CN114745200B - 一种基于恶意代码动态取证模型的恶意代码检测方法 - Google Patents
一种基于恶意代码动态取证模型的恶意代码检测方法 Download PDFInfo
- Publication number
- CN114745200B CN114745200B CN202210490550.0A CN202210490550A CN114745200B CN 114745200 B CN114745200 B CN 114745200B CN 202210490550 A CN202210490550 A CN 202210490550A CN 114745200 B CN114745200 B CN 114745200B
- Authority
- CN
- China
- Prior art keywords
- malicious code
- malicious
- sample
- code
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 61
- 238000000034 method Methods 0.000 claims abstract description 26
- 238000013145 classification model Methods 0.000 claims description 23
- 230000006399 behavior Effects 0.000 claims description 22
- 239000013598 vector Substances 0.000 claims description 20
- 239000012634 fragment Substances 0.000 claims description 19
- 238000005070 sampling Methods 0.000 claims description 16
- 238000004422 calculation algorithm Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 5
- 238000013135 deep learning Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 abstract description 3
- 241000700605 Viruses Species 0.000 description 19
- 230000007123 defense Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开的属于网络安全技术领域,具体为一种基于恶意代码动态取证模型的恶意代码检测方法,包括具体步骤如下:步骤一:获取待检测的代码序列流;步骤二:基于3‑Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量,本发明通过恶意代码检测模型实现了对代码序列的初检,即恶意代码和非恶意代码的初步鉴别,再利用聚类分簇的手段,将初检出恶意代码的未知序列进行聚类,利用同一簇类下待测样本对应的恶意代码分类应当一致的机理进一步鉴别是否为恶意代码,通过双重鉴别大幅度提高了恶意代码的检测精度。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种基于恶意代码动态取证模型的恶意代码检测方法。
背景技术
近年来,随着网络空间竞争的日益激烈,具有国家或黑客组织背景的网络攻击问题越来越严重,恶意代码(也称恶意软件)攻击的频率呈指数级增长,由恶意代码非法入侵导致的一系列网络安全事件给国家和社会造成了严重威胁。因此需要加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。应急响应处置是在恶意代码入侵系统后,采取相应的补救措施和行动,目的是为了抑制、阻止或减小网络安全事件对系统安全性带来的影响,甚至追踪和封堵入侵源,达到主动防御的目的。网络安全应急响应处置的研究,对于提高我国网络系统的应急响应能力、缓解网络攻击所造成的危害、提高系统的主动防御能力等具有十分重要的意义。
面对网络空间中层出不穷的恶意攻击,国内外工业界和学术界专家和学者提出了很多防御技术和解决方案。然而,“道高一尺,魔高一丈”,恶意攻击技术也在不断提升,恶意代码通过各种“分片”、“加密”等反取证手段,导致对恶意代码的检测也难上加难。同时,因为针对新增恶意代码的实时应急响应机制不够完善,造成恶意代码的影响范围越来越广。
传统的网络恶意代码取证技术大都关注于对某一特定背景下给定静态恶意代码数据集的取证,并没有讨论对新增恶意代码的动态保护,因此,恶意攻击者产生的新型或者变种恶意代码时,传统的恶意代码检测模型因为无法对动态演化恶意代码进行界定和度量,所以难以提供有效的保护方案。
为此,我们提出一种基于恶意代码动态取证模型的恶意代码检测方法。
发明内容
鉴于上述和/或现有一种基于恶意代码动态取证模型的恶意代码检测方法中存在的问题,提出了本发明。
因此,本发明的目的是提供一种基于恶意代码动态取证模型的恶意代码检测方法,能够解决上述提出现有的问题。
为解决上述技术问题,根据本发明的一个方面,本发明提供了如下技术方案:
一种基于恶意代码动态取证模型的恶意代码检测方法,其包括具体步骤如下:
步骤一:获取待检测的代码序列流;
步骤二:基于3-Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量;
步骤三:将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果,所述初检结果表示初步检测所述待测样本对应的序列片段是否为恶意代码或正常代码,所述恶意代码检测模型的输入数据为代码序列的动态行为特征向量,输出数据为代码序列的初检结果;
步骤四:获取待测样本的聚类结果以及利用已有恶意代码构建的恶意代码分类模型,并基于同一簇下所述待测样本的检测出恶意代码的初检结果一致性,以及所述待测样本对应在所述恶意代码分类模型下的分类结果一致性判断所述待测样本是否为真实恶意代码。
作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案,其中:所述待测样本为代码序列流的序列片段。
作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案,其中:所述每个待测样本的动态行为特征向量表示为:
B={gs1,gs2,...gsi...,gsn}
式中,B为一个待测样本的动态行为特征向量,gsi表示第i个3-Gram片段,gsi的取值为0或1,n为待测样本的片段长度。
作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案,其中:所述3-Gram是一种基于统计语言模型的算法,又被称为一阶马尔可夫链,其按照字节大小为n的滑动窗口,形成了长度为n的字节片段的序列,每个字节片段称为Gram,对所有的Gram的出现频率进行统计,并按照预先的阈值进行过来,形成关键Gram列表,若一个字节片段Gram不在关键Gram列表中,对应的gsi取值为0,否则,为1。
作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案,其中:所述恶意代码分类模型的构建流程如下:
流程一:获取已有恶意代码集;
流程二:利用聚类算法以及分类特征对所述恶意代码集进行聚类得到恶意代码的聚类结果;
流程三:基于每个类别的恶意代码的分类特征进行深度学习训练构建出所述恶意代码分类模型。
作为本发明所述的一种基于恶意代码动态取证模型的恶意代码检测方法的一种优选方案,其中:所述步骤四中,分类结果的一致性判断方法有以下两种:
第一种:从簇中按照抽样比例随机抽取样本,然后将抽取的同一簇下的样本输入所述恶意代码分类模型得到分类结果,若所述分类结果均一致,对应的待测样本的代码序列为恶意代码,否则,进行N次抽样,再判断N次抽样对应的分类结果是否一致,若一致,对应的待测样本的代码序列为恶意代码,其中,N次抽样完成时,保证遍历抽样直至每个待测样本均被检测完成;
第二种:将簇下每个待测样本分别输入所述恶意代码分类模型得到待测样本的分类结果,然后判断同一个簇下所述待测样本的分类结果是否一致,若一致,所述簇下的待测样本对应的代码序列为恶意代码。
与现有技术相比:
1.通过恶意代码检测模型实现了对代码序列的初检,即恶意代码和非恶意代码的初步鉴别,再利用聚类分簇的手段,将初检出恶意代码的未知序列进行聚类,利用同一簇类下待测样本对应的恶意代码分类应当一致的机理进一步鉴别是否为恶意代码,通过双重鉴别大幅度提高了恶意代码的检测精度,从恶意代码本身的特征出发利用了恶意代码检测模型实现了第一重检测,再利用分类特性实现了第二重检测,另一方面,本发明第一阶段中恶意代码检测模型是针对未知、全新恶意代码也是适用的,这相较于传统的静态恶意代码的检测更符合网络安全性的需求;
2.通过病毒模型动态训练,保证模型的动态更新性,模型一直在进化,可以抵御已有病毒,对未知病毒可以进行回滚,保证系统安全,并对未知病毒重新训练到模型里面,从而保证模型的动态检测能力,也能保证对新型病毒的安全免疫。
附图说明
图1为本发明流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将对本发明的实施方式作进一步地详细描述。
实施例1:
本发明提供一种基于恶意代码动态取证模型的恶意代码检测方法,请参阅图1,包括具体步骤如下:
步骤一:获取待检测的代码序列流;
步骤二:基于3-Gram特征生成方法并利用滑动窗口技术在代码序列流上滑动提取出每个待测样本的动态行为特征向量;
其中,待测样本为代码序列流的序列片段;
每个待测样本的动态行为特征向量表示为:
B={gs1,gs2,...gsi...,gsn}
式中,B为一个待测样本的动态行为特征向量,gsi表示第i个3-Gram片段,gsi的取值为0或1,n为待测样本的片段长度;
3-Gram是一种基于统计语言模型的算法,又被称为一阶马尔可夫链,其按照字节大小为n的滑动窗口,形成了长度为n的字节片段的序列,每个字节片段称为Gram,对所有的Gram的出现频率进行统计,并按照预先的阈值进行过来,形成关键Gram列表,若一个字节片段Gram不在关键Gram列表中,对应的gsi取值为0,否则,为1;
3-Gram是N-Gram中的三元模型,恶意代码的子串,签名常用于恶意代码的检测,所以自然选用子串集作为一个自动检测系统的输入,用于文本分类的通用N-Gram分析(CNG)方法最近已成功地用于自动作者身份归属,文本聚类等,随着越来越多的恶意代码编写者使用工具来编写和编译其代码,N-Gram可以检测特定于某些工具或工具家族(包括代码生成器,编译器和编程环境)的代码功能,此外,N-Gram可以捕获特定的作者的特征,编码样式甚至行为特征,由于捕获的特征隐含在提取的N-Gram中,因此即使病毒编写者可以完全访问检测算法,病毒编写者也很难刻意编写使N-Gram分析蒙蔽的病毒;
步骤三:将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果,初检结果表示初步检测待测样本对应的序列片段是否为恶意代码或正常代码,恶意代码检测模型的输入数据为代码序列的动态行为特征向量,输出数据为代码序列的初检结果;
其中,恶意代码分类模型的构建流程如下:
流程一:获取已有恶意代码集;
流程二:利用聚类算法以及分类特征(如蠕虫病毒特征、脚本病毒、格式化病毒、DoS攻击病毒等)对恶意代码集进行聚类得到恶意代码的聚类结果;
流程三:基于每个类别的恶意代码的分类特征进行深度学习训练构建出恶意代码分类模型;
步骤四:基于步骤三中待测样本的初检结果,利用检测出的恶意代码对应的待测样本构建待测样本集,并采用聚类算法进行聚类得到聚类结果,然后,获取利用已有恶意代码构建的恶意代码分类模型,并基于聚类结果中同一簇下的待测样本对应在恶意代码分类模型下的分类结果一致性,判断待测样本是否为真实恶意代码,若比较结果一致,对应的待测样本的代码序列为恶意代码;
其中,分类结果的一致性判断方法有以下两种:
第一种:从簇中按照抽样比例随机抽取样本,然后将抽取的同一簇下的样本输入恶意代码分类模型得到分类结果,若分类结果均一致,对应的待测样本的代码序列为恶意代码,否则,进行N次抽样,再判断N次抽样对应的分类结果是否一致,若一致,对应的待测样本的代码序列为恶意代码,其中,N次抽样完成时,保证遍历抽样直至每个待测样本均被检测完成;
第二种:将簇下每个待测样本分别输入恶意代码分类模型得到待测样本的分类结果,然后判断同一个簇下待测样本的分类结果是否一致,若一致,簇下的待测样本对应的代码序列为恶意代码。
实施例2:
本发明提供一种基于恶意代码动态取证模型的恶意代码检测方法,请参阅图1,包括具体步骤如下:
步骤一:获取待检测的代码序列流;
步骤二:基于3-Gram特征生成方法并利用滑动窗口技术在代码序列流上滑动提取出每个待测样本的动态行为特征向量;
其中,待测样本为代码序列流的序列片段;
每个待测样本的动态行为特征向量表示为:
B={gs1,gs2,...gsi...,gsn}
式中,B为一个待测样本的动态行为特征向量,gsi表示第i个3-Gram片段,gsi的取值为0或1,n为待测样本的片段长度;
3-Gram是一种基于统计语言模型的算法,又被称为一阶马尔可夫链,其按照字节大小为n的滑动窗口,形成了长度为n的字节片段的序列,每个字节片段称为Gram,对所有的Gram的出现频率进行统计,并按照预先的阈值进行过来,形成关键Gram列表,若一个字节片段Gram不在关键Gram列表中,对应的gsi取值为0,否则,为1;
3-Gram是N-Gram中的三元模型,恶意代码的子串,签名常用于恶意代码的检测,所以自然选用子串集作为一个自动检测系统的输入,用于文本分类的通用N-Gram分析(CNG)方法最近已成功地用于自动作者身份归属,文本聚类等,随着越来越多的恶意代码编写者使用工具来编写和编译其代码,N-Gram可以检测特定于某些工具或工具家族(包括代码生成器,编译器和编程环境)的代码功能,此外,N-Gram可以捕获特定的作者的特征,编码样式甚至行为特征,由于捕获的特征隐含在提取的N-Gram中,因此即使病毒编写者可以完全访问检测算法,病毒编写者也很难刻意编写使N-Gram分析蒙蔽的病毒;
步骤三:将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果,初检结果表示初步检测待测样本对应的序列片段是否为恶意代码或正常代码,恶意代码检测模型的输入数据为代码序列的动态行为特征向量,输出数据为代码序列的初检结果;
其中,恶意代码分类模型的构建流程如下:
流程一:获取已有恶意代码集;
流程二:利用聚类算法以及分类特征(如蠕虫病毒特征、脚本病毒、格式化病毒、DoS攻击病毒等)对恶意代码集进行聚类得到恶意代码的聚类结果;
流程三:基于每个类别的恶意代码的分类特征进行深度学习训练构建出恶意代码分类模型;
步骤四:将所有待测样本进行聚类得到聚类结果,然后,基于步骤三中待测样本的初检结果,判断检测出的恶意代码所在的簇中其他待测样本的初检结果是否均为恶意代码,若是,则基于同一簇下的待测样本对应在恶意代码分类模型下的分类结果一致性,判断待测样本是否为真实恶意代码,若一致,对应的待测样本的代码序列为恶意代码;
其中,分类结果的一致性判断方法有以下两种:
第一种:从簇中按照抽样比例随机抽取样本,然后将抽取的同一簇下的样本输入恶意代码分类模型得到分类结果,若分类结果均一致,对应的待测样本的代码序列为恶意代码,否则,进行N次抽样,再判断N次抽样对应的分类结果是否一致,若一致,对应的待测样本的代码序列为恶意代码,其中,N次抽样完成时,保证遍历抽样直至每个待测样本均被检测完成;
第二种:将簇下每个待测样本分别输入恶意代码分类模型得到待测样本的分类结果,然后判断同一个簇下待测样本的分类结果是否一致,若一致,簇下的待测样本对应的代码序列为恶意代码。
虽然在上文中已经参考实施方式对本发明进行了描述,然而在不脱离本发明的范围的情况下,可以对其进行各种改进并且可以用等效物替换其中的部件。尤其是,只要不存在结构冲突,本发明所披露的实施方式中的各项特征均可通过任意方式相互结合起来使用,在本说明书中未对这些组合的情况进行穷举性的描述仅仅是出于省略篇幅和节约资源的考虑。因此,本发明并不局限于文中公开的特定实施方式,而是包括落入权利要求的范围内的所有技术方案。
Claims (3)
1.一种基于恶意代码动态取证模型的恶意代码检测方法,其特征在于,包括具体步骤如下:
步骤一:获取待检测的代码序列流;
步骤二:基于3-Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量;
步骤三:将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果,所述初检结果表示初步检测所述待测样本对应的序列片段是否为恶意代码或正常代码,所述恶意代码检测模型的输入数据为代码序列的动态行为特征向量,输出数据为代码序列的初检结果;
步骤四:获取待测样本的聚类结果以及利用已有恶意代码构建的恶意代码分类模型,并基于同一簇下所述待测样本的检测出恶意代码的初检结果一致性,以及所述待测样本对应在所述恶意代码分类模型下的分类结果一致性判断所述待测样本是否为真实恶意代码;
所述待测样本为代码序列流的序列片段;
所述恶意代码分类模型的构建流程如下:
流程一:获取已有恶意代码集;
流程二:利用聚类算法以及分类特征对所述恶意代码集进行聚类得到恶意代码的聚类结果;
流程三:基于每个类别的恶意代码的分类特征进行深度学习训练构建出所述恶意代码分类模型;
所述步骤四中,分类结果的一致性判断方法有以下两种:
第一种:从簇中按照抽样比例随机抽取样本,然后将抽取的同一簇下的样本输入所述恶意代码分类模型得到分类结果,若所述分类结果均一致,对应的待测样本的代码序列为恶意代码,否则,进行N次抽样,再判断N次抽样对应的分类结果是否一致,若一致,对应的待测样本的代码序列为恶意代码,其中,N次抽样完成时,保证遍历抽样直至每个待测样本均被检测完成;
第二种:将簇下每个待测样本分别输入所述恶意代码分类模型得到待测样本的分类结果,然后判断同一个簇下所述待测样本的分类结果是否一致,若一致,所述簇下的待测样本对应的代码序列为恶意代码。
2.根据权利要求1所述的一种基于恶意代码动态取证模型的恶意代码检测方法,其特征在于,所述每个待测样本的动态行为特征向量表示为:
式中,/>为一个待测样本的动态行为特征向量,/>表示第i个3-Gram片段,/>的取值为0或1,n为待测样本的片段长度。
3.根据权利要求2所述的一种基于恶意代码动态取证模型的恶意代码检测方法,其特征在于,所述3-Gram是一种基于统计语言模型的算法,又被称为一阶马尔可夫链,其按照字节大小为n的滑动窗口,形成了长度为n的字节片段的序列,每个字节片段称为Gram,对所有的Gram的出现频率进行统计,并按照预先的阈值进行过来,形成关键Gram列表,若一个字节片段Gram不在关键Gram列表中,对应的取值为0,否则,为1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210490550.0A CN114745200B (zh) | 2022-05-07 | 2022-05-07 | 一种基于恶意代码动态取证模型的恶意代码检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210490550.0A CN114745200B (zh) | 2022-05-07 | 2022-05-07 | 一种基于恶意代码动态取证模型的恶意代码检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114745200A CN114745200A (zh) | 2022-07-12 |
CN114745200B true CN114745200B (zh) | 2024-05-24 |
Family
ID=82286116
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210490550.0A Active CN114745200B (zh) | 2022-05-07 | 2022-05-07 | 一种基于恶意代码动态取证模型的恶意代码检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114745200B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106022167A (zh) * | 2016-06-30 | 2016-10-12 | 湖南科技学院 | 多层次属性管理中心基于特征加密的社交隐私保护方法 |
CN106096405A (zh) * | 2016-04-26 | 2016-11-09 | 浙江工业大学 | 一种基于Dalvik指令抽象的Android恶意代码检测方法 |
CN110795732A (zh) * | 2019-10-10 | 2020-02-14 | 南京航空航天大学 | 基于SVM的Android移动网络终端恶意代码的动静结合检测方法 |
CN111245540A (zh) * | 2020-01-10 | 2020-06-05 | 湖南科技学院 | 基于强化学习机制的认知网络协作频谱感知节点选择方法 |
CN112560095A (zh) * | 2020-12-18 | 2021-03-26 | 湖南科技学院 | 云存储的密钥更新方法及云数据审计系统的实现方法 |
CN112632537A (zh) * | 2020-12-23 | 2021-04-09 | 北京鸿腾智能科技有限公司 | 恶意代码检测方法、装置、设备及存储介质 |
CN113688391A (zh) * | 2021-08-31 | 2021-11-23 | 南方电网科学研究院有限责任公司 | 一种电力软件恶意代码监测方法、系统、设备和介质 |
-
2022
- 2022-05-07 CN CN202210490550.0A patent/CN114745200B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106096405A (zh) * | 2016-04-26 | 2016-11-09 | 浙江工业大学 | 一种基于Dalvik指令抽象的Android恶意代码检测方法 |
CN106022167A (zh) * | 2016-06-30 | 2016-10-12 | 湖南科技学院 | 多层次属性管理中心基于特征加密的社交隐私保护方法 |
CN110795732A (zh) * | 2019-10-10 | 2020-02-14 | 南京航空航天大学 | 基于SVM的Android移动网络终端恶意代码的动静结合检测方法 |
CN111245540A (zh) * | 2020-01-10 | 2020-06-05 | 湖南科技学院 | 基于强化学习机制的认知网络协作频谱感知节点选择方法 |
CN112560095A (zh) * | 2020-12-18 | 2021-03-26 | 湖南科技学院 | 云存储的密钥更新方法及云数据审计系统的实现方法 |
CN112632537A (zh) * | 2020-12-23 | 2021-04-09 | 北京鸿腾智能科技有限公司 | 恶意代码检测方法、装置、设备及存储介质 |
CN113688391A (zh) * | 2021-08-31 | 2021-11-23 | 南方电网科学研究院有限责任公司 | 一种电力软件恶意代码监测方法、系统、设备和介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114745200A (zh) | 2022-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109753800B (zh) | 融合频繁项集与随机森林算法的Android恶意应用检测方法及系统 | |
CN112905421B (zh) | 基于注意力机制的lstm网络的容器异常行为检测方法 | |
CN109922065B (zh) | 恶意网站快速识别方法 | |
CN113194058B (zh) | Web攻击检测方法、设备、网站应用层防火墙及介质 | |
CN111382438B (zh) | 基于多尺度卷积神经网络的恶意软件检测方法 | |
CN114003910B (zh) | 一种基于动态图对比学习的恶意变种实时检测方法 | |
CN116366377B (zh) | 恶意文件检测方法、装置、设备及存储介质 | |
CN112733954A (zh) | 一种基于生成对抗网络的异常流量检测方法 | |
CN109547496B (zh) | 一种基于深度学习的主机恶意行为检测方法 | |
CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
CN113946823A (zh) | 一种基于url基线偏离度分析的sql注入检测方法及装置 | |
CN114745200B (zh) | 一种基于恶意代码动态取证模型的恶意代码检测方法 | |
Muhaya et al. | Polymorphic malware detection using hierarchical hidden markov model | |
Choi et al. | Detection of Cross Site Scripting Attack in Wireless Networks Using n‐Gram and SVM | |
CN112163217B (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
CN115842645A (zh) | 基于umap-rf的网络攻击流量检测方法、装置及可读存储介质 | |
Huang et al. | Research on Malicious URL Identification and Analysis for Network Security | |
KR20220009098A (ko) | 정적분석과 스태킹 기법을 활용한 악성코드 탐지 시스템에 관한 연구 | |
Zhang et al. | CMIRGen: Automatic signature generation algorithm for malicious network traffic | |
CN115333874B (zh) | 一种工业终端主机监测方法 | |
Wu et al. | Detecting obfuscated suspicious JavaScript based on collaborative training | |
Kim et al. | Research on autoencdoer technology for malware feature purification | |
CN116886370B (zh) | 一种用于网络安全认证的防护系统 | |
Mozzaquatro et al. | Anomaly-based techniques for web attacks detection | |
CN117421644B (zh) | 无线设备入侵检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |