CN111797396A - 恶意代码可视化及变种检测方法、装置、设备及存储介质 - Google Patents

恶意代码可视化及变种检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN111797396A
CN111797396A CN202010598414.4A CN202010598414A CN111797396A CN 111797396 A CN111797396 A CN 111797396A CN 202010598414 A CN202010598414 A CN 202010598414A CN 111797396 A CN111797396 A CN 111797396A
Authority
CN
China
Prior art keywords
malicious code
modal decomposition
variation
preset
classifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010598414.4A
Other languages
English (en)
Other versions
CN111797396B (zh
Inventor
余健
冯健文
黄伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hanshan Normal University
Original Assignee
Hanshan Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hanshan Normal University filed Critical Hanshan Normal University
Priority to CN202010598414.4A priority Critical patent/CN111797396B/zh
Publication of CN111797396A publication Critical patent/CN111797396A/zh
Application granted granted Critical
Publication of CN111797396B publication Critical patent/CN111797396B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种恶意代码可视化及变种检测方法、装置、设备及存储介质,所述恶意代码可视化及变种检测方法的步骤,包括:通过获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示;将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。本发明可视化地显示恶意代码对应的变分模态分解谱,方便快速定位恶意代码,提高了恶意代码变种检测的效率和准确率。

Description

恶意代码可视化及变种检测方法、装置、设备及存储介质
技术领域
本发明涉及信息安全技术领域,尤其涉及一种恶意代码可视化及变种检测方法、装置、设备及存储介质。
背景技术
据统计目前国际上有数万种病毒,而变种病毒却有成百上千万,恶意代码变种率急剧上升。
目前恶意代码可视化及变种检测方法从所采用的特征角度来看,主要有以下两种:基于静态语义特征的方法和基于图像纹理特征的方法。基于静态语义特征的方法主要是从恶意代码中提取操作码序列、应用程序接口函数调用序列、控制流、数据流和程序依赖关系等进行分析。这种方法对程序代码的分析依赖于反汇编代码的精度,且通常会涉及判断子图同构的问题,而判断子图同构问题是NP完全(Non-deterministic PolynomialComplete)问题,判断过程耗时较长;基于图像纹理特征的方法需要从图像这种二维数据提取特征,特征提取过程比较复杂,运行效率也比较低。
发明内容
本发明的主要目的在于提供一种恶意代码可视化及变种检测方法,旨在解决现有的恶意代码都是代码化显示,不方便用户查看定位恶意代码位置,且恶意代码变种检测效率低下的技术问题。
为实现上述目的,本发明提供一种恶意代码可视化及变种检测方法,所述恶意代码可视化及变种检测方法包括:
获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示;
将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得
可选地,所述获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号的步骤,包括:
获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号。
可选地,所述将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示的步骤,包括:
将所述一维时间序列信号分解形成预设数量的模态分解函数;
将所述模态分解函数进行组合所堆叠形成一维向量,处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。
可选地,所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本转换为一维时间序列信号;
将所述一维时间序列信号转化为信号的实函数,将所述实函数进行分解获得模态分解函数;
将各所述模态分解函数进行变换获得解析信号,将所述解析信号进行转化,获得各所述模态分解函数的中心频率;
根据高斯平滑处理各所述模态分解函数的中心频率,获得各所述模态分解函数的带宽和,根据所述带宽和生成变分约束模型;
将预设的二次惩罚因子和预设的拉格朗日乘法算子引入所述变分约束模型,获得训练模型;
获取所述训练模型的识别结果,在所述识别结果中识别准确率高于预设识别准确率时,将所述训练模型作为预设恶意代码分类器。
可选地,所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
在所述分类结果中的相似度值大于预设阈值时,则输出所述恶意代码的所属家族信息;
在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
可选地,所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
将预设恶意代码文件数据库中的恶意代码样本进行变分模态分解,获得各所述恶意代码样本对应的变分模态分解谱;
从各所述变分模态分解谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成特征训练集与特征测试集;
通过所述特征训练集中的变分模态分解谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述特征测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
可选地,所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
从所述恶意代码对应的变分模态分解谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;
在所述分类结果中的相似度值大于预设阈值时,则输出所述恶意代码的所属家族信息;
在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
此外,为实现上述目的,本发明还提供一种恶意代码可视化及变种检测装置,所述恶意代码可视化及变种检测装置包括:
获取转化模块,用于获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
变化谱生成模块,用于将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示;
检测确定模块,用于将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。
此外,为实现上述目的,本发明还提供一种恶意代码可视化及变种检测设备,所述恶意代码可视化及变种检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被所述处理器执行时实现如上述的恶意代码可视化及变种检测方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被处理器执行时实现如上述的恶意代码可视化及变种检测方法的步骤。
本发明提供一种恶意代码可视化及变种检测方法、装置、设备及存储介质。本发明实施例中通过将恶意代码转化为一维时间序列信号,以便获取恶意代码的时间序列信号特征,将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示,通过输出恶意代码所对应的变分模态分解谱,便于直观感知各个变种的共同之处和细微差异,使得用户快速地定位恶意代码的位置,采用本发明实施例中的可视化分析方法在进行恶意代码同个家族的样本分析时,能够明显发现各个变种的共同之处和细微差异,使得用户方便理解和掌握该恶意代码家族变种演化进程,将恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得恶意代码所属的家族信息,使得恶意代码家族分类更加快速准确;与此同时,本发明实施例中的技术方法降低了恶意代码分析人员的专业技术要求,减少了人力资源浪费。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的恶意代码可视化及变种检测设备结构示意图;
图2为本发明恶意代码可视化及变种检测方法第一实施例的流程示意图;
图3为本发明恶意代码可视化及变种检测方法一具体实施例中的检测流程示意图;
图4为本发明恶意代码可视化及变种检测方法一种预设恶意代码分类器的训练方式示意图;
图5为本发明恶意代码可视化及变种检测方法一具体实施例中Malimg恶意代码分类混淆矩阵示意图;
图6为本发明恶意代码可视化及变种检测方法另一种预设恶意代码分类器的训练方式示意图;
图7为本发明恶意代码可视化及变种检测方法一具体实施例中Malheur恶意代码分类混淆矩阵示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的恶意代码可视化及变种检测设备结构示意图。
本发明实施例恶意代码可视化及变种检测设备可以是PC、平板电脑等具有显示功能的恶意代码可视化及变种检测设备。
如图1所示,该恶意代码可视化及变种检测设备可以包括:处理器1001,例如CPU,通信总线1002,用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选的用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
本领域技术人员可以理解,图1中示出的恶意代码可视化及变种检测设备结构并不构成对恶意代码可视化及变种检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作装置、网络通信模块、用户接口模块以及恶意代码可视化及变种检测程序。
在图1所示的恶意代码可视化及变种检测设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的恶意代码可视化及变种检测程序,并恶意代码可视化及变种检测方法。
基于上述硬件结构,提出本发明恶意代码可视化及变种检测方法的各个实施例。
据统计目前国际上有数万种病毒,而变种病毒却有成百上千万,恶意代码变种率从2011年的每个家族变种率为5:1,到如今1000:1以上。研究表明绝大多数的新型恶意代码都是由已知的恶意代码变异而得,而这样的变种恶意代码间只有不到2%的代码差异,这给分析恶意代码的安全研究人员提供了变种检测依据,通过检测恶意代码核心模块的相似度来对恶意代码进行变种检测。恶意代码可视化及变种检测已经成为了恶意代码检测的重点和难点。
目前,恶意代码可视化及变种检测方法从所采用的特征角度来看,主要有以下两种:基于静态语义特征的方法和基于图像纹理特征的方法。基于静态语义特征的方法主要是从恶意代码中提取操作码序列、应用程序接口(API,Application ProgrammingInterface)函数调用序列、控制流、数据流和程序依赖关系等进行分析。这种方法对程序代码的分析依赖于反汇编代码的精度,且通常会涉及判断子图同构的问题,而判断子图同构问题是NP完全(Non-deterministic Polynomial Complete)问题,判断过程耗时较长。基于图像纹理特征的方法)需要从图像这种二维数据提取特征,特征提取过程比较复杂,运行效率也比较低。故上述的种种情况均反映出现有的恶意代码可视化及变种检测方法的效率低下的技术问题。
为解决上述问题,本发明提供一种恶意代码可视化及变种检测方法,即通过将恶意代码转化为一维时间序列信号,以便获取恶意代码的时间序列信号特征,相比提取静态语义特征以及二维图像纹理特征,大大减小了时间开销;通过输出恶意代码所对应的变分模态分解谱,便于从视觉上直观感知各个变种的共同之处和细微差异,为理解和掌握该家族变种演化提供了依据;通过基于恶意代码样本对应的变分模态分解谱进行分类模型训练,使得恶意代码家族分类更加快速准确。本发明的可视化分析能够采用程序化的方式执行,相比恶意代码静态语义特征的分析,降低了恶意代码分析人员的专业技术要求,从而解决了现有的恶意代码可视化及变种检测方法的效率低下的技术问题。所述恶意代码可视化及变种检测方法应用于装有恶意代码可视化及变种检测装置的恶意代码可视化及变种检测设备。
参照图2,图2为恶意代码可视化及变种检测方法第一实施例的流程示意图。
在本发明恶意代码可视化及变种检测方法第一实施例中,所述恶意代码可视化及变种检测方法包括以下步骤:
步骤S10,获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号。
本实施例中的恶意代码可视化及变种检测方法运用与恶意代码可视化及变种检测设备,恶意代码可视化及变种检测设备获取待检测的恶意代码,恶意代码是指故意编制或设置的、对网络或装置会产生威胁或潜在威胁的计算机代码,最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等,恶意代码通常记录于二进制可执行文件中,恶意代码的获取方式可为用户向恶意代码可视化及变种检测设备导入,或是恶意代码可视化及变种检测设备根据预设程序自动获取等。
恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时,从恶意代码文件中读取恶意代码数据,并按照预设读取规则,将二进制的恶意代码数据转换成多个一维无符号整数数组。例如,读取规则为,每八位二进制数据读取成一个对应的取值范围在0至255的无符号整数,则可将当前恶意代码文件中所有的二进制恶意代码数据全部转换为对应的一维整数数组。
恶意代码可视化及变种检测设备将二进制恶意代码数据转换得到的一维整数数组视为一维样值时间序列信号,并按照固定长度或是一定比例进行下采样,即可在一维样值时间序列信号的基础上得到一维时间序列信号。其中,对于一个样值序列间隔几个样值取样一次,这样得到新序列就是原序列的下采样。需要说明的是,恶意代码所对应的一维时间序列可对用户进行显示,以增强恶意代码可视化及变种检测的可视性。
步骤S20,将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示。
恶意代码可视化及变种检测设备将一维时间序列信号进行变分模态分解(又叫VMD,Variational Mode Decomposition),获得恶意代码对应的变分模态分解谱,即,恶意代码可视化及变种检测设备设定一维时间序列信号S的长度为n(S=(s1,s2,…,sn)),将这个一维时间序列信号S=(s1,s2,…,sn),记为集合{st∈[0,255]|t=1,2,…,n},将所述一维时间序列信号分解形成预设数量的模态分解函数;将所述模态分解函数进行组合所堆叠形成一维向量,处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。
如图3所示,恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时,将此恶意代码二进制可执行文件中的数据按照每8位对应一无符号整数的转换规则进行转换,即可将恶意代码的二进制数据转换为一维整数数组,并将此一维整数数据看作是恶意代码的样本时间序列信号,对其进行下采样,得到恶意代码的时间序列信号,恶意代码可视化及变种检测设备再对恶意代码的时间序列信号进行变分模态分解获得变分模态分解谱并显示出来,以供分析人员进行直观分析。恶意代码可视化及变种检测设备在屏幕上显示当前所检测的恶意代码对应的变分模态分解谱,以便用户直观地对当前所检测的恶意代码的变分模态分解变换谱进行特征分析,分析其同源性。
此外,本发明实施例中还可以直接通过已训练的恶意代码分类器对恶意代码进行检测,输出对其的同源性分析结果,具体地:
步骤S30,将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。
恶意代码可视化及变种检测设备中预设恶意代码分类器,预设恶意代码分类器是预先根据恶意代码样本的变分模态分解变换谱训练所得,具体的训练方式既可为直接使用恶意代码样本的变分模态分解变换谱进行机器学习训练,也可为先提取恶意代码样本的变分模态分解变换谱的时间序列信号特征后,再使用时间序列信号特征进行机器学习训练。训练过程中具体采用的分类算法可为贝叶斯分类器,K最近邻(kNN,k-NearestNeighbor),支持向量机(SVM,Support Vector Machine),决策树等,可根据实际情况灵活选择,本实施例对此不作具体限定。
恶意代码可视化及变种检测设备将当前需要检测的恶意代码所对应的变分模态分解变换谱作为恶意代码分类器的输入,或提取出变分模态分解变换谱的时间序列特征,将其时间序列特征作为恶意代码分类器的输入,分类器即可依据变分模态分解变换谱或是时间序列特征对恶意代码进行同源性分析,最终输出当前待检测恶意代码的所述家族信息。另外,在当前所要检测的恶意代码在经过恶意代码分类器的同源性分析后,也可作为新的恶意代码样本对分类器进行训练,以进一步优化分类器的判别性能。
本发明实施例中通过将恶意代码转化为一维时间序列信号,以便获取恶意代码的时间序列信号特征,相比提取静态语义特征以及二维图像纹理特征,大大减小了时间开销;通过输出恶意代码所对应的变分模态分解谱,便于从视觉上直观感知各个变种的共同之处和细微差异,为理解和掌握该家族变种演化提供了依据;通过基于恶意代码样本对应的变分模态分解谱进行分类模型训练,使得恶意代码家族分类更加快速准确。本发明实施例中的可视化分析能够采用程序化的方式执行,相比恶意代码静态语义特征的分析,降低了恶意代码分析人员的专业技术要求,从而解决了现有的恶意代码可视化及变种检测方法的效率低下的技术问题。
通过本发明实施例的方法,可以有效的将恶意代码可视为一维的时间序列信号,对恶意代码的变种能够产生更抗混淆性和抗干扰性的谱特征,能够按照恶意代码家族进行划分,并发现新的家族,对数据集具有更好的适应性和健壮性,从而有效提高恶意代码变种检测效率,也可以通过家族划分来追溯恶意代码来源,达到恶意代码同源性判定的作用。
进一步地,基于本发明恶意代码可视化及变种检测方法的第一实施例,提出本发明恶意代码可视化及变种检测方法的第二实施例。
在本实施例是第一实施例中步骤S10的细化,本实施例与上述实施例的区别在于:
获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号。
恶意代码可视化及变种检测设备确定当前需要检测的恶意代码的二进制可执行文件,恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时,从中读取恶意代码数据,并按照每预设二进制位数对应一无符号整数的转换规则,将二进制的恶意代码数据转换成一维无符号整数数组。优选地,预设二进制位数为八位,取值范围为0至255,待文件全部读取完毕时,即可将需要检测的恶意代码全部转换为一维整数数组。恶意代码可视化及变种检测设备将二进制恶意代码数据转换得到的一维整数数组视为一维样值时间序列信号,并按照固定长度或是一定比例进行下采样,即可在一维样值时间序列信号的基础上得到一维时间序列信号。其中,对于一个样值序列间隔几个样值取样一次,这样得到新序列就是原序列的下采样。其中,固定长度与一定比例可根据实际情况灵活调节,本实施例不做具体限定。
本实施例中恶意代码可视化及变种检测设备将恶意代码转化为一维时间序列信号,以方便进行准确分析。
进一步地,基于本发明恶意代码可视化及变种检测方法的上述实施例,提出本发明恶意代码可视化及变种检测方法的第三实施例
在本实施例是第一实施例中步骤S20的细化,本实施例与上述实施例的区别在于:
将所述一维时间序列信号分解形成预设数量的模态分解函数;
将所述模态分解函数进行组合所堆叠形成一维向量,处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。
本实施例中恶意代码可视化及变种检测设备将一维时间序列信号分解形成预设数量(预设数量可以根据具体场景灵活设置,例如预设数量设置为5)的模态分解函数;恶意代码可视化及变种检测设备将模态分解函数进行组合所堆叠形成一维向量,恶意代码可视化及变种检测设备处理一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。
具体地,为了方便理解本实施例中给出了一种将一维时间序列信号进行变分模态分解,获得恶意代码对应的变分模态分解谱的具体实现方式,包括:
1.将该整数数组视为一维时间序列信号,按固定长度或一定比例进行下采样,得到长度为n的一维时间序列信号S;
2.将这个一维时间序列信号S=(s1,s2,…,sn),表示为信号的实函数s(t),t∈[1,n];
3.设分解后的函数个数为K,uk(t)是分解得到的函数,ωk是它的频率,将uk(t)进行Hilbert(希尔伯特)变换求得解析信号:
Figure BDA0002558278760000111
4.将得到的解析信号乘以
Figure BDA0002558278760000112
使得各模态函数移动到各自的中心频率:
Figure BDA0002558278760000113
5.利用高斯平滑求解各模态函数的带宽之和:
Figure BDA0002558278760000114
6.形成变分约束模型:在各模态之和为待分解信号的约束下求带宽最小和:
Figure BDA0002558278760000115
其中,ωk为各模态uk(t)对应的中心频率;
7.引入二次惩罚因子α和拉格朗日乘法算子λ(t),将约束性变分问题转换到非约束性变分问题领域。扩展的拉格朗日表达式为
Figure BDA0002558278760000116
通过交替更新
Figure BDA0002558278760000117
到频域来寻求扩展拉格朗日表达式的鞍点,具体更新过程如下:
第1步:初始化
Figure BDA0002558278760000118
和n;
第2步:执行循环n=n+1,k的取值为1到K;
第3步:更新
Figure BDA0002558278760000121
Figure BDA0002558278760000122
第4步:更新
Figure BDA0002558278760000123
Figure BDA0002558278760000124
第5步:更新
Figure BDA0002558278760000125
Figure BDA0002558278760000126
其中,τ是更新系数;
第6步:对于给定的判别精度ε>0,如果
Figure BDA0002558278760000127
则停止迭代,否则返回第2步;
将恶意代码转化为的一维时间序列信号S=(s1,s2,…,sn),经过VMD分解后的K个uk(t)函数的任意组合所堆叠成的一维向量称为恶意代码的VMD谱。本实施例中将恶意代码转化为变分模态分解谱可以实现恶意代码直观查询,以方便分析人员快速地定位恶意代码。
进一步地,基于本发明恶意代码可视化及变种检测方法第一实施例,提出了本发明的第四实施例。
在本实施例中是第一实施例中步骤S30之前的步骤,本实施例给出了一种恶意代码分类器具体训练方式,包括:
从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本转换为一维时间序列信号;
将所述一维时间序列信号转化为信号的实函数,将所述实函数进行分解获得模态分解函数;
将各所述模态分解函数进行变换获得解析信号,将所述解析信号进行转化,获得各所述模态分解函数的中心频率;
根据高斯平滑处理各所述模态分解函数的中心频率,获得各所述模态分解函数的带宽和,根据所述带宽和生成变分约束模型;
将预设的二次惩罚因子和预设的拉格朗日乘法算子引入所述变分约束模型,获得训练模型;
获取所述训练模型的识别结果,在所述识别结果中识别准确率高于预设识别准确率时,将所述训练模型作为预设恶意代码分类器。
在本实施例中,恶意代码可视化及变种检测设备从将所述一维时间序列信号转化为信号的实函数,将所述实函数进行分解获得模态分解函数;将各所述模态分解函数进行变换获得解析信号,将所述解析信号进行转化,获得各所述模态分解函数的中心频率;根据高斯平滑处理各所述模态分解函数的中心频率,获得各所述模态分解函数的带宽和,根据所述带宽和生成变分约束模型;将预设的二次惩罚因子和预设的拉格朗日乘法算子引入所述变分约束模型,获得训练模型;获取所述训练模型的识别结果,在所述识别结果中识别准确率高于预设识别准确率时,将所述训练模型作为预设恶意代码分类器。
具体地,如图4所示,图4为第一种预设恶意代码分类器的训练方式示意图。本实施例中选择malimg恶意代码文件数据库,该数据库包含了25个恶意代码家族,共有9327个恶意代码文件,将该数据库中的每一个恶意代码文件,按每8位二进制作为一个无符号整数,转换为一个时间序列信号,再按n=4096进行下采样,再将下采样后的时间序列信号进行变分模态分解,按恶意代码二进制执行文件名生成对应恶意代码VMD谱数据。循环执行,最终生成malimg恶意代码VMD谱数据库;采用机器学习方法,训练恶意代码VMD谱数据库,将80%的数据作为训练集,20%的数据作为测试集,重复10次交叉验证,对恶意代码家族进行分类。采用随机森林,分类准确率为98.46%;采用极端随机树,分类准确率为98.59%。其中,采用极端随机树训练的恶意代码分类混淆矩阵如图5所示,图5为Malimg恶意代码分类混淆矩阵示意图,左边的纵列标明了恶意代码的真实类别名称索引(Index of True Classes),下方的纵列均标明了恶意代码的预测类别名称索引(Index of Predict Classes),如位列第一位的ADULTBROWSER(一种病毒种类名称),位列末位的ZHELATIN(一种病毒种类名称)等。矩阵中的数字代表真实类别与预测类别之间的相似度。
进一步地,基于本发明恶意代码可视化及变种检测方法第一实施例,提出了本发明的第五实施例。
在本实施例中是第一实施例中步骤S30之前的步骤,本实施例给出了另一种恶意代码分类器具体训练方式,包括:
将预设恶意代码文件数据库中的恶意代码样本进行变分模态分解,获得各所述恶意代码样本对应的变分模态分解谱;
从各所述变分模态分解谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成特征训练集与特征测试集;
通过所述特征训练集中的变分模态分解谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述特征测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
即,恶意代码可视化及变种检测设备将预设恶意代码文件数据库中的恶意代码样本进行变分模态分解,获得各所述恶意代码样本对应的变分模态分解谱;从各所述变分模态分解谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成特征训练集与特征测试集;通过所述特征训练集中的变分模态分解谱对初始分类算法进行迭代训练,获得恶意代码分类器;通过所述特征测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
如图6所示,图6为另一种恶意代码分类器的训练方式示意图。恶意代码可视化及变种检测设备选择malheur恶意代码文件数据库,该数据库包含了24个恶意代码家族,共有3131个恶意代码文件;将该数据库中的每一个恶意代码文件,按每8位二进制作为一个无符号整数,转换为一个时间序列信号,再按n=4096进行下采样,再将下采样后的时间序列信号进行变分模态分解(VMD),按恶意代码二进制执行文件名生成对应恶意代码VMD谱数据。再对恶意代码VMD谱,提取对数梅尔滤波器组能量(log Mel-filterbank energy)时间序列特征。循环执行,最终生成malheur恶意代码VMD谱及特征数据库。
需要说明的是,若装置是通过预设恶意代码分类器训练方式得到恶意代码分类器,则在对当前需要检测的恶意代码进行变种检测时,需要获取到其对应的变分模态分解变换谱,并从变分模态分解变换谱中提取出时间序列特征,才可通过该恶意代码分类器对恶意代码进行变种检测。如图7所示,图7为Malheur恶意代码分类混淆矩阵示意图。左边的纵列标明了恶意代码的真实类别名称索引(Index of True Classes),下采用机器学习方法,训练恶意代码VMD谱及特征数据库,将80%的数据作为训练集,20%的数据作为测试集,重复10次交叉验证,对恶意代码家族进行分类。采用随机森林,分类准确率为98.79%;采用极端随机树,分类准确率为99.03%。其中,采用极端随机树训练的恶意代码分类混淆矩阵如图7所示。
在本实施例中,第二种是先提取恶意代码的变分模态分解变换谱的时间序列信号特征,再使用时间序列信号特征来进行机器学习训练。样本时间序列特征为在模型训练阶段中,从恶意代码样本所对应的变分模态分解变换谱中提取出的时间序列特征。特征训练集为采用预设恶意代码分类器训练方式时的训练集数据,特征测试集为采用预设恶意代码分类器训练方式时的测试集数据。第二预设分类算法为采用第二种训练方式进行分类器训练时所使用的分类算法,具体可为随机森林算法、极端随机数算法等,第二预设分类算法可与第一预设分类算法相同,也可不同。其中,时间序列信号特征优选为对数梅尔滤波器组能量。
进一步地,基于本发明恶意代码可视化及变种检测方法的上述实施例,提出本发明恶意代码可视化及变种检测方法的第六实施例。
本实施例是第一实施例中步骤S30的细化,本实施中给出了两种通过预设恶意代码分类器进行恶意代码可视化及变种检测的具体实现方式,
实现方式一为:
将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
在所述分类结果中的相似度值大于预设阈值时,则输出所述恶意代码的所属家族信息;
在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
恶意代码可视化及变种检测设备将恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;在所述分类结果中的相似度值大于预设阈值(预设阈值根据具有场景设置,例如,设置为70%)时,则输出所述恶意代码的所属家族信息;在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
实现方式二为:
从所述恶意代码对应的变分模态分解谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;
在所述分类结果中的相似度值大于预设阈值时,则输出所述恶意代码的所属家族信息;
在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
恶意代码可视化及变种检测设备从所述恶意代码对应的变分模态分解谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;在所述分类结果中的相似度值大于预设阈值(预设阈值根据具有场景设置,例如,设置为70%)时,则输出所述恶意代码的所属家族信息;在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
在本实施例中待测时间序列特征为利用已训练的分类器对待测恶意代码进行变种检测时,从待检测的恶意代码所对应的变分模态分解变换谱中提取出的时间序列特征。若当前所使用的分类器是采用第一种训练方式训练所得,则将当前所要检测的恶意代码所对应的变分模态分解变换谱作为预先已训练好的用于恶意代码同源性分析的恶意代码分类器的输入;若当前所使用的分类器是采用第二种训练方式训练所得,则先对当前所要检测的恶意代码所对应的变分模态分解变换谱进行时间序列特征提取,再将提取出的待测时间序列特征作为预先已训练好的用于恶意代码同源性分析的恶意代码分类器的输入。分类器即可对其进行变种检测,判断当前所要检测的恶意代码是否为已有恶意代码的变种。若装置判定当前所要检测的恶意代码为已有恶意代码的变种,则获取与当前恶意代码同源的已有恶意代码的所属家族信息,以便用户获知当前所检测的恶意代码为已有恶意代码的变种;若装置判定当前所要检测的恶意代码并非已有恶意代码的变种,也即是当前的恶意代码不与任何一种已知的恶意代码同源,则将该恶意代码列为新的一种恶意代码家族,同时可输出为查询到同源信息的相关提示信息,以便用户获知该恶意代码不与已有恶意代码同源,是一种新型恶意代码。
在本实施例中通过将恶意代码转换为一维整数数组,并对其进行下采样得到一维时间序列信号并输出,可以有效的将恶意代码可视为一维的时间序列信号,对恶意代码的变种能够产生更抗混淆性和抗干扰性的谱特征,能够按照恶意代码家族进行划分,并发现新的家族,对数据集具有更好的适应性和健壮性,从而有效提高恶意代码可视化及变种检测效率,也可以通过家族划分来追溯恶意代码来源,达到恶意代码同源性判定的作用。
在本实施例中,进一步通过设置两种分类器的训练方式,预先对一定数量的训练数据集与测试数据集进行机器学习训练,使得能够采用已训练的分类器对待检测的恶意代码进行快速准确的变种检测,提升了变种检测的效率。
本发明还提供一种恶意代码可视化及变种检测装置。
获取转化模块,用于获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
变化谱生成模块,用于将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示;
检测确定模块,用于将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。
在一实施例中,所述获取转化模块,包括:
获取转换单元,用于获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
采用获取单元,用于将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号。
在一实施例中,所述变化谱生成模块,包括:
分解单元,用于将所述一维时间序列信号分解形成预设数量的模态分解函数;
射出单元,用于将所述模态分解函数进行组合所堆叠形成一维向量,处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。
在一实施例中,所述的恶意代码可视化及变种检测装置,包括:
样本转化模块,用于从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本转换为一维时间序列信号;
函数分解模块,用于将所述一维时间序列信号转化为信号的实函数,将所述实函数进行分解获得模态分解函数;
信号变化模块,用于将各所述模态分解函数进行变换获得解析信号,将所述解析信号进行转化,获得各所述模态分解函数的中心频率;
模型生成模块,用于根据高斯平滑处理各所述模态分解函数的中心频率,获得各所述模态分解函数的带宽和,根据所述带宽和生成变分约束模型;
模型训练模块,用于将预设的二次惩罚因子和预设的拉格朗日乘法算子引入所述变分约束模型,获得训练模型;
模型生成模块,用于获取所述训练模型的识别结果,在所述识别结果中识别准确率高于预设识别准确率时,将所述训练模型作为预设恶意代码分类器。
在一实施例中,所述检测确定模块,包括:
输入检测单元,用于将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
第一输出单元,用于在所述分类结果中的相似度值大于预设阈值时,则输出所述恶意代码的所属家族信息;
第二检测单元,用于在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
在一实施例中,所述的恶意代码可视化及变种检测装置,包括:
变分模态分解模块,用于将预设恶意代码文件数据库中的恶意代码样本进行变分模态分解,获得各所述恶意代码样本对应的变分模态分解谱;
特征提取模块,用于从各所述变分模态分解谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成特征训练集与特征测试集;
迭代训练模块,用于通过所述特征训练集中的变分模态分解谱对初始分类算法进行迭代训练,获得恶意代码分类器;
分类器生成模块,用于通过所述特征测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
在一实施例中,所述检测确定模块30,包括:
提取输入单元,用于从所述恶意代码对应的变分模态分解谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;
第一输出单元,用于在所述分类结果中的相似度值大于预设阈值时,则输出所述恶意代码的所属家族信息;
第二输出单元,用于在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
本发明实施例中通过将恶意代码转化为一维时间序列信号,以便获取恶意代码的时间序列信号特征,将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示;通过输出恶意代码所对应的变分模态分解谱,便于直观感知各个变种的共同之处和细微差异,将恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得恶意代码所属的家族信息,使得恶意代码家族分类更加快速准确;与此同时,本发明实施例中的技术方法降低了恶意代码分析人员的专业技术要求,减少了人力资源浪费。
其中,所述恶意代码可视化及变种检测装置被执行时所实现的方法可参照本发明恶意代码可视化及变种检测方法的各个实施例,此处不再赘述。
本发明还提供一种存储介质。
本发明存储介质上存储有恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被处理器执行时实现如上所述的恶意代码可视化及变种检测方法的步骤。
其中,所述恶意代码可视化及变种检测程序被执行时所实现的方法可参照本发明恶意代码可视化及变种检测方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台恶意代码可视化及变种检测设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种恶意代码可视化及变种检测方法,其特征在于,所述恶意代码可视化及变种检测方法包括:
获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示;
将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。
2.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号的步骤,包括:
获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号。
3.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示的步骤,包括:
将所述一维时间序列信号分解形成预设数量的模态分解函数;
将所述模态分解函数进行组合所堆叠形成一维向量,处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。
4.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本转换为一维时间序列信号;
将所述一维时间序列信号转化为信号的实函数,将所述实函数进行分解获得模态分解函数;
将各所述模态分解函数进行变换获得解析信号,将所述解析信号进行转化,获得各所述模态分解函数的中心频率;
根据高斯平滑处理各所述模态分解函数的中心频率,获得各所述模态分解函数的带宽和,根据所述带宽和生成变分约束模型;
将预设的二次惩罚因子和预设的拉格朗日乘法算子引入所述变分约束模型,获得训练模型;
获取所述训练模型的识别结果,在所述识别结果中识别准确率高于预设识别准确率时,将所述训练模型作为预设恶意代码分类器。
5.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
在所述分类结果中的相似度值大于预设阈值时,则输出所述恶意代码的所属家族信息;
在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
6.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
将预设恶意代码文件数据库中的恶意代码样本进行变分模态分解,获得各所述恶意代码样本对应的变分模态分解谱;
从各所述变分模态分解谱中提取样本时间序列特征,将各所述样本时间序列特征划分形成特征训练集与特征测试集;
通过所述特征训练集中的变分模态分解谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述特征测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
7.如权利要求1至6任意一项所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
从所述恶意代码对应的变分模态分解谱中提取的待测时间序列特征,将所述待测时间序列特征输入预设恶意代码分类器,获取分类结果;
在所述分类结果中的相似度值大于预设阈值时,则输出所述恶意代码的所属家族信息;
在所述分类结果中的相似度值小于或等于预设阈值时,则判定所述恶意代码列为新型恶意代码家族输出提示信息。
8.一种恶意代码可视化及变种检测装置,其特征在于,所述恶意代码可视化及变种检测装置包括:
获取转化模块,用于获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
变化谱生成模块,用于将所述一维时间序列信号进行变分模态分解,获得所述恶意代码对应的变分模态分解谱并输出显示;
检测确定模块,用于将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。
9.一种恶意代码可视化及变种检测设备,其特征在于,所述恶意代码可视化及变种检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的恶意代码可视化及变种检测方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有恶意代码可视化及变种检测程序,所述恶意代码可视化及变种检测程序被处理器执行时实现如权利要求1至7中任一项所述的恶意代码可视化及变种检测方法的步骤。
CN202010598414.4A 2020-06-28 2020-06-28 恶意代码可视化及变种检测方法、装置、设备及存储介质 Active CN111797396B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010598414.4A CN111797396B (zh) 2020-06-28 2020-06-28 恶意代码可视化及变种检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010598414.4A CN111797396B (zh) 2020-06-28 2020-06-28 恶意代码可视化及变种检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111797396A true CN111797396A (zh) 2020-10-20
CN111797396B CN111797396B (zh) 2023-08-29

Family

ID=72804658

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010598414.4A Active CN111797396B (zh) 2020-06-28 2020-06-28 恶意代码可视化及变种检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN111797396B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113065133A (zh) * 2021-04-06 2021-07-02 中山大学 一种基于奇异谱变换的恶意软件检测方法
CN113282925A (zh) * 2021-03-30 2021-08-20 深圳融安网络科技有限公司 恶意文件检测方法、装置、终端设备以及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120073018A (ko) * 2010-12-24 2012-07-04 한국인터넷진흥원 악성 코드 탐지를 위한 시스템 및 방법
CN107392019A (zh) * 2017-07-05 2017-11-24 北京金睛云华科技有限公司 一种恶意代码家族的训练和检测方法及装置
CN110111015A (zh) * 2019-05-13 2019-08-09 中南大学 一种基于变分模态分解多尺度排列熵的电能质量分析方法
US20190332900A1 (en) * 2018-04-30 2019-10-31 Elekta Ab Modality-agnostic method for medical image representation
WO2019216502A1 (ko) * 2018-05-09 2019-11-14 국방과학연구소 악성코드 데이터를 분류하는 장치 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120073018A (ko) * 2010-12-24 2012-07-04 한국인터넷진흥원 악성 코드 탐지를 위한 시스템 및 방법
CN107392019A (zh) * 2017-07-05 2017-11-24 北京金睛云华科技有限公司 一种恶意代码家族的训练和检测方法及装置
US20190332900A1 (en) * 2018-04-30 2019-10-31 Elekta Ab Modality-agnostic method for medical image representation
WO2019216502A1 (ko) * 2018-05-09 2019-11-14 국방과학연구소 악성코드 데이터를 분류하는 장치 및 방법
CN110111015A (zh) * 2019-05-13 2019-08-09 中南大学 一种基于变分模态分解多尺度排列熵的电能质量分析方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113282925A (zh) * 2021-03-30 2021-08-20 深圳融安网络科技有限公司 恶意文件检测方法、装置、终端设备以及存储介质
CN113282925B (zh) * 2021-03-30 2023-09-05 深圳融安网络科技有限公司 恶意文件检测方法、装置、终端设备以及存储介质
CN113065133A (zh) * 2021-04-06 2021-07-02 中山大学 一种基于奇异谱变换的恶意软件检测方法

Also Published As

Publication number Publication date
CN111797396B (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
US11373423B2 (en) Automated classification and interpretation of life science documents
CN101604363B (zh) 基于文件指令频度的计算机恶意程序分类系统及分类方法
US9092229B2 (en) Software analysis system and method of use
CN110348486A (zh) 基于采样与特征简约的非平衡数据集转换方法及系统
JP2011243148A (ja) 情報処理装置、情報処理方法及びプログラム
CN111797396B (zh) 恶意代码可视化及变种检测方法、装置、设备及存储介质
US11574491B2 (en) Automated classification and interpretation of life science documents
CN111797395B (zh) 恶意代码可视化及变种检测方法、装置、设备及存储介质
CN111626346A (zh) 数据分类方法、设备、存储介质及装置
CN107256378A (zh) 语种识别方法及装置
Karampidis et al. Comparison of classification algorithms for file type detection a digital forensics perspective
CN116912597A (zh) 知识产权智能管理系统及其方法
JP2005151127A5 (zh)
CN113159211B (zh) 用于相似图像检索的方法、计算设备和计算机存储介质
CN110717407A (zh) 基于唇语密码的人脸识别方法、装置及存储介质
CN113935032A (zh) 一种恶意代码的同源分析方法、装置及可读存储介质
Ertam et al. Pattern lock screen detection method based on lightweight deep feature extraction
CN111797397B (zh) 恶意代码可视化及变种检测方法、设备及存储介质
CN111552783A (zh) 内容分析查询方法、装置、设备和计算机存储介质
CN108491718B (zh) 一种实现信息分类的方法及装置
CN111581640A (zh) 一种恶意软件检测方法、装置及设备、存储介质
CN113343699B (zh) 日志安全风险的监测方法、装置、电子设备及介质
CN111797398B (zh) 恶意代码可视化及变种检测方法、系统、设备及存储介质
CN111382247B (zh) 一种内容推送优化方法、内容推送优化装置及电子设备
CN111797399A (zh) 恶意代码可视化及变种检测方法、系统、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant