CN114021122A - 一种基于时序网络的交互增强型恶意变种检测方法 - Google Patents
一种基于时序网络的交互增强型恶意变种检测方法 Download PDFInfo
- Publication number
- CN114021122A CN114021122A CN202111286915.XA CN202111286915A CN114021122A CN 114021122 A CN114021122 A CN 114021122A CN 202111286915 A CN202111286915 A CN 202111286915A CN 114021122 A CN114021122 A CN 114021122A
- Authority
- CN
- China
- Prior art keywords
- malicious
- tar
- embedding
- network
- nei
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 39
- 230000002452 interceptive effect Effects 0.000 title claims abstract description 11
- 238000000034 method Methods 0.000 claims abstract description 54
- 230000008569 process Effects 0.000 claims abstract description 39
- 230000003993 interaction Effects 0.000 claims abstract description 30
- 238000010276 construction Methods 0.000 claims abstract description 6
- 230000006399 behavior Effects 0.000 claims description 13
- 230000003068 static effect Effects 0.000 claims description 13
- 230000015654 memory Effects 0.000 claims description 9
- 239000013598 vector Substances 0.000 claims description 9
- 101100285518 Drosophila melanogaster how gene Proteins 0.000 claims description 5
- 241000288105 Grus Species 0.000 claims description 5
- 238000013528 artificial neural network Methods 0.000 claims description 5
- 244000035744 Hura crepitans Species 0.000 claims description 4
- 230000004913 activation Effects 0.000 claims description 3
- 230000004931 aggregating effect Effects 0.000 claims description 3
- 238000004220 aggregation Methods 0.000 claims description 3
- 230000003190 augmentative effect Effects 0.000 claims description 3
- 230000002708 enhancing effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 claims description 3
- 239000011159 matrix material Substances 0.000 claims description 3
- 238000005295 random walk Methods 0.000 claims description 3
- 239000000126 substance Substances 0.000 claims description 3
- 241000544061 Cuculus canorus Species 0.000 claims description 2
- 239000000284 extract Substances 0.000 description 6
- 238000013527 convolutional neural network Methods 0.000 description 4
- 238000011160 research Methods 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 241000894007 species Species 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明通过网络安全领域的方法,实现了一种基于时序网络的交互增强型恶意变种检测方法。首先,通过恶意家族生态系统网构造阶段构建一个大规模的贴近实际的恶意家族生态系统网,之后有区分地为每个进程实体通过时序嵌入阶段学习一个时序嵌入;并通过结构嵌入阶段学习一个结构嵌入,最终通过变种检测阶段集成两个嵌入输入到多层感知器进行多分类。本发明提供的方法可针对细粒度恶意软件家族生态系统网络中的每个未知进程,有针对性地学习高效的时序嵌入和准确的结构嵌入,端到端交互增强的嵌入算法能够结合关键邻域之间有价值的显式和隐式交互,以提高检测准确性,基于时间的强相关团算法能有效提高检测效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于时序网络的交互增强型恶意变种检测方法。
背景技术
近年来,越来越多的黑客寻求诸如打包,混淆和反沙箱延迟等变种转换技术来生成新的恶意变种,这极大地损害了受害者的主机,甚至窃取了主机用户敏感的数据源,造成重大财务损失。据统计,每个恶意软件家族的变异率已从2001年的5:1上升到2019年的1,000:1。新的恶意变种与原始恶意软件的差异不到2%,他们可以重复使用核心模块。
现有的恶意软件变种的检测方法分为传统静态检测方法、传统动态检测方法以及基于图的检测方法。
静态的检测的方法就是不需要执行恶意软件,直接通过反编译工具从恶意软件的二进制文件中提取特征,现有的研究[1-3]大都提取操作码、字节码和API调用等单一或混合特征来表示恶意软件变种的二进制文件,再采用机器学习或深度学习方法检测恶意软件变种。
2017年,Raff等人提取恶意软件变种的字节码的n-gram信息作为分类特征,然后使用卷积神经网络(CNN)和来进行分类。由于字节码与操作码相比含有大量的噪声,因此该方法的准确性受到噪声信息的限制。2017年,Puerta等人提取操作码的频率来表示恶意软件变种的二进制文件,采用支持向量机来进行分类。然而,特征提取太单一,不能包含足够的信息来保证准确性。2019年,Zhanga等人直接从恶意软件解压后的配置文件中提取操作码和API调用两种有用信息作为分类特征,对于不同类型的特征,他们又分别采用CNN和BPNN从操作码双元模型和API调用频率中提取高级特征,合并两个高级特征形成混合特征输入到分类器进行分类。
动态的检测方法需要在隔离的环境下运行恶意软件,通过观察其运行行为来揭示其真实的恶意意图。现有的动态方法大都从沙箱报告中提取鲁棒的系统调用序列或流量统计特征作为恶意软件变种的不变表示,采用机器学习或深度学习方法来检测恶意软件变种。
2016年,Bartos等人提出了一种跨域网络流量表示方法来检测恶意软件变种,该方法可以减少分布差异并保留原始数据的基本属性,但是它没有考虑条件分布问题。2018年,Zhang等人从沙箱监控的可执行文件中提取敏感的系统调用,即利用信息增益提取对恶意行为更敏感的系统调用,再主成分分析提取特征,最后使用多层神经网络进行分类。2020年,为了解决上述只考虑API名称的方法准确性受限,Zhang等人提出了一种新颖且低成本的特征提取方法,可从API参数中挖掘大量信息。
近几年,由于图神经网络在图像识别和自然语言处理等领域取得的巨大优势,一些研究已经提出了恶意软件检测场景的图神经网络模型。2018年,Fan等人提出了Metagraph2vec,该工作是将恶意软件执行行为构造为异构信息网络上并学习低维图嵌入的首次尝试。但是,Metagraph2vec中的skip-gram在许多图数据上的表现不如2层图卷积网络(GCN)更好,因此Wang等人设计了MatchGNet,他们通过比较基于未知恶意软件基于元路径的特征和所有良性样本图表征之间的相似性来识别未知的软件。此外,2019年,Ye等人认为现有的基于图的方法仅满足于已知节点的检测,因此无法处理样本外节点表示学习。为此,他们提出了一个样本内节点嵌入–HGiNE和一个样本外节点嵌入–HG2Img。类似地,Liu等人[]研究了基于动态异构图学习的实时检测框架MG-DVD,从而显着减少了时间两种基于动态游走的异构图学习方法的成本。
现有的传统的静态检测方法都依赖于已知的签名库,当已知签名库中未包含恶意软件的功能,这些静态分析就无法识别,并且静态检测方法很容易被代码混淆和打包技术的变种所规避。
现有的动态检测方法都只关注API序列或网络流量等单一特征,忽略了恶意软件涉及的各种系统实体对象之间的丰富交互,不可避免地会导致高误报率。
现有的基于图的检测方法的有效性和效率都存在问题。一方面,他们忽略了每个交互之间特定的交互时间,这样构造的异构图包含了许多无效的噪声路径,导致效率低下。另一方面,他们主要关注元路径/元图显式邻域,我们认为仅聚合这样的稀疏邻域信息是不够的,这无疑会影响检测的有效性。
发明内容
为此,本发明首先提出一种基于时序网络的交互增强型恶意变种检测方法,首先,将从VirusTotal网站收集的各个恶意家族的PE文件样本投入到Cuckoo沙箱运行得到它们json格式的行为报告。基于所有恶意变种样本的行为报告,通过恶意家族生态系统网构造阶段构建一个大规模的贴近实际的恶意家族生态系统网,之后有区分地为每个恶意变种所表示的进程实体通过时序嵌入阶段学习一个时序嵌入;并通过结构嵌入阶段学习一个结构嵌入,最终通过变种检测阶段集成两个嵌入输入到多层感知器进行多分类,即输出待测变种真正的恶意类型(包括Trojan、Downloader、Virus、Spyware、Adware、Dropper、Worm、Backdoor)。
所述恶意家族生态系统网构造阶段建立一个恶意家族生态系统网G,首先对于每个样本的行为报告,提取2种时序交互(P->P和P->API),并组织成四元组(Tar,Nei,f,t),依次插入恶意家族生态系统网G中,且每条边都标记相应的交互时间作为标签;之后对于每个样本的行为报告,提取4种静态交互(P->F、P->S、P->R、和P->N),将其组织成三元组(Tar,Nei,f),依次插入到恶意家族生态系统网G中,最终形成一个细粒度的恶意家族生态系统网G,以及对应的邻接矩阵AStru和ATemp。
所述时序嵌入阶段通过步骤2.1-步骤2.3实现:
步骤2.1:给定恶意家族生态系统网G中目标进程Tar当前的的时序交互et=(Tar,Nei,f,t),调用强相关团算法(SCC)计算et.Nei和t时刻之前交互的API的Person相关性系数,如果Pert,i(et.Nei,ei.Nei)≥0.6,则将et加入之前的强相关团Clast,否则et单独形成一个新的团Cn;
步骤2.2:给定Clast或Cn,以及存储在MemoryTar和MemoryNei里的各相关节点最近的记忆,输入到两个联合的GRUs中来实时更新目标进程和邻节点最新的时序嵌入:
hNei(t)=GRUNei(hNei(t-),hTar(t-),ΔNei)
=σ(w1hNei(t-)+w2hTar(t-)+w3ΔNei),
步骤2.3:实时存储hTar(t)到MemoryTar中更新目标进程Tar的记忆,同样的,实时存储hNei(t)到MemoryNei中更新与之交互的API最新的记忆。
所述结构嵌入阶段通过步骤3.1-步骤3.9实现:
步骤3.1:给定恶意家族生态系统网G中的静态交互预先定义好的元路径集M={M1,…,M|M|},对于每个表示唯一异构语义关系的元路径Mm,从G里的目标进程Tar开始指导随机游走,得到目标进程Tar通过Mm到达的显性邻居集
其中,k∈(1,…,K),σ是激活函数,∈k是第k层的可训练的权衡参数,和分别是第k-1层的目标进程Tar和邻节点Neij通过元路径Mm得到的嵌入向量,其中使用邻节点交互增强后的状态向量的进行初始化。
步骤3.8:由于各元路径代表了唯一的异构语义上下文,他们在不同家族中重要程度不同,所以通过前馈神经网络根据每个恶意软件变种元路径之间的相关性自动学习各元路径Mm的权重βm;
步骤3.9:使用路径级聚合器,把M里由各路径指导得到的节点嵌入聚合成最后的结构嵌入hTar(Stru):
所述变种检测阶段首先将每个目标进程Tar的时序嵌入和结构嵌入集成到一起,形成该目标进程Tar最终的图嵌入hTar:
hTar=[hTar(stru),hTar(t)]
之后将目标进程Tar最终的图嵌入hTar输入到训练好的MLP中进行多分类。
本发明所要实现的技术效果在于:
本发明提出了一种基于时序网络的交互增强型恶意种检测框架,称为TI-MVD,可针对细粒度恶意软件家族生态系统网络中的每个未知进程,有针对性地学习高效的时序嵌入和准确的结构嵌入。特别地,为了解决学习结构嵌入时的有效性问题,我们设计了一种端到端交互增强的嵌入算法,该算法能够结合关键邻域之间有价值的显式和隐式交互,以提高检测准确性。另外,为了解决学习时序嵌入时的效率问题,我们提出了一种基于时间的强相关团算法,该算法采用两个GRU并行处理强相关团中的API序列,能有效提高检测效率。最后,TI-MVD能同时对抗多种变种转换技术。
附图说明
图1 TI-MVD总框架;
图2恶意软件8大类;
图3未知恶意变种检测效率对比;
具体实施方式
以下是本发明的优选实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于此实施例。
本发明提出了一种基于时序网络的交互增强型恶意变种检测方法。方法监测每个家族恶意变种特有的静态签名信息,以及动态的行为特征,研究构建一个细粒度的恶意家族生态系统网络。针对恶意家族生态系统网络中的静态交互,研究一种端到端交互增强的嵌入算法,最大程度地保留每个变种有价值的结构信息;针对恶意家族生态系统网络中的时序交互,研究一种基于时间的强相关团算法,该算法采用两个GRU并行处理强相关团中的API序列,提高了检测效率。
本发明提取待测恶意软件变种的静态签名特征以及运行产生的系统事件,构建一个大规模的更贴近实际的恶意家族生态系统网,基于此有区分地为每个进程实体学习一个时序嵌入和一个结构嵌入,最终集成两个嵌入输入到多层感知器进行多分类。总框架如图1所示,包括(a)恶意家族生态系统网构造阶段、(b)时序嵌入阶段、(c)结构嵌入阶段和(d)变种检测阶段。
步骤1:恶意家族生态系统网构造阶段。
步骤1.1:对于每个样本的行为报告,提取2种时序交互(P->P和P->API),并组织成四元组(Tar,Nei,f,t),依次插入恶意家族生态系统网G中,且每条边都有相应的交互时间作为标签。
步骤1.2:对于每个样本的行为报告,提取4种静态交互(P->F、P->S、P->R、和P->N),将其组织成三元组(Tar,Nei,f),也依次插入到恶意家族生态系统网G中,最终形成一个细粒度的恶意家族生态系统网G,以及对应的邻接矩阵AStru和ATemp。
步骤2:时序嵌入阶段。
步骤2.1:如图1(b),给定恶意家族生态系统网G中目标进程Tar当前的的时序交互et,调用强相关团算法(SCC)计算et.Nei和t时刻之前交互的API的Person相关性系数,如果Pert,i(et.Nei,ei.Nei)≥0.6,则将et加入之前的强相关团Clast,否则et单独形成一个新的团Cn。
步骤2.2:给定Clast或Cn,以及存储在MemoryTar和MemoryNei里的各相关节点最近的记忆,输入到两个联合的GRUs中来实时更新目标进程和邻节点最新的时序嵌入:
hNei(t)=GRUNei(hNei(t-),hTar(t-),ΔNei)
=σ(w1hNei(t-)+w2hTar(t-)+w3ΔNei),
步骤2.3:实时存储hTar(t)到MemoryTar中更新目标进程Tar的记忆,同样的,实时存储hNei(t)到MemoryNei中更新与之交互的API最新的记忆。
步骤3:结构嵌入阶段。
步骤3.1:给定恶意家族生态系统网G中的静态交互预先定义好的元路径集M={M1,…,M|M|}(如图1(c)所示),对于每个表示唯一异构语义关系的元路径Mm,从G里的目标进程Tar开始指导随机游走,得到目标进程Tar通过Mm到达的显性邻居集
其中,k∈h1,…,K),σ是激活函数,∈k是第k层的可训练的权衡参数,和分别是第k-1层的目标进程Tar和邻节点Neij通过元路径Mm得到的嵌入向量,其中使用邻节点交互增强后的状态向量的进行初始化。
步骤3.8:由于各元路径代表了唯一的异构语义上下文,他们在不同家族中重要程度不同,所以通过前馈神经网络根据每个恶意软件变种元路径之间的相关性自动学习各元路径Mm的权重βm;
步骤3.9:使用路径级聚合器,把M里由各路径指导得到的节点嵌入聚合成最后的结构嵌入hTar(Stru):
步骤4:变种检测阶段。
为了证实本专利算法的有效限,本专利的算法TI-MVD和现有的较先进的恶意软件检测算法SVM+RBF、RNN+LR、MalConv、CNN+BPNN、MatchGNet进行了对比验证,验证结果表明本专利的算法的检测准确率更高,且假阳性率更低,能够动态实时给出新的恶意变种的检测结果,对比验证结果如表1和图3所示。
表1未知恶意变种检测结果对比
Claims (5)
1.一种基于时序网络的交互增强型恶意变种检测方法,其特征在于:首先,将从VirusTotal网站收集的各个恶意家族的PE文件样本投入到Cuckoo沙箱运行得到它们json格式的行为报告,基于所有恶意变种样本的行为报告,通过恶意家族生态系统网构造阶段构建一个大规模的贴近实际的恶意家族生态系统网,之后有区分地为每个恶意变种所表示的进程实体通过时序嵌入阶段学习一个时序嵌入;并通过结构嵌入阶段学习一个结构嵌入,最终通过变种检测阶段集成两个嵌入输入到多层感知器进行多分类,输出待测变种真正的恶意类型。
2.如权利要求1所述一种基于时序网络的交互增强型恶意变种检测方法,其特征在于:所述恶意家族生态系统网构造阶段建立一个恶意家族生态系统网G,首先对于每个样本的行为报告,提取2种时序交互(P->P和P->API),并组织成四元组(Tar,Nei,f,t),依次插入恶意家族生态系统网G中,且每条边都标记相应的交互时间作为标签;之后对于每个样本的行为报告,提取4种静态交互(P->F、P->S、P->R、和P->N),将其组织成三元组(Tar,Nei,f),依次插入到恶意家族生态系统网G中,最终形成一个细粒度的恶意家族生态系统网G,以及对应的邻接矩阵Astru和ATemp。
3.如权利要求2所述一种基于时序网络的交互增强型恶意变种检测方法,其特征在于:所述时序嵌入阶段通过步骤2.1-步骤2.3实现:
步骤2.1:给定恶意家族生态系统网G中目标进程Tar当前的的时序交互et(Tar,Nei,f,t),调用强相关团算法(SCC)计算et.Nei和t时刻之前交互的API的Person相关性系数,如果Pert,i(et.Nei,ei.Nei)≥0.6,则将et加入之前的强相关团Clast,否则et单独形成一个新的团Cn;
步骤2.2:给定Clast或Cn,以及存储在MemoryTar和MemoryNei里的各相关节点最近的记忆,输入到两个联合的GRUs中来实时更新目标进程和邻节点最新的时序嵌入:
hNei(t)=GRUNei(hNei(t-),hTar(t-),ΔNei)
=σ(w1hNei(t-)+w2hTar(t-)+w3ΔNei),
步骤2.3:实时存储hTar(t)到MemoryTar中更新目标进程Tar的记忆,同样的,实时存储hNei(t)到MemoryNei中更新与之交互的API最新的记忆。
4.如权利要求3所述一种基于时序网络的交互增强型恶意变种检测方法,其特征在于:所述结构嵌入阶段通过步骤3.1-步骤3.9实现:
步骤3.1:给定恶意家族生态系统网G中的静态交互预先定义好的元路径集M={M1,…,M|M|},对于每个表示唯一异构语义关系的元路径Mm,从G里的目标进程Tar开始指导随机游走,得到目标进程Tar通过Mm到达的显性邻居集
其中,k∈(1,...,K),σ是激活函数,∈k是第k层的可训练的权衡参数,和分别是第k-1层的目标进程Tar和邻节点Neij通过元路径Mm得到的嵌入向量,其中使用邻节点交互增强后的状态向量进行初始化。
步骤3.8:由于各元路径代表了唯一的异构语义上下文,他们在不同家族中重要程度不同,所以通过前馈神经网络根据每个恶意软件变种元路径之间的相关性自动学习各元路径Mm的权重βm;
步骤3.9:使用路径级聚合器,把M里由各路径指导得到的节点嵌入聚合成最后的结构嵌入hTar(Stru):
5.如权利要求4所述一种基于时序网络的交互增强型恶意变种检测方法,其特征在于:所述变种检测阶段首先将每个目标进程Tar的时序嵌入和结构嵌入集成到一起,形成该目标进程Tar最终的图嵌入hTar:
hTar=[hTar(stru),hTar(t)]
之后将目标进程Tar最终的图嵌入hTar输入到训练好的MLP中进行多分类。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111286915.XA CN114021122B (zh) | 2021-11-02 | 2021-11-02 | 一种基于时序网络的交互增强型恶意变种检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111286915.XA CN114021122B (zh) | 2021-11-02 | 2021-11-02 | 一种基于时序网络的交互增强型恶意变种检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114021122A true CN114021122A (zh) | 2022-02-08 |
CN114021122B CN114021122B (zh) | 2024-05-03 |
Family
ID=80059586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111286915.XA Active CN114021122B (zh) | 2021-11-02 | 2021-11-02 | 一种基于时序网络的交互增强型恶意变种检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114021122B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107103235A (zh) * | 2017-02-27 | 2017-08-29 | 广东工业大学 | 一种基于卷积神经网络的Android恶意软件检测方法 |
KR101880686B1 (ko) * | 2018-02-28 | 2018-07-20 | 에스지에이솔루션즈 주식회사 | Ai 딥러닝 기반의 악성코드 탐지 시스템 |
CN111552971A (zh) * | 2020-04-30 | 2020-08-18 | 四川大学 | 基于深度强化学习的恶意软件家族分类规避方法 |
CN111832020A (zh) * | 2020-06-22 | 2020-10-27 | 华中科技大学 | 一种安卓应用恶意性、恶意种族检测模型构建方法及应用 |
CN112884061A (zh) * | 2021-03-10 | 2021-06-01 | 河北师范大学 | 一种基于参数优化元学习的恶意软件家族分类方法 |
-
2021
- 2021-11-02 CN CN202111286915.XA patent/CN114021122B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107103235A (zh) * | 2017-02-27 | 2017-08-29 | 广东工业大学 | 一种基于卷积神经网络的Android恶意软件检测方法 |
KR101880686B1 (ko) * | 2018-02-28 | 2018-07-20 | 에스지에이솔루션즈 주식회사 | Ai 딥러닝 기반의 악성코드 탐지 시스템 |
CN111552971A (zh) * | 2020-04-30 | 2020-08-18 | 四川大学 | 基于深度强化学习的恶意软件家族分类规避方法 |
CN111832020A (zh) * | 2020-06-22 | 2020-10-27 | 华中科技大学 | 一种安卓应用恶意性、恶意种族检测模型构建方法及应用 |
CN112884061A (zh) * | 2021-03-10 | 2021-06-01 | 河北师范大学 | 一种基于参数优化元学习的恶意软件家族分类方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114021122B (zh) | 2024-05-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Vinayakumar et al. | Evaluating deep learning approaches to characterize and classify malicious URL’s | |
US11329952B2 (en) | System and method for detecting generated domain | |
Jahromi et al. | An enhanced stacked LSTM method with no random initialization for malware threat hunting in safety and time-critical systems | |
Ding et al. | Application of deep belief networks for opcode based malware detection | |
Vinayakumar et al. | Evaluating deep learning approaches to characterize and classify the DGAs at scale | |
Yumlembam et al. | Iot-based android malware detection using graph neural network with adversarial defense | |
Ding et al. | Control flow-based opcode behavior analysis for malware detection | |
Gao et al. | Malware classification for the cloud via semi-supervised transfer learning | |
Liu et al. | ATMPA: attacking machine learning-based malware visualization detection methods via adversarial examples | |
Sun et al. | Pattern recognition techniques for the classification of malware packers | |
Tang et al. | Dynamic API call sequence visualisation for malware classification | |
Nguyen et al. | A collaborative approach to early detection of IoT Botnet | |
Andrade et al. | A model based on LSTM neural networks to identify five different types of malware | |
Pachhala et al. | A comprehensive survey on identification of malware types and malware classification using machine learning techniques | |
Yan et al. | A survey of adversarial attack and defense methods for malware classification in cyber security | |
Li et al. | Semi-supervised two-phase familial analysis of Android malware with normalized graph embedding | |
CN114003910B (zh) | 一种基于动态图对比学习的恶意变种实时检测方法 | |
Bai et al. | N‐Gram, Semantic‐Based Neural Network for Mobile Malware Network Traffic Detection | |
Gu et al. | From image to code: executable adversarial examples of android applications | |
Mimura | Evaluation of printable character-based malicious PE file-detection method | |
Masabo et al. | Improvement of malware classification using hybrid feature engineering | |
Kumar et al. | SDIF-CNN: Stacking deep image features using fine-tuned convolution neural network models for real-world malware detection and classification | |
Tsai et al. | PowerDP: de-obfuscating and profiling malicious PowerShell commands with multi-label classifiers | |
Yadav et al. | Deep learning in malware identification and classification | |
CN112580044A (zh) | 用于检测恶意文件的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |