CN116150753A - 一种基于联邦学习的移动端恶意软件检测系统 - Google Patents

一种基于联邦学习的移动端恶意软件检测系统 Download PDF

Info

Publication number
CN116150753A
CN116150753A CN202211734097.XA CN202211734097A CN116150753A CN 116150753 A CN116150753 A CN 116150753A CN 202211734097 A CN202211734097 A CN 202211734097A CN 116150753 A CN116150753 A CN 116150753A
Authority
CN
China
Prior art keywords
client
model
federal learning
training
parameters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211734097.XA
Other languages
English (en)
Inventor
马汝辉
田子申
管海兵
张刘庆庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Jiatu Network Technology Co ltd
Shanghai Jiaotong University
Original Assignee
Jiangsu Jiatu Network Technology Co ltd
Shanghai Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Jiatu Network Technology Co ltd, Shanghai Jiaotong University filed Critical Jiangsu Jiatu Network Technology Co ltd
Priority to CN202211734097.XA priority Critical patent/CN116150753A/zh
Publication of CN116150753A publication Critical patent/CN116150753A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Virology (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于联邦学习的移动端恶意软件检测系统,涉及软件检测领域,包括客户端进程行为序列数据采集模块、客户端联邦学习模型训练模块、客户端恶意软件识别模块、服务端联邦学习中央控制模块;所述客户端进程行为序列数据采集模块实现对应用程序行为序列的采集;所述服务端联邦学习中央控制模块接收所述客户端联邦学习模型训练模块上传的参数,进行聚合,并更新云端的模型参数;所述客户端恶意软件识别模块实现对软件安全性的评估。本发明能够有效的通过应用行为序列数据建模,实现对恶意软件的分辨,同时保护用户隐私。

Description

一种基于联邦学习的移动端恶意软件检测系统
技术领域
本发明涉及软件检测领域,尤其涉及一种基于联邦学习的移动端恶意软件检测系统。
背景技术
随着移动互联网发展日新月异,移动设备所面对的网络安全风险也在飞快增长。我们在日常的使用中会接触到大量的应用程序,应用程序的数量随着移动互联网的发展也在不断的飞速增长,到2018年3月时,全球最大的移动应用下载商店Google Play中的应用程序已经突破了360万。在如此繁多的应用程序中隐藏着大量的恶意软件,恶意软件的存在已经是互联网安全的主要威胁之一,它从网络上衍生出复杂且成熟的犯罪产业,危害社会甚至国家的安全,对金融,交通,物流,医疗等许多行业都造成严重的影响,因此,对于恶意软件的检测和防范一直是所有人都关注的问题。
随着恶意软件数量的不断增多,传统的基于软件静态特征的检测方法已经落后,这种方法主要是依靠安全厂商所积累的恶意软件特征库,对应用软件进行逆向分析,提取关键特征并和云端特征库进行比对。该方法的不足在于:1.无法针对快速变化的互联网环境,新的恶意软件出现后需要安全厂商添加到特征库中,用户再获取更新,这个时间周期太久;2.不法分子很容易通过简单的修改、混淆、加壳等对抗技术逃避特征对比,识别率不高;3.只针对静态特征,无法识别应用程序运行时体现出的动态特征,如API调用序列、存储信息的变化、网络请求数据等等。
基于动态特征和机器学习的检测方法也已经有被提出,但是都限于要么将训练和推理都放在移动设备上进行,要么将训练完全放到服务端,推理放在移动端进行,这两种方案都有其难以避免的劣势。训练在移动设备上进行,受限于移动设备的性能,训练时间长,训练效果差。训练在服务端进行,如何采集数据传输到服务端又是一个问题,如果直接采集数据,那么就会涉及到用户的隐私,如果传输隐私数据到服务端,则用户的隐私会受到极大的威胁。
因此,本领域的技术人员致力于开发一种既可以保证训练效果,又能保护用户隐私的检测方法。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是如何在保证训练效果的同时,保护用户数据隐私。
为实现上述目的,本发明提供了一种基于联邦学习的移动端恶意软件检测系统,其特征在于,包括客户端进程行为序列数据采集模块、客户端联邦学习模型训练模块、客户端恶意软件识别模块、服务端联邦学习中央控制模块;所述客户端进程行为序列数据采集模块实现对应用程序行为序列的采集;所述服务端联邦学习中央控制模块接收所述客户端联邦学习模型训练模块上传的参数,进行聚合,并更新云端的模型参数;所述客户端恶意软件识别模块实现对软件安全性的评估;
所述服务端联邦学习中央控制模块用于管理客户端以及云端的机器学习模型训练状态,收集客户端训练的结果,对客户端训练结果参数进行甄别和聚合;所述联邦学习中央控制模块还包括对于机器学习模型预热训练,超参数设定,当前模型训练状态和历史数据可视化查看与分析等功能
所述客户端进程行为序列数据采集模块用于采集客户端用户使用的app的行为数据,包括app的基本信息,API调用信息,内存信息和磁盘存储信息等;然后将采集的数据进行记录,按照预定义的格式进行存储;
所述客户端联邦学习模型训练模块用于在客户端接收云端服务器下发的模型和参数,利用所述行为序列数据采集模块存储到硬盘的数据在客户端本地训练模型以及发送训练后的新模型参数到云端服务器的所述联邦学习中央控制模块。
所述客户端恶意软件识别模块用于在客户端利用训练所得到的机器学习模型来对软件进程的行为序列数据进行判别,得到对软件进程行为序列数据的判定结果,并将特定的行为序列数据上传到服务端进行复核。
进一步地,所述客户端进程行为序列数据采集模块进行数据采集时,需分析系统框架层的API以及安卓系统内核的API;
进一步地,选择179条所述系统框架层的API作为框架层关键API,修改代码对其进行插桩,记录调用所述框架层关键API时的调用者、时间点、参数等信息;同样,选择9条所述内核的API作为内核层关键API,修改代码对其进行插桩,记录调用所述内核层关键API时的调用者、时间点、参数等信息。
进一步地,所述客户端进程行为序列数据采集模块进行数据采集时,记录的数据经过切分为10秒长度的片段和格式化后,统一其长度和调用信息项格式,使用开源的SqlLite数据库进行持久化存储。
进一步地,所述客户端联邦学习模型训练模块使用Python编写的Keras库辅助构建了ResNet网络模型,选择tanh作为激活函数,SGD作为优化器,采用开源的TensorFlowLite框架作为后端来训练模型;通过OKHttp与服务端建立连接,传输模型参数更新。
进一步地,所述客户端联邦学习模型训练模块实现了设备状态监测功能,通过后台守护线程进行监控,当出现设备电量低于百分之三十,用户当前前台进程强度较高,设备温度大于40摄氏度等情况时,主动暂停计算过程,并在计算过程中动态地调整进程优先级;
所述客户端联邦学习模型训练模块实现了用户隐私保护功能,在上传参数到服务器时,需要对计算所得的参数加入高斯噪声扰动,以解决差分隐私攻击等安全问题。
进一步地,所述客户端恶意软件识别模块从所述服务端联邦学习中央控制模块获取模型,采用开源的ncnn框架部署模型来完成推理任务,当判定某段行为序列数据属于恶意时,发送给所述服务端联邦学习中央控制模块进行二次确认,最后报告结果给用户。
进一步地,所述服务端联邦学习中央控制模块使用Go+Vue的技术栈完成服务端应用程序,使用Keras+TensorFlow构建ResNet网络模型。
进一步地,所述移动端恶意软件检测系统检测步骤如下:
S1、在所述服务端联邦学习中央控制模块上设置模型的类型和超参数;所述模型类型包括ResNet、AlexNet、VGGNet,所述超参数包括学习率、Batch Size、优化器类型;所述模型类型包括ResNet、AlexNet、VGGNet,所述超参数包括学习率、Batch Size、优化器类型;
S2、在沙箱中运行有标注的应用程序,包括经人工确认的绿色安全应用和恶意应用,记录它们的行为序列;
S3、在所述服务端联邦学习中央控制模块将S2所得数据作为输入训练模型,使模型的参数达到一个较好的起始值,提高后续训练效率;
S4、启动联邦学习训练过程,发送网络请求到客户端,启动所述客户端进程行为序列数据采集模块;
S5、所述客户端进程行为序列数据采集模块监控记录应用运行时的行为序列数据,对其进行时长切分和格式统一,存储到数据库;
S6、所述服务端联邦学习中央控制模块分发模型和参数到所述客户端联邦学习模型训练模块;
S7、所述客户端联邦学习模型训练模块读取之前记录的行为数据,将其作为输入,经过代理任务的处理后,训练本地模型;
S8、本地训练N个轮次之后,提取模型的参数,添加差分隐私算法生成的噪声,以免泄露用户隐私信息;
S9、所述客户端联邦学习模型训练模块上传参数到服务器;
S10、所述服务端联邦学习中央控制模块接收所述客户端联邦学习模型训练模块上传的参数,对数个所述客户端联邦学习模型训练模块的参数进行聚合,更新云端的模型参数;
S11、进行云端验证,如果模型的表现有提升,则直接发布新的推理模型;若没有提升,则等待定时发布新的推理模型;
S12、有新的推理模型发布后,所述客户端恶意软件识别模块下载新的推理模型,对未判断应用行为序列进行判断;
S13、如果是判断结果是恶意的,则交由所述服务端联邦学习中央控制模块进行复核;
S14、若复核结果也为恶意,则由所述客户端恶意软件识别模块向用户发出警告,同时所述服务端联邦学习中央控制模块记录这段恶意行为序列。
本发明具有如下技术效果:
(1)本发明解决了隐私问题,同时还能利用与用户隐私相关的应用数据,提高检测的准确率;
(2)本发明充分利用了大量移动设备的硬件资源,减少了对服务器的硬件要求;
(3)本发明可以利用记录的无标注的行为序列数据进行训练,同时结合监督学习提高了训练效率;
(4)本发明保证用户正常使用不受影响。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一个较佳实施例的结构示意图;
图2是本发明的一个较佳实施例的运行流程图。
具体实施方式
以下参考说明书附图介绍本发明的多个优选实施例,使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现,本发明的保护范围并非仅限于文中提到的实施例。
在附图中,结构相同的部件以相同数字标号表示,各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的,本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰,附图中有些地方适当夸大了部件的厚度。
如图1所示,本实施例为一种基于联邦学习的移动端恶意软件检测系统,该系统包括如下模块:客户端进程行为序列数据采集模块、客户端联邦学习模型训练模块、客户端恶意软件识别模块、服务端联邦学习中央控制模块。接下来具体介绍每个模块的实现:
(一)客户端进程行为序列数据采集模块
在本实施例中,为实现对应用进程行为序列的采集,分析了安卓系统框架层的API,选择了其中179条作为关键API,修改代码对其进行插桩,记录调用该API时的调用者、时间点、参数等信息;对安卓内核的系统调用同样选择了其中9种,同样修改代码对其进行插桩,记录调用该API时的调用者、时间点、参数等信息;记录的数据经过切分为10秒长度的片段和格式化后,统一其长度和调用信息项格式,使用开源的SqlLite数据库进行持久化存储。
(二)客户端联邦学习模型训练模块
在本实施例中,使用Python编写的Keras库辅助构建了ResNet网络模型,选择tanh作为激活函数,SGD作为优化器,采用开源的TensorFlow Lite框架作为后端来训练模型。通过OKHttp与服务端建立连接,传输模型参数更新。同时也实现了设备状态监测功能,通过后台守护线程进行监控,当出现设备电量低于百分之三十,用户当前前台进程强度较高,设备温度大于40摄氏度等情况时,主动暂停计算过程,并在计算过程中动态地调整进程优先级。
(三)客户端恶意软件识别模块
在本实施例中,从服务端获取模型,采用开源的ncnn框架部署模型来完成推理任务。当判定某段行为序列数据属于恶意时,发送给服务端进行二次确认,最后报告结果给用户。
(四)服务端联邦学习中央控制模块
在本实施例中,使用Go+Vue的技术栈完成服务端应用程序,与客户端相同使用Keras+TensorFlow构建ResNet网络模型。
如图2所示,本实施例的运行流程各步骤如下所述:
S1、在中央控制模块上设置模型的类型和超参数,模型类型包括ResNet、AlexNet、VGGNet等等,超参数包括学习率、Batch Size、优化器类型等等;
S2、在沙箱中运行有标注的应用程序,包括经人工确认的绿色安全应用和恶意应用,记录它们的行为序列;
S3、在服务端将S2所得数据作为输入训练模型,使模型的参数达到一个较好的起始值,提高后续训练效率;
S4、启动联邦学习训练过程,发送网络请求到客户端,启动客户端进程行为序列数据采集模块;
S5、客户端监控记录应用运行时的行为序列数据,对其进行时长切分和格式统一,存储到数据库;
S6、服务端分发模型和参数到客户端的训练模块;
S7、客户端读取之前记录的行为数据,将其作为输入,经过代理任务的处理后,训练本地模型;
S8、本地训练N个轮次之后,提取模型的参数,添加差分隐私算法生成的噪声,以免泄露用户隐私信息;
S9、客户端上传参数到服务器;
S10、服务器接收客户端上传的参数,对数个客户端的参数进行聚合,更新云端的模型参数
S11、进行云端验证,如果模型的表现有提升,则直接发布新的推理模型;若没有提升,则等待定时发布新的推理模型;
S12、有新的推理模型发布后,客户端的恶意软件识别模块下载新的推理模型,对未判断应用行为序列进行判断;
S13、如果是判断结果是恶意的,则交由服务器进行复核;
S14、若复核结果也为恶意,则由恶意软件识别模块向用户发出警告,同时服务端记录这段恶意行为序列。
本实施例服务端部署于一台Dell EMC DSS 8440服务器上,客户端在10台安卓手机上进行部署,安卓系统基于AOSP 10.0.0_r46版本进行源码的必要修改以实现应用行为数据的采集。预热训练部分使用200款绿色应用产生的十万条行为序列数据和200款恶意应用产生的十万条行为序列数据进行监督学习,之后在客户端持续交替运行绿色应用和恶意应用,记录模型的学习过程数据和测试集表现。最终,本实施例所实现的系统在上述任务中达到了98.89%的检出率和0.002%的误报率,基本完成了对于恶意软件的检测任务,证明了本发明能够有效的通过应用行为序列数据来建模,实现对恶意软件的分辨。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种基于联邦学习的移动端恶意软件检测系统,其特征在于,包括客户端进程行为序列数据采集模块、客户端联邦学习模型训练模块、客户端恶意软件识别模块、服务端联邦学习中央控制模块;所述客户端进程行为序列数据采集模块实现对应用程序行为序列的采集;所述服务端联邦学习中央控制模块接收所述客户端联邦学习模型训练模块上传的参数,进行聚合,并更新云端的模型参数;所述客户端恶意软件识别模块实现对软件安全性的评估;
所述服务端联邦学习中央控制模块用于管理客户端以及云端的机器学习模型训练状态,收集客户端训练的结果,对客户端训练结果参数进行甄别和聚合;所述联邦学习中央控制模块还包括对于机器学习模型预热训练,超参数设定,当前模型训练状态和历史数据可视化查看与分析等功能
所述客户端进程行为序列数据采集模块用于采集客户端用户使用的APP的行为数据,包括APP的基本信息,API调用信息,内存信息和磁盘存储信息等;然后将采集的数据进行记录,按照预定义的格式进行存储;
所述客户端联邦学习模型训练模块用于在客户端接收云端服务器下发的模型和参数,利用所述行为序列数据采集模块存储到硬盘的数据在客户端本地训练模型以及发送训练后的新模型参数到云端服务器的所述联邦学习中央控制模块。
所述客户端恶意软件识别模块用于在客户端利用训练所得到的机器学习模型来对软件进程的行为序列数据进行判别,得到对软件进程行为序列数据的判定结果,并将特定的行为序列数据上传到服务端进行复核。
2.根据权利要求1所述的基于联邦学习的移动端恶意软件检测系统,其特征在于,运行在云端服务器的所述服务端联邦学习中央控制模块通过以下方法,以达到对联邦学习模型训练过程的优化:
a.在启动联邦训练过程之前,先对模型进行预热训练过程,预热训练过程在云端进行,目标是在下发模型参数之前,通过预热训练使模型参数达到一个范围,提高后续训练的效率;
b.在预热训练过程中,利用人工标注的数据来保证模型的初始参数范围利于后续训练过程;
c.预热训练过程采用方法包括但不限于:使用沙箱作为运行环境,测试运行人工标注过的软件程序,获得有标注的行为序列数据,并将这些数据用于机器学习模型训练。
3.如权利要求2所述的一种基于联邦学习的移动端恶意软件检测系统,其特征在于,所述客户端进程行为序列数据采集模块进行数据采集时,需分析系统框架层的API以及安卓系统内核的API。
4.如权利要求3所述的一种基于联邦学习的移动端恶意软件检测系统,其特征在于,选择179条所述系统框架层的API作为框架层关键API,修改代码对其进行插桩,记录调用所述框架层关键API时的调用者、时间点、参数等信息;同样,选择9条所述内核的API作为内核层关键API,修改代码对其进行插桩,记录调用所述内核层关键API时的调用者、时间点、参数等信息。
5.如权利要求4所述的一种基于联邦学习的移动端恶意软件检测系统,其特征在于,所述客户端进程行为序列数据采集模块进行数据采集时,记录的数据经过切分为10秒长度的片段和格式化后,统一其长度和调用信息项格式,使用开源的SqlLite数据库进行持久化存储。
6.如权利要求5所述的一种基于联邦学习的移动端恶意软件检测系统,其特征在于,所述客户端联邦学习模型训练模块使用Python编写的Keras库辅助构建了ResNet网络模型,选择tanh作为激活函数,SGD作为优化器,采用开源的TensorFlow Lite框架作为后端来训练模型;通过OKHttp与服务端建立连接,传输模型参数更新。
7.如权利要求6所述的一种基于联邦学习的移动端恶意软件检测系统,其特征在于,所述客户端联邦学习模型训练模块实现了设备状态监测功能,通过后台守护线程进行监控,当出现设备电量低于百分之三十,用户当前前台进程强度较高,设备温度大于40摄氏度等情况时,主动暂停计算过程,并在计算过程中动态地调整进程优先级;
所述客户端联邦学习模型训练模块实现了用户隐私保护功能,在上传参数到服务器时,需要对计算所得的参数加入高斯噪声扰动,以解决差分隐私攻击等安全问题。
8.如权利要求7所述的一种基于联邦学习的移动端恶意软件检测系统,其特征在于,所述客户端恶意软件识别模块从所述服务端联邦学习中央控制模块获取模型,采用开源的ncnn框架部署模型来完成推理任务,当判定某段行为序列数据属于恶意时,发送给所述服务端联邦学习中央控制模块进行二次确认,最后报告结果给用户。
9.如权利要求8所述的一种基于联邦学习的移动端恶意软件检测系统,其特征在于,所述服务端联邦学习中央控制模块使用Go+Vue的技术栈完成服务端应用程序,使用Keras+TensorFlow构建ResNet网络模型。
10.如权利要求9所述的一种基于联邦学习的移动端恶意软件检测系统,其特征在于,所述移动端恶意软件检测系统检测步骤如下:
S1、在所述服务端联邦学习中央控制模块上设置模型的类型和超参数;所述模型类型包括ResNet、AlexNet、VGGNet,所述超参数包括学习率、Batch Size、优化器类型;所述模型类型包括ResNet、AlexNet、VGGNet,所述超参数包括学习率、Batch Size、优化器类型;
S2、在沙箱中运行有标注的应用程序,包括经人工确认的绿色安全应用和恶意应用,记录它们的行为序列;
S3、在所述服务端联邦学习中央控制模块将S2所得数据作为输入训练模型,使模型的参数达到一个较好的起始值,提高后续训练效率;
S4、启动联邦学习训练过程,发送网络请求到客户端,启动所述客户端进程行为序列数据采集模块;
S5、所述客户端进程行为序列数据采集模块监控记录应用运行时的行为序列数据,对其进行时长切分和格式统一,存储到数据库;
S6、所述服务端联邦学习中央控制模块分发模型和参数到所述客户端联邦学习模型训练模块;
S7、所述客户端联邦学习模型训练模块读取之前记录的行为数据,将其作为输入,经过代理任务的处理后,训练本地模型;
S8、本地训练N个轮次之后,提取模型的参数,添加差分隐私算法生成的噪声,以免泄露用户隐私信息;
S9、所述客户端联邦学习模型训练模块上传参数到服务器;
S10、所述服务端联邦学习中央控制模块接收所述客户端联邦学习模型训练模块上传的参数,对数个所述客户端联邦学习模型训练模块的参数进行聚合,更新云端的模型参数;
S11、进行云端验证,如果模型的表现有提升,则直接发布新的推理模型;若没有提升,则等待定时发布新的推理模型;
S12、有新的推理模型发布后,所述客户端恶意软件识别模块下载新的推理模型,对未判断应用行为序列进行判断;
S13、如果是判断结果是恶意的,则交由所述服务端联邦学习中央控制模块进行复核;
S14、若复核结果也为恶意,则由所述客户端恶意软件识别模块向用户发出警告,同时所述服务端联邦学习中央控制模块记录这段恶意行为序列。
CN202211734097.XA 2022-12-21 2022-12-21 一种基于联邦学习的移动端恶意软件检测系统 Pending CN116150753A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211734097.XA CN116150753A (zh) 2022-12-21 2022-12-21 一种基于联邦学习的移动端恶意软件检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211734097.XA CN116150753A (zh) 2022-12-21 2022-12-21 一种基于联邦学习的移动端恶意软件检测系统

Publications (1)

Publication Number Publication Date
CN116150753A true CN116150753A (zh) 2023-05-23

Family

ID=86359382

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211734097.XA Pending CN116150753A (zh) 2022-12-21 2022-12-21 一种基于联邦学习的移动端恶意软件检测系统

Country Status (1)

Country Link
CN (1) CN116150753A (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103065093A (zh) * 2012-12-27 2013-04-24 中国人民解放军国防科学技术大学 一种恶意软件行为特征标识方法
US10356119B1 (en) * 2017-03-28 2019-07-16 Trend Micro Incorporated Detection of computer security threats by machine learning
CN110210219A (zh) * 2018-05-30 2019-09-06 腾讯科技(深圳)有限公司 病毒文件的识别方法、装置、设备及存储介质
CN110929260A (zh) * 2019-11-29 2020-03-27 杭州安恒信息技术股份有限公司 一种恶意软件检测的方法、装置、服务器及可读存储介质
CN111417121A (zh) * 2020-02-17 2020-07-14 西安电子科技大学 具有隐私保护的多恶意软件混合检测方法、系统、装置
CN111859381A (zh) * 2019-04-29 2020-10-30 深信服科技股份有限公司 一种文件检测方法、装置、设备及介质
WO2021184836A1 (zh) * 2020-03-20 2021-09-23 深圳前海微众银行股份有限公司 识别模型的训练方法、装置、设备及可读存储介质
CN113497785A (zh) * 2020-03-20 2021-10-12 深信服科技股份有限公司 恶意加密流量检测方法、系统、存储介质和云端服务器
CN113656798A (zh) * 2021-07-09 2021-11-16 北京科技大学 一种面向恶意软件标签翻转攻击的正则化识别方法及装置
CN113962402A (zh) * 2021-10-29 2022-01-21 中国工商银行股份有限公司 联邦学习防御方法、装置、计算机设备和计算机存储介质
CN114257386A (zh) * 2020-09-10 2022-03-29 华为技术有限公司 检测模型的训练方法、系统、设备及存储介质
CN114338188A (zh) * 2021-12-30 2022-04-12 杭州电子科技大学 一种基于进程行为序列分片的恶意软件智能云检测系统
US20220351069A1 (en) * 2021-04-30 2022-11-03 International Business Machines Corporation Federated training of machine learning models

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103065093A (zh) * 2012-12-27 2013-04-24 中国人民解放军国防科学技术大学 一种恶意软件行为特征标识方法
US10356119B1 (en) * 2017-03-28 2019-07-16 Trend Micro Incorporated Detection of computer security threats by machine learning
CN110210219A (zh) * 2018-05-30 2019-09-06 腾讯科技(深圳)有限公司 病毒文件的识别方法、装置、设备及存储介质
CN111859381A (zh) * 2019-04-29 2020-10-30 深信服科技股份有限公司 一种文件检测方法、装置、设备及介质
CN110929260A (zh) * 2019-11-29 2020-03-27 杭州安恒信息技术股份有限公司 一种恶意软件检测的方法、装置、服务器及可读存储介质
CN111417121A (zh) * 2020-02-17 2020-07-14 西安电子科技大学 具有隐私保护的多恶意软件混合检测方法、系统、装置
WO2021184836A1 (zh) * 2020-03-20 2021-09-23 深圳前海微众银行股份有限公司 识别模型的训练方法、装置、设备及可读存储介质
CN113497785A (zh) * 2020-03-20 2021-10-12 深信服科技股份有限公司 恶意加密流量检测方法、系统、存储介质和云端服务器
CN114257386A (zh) * 2020-09-10 2022-03-29 华为技术有限公司 检测模型的训练方法、系统、设备及存储介质
US20220351069A1 (en) * 2021-04-30 2022-11-03 International Business Machines Corporation Federated training of machine learning models
CN113656798A (zh) * 2021-07-09 2021-11-16 北京科技大学 一种面向恶意软件标签翻转攻击的正则化识别方法及装置
CN113962402A (zh) * 2021-10-29 2022-01-21 中国工商银行股份有限公司 联邦学习防御方法、装置、计算机设备和计算机存储介质
CN114338188A (zh) * 2021-12-30 2022-04-12 杭州电子科技大学 一种基于进程行为序列分片的恶意软件智能云检测系统

Similar Documents

Publication Publication Date Title
CN108881265B (zh) 一种基于人工智能的网络攻击检测方法及系统
CN108471429B (zh) 一种网络攻击告警方法及系统
CN107566358B (zh) 一种风险预警提示方法、装置、介质及设备
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
US20190108338A1 (en) Methods and apparatus for using machine learning on multiple file fragments to identify malware
CN106375331B (zh) 一种攻击组织的挖掘方法及装置
CN111931166B (zh) 基于代码注入和行为分析的应用程序防攻击方法和系统
CN109299135A (zh) 基于识别模型的异常查询识别方法、识别设备及介质
CN113542279B (zh) 一种网络安全风险评估方法、系统及装置
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN108183888A (zh) 一种基于随机森林算法的社会工程学入侵攻击路径检测方法
CN111064745A (zh) 一种基于异常行为探测的自适应反爬方法和系统
CN112153044B (zh) 流量数据的检测方法及相关设备
CN112437034B (zh) 虚假终端检测方法和装置、存储介质及电子装置
CN113572757B (zh) 服务器访问风险监测方法及装置
CN113987508A (zh) 一种漏洞处理方法、装置、设备及介质
CN109446789A (zh) 基于人工智能的防撞库方法、设备、存储介质及装置
CN111949992A (zh) Web应用程序的自动化安全监测方法及系统
CN116150753A (zh) 一种基于联邦学习的移动端恶意软件检测系统
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
CN113364766B (zh) 一种apt攻击的检测方法及装置
CN114978474A (zh) 一种用户聊天风险等级自动处置方法及系统
US11763004B1 (en) System and method for bootkit detection
Japertas et al. Method of early staged cyber attacks detection in IT and telecommunication networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination