CN113468527A - 一种基于特征表达增强的恶意代码家族分类方法 - Google Patents
一种基于特征表达增强的恶意代码家族分类方法 Download PDFInfo
- Publication number
- CN113468527A CN113468527A CN202110690108.8A CN202110690108A CN113468527A CN 113468527 A CN113468527 A CN 113468527A CN 202110690108 A CN202110690108 A CN 202110690108A CN 113468527 A CN113468527 A CN 113468527A
- Authority
- CN
- China
- Prior art keywords
- malicious code
- family
- file
- classification
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000004927 fusion Effects 0.000 claims abstract description 17
- 239000011159 matrix material Substances 0.000 claims abstract description 17
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 8
- 238000001514 detection method Methods 0.000 claims description 28
- 238000007635 classification algorithm Methods 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 6
- 229910002056 binary alloy Inorganic materials 0.000 claims description 5
- 238000002474 experimental method Methods 0.000 claims description 4
- 238000003066 decision tree Methods 0.000 claims description 3
- 238000007477 logistic regression Methods 0.000 claims description 3
- 238000007637 random forest analysis Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000006399 behavior Effects 0.000 abstract description 5
- 230000010485 coping Effects 0.000 abstract 1
- 238000000605 extraction Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 238000007781 pre-processing Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 3
- 238000007500 overflow downdraw method Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/25—Fusion techniques
- G06F18/253—Fusion techniques of extracted features
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Life Sciences & Earth Sciences (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Image Analysis (AREA)
Abstract
本发明涉及一种基于特征表达增强的恶意代码家族分类方法,属于恶意代码分类技术。因为该方法首先反编译恶意代码源程序得到.bytes文件和.asm文件,然后通过N‑Gram算法提取.asm文件的文本特征,将两类文件转换成灰度图像后,通过灰度共生矩阵和灰度直方图提取纹理特征和颜色特征,最后融合文本特征、纹理特征、颜色特征三类单一特征构建新的融合特征。所以,本发明提供的恶意代码家族分类方法能够增强恶意代码特征表达能力,提高恶意代码家族分类的精度,从而有效应对恶意代码攻击行为,维护互联网网络安全。
Description
技术领域
本发明涉及一种恶意代码分类技术,具体涉及一种基于特征表达增强的恶意代码家族分类方法。
背景技术
随着云计算、大数据、人工智能等新技术的深度发展与大规模应用,网络安全威胁和风险日益增多,给社会发展带来巨大挑战。据《2019年我国互联网网络安全态势综述》披露,仅2019年捕获的计算机恶意程序样本数就超过6,200万个,日均传播数达824万余次,涉及计算机恶意程序家族数量高达66万余个,显示出恶意代码数量逐渐增多,破坏力不断增强。根据赛门铁克(Symantec)发布的最新安全研究报告:2021年01月08日一天内,零日攻击增大54倍(有史以来最高),恶意软件新变种达4.3亿之多。网络犯罪分子利用恶意代码攻击用户和公司,通过破坏或干扰计算机系统的正常运行,实施各种网络攻击,非法获取个人、财务和政治利益。因此,规模日益扩大、危害成倍增强的恶意代码攻击检测成为重要的安全研究方向。
恶意代码检测主要分为特征提取和家族分类,其中特征提取有静态特征检测和动态特征检测两种方法。静态特征检测是指在无需执行程序的情况下,利用提取文件的恶意特征判断家族特性,可有效对代码流进行分析,但该方法易受混淆技术等干扰。动态特征检测方法则是通过跟踪和调试程序进而观察其行为,确定代码是否包含恶意行为,但检测时间长。由于动态方法效率通常过低,目前主流技术仍以静态方法为主。
然而提取的文本、操作码等静态特征,无法满足家族分类的实时性和准确性要求。另外,传统恶意代码检测技术过于依赖单一特征,导致特征信息表达不充分、检测精度低下。
发明内容
本发明是为了解决上述问题而进行的,目的在于提供一种基于特征表达增强的恶意代码家族分类方法。
本发明提供了一种基于特征表达增强的恶意代码家族分类方法,用于对恶意代码源程序进行处理,将得到的检测结果与已知的恶意代码家族进行对比,从而得到分类结果,具有这样的特征,包括如下步骤:步骤S1,将恶意代码源程序进行恶意代码反汇编操作,得到.bytes文件和.asm文件;步骤S2,将.bytes文件和.asm文件通过B2M算法得到灰度图像;步骤S3,对.asm文件和灰度图像进行恶意代码特征提取,得到对应的文本特征、纹理特征及颜色特征;步骤S4,将文本特征、纹理特征及颜色特征进行特征增强融合,得到融合特征;步骤S5,将文本特征、纹理特征、颜色特征及融合特征输入到构建好的分类器中进行分类实验,得到检测结果;步骤S6,将检测结果与恶意代码家族分类库中的已知恶意代码家族进行对比,若检测结果与恶意代码家族分类库中的某种已知恶意代码家族相似,则将恶意代码源程序归为该已知恶意代码家族;步骤S7,若检测结果与恶意代码家族分类库中的所有已知恶意代码家族均不相似,则将恶意代码源程序归为新的恶意代码家族。
在本发明提供的基于特征表达增强的恶意代码家族分类方法中,还具有这样的特征:其中,.bytes文件为二进制文件,记录有恶意代码源程序的二进制数据流,.asm文件为汇编指令文件,记录有恶意代码源程序的汇编指令和汇编代码。
在本发明提供的基于特征表达增强的恶意代码家族分类方法中,还具有这样的特征:其中,步骤S2包括如下子步骤:S2-1,通过二进制流的方式读取.bytes文件和.asm文件,得到二进制数据流;S2-2,将8位二进制转化为无符号整型,得到宽度向量;S2-3,将二进制数据流按照宽度向量构建数组;以及S2-4,将数组的数值与图像的像素值进行转换,得到灰度图像。
在本发明提供的基于特征表达增强的恶意代码家族分类方法中,还具有这样的特征:其中,宽度向量的数值范围为0x00~0xFF,像素值的范围为0~255。
在本发明提供的基于特征表达增强的恶意代码家族分类方法中,还具有这样的特征:其中,其中,步骤S3包括如下子步骤:S3-1,利用N-Gram算法处理.asm文件,提取出N=3时,将总体出现频数大于500次的3-gram汇编指令作为文本特征;S3-2,计算灰度图像的灰度共生矩阵,并将灰度共生矩阵的特征值作为灰度图像的纹理特征;S3-3,计算灰度图像的颜色直方图信息,利用直方图分布信息作为灰度图像的颜色特征。
在本发明提供的基于特征表达增强的恶意代码家族分类方法中,还具有这样的特征:其中,步骤S5中,分类器基于基本分类算法和集成分类算法构建得到。
在本发明提供的基于特征表达增强的恶意代码家族分类方法中,还具有这样的特征:其中,基本分类算法包括决策树、KNN近邻及逻辑回归,集成分类算法包括随机森林与XGBoost。
发明的作用与效果
根据本发明所涉及的基于特征表达增强的恶意代码家族分类方法,因为在步骤S4中,利用多特征融合方法将所提取的多个单一特征进行融合,形成融合特征,所以,增强了恶意特征的表达能力,还可以更有效地检测出潜在的恶意代码。另外,因为在步骤5中,使用灰度共生矩阵和灰度直方图生成纹理特征和颜色特征,所以可以更加全面的分析恶意代码灰度图像的潜在特征信息。此外,因为使用不同机器学习分类方法来完成恶意代码家族的分类任务,所以,提高了恶意代码家族分类的精度和效率,更有效地应对恶意代码攻击行为,维护互联网网络安全。
附图说明
图1是本发明的实施例中基于特征表达增强的恶意代码家族分类方法的流程图;
图2是本发明的实施例中基于特征表达增强的恶意代码家族分类方法的方法示意图;
图3是本发明的实施例中步骤2的子步骤的流程图;
图4是本发明的实施例中步骤2的子步骤的方法示意框图;
图5为本发明的实施例中步骤3的子步骤的流程图;以及
图6为本发明的实施例中步骤3的方法示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,以下结合实施例及附图对本发明一种基于特征表达增强的恶意代码家族分类方法作具体阐述。
<实施例>
本实施例提供了一种基于特征表达增强的恶意代码家族分类方法,该方法采用特征表达增强的恶意代码家族分类系统进行分类,其中,该系统包括恶意代码预处理模块、恶意代码特征提取模块、恶意代码分类检测模块、恶意代码家族分类模块及控制模块。控制模块控制恶意代码预处理模块、恶意代码特征提取模块、恶意代码分类检测模块、恶意代码家族分类模块运行。
图1是本发明的实施例中基于特征表达增强的恶意代码家族分类方法的流程图;图2是本发明的实施例中基于特征表达增强的恶意代码家族分类方法的方法示意图。
如图1与图2所示,本发明的实施例中基于特征表达增强的恶意代码家族分类方法包括如下步骤:
步骤S1,将恶意代码源程序进行恶意代码反汇编操作,得到.bytes文件和.asm文件,具体操作过程如下:
恶意代码预处理模块将恶意代码源程序进行反汇编操作,得到包含汇编指令的汇编指令文件.asm文件和包含二进制数据的二进制文件.bytes文件。
步骤S2,将.bytes文件和.asm文件通过B2M算法得到灰度图像。
图3是本发明的实施例中步骤2的子步骤的流程图;图4是本发明的实施例中步骤2的子步骤的方法示意框图。
如图3与图4所示,步骤S2包括如下子步骤:
步骤S2-1,通过二进制流的方式读取.bytes文件和.asm文件,得到二进制数据流;
步骤S2-2,将8位二进制转化为无符号整型,得到宽度向量;
步骤S2-3,将二进制数据流按照宽度向量构建数组;以及
步骤S2-4,将数组的数值与图像的像素值进行转换,得到灰度图像。
在本实施例的步骤S2中,恶意代码预处理模块将生成的.bytes文件与.asm文件按照字节流方式转换成无压缩的灰度图像,最终预处理得到包含汇编指令的汇编文件.asm文件和两类文件生成的灰度图像。
在本实施例中,步骤S2-1的具体过程为:以二进制流(10001000000011010010111010010111……)的方式读取.bytes文件和.asm文件,得到两类恶意代码文件的二进制数据流。
步骤S2-2的具体过程为:以8位二进制为一个单位,将8位二进制转化为无符号整型,形成指定宽度的数值向量。
步骤S2-3的具体过程为:将步骤S2-1中的全部二进制数据流按照S2-2的数值向量构建整个文件的数组。
步骤S2-4的具体过程为:将数组的数值0x00~0xFF与图像像素值0~255一一对应,将数组的数值与图像像素值相互转化,从而将数组转换成灰度图像。
步骤S3,对.asm文件和灰度图像进行恶意代码特征提取,得到对应的文本特征、纹理特征及颜色特征。
图5为本发明的实施例中步骤3的子步骤的流程图;图6为本发明的实施例中步骤3的方法示意图。
如图5与图6所示,步骤S3包括如下子步骤:
步骤S3-1,利用N-Gram算法处理.asm文件,提取出N=3时,将总体出现频数大于500次的3-gram汇编指令作为文本特征;
步骤S3-2,计算灰度图像的灰度共生矩阵,并将灰度共生矩阵的特征值作为灰度图像的纹理特征;
步骤S3-3,计算灰度图像的颜色直方图信息,利用直方图分布信息作为灰度图像的颜色特征。
在本实施例的步骤S3中,恶意代码特征提取模块提取出具有代表性的恶意代码汇编指令文本特征,并对灰度图像进行特征提取,得到具有局部特征和全局特征的纹理特征和颜色特征,接着利用特征融合方式融合三种不同特征得到融合特征。
在本实施例中,步骤S3-1中的文本特征为反汇编生成的汇编指令文件.asm文件,该.asm文件包含恶意代码的指令和结构信息,通过汇编指令操作码分析相关的操作语义,提取.asm文件高频操作码序列获取恶意代码的代表性文本特征。利用N-Gram算法处理汇编文件(.asm文件),提取出N=3时,总体出现频数大于500次的3-gram汇编指令作为文本特征。
在本实施例中,步骤S3-2中提取纹理特征的具体操作为:
计算灰度图像的灰度像素图及其灰度像素矩阵,得到灰度图像的灰度共生矩阵。计算灰度图像的灰度共生矩阵,并利用其中的特征值(能量、对比度、相异性等)作为灰度图像的纹理特征。
在本实施例中,步骤S3-3中提取颜色特征的具体操作为:
利用灰度直方图代表数字图像的全局颜色特征。计算灰度图像的颜色直方图信息,将直方图分布信息作为灰度图像的颜色特征。
步骤S4,将文本特征、纹理特征及颜色特征进行特征增强融合,得到融合特征。
在本实施例的步骤S3与步骤S4中,恶意代码特征提取模块对.asm文件和灰度图像进行恶意代码特征提取,得到对应的文本特征、纹理特征及颜色特征。接着利用特征融合方式融合三种不同特征得到融合特征。该模块最终可以得到文本特征(Text features)、纹理特征(Texture features)、颜色特征(Color features)和融合特征(Fusion features)四种不同的恶意代码特征。
步骤S5,将文本特征、纹理特征、颜色特征及融合特征输入到构建好的分类器中进行分类实验,得到检测结果。
在本发明的步骤S5中,恶意代码分类检测模块基于机器学习方法,集成了决策树、KNN近邻、逻辑回归等基本分类算法和随机森林、XGBoost等集成分类算法构建不同的分类器,接受来自恶意代码特征提取模板的恶意代码特征,分别将四种不同的恶意代码特征输入构建的分类器中,对提取的文本特征、纹理特征、颜色特征及融合特征进行分类实验,最终根据输入的恶意代码特征得到对应恶意代码的检测结果。
步骤S6,通过恶意代码家族分类模块将检测结果与恶意代码家族分类库中的已知恶意代码家族进行对比,若检测结果与恶意代码家族分类库中的某种已知恶意代码家族相似,则将恶意代码源程序归为该已知恶意代码家族。
步骤S7,若检测结果与恶意代码家族分类库中的所有已知恶意代码家族均不相似,新建新的恶意代码家族种类,并将恶意代码源程序归为新的恶意代码家族。
实施例的作用与效果
根据本实施例所涉及的基于特征表达增强的恶意代码家族分类方法,因为在步骤S4中,利用多特征融合方法将所提取的多个单一特征进行融合,形成融合特征,所以,增强了恶意特征的表达能力,还可以更有效地检测出潜在的恶意代码。另外,因为在步骤5中,使用灰度共生矩阵和灰度直方图生成纹理特征和颜色特征,所以可以更加全面的分析恶意代码灰度图像的潜在特征信息。此外,因为使用不同机器学习分类方法来完成恶意代码家族的分类任务,所以,提高了恶意代码家族分类的精度和效率,更有效地应对恶意代码攻击行为,维护互联网网络安全。
进一步地,因为在本实施例中通过计算灰度像素图及其灰度像素矩阵,得到图像灰度共生矩阵。图像灰度共生矩阵中的特征值(能量、对比度、相异性等)可以体现图像间清晰度的差异,观察矩阵内部行和列的相似程度以及灰度分布均匀度和纹理的粗细程度,并且还可以发现纹理是否一致,所以,选用这些特征值作为灰度图的纹理特征,可以有效地筛选出相同类别的恶意软件,提高恶意代码家族分类的精度和效率。
进一步地,因为本实施例提取的颜色特征既可以描述图像或图像区域所对应景物的表面性质,还可以完全反映物体的本质属性。并且,利用直方图分布信息作为灰度图像的颜色特征灰度直方图可以代表数字图像的全局颜色特征,检测精度更准确,更具有统计学意义。
上述实施方式为本发明的优选案例,并不用来限制本发明的保护范围。
Claims (7)
1.一种基于特征表达增强的恶意代码家族分类方法,用于对恶意代码源程序进行处理,将得到的检测结果与已知的恶意代码家族进行对比,从而得到分类结果,其特征在于,包括如下步骤:
步骤S1,将所述恶意代码源程序进行恶意代码反汇编操作,得到.bytes文件和.asm文件;
步骤S2,将所述.bytes文件和所述.asm文件通过B2M算法得到灰度图像;
步骤S3,对所述.asm文件和所述灰度图像进行恶意代码特征提取,得到对应的文本特征、纹理特征及颜色特征;
步骤S4,将所述文本特征、所述纹理特征及所述颜色特征进行特征增强融合,得到融合特征;
步骤S5,将所述文本特征、所述纹理特征、所述颜色特征及所述融合特征输入到构建好的分类器中进行分类实验,得到检测结果;
步骤S6,将所述检测结果与恶意代码家族分类库中的所述已知恶意代码家族进行对比,若所述检测结果与所述恶意代码家族分类库中的某种已知恶意代码家族相似,则将所述恶意代码源程序归为该已知恶意代码家族;以及
步骤S7,若所述检测结果与所述恶意代码家族分类库中的所有已知恶意代码家族均不相似,则将所述恶意代码源程序归为新的恶意代码家族。
2.根据权利要求1所述的基于特征表达增强的恶意代码家族分类方法,其特征在于:
其中,所述.bytes文件为二进制文件,记录有所述恶意代码源程序的二进制数据流,
所述.asm文件为汇编指令文件,记录有所述恶意代码源程序的汇编指令和汇编代码。
3.根据权利要求1所述的基于特征表达增强的恶意代码家族分类方法,其特征在于:
其中,步骤S2包括如下子步骤:
S2-1,通过二进制流的方式读取所述.bytes文件和所述.asm文件,得到二进制数据流;
S2-2,将8位二进制转化为无符号整型,得到宽度向量;
S2-3,将所述二进制数据流按照所述宽度向量构建数组;以及
S2-4,将所述数组的数值与图像的像素值进行转换,得到灰度图像。
4.根据权利要求3所述的基于特征表达增强的恶意代码家族分类方法,其特征在于:
其中,所述宽度向量的数值范围为0x00~0xFF,所述像素值的范围为0~255。
5.根据权利要求1所述的基于特征表达增强的恶意代码家族分类方法,其特征在于:
其中,其中,所述步骤S3包括如下子步骤:
S3-1,利用N-Gram算法处理所述.asm文件,提取出N=3时,将总体出现频数大于500次的3-gram汇编指令作为文本特征;
S3-2,计算所述灰度图像的灰度共生矩阵,并将所述灰度共生矩阵的特征值作为所述灰度图像的纹理特征;以及
S3-3,计算所述灰度图像的颜色直方图信息,利用直方图分布信息作为所述灰度图像的颜色特征。
6.根据权利要求1所述的基于特征表达增强的恶意代码家族分类方法,其特征在于:
其中,步骤S5中,所述分类器基于基本分类算法和集成分类算法构建得到。
7.根据权利要求6所述的基于特征表达增强的恶意代码家族分类方法,其特征在于:
其中,所述基本分类算法包括决策树、KNN近邻及逻辑回归,
所述集成分类算法包括随机森林与XGBoost。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110690108.8A CN113468527A (zh) | 2021-06-22 | 2021-06-22 | 一种基于特征表达增强的恶意代码家族分类方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110690108.8A CN113468527A (zh) | 2021-06-22 | 2021-06-22 | 一种基于特征表达增强的恶意代码家族分类方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113468527A true CN113468527A (zh) | 2021-10-01 |
Family
ID=77869130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110690108.8A Pending CN113468527A (zh) | 2021-06-22 | 2021-06-22 | 一种基于特征表达增强的恶意代码家族分类方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113468527A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114329472A (zh) * | 2021-12-31 | 2022-04-12 | 淮阴工学院 | 基于双重嵌入与模型剪枝的bios恶意程序检测方法及装置 |
| CN114510721A (zh) * | 2022-02-18 | 2022-05-17 | 哈尔滨工程大学 | 一种基于特征融合的静态恶意代码分类方法 |
| CN115114625A (zh) * | 2022-07-27 | 2022-09-27 | 北京国瑞数智技术有限公司 | 一种基于深度学习的木马家族分类方法和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106709349A (zh) * | 2016-12-15 | 2017-05-24 | 中国人民解放军国防科学技术大学 | 一种基于多维度行为特征的恶意代码分类方法 |
| CN108062478A (zh) * | 2018-01-04 | 2018-05-22 | 北京理工大学 | 全局特征可视化与局部特征相结合的恶意代码分类方法 |
| CN110704842A (zh) * | 2019-09-27 | 2020-01-17 | 山东理工大学 | 一种恶意代码家族分类检测方法 |
-
2021
- 2021-06-22 CN CN202110690108.8A patent/CN113468527A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106709349A (zh) * | 2016-12-15 | 2017-05-24 | 中国人民解放军国防科学技术大学 | 一种基于多维度行为特征的恶意代码分类方法 |
| CN108062478A (zh) * | 2018-01-04 | 2018-05-22 | 北京理工大学 | 全局特征可视化与局部特征相结合的恶意代码分类方法 |
| CN110704842A (zh) * | 2019-09-27 | 2020-01-17 | 山东理工大学 | 一种恶意代码家族分类检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张景莲等: "基于特征融合的恶意代码分类研究", 《计算机工程》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114329472A (zh) * | 2021-12-31 | 2022-04-12 | 淮阴工学院 | 基于双重嵌入与模型剪枝的bios恶意程序检测方法及装置 |
| CN114510721A (zh) * | 2022-02-18 | 2022-05-17 | 哈尔滨工程大学 | 一种基于特征融合的静态恶意代码分类方法 |
| CN115114625A (zh) * | 2022-07-27 | 2022-09-27 | 北京国瑞数智技术有限公司 | 一种基于深度学习的木马家族分类方法和系统 |
| CN115114625B (zh) * | 2022-07-27 | 2024-09-13 | 北京国瑞数智技术有限公司 | 一种基于深度学习的木马家族分类方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Singh et al. | Malware classification using image representation | |
| Kumar et al. | Malicious code detection based on image processing using deep learning | |
| CN107908963B (zh) | 一种自动化检测恶意代码核心特征的方法 | |
| CN111832019B (zh) | 基于生成对抗网络的恶意代码检测方法 | |
| CN109784056B (zh) | 一种基于深度学习的恶意软件检测方法 | |
| Liu et al. | A new learning approach to malware classification using discriminative feature extraction | |
| CN113468527A (zh) | 一种基于特征表达增强的恶意代码家族分类方法 | |
| Chaganti et al. | Image-based malware representation approach with EfficientNet convolutional neural networks for effective malware classification | |
| Zhao et al. | A malware detection method of code texture visualization based on an improved faster RCNN combining transfer learning | |
| CN112241530B (zh) | 恶意pdf文档的检测方法及电子设备 | |
| CN111259397B (zh) | 一种基于马尔科夫图和深度学习的恶意软件分类方法 | |
| Lubenko et al. | Going from small to large data in steganalysis | |
| CN112329012B (zh) | 针对包含JavaScript的恶意PDF文档的检测方法及电子设备 | |
| Shamsuddin et al. | Exploratory analysis of MNIST handwritten digit for machine learning modelling | |
| Zhang et al. | Detection of android malware based on deep forest and feature enhancement | |
| Rahul et al. | Analysis of machine learning models for malware detection | |
| Abijah Roseline et al. | Vision-based malware detection and classification using lightweight deep learning paradigm | |
| Chu et al. | Visualization feature and CNN based homology classification of malicious code | |
| Sharif et al. | A deep learning based technique for the classification of malware images | |
| US11868473B2 (en) | Method for constructing behavioural software signatures | |
| Cybersecurity | Machine learning for malware detection | |
| CN113259369B (zh) | 一种基于机器学习成员推断攻击的数据集认证方法及系统 | |
| CN112163217B (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
| Ghadekar et al. | Multi-Class Malware Detection using modified GNN and Explainable AI | |
| Meng et al. | A survey on machine learning-based detection and classification technology of malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20211001 |
|
| WD01 | Invention patent application deemed withdrawn after publication |