior art keywords
- malicious code
- singular
- malicious
- spectrum
- classifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 132
- 238000012800 visualization Methods 0.000 title claims abstract description 107
- 238000001228 spectrum Methods 0.000 claims abstract description 177
- 230000009466 transformation Effects 0.000 claims abstract description 144
- 238000012549 training Methods 0.000 claims abstract description 77
- 238000000034 method Methods 0.000 claims abstract description 42
- 238000012360 testing method Methods 0.000 claims description 43
- 239000011159 matrix material Substances 0.000 claims description 38
- 238000007635 classification algorithm Methods 0.000 claims description 18
- 230000008859 change Effects 0.000 claims description 14
- 238000006243 chemical reaction Methods 0.000 claims description 12
- 238000005070 sampling Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 10
- 238000010801 machine learning Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000003068 static effect Effects 0.000 description 8
- 241000700605 Viruses Species 0.000 description 7
- 238000001831 conversion spectrum Methods 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000000605 extraction Methods 0.000 description 5
- 238000007637 random forest analysis Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 238000003491 array Methods 0.000 description 2
- 229910002056 binary alloy Inorganic materials 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 238000002790 cross-validation Methods 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000017105 transposition Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Biology (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种恶意代码可视化及变种检测方法、装置、设备及存储介质,所述恶意代码可视化及变种检测方法的步骤,包括:通过获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得。本发明可视化地显示恶意代码对应的奇异变换谱,方便快速定位恶意代码,提高了恶意代码变种检测的效率和准确率。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种恶意代码可视化及变种检测方法、装置、设备及存储介质。
背景技术
据统计目前国际上有数万种病毒,而变种病毒却有成百上千万,恶意代码变种率急剧上升。
目前恶意代码可视化及变种检测方法从所采用的特征角度来看,主要有以下两种:基于静态语义特征的方法和基于图像纹理特征的方法。基于静态语义特征的方法主要是从恶意代码中提取操作码序列、应用程序接口函数调用序列、控制流、数据流和程序依赖关系等进行分析。这种方法对程序代码的分析依赖于反汇编代码的精度,且通常会涉及判断子图同构的问题,而判断子图同构问题是NP完全(Non-deterministic PolynomialComplete)问题,判断过程耗时较长;基于图像纹理特征的方法需要从图像这种二维数据提取特征,特征提取过程比较复杂,运行效率也比较低。
发明内容
本发明的主要目的在于提供一种恶意代码可视化及变种检测方法,旨在解决现有的恶意代码都是代码化显示,用户查看不方便恶意代码定位效率低,且变种检测效率低下的技术问题。
为实现上述目的,本发明提供一种恶意代码可视化及变种检测方法,所述恶意代码可视化及变种检测方法包括:
获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;
将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得。
可选地,所述获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号的步骤,包括:
获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号。
可选地,所述将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示的步骤,包括:
将所述一维时间序列信号组合形成时间集合,将所述时间集合转化为预设长度的时间子序列;
根据所述时间子序列构造轨迹矩阵,根据所述时间子序列构造测试矩阵,根据所述轨迹矩阵和所述测试矩阵确定变化点分数;
以所述一维时间序列信号中的时刻为横坐标,以所述变化点分数为纵坐标,获得所述恶意代码对应的奇异变换谱并输出显示。
可选地,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
将各所述奇异变换谱划分形成第一训练集与第一测试集;
通过所述第一训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述第一测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
可选地,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
在所述分类结果为第一类时,则输出所述恶意代码的所属家族信息;
在所述分类结果为第二类时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
可选地,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
将预设恶意代码文件数据库中的恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
从各所述奇异变换谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成第二训练集与第二测试集;
通过所述第二训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述第二测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
可选地,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
从所述恶意代码对应的奇异变换谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;
在所述分类结果为第一类时,则输出所述恶意代码的所属家族信息;
在所述分类结果为第二类时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
此外,为实现上述目的,本发明还提供一种恶意代码可视化及变种检测装置,所述恶意代码可视化及变种检测装置包括:
获取转化模块,用于获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
变化谱生成模块,用于将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;
检测确定模块,用于将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得。
此外,为实现上述目的,本发明还提供一种恶意代码可视化及变种检测设备,所述恶意代码可视化及变种检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被所述处理器执行时实现如上述的恶意代码可视化及变种检测方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被处理器执行时实现如上述的恶意代码可视化及变种检测方法的步骤。
本发明提供一种恶意代码可视化及变种检测方法、装置、设备及存储介质。本发明实施例中通过将恶意代码转化为一维时间序列信号,以便获取恶意代码的时间序列信号特征,将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;通过输出恶意代码所对应的奇异变换谱,便于直观感知各个变种的共同之处和细微差异,将恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得恶意代码所属的家族信息,使得恶意代码家族分类更加快速准确,采用本发明的可视化分析方法在进行恶意代码同个家族的样本分析时,能够明显发现各个变种的共同之处和细微差异,使得用户方便理解和掌握该恶意代码家族变种演化进程;与此同时,本发明实施例中的技术方法降低了恶意代码分析人员的专业技术要求,减少了人力资源浪费。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的恶意代码可视化及变种检测设备结构示意图;
图2为本发明恶意代码可视化及变种检测方法第一实施例的流程示意图;
图3为本发明恶意代码可视化及变种检测方法一具体实施例中的检测流程示意图;
图4为本发明恶意代码可视化及变种检测方法一种预设恶意代码分类器的训练方式示意图;
图5为本发明恶意代码可视化及变种检测方法一具体实施例中Malimg恶意代码分类混淆矩阵示意图;
图6为本发明恶意代码可视化及变种检测方法另一种预设恶意代码分类器的训练方式示意图;
图7为本发明恶意代码可视化及变种检测方法一具体实施例中Malheur恶意代码分类混淆矩阵示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的恶意代码可视化及变种检测设备结构示意图。
本发明实施例恶意代码可视化及变种检测设备可以是PC、平板电脑等具有显示功能的恶意代码可视化及变种检测设备。
如图1所示,该恶意代码可视化及变种检测设备可以包括:处理器1001,例如CPU,通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选的用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
本领域技术人员可以理解,图1中示出的恶意代码可视化及变种检测设备结构并不构成对恶意代码可视化及变种检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作装置、网络通信模块、用户接口模块以及恶意代码可视化及变种检测程序。
在图1所示的恶意代码可视化及变种检测设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的恶意代码可视化及变种检测程序,并恶意代码可视化及变种检测方法。
基于上述硬件结构,提出本发明恶意代码可视化及变种检测方法的各个实施例。
据统计目前国际上有数万种病毒,而变种病毒却有成百上千万,恶意代码变种率从2011年的每个家族变种率为5:1,到如今1000:1以上。研究表明绝大多数的新型恶意代码都是由已知的恶意代码变异而得,而这样的变种恶意代码间只有不到2%的代码差异,这给分析恶意代码的安全研究人员提供了变种检测依据,通过检测恶意代码核心模块的相似度来对恶意代码进行变种检测。恶意代码可视化及变种检测已经成为了恶意代码检测的重点和难点。
目前,恶意代码可视化及变种检测方法从所采用的特征角度来看,主要有以下两种:基于静态语义特征的方法和基于图像纹理特征的方法。基于静态语义特征的方法主要是从恶意代码中提取操作码序列、应用程序接口(API,Application ProgrammingInterface)函数调用序列、控制流、数据流和程序依赖关系等进行分析。这种方法对程序代码的分析依赖于反汇编代码的精度,且通常会涉及判断子图同构的问题,而判断子图同构问题是NP完全(Non-deterministic Polynomial Complete)问题,判断过程耗时较长。基于图像纹理特征的方法)需要从图像这种二维数据提取特征,特征提取过程比较复杂,运行效率也比较低。故上述的种种情况均反映出现有的恶意代码可视化及变种检测方法的效率低下的技术问题。
为解决上述问题,本发明提供一种恶意代码可视化及变种检测方法,即通过将恶意代码转化为一维时间序列信号,以便获取恶意代码的时间序列信号特征,相比提取静态语义特征以及二维图像纹理特征,大大减小了时间开销;通过输出恶意代码所对应的奇异变换谱,便于从视觉上直观感知各个变种的共同之处和细微差异,为理解和掌握该家族变种演化提供了依据;通过基于恶意代码样本对应的奇异变换谱进行分类模型训练,使得恶意代码家族分类更加快速准确。本发明的可视化分析能够采用程序化的方式执行,相比恶意代码静态语义特征的分析,降低了恶意代码分析人员的专业技术要求,从而解决了现有的恶意代码可视化及变种检测方法的效率低下的技术问题。所述恶意代码可视化及变种检测方法应用于装有恶意代码可视化及变种检测装置的恶意代码可视化及变种检测设备。
参照图2,图2为恶意代码可视化及变种检测方法第一实施例的流程示意图。
在本发明恶意代码可视化及变种检测方法第一实施例中,所述恶意代码可视化及变种检测方法包括以下步骤:
步骤S10,获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号。
本实施例中的恶意代码可视化及变种检测方法运用与恶意代码可视化及变种检测设备,恶意代码可视化及变种检测设备获取待检测的恶意代码,恶意代码是指故意编制或设置的、对网络或装置会产生威胁或潜在威胁的计算机代码,最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等,恶意代码通常记录于二进制可执行文件中,恶意代码的获取方式可为用户向恶意代码可视化及变种检测设备导入,或是恶意代码可视化及变种检测设备根据预设程序自动获取等。
恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时,从恶意代码文件中读取恶意代码数据,并按照预设读取规则,将二进制的恶意代码数据转换成多个一维无符号整数数组。例如,读取规则为,每八位二进制数据读取成一个对应的取值范围在0至255的无符号整数,则可将当前恶意代码文件中所有的二进制恶意代码数据全部转换为对应的一维整数数组。
恶意代码可视化及变种检测设备将二进制恶意代码数据转换得到的一维整数数组视为一维样值时间序列信号,并按照固定长度或是一定比例进行下采样,即可在一维样值时间序列信号的基础上得到一维时间序列信号。其中,对于一个样值序列间隔几个样值取样一次,这样得到新序列就是原序列的下采样。需要说明的是,恶意代码所对应的一维时间序列可对用户进行显示,以增强恶意代码可视化及变种检测的可视性。
步骤S20,将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示。
恶意代码可视化及变种检测设备将一维时间序列信号进行奇异谱变换(又叫SST,Singular Spectrum Transformation),获得恶意代码对应的奇异变换谱,即,恶意代码可视化及变种检测设备设定一维时间序列信号S的长度为n(),将这个一维时间序列信号/>,记为集合/>,第t个信号定义为第t个时刻,则长度为W的/>的子序列为/>,其中,上标T表示转置,恶意代码可视化及变种检测设备根据子序列构建矩阵,通过比对矩阵的相似度,获得恶意代码对应的奇异变换谱。
如图3所示,恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时,将此恶意代码二进制可执行文件中的数据按照每8位对应一无符号整数的转换规则进行转换,即可将恶意代码的二进制数据转换为一维整数数组,并将此一维整数数据看作是恶意代码的样本时间序列信号,对其进行下采样,得到恶意代码的时间序列信号,恶意代码可视化及变种检测设备再对恶意代码的时间序列信号进行奇异谱变换获得奇异变换谱并显示出来,以供分析人员进行直观分析。恶意代码可视化及变种检测设备在屏幕上显示当前所检测的恶意代码对应的奇异变换谱,以便用户直观地对当前所检测的恶意代码的奇异谱变换变换谱进行特征分析,分析其同源性。
此外,本发明实施例中还可以直接通过已训练的恶意代码分类器对恶意代码进行检测,输出对其的同源性分析结果,具体地:
步骤S30,将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得。
恶意代码可视化及变种检测设备中预设恶意代码分类器,预设恶意代码分类器是预先根据恶意代码样本的奇异谱变换变换谱训练所得,具体的训练方式既可为直接使用恶意代码样本的奇异谱变换变换谱进行机器学习训练,也可为先提取恶意代码样本的奇异谱变换变换谱的时间序列信号特征后,再使用时间序列信号特征进行机器学习训练。训练过程中具体采用的分类算法可为贝叶斯分类器,K最近邻(kNN,k-NearestNeighbor),支持向量机(SVM,Support Vector Machine),决策树等,可根据实际情况灵活选择,本实施例对此不作具体限定。
恶意代码可视化及变种检测设备将当前需要检测的恶意代码所对应的奇异谱变换变换谱作为恶意代码分类器的输入,或提取出奇异谱变换变换谱的时间序列特征,将其时间序列特征作为恶意代码分类器的输入,分类器即可依据奇异谱变换变换谱或是时间序列特征对恶意代码进行同源性分析,最终输出当前待检测恶意代码的所述家族信息。另外,在当前所要检测的恶意代码在经过恶意代码分类器的同源性分析后,也可作为新的恶意代码样本对分类器进行训练,以进一步优化分类器的判别性能。
本发明实施例中通过将恶意代码转化为一维时间序列信号,以便获取恶意代码的时间序列信号特征,相比提取静态语义特征以及二维图像纹理特征,大大减小了时间开销;通过输出恶意代码所对应的奇异变换谱,便于从视觉上直观感知各个变种的共同之处和细微差异,为理解和掌握该家族变种演化提供了依据;通过基于恶意代码样本对应的奇异变换谱进行分类模型训练,使得恶意代码家族分类更加快速准确。本发明实施例中的可视化分析能够采用程序化的方式执行,相比恶意代码静态语义特征的分析,降低了恶意代码分析人员的专业技术要求,从而解决了现有的恶意代码可视化及变种检测方法的效率低下的技术问题。
进一步地,基于本发明恶意代码可视化及变种检测方法的第一实施例,提出本发明恶意代码可视化及变种检测方法的第二实施例。
在本实施例是第一实施例中步骤S10的细化,本实施例与上述实施例的区别在于:
获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号。
恶意代码可视化及变种检测设备确定当前需要检测的恶意代码的二进制可执行文件,恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时,从中读取恶意代码数据,并按照每预设二进制位数对应一无符号整数的转换规则,将二进制的恶意代码数据转换成一维无符号整数数组。优选地,预设二进制位数为八位,取值范围为0至255,待文件全部读取完毕时,即可将需要检测的恶意代码全部转换为一维整数数组。恶意代码可视化及变种检测设备将二进制恶意代码数据转换得到的一维整数数组视为一维样值时间序列信号,并按照固定长度或是一定比例进行下采样,即可在一维样值时间序列信号的基础上得到一维时间序列信号。其中,对于一个样值序列间隔几个样值取样一次,这样得到新序列就是原序列的下采样。其中,固定长度与一定比例可根据实际情况灵活调节,本实施例不做具体限定。
本实施例中恶意代码可视化及变种检测设备将恶意代码转化为一维时间序列信号,以方便进行准确分析。
进一步地,基于本发明恶意代码可视化及变种检测方法的上述实施例,提出本发明恶意代码可视化及变种检测方法的第三实施例
在本实施例是第一实施例中步骤S20的细化,本实施例与上述实施例的区别在于:
将所述一维时间序列信号组合形成时间集合,将所述时间集合转化为预设长度的时间子序列;
根据所述时间子序列构造轨迹矩阵,根据所述时间子序列构造测试矩阵,根据所述轨迹矩阵和所述测试矩阵确定变化点分数;
以所述一维时间序列信号中的时刻为横坐标,以所述变化点分数为纵坐标,获得所述恶意代码对应的奇异变换谱并输出显示。
在本实施例中恶意代码可视化及变种检测设备将一维时间序列信号组合形成时间集合,将时间集合转化为预设长度的时间子序列;根据时间子序列构造轨迹矩阵,根据时间子序列构造测试矩阵,根据轨迹矩阵和测试矩阵确定变化点分数;以一维时间序列信号中的时刻为横坐标,以变化点分数为纵坐标,获得恶意代码对应的奇异变换谱,方便用户比对奇异变换谱中各个时刻对应的差异。
具体地,恶意代码可视化及变种检测设备将这个一维时间序列信号,记为集合/>,第t个信号定义为第t个时刻,则长度为W的/>的子序列为/>,其中,上标T表示转置;
定义t时刻,由子序列构造的轨迹矩阵/>为:
其中,表示该子序列设定的窗口长度,/>表示该子序列设定的延迟长度,/>表示该子序列设定的阶数,/>是Hankel矩阵, 沿次对角线元素相同。
定义t时刻,由子序列构造的测试矩阵/>为:
其中,表示该子序列设定的窗口长度,/>表示该子序列设定的阶数,/>是Hankel矩阵, 沿次对角线元素相同。
定义t时刻,变化点分数为为:
其中,是t时刻的测试矩阵经过奇异值分解后的左奇异向量,r为所取主成分的个数,/>是t时刻的测试矩阵经过奇异值分解后的最大左奇异向量,/>表示向量内积,。
将恶意代码转化为的一维时间序列信号所有时刻对应的变化点分数/>,作为该恶意代码的SST谱。
本实施例中将恶意代码转化为奇异变换谱可以实现恶意代码直观查询,以方便分析人员快速地定位恶意代码。
进一步地,基于本发明恶意代码可视化及变种检测方法第一实施例,提出了本发明的第四实施例。
在本实施例中是第一实施例中步骤S30之前的步骤,本实施例给出了一种恶意代码分类器具体训练方式,包括:
从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
将各所述奇异变换谱划分形成第一训练集与第一测试集;
通过所述第一训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述第一测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
在本实施例中,提供了两种分类器训练方式,第一种是直接使用恶意代码的奇异谱变换变换谱进行机器学习训练。第一训练集为采用预设恶意代码分类器训练方式时的训练集数据,第一测试集为采用预设恶意代码分类器训练方式时的测试集数据。第一预设分类算法为采用第一种训练方式进行分类器训练时所使用的分类算法,具体可为随机森林算法、极端随机数算法等。
恶意代码可视化及变种检测设备从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;将各所述奇异变换谱划分形成第一训练集与第一测试集;通过所述第一训练集中的奇异变换谱对初始分类算法(初始分类算法是指预先设置的分析算法)进行迭代训练,获得恶意代码分类器;通过所述第一测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
具体地,如图4所示,图4为第一种预设恶意代码分类器的训练方式示意图。本实施例中选择malimg恶意代码文件数据库,该数据库包含了25个恶意代码家族,共有9327个恶意代码文件,将该数据库中的每一个恶意代码文件,按每8位二进制作为一个无符号整数,转换为一个时间序列信号,再按n=4096进行下采样,再将下采样后的时间序列信号进行奇异谱变换,按恶意代码二进制执行文件名生成对应恶意代码SST谱数据。循环执行,最终生成malimg恶意代码SST谱数据库。其中,对于奇异谱变换的参数选择:子序列窗口长度W=5,子序列设定的延迟长度L=10,子序列设定的阶数K=60,主成分r=10。采用机器学习方法,训练恶意代码SST谱数据库,将80%的数据作为训练集,20%的数据作为测试集,重复10次交叉验证,对恶意代码家族进行分类。采用随机森林,分类准确率为98.24%;采用极端随机树,分类准确率为98.35%。其中,采用极端随机树训练的恶意代码分类混淆矩阵如图5所示,如图5所示,图5为Malimg恶意代码分类混淆矩阵示意图,左边的纵列标明了恶意代码的真实类别名称索引(Index of 1 Classes),下方的纵列均标明了恶意代码的预测类别名称索引(Index of Predict Classes),如位列第一位的Adialer.C(一种病毒种类名称),位列末位的Yuner.A(一种病毒种类名称)等。矩阵中的数字代表真实类别与预测类别之间的相似度。
进一步地,基于本发明恶意代码可视化及变种检测方法第一实施例,提出了本发明的第五实施例。
在本实施例中是第一实施例中步骤S30之前的步骤,本实施例给出了另一种恶意代码分类器具体训练方式,包括:
将预设恶意代码文件数据库中的恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
从各所述奇异变换谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成第二训练集与第二测试集;
通过所述第二训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述第二测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
即,恶意代码可视化及变种检测设备将预设恶意代码文件数据库中的恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;从各所述奇异变换谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成第二训练集与第二测试集;通过所述第二训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;通过所述第二测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
如图6所示,图6为另一种恶意代码分类器的训练方式示意图。恶意代码可视化及变种检测设备选择malheur恶意代码文件数据库,该数据库包含了24个恶意代码家族,共有3131个恶意代码文件;将该数据库中的每一个恶意代码文件,按每8位二进制作为一个无符号整数,转换为一个时间序列信号,再按n=4096进行下采样,再将下采样后的时间序列信号进行奇异谱变换,按恶意代码二进制执行文件名生成对应恶意代码SST谱数据。再对恶意代码SST谱,提取对数梅尔滤波器组能量(log Mel-filterbank energy)时间序列特征。循环执行,最终生成malheur恶意代码SST谱数据库。其中,对于奇异谱变换的参数选择:子序列窗口长度W=5,子序列设定的延迟长度L=10,子序列设定的阶数K=60,主成分r=10。装置采用机器学习方法,训练恶意代码奇异谱变换变换谱及特征数据库,将80%的数据作为第二训练集,20%的数据作为第二测试集,重复10次交叉验证,对恶意代码家族进行分类。经实验后表明,采用随机森林算法得到的分类准确率为98.58%;采用极端随机树得到的分类准确率为98.77%。需要说明的是,若装置是通过预设恶意代码分类器训练方式得到恶意代码分类器,则在对当前需要检测的恶意代码进行变种检测时,需要获取到其对应的奇异谱变换变换谱,并从奇异谱变换变换谱中提取出时间序列特征,才可通过该恶意代码分类器对恶意代码进行变种检测。如图7所示,图7为Malheur恶意代码分类混淆矩阵示意图。左边的纵列标明了恶意代码的真实类别名称索引(Index of 1 Classes),下采用机器学习方法,训练恶意代码SST谱及特征数据库,将80%的数据作为训练集,20%的数据作为测试集,重复10次交叉验证,对恶意代码家族进行分类。采用随机森林,分类准确率为98.56%;采用极端随机树,分类准确率为98.72%。其中,采用极端随机树训练的恶意代码分类混淆矩阵如图7所示。
在本实施例中,第二种是先提取恶意代码的奇异谱变换变换谱的时间序列信号特征,再使用时间序列信号特征来进行机器学习训练。样本时间序列特征为在模型训练阶段中,从恶意代码样本所对应的奇异谱变换变换谱中提取出的时间序列特征。第二训练集为采用预设恶意代码分类器训练方式时的训练集数据,第二测试集为采用预设恶意代码分类器训练方式时的测试集数据。第二预设分类算法为采用第二种训练方式进行分类器训练时所使用的分类算法,具体可为随机森林算法、极端随机数算法等,第二预设分类算法可与第一预设分类算法相同,也可不同。其中,时间序列信号特征优选为对数梅尔滤波器组能量。
进一步地,基于本发明恶意代码可视化及变种检测方法的上述实施例,提出本发明恶意代码可视化及变种检测方法的第六实施例。
本实施例是第一实施例中步骤S30的细化,本实施中给出了两种通过预设恶意代码分类器进行恶意代码可视化及变种检测的具体实现方式,
实现方式一为:
将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
在所述分类结果为第一类时,则输出所述恶意代码的所属家族信息;
在所述分类结果为第二类时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
实现方式二为:
从所述恶意代码对应的奇异变换谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;
在所述分类结果为第一类时,则输出所述恶意代码的所属家族信息;
在所述分类结果为第二类时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
在本实施例中待测时间序列特征为利用已训练的分类器对待测恶意代码进行变种检测时,从待检测的恶意代码所对应的奇异谱变换变换谱中提取出的时间序列特征。若当前所使用的分类器是采用第一种训练方式训练所得,则将当前所要检测的恶意代码所对应的奇异谱变换变换谱作为预先已训练好的用于恶意代码同源性分析的恶意代码分类器的输入;若当前所使用的分类器是采用第二种训练方式训练所得,则先对当前所要检测的恶意代码所对应的奇异谱变换变换谱进行时间序列特征提取,再将提取出的待测时间序列特征作为预先已训练好的用于恶意代码同源性分析的恶意代码分类器的输入。分类器即可对其进行变种检测,判断当前所要检测的恶意代码是否为已有恶意代码的变种。若装置判定当前所要检测的恶意代码为已有恶意代码的变种,则获取与当前恶意代码同源的已有恶意代码的所属家族信息,以便用户获知当前所检测的恶意代码为已有恶意代码的变种;若装置判定当前所要检测的恶意代码并非已有恶意代码的变种,也即是当前的恶意代码不与任何一种已知的恶意代码同源,则将该恶意代码列为新的一种恶意代码家族,同时可输出为查询到同源信息的相关提示信息,以便用户获知该恶意代码不与已有恶意代码同源,是一种新型恶意代码。
在本实施例中通过将恶意代码转换为一维整数数组,并对其进行下采样得到一维时间序列信号并输出,可以有效的将恶意代码可视为一维的时间序列信号,对恶意代码的变种能够产生更抗混淆性和抗干扰性的谱特征,能够按照恶意代码家族进行划分,并发现新的家族,对数据集具有更好的适应性和健壮性,从而有效提高恶意代码可视化及变种检测效率,也可以通过家族划分来追溯恶意代码来源,达到恶意代码同源性判定的作用。
在本实施例中,进一步通过设置两种分类器的训练方式,预先对一定数量的训练数据集与测试数据集进行机器学习训练,使得能够采用已训练的分类器对待检测的恶意代码进行快速准确的变种检测,提升了变种检测的效率。
本发明还提供一种恶意代码可视化及变种检测装置。
获取转化模块,用于获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
变化谱生成模块,用于将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;
检测确定模块,用于将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得。
在一实施例中,所述获取转化模块,包括:
获取转换单元,用于获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
采用获取单元,用于将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号。
在一实施例中,所述变化谱生成模块,包括:
第一转化单元,用于将所述一维时间序列信号组合形成时间集合,将所述时间集合转化为预设长度的时间子序列;
分数确定单元,用于根据所述时间子序列构造轨迹矩阵,根据所述时间子序列构造测试矩阵,根据所述轨迹矩阵和所述测试矩阵确定变化点分数;
奇异变换谱生成单元,用于以所述一维时间序列信号中的时刻为横坐标,以所述变化点分数为纵坐标,获得所述恶意代码对应的奇异变换谱并输出显示。
在一实施例中,所述的恶意代码可视化及变种检测装置,包括:
样本处理模块,用于从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
图谱处理模块,用于将各所述奇异变换谱划分形成第一训练集与第一测试集;
迭代训练模块,用于通过所述第一训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
分离器验证模块,用于通过所述第一测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
在一实施例中,所述检测确定模块,包括:
输入检测单元,用于将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
第一输出单元,用于在所述分类结果为第一类时,则输出所述恶意代码的所属家族信息;
第二检测单元,用于在所述分类结果为第二类时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
在一实施例中,所述的恶意代码可视化及变种检测装置,包括:
奇异谱变换模块,用于将预设恶意代码文件数据库中的恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
特征提取模块,用于从各所述奇异变换谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成第二训练集与第二测试集;
迭代训练模块,用于通过所述第二训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
分类器生成模块,用于通过所述第二测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
在一实施例中,所述检测确定模块30,包括:
提取输入单元,用于从所述恶意代码对应的奇异变换谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;
第一输出单元,用于在所述分类结果为第一类时,则输出所述恶意代码的所属家族信息;
第二输出单元,用于在所述分类结果为第二类时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
本发明实施例中通过将恶意代码转化为一维时间序列信号,以便获取恶意代码的时间序列信号特征,将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;通过输出恶意代码所对应的奇异变换谱,便于直观感知各个变种的共同之处和细微差异,将恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得恶意代码所属的家族信息,使得恶意代码家族分类更加快速准确;与此同时,本发明实施例中的技术方法降低了恶意代码分析人员的专业技术要求,减少了人力资源浪费。
其中,所述恶意代码可视化及变种检测装置被执行时所实现的方法可参照本发明恶意代码可视化及变种检测方法的各个实施例,此处不再赘述。
本发明还提供一种存储介质。
本发明存储介质上存储有恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被处理器执行时实现如上所述的恶意代码可视化及变种检测方法的步骤。
其中,所述恶意代码可视化及变种检测程序被执行时所实现的方法可参照本发明恶意代码可视化及变种检测方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台恶意代码可视化及变种检测设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种恶意代码可视化及变种检测方法,其特征在于,所述恶意代码可视化及变种检测方法包括:
获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;
将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得;
其中,所述获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号的步骤,包括:
获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号;
所述将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示的步骤,包括:
将所述一维时间序列信号组合形成时间集合,将所述时间集合转化为预设长度的时间子序列;
根据所述时间子序列构造轨迹矩阵,根据所述时间子序列构造测试矩阵,根据所述轨迹矩阵和所述测试矩阵确定变化点分数;
以所述一维时间序列信号中的时刻为横坐标,以所述变化点分数为纵坐标,获得所述恶意代码对应的奇异变换谱并输出显示。
2.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
将各所述奇异变换谱划分形成第一训练集与第一测试集;
通过所述第一训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述第一测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
3.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
在所述分类结果为第一类时,则输出所述恶意代码的所属家族信息;
在所述分类结果为第二类时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
4.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
将预设恶意代码文件数据库中的恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
从各所述奇异变换谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成第二训练集与第二测试集;
通过所述第二训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述第二测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
5.如权利要求1至4任意一项所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
从所述恶意代码对应的奇异变换谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;
在所述分类结果为第一类时,则输出所述恶意代码的所属家族信息;
在所述分类结果为第二类时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
6.一种恶意代码可视化及变种检测装置,其特征在于,所述恶意代码可视化及变种检测装置包括:
获取转化模块,用于获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
变化谱生成模块,用于将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;
检测确定模块,用于将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得;
所述获取转化模块,还用于获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号;
所述变化谱生成模块,还用于将所述一维时间序列信号组合形成时间集合,将所述时间集合转化为预设长度的时间子序列;根据所述时间子序列构造轨迹矩阵,根据所述时间子序列构造测试矩阵,根据所述轨迹矩阵和所述测试矩阵确定变化点分数;以所述一维时间序列信号中的时刻为横坐标,以所述变化点分数为纵坐标,获得所述恶意代码对应的奇异变换谱并输出显示。
7.一种恶意代码可视化及变种检测设备,其特征在于,所述恶意代码可视化及变种检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被所述处理器执行时实现如权利要求1至5中任一项所述的恶意代码可视化及变种检测方法的步骤。
8.一种存储介质,其特征在于,所述存储介质上存储有恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被处理器执行时实现如权利要求1至5中任一项所述的恶意代码可视化及变种检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010598372.4A CN111797395B (zh) | 2020-06-28 | 2020-06-28 | 恶意代码可视化及变种检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010598372.4A CN111797395B (zh) | 2020-06-28 | 2020-06-28 | 恶意代码可视化及变种检测方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111797395A CN111797395A (zh) | 2020-10-20 |
CN111797395B true CN111797395B (zh) | 2023-08-29 |
Family
ID=72803822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010598372.4A Active CN111797395B (zh) | 2020-06-28 | 2020-06-28 | 恶意代码可视化及变种检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111797395B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113065133A (zh) * | 2021-04-06 | 2021-07-02 | 中山大学 | 一种基于奇异谱变换的恶意软件检测方法 |
CN114024762B (zh) * | 2021-11-11 | 2022-08-16 | 湖南大学 | 一种基于S-R分析和FASSA-SVM的LDoS攻击检测方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120073018A (ko) * | 2010-12-24 | 2012-07-04 | 한국인터넷진흥원 | 악성 코드 탐지를 위한 시스템 및 방법 |
KR101589656B1 (ko) * | 2015-01-19 | 2016-01-28 | 한국인터넷진흥원 | Api 기반 악성 코드 변종 탐지 조회 시스템 및 방법 |
CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
CN109657646A (zh) * | 2019-01-07 | 2019-04-19 | 哈尔滨工业大学(深圳) | 生理时间序列的特征表示与提取方法、装置及存储介质 |
-
2020
- 2020-06-28 CN CN202010598372.4A patent/CN111797395B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120073018A (ko) * | 2010-12-24 | 2012-07-04 | 한국인터넷진흥원 | 악성 코드 탐지를 위한 시스템 및 방법 |
KR101589656B1 (ko) * | 2015-01-19 | 2016-01-28 | 한국인터넷진흥원 | Api 기반 악성 코드 변종 탐지 조회 시스템 및 방법 |
CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
CN109657646A (zh) * | 2019-01-07 | 2019-04-19 | 哈尔滨工业大学(深圳) | 生理时间序列的特征表示与提取方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111797395A (zh) | 2020-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110826059B (zh) | 面向恶意软件图像格式检测模型的黑盒攻击的防御方法及其装置 | |
CN109359439B (zh) | 软件检测方法、装置、设备及存储介质 | |
CN111027069B (zh) | 恶意软件家族检测方法、存储介质和计算设备 | |
CN109271788B (zh) | 一种基于深度学习的Android恶意软件检测方法 | |
Azab et al. | Msic: malware spectrogram image classification | |
CN111797395B (zh) | 恶意代码可视化及变种检测方法、装置、设备及存储介质 | |
CN111797396B (zh) | 恶意代码可视化及变种检测方法、装置、设备及存储介质 | |
CN111626346A (zh) | 数据分类方法、设备、存储介质及装置 | |
CN115600200A (zh) | 基于熵谱密度和自适应收缩卷积的安卓恶意软件检测方法 | |
CN113420295A (zh) | 恶意软件的检测方法及装置 | |
CN114579965A (zh) | 一种恶意代码的检测方法、装置及计算机可读存储介质 | |
CN111797397B (zh) | 恶意代码可视化及变种检测方法、设备及存储介质 | |
CN106936561B (zh) | 一种侧信道攻击防护能力评估方法和系统 | |
CN112257757A (zh) | 一种基于深度学习的恶意样本检测方法及系统 | |
CN109492396B (zh) | 基于语义分割的恶意软件基因快速检测方法和装置 | |
CN111797398B (zh) | 恶意代码可视化及变种检测方法、系统、设备及存储介质 | |
CN108491718B (zh) | 一种实现信息分类的方法及装置 | |
CN111797399B (zh) | 恶意代码可视化及变种检测方法、系统、设备及存储介质 | |
CN116366312A (zh) | 一种Web攻击检测方法、装置及存储介质 | |
CN112163217B (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
CN115373982A (zh) | 基于人工智能的测试报告分析方法、装置、设备及介质 | |
Abhesa et al. | Classification of malware using machine learning based on image processing | |
Saputra et al. | Malware Detection in Portable Document Format (PDF) Files with Byte Frequency Distribution (BFD) and Support Vector Machine (SVM) | |
CN113159221A (zh) | 基于大数据的网络安全防护方法 | |
CN111581640A (zh) | 一种恶意软件检测方法、装置及设备、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |