CN112784269A - 恶意软件检测方法、装置和计算机存储介质 - Google Patents
恶意软件检测方法、装置和计算机存储介质 Download PDFInfo
- Publication number
- CN112784269A CN112784269A CN202110059497.4A CN202110059497A CN112784269A CN 112784269 A CN112784269 A CN 112784269A CN 202110059497 A CN202110059497 A CN 202110059497A CN 112784269 A CN112784269 A CN 112784269A
- Authority
- CN
- China
- Prior art keywords
- software
- label
- screenshot
- sequence
- image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000013598 vector Substances 0.000 claims abstract description 115
- 238000010801 machine learning Methods 0.000 claims abstract description 79
- 238000000034 method Methods 0.000 claims abstract description 37
- 238000001514 detection method Methods 0.000 claims description 69
- 238000012549 training Methods 0.000 claims description 33
- 238000004422 calculation algorithm Methods 0.000 claims description 22
- 239000000284 extract Substances 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 14
- 230000003068 static effect Effects 0.000 description 12
- 238000000605 extraction Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 244000035744 Hura crepitans Species 0.000 description 5
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000008520 organization Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种恶意软件检测方法、装置和计算机存储介质,该方法包括以下步骤:收集终端运行软件时显示的用户界面的截图;提取所述截图的图像特征,生成特征向量;根据预设机器学习模型对特征向量进行推理,获得截图对应的标签;根据标签判定运行软件是否为恶意软件。解决了现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种恶意软件检测方法、装置和计算机存储介质。
背景技术
随着智能手机和平板电脑等移动终端的广泛普及,针对终端的恶意软件数量的迅速增加,终端恶意软件数量已超过四千万。一旦感染恶意软件,用户的资产、隐私甚至人身安全将受到威胁,例如资费消耗、隐私窃取、恶意扣费和诈骗等。
当前恶意软件检测方法主要有以下五种:
(1)静态文件特征码。特征码是出现在恶意软件文件或加载了恶意软件的内存中的一个或多个特定字节序列,如十六进制表示的“89C3 B440 8A2E 2004 8A0E 2104 BA0005CD 21E8 D500 BF50 04CD”是Accom.128病毒的特征码。只要识别到文件中包含该特征码,即可认为该文件是Accom.128病毒。
(2)动态行为检测。运行可疑软件,观察运行过程对系统应用接口调用等行为,判断其是否有恶意行为,如终止杀毒软件进程、修改系统关键配置。若有,则认为该软件为恶意软件。
(3)静态启发式检测。静态启发式检测同静态文件特征码方法相似,但启发式检测是基于阈值的。静态启发式检测将可疑软件分解并将其代码与启发式数据库中的已知特征码对比,若匹配数量超过阈值,则判定该可疑软件是恶意软件。
(5)动态启发式检测。动态启发式检测与动态行为检测类似,但启发式检测是在受控的沙箱或实验室环境中运行可疑软件,而非用户的真实系统。若可疑软件的行为数量超过阈值,则判定该可疑软件为恶意软件。
(6)机器学习检测。针对软件的二进制文件或沙箱中运行的日志定义特征向量,或通过机器学习算法自动发现特征,再利用分类或聚类等算法学习特征模式,进而生成能够识别恶意软件的机器学习模型。
上述六种方法检测的依据是软件静态代码或动态行为日志,而恶意软件作者可利用多种技术手段对修改代码以绕过检测。根据Ponemon 2018年风险报告,反病毒解决方案仅能拦截43%的攻击。攻击者可以利用的恶意软件检测绕过技术包括:
代码混淆。在保留软件功能的前提下对代码变形,导致包括特征码在内的二进制序列发生改变,从而绕过静态文件特征码检测、静态启发式检测和部分机器学习检测方法。
代码加密。加密算法的混淆和雪崩特性使得加密后的恶意软件代码与明文的恶意软件代码内容不同,只有在执行时才会执行解密,因此可以绕过静态文件特征码检测、静态启发式检测和部分机器学习检测方法。
反沙箱。恶意软件可以感知运行环境是否为沙箱,若是,则隐藏恶意行为,从而绕过动态启发式检测和部分机器学习检测方法。
Rootkit。Rootkit是一类特殊的软件,一般能加载到操作系统内核中并运行在特权模式下,因此能拦截或欺骗反病毒软件对操作系统应用程序接口的调用,从而隐藏恶意软件。Rookit技术可以绕过动态行为检测、动态启发式检测方法。
综上,现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。
发明内容
本发明主要目的在于提供一种恶意软件检测方法、装置和计算机存储介质,旨在解决现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。
为实现上述目的,本发明提供一种恶意软件检测方法,所述恶意软件检测方法包括以下步骤:
收集终端运行软件时显示的用户界面的截图;
提取所述截图的图像特征,生成特征向量;
根据预设机器学习模型对所述特征向量进行推理,获得所述截图对应的标签;
根据所述标签判定所述运行软件是否为恶意软件。
在一实施例中,所述收集终端运行软件时显示的用户界面的截图的步骤之前,还包括:
获取训练数据集;其中,所述训练数据集包括恶意软件和正常软件运行时终端屏幕截图,每个截图至少具有一个标签;
对所述训练数据集中的每一个截图执行以下操作:
识别对应数量个图像特征区域;
将所述对应数量个图像特征区域转化为特征向量;
利用预设机器学习算法、所述特征向量以及所述特征向量的标签,训练预设机器学习模型;其中,所述特征向量的标签为所述特征向量对应截图的标签。
在一实施例中,所述根据所述标签判定所述运行软件是否为恶意软件,包括:
当所述标签为恶意软件标识或恶意软件家族时,判定所述运行软件为恶意软件;
或当所述标签为正常软件时,判定所述运行软件为正常软件。
在一实施例中,所述当所述标签为恶意软件标识或恶意软件家族时,判定所述运行软件为恶意软件的步骤之后,还包括:
终端发出预设警告提示用户所述运行软件为恶意软件。
在一实施例中,所述收集终端运行软件时显示的用户界面的截图的步骤之后,还包括:
终端通过用户接口将所述截图上传至预设服务器;
预设服务器提取所述截图的图像特征,生成特征向量;
预设服务器根据所述预设机器学习模型对所述特征向量进行推理,获得所述截图对应的标签;
预设服务器返回所述标签至终端;
终端根据所述标签判定所述运行软件是否为恶意软件;
当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
在一实施例中,所述利用预设机器学习算法、所述特征向量以及所述特征向量的标签,训练预设机器学习模型的步骤之后,还包括:
收集截图序列数据集;其中,获取一个软件数据集,软件数据集包括多个软件,软件数据集中每个软件至少具有一个标签;对软件数据集中每个软件收集终端用户界面至少两张截图形成软件截图序列,所有软件的截图序列构成截图序列数据集;
根据所述截图序列数据集生成标签序列集;
收集终端运行软件时显示的用户界面的至少两张截图,生成截图序列;
提取所述截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列;
根据预设机器学习模型推理所述图像序列特征向量序列,获得所述截图序列对应的标签序列;
在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签;
根据所述标签判定所述运行软件是否为恶意软件;
当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
在一实施例中,所述根据所述截图序列数据集生成标签序列集,包括:
对所述截图序列数据集中每一个软件截图序列执行以下操作:
提取一个截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列;
根据预设机器学习模型推理所述图像序列特征向量序列,获得所述软件数据集对应的标签序列;
根据所述标签序列赋予对应软件的标签;
当所有软件截图序列都获得标签序列和软件对应的标签时,将所述所有软件截图序列的标签序列以及所述软件对应的标签,构成标签序列集。
在一实施例中,所述在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签,包括:
当搜索结果为一个标签时,返回所述标签;
或当搜索结果为至少两个标签时,返回出现频次最高的标签;
或当搜索结果为至少两个标签且存在至少两个标签出现频次相同时,从所述至少两个标签频次相同的标签中随机返回一个标签;
或未在所述标签序列集中搜索到与所述标签序列相同的标签序列时,返回所述标签序列中出现频次最高的标签。
在一实施例中,所述收集终端运行软件时显示的用户界面的至少两张截图,生成截图序列的步骤之后,还包括:
终端通过用户接口将所述截图序列上传至预设服务器;
预设服务器提取所述截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列;
预设服务器根据预设机器学习模型推理所述图像序列特征向量序列,获得所述截图序列对应的标签序列;
预设服务器在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签;
预设服务器返回所述标签至终端;
终端根据所述标签判定所述运行软件是否为恶意软件;
当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
为实现上述目的,本发明还提供一种恶意软件检测装置,所述装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的恶意软件检测程序,所述恶意软件检测程序被所述处理器执行时实现如上所述的恶意软件检测方法的各个步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有恶意软件检测程序,所述恶意软件检测程序被处理器执行时实现如上所述的恶意软件检测方法的各个步骤。
本发明提供的恶意软件检测方法、装置和计算机存储介质,将训练好的预设机器学习模型应用到终端中;收集终端运行软件时显示的用户界面的截图,此截图为单张截图;根据截图识别一个或者多个图像特征区域,每个特征区域是具有特定属性的一组像素点,如形状和颜色等的组合;然后将特征区域转化为特征向量;根据训练好的预设机器学习模型对特征向量进行推理运算,获得截图对应的标签,标签是对运行软件的分类;根据标签判定所述运行软件是否为恶意软件。基于本申请终端屏幕截图检测恶意软件的方法,相对于现有的基于软件代码的检测方法,解决了现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。
附图说明
图1为本发明实施例涉及的装置结构示意图;
图2为本发明恶意软件检测方法的第一实施例的流程示意图;
图3为本发明恶意软件检测方法的第二实施例的流程示意图;
图4为本发明第一实施例中步骤S140的具体流程示意图;
图5为本发明恶意软件检测方法的第三实施例的流程示意图;
图6为本发明恶意软件检测方法的第四实施例的流程示意图;
图7为根据预设服务器检测恶意软件的架构图;
图8为本发明恶意软件检测方法的第五实施例的流程示意图;
图9为根据截图序列检测终端恶意软件的架构图;
图10为本发明恶意软件检测方法的第六实施例的流程示意图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:将训练好的预设机器学习模型应用到终端中;收集终端运行软件时显示的用户界面的截图,此截图为单张截图;根据截图识别一个或者多个图像特征区域,每个特征区域是具有特定属性的一组像素点,如形状和颜色等的组合;然后将特征区域转化为特征向量;根据训练好的预设机器学习模型对特征向量进行推理运算,获得截图对应的标签,标签是对运行软件的分类;根据标签判定所述运行软件是否为恶意软件。基于本申请终端屏幕截图检测恶意软件的方法,相对于现有的基于软件代码的检测方法,解决了现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。
作为一种实现方式,可以如图1所示,图1是本发明实施例方案涉及的装置结构示意图。
处理器1100可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1100中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1100可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1200,处理器1100读取存储器1200中的信息,结合其硬件完成上述方法的步骤。
可以理解,本发明实施例中的存储器1200可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本发明实施例描述的系统和方法的存储器1200旨在包括但不限于这些和任意其它适合类型的存储器。
对于软件实现,可通过执行本发明实施例所述功能的模块(例如过程、函数等)来实现本发明实施例所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
基于上述结构,提出本发明的实施例。
参照图2,图2为本发明恶意软件检测方法的第一实施例,所述恶意软件检测方法包括以下步骤:
步骤S110,收集终端运行软件时显示的用户界面的截图。
在本实施例中,恶意软件即专门设计用于破坏计算机系统的软件,包括但不限于计算机病毒、蠕虫、木马、勒索软件、间谍软件、广告软件流氓软件等。运行软件指的是可疑软件,即可能为恶意软件,也可能为正常软件的任意软件。终端又称为通信终端,可以是智能手机、电脑、平板电脑、多媒体播放器、电子阅读器、可穿戴式设备等。截图为展示终端屏幕全部或部分内容的数字图像,通常由操作系统或专用软件截取,也可利用外部相机获取。
终端中的截图收集器利用操作系统提供的程序接口监控终端的使用情况,当用户运行可疑软件并在终端屏幕显示用户界面时,截图收集器自动截图;当然也可以为用户主动截图,本实施例中的截图为单张截图。
步骤S120,提取所述截图的图像特征,生成特征向量。
在本实施例中,终端中的图像特征提取器提取截图的图像特征,生成特征向量。具体为:识别一个或者多个图像特征区域。每个特征区域是具有特定属性的一组像素点,如形状和颜色等的组合;然后将特征区域转化为特征向量。例如,第一个图像特征区域为存在一个半圆形状、第二个图像特征区域为存在一个矩形、第三个图像特征区域为不存在一个红色圆点、第四个图像特征区域为不存在连续白色区域、第五个图像特征区域为存在一个笑脸图标;则生成特征向量为[0,1,0,0,1]。
在一种可能的实施方式中,图像特征提取器还可能检测特征区域的属性,如在截图中的位置、出现频次等。图像特征提取器使用计算机视觉技术实现特征区域识别和特征向量转化,例如图像卷积算法。在一种可能的实施方式中,图像特征提取器直接将截图每个像素取值作为一个特征,生成特征向量。例如一个像素数为800*600的RGB(Red GreenBlue,红绿蓝)截图对应的特征向量维度是800*600*3维,特征向量每个元素是二进制数。
步骤S130,根据预设机器学习模型对所述特征向量进行推理,获得所述截图对应的标签。
在本实施例中,标签指的是对运行软件的分类。在本申请中标签是在训练预设机器模型时安全专家人工分析所运行的软件代码给出的标签,在此不做过多赘述。例如,该软件可以是恶意软件、是正常软件、恶意软件家族标识等。恶意软件家族指的是根据软件共同特征对恶意软件的分类机制,特征包括代码结构、作者等。每个恶意软件家族有一个家族标识,例如一个字符串。
优选将机器学习模型提供给机器学习推理模块,机器学习推理模块采用预设机器学习模型对特征向量进行推理运算,获得截图对应的标签。输出标签的数量和范围取决于预设机器学习模型的配置。预设机器学习模型能接受一个与训练时输入的特征向量维度相同的特征向量,并输出一个或多个标签。任意一个特征向量可以有一个或多个标签,例如“是恶意软件”和“家族A”,当然,不能同时具有“是恶意软件”和“是正常软件”两种标签,也不能同时具有“是正常软件”和任意恶意家族标识的标签。
步骤S140,根据所述标签判定所述运行软件是否为恶意软件。
在本实施例中,根据标签判定运行软件是否为恶意软件,例如,标签为恶意软件或者恶意软件家族标识A,则判定运行软件为恶意软件;标签为正常软件,则判定运行软件为正常软件。
在本实施例提供的技术方案中,将训练好的预设机器学习模型应用到终端中;收集终端运行软件时显示的用户界面的截图,此截图为单张截图;根据截图识别一个或者多个图像特征区域,每个特征区域是具有特定属性的一组像素点,如形状和颜色等的组合;然后将特征区域转化为特征向量;根据训练好的预设机器学习模型对特征向量进行推理运算,获得截图对应的标签,标签是对运行软件的分类;根据标签判定所述运行软件是否为恶意软件。基于本申请终端屏幕截图检测恶意软件的方法,相对于现有的基于软件代码的检测方法,解决了现有技术中存在攻击者利用恶意软件检测绕过技术导致恶意软件检出率低的问题。
参照图3,图3为本发明恶意软件检测方法的第二实施例,包括:
与第一实施例相比,第二实施例包含步骤S210,步骤S220,步骤S230,其他步骤与第一实施例相同,不再赘述。
步骤S210,获取训练数据集;其中,所述训练数据集包括恶意软件和正常软件运行时终端屏幕截图,每个截图至少具有一个标签。
在本实施例中,获取训练数据集;训练数据集包含了恶意软件和正常软件运行时终端屏幕截图,每个截图至少具有一个标签,例如是恶意软件、是正常软件、恶意软件家族标识等。该训练数据集包括但不限于来自于实验室、企业等组织。例如,在沙箱或受控的移动终端等环境中自动化批量运行软件,并在运行时对终端屏幕截图,安全专家人工分析所运行的软件代码并给出标签。
对所述训练数据集中的每一个截图执行以下操作:
步骤S220,识别对应数量个图像特征区域。
在本实施例中,对应数量是根据截图自身属性所决定。图像特征提取器识别对应数量个图像特征区域。每个特征区域是具有特定属性的一组像素点,如形状和颜色等的组合。例如,识别截图为五个图像特征区域。
步骤S230,将所述对应数量个图像特征区域转化为特征向量。
在本实施例中,图像特征提取器将对应数量个图像特征区域转化为特征向量。例如,将五个图像特征区域转化为特征张量;这五个图像特征区域具体为:第一个图像特征区域为存在一个半圆形状、第二个图像特征区域为存在一个矩形、第三个图像特征区域为不存在一个红色圆点、第四个图像特征区域为不存在连续白色区域、第五个图像特征区域为存在一个笑脸图标;则生成特征向量为[0,1,0,0,1]。
步骤S240,利用预设机器学习算法、所述特征向量以及所述特征向量的标签,训练预设机器学习模型;其中,所述特征向量的标签为所述特征向量对应截图的标签。
在本实施例中,优选为机器学习算法训练模块接受图像特征提取器生成的特征向量,对每个特征向量,将其对应的截图的标签作为特征向量标签,输入预设机器学习算法至机器学习算法训练模块中,计算出一个机器学习模型。上述机器学习算法包括但不限于神经网络算法、决策数算法、随机森林算法、支持向量机算法。上述机器学习模型是一个或多个参数值构成的文件,在逻辑上可以是一颗或多颗决策树,也可以是一个或多个超平面。在一种可能的实施例中,可以生成多个机器学习模型,例如针对每一个恶意家族生成一个机器学习模型,也可以将训练数据集分为多个子集并利用每个子集训练一个机器学习模型。获得训练好的预设机器学习模型。
步骤S250,收集终端运行软件时显示的用户界面的截图。
步骤S260,提取所述截图的图像特征,生成特征向量。
步骤S270,根据预设机器学习模型对所述特征向量进行推理,获得所述截图对应的标签。
步骤S280,根据所述标签判定所述运行软件是否为恶意软件。
在本实施例提供的技术方案中,获取训练数据集;训练数据集包含了恶意软件和正常软件运行时终端屏幕截图,每个截图至少具有一个标签,标签为安全专家人工分析所运行的软件代码并给出;对训练数据集中的每一个截图执行以下操作:识别对应数量个图像特征区域;每个特征区域是具有特定属性的一组像素点,如形状和颜色等的组合;将对应数量个图像特征区域转化为特征向量;利用预设机器学习算法、特征向量以及特征向量的标签,训练预设机器学习模型;获得训练好的预设机器学习模型。采用已知的正常软件和恶意软件的截图训练数据集和预设机器学习算法训练得到预设机器学习模型,提升了模型的检测准确性。
参照图4,图4为本发明第一实施例中步骤S140,所述根据所述标签判定所述运行软件是否为恶意软件的具体步骤,具体包括:
步骤S141,当所述标签为恶意软件标识或恶意软件家族时,判定所述运行软件为恶意软件。
在本实施例中,当标签为恶意软件或恶意软件家族时,例如,标签为恶意软件家族A;终端判定运行软件为恶意软件。
或步骤S142,当所述标签为正常软件时,判定所述运行软件为正常软件。
在本实施例中,当标签为正常软件时,终端判定所述运行软件为正常软件。
参照图5,图5为本发明恶意软件检测方法的第三实施例,包括:
步骤S310,收集终端运行软件时显示的用户界面的截图。
步骤S320,提取所述截图的图像特征,生成特征向量。
步骤S330,根据预设机器学习模型对所述特征向量进行推理,获得所述截图对应的标签。
步骤S340,当所述标签为恶意软件标识或恶意软件家族时,判定所述运行软件为恶意软件。
步骤S350,终端发出预设警告提示用户所述运行软件为恶意软件。
在本实施例中,预设警告提示包括但不限于:屏幕弹窗、声音、状态栏通知等。终端向用户发出预设警告提示,以提示用户运行软件为恶意软件。可选地,用户可以配置告警策略,例如即使检测结果为正常软件,也显示检测结果。
参照图6,图6为本发明恶意软件检测方法的第四实施例,包括:
步骤S410,收集终端运行软件时显示的用户界面的截图。
步骤S420,终端通过用户接口将所述截图上传至预设服务器。
在本实施例中,用户通过预设服务器提供的用户接口将截图上传到预设服务器。用户接口可以是网页、API(Application Programming Interface,应用程序接口)。
步骤S430,预设服务器提取所述截图的图像特征,生成特征向量。
在本实施例中,将预设机器学习模型应用到预设服务器中,则预设服务器包括:训练数据集、图像特征提取模块、机器学习算法训练模块、用户接口、机器学习推理模块;参照图7,图7为根据预设服务器检测恶意软件的架构图。
预设服务器调用图像特征提取模块获得终端上传的截图,将截图识别对应数量个图像特征区域;将对应数量个图像特征区域转化为特征向量。
步骤S440,预设服务器根据所述预设机器学习模型对所述特征向量进行推理,获得所述截图对应的标签。
在本实施例中,预设服务器将图像特征提取模块提取的特征向量输入至机器学习推理模块,机器学习推理模块对特征向量进行推理运算,得到标签。
步骤S450,预设服务器返回所述标签至终端。
在本实施例中,预设服务器通过用户接口将标签返回至终端。
步骤S460,终端根据所述标签判定所述运行软件是否为恶意软件。
在本实施例中,终端根据标签判定运行软件是否为恶意软件。
步骤S470,当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
在本实施例中,当标签为恶意软件或恶意软件家族时,例如,标签为恶意软件家族A;终端判定运行软件为恶意软件,向用户发出预设警告提示,以提示用户运行软件为恶意软件。
在本实施例提供的技术方案中,终端通过用户接口将所述截图上传至预设服务器;预设服务器调用图像特征提取模块获得终端上传的截图,将截图识别对应数量个图像特征区域;将对应数量个图像特征区域转化为特征向量;预设服务器将图像特征提取模块提取的特征向量输入至机器学习推理模块,机器学习推理模块对特征向量进行推理运算,得到标签;预设服务器通过用户接口将标签返回至终端;终端根据标签判定运行软件是否为恶意软件;当运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。不用将预设机器学习模型应用到终端中,而是将预设机器学习模型应用到预设服务器中。目前的一些云端检测技术,用户需要上传整个文件或系统日志,但大部分用户不具备定位可疑文件和收集日志的专业能力,而本实施例提供的技术方案,用户可在不安装反病毒软件的情况下容易地自主上传个人终端截图到服务器进行恶意软件检测,截图和上传功能是用户都可独立轻松完成的,能一定程度上提升检测效率,提升了用户的体验性。
根据单个用户界面截图检测该截图是否来自恶意软件存在错误分类的可能性,例如来自恶意家族A的恶意软件的用户界面截图可能被机器学习推理模块分类为恶意家族B,或者分类为正常软件。造成分类错误的原因可能是训练数据不足、参数设置不合理或两个不同标签类别的软件的用户界面相似等。
终端软件的一个典型特征是与用户的交互,用户通过点击和滑动等操作屏幕改变用户界面展示内容。多个不同的用户界面比单个用户界面的特征信息更多,因此可以被用来进行更准确的分类检测。
参照图8,图8为本发明恶意软件检测方法的第五实施例,在本发明第二实施例步骤S240,利用预设机器学习算法、所述特征向量以及所述特征向量的标签,训练预设机器学习模型的步骤之后,包括:
步骤S510,收集截图序列数据集;其中,获取一个软件数据集,软件数据集包括多个软件,软件数据集中每个软件至少具有一个标签;对软件数据集中每个软件收集终端用户界面至少两张截图形成软件截图序列,所有软件的截图序列构成截图序列数据集。
在本实施例中,收集截图序列数据集;获取一个软件数据集,软件数据集包括多个软件,在此不做过多限定,软件数据集中每个软件至少具有一个标签,标签可以是恶意软件、是正常软件、恶意软件家族标识等。该软件数据集优选来自于实验室、企业等组织。对软件数据集中每个软件,在沙箱或受控的真实移动终端等环境中运行,并进行多次屏幕操作,对每次操作前后的用户界面进行截图,记录操作顺序。例如,在屏幕展示用户界面A时截图为图像A,点击用户界面A上的内容跳转到用户界面B,对用户界面B截图为图像B,点击用户界面B跳转到用户界面C,对用户界面C截图为图像C。记录的结果是一个截图序列[图像A,图像B,图像C]。所有软件的截图序列构成截图序列数据集。
步骤S520,根据所述截图序列数据集生成标签序列集。具体包括:
对所述截图序列数据集中每一个软件截图序列执行以下操作:
步骤S521,提取一个截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列。
步骤S522,根据预设机器学习模型推理所述图像序列特征向量序列,获得所述软件截图序列对应的标签序列。
步骤S523,根据所述标签序列赋予对应软件的标签。
步骤S524,当所有软件截图序列都获得标签序列和软件对应的标签时,将所述所有软件截图序列的标签序列以及所述软件对应的标签,构成标签序列集。
在本实施例中,对截图序列数据集中的每一个软件截图序列即软件截图序列中的每张图像,标签序列生成器调用特征提取模块和机器学习推理模块计算该图像的标签,计算的结果是一个标签序列。例如恶意软件家族M中某软件的截图序列[图像A,图像B,图像C]对应的标签序列是[家族M,家族N,家族M]。序列中第二个图像之所以被推理分类为家族N,可能是因为图像B与恶意家族N中的软件的截图相同或相似。标签序列生成器为每个标签序列赋予该序列对应的软件的标签,例如上述[家族M,家族N,家族M]这一标签序列的标签是家族M。还存在另一种情况:例如恶意软件家族N中某软件的截图序列[图像A,图像B,图像C]对应的标签序列是[家族M,家族N,家族M]。序列中第一、第三个图像之所以被推理分类为家族M,可能是因为图像A、C与恶意家族M中的软件的截图相同或相似。标签序列生成器为每个标签序列赋予该序列对应的软件的标签,例如上述[家族M,家族N,家族M]这一标签序列的标签是家族N。标签序列生成器对所有截图序列执行上述过程,得到多个标签序列和对应的标签,构成标签序列集。
参照图9,图9为根据截图序列检测终端恶意软件的架构图。预设服务器中包括:训练数据集、图像特征提取模块、机器学习算法训练模块、标签序列生成器。预设服务器将预设机器学习模型和标签序列集发送至终端,终端中包括:截图收集器、图像特征提取模块、机器学习推理模块、类别序列搜索。
步骤S530,收集终端运行软件显示用户界面的至少两张截图,生成截图序列。
在本实施例中,截图收集器利用操作系统提供的程序接口监控终端使用情况,当用户运行一个可疑软件并在屏幕显示用户界面时,截图收集器可以自动截图。具体的,截图收集器可以记录用户操作用户界面或软件自动跳转前后的用户界面关系,例如,收集至少两张软件运行时截图,截图收集器对当前界面A截图,又检测用户界面跳转到B,进而对界面B截图。并对至少两张用户界面截图,从而生成截图序列。
步骤S540,提取所述截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列。
在本实施例中,对截图序列中的每张截图执行以下操作:
图像特征提取模块识别对应数量个图像特征区域。每个特征区域是具有特定属性的一组像素点,如形状和颜色等的组合。
图像特征提取模块将对应数量个图像特征区域转化为特征向量。
然后根据所有的特征向量生成图像序列特征向量序列。
步骤S550,根据预设机器学习模型推理所述图像序列特征向量序列,获得所述截图序列对应的标签序列。
在本实施例中,机器学习推理模块采用预设机器学习模型推理图像序列特征向量序列,获得截图序列对应的标签序列。
步骤S560,在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签,具体包括:
步骤S561,当搜索结果为一个标签时,返回所述标签。
或步骤S562,当搜索结果为至少两个标签时,返回出现频次最高的标签。
在本实施例中,例如,标签序列为[家族M,家族N,家族M],在标签序列集搜索相同的标签序列为100个[家族M,家族N,家族M],该标签序列对应家族M和家族N两个标签;其中90个标签序列对应软件的标签为家族M,10个标签序列对应软件的标签为家族N,则返回出现频次最高的标签M。
或步骤S563,当搜索结果为至少两个标签且存在至少两个标签出现频次相同时,从所述至少两个标签频次相同的标签中随机返回一个标签。
在本实施中,例如,标签序列为[家族M,家族N,家族M],在标签序列集搜索相同的标签序列为100个[家族M,家族N,家族M],其中50个标签序列对应软件的标签为家族M,50个标签序列对应软件的标签为家族N,则随机返回其中一个标签。
或步骤S564,未在所述标签序列集中搜索到与所述标签序列相同的标签序列时,返回所述标签序列中出现频次最高的标签。
在本实施例中,例如,未在所述标签序列集中搜索到与所述标签序列相同的标签序列时,标签序列为[家族M,家族N,家族M,家族M],则返回家族M。
步骤S560的搜索策略只是一种具体的实施方式,不排除其它实施例方式。
步骤S570,根据所述标签判定所述运行软件是否为恶意软件。
在本实施例中,终端根据标签判定运行软件是否为恶意软件。
步骤S580,当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
在本实施例中,当标签为恶意软件或恶意软件家族时,例如,标签为恶意软件家族A;终端判定运行软件为恶意软件,向用户发出预设警告提示,以提示用户运行软件为恶意软件。
在本实施例提供的技术方案中,收集截图序列数据集;根据截图序列数据集生成标签序列集;收集终端运行软件显示用户界面的至少两张截图,生成截图序列;提取截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列;根据预设机器学习模型推理所述图像序列特征向量序列,获得截图序列对应的标签序列;在标签序列集中搜索与标签序列相同的标签序列对应的标签;根据所述标签判定运行软件是否为恶意软件;当运行软件为恶意软件时,终端发出预设警告提示用户运行软件为恶意软件。本实施例根据截图序列检测终端恶意软件,从而解决了根据单个用户界面截图检测该截图是否来自恶意软件存在错误分类的情况,获得了更准确的分类检测。
参照图10,图10为本发明恶意软件检测方法的第六实施例,包括:
步骤S610,收集终端运行软件时显示的用户界面的至少两张截图,生成截图序列。
步骤S620,终端通过用户接口将所述截图序列上传至预设服务器。
步骤S630,预设服务器提取所述截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列。
步骤S640,预设服务器根据预设机器学习模型推理所述图像序列特征向量序列,获得所述截图序列对应的标签序列。
步骤S650,预设服务器在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签。
步骤S660,预设服务器返回所述标签至终端。
步骤S670,终端根据所述标签判定所述运行软件是否为恶意软件。
步骤S680,当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
在本实施例中,将预设机器学习模型只应用到预设服务器中,在预设服务器中推理得到标签。而终端负责完成截图序列的收集、将截图序列上传至预设服务器中以及根据预设服务器返回的标签判定运行软件是否为恶意软件即可。用户可在不安装反病毒软件的情况下容易地自主上传截图序列到服务器进行恶意软件检测,从而进一步不解决了根据单个用户界面截图检测该截图是否来自恶意软件存在错误分类的情况,获得了更准确的分类检测,提升了用户的体验性。
本发明还提供一种恶意软件检测装置,所述装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的显示器黑屏的原因的确定程序,所述显示器黑屏的原因的确定程序被所述处理器执行时实现如上所述的显示器黑屏的原因的确定方法的各个步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有显示器黑屏的原因的确定程序,所述显示器黑屏的原因的确定程序被处理器执行时实现如上所述的显示器黑屏的原因的确定方法的各个步骤。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种恶意软件检测方法,其特征在于,所述恶意软件检测方法包括以下步骤:
收集终端运行软件时显示的用户界面的截图;
提取所述截图的图像特征,生成特征向量;
根据预设机器学习模型对所述特征向量进行推理,获得所述截图对应的标签;
根据所述标签判定所述运行软件是否为恶意软件。
2.如权利要求1所述的恶意软件检测方法,其特征在于,所述收集终端运行软件时显示的用户界面的截图的步骤之前,还包括:
获取训练数据集;其中,所述训练数据集包括恶意软件和正常软件运行时终端屏幕截图,每个截图至少具有一个标签;
对所述训练数据集中的每一个截图执行以下操作:
识别对应数量个图像特征区域;
将所述对应数量个图像特征区域转化为特征向量;
利用预设机器学习算法、所述特征向量以及所述特征向量的标签,训练预设机器学习模型;其中,所述特征向量的标签为所述特征向量对应截图的标签。
3.如权利要求2所述的恶意软件检测方法,其特征在于,所述根据所述标签判定所述运行软件是否为恶意软件,包括:
当所述标签为恶意软件标识或恶意软件家族时,判定所述运行软件为恶意软件;
或当所述标签为正常软件时,判定所述运行软件为正常软件。
4.如权利要求3所述的恶意软件检测方法,其特征在于,所述当所述标签为恶意软件标识或恶意软件家族时,判定所述运行软件为恶意软件的步骤之后,还包括:
终端发出预设警告提示用户所述运行软件为恶意软件。
5.如权利要求2所述的恶意软件检测方法,其特征在于,所述收集终端运行软件时显示的用户界面的截图的步骤之后,还包括:
终端通过用户接口将所述截图上传至预设服务器;
预设服务器提取所述截图的图像特征,生成特征向量;
预设服务器根据所述预设机器学习模型对所述特征向量进行推理,获得所述截图对应的标签;
预设服务器返回所述标签至终端;
终端根据所述标签判定所述运行软件是否为恶意软件;
当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
6.如权利要求2所述的恶意软件检测方法,其特征在于,所述利用预设机器学习算法、所述特征向量以及所述特征向量的标签,训练预设机器学习模型的步骤之后,还包括:
收集截图序列数据集;其中,获取一个软件数据集,软件数据集包括多个软件,软件数据集中每个软件至少具有一个标签;对软件数据集中每个软件收集终端用户界面至少两张截图形成软件截图序列,所有软件的截图序列构成截图序列数据集;
根据所述截图序列数据集生成标签序列集;
收集终端运行软件时显示的用户界面的至少两张截图,生成截图序列;
提取所述截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列;
根据预设机器学习模型推理所述图像序列特征向量序列,获得所述截图序列对应的标签序列;
在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签;
根据所述标签判定所述运行软件是否为恶意软件;
当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
7.如权利要求6所述的恶意软件检测方法,其特征在于,所述根据所述截图序列数据集生成标签序列集,包括:
对所述截图序列数据集中每一个软件截图序列执行以下操作:
提取一个截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列;
根据预设机器学习模型推理所述图像序列特征向量序列,获得所述软件截图序列对应的标签序列;
根据所述标签序列赋予对应软件的标签;
当所有软件截图序列都获得标签序列和软件对应的标签时,将所述所有软件截图序列的标签序列以及所述软件对应的标签,构成标签序列集。
8.如权利要求7所述的恶意软件检测方法,其特征在于,所述在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签,包括:
当搜索结果为一个标签时,返回所述标签;
或当搜索结果为至少两个标签时,返回出现频次最高的标签;
或当搜索结果为至少两个标签且存在至少两个标签出现频次相同时,从所述至少两个标签频次相同的标签中随机返回一个标签;
或未在所述标签序列集中搜索到与所述标签序列相同的标签序列时,返回所述标签序列中出现频次最高的标签。
9.如权利要求8所述的恶意软件检测方法,其特征在于,所述收集终端运行软件时显示的用户界面的至少两张截图,生成截图序列的步骤之后,还包括:
终端通过用户接口将所述截图序列上传至预设服务器;
预设服务器提取所述截图序列中的每张图像特征,生成每张图像对应的特征向量;根据所有的特征向量生成图像序列特征向量序列;
预设服务器根据预设机器学习模型推理所述图像序列特征向量序列,获得所述截图序列对应的标签序列;
预设服务器在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签;
预设服务器返回所述标签至终端;
终端根据所述标签判定所述运行软件是否为恶意软件;
当所述运行软件为恶意软件时,终端发出预设警告提示用户所述运行软件为恶意软件。
10.一种恶意软件检测装置,其特征在于,所述装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的恶意软件检测程序,所述恶意软件检测程序被所述处理器执行时实现如权利要求1-9任一项所述的恶意软件检测方法的各个步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有恶意软件检测程序,所述恶意软件检测程序被处理器执行时实现如权利要求1-9任一项所述的恶意软件检测方法的各个步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110059497.4A CN112784269A (zh) | 2021-01-15 | 2021-01-15 | 恶意软件检测方法、装置和计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110059497.4A CN112784269A (zh) | 2021-01-15 | 2021-01-15 | 恶意软件检测方法、装置和计算机存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112784269A true CN112784269A (zh) | 2021-05-11 |
Family
ID=75756950
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110059497.4A Pending CN112784269A (zh) | 2021-01-15 | 2021-01-15 | 恶意软件检测方法、装置和计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112784269A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113568592A (zh) * | 2021-06-25 | 2021-10-29 | 展讯半导体(南京)有限公司 | 终端的显示控制方法、终端及存储介质 |
CN113806174A (zh) * | 2021-09-18 | 2021-12-17 | 南京雷鲨信息科技有限公司 | 一种手机游戏状态的监控方法、系统 |
CN116155535A (zh) * | 2022-11-30 | 2023-05-23 | 云南电网有限责任公司 | 基于电网采集终端业务的动态防御机制方法和装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107832774A (zh) * | 2017-10-09 | 2018-03-23 | 无线生活(杭州)信息科技有限公司 | 一种页面异常检测方法及装置 |
CN109165688A (zh) * | 2018-08-28 | 2019-01-08 | 暨南大学 | 一种安卓恶意软件家族分类器构建方法及其分类方法 |
CN110309073A (zh) * | 2019-06-28 | 2019-10-08 | 上海交通大学 | 移动应用程序用户界面错误自动化检测方法、系统及终端 |
CN111625826A (zh) * | 2020-05-28 | 2020-09-04 | 浪潮电子信息产业股份有限公司 | 云服务器中的恶意软件检测方法、装置及可读存储介质 |
US20200349257A1 (en) * | 2019-05-01 | 2020-11-05 | EMC IP Holding Company LLC | Detecting and mitigating malicious software code embedded in image files using machine learning techniques |
CN111914254A (zh) * | 2020-06-24 | 2020-11-10 | 中国科学院信息工程研究所 | 一种基于弱耦合sgan的恶意软件家族分类器生成方法、装置及可读存储介质 |
CN111932544A (zh) * | 2020-10-19 | 2020-11-13 | 鹏城实验室 | 篡改图像检测方法、装置及计算机可读存储介质 |
-
2021
- 2021-01-15 CN CN202110059497.4A patent/CN112784269A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107832774A (zh) * | 2017-10-09 | 2018-03-23 | 无线生活(杭州)信息科技有限公司 | 一种页面异常检测方法及装置 |
CN109165688A (zh) * | 2018-08-28 | 2019-01-08 | 暨南大学 | 一种安卓恶意软件家族分类器构建方法及其分类方法 |
US20200349257A1 (en) * | 2019-05-01 | 2020-11-05 | EMC IP Holding Company LLC | Detecting and mitigating malicious software code embedded in image files using machine learning techniques |
CN110309073A (zh) * | 2019-06-28 | 2019-10-08 | 上海交通大学 | 移动应用程序用户界面错误自动化检测方法、系统及终端 |
CN111625826A (zh) * | 2020-05-28 | 2020-09-04 | 浪潮电子信息产业股份有限公司 | 云服务器中的恶意软件检测方法、装置及可读存储介质 |
CN111914254A (zh) * | 2020-06-24 | 2020-11-10 | 中国科学院信息工程研究所 | 一种基于弱耦合sgan的恶意软件家族分类器生成方法、装置及可读存储介质 |
CN111932544A (zh) * | 2020-10-19 | 2020-11-13 | 鹏城实验室 | 篡改图像检测方法、装置及计算机可读存储介质 |
Non-Patent Citations (1)
Title |
---|
KE HE, DONG SEONG KIM: "Malware Detection with Malware Images using Deep Learning Techniques", 2019 18TH IEEE INTERNATIONAL CONFERENCE ON TRUST, SECURITY AND PRIVACY IN COMPUTING AND COMMUNICATIONS, 31 October 2019 (2019-10-31), pages 95 - 102 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113568592A (zh) * | 2021-06-25 | 2021-10-29 | 展讯半导体(南京)有限公司 | 终端的显示控制方法、终端及存储介质 |
CN113806174A (zh) * | 2021-09-18 | 2021-12-17 | 南京雷鲨信息科技有限公司 | 一种手机游戏状态的监控方法、系统 |
CN116155535A (zh) * | 2022-11-30 | 2023-05-23 | 云南电网有限责任公司 | 基于电网采集终端业务的动态防御机制方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2984383C (en) | Cascading classifiers for computer security applications | |
Komatwar et al. | Retracted article: a survey on malware detection and classification | |
Zhao et al. | A review of computer vision methods in network security | |
CN112784269A (zh) | 恶意软件检测方法、装置和计算机存储介质 | |
Cohen et al. | MalJPEG: Machine learning based solution for the detection of malicious JPEG images | |
Struppek et al. | Learning to break deep perceptual hashing: The use case neuralhash | |
Canzanese et al. | Toward an automatic, online behavioral malware classification system | |
KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
EP3772004B1 (en) | Malicious incident visualization | |
US20190294792A1 (en) | Lightweight malware inference architecture | |
Omar | Machine learning for cybersecurity: Innovative deep learning solutions | |
Bala et al. | DroidEnemy: battling adversarial example attacks for Android malware detection | |
Casolare et al. | Dynamic Mobile Malware Detection through System Call-based Image representation. | |
Visu et al. | Software-defined forensic framework for malware disaster management in Internet of Thing devices for extreme surveillance | |
Guerra-Manzanares et al. | Leveraging the first line of defense: A study on the evolution and usage of android security permissions for enhanced android malware detection | |
Atawodi | A machine learning approach to network intrusion detection system using K nearest neighbor and random forest | |
Kalyan et al. | Detection of malware using cnn | |
Kamundala et al. | CNN Model to Classify Malware Using Image Feature | |
Kumar et al. | Texture-based malware family classification | |
Cole et al. | A new facial authentication pitfall and remedy in web services | |
Rahman et al. | An exploratory analysis of feature selection for malware detection with simple machine learning algorithms | |
Zhan et al. | Towards robust CNN-based malware classifiers using adversarial examples generated based on two saliency similarities | |
Rana et al. | Machine Learning Approach for Malware Analysis and Detection | |
Ebrahimi et al. | An Adversarial Reinforcement Learning Framework for Robust Machine Learning-based Malware Detection | |
Deepserish et al. | PET-Droid: Android Malware Detection Using Static Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |