CN116089955B - 一种基于windows操作系统的系统调用去噪方法及装置 - Google Patents
一种基于windows操作系统的系统调用去噪方法及装置 Download PDFInfo
- Publication number
- CN116089955B CN116089955B CN202211528529.1A CN202211528529A CN116089955B CN 116089955 B CN116089955 B CN 116089955B CN 202211528529 A CN202211528529 A CN 202211528529A CN 116089955 B CN116089955 B CN 116089955B
- Authority
- CN
- China
- Prior art keywords
- system call
- call
- thread
- windows operating
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/448—Execution paradigms, e.g. implementations of programming paradigms
- G06F9/4488—Object-oriented
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明公开了一种基于windows操作系统的系统调用去噪方法及装置,该方法基于提取到的系统调用参数,构造进程‑线程亲子关系图谱和时序图,对线程进行行为分析和过滤,保留在磁盘/内存/注册表/网络层面产生增、删、改行为的线程,并对这些进程产生的系统调用生成了系统调用描述文件。该方法能够有效减少在系统调用分析中原始数据的噪声,同时保留系统调用原有的亲缘和时序关系,使得计算机产生的系统调用能够以文本的形式进行描述和比较。
Description
技术领域
本发明涉及计算机安全技术领域,特别涉及一种基于windows操作系统的系统调用去噪方法及装置。
背景技术
随着信息化发展,新型攻击手段层出不穷,基于已知恶意特征知识库的安全检测方法无法对特征未知的攻击手段产生作用。系统调用作为内核和用户间的功能接口,其执行序列可以反映出文件系统的所有用户态操作行为,既可以根据已知恶意特征知识库去鉴别已知的恶意行为,亦可以作为用户行为的细粒度描述去分别未知的恶意行为。
但是系统调用的数量庞大,且存在大量无效的系统调用。现有基于系统调用的安全检测方法往往是计算熵或者关注特定路径、进程名的系统调用,没有将系统调用的记录进行规范化的整理。同时,现有安全检测方法无法对大量系统调用中进行归并整理,获取得到目标应用的系统调用时序关系。本专利提供的系统去噪方法为识别这一系列安全威胁提供了技术支持。
发明内容
本发明的目的在于提供一种基于windows操作系统的系统调用去噪方法及装置,以克服现有技术中的不足。
为实现上述目的,本发明提供如下技术方案:
本申请公开了一种基于windows操作系统的系统调用去噪方法,具体包括如下步骤:
S1、对于操作系统中运行的目标应用程序,提取能代表该目标应用程序的所有行为的系统调用;
S2、根据S1中提取到的系统调用创建关系构造进程关系图;
S3、在S1提取到的系统调用中过滤掉无效的系统调用;
S4、在经过S3过滤后的系统调用中,合并连续行为的系统调用;
S5、根据S2的关系构造进程关系图,对经过S4合并后的系统调用进行排序;
S6、对经过S5排序后的系统调用进行归一处理;
S7、提取归一后的系统调用的描述特征,完成系统调用的去噪。
作为优选,步骤S2的具体包括如下子步骤:
S21、在S1中提取到的系统调用中,搜寻系统调用的所属应用程序名称为目标应用程序,且进行进程创建的系统调用,生成进程父子关系,建立进程关系树;
S22、在S1中提取到的系统调用中,搜寻系统调用的所属应用程序名称为目标应用程序,且进行线程创建的系统调用,生成线程父子关系,建立线程关系树。
作为优选,步骤S3的具体包括如下子步骤:
S31、在S1提取到的系统调用中过滤掉所属应用程序名称不为目标应用程序的系统调用;
S32、过滤掉系统调用结果不为成功的系统调用;
S33、以白名单的方式过滤掉所有无效系统调用;
S34、过滤掉其中获取文件句柄的系统调用。
作为优选,步骤S4的具体包括如下操作:对于系统调用函数名称相同、系统调用时间连续、系统调用操作系统路径相同、系统调用所属线程ID相同的系统调用,将其合并为一条总系统调用,并根据总系统调用的实际行为修改系统调用的细节。
作为优选,步骤S5的具体包括如下操作:
S51、根据S2的关系构造进程关系图,对同一进程内所有线程按创建时间顺序,进程按中序优先遍历的方法对系统调用的进行排序,生成进程-线程时序结果;
S52、对S51中进程-线程时序结果和系统调用的产生顺序进行排序。
作为优选,步骤S6的具体包括如下操作:
S61、对于针对文件系统进行操作的系统调用,将其系统调用操作系统路径的临时文件夹路径、魔术字文件路径和临时文件路径进行归一;
S62、对于针对网络进行操作的系统调用,将其网络访问的ip地址转化为域名进行归一;
S63、对于针对注册表进行操作的系统调用,将包含魔术字的注册表项名称进行归一。
作为优选,步骤S7的具体包括如下操作: 将每一个系统调用的系统调用函数名称和系统调用操作系统路径描述组成一条系统调用元组;将所有系统调用元组按照步骤S5的排序组成可迭代的系统调用描述字符串。
本发明还公开了一种基于windows操作系统的系统调用去噪装置,包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,所述一个或多个处理器执行所述可执行代码时,用于实现上述的一种基于windows操作系统的系统调用去噪方法。
本发明还公开了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时,实现上述的一种基于windows操作系统的系统调用去噪方法。
本发明的有益效果:
1、该方法提取了所有系统调用中对磁盘/内存/注册表/网络层面产生增、删、改行为的系统调用,丢弃了大量无实际意义或失败的系统调用,压缩了安全检测中系统调用处理的数据量,提高了安全检测效率;
2、该方法提取的系统调用具有可复制性。对同一虚拟机重复恢复镜像,重复进行多类别用户态操作获取的系统调用,经方法过滤后产生的系统调用结果完全一致,即该方法能够有效进行系统调用的特征提取,提取的系统调用可以更有效地进行模式识别或人工智能训练;
3、本发明可对为用户态操作行为实施细粒度的分类识别提供参考。通过对系统调用的去噪,可以提取得到操作系统运行期间所有的用户态操作行为,藉此可消除恶意代码混淆和系统调用混淆对系统调用产生的影响;此外所有通过用户态获取权限,安装后门,建立连接等行为也均可被捕获。
本发明的特征及优点将通过实施例结合附图进行详细说明。
附图说明
图1是本发明一种基于windows操作系统的系统调用去噪方法的流程示意图;
图2是本发明一种基于windows操作系统的系统调用去噪装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1,本发明一种基于windows操作系统的系统调用去噪方法,具体包括如下步骤:
S1、对于操作系统中运行的目标应用程序,提取能代表该目标应用程序的所有行为的系统调用;
S2、根据S1中提取到的系统调用创建关系构造进程关系图;
S3、在S1提取到的系统调用中过滤掉无效的系统调用;
S4、在经过S3过滤后的系统调用中,合并连续行为的系统调用;
S5、根据S2的关系构造进程关系图,对经过S4合并后的系统调用进行排序;
S6、对经过S5排序后的系统调用进行归一处理;
S7、提取归一后的系统调用的描述特征,完成系统调用的去噪。
在一种可行的实施例中,步骤S2的具体包括如下子步骤:
S21、在S1中提取到的系统调用中,搜寻系统调用的所属应用程序名称为目标应用程序,且进行进程创建的系统调用,生成进程父子关系,建立进程关系树;
S22、在S1中提取到的系统调用中,搜寻系统调用的所属应用程序名称为目标应用程序,且进行线程创建的系统调用,生成线程父子关系,建立线程关系树。
在一种可行的实施例中,步骤S3的具体包括如下子步骤:
S31、在S1提取到的系统调用中过滤掉所属应用程序名称不为目标应用程序的系统调用;
S32、过滤掉系统调用结果不为成功的系统调用;
S33、以白名单的方式过滤掉所有无效系统调用;
S34、过滤掉其中获取文件句柄的系统调用。
在一种可行的实施例中,步骤S4的具体包括如下操作:对于系统调用函数名称相同、系统调用时间连续、系统调用操作系统路径相同、系统调用所属线程ID相同的系统调用,将其合并为一条总系统调用,并根据总系统调用的实际行为修改系统调用的细节。
在一种可行的实施例中,步骤S5的具体包括如下操作:
S51、根据S2的关系构造进程关系图,对同一进程内所有线程按创建时间顺序,进程按中序优先遍历的方法对系统调用的进行排序,生成进程-线程时序结果;
S52、对S51中进程-线程时序结果和系统调用的产生顺序进行排序。
在一种可行的实施例中,步骤S6的具体包括如下操作:
S61、对于针对文件系统进行操作的系统调用,将其系统调用操作系统路径的临时文件夹路径、魔术字文件路径和临时文件路径进行归一;
S62、对于针对网络进行操作的系统调用,将其网络访问的ip地址转化为域名进行归一;
S63、对于针对注册表进行操作的系统调用,将包含魔术字的注册表项名称进行归一。
在一种可行的实施例中,步骤S7的具体包括如下操作: 将每一个系统调用的系统调用函数名称和系统调用操作系统路径描述组成一条系统调用元组;将所有系统调用元组按照步骤S5的排序组成可迭代的系统调用描述字符串。
实施例:
对操作系统中运行的目标应用程序进行行为追踪,收集它所有的系统调用,对收集到的系统调用进行分析处理,提取能代表该应用程序所有行为的系统调用,用于对应用程序的系统行为进行描述。
(1.1)通过在windows操作系统内加载processMonitor或infiniteHook等hook程序,进行操作系统的内核态系统条用追踪;通过编程实现,记录所有系统调用的系统调用函数名称,系统调用时间,系统调用结果,系统调用所属应用程序名称,系统调用所属进程ID,系统调用所属线程ID,系统调用所属进程父进程ID,调用数据进程父进程线程ID,系统调用操作系统路径,系统调用细节;本具体实施方式以window7环境下Word2010应用程序获得的系统调用为例;
(1.2)将所有系统调用输出至系统调用描述文件中,记为文件F;
(1.3)在系统调用描述文件中找到系统调用所属应用程序名称为word.exe,系统调用函数名称为Process Create的系统调用,根据这些系统调用生成进程父子关系;对于应用程序建立进程关系树;
例:
进程1创建进程2;
进程1创建进程3;
进程2创建进程4;
进程1创建进程5;
(2.2)在系统调用描述文件中找到系统调用所属应用程序名称为word.exe,系统调用函数名称为Thread Create,系统调用所属进程ID相同的系统调用,根据这些系统调用生成线程父子关系。对于应用程序所生成每一个进程,建立线程关系树;
例:
线程1创建线程2;
线程1创建线程3;
线程2创建线程4;
线程1创建线程5;
(3)根据以下规则对系统调用描述文件中的系统调用进行过滤:
过滤掉所有系统调用所属应用程序名称不为word.exe的系统调用;
过滤掉所有系统调用结果不为SUCCESS的系统调用;
以白名单方式过滤掉所有无效系统调用;白名单如下:
有效系统调用;
'CreateFile',
'Process Create',
'RegCreateKey',
'RegDeleteValue',
'RegDeleteKey',
'RegFlushKey',
'RegSetValue',
'TCP Connect',
'TCP Send',
'TCP Receive',
'UDP Send',
'UDP Receive',
'WriteFile',
对于上述已过滤的系统调用,过滤掉其中获取文件句柄的系统调用;
获取文件句柄的系统调用包括:
系统调用函数名称为 CreateFile, 系统调用细节包含字符串“Disposition:Open, .”的系统调用;
系统调用函数名称为 RegCreateKey,系统调用细节包含字符串“Disposition:REG_OPENED_EXISTING_KEY.”的系统调用;
(4)对于系统调用函数名称相同,系统调用时间连续,系统调用操作系统路径相同,系统调用所属线程ID相同的连续系统调用,对将其合并为一条系统调用,并根据系统调用的实际行为修改系统调用细节:
系统调用名称为WriteFile的系统调用,合并后新的系统调用条目的系统调用名称为WriteFile,offset= min(old offsets),length = max(old offsets) - min(oldoffsets) + syscall(offset= max(old offsets)).length;
系统调用名称为TCP Send或TCP Retransmit的系统调用,合并后新的系统调用条目的系统调用名称为TCP Send, length = sum(old lengths),seqnum = max(oldseqnums);
系统调用名称为UDP Send的系统调用,合并后新的系统调用条目的系统调用名称为UDP Send;length = sum(old lengths);
(5.1)根据进程-线程关系树,采用同一进程内所有线程按创建时间顺序,进程按中序优先遍历的方法对系统调用的进行排序,以步骤2生成的关系树为例,排序后的系统调用关系为:
例:
进程1线程1;
进程1线程2;
进程1线程3;
进程1线程4;
进程1线程5;
进程2;
进程3;
进程5;
进程4;
(5.2) 对于经步骤一、二、三、四处理后的系统调用描述文件,将其中所有系统调用按5.1所生成的进程-线程时序结果和系统调用产生顺序进行排序。
例:
进程1线程1的所有系统调用;
进程1线程2的所有系统调用;
进程1线程3的所有系统调用;
进程1线程4的所有系统调用;
进程1线程5的所有系统调用;
进程2的所有系统调用;
进程3的所有系统调用;
进程5的所有系统调用;
进程4的所有系统调用;
(6) 根据以下规则对系统调用描述文件中的系统调用进行归一
对于针对文件系统进行操作的系统调用,将其系统调用操作系统路径的临时文件夹路径、魔术字文件路径和临时文件路径进行归一;
对于CryptnetUrlCache\\MetaData、CryptnetUrlCache\\Content\\、TemporaryInternet Files\\Content.Word\\、Temporary Internet Files\\Content.MSO\\文件夹后的所有文件,均在后缀名保持不变的前提下改名为zjlab;
对于针对网络进行操作的系统调用,将其网络访问的ip地址转化为域名进行归一;
如:对于180.101.49.11,通过ipwhois将其转为www.baidu.com进行归一。
对于针对注册表进行操作的系统调用,将包含魔术字的注册表项名称进行归一;
对于ServerCache\\、TypeLib\\、StartupItems\\、DocumentRecovery\\、Common\\Licensing\\、Interface\\的注册表项,均将注册表项改为zjlab
(7) 对于完成步骤一、二、三、四、五、六系统调用,将每一条系统调用的系统调用函数名称,系统调用操作系统路径两个字符串描述组成一条系统调用元组,将所有系统调用元组按照步骤五排列的顺序组成可迭代的系统调用描述字符串,即完成了基于windows操作系统的系统调用去噪。
例:
<CreateFile,C:\Users\zjsec\AppData\Local\Temp\zjlab.tmp>;
<RegCreateKey,HKCU\Software\Microsoft\Office\14.0\Word\Resiliency>;
本发明一种基于windows操作系统的系统调用去噪装置的实施例可以应用在任意具备数据处理能力的设备上,该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本发明一种基于windows操作系统的系统调用去噪装置所在任意具备数据处理能力的设备的一种硬件结构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能,还可以包括其他硬件,对此不再赘述。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明实施例还提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时,实现上述实施例中的一种基于windows操作系统的系统调用去噪装置。
所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元,例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备的外部存储设备,例如所述设备上配备的插接式硬盘、智能存储卡(Smart Media Card,SMC)、SD卡、闪存卡(Flash Card)等。进一步的,所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据,还可以用于暂时地存储已经输出或者将要输出的数据。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于windows操作系统的系统调用去噪方法,其特征在于,具体包括如下步骤:
S1、对于操作系统中运行的目标应用程序,提取能代表该目标应用程序的所有行为的系统调用;
S2、根据S1中提取到的系统调用创建关系构造进程关系图;
S3、在S1提取到的系统调用中过滤掉无效的系统调用;
S4、在经过S3过滤后的系统调用中,合并连续行为的系统调用;
步骤S4的具体包括如下操作:对于系统调用函数名称相同、系统调用时间连续、系统调用操作系统路径相同、系统调用所属线程ID相同的系统调用,将其合并为一条总系统调用,并根据总系统调用的实际行为修改系统调用的细节;
S5、根据S2的关系构造进程关系图,对经过S4合并后的系统调用进行排序;
S6、对经过S5排序后的系统调用进行归一处理;
步骤S6的具体包括如下操作:
S61、对于针对文件系统进行操作的系统调用,将其系统调用操作系统路径的临时文件夹路径、魔术字文件路径和临时文件路径进行归一;
S62、对于针对网络进行操作的系统调用,将其网络访问的ip地址转化为域名进行归一;
S63、对于针对注册表进行操作的系统调用,将包含魔术字的注册表项名称进行归一;
S7、提取归一后的系统调用的描述特征,完成系统调用的去噪。
2.如权利要求1所述的一种基于windows操作系统的系统调用去噪方法,其特征在于,步骤S2的具体包括如下子步骤:
S21、在S1中提取到的系统调用中,搜寻系统调用的所属应用程序名称为目标应用程序,且进行进程创建的系统调用,生成进程父子关系,建立进程关系树;
S22、在S1中提取到的系统调用中,搜寻系统调用的所属应用程序名称为目标应用程序,且进行线程创建的系统调用,生成线程父子关系,建立线程关系树。
3.如权利要求1所述的一种基于windows操作系统的系统调用去噪方法,其特征在于,步骤S3的具体包括如下子步骤:
S31、在S1提取到的系统调用中过滤掉所属应用程序名称不为目标应用程序的系统调用;
S32、过滤掉系统调用结果不为成功的系统调用;
S33、以白名单的方式过滤掉所有无效系统调用;
S34、过滤掉其中获取文件句柄的系统调用。
4.如权利要求1所述的一种基于windows操作系统的系统调用去噪方法,其特征在于,步骤S5的具体包括如下操作:
S51、根据S2的关系构造进程关系图,对同一进程内所有线程按创建时间顺序,进程按中序优先遍历的方法对系统调用的进行排序,生成进程-线程时序结果;
S52、对S51中进程-线程时序结果和系统调用的产生顺序进行排序。
5.如权利要求1所述的一种基于windows操作系统的系统调用去噪方法,其特征在于,步骤S7的具体包括如下操作:将每一个系统调用的系统调用函数名称和系统调用操作系统路径描述组成一条系统调用元组;将所有系统调用元组按照步骤S5的排序组成可迭代的系统调用描述字符串。
6.一种基于windows操作系统的系统调用去噪装置,其特征在于:包括存储器和一个或多个处理器,所述存储器中存储有可执行代码,所述一个或多个处理器执行所述可执行代码时,用于实现权利要求1-5任一项所述的一种基于windows操作系统的系统调用去噪方法。
7.一种计算机可读存储介质,其特征在于:其上存储有程序,该程序被处理器执行时,实现权利要求1-5任一项所述的一种基于windows操作系统的系统调用去噪方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211528529.1A CN116089955B (zh) | 2022-12-01 | 2022-12-01 | 一种基于windows操作系统的系统调用去噪方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211528529.1A CN116089955B (zh) | 2022-12-01 | 2022-12-01 | 一种基于windows操作系统的系统调用去噪方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116089955A CN116089955A (zh) | 2023-05-09 |
| CN116089955B true CN116089955B (zh) | 2023-09-26 |
Family
ID=86207130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211528529.1A Active CN116089955B (zh) | 2022-12-01 | 2022-12-01 | 一种基于windows操作系统的系统调用去噪方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116089955B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
| CN101944167A (zh) * | 2010-09-29 | 2011-01-12 | 中国科学院计算技术研究所 | 识别恶意程序的方法及系统 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN103164649A (zh) * | 2013-02-18 | 2013-06-19 | 北京神州绿盟信息安全科技股份有限公司 | 进程行为分析方法及系统 |
| KR20150085741A (ko) * | 2014-01-16 | 2015-07-24 | 한국과학기술정보연구원 | 프로세스의 동적 행위 정규화 및 악성 코드 탐지 방법 |
| CN108804920A (zh) * | 2018-05-24 | 2018-11-13 | 河南省躬行信息科技有限公司 | 一种基于跨进程行为监控恶意代码同源性分析的方法 |
| CN111259388A (zh) * | 2020-01-09 | 2020-06-09 | 中山大学 | 一种基于图卷积的恶意软件api调用序列检测方法 |
| CN112069505A (zh) * | 2020-09-15 | 2020-12-11 | 北京微步在线科技有限公司 | 一种审计信息处理方法及电子设备 |
| CN112269644A (zh) * | 2020-10-16 | 2021-01-26 | 苏州浪潮智能科技有限公司 | 一种子进程调用的验证方法、系统、设备及可读存储介质 |
| CN113568836A (zh) * | 2021-07-30 | 2021-10-29 | 江苏易安联网络技术有限公司 | 多时间序列的样本特征提取方法以应用其的软件检测方法 |
| CN115062301A (zh) * | 2022-05-17 | 2022-09-16 | 北京理工大学 | 指令与系统调用序列关联重构的可进化恶意软件识别方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9454652B2 (en) * | 2009-10-23 | 2016-09-27 | Secure Vector, Llc | Computer security system and method |
| US11736499B2 (en) * | 2019-04-09 | 2023-08-22 | Corner Venture Partners, Llc | Systems and methods for detecting injection exploits |
-
2022
- 2022-12-01 CN CN202211528529.1A patent/CN116089955B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
| CN101944167A (zh) * | 2010-09-29 | 2011-01-12 | 中国科学院计算技术研究所 | 识别恶意程序的方法及系统 |
| CN102930210A (zh) * | 2012-10-14 | 2013-02-13 | 江苏金陵科技集团公司 | 恶意程序行为自动化分析、检测与分类系统及方法 |
| CN103164649A (zh) * | 2013-02-18 | 2013-06-19 | 北京神州绿盟信息安全科技股份有限公司 | 进程行为分析方法及系统 |
| KR20150085741A (ko) * | 2014-01-16 | 2015-07-24 | 한국과학기술정보연구원 | 프로세스의 동적 행위 정규화 및 악성 코드 탐지 방법 |
| CN108804920A (zh) * | 2018-05-24 | 2018-11-13 | 河南省躬行信息科技有限公司 | 一种基于跨进程行为监控恶意代码同源性分析的方法 |
| CN111259388A (zh) * | 2020-01-09 | 2020-06-09 | 中山大学 | 一种基于图卷积的恶意软件api调用序列检测方法 |
| CN112069505A (zh) * | 2020-09-15 | 2020-12-11 | 北京微步在线科技有限公司 | 一种审计信息处理方法及电子设备 |
| CN112269644A (zh) * | 2020-10-16 | 2021-01-26 | 苏州浪潮智能科技有限公司 | 一种子进程调用的验证方法、系统、设备及可读存储介质 |
| CN113568836A (zh) * | 2021-07-30 | 2021-10-29 | 江苏易安联网络技术有限公司 | 多时间序列的样本特征提取方法以应用其的软件检测方法 |
| CN115062301A (zh) * | 2022-05-17 | 2022-09-16 | 北京理工大学 | 指令与系统调用序列关联重构的可进化恶意软件识别方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于结构关系检索的隐藏进程检测;贾乘 等;计算机工程(第09期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116089955A (zh) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Raghavan | Digital forensic research: current state of the art | |
| CN109800175B (zh) | 一种基于代码插桩的以太坊智能合约重入漏洞检测方法 | |
| US10198580B2 (en) | Behavior specification, finding main, and call graph visualizations | |
| CN111259388B (zh) | 一种基于图卷积的恶意软件api调用序列检测方法 | |
| CN114154190A (zh) | 管理敏感生产数据 | |
| CN109918907A (zh) | Linux平台进程内存恶意代码取证方法、控制器及介质 | |
| CN113486350B (zh) | 恶意软件的识别方法、装置、设备及存储介质 | |
| WO2021151317A1 (zh) | 活体检测方法、装置、电子设备及存储介质 | |
| CN107871080A (zh) | 大数据混合式Android恶意代码检测方法及装置 | |
| CN113139192A (zh) | 基于知识图谱的第三方库安全风险分析方法及系统 | |
| CN111371757B (zh) | 恶意通信检测方法、装置、计算机设备和存储介质 | |
| CN114650176A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
| CN108228312B (zh) | 通过解释器执行代码的系统和方法 | |
| CN108959930A (zh) | 恶意pdf检测方法、系统、数据存储设备和检测程序 | |
| Karabiyik | Building an intelligent assistant for digital forensics | |
| Khan et al. | Digital forensics and cyber forensics investigation: security challenges, limitations, open issues, and future direction | |
| CN116089955B (zh) | 一种基于windows操作系统的系统调用去噪方法及装置 | |
| CN111898126B (zh) | 一种基于动态获取用户界面的Android重打包应用检测方法 | |
| WO2017092355A1 (zh) | 一种数据服务系统 | |
| Nemayire et al. | A 2018 Samsung Smart TV Data Acquisition Method Analysis | |
| US20220366048A1 (en) | Ai-powered advanced malware detection system | |
| Sali et al. | Ram forensics: The analysis and extraction of malicious processes from memory image using gui based memory forensic toolkit | |
| Park et al. | Forensic investigation framework for cryptocurrency wallet in the end device | |
| CN113221705B (zh) | 电子文献的自动分类方法、装置、设备以及存储介质 | |
| CN116932964B (zh) | 基于页面状态相似性分析的Web应用API发掘方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |