CN112100619B - 一种恶意文件检测方法、系统、设备及计算机存储介质 - Google Patents

一种恶意文件检测方法、系统、设备及计算机存储介质 Download PDF

Info

Publication number
CN112100619B
CN112100619B CN201910528125.4A CN201910528125A CN112100619B CN 112100619 B CN112100619 B CN 112100619B CN 201910528125 A CN201910528125 A CN 201910528125A CN 112100619 B CN112100619 B CN 112100619B
Authority
CN
China
Prior art keywords
information
file
vector
network architecture
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910528125.4A
Other languages
English (en)
Other versions
CN112100619A (zh
Inventor
刘彦南
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201910528125.4A priority Critical patent/CN112100619B/zh
Publication of CN112100619A publication Critical patent/CN112100619A/zh
Application granted granted Critical
Publication of CN112100619B publication Critical patent/CN112100619B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种恶意文件检测方法、系统、设备及计算机存储介质,获取目标文件及目标文件所处网络架构的信息;获取目标文件在网络架构中的预设数量的本地信息;基于本地信息确定目标文件在网络架构中的扩散规律,并基于扩散规律判断目标文件是否为恶意文件。本申请提供的恶意文件检测方法,获取目标文件在网络架构中的本地信息,基于目标文件在网络架构中的本地信息来判断目标文件是否为恶意文件,由于目标文件在网络架构中的本地信息不可改变和隐藏,所以可以提高对目标文件的检测准确率。本申请提供的一种恶意文件检测系统、设备及计算机可读存储介质也解决了相应技术问题。

Description

一种恶意文件检测方法、系统、设备及计算机存储介质
技术领域
本申请涉及信息安全技术领域,更具体地说,涉及一种恶意文件检测方法、系统、设备及计算机存储介质。
背景技术
恶意文件指的是攻击设备并且造成设备出现性能问题的文件,恶意文件的使用会导致计算机、服务器等设备出现安全问题。为了避免设备出现安全问题,在设备的使用过程中需要对恶意文件进行检测。
现有的一种恶意文件检测方法是提取目标文件的静态特征或者动态特征,基于目标文件的静态特征或者动态特征来判断目标文件是否为恶意文件。本申请所涉及的静态特征包括文件本身的二进制信息,比如导入导出函数、指令序列等,所涉及的动态特征指的是文件在某一设备上运行时的行为信息,比如API(Application Programming Interface,应用程序编程接口)调用、注册表修改等。
然而,现有的一种恶意文件检测方法中,目标文件的静态特征或者动态特征具有局限性和不完整性,可能使得目标文件的检测结果不准确。
综上所述,如何提高恶意文件检测方法的检测准确性是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种恶意文件检测方法,其能在一定程度上解决如何提高恶意文件检测方法的检测准确性的技术问题。本申请还提供了一种恶意文件检测系统、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种恶意文件检测方法,包括:
获取目标文件及所述目标文件所处网络架构的信息;
获取所述目标文件在所述网络架构中的本地信息;
基于所述本地信息确定所述目标文件在所述网络架构中的扩散规律,并基于所述扩散规律判断所述目标文件是否为恶意文件。
优选的,所述本地信息包括表示所述目标文件在所述网络架构中创建时刻的时间信息,和/或表示所述目标文件在所述网络结构中所处位置的空间信息。
优选的,所述基于所述本地信息确定所述目标文件在所述网络架构中的扩散规律,并基于所述扩散规律判断所述目标文件是否为恶意文件,包括:
将所述本地信息转换为向量信息;
输入所述向量信息至预先训练的恶意文件分类器,并获取所述恶意文件分类器对所述向量信息的分类结果;
基于所述分类结果判断所述目标文件是否为恶意文件。
优选的,所述将所述本地信息转换为向量信息,包括:
分别对所述时间信息和/或所述空间信息进行排序,得到相应的时间信息序列和/或空间信息序列;
将所述时间信息序列和/或所述空间信息序列分别转换为时间向量和/或空间向量,并将所述时间向量和/或所述空间向量作为所述向量信息。
优选的,所述分别对所述时间信息和/或所述空间信息进行排序,得到相应的时间信息序列和/或空间信息序列,包括:
按照时间顺序分别对所述时间信息和/或所述空间信息进行排序,得到相应的时间信息序列和/或空间信息序列。
优选的,所述将所述时间信息序列和/或所述空间信息序列分别转换为时间向量和/或空间向量,并将所述时间向量和/或所述空间向量作为所述向量信息,包括:
通过频域分析法将所述时间信息序列转换成相应的频域信息,并在所述频域信息中,选取预设频率对应的幅值作为所述时间信息序列的时间向量;
和/或,按照预设的元素值与数值间的转换关系,将所述空间信息序列中的每个元素转换成相应的数值,并将所述空间信息序列对应的数值构建为所述空间信息序列的空间向量;
将所述时间向量和/或所述空间向量作为所述向量信息。
优选的,所述将所述时间信息序列和/或所述空间信息序列分别转换为时间向量和/或空间向量,并将所述时间向量和/或所述空间向量作为所述向量信息,包括:
通过小波变换法将所述时间信息序列转换为相应的时间向量;
和/或,通过所述小波变换法将所述空间信息序列转换为相应的空间向量;
将所述时间向量和/或所述空间向量作为所述向量信息。
优选的,所述输入所述向量信息至预先训练的恶意文件分类器,包括:
通过分类算法对所述时间向量进行分类,得到时间分类结果;
和/或,通过序列分类器对所述空间向量进行分类,得到空间分类结果;
输入所述时间分类结果和/或所述空间分类结果至所述恶意文件分类器。
优选的,所述分类算法的类型包括SVM算法和/或随机森林算法中的一种或两种。
优选的,所述序列分类器的类型包括LSTM分类器和/或RNN分类器中的一种或两种。
优选的,基于所述本地信息确定所述目标文件在所述网络架构中的扩散规律,并基于所述扩散规律判断所述目标文件是否为恶意文件,包括:
计算所述目标文件的所述本地信息与恶意文件的本地信息间的相关性系数;
基于所述相关性系数判断所述目标文件是否为恶意文件。
优选的,所述获取所述目标文件在所述网络架构中的本地信息,包括:
在所述网络架构中确定出携带有所述目标文件的目标设备;
获取所述目标文件在各个所述目标设备上的创建时间;和/或,获取各个所述目标设备的标识信息及所述目标设备在所述网络架构的拓扑空间中的层级信息;
将所述空间信息设置为至少包含各个所述目标设备的标识信息,及所述目标设备在所述网络架构的拓扑空间中的层级信息中的一种或两种;
将所述时间信息设置为至少包含所述创建时间。
一种恶意文件检测系统,包括:
第一获取模块,用于获取目标文件及所述目标文件所处网络架构的信息;
第二获取模块,用于获取所述目标文件在所述网络架构中的本地信息;
第一判断模块,用于基于所述本地信息确定所述目标文件在所述网络架构中的扩散规律,并基于所述扩散规律判断所述目标文件是否为恶意文件。
一种恶意文件检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述恶意文件检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述恶意文件检测方法的步骤。
本申请提供的一种恶意文件检测方法,获取目标文件及目标文件所处网络架构的信息;获取目标文件在网络架构中的本地信息;基于本地信息确定目标文件在网络架构中的扩散规律,并基于扩散规律判断目标文件是否为恶意文件。本申请提供的一种恶意文件检测方法,获取目标文件在网络架构中的本地信息,由于目标文件在网络架构中的本地信息能够表明目标文件在网络架构中的扩散方式,而该扩散方式可以表明目标文件是否为恶意文件,所以可以基于目标文件在网络架构中的本地信息来判断目标文件是否为恶意文件,而且目标文件在网络架构中的本地信息不可改变和隐藏,所以可以提高对目标文件的检测准确率。本申请提供的一种恶意文件检测系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种恶意文件检测方法的第一流程图;
图2为实际应用中一种网络架构的结构示意图;
图3为本申请实施例提供的一种恶意文件检测方法的第二流程图;
图4为本申请实施例提供的一种恶意文件检测系统的结构示意图;
图5为本申请实施例提供的一种恶意文件检测设备的结构示意图;
图6为本申请实施例提供的一种恶意文件检测设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,图1为本申请实施例提供的一种恶意文件检测方法的第一流程图。
本申请实施例提供的一种恶意文件检测方法,可以包括以下步骤:
步骤S101:获取目标文件及目标文件所处网络架构的信息。
实际应用中,可以先获取目标文件及目标文件所处网络架构的信息,目标文件及目标文件所处网络架构的信息可以根据实际应用场景确定。比如目标文件可以为软件安装程序中的可执行文件等,目标文件所处网络架构可以为用户设备所在的局域网、内网、外网等。
步骤S102:获取目标文件在网络架构中的本地信息。
实际应用中,在获取目标文件及目标文件所处网络架构的信息后,便可以获取目标文件在网络架构中的本地信息,本地信息的数量为预设数量,预设数量可以根据实际需要灵活确定。本地信息指的是描述目标文件在网络架构中的相应存储信息的信息,本地信息一般包括表示目标文件在网络架构中创建时刻的时间信息和/或表示目标文件在网络架构中所处位置的空间信息,所以在获取目标文件在网络架构中的本地信息时,需获取目标文件在网络架构中的创建时刻和/或所处位置。应当指出,目标文件的创建时刻与所处位置间存在关联,比如目标文件在网络架构中的出现时刻为2018年12月15日,而由网络架构中的用户设备1在该时刻创建目标文件,则目标文件的时间信息为2018年12月15日,该时间信息对应的空间信息为用户设备1。应当指出,空间信息的类型可以根据实际需要确定。
具体应用场景中,当本申请提供的恶意文件检测方法应用于网络架构中的云端服务器时,可以由云端服务器收集目标文件在网络架构中的本地信息,比如云端服务器可以发送本地信息获取指令至网络架构中的各个设备,接收网络架构中的各个设备响应本地信息获取指令后传输的本地信息。而当本申请提供的恶意文件检测方法应用于网络架构中的用户设备时,用户设备可以通过云端服务器来收集目标文件在网络架构中的本地信息,也可以由用户设备直接与其他设备进行交互来获取目标文件的本地信息,本申请在此不做具体限定。应当指出,在获取目标文件在网络架构中的本地信息时,如果已有历史本地信息,则可以直接将历史本地信息作为获取的本地信息,此时,在应用本申请提供的恶意文件检测方法时,可以不借助于设备即可完成对目标文件的安全判定。
具体应用场景中,为了保证目标文件在网络架构中的本地信息的实时性,在获取目标文件在网络架构中的本地信息时,可以在网络架构中确定出携带有目标文件的目标设备;获取目标文件在各个目标设备上的创建时间,和/或,获取各个目标设备的标识信息及目标设备在网络架构的拓扑空间中的层级信息;将各个目标设备的标识信息,及目标设备在网络架构的拓扑空间中的层级信息作为空间信息;将创建时间作为时间信息。应当指出,在应用本申请提供的方法对目标文件进行安全性检测时,为了保证检测准确性,在一次检测过程中,可以只对一个文件进行检测,相应的,本申请在获取目标文件在网络结构中的本地信息时,获取的本地信息可以是同一个目标文件在网络架构的不同目标设备上的本地信息;此外,本申请所涉及的同一个目标文件指的是包含同一目标文件的所有实例;再者,空间信息和时间信息的类型还可以根据实际需要灵活确定,比如空间信息还可以包括通信权限等。
步骤S103:基于本地信息确定目标文件在网络架构中的扩散规律,并基于扩散规律判断目标文件是否为恶意文件。
实际应用中,恶意文件在网络架构中扩散时,其在网络架构中的本地信息,比如时间信息和/或空间信息会存在一定规律性,比如恶意文件在网络架构中不同设备上的时间信息具有间隔长、稳步增长等特点,恶意文件在网络架构中不同设备上的空间信息具有从外层网络逐步扩散到内层网络等特点,所以可以基于本地信息在确定目标文件在网络架构中的扩散规律,并基于扩散规律判断目标文件是否为恶意文件。具体应用场景中,基于本地信息判断目标文件是否为恶意文件时,可以计算目标文件的本地信息与恶意文件的本地信息间的相关性系数;基于相关性系数判断目标文件是否为恶意文件。
具体应用场景中,在基于本地信息判定目标文件为恶意文件之后,为了进一步提高对目标文件的判定准确率,还可以提取目标文件的静态特征或者动态特征,基于提取的静态特征或者动态特征对目标文件再次进行检测,得到最终的检测结果。也即本申请提供的恶意文件检测方法可以与基于静态特征或者动态特征的检测方法进行互补,配合使用,配合的方式可以根据实际需要灵活确定,比如可以同时运行本申请提供的恶意文件检测方法和基于静态特征或静态特征进行检测的方法,然后根据所有的检测结果综合判定目标文件是否为恶意文件,比如将所有的检测结果进行加权平均,得到最终的检测结果,再根据最终的检测结果决定目标文件是否为恶意文件等;也可以先运行本申请提供的恶意文件检测方法,然后再运行上述基于静态特征或动态特征的检测方法;也可以是先进行基于静态特征或动态特征的检测方法,然后再运行本申请提供的恶意文件检测方法等;也即本申请利用来自同一文件的所有实例的信息进行检测,捕捉文件在其整个生命周期中于各个物理机器上存在的状态,从宏观角度检视同一文件在不同物理设备上的行为,可以与传统的基于单一文件实例的静态检测或动态检测方法形成了互补,进而提升对恶意文件的检测能力。
请参阅图2,图2为实际应用中一种网络架构的结构示意图。在图2中,该网络架构包括外网、第一层内网、第二层内网,不同文件在该网络架构中的分布情况请查看图2,由图2可知,文件ID为1的文件在该网络架构中的空间信息包括位于第一层内网中的设备1和位于第二层内网中的设备4,由此可知文件ID为1的文件在该网络架构中存在跨网络层扩散情况,其可能为恶意文件;而文件ID为2的文件在该网络架构中的空间信息包括位于外网的设备5、位于第一层内网的设备2和位于第二层内网的设备3,文件ID为1的文件在该网络架构中存在跨网络层扩散情况,且跨网络层的层数比文件ID为1的文件多,那么理论分析上,文件ID为2的文件为恶意文件的概率要比文件ID为1的文件大。结合图2可知,可以根据文件在网络架构中的空间信息来判断文件是否为恶意文件,也即可以只根据文件在网络架构中的空间信息来判断文件是否为恶意文件;应当指出,还可以只根据文件在网络架构中的时间信息来判断文件是否为恶意文件,以图2中文件ID为2的文件为例,假设文件ID为2的文件位于外网中的设备5时的时间信息为2018年5月6日,位于第一层内网中的设备2时的时间信息为2018年5月7日,位于第二层内网中的设备3时的时间信息为2018年5月8日,单从时间信息来看,其具有间隔时间长、稳步增长的特点,所以理论分析上,文件ID为2的文件为恶意文件的可能性较大,所以也可以只根据文件在目标网络中的时间信息来判断文件是否为恶意文件;此外,实际应用场景中,为了提高对目标文件是否为恶意文件的判断准确率,可以结合时间信息和空间信息综合对目标文件进行判定。
本申请提供的一种恶意文件检测方法,获取目标文件及目标文件所处网络架构的信息;获取目标文件在网络架构中的本地信息;基于本地信息确定目标文件在网络架构中的扩散规律,并基于扩散规律判断目标文件是否为恶意文件。本申请提供的一种恶意文件检测方法,获取目标文件在网络架构中的本地信息,由于目标文件在网络架构中的本地信息能够表明目标文件在网络架构中的扩散方式,而该扩散方式可以表明目标文件是否为恶意文件,所以可以基于目标文件在网络架构中的本地信息来判断目标文件是否为恶意文件,而且目标文件在网络架构中的本地信息不可改变和隐藏,所以可以提高对目标文件的检测准确率。
请参阅图3,图3为本申请实施例提供的一种恶意文件检测方法的第二流程图。
本申请实施例提供的一种恶意文件检测方法可以包括以下步骤:
步骤S201:获取目标文件及目标文件所处网络架构的信息。
步骤S202:获取目标文件在网络架构中的预设数量的本地信息,本地信息包括表示目标文件在网络架构中出现时刻的时间信息,及表示目标文件在网络架构中所处位置的空间信息。
步骤S203:将本地信息转换为向量信息。
实际应用中,恶意文件在网络架构中的本地信息所呈现出的规律可能难以准确定义,此时可以借助训练好的恶意文件分类器来自动对目标文件进行判定,本申请所涉及的恶意文件分类器指的是,采用机器学习分类算法来基于目标文件的本地信息对目标文件进行判定的分类器,机器学习分类算法可以为支持向量机(Support Vector Machine,SVM)算法、随机森林算法、长短时记忆机(Long Short-Term Memory,LSTM)算法、回归神经网络算法等。在此过程中,为了便于恶意文件分类器对本地信息进行处理,可以先将本地信息转换为向量信息。
具体应用场景中,在将本地信息转换为向量信息时,可以分别对时间信息和/或空间信息进行排序,得到相应的时间信息序列和/或空间信息序列;将时间信息序列和/或空间信息序列分别转换为时间向量和/或空间向量,并将时间向量和/或空间向量作为向量信息。具体的,目标文件在网络架构中以实例形式出现后,目标文件在网络架构中的时间信息和空间信息便确定了,也即本地信息中的时间信息和空间信息间存在对应性,时间信息和空间信息是从两个方面描述目标文件在网络架构中的本地信息,比如目标文件的本地信息存在一个时间信息,那么一定存在一个该时间信息对应的空间信息,所以为了便于对时间信息和空间信息进行排序,可以按照时间顺序对时间信息和/或空间信息进行排序,此时,空间信息的排序结果与时间信息的排序结果所代表的本地信息的排序结果相同;应当指出,还可以根据目标文件在网络架构中的位置信息,按照先网络外围后网络内部的顺序对时间信息和空间信息进行排序等。
具体的,将时间信息序列和/或空间信息序列转换为向量信息时,可以通过频域分析法将时间信息序列转换成相应的频域信息,并在频域信息中,选取预设频率对应的幅值作为时间信息序列的时间向量;/或按照预设的元素值与数值间的转换关系,将空间信息序列中的每个元素转换成相应的数值,并将空间信息序列对应的数值构建为空间信息序列的空间向量;将时间向量和/或空间向量作为向量信息。比如可以通过傅里叶变化、Z变化等将时间信息序列转换成相应的频域信息,并选取频域信息中0.1Hz、1Hz、10Hz三个频率对应的幅值作为三维的时间向量;以空间信息包括设备ID以及设备在网络架构中的层级信息为例,可以将设备ID以及层级信息转换成相应的数值,再将这两个数值构建为二维的空间向量。
应当指出,空间信息中的设备ID和层级信息可以配合使用来给出目标文件在网络架构中的数量信息,仍以图2所示的网络架构为例,文件ID为1的文件在该网络架构中的空间信息包括位于第一层内网中的设备1和位于第二层内网中的设备4,也即该网络架构中存在两个文件ID为1的文件;文件ID为2的文件在该网络架构中的空间信息包括位于外网的设备5、位于第一层内网的设备2和位于第二层内网的设备3,也即该网络架构中存在三个文件ID为2的文件,假设在第一内网中还有个设备6,其上也有文件ID为2的文件实例,则该网络架构中存在四个文件ID为2的文件,如果空间信息仅包括层级信息,那么该网络架构中只存在3个文件ID为2的文件,因此空间信息中的设备ID和层级信息可以配合使用来给出目标文件在网络架构中的数量信息,便于本申请结合目标文件的数量信息进一步加强对目标文件是否为恶意文件的判定的准确率。
此外,在目标文件所处的网络架构中存在多个目标文件时,每个目标文件在网络架构中的空间信息均满足空间信息的定义,仍以图2中所示的网络架构、并且空间信息包括设备ID和层级信息为例,文件ID为1的文件在该网络架构中的空间信息包括位于第一层内网中的设备1和位于第二层内网中的设备4,那么文件ID为1的文件在该网络架构中的空间信息有两个,以向量形式表示的话,第一个空间信息为(设备1,第一层内网),第二个空间信息为(设备4,第二层内网),那么在按照预设的元素值与数值间的转换关系,将空间信息序列中的每个元素转换成相应的数值,并将空间信息序列对应的数值构建为空间信息序列的空间向量时,假设设备1对应的数值为1,设备4对应的数值为4,第一层内网对应的数值为1,第二层内网对应的数值为2,并且空间向量的格式定义为(设备信息,层级信息),则第一个空间信息对应的空间向量为(1,1),第二个空间信息对应的空间向量为(4,2),相应的,可以将(1,1)和(4,2)用同一个向量来表示,进而得到文件ID为1的文件在该网络架构中的空间信息,比如文件ID为1的文件在该网络架构中的空间信息可以为(1,1;4,2)等;也即网络架构中存在多个目标文件时,每个目标文件在网络架构中的空间向量可以按照空间向量的定义给出,所有的目标文件的空间向量联合起来便得到该目标文件在该网络架构中的空间向量。
具体的,为了提高将本地信息转换为向量信息的效率,将时间信息序列和/或空间信息序列转换为向量信息时,可以通过小波变换法将时间信息序列转换为相应的时间向量;和/或,通过小波变换法将空间信息序列转换为相应的空间向量;将时间向量和/或空间向量作为向量信息。
步骤S204:输入向量信息至预先训练的恶意文件分类器,并获取恶意文件分类器对向量信息的分类结果。
实际应用中,在将本地信息转换为向量信息后,便可以输入向量信息至预先训练的恶意文件分类器,之后获取恶意文件分类器对向量信息的分类结果。恶意文件分类器的训练方式及训练完成判定条件可以根据实际应用场景确定,本申请在此不做具体限定。
具体应用场景中,为了进一步提高恶意文件分类器对向量信息的分类效率,在输入向量信息至预先训练的恶意文件分类器时,可以通过分类算法对时间向量进行分类,得到时间分类结果;和/或,通过序列分类器对空间向量进行分类,得到空间分类结果;输入时间分类结果和/或空间分类结果至恶意文件分类器。具体的,分类算法的类型包括但不限于SVM算法、随机森林算法;序列分类器的类型包括但不限于LSTM分类器、RNN(RecurrentNeural Network,循环神经网络)分类器。
步骤S205:基于分类结果判断目标文件是否为恶意文件。
本申请实施例中的相关描述请参阅上述实施例,本申请在此不做具体限定。
本申请还提供了一种恶意文件检测系统,其具有本申请实施例提供的一种恶意文件检测方法具有的对应效果。请参阅图4,图4为本申请实施例提供的一种恶意文件检测系统的结构示意图。
本申请实施例提供的一种恶意文件检测系统,可以包括:
第一获取模块101,用于获取目标文件及目标文件所处网络架构的信息;
第二获取模块102,用于获取目标文件在网络架构中的本地信息;
第一判断模块103,用于基于本地信息确定目标文件在网络架构中的扩散规律,并基于扩散规律判断目标文件是否为恶意文件。
本申请实施例提供的一种恶意文件检测系统中,本地信息可以包括表示目标文件在网络架构中创建时刻的时间信息,和/或表示目标文件在网络结构中位置的空间信息。
本申请实施例提供的一种恶意文件检测系统中,第一判断模块可以包括:
第一转换子模块,用于将本地信息转换为向量信息;
第一输入子模块,用于输入向量信息至预先训练的恶意文件分类器,并获取恶意文件分类器对向量信息的分类结果;
第一判断子模块,用于基于分类结果判断目标文件是否为恶意文件。
本申请实施例提供的一种恶意文件检测系统中,第一转换子模块可以包括:
第一排序子模块,用于分别对时间信息和/或空间信息进行排序,得到相应的时间信息序列和/或空间信息序列;
第二转换子模块,用于将时间信息序列和/或空间信息序列分别转换为时间向量和/或空间向量,并将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种恶意文件检测系统中,第一排序子模块可以包括:
第一排序单元,用于按照时间顺序分别对时间信息和/或空间信息进行排序,得到相应的时间信息序列和/或空间信息序列。
本申请实施例提供的一种恶意文件检测系统中,第二转换子模块可以包括:
第一转换单元,用于通过频域分析法将时间信息序列转换成相应的频域信息,并在频域信息中,选取预设频率对应的幅值作为时间信息序列的时间向量;
和/或,第二转换单元,用于按照预设的元素值与数值间的转换关系,将空间信息序列中的每个元素转换成相应的数值,并将空间信息序列对应的数值构建为空间信息序列的空间向量;
第一作为单元,用于将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种恶意文件检测系统中,第二转换子模块可以包括:
第三转换单元,用于通过小波变换法将时间信息序列转换为相应的时间向量;
和/或,第四转换单元,用于通过小波变换法将空间信息序列转换为相应的空间向量;
第二作为单元,用于将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种恶意文件检测系统中,第一输入子模块可以包括:
第一分类单元,用于通过分类算法对时间向量进行分类,得到时间分类结果;
和/或,第二分类单元,用于通过序列分类器对空间向量进行分类,得到空间分类结果;
第一输入单元,用于输入时间分类结果和/或空间分类结果至恶意文件分类器。
本申请实施例提供的一种恶意文件检测系统中,分类算法的类型可以包括SVM算法和/或随机森林算法中的一种或两种。
本申请实施例提供的一种恶意文件检测系统中,序列分类器的类型可以包括LSTM分类器和/或RNN分类器中的一种或两种。
本申请实施例提供的一种恶意文件检测系统中,第一判断模块可以包括:
第一计算单元,用于计算目标文件的本地信息与恶意文件的本地信息间的相关性系数;
第一判断单元,用于基于相关性系数判断目标文件是否为恶意文件。
本申请实施例提供的一种恶意文件检测系统中,第一获取模块可以包括:
第一确定单元,用于在网络架构中确定出携带有目标文件的目标设备;
第一获取单元,用于获取目标文件在各个目标设备上的创建时间,和/或,获取各个目标设备的标识信息及目标设备在网络架构的拓扑空间中的层级信息;
第三作为单元,用于将空间信息设置为至少包含各个目标设备的标识信息,及目标设备在网络架构的拓扑空间中的层级信息;
第四作为单元,用于将所述时间信息设置为至少包含创建时间。
本申请还提供了一种恶意文件检测设备及计算机可读存储介质,其均具有本申请实施例提供的一种恶意文件检测方法具有的对应效果。请参阅图5,图5为本申请实施例提供的一种恶意文件检测设备的结构示意图。
本申请实施例提供的一种恶意文件检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行存储器201中存储的计算机程序时实现如下步骤:
获取目标文件及目标文件所处网络架构的信息;
获取目标文件在网络架构中的本地信息;
基于本地信息确定目标文件在网络架构中的扩散规律,并基于扩散规律判断目标文件是否为恶意文件。
本申请实施例提供的一种恶意文件检测设备,本地信息可以包括表示目标文件在网络架构中创建时刻的时间信息,和/或表示目标文件在网络结构中所处位置的空间信息。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:将本地信息转换为向量信息;输入向量信息至预先训练的恶意文件分类器,并获取恶意文件分类器对向量信息的分类结果;基于分类结果判断目标文件是否为恶意文件。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:分别对时间信息和/或空间信息进行排序,得到相应的时间信息序列和/或空间信息序列;将时间信息序列和/或空间信息序列分别转换为时间向量和/或空间向量,并将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:按照时间顺序分别对时间信息和/或空间信息进行排序,得到相应的时间信息序列和/或空间信息序列。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:通过频域分析法将时间信息序列转换成相应的频域信息,并在频域信息中,选取预设频率对应的幅值作为时间信息序列的时间向量;和/或按照预设的元素值与数值间的转换关系,将空间信息序列中的每个元素转换成相应的数值,并将空间信息序列对应的数值构建为空间信息序列的空间向量;将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:通过小波变换法将时间信息序列转换为相应的时间向量;和/或通过小波变换法将空间信息序列转换为相应的空间向量;将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:通过分类算法对时间向量进行分类,得到时间分类结果;和/或通过序列分类器对空间向量进行分类,得到空间分类结果;输入时间分类结果和/或空间分类结果至恶意文件分类器。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:分类算法的类型包括SVM算法和/或随机森林算法中的一种或两种。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:序列分类器的类型包括LSTM分类器和/或RNN分类器中的一种或两种。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:计算目标文件的本地信息与恶意文件的本地信息间的相关性系数;基于相关性系数判断目标文件是否为恶意文件。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:在网络架构中确定出携带有目标文件的目标设备;获取目标文件在各个目标设备上的创建时间,和/或,获取各个目标设备的标识信息及目标设备在网络架构的拓扑空间中的层级信息;将空间信息设置为至少包含各个目标设备的标识信息,及目标设备在网络架构的拓扑空间中的层级信息;将时间信息设置为至少包含创建时间。
请参阅图6,本申请实施例提供的另一种恶意文件检测设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现恶意文件检测设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:
获取目标文件及目标文件所处网络架构的信息;
获取目标文件在网络架构中的本地信息;
基于本地信息确定目标文件在网络架构中的扩散规律,并基于扩散规律判断目标文件是否为恶意文件。
本申请实施例提供的一种计算机可读存储介质,本地信息可以包括表示目标文件在网络架构中创建时刻的时间信息,和/或表示目标文件在网络结构中所处位置的空间信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:将本地信息转换为向量信息;输入向量信息至预先训练的恶意文件分类器,并获取恶意文件分类器对向量信息的分类结果;基于分类结果判断目标文件是否为恶意文件。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:分别对时间信息和/或空间信息进行排序,得到相应的时间信息序列和/或空间信息序列;将时间信息序列和/或空间信息序列分别转换为时间向量和/或空间向量,并将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:按照时间顺序分别对时间信息和/或空间信息进行排序,得到相应的时间信息序列和/或空间信息序列。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:通过频域分析法将时间信息序列转换成相应的频域信息,并在频域信息中,选取预设频率对应的幅值作为时间信息序列的时间向量;和/或按照预设的元素值与数值间的转换关系,将空间信息序列中的每个元素转换成相应的数值,并将空间信息序列对应的数值构建为空间信息序列的空间向量;将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:通过小波变换法将时间信息序列转换为相应的时间向量;和/或通过小波变换法将空间信息序列转换为相应的空间向量;将时间向量和/或空间向量作为向量信息。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:通过分类算法对时间向量进行分类,得到时间分类结果;和/或通过序列分类器对空间向量进行分类,得到空间分类结果;输入时间分类结果和/或空间分类结果至恶意文件分类器。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:分类算法的类型包括SVM算法和/或随机森林算法中的一种或两种。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:序列分类器的类型包括LSTM分类器和/或RNN分类器中的一种或两种。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:计算目标文件的本地信息与恶意文件的本地信息间的相关性系数;基于相关性系数判断目标文件是否为恶意文件。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:在网络架构中确定出携带有目标文件的目标设备;获取目标文件在各个目标设备上的创建时间;将空间信息设置为至少包含各个目标设备的标识信息,及目标设备在网络架构的拓扑空间中的层级信息;将时间信息设置为至少包含创建时间。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的一种恶意文件检测系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的一种恶意文件检测方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (11)

1.一种恶意文件检测方法,其特征在于,包括:
获取目标文件及所述目标文件所处网络架构的信息;
获取所述目标文件在所述网络架构中的本地信息;
基于所述本地信息确定所述目标文件在所述网络架构中的扩散规律,并基于所述扩散规律判断所述目标文件是否为恶意文件;
其中,所述本地信息包括表示所述目标文件在所述网络架构中创建时刻的时间信息,和/或表示所述目标文件在所述网络架构中所处位置的空间信息;
其中,所述获取所述目标文件在所述网络架构中的本地信息,包括:
在所述网络架构中确定出携带有所述目标文件的目标设备;
获取所述目标文件在各个所述目标设备上的创建时间;和/或,获取各个所述目标设备的标识信息及所述目标设备在所述网络架构的拓扑空间中的层级信息;
将所述空间信息设置为至少包含各个所述目标设备的标识信息,及所述目标设备在所述网络架构的拓扑空间中的层级信息中的一种或两种;
将所述时间信息设置为至少包含所述创建时间。
2.根据权利要求1所述的方法,其特征在于,所述基于所述本地信息确定所述目标文件在所述网络架构中的扩散规律,并基于所述扩散规律判断所述目标文件是否为恶意文件,包括:
将所述本地信息转换为向量信息;
输入所述向量信息至预先训练的恶意文件分类器,并获取所述恶意文件分类器对所述向量信息的分类结果;
基于所述分类结果判断所述目标文件是否为恶意文件。
3.根据权利要求2所述的方法,其特征在于,所述将所述本地信息转换为向量信息,包括:
分别对所述时间信息和/或所述空间信息进行排序,得到相应的时间信息序列和/或空间信息序列;
将所述时间信息序列和/或所述空间信息序列分别转换为时间向量和/或空间向量,并将所述时间向量和/或所述空间向量作为所述向量信息。
4.根据权利要求3所述的方法,其特征在于,所述分别对所述时间信息和/或所述空间信息进行排序,得到相应的时间信息序列和/或空间信息序列,包括:
按照时间顺序分别对所述时间信息和/或所述空间信息进行排序,得到相应的时间信息序列和/或空间信息序列。
5.根据权利要求3所述的方法,其特征在于,所述将所述时间信息序列和/或所述空间信息序列分别转换为时间向量和/或空间向量,并将所述时间向量和/或所述空间向量作为所述向量信息,包括:
通过频域分析法将所述时间信息序列转换成相应的频域信息,并在所述频域信息中,选取预设频率对应的幅值作为所述时间信息序列的时间向量;
和/或,按照预设的元素值与数值间的转换关系,将所述空间信息序列中的每个元素转换成相应的数值,并将所述空间信息序列对应的数值构建为所述空间信息序列的空间向量;
将所述时间向量和/或所述空间向量作为所述向量信息。
6.根据权利要求3所述的方法,其特征在于,所述将所述时间信息序列和/或所述空间信息序列分别转换为时间向量和空间向量,并将所述时间向量和/或所述空间向量作为所述向量信息,包括:
通过小波变换法将所述时间信息序列转换为相应的时间向量;
和/或,通过所述小波变换法将所述空间信息序列转换为相应的空间向量;
将所述时间向量和/或所述空间向量作为所述向量信息。
7.根据权利要求3至6任一项所述的方法,其特征在于,所述输入所述向量信息至预先训练的恶意文件分类器,包括:
通过分类算法对所述时间向量进行分类,得到时间分类结果;
和/或,通过序列分类器对所述空间向量进行分类,得到空间分类结果;
输入所述时间分类结果和/或所述空间分类结果至所述恶意文件分类器。
8.根据权利要求1所述的方法,其特征在于,所述基于所述本地信息确定所述目标文件在所述网络架构中的扩散规律,并基于所述扩散规律判断所述目标文件是否为恶意文件,包括:
计算所述目标文件的所述本地信息与恶意文件的本地信息间的相关性系数;
基于所述相关性系数判断所述目标文件是否为恶意文件。
9.一种恶意文件检测系统,其特征在于,包括:
第一获取模块,用于获取目标文件及所述目标文件所处网络架构的信息;
第二获取模块,用于获取所述目标文件在所述网络架构中的本地信息;
第一判断模块,用于基于所述本地信息确定所述目标文件在所述网络架构中的扩散规律,并基于所述扩散规律判断所述目标文件是否为恶意文件;
其中,所述本地信息包括表示所述目标文件在所述网络架构中创建时刻的时间信息,和/或表示所述目标文件在所述网络架构中所处位置的空间信息;
其中,所述第一获取模块包括:
第一确定单元,用于在所述网络架构中确定出携带有所述目标文件的目标设备;
第一获取单元,用于获取所述目标文件在各个所述目标设备上的创建时间;和/或,获取各个所述目标设备的标识信息及所述目标设备在所述网络架构的拓扑空间中的层级信息;
第三作为单元,用于将所述空间信息设置为至少包含各个所述目标设备的标识信息,及所述目标设备在所述网络架构的拓扑空间中的层级信息中的一种或两种;
第四作为单元,用于将所述时间信息设置为至少包含所述创建时间。
10.一种恶意文件检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述恶意文件检测方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述恶意文件检测方法的步骤。
CN201910528125.4A 2019-06-18 2019-06-18 一种恶意文件检测方法、系统、设备及计算机存储介质 Active CN112100619B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910528125.4A CN112100619B (zh) 2019-06-18 2019-06-18 一种恶意文件检测方法、系统、设备及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910528125.4A CN112100619B (zh) 2019-06-18 2019-06-18 一种恶意文件检测方法、系统、设备及计算机存储介质

Publications (2)

Publication Number Publication Date
CN112100619A CN112100619A (zh) 2020-12-18
CN112100619B true CN112100619B (zh) 2024-01-05

Family

ID=73748398

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910528125.4A Active CN112100619B (zh) 2019-06-18 2019-06-18 一种恶意文件检测方法、系统、设备及计算机存储介质

Country Status (1)

Country Link
CN (1) CN112100619B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113569206A (zh) * 2021-06-30 2021-10-29 深信服科技股份有限公司 一种软件识别方法、系统、设备及计算机可读存储介质
CN114579970B (zh) * 2022-05-06 2022-07-22 南京明博互联网安全创新研究院有限公司 一种基于卷积神经网络的安卓恶意软件检测方法及系统
CN116910756B (zh) * 2023-09-13 2024-01-23 北京安天网络安全技术有限公司 一种恶意pe文件的检测方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102822839A (zh) * 2009-12-31 2012-12-12 迈克菲股份有限公司 经由信誉系统的恶意软件检测
CN104537304A (zh) * 2014-12-31 2015-04-22 北京奇虎科技有限公司 文件查杀方法、装置及系统
KR20150070756A (ko) * 2013-12-17 2015-06-25 주식회사 윈스 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법
CN109388946A (zh) * 2018-09-28 2019-02-26 珠海市君天电子科技有限公司 恶意进程检测方法、装置、电子设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180248896A1 (en) * 2017-02-24 2018-08-30 Zitovault Software, Inc. System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102822839A (zh) * 2009-12-31 2012-12-12 迈克菲股份有限公司 经由信誉系统的恶意软件检测
KR20150070756A (ko) * 2013-12-17 2015-06-25 주식회사 윈스 가중치 방식을 이용한 악성코드 자동 판별 장치 및 방법
CN104537304A (zh) * 2014-12-31 2015-04-22 北京奇虎科技有限公司 文件查杀方法、装置及系统
CN109388946A (zh) * 2018-09-28 2019-02-26 珠海市君天电子科技有限公司 恶意进程检测方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
P2P文件污染的建模与仿真分析;左敏;李建华;蒋兴浩;;上海交通大学学报(02);全文 *

Also Published As

Publication number Publication date
CN112100619A (zh) 2020-12-18

Similar Documents

Publication Publication Date Title
US10817394B2 (en) Anomaly diagnosis method and anomaly diagnosis apparatus
CN112100619B (zh) 一种恶意文件检测方法、系统、设备及计算机存储介质
CN107808122B (zh) 目标跟踪方法及装置
CN109063920B (zh) 一种交易风险识别方法、装置、及计算机设备
Bifet et al. Pitfalls in benchmarking data stream classification and how to avoid them
KR101879416B1 (ko) 이상 금융거래 탐지 방법 및 그 전자 장치
US20130042306A1 (en) Determining machine behavior
CN109214421B (zh) 一种模型训练方法、装置、及计算机设备
CN111553488B (zh) 一种针对用户行为的风险识别模型训练方法及系统
CN104392174B (zh) 应用程序动态行为的特征向量的生成方法及装置
CN109495513B (zh) 无监督的加密恶意流量检测方法、装置、设备及介质
CN110290522A (zh) 用于移动设备的风险识别方法、装置和计算机系统
CN110493262B (zh) 一种改进分类的网络攻击检测方法及系统
IL281410B1 (en) Bit-level data generation and artificial intelligence techniques and architectures for data protection
WO2017172130A1 (en) Self-learning locator for mobile device
CN105825084B (zh) 用于对具有图像的对象进行匹配检测的方法
CN111010387B (zh) 一种物联网设备非法替换检测方法、装置、设备及介质
CN114297665A (zh) 基于深度学习的智能合约漏洞检测方法和装置
CN109979157A (zh) 森林稀有树木监测及预警系统
CN113746780B (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
CN117520645A (zh) 基于金融产品的用户确定方法、装置以及电子设备
CN110493218B (zh) 一种态势感知虚拟化的方法和装置
CN116707859A (zh) 特征规则提取方法和装置、网络入侵检测方法和装置
CN109800775B (zh) 文件聚类方法、装置、设备及可读介质
CN109559245B (zh) 一种识别特定用户的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant