CN112214770B - 恶意样本的识别方法、装置、计算设备以及介质 - Google Patents
恶意样本的识别方法、装置、计算设备以及介质 Download PDFInfo
- Publication number
- CN112214770B CN112214770B CN202011199855.3A CN202011199855A CN112214770B CN 112214770 B CN112214770 B CN 112214770B CN 202011199855 A CN202011199855 A CN 202011199855A CN 112214770 B CN112214770 B CN 112214770B
- Authority
- CN
- China
- Prior art keywords
- classification
- malicious
- malicious sample
- model
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000013145 classification model Methods 0.000 claims abstract description 85
- 238000012545 processing Methods 0.000 claims abstract description 59
- 238000004138 cluster model Methods 0.000 claims abstract description 23
- 238000012549 training Methods 0.000 claims description 32
- 230000008569 process Effects 0.000 claims description 21
- 238000007637 random forest analysis Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000015654 memory Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/24323—Tree-organised classifiers
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Security & Cryptography (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种恶意样本的识别方法,包括:获取至少一个恶意样本;利用至少一个经训练分类模型分别处理至少一个恶意样本,以得到分类结果;基于至少一个恶意样本的样本数量,确定用于处理至少一个恶意样本的聚类模型;利用聚类模型处理至少一个恶意样本,以得到聚类结果;以及基于分类结果和聚类结果,确定每个恶意样本所属的风险类别。本公开还提供了一种恶意样本的识别装置、一种计算设备、一种计算机可读存储介质以及一种计算机程序产品。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种恶意样本的识别方法、一种恶意样本的识别装置、一种计算设备以及一种计算机可读存储介质。
背景技术
为了提高系统安全,通常需要识别访问系统的样本是否存在风险,例如识别恶意样本所属的恶意家族或攻击团伙。但是,为了躲避安全检测,恶意样本的重要特征通常被隐藏而难以发现,相关技术通常通过单一的识别方式来识别恶意样本,导致在识别恶意样本所属的恶意家族或攻击团伙时,识别效率较低、识别准确性较低。
发明内容
有鉴于此,本公开提供了一种优化的恶意样本的识别方法、恶意样本的识别装置、计算设备和计算机可读存储介质。
本公开的一个方面提供了一种恶意样本的识别方法,包括:获取至少一个恶意样本,利用至少一个经训练分类模型分别处理所述至少一个恶意样本,以得到分类结果,基于所述至少一个恶意样本的样本数量,确定用于处理所述至少一个恶意样本的聚类模型,利用所述聚类模型处理所述至少一个恶意样本,以得到聚类结果,基于所述分类结果和所述聚类结果,确定每个恶意样本所属的风险类别。
根据本公开实施例,在所述至少一个经训练分类模型包括多个经训练分类模型的情况下,所述多个经训练分类模型包括第一分类模型和第二分类模型。所述利用至少一个经训练分类模型分别处理所述至少一个恶意样本,以得到分类结果包括:利用所述第一分类模型对所述至少一个恶意样本进行分类处理,得到第一分类结果,利用所述第二分类模型对所述至少一个恶意样本进行分类处理,得到第二分类结果,其中,所述第一分类模型包括随机森林分类模型,所述第二分类模型包括最邻近分类模型。
根据本公开实施例,上述第一分类模型包括第一分类子模型和第二分类子模型。所述第一分类结果由第一置信度和第二置信度来表征,所述利用第一分类模型对所述至少一个恶意样本进行分类处理,得到第一分类结果包括:利用所述第一分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第一置信度,所述第一置信度表征了恶意样本属于恶意家族的分类类别的概率,所述第一分类子模型是以具有恶意家族标签的训练样本训练得到的,利用所述第二分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第二置信度,所述第二分类子模型是以具有攻击团伙标签的训练样本训练得到的,所述第二置信度表征了恶意样本属于攻击团伙的分类类别的概率。
根据本公开实施例,上述第二分类模型包括第三分类子模型和第四分类子模型。所述第二分类结果由第一距离值和第二距离值来表征,所述利用第二分类模型对所述至少一个恶意样本进行分类处理,得到第二分类结果包括:利用所述第三分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第一距离值,所述第一距离值表征了恶意样本属于恶意家族的分类类别的概率,所述第三分类子模型是以具有恶意家族标签的训练样本训练得到的,利用所述第四分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第二距离值,所述第四分类子模型是以具有攻击团伙标签的训练样本训练得到的,所述第二距离值表征了恶意样本属于攻击团伙的分类类别的概率。
根据本公开实施例,上述基于所述分类结果和所述聚类结果,确定每个恶意样本所属的风险类别包括:基于所述第一置信度和所述第一距离值之间的差值,确定每个恶意样本属于恶意家族的第一综合置信度,基于所述第二置信度和所述第二距离值之间的差值,确定每个恶意样本属于攻击团伙的第二综合置信度,基于所述第一综合置信度、所述第二综合置信度和所述聚类结果,确定每个恶意样本所属的恶意家族或所属的攻击团伙。
根据本公开实施例,上述基于所述至少一个恶意样本的样本数量,确定用于处理所述至少一个恶意样本的聚类模型包括以下至少一项:在确定所述至少一个恶意样本的样本数量小于预设数量的情况下,确定利用增量聚类模型来处理所述至少一个恶意样本,在确定所述至少一个恶意样本的样本数量大于等于预设数量的情况下,确定利用全量聚类模型来处理所述至少一个恶意样本。
根据本公开实施例,上述增量聚类模型包括经训练聚类模型,所述全量聚类模型包括待训练聚类模型。其中,所述利用所述聚类模型处理所述至少一个恶意样本,以得到聚类结果包括以下至少一项:利用所述增量聚类模型对所述至少一个恶意样本进行聚类处理,以得到所述聚类结果,利用所述全量聚类模型对所述至少一个恶意样本进行聚类训练,以得到经训练聚类模型,并将由所述经训练聚类模型针对所述至少一个恶意样本输出的聚类训练结果作为所述聚类结果。
本公开的另一个方面提供了一种恶意样本的识别装置,包括:获取模块、第一处理模块、第一确定模块、第二处理模块以及第二确定模块。其中,获取模块用于获取至少一个恶意样本。第一处理模块用于利用至少一个经训练分类模型分别处理所述至少一个恶意样本,以得到分类结果。第一确定模块用于基于所述至少一个恶意样本的样本数量,确定用于处理所述至少一个恶意样本的聚类模型。第二处理模块,用于利用所述聚类模型处理所述至少一个恶意样本,以得到聚类结果。第二确定模块用于基于所述分类结果和所述聚类结果,确定每个恶意样本所属的风险类别。
根据本公开实施例,在所述至少一个经训练分类模型包括多个经训练分类模型的情况下,所述多个经训练分类模型包括第一分类模型和第二分类模型。所述利用至少一个经训练分类模型分别处理所述至少一个恶意样本,以得到分类结果包括:利用所述第一分类模型对所述至少一个恶意样本进行分类处理,得到第一分类结果,利用所述第二分类模型对所述至少一个恶意样本进行分类处理,得到第二分类结果,其中,所述第一分类模型包括随机森林分类模型,所述第二分类模型包括最邻近分类模型。
根据本公开实施例,上述第一分类模型包括第一分类子模型和第二分类子模型。所述第一分类结果由第一置信度和第二置信度来表征,所述利用第一分类模型对所述至少一个恶意样本进行分类处理,得到第一分类结果包括:利用所述第一分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第一置信度,所述第一置信度表征了恶意样本属于恶意家族的分类类别的概率,所述第一分类子模型是以具有恶意家族标签的训练样本训练得到的,利用所述第二分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第二置信度,所述第二分类子模型是以具有攻击团伙标签的训练样本训练得到的,所述第二置信度表征了恶意样本属于攻击团伙的分类类别的概率。
根据本公开实施例,上述第二分类模型包括第三分类子模型和第四分类子模型。所述第二分类结果由第一距离值和第二距离值来表征,所述利用第二分类模型对所述至少一个恶意样本进行分类处理,得到第二分类结果包括:利用所述第三分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第一距离值,所述第三分类子模型是以具有恶意家族标签的训练样本训练得到的,所述第一距离值表征了恶意样本属于恶意家族的分类类别的概率,利用所述第四分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第二距离值,所述第四分类子模型是以具有攻击团伙标签的训练样本训练得到的,所述第二距离值表征了恶意样本属于攻击团伙的分类类别的概率。
根据本公开实施例,上述基于所述分类结果和所述聚类结果,确定每个恶意样本所属的风险类别包括:基于所述第一置信度和所述第一距离值之间的差值,确定每个恶意样本属于恶意家族的第一综合置信度,基于所述第二置信度和所述第二距离值之间的差值,确定每个恶意样本属于攻击团伙的第二综合置信度,基于所述第一综合置信度、所述第二综合置信度和所述聚类结果,确定每个恶意样本所属的恶意家族或所属的攻击团伙。
根据本公开实施例,上述基于所述至少一个恶意样本的样本数量,确定用于处理所述至少一个恶意样本的聚类模型包括以下至少一项:在确定所述至少一个恶意样本的样本数量小于预设数量的情况下,确定利用增量聚类模型来处理所述至少一个恶意样本,在确定所述至少一个恶意样本的样本数量大于等于预设数量的情况下,确定利用全量聚类模型来处理所述至少一个恶意样本。
根据本公开实施例,上述增量聚类模型包括经训练聚类模型,所述全量聚类模型包括待训练聚类模型。其中,所述利用所述聚类模型处理所述至少一个恶意样本,以得到聚类结果包括以下至少一项:利用所述增量聚类模型对所述至少一个恶意样本进行聚类处理,以得到所述聚类结果,利用所述全量聚类模型对所述至少一个恶意样本进行聚类训练,以得到经训练聚类模型,并将由所述经训练聚类模型针对所述至少一个恶意样本输出的聚类训练结果作为所述聚类结果。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,利用上述恶意样本的识别方法可以至少部分地解决相关技术在识别恶意样本所属的恶意家族或攻击团伙时,识别效率较低、识别准确性较低的问题,并因此可以实现提高识别恶意样本所属的风险类别的识别效率和识别准确性的技术效果。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的恶意样本的识别方法和恶意样本的识别装置的系统架构;
图2示意性示出了根据本公开实施例的恶意样本的识别方法的流程图;
图3示意性示出了根据本公开另一实施例的恶意样本的识别方法的流程图;
图4示意性示出了根据本公开另一实施例的恶意样本的识别方法的流程图;
图5示意性示出了根据本公开实施例的恶意样本识别过程的示例图;
图6示意性示出了根据本公开实施例的恶意样本的识别装置的框图;以及
图7示意性示出了根据本公开实施例的适于恶意样本的识别的计算机系统的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种恶意样本的识别方法,包括:获取至少一个恶意样本。然后,利用至少一个经训练分类模型分别处理至少一个恶意样本,以得到至少一个分类结果,至少一个分类结果与至少一个经训练分类模型一一对应,并基于至少一个恶意样本的样本数量,确定用于处理至少一个恶意样本的聚类模型,以便利用聚类模型处理至少一个恶意样本,以得到聚类结果。接下来,基于至少一个分类结果和聚类结果,确定每个恶意样本所属的风险类别。
图1示意性示出了根据本公开实施例的恶意样本的识别方法和恶意样本的识别装置的系统架构。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的恶意样本的识别方法一般可以由服务器105执行。相应地,本公开实施例所提供的恶意样本的识别装置一般可以设置于服务器105中。本公开实施例所提供的恶意样本的识别方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的恶意样本的识别装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
例如,本公开实施例的恶意文件可以存储在终端设备101、102、103中,通过终端设备101、102、103将至少一个恶意样本发送至服务器105中,服务器105可以利用经训练分类模型和所确定的聚类模型处理至少一个恶意样本,并基于处理结果确定恶意样本所属的风险类别,或者,终端设备101、102、103也可以直接利用经训练分类模型和所确定的聚类模型处理至少一个恶意样本,并基于处理结果确定恶意样本所属的风险类别。另外,至少一个恶意样本还可以直接存储在服务器105中,由服务器105直接利用经训练分类模型和所确定的聚类模型处理至少一个恶意样本,并基于处理结果确定恶意样本所属的风险类别。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
图2示意性示出了根据本公开实施例的恶意样本的识别方法的流程图。
如图2所示,该方法例如可以包括以下操作S210~操作S250。
在操作S210,获取至少一个恶意样本。
在操作S220,利用至少一个经训练分类模型分别处理至少一个恶意样本,以得到分类结果。在一个实施例中,分类结果例如包括至少一个分类结果,至少一个分类结果与至少一个经训练分类模型一一对应。其中,经训练分类模型例如可以是机器学习模型。本公开实施例可以利用多个经训练分类模型来处理至少一个恶意样本。例如,至少一个恶意样本包括N个恶意样本,至少一个经训练分类模型包括M个经训练分类模型,N为大于等于1的整数,M为大于等于1的整数。M个经训练分类模型中的每个分类模型均对N个恶意样本进行分类处理得到分类结果,共得到M个分类结果,该M个分类结果例如与M个经训练分类模型一一对应。在其他实施例中,经训练分类模型的个数与分类结果也可以为非一一对应关系。
在本公开的实施例中,M个分类结果中的每个分类结果例如初步表征了至少一个恶意样本中每个恶意样本所属的风险类别。
在操作S230,基于至少一个恶意样本的样本数量,确定用于处理至少一个恶意样本的聚类模型。
在操作S240,利用聚类模型处理至少一个恶意样本,以得到聚类结果。
在本公开的实施例中,聚类模型例如可以是机器学习模型。本公开的实施例基于恶意样本的数量来确定相应的聚类模型,例如当恶意样本的数量较多时,确定一聚类模型来处理该数量较多的恶意样本得到聚类结果,当恶意样本的数量较少时,确定另一聚类模型来处理该数量较少的恶意样本得到聚类结果。其中,聚类结果例如初步表征了至少一个恶意样本中每个恶意样本所属的风险类别。
可以理解,本公开的实施例对操作S220~操作S240的执行顺序不作限定,可以先执行操作S220后执行操作S230~操作S240,或者可以先执行操作S230~操作S240后执行操作S220,或者可以同时执行操作S220和操作S230,并在执行操作S230之后执行操作S240。
在操作S250,基于分类结果和聚类结果,确定每个恶意样本所属的风险类别。
根据本公开的实施例,由于至少一个分类结果和聚类结果初步表征了每个恶意样本所属的风险类别,因此可以基于至少一个分类结果和聚类结果进一步确定每个恶意样本最终所属的风险类别,从而提高识别准确性。
在本公开的实施例中,通过至少一个经训练分类模型分别处理至少一个恶意样本得到至少一个分类结果,利用聚类模型处理至少一个恶意样本聚类结果。然后基于至少一个分类结果和聚类结果来确定每个恶意样本所属的风险类别。可以理解,本公开的实施例通过利用多种类型的模型来对恶意样本进行识别得到初步识别结果,并基于初步识别结果来确定恶意样本的最终所属的风险类别,从而提高了恶意样本的识别准确性。另外,本公开的实施例还基于恶意样本的样本数量来确定相应的聚类模型,使得所确定的聚类模型更符合实际需求,从而提高聚类的效果,进而提高恶意样本的识别准确性。
图3示意性示出了根据本公开另一实施例的恶意样本的识别方法的流程图。
如图3所示,该方法例如可以包括以下操作S210~操作S250。其中,操作S210~操作S250例如与图2所描述的操作相同或类似。操作S220中关于利用至少一个经训练分类模型分别处理至少一个恶意样本以得到至少一个分类结果例如包括操作S221~操作S222。操作S230中关于基于至少一个恶意样本的样本数量确定用于处理至少一个恶意样本的聚类模型例如包括操作S231~操作S233。
根据本公开的实施例,在至少一个经训练分类模型包括多个经训练分类模型的情况下,多个经训练分类模型包括第一分类模型和第二分类模型。其中,第一分类模型例如包括随机森林分类模型,第二分类模型例如包括最邻近(IBK)分类模型。
在操作S221,利用第一分类模型对至少一个恶意样本进行分类处理,得到第一分类结果。
在操作S222,利用第二分类模型对至少一个恶意样本进行分类处理,得到第二分类结果。
其中,第一分类结果能够初步表征每个恶意样本所属的恶意家族或所属的攻击团伙,第二分类结果也能够初步表征每个恶意样本所属的恶意家族或所属的攻击团伙。
在操作S231,判断至少一个恶意样本的数量是否小于预设数量。如果是则执行操作S232,如果否则执行操作S233。
在操作S232,在确定至少一个恶意样本的样本数量小于预设数量的情况下,确定利用增量聚类模型来处理至少一个恶意样本。
在操作S233,在确定至少一个恶意样本的样本数量大于等于预设数量的情况下,确定利用全量聚类模型来处理至少一个恶意样本。
根据本公开的实施例,增量聚类模型例如是预先利用大量训练样本训练得到的聚类模型,全量聚类模型例如是待训练的聚类模型。
当至少一个恶意样本的样本数量小于预设数量时,如果通过至少一个恶意样本来训练待训练的聚类模型,将由于样本数量较少而使得训练得到的聚类模型效果不佳,因此本公开的实施例可以利用经过训练的增量聚类模型对数量较少的至少一个恶意样本进行聚类处理,以得到聚类结果。
当至少一个恶意样本的数量大于等于预设数量时,表示至少一个恶意样本的样本数量足够多,此时可以利用待训练的全量聚类模型对至少一个恶意样本进行聚类训练以得到经训练聚类模型,并将由经训练聚类模型针对至少一个恶意样本输出的聚类训练结果作为聚类结果。
其中,预设数量例如为预先设定的数量,例如可以包括但不仅限于3000、10000、20000。
在本公开的实施例中,操作S250中关于基于至少一个分类结果和聚类结果确定每个恶意样本所属的风险类别例如包括:基于第一分类结果、第二分类结果和聚类结果确定每个恶意样本所属的风险类别。
根据本公开的实施例,通过多个分类模型来处理恶意样本得到对应的多个分类结果,并且基于恶意样本的数量来确定相应的聚类模型以对恶意样本进行聚类处理得到聚类结果,然后基于多个分类结果和聚类结果来确定每个恶意样本所属的风险类别,从而可以提高恶意样本的识别准确性。
图4示意性示出了根据本公开另一实施例的恶意样本的识别方法的流程图。
如图4所示,在图3所示的方法的基础上,图4所示的方法中,操作S221中关于利用第一分类模型对至少一个恶意样本进行分类处理得到第一分类结果例如包括操作S2211~操作S2212。操作S222中关于利用第二分类模型对至少一个恶意样本进行分类处理得到第二分类结果例如包括操作S2221~操作S2222。操作S250中关于基于至少一个分类结果和聚类结果确定每个恶意样本所属的风险类别例如包括操作S251~操作S253。
其中,第一分类结果例如由第一置信度和第二置信度来表征。
根据本公开的实施例,第一分类模型例如包括第一分类子模型和第二分类子模型,第一分类子模型和第二分类子模型可以均为随机森林分类模型。其中,第一分类子模型是以具有恶意家族标签的训练样本训练得到的模型,第二分类子模型是以具有攻击团伙标签的训练样本训练得到的模型。
在操作S2211,利用第一分类子模型对至少一个恶意样本进行分类处理,得到针对每个恶意样本的第一置信度,第一置信度表征了恶意样本属于恶意家族的分类类别的概率。例如,以恶意家族的分类类别包括家族A、家族B、家族C以及一个恶意样本P为例,针对该恶意样本P的第一置信度例如为0.9、0.8、0.7,其中,0.9表示该恶意样本P属于家族A的置信度,0.8表示该恶意样本P属于家族B的置信度,0.7表示该恶意样本P属于家族C的置信度。其中,置信度例如经过归一化处理,置信度越大(例如越接近1),表示该恶意样本P所属的恶意家族概率越大,例如该恶意样本P属于家族A的概率最大,其次是属于家族B,再者是属于家族C。
在操作S2212,利用第二分类子模型对至少一个恶意样本进行分类处理,得到针对每个恶意样本的第二置信度,第二置信度表征了恶意样本属于攻击团伙的分类类别的概率。例如,以攻击团伙的分类类别包括团伙A、团伙B、团伙C以及恶意样本P为例,针对该恶意样本P的第二置信度例如为0.8、0.7、0.6,其中,0.8表示该恶意样本P属于团伙A的置信度,0.7表示该恶意样本P属于团伙B的置信度,0.6表示该恶意样本P属于团伙C的置信度。其中,置信度例如经过归一化处理,置信度越大(例如越接近1),表示该恶意样本P所属的攻击团伙概率越大,例如该恶意样本P属于团伙A的概率最大,其次是属于团伙B,再者是属于团伙C。
其中,第二分类结果由第一距离值和第二距离值来表征。
在本公开的实施例中,第二分类模型例如包括第三分类子模型和第四分类子模型,其中,第三分类子模型和第四分类子模型可以均为最邻近分类模型。第三分类子模型是以具有恶意家族标签的训练样本训练得到的模型,第四分类子模型是以具有攻击团伙标签的训练样本训练得到的模型。
在操作S2221,利用第三分类子模型对至少一个恶意样本进行分类处理,得到针对每个恶意样本的第一距离值,第一距离值表征了恶意样本属于恶意家族的分类类别的概率。例如,以恶意家族的分类类别包括家族A、家族B、家族C以及恶意样本P为例,针对该恶意样本P的第一距离值例如为0.1、0.2、0.3,其中,0.1表示该恶意样本P的样本特征与家族A的特征之间的距离,0.2表示该恶意样本P的样本特征与家族B的特征之间的距离,0.3表示该恶意样本P的样本特征与家族C的特征之间的距离。其中,距离值例如经过归一化处理,距离值越小(例如越接近0),表示该恶意样本P所属的恶意家族概率越大,例如该恶意样本P属于家族A的概率最大,其次是属于家族B,再者是属于家族C。
在操作S2222,利用第四分类子模型对至少一个恶意样本进行分类处理,得到针对每个恶意样本的第二距离值,第二距离值表征了恶意样本属于攻击团伙的分类类别的概率。例如,以攻击团伙的分类类别包括团伙A、团伙B、团伙C以及恶意样本P为例,针对该恶意样本P的第二距离值例如为0.2、0.3、0.4,其中,0.2表示该恶意样本P的样本特征与团伙A的特征之间的距离,0.3表示该恶意样本P的样本特征与团伙B的特征之间的距离,0.4表示该恶意样本P的样本特征与团伙C的特征之间的距离。其中,距离值例如经过归一化处理,距离值越小(例如越接近0),表示该恶意样本P所属的攻击团伙概率越大,例如该恶意样本P属于团伙A的概率最大,其次是属于团伙B,再者是属于团伙C。
在操作S251,基于第一置信度和第一距离值之间的差值,确定每个恶意样本属于恶意家族的第一综合置信度。例如,如上文所描述的,置信度和距离值均能够表征恶意样本属于恶意家族的分类类别的概率或属于攻击团伙的分类类别的概率。例如,恶意样本P属于家族A、家族B、家族C的第一置信度分别为0.9、0.8、0.7,恶意样本P属于家族A、家族B、家族C的第一距离值分别为0.1、0.2、0.3。其中,第一置信度0.9、0.8、0.7与第一距离值0.1、0.2、0.3一一对应的差值分别为0.8、0.6、0.4,则恶意样本P属于家族A、家族B、家族C的第一综合置信度分别为0.8、0.6、0.4,第一综合置信度进一步表征了恶意样本属于恶意家族的分类类别的概率。
在操作S252,基于第二置信度和第二距离值之间的差值,确定每个恶意样本属于攻击团伙的第二综合置信度。例如,如上文所描述的,恶意样本P属于团伙A、团伙B、团伙C的第二置信度分别为0.8、0.7、0.6,恶意样本P属于团伙A、团伙B、团伙C的第二距离值分别为0.2、0.3、0.4。其中,第二置信度0.8、0.7、0.6与第二距离值0.2、0.3、0.4一一对应的差值分别为0.6、0.4、0.2,则恶意样本P属于团伙A、团伙B、团伙C的第二综合置信度分别为0.6、0.4、0.2,第二综合置信度进一步表征了恶意样本属于攻击团伙的分类类别的概率。
根据本公开的实施例,置信度从一方面表征了恶意样本属于恶意家族或攻击团伙的概率,距离值从另一方面表征了恶意样本不属于恶意家族或攻击团伙的概率。因此,通过计算置信度和距离值之间的差值,可以更加准确地得到恶意样本属于恶意家族或攻击团伙的概率。例如基于第一综合置信度和第二综合置信度可知恶意样本P属于恶意家族(例如家族A)的概率较大。
在操作S253,基于第一综合置信度、第二综合置信度和聚类结果,确定每个恶意样本所属的恶意家族或所属的攻击团伙。
在本公开的实施例中,可以综合第一综合置信度、第二综合置信度和聚类结果来确定每个恶意样本所属的恶意家族或所属的攻击团伙。例如,以恶意样本P为例,当通过聚类模型处理该恶意样本P得到的聚类结果表征该恶意样本P属于恶意家族(例如家族A)的概率大于属于攻击团伙(例如团伙A)的概率时,同时参考第一综合置信度和第二综合置信度可知该恶意样本P属于恶意家族(例如家族A)的概率较大。因此,基于第一综合置信度、第二综合置信度和聚类结果可以确认恶意样本P属于恶意家族(例如家族A)。可以理解,本公开实施例对如何基于第一综合置信度、第二综合置信度和聚类结果来确定恶意样本所属的恶意家族或所属的攻击团伙的具体方式不作限定,本领域技术人员可根据实际应用情况具体设定。
可以理解,本公开的实施例通过置信度和距离值来确定恶意样本所属风险类别的综合置信度,并基于综合置信度和聚类结果来共同确定恶意样本所属的风险类别。因此,本公开实施例通过以多个参考信息来确定恶意样本所属的风险类别,从而提高了恶意样本的识别准确性。
图5示意性示出了根据本公开实施例的恶意样本识别过程的示例图。
如图5所示,将恶意样本501输入至第一分类子模型502进行分类处理得到第一置信度507,将恶意样本501输入至第二分类子模型503进行分类处理得到第二置信度508,将恶意样本501输入至第三分类子模型504进行分类处理得到第一距离值509,将恶意样本501输入至第四分类子模型505进行分类处理得到第二距离值510,将恶意样本501输入至聚类模型506进行聚类处理得到聚类结果513。
然后,对第一置信度507和第一距离值509进行差值计算得到第一综合置信度511,对第二置信度508和第二距离值510进行差值计算得到第二综合置信度512。接下来,基于第一综合置信度511、第二综合置信度512以及聚类结果513共同确定恶意样本501所属的风险类别514,其中,风险类别514可以是某一恶意家族或某一攻击团伙。
图6示意性示出了根据本公开实施例的恶意样本的识别装置的框图。
如图6所示,恶意样本的识别装置600例如可以包括:获取模块610、第一处理模块620、第一确定模块630、第二处理模块640以及第二确定模块650。
获取模块610可以用于获取至少一个恶意样本。根据本公开实施例,获取模块610例如可以执行上文参考图2描述的操作S210,在此不再赘述。
第一处理模块620可以用于利用至少一个经训练分类模型分别处理至少一个恶意样本,以得到至少一个分类结果,至少一个分类结果与至少一个经训练分类模型一一对应。根据本公开实施例,第一处理模块620例如可以执行上文参考图2描述的操作S220,在此不再赘述。
第一确定模块630可以用于基于至少一个恶意样本的样本数量,确定用于处理至少一个恶意样本的聚类模型。根据本公开实施例,第一确定模块630例如可以执行上文参考图2描述的操作S230,在此不再赘述。
第二处理模块640可以用于利用聚类模型处理至少一个恶意样本,以得到聚类结果。根据本公开实施例,第二处理模块640例如可以执行上文参考图2描述的操作S240,在此不再赘述。
第二确定模块650可以用于基于至少一个分类结果和聚类结果,确定每个恶意样本所属的风险类别。根据本公开实施例,第二确定模块650例如可以执行上文参考图2描述的操作S250,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本公开实施例的适于恶意样本的识别的计算机系统的方框图。图7示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,根据本公开实施例的计算机系统700包括处理器701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 703中,存储有系统700操作所需的各种程序和数据。处理器701、ROM 702以及RAM 703通过总线704彼此相连。处理器701通过执行ROM 702和/或RAM 703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 702和RAM 703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,系统700还可以包括输入/输出(I/O)接口705,输入/输出(I/O)接口705也连接至总线704。系统700还可以包括连接至I/O接口705的以下部件中的一项或多项:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是计算机非易失性的计算机可读存储介质,例如可以可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 702和/或RAM 703和/或ROM 702和RAM 703以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (9)
1.一种恶意样本的识别方法,包括:
获取至少一个恶意样本;
利用至少一个经训练分类模型分别处理所述至少一个恶意样本,以得到分类结果;
基于所述至少一个恶意样本的样本数量,确定用于处理所述至少一个恶意样本的聚类模型;
利用所述聚类模型处理所述至少一个恶意样本,以得到聚类结果;以及
基于所述分类结果和所述聚类结果,确定每个恶意样本所属的风险类别;
其中,所述分类结果包括第一分类结果和第二分类结果,所述基于所述分类结果和所述聚类结果,确定每个恶意样本所属的风险类别,包括:
基于第一置信度和第一距离值之间的差值,确定每个恶意样本属于恶意家族的第一综合置信度;
基于第二置信度和第二距离值之间的差值,确定每个恶意样本属于攻击团伙的第二综合置信度;以及
基于所述第一综合置信度、所述第二综合置信度和所述聚类结果,确定每个恶意样本所属的恶意家族或所属的攻击团伙;
所述第一分类结果由所述第一置信度和所述第二置信度来表征,所述第二分类结果由所述第一距离值和所述第二距离值来表征;所述第一置信度表征了恶意样本属于恶意家族的分类类别的概率,所述第二置信度表征了恶意样本属于攻击团伙的分类类别的概率;所述第一距离值表征了恶意样本属于恶意家族的分类类别的概率,所述第二距离值表征了恶意样本属于攻击团伙的分类类别的概率。
2.根据权利要求1所述的方法,其中,在所述至少一个经训练分类模型包括多个经训练分类模型的情况下,所述多个经训练分类模型包括第一分类模型和第二分类模型;所述利用至少一个经训练分类模型分别处理所述至少一个恶意样本,以得到分类结果包括:
利用所述第一分类模型对所述至少一个恶意样本进行分类处理,得到第一分类结果;以及
利用所述第二分类模型对所述至少一个恶意样本进行分类处理,得到第二分类结果,
其中,所述第一分类模型包括随机森林分类模型,所述第二分类模型包括最邻近分类模型。
3.根据权利要求2所述的方法,其中,所述第一分类模型包括第一分类子模型和第二分类子模型;所述利用第一分类模型对所述至少一个恶意样本进行分类处理,得到第一分类结果包括:
利用所述第一分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第一置信度,所述第一分类子模型是以具有恶意家族标签的训练样本训练得到的;以及
利用所述第二分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第二置信度,所述第二分类子模型是以具有攻击团伙标签的训练样本训练得到的。
4.根据权利要求3所述的方法,其中,所述第二分类模型包括第三分类子模型和第四分类子模型;所述利用第二分类模型对所述至少一个恶意样本进行分类处理,得到第二分类结果包括:
利用所述第三分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第一距离值,所述第三分类子模型是以具有恶意家族标签的训练样本训练得到的;以及
利用所述第四分类子模型对所述至少一个恶意样本进行分类处理,得到针对每个恶意样本的所述第二距离值,所述第四分类子模型是以具有攻击团伙标签的训练样本训练得到的。
5.根据权利要求1所述的方法,其中,所述基于所述至少一个恶意样本的样本数量,确定用于处理所述至少一个恶意样本的聚类模型包括以下至少一项:
在确定所述至少一个恶意样本的样本数量小于预设数量的情况下,确定利用增量聚类模型来处理所述至少一个恶意样本;以及
在确定所述至少一个恶意样本的样本数量大于等于预设数量的情况下,确定利用全量聚类模型来处理所述至少一个恶意样本。
6.根据权利要求5所述的方法,其中,所述增量聚类模型包括经训练聚类模型,所述全量聚类模型包括待训练聚类模型;
其中,所述利用所述聚类模型处理所述至少一个恶意样本,以得到聚类结果包括以下至少一项:
利用所述增量聚类模型对所述至少一个恶意样本进行聚类处理,
以得到所述聚类结果;以及
利用所述全量聚类模型对所述至少一个恶意样本进行聚类训练,
以得到经训练聚类模型,并将由所述经训练聚类模型针对所述至少一个恶意样本输出的聚类训练结果作为所述聚类结果。
7.一种恶意样本的识别装置,包括:
获取模块,用于获取至少一个恶意样本;
第一处理模块,用于利用至少一个经训练分类模型分别处理所述至少一个恶意样本,以得到分类结果;
第一确定模块,用于基于所述至少一个恶意样本的样本数量,确定用于处理所述至少一个恶意样本的聚类模型;
第二处理模块,用于利用所述聚类模型处理所述至少一个恶意样本,以得到聚类结果;以及
第二确定模块,用于基于所述分类结果和所述聚类结果,确定每个恶意样本所属的风险类别;
其中,所述分类结果包括第一分类结果和第二分类结果,所述基于所述分类结果和所述聚类结果,确定每个恶意样本所属的风险类别,包括:
基于第一置信度和第一距离值之间的差值,确定每个恶意样本属于恶意家族的第一综合置信度;
基于第二置信度和第二距离值之间的差值,确定每个恶意样本属于攻击团伙的第二综合置信度;以及
基于所述第一综合置信度、所述第二综合置信度和所述聚类结果,确定每个恶意样本所属的恶意家族或所属的攻击团伙;
所述第一分类结果由所述第一置信度和所述第二置信度来表征,所述第二分类结果由所述第一距离值和所述第二距离值来表征;所述第一置信度表征了恶意样本属于恶意家族的分类类别的概率,所述第二置信度表征了恶意样本属于攻击团伙的分类类别的概率;所述第一距离值表征了恶意样本属于恶意家族的分类类别的概率,所述第二距离值表征了恶意样本属于攻击团伙的分类类别的概率。
8.一种计算设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~6中任一项所述的方法。
9.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011199855.3A CN112214770B (zh) | 2020-10-30 | 2020-10-30 | 恶意样本的识别方法、装置、计算设备以及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011199855.3A CN112214770B (zh) | 2020-10-30 | 2020-10-30 | 恶意样本的识别方法、装置、计算设备以及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112214770A CN112214770A (zh) | 2021-01-12 |
| CN112214770B true CN112214770B (zh) | 2023-11-10 |
Family
ID=74057820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011199855.3A Active CN112214770B (zh) | 2020-10-30 | 2020-10-30 | 恶意样本的识别方法、装置、计算设备以及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112214770B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113205801B (zh) * | 2021-05-08 | 2024-03-19 | 国家计算机网络与信息安全管理中心 | 恶意语音样本的确定方法、装置、计算机设备和存储介质 |
| CN115422556B (zh) * | 2022-11-07 | 2023-03-24 | 中国科学技术大学 | 漏洞利用概率预测方法、系统、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096411A (zh) * | 2016-06-08 | 2016-11-09 | 浙江工业大学 | 一种基于字节码图像聚类的Android恶意代码家族分类方法 |
| CN109145605A (zh) * | 2018-08-23 | 2019-01-04 | 北京理工大学 | 一种基于SinglePass算法的Android恶意软件家族聚类方法 |
| CN111062036A (zh) * | 2019-11-29 | 2020-04-24 | 暨南大学 | 恶意软件识别模型构建、识别方法及介质和设备 |
| CN111444502A (zh) * | 2019-12-02 | 2020-07-24 | 武汉科技大学 | 面向种群的安卓恶意软件检测模型库方法 |
| CN111460446A (zh) * | 2020-03-06 | 2020-07-28 | 奇安信科技集团股份有限公司 | 基于模型的恶意文件检测方法及装置 |
| CN112116018A (zh) * | 2020-09-25 | 2020-12-22 | 奇安信科技集团股份有限公司 | 样本分类方法、装置、计算机设备、介质和程序产品 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095755A (zh) * | 2015-06-15 | 2015-11-25 | 安一恒通(北京)科技有限公司 | 文件识别方法和装置 |
-
2020
- 2020-10-30 CN CN202011199855.3A patent/CN112214770B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096411A (zh) * | 2016-06-08 | 2016-11-09 | 浙江工业大学 | 一种基于字节码图像聚类的Android恶意代码家族分类方法 |
| CN109145605A (zh) * | 2018-08-23 | 2019-01-04 | 北京理工大学 | 一种基于SinglePass算法的Android恶意软件家族聚类方法 |
| CN111062036A (zh) * | 2019-11-29 | 2020-04-24 | 暨南大学 | 恶意软件识别模型构建、识别方法及介质和设备 |
| CN111444502A (zh) * | 2019-12-02 | 2020-07-24 | 武汉科技大学 | 面向种群的安卓恶意软件检测模型库方法 |
| CN111460446A (zh) * | 2020-03-06 | 2020-07-28 | 奇安信科技集团股份有限公司 | 基于模型的恶意文件检测方法及装置 |
| CN112116018A (zh) * | 2020-09-25 | 2020-12-22 | 奇安信科技集团股份有限公司 | 样本分类方法、装置、计算机设备、介质和程序产品 |
Non-Patent Citations (1)
| Title |
|---|
| 一种基于行为的Android恶意软件家族聚类方法;肖云倡;苏海峰;钱雨村;彭国军;;武汉大学学报(理学版)(第05期) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112214770A (zh) | 2021-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11062089B2 (en) | Method and apparatus for generating information | |
| CN111107048B (zh) | 一种钓鱼网站检测方法、装置和存储介质 | |
| CN109325213B (zh) | 用于标注数据的方法和装置 | |
| US20180248879A1 (en) | Method and apparatus for setting access privilege, server and storage medium | |
| CN112214770B (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
| CN107392259B (zh) | 构建不均衡样本分类模型的方法和装置 | |
| CN113139025B (zh) | 一种威胁情报的评价方法、装置、设备及存储介质 | |
| CN113360803B (zh) | 基于用户行为的数据缓存方法、装置、设备及存储介质 | |
| CN107291774B (zh) | 错误样本识别方法和装置 | |
| CN114692778B (zh) | 用于智能巡检的多模态样本集生成方法、训练方法及装置 | |
| CN110059172B (zh) | 基于自然语言理解的推荐答案的方法和装置 | |
| CN110245684B (zh) | 数据处理方法、电子设备和介质 | |
| CN112231696B (zh) | 恶意样本的识别方法、装置、计算设备以及介质 | |
| CN116155628B (zh) | 网络安全检测方法、训练方法、装置、电子设备和介质 | |
| CN112348615A (zh) | 用于审核信息的方法和装置 | |
| CN113869904B (zh) | 可疑数据识别方法、装置、电子设备、介质和计算机程序 | |
| CN109960905B (zh) | 信息处理方法、系统、介质和电子设备 | |
| CN114301713A (zh) | 风险访问检测模型的训练方法、风险访问检测方法及装置 | |
| CN112906726B (zh) | 模型训练方法、图像处理方法、装置、计算设备、介质 | |
| CN111782967A (zh) | 信息处理方法、装置、电子设备和计算机可读存储介质 | |
| CN113095589A (zh) | 一种人口属性确定方法、装置、设备及存储介质 | |
| CN113342969A (zh) | 数据处理方法和装置 | |
| CN117478434B (zh) | 边缘节点网络流量数据处理方法、装置、设备及介质 | |
| CN110555105A (zh) | 对象处理方法及系统、计算机系统及计算机可读存储介质 | |
| CN107644084B (zh) | 用于生成信息的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |