JP2017016626A - 悪質な脆弱性のあるファイルを検出する方法、装置及び端末 - Google Patents
悪質な脆弱性のあるファイルを検出する方法、装置及び端末 Download PDFInfo
- Publication number
- JP2017016626A JP2017016626A JP2015234043A JP2015234043A JP2017016626A JP 2017016626 A JP2017016626 A JP 2017016626A JP 2015234043 A JP2015234043 A JP 2015234043A JP 2015234043 A JP2015234043 A JP 2015234043A JP 2017016626 A JP2017016626 A JP 2017016626A
- Authority
- JP
- Japan
- Prior art keywords
- file
- detection model
- detected
- training
- entropy vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N99/00—Subject matter not provided for in other groups of this subclass
-
- G—PHYSICS
- G10—MUSICAL INSTRUMENTS; ACOUSTICS
- G10L—SPEECH ANALYSIS OR SYNTHESIS; SPEECH RECOGNITION; SPEECH OR VOICE PROCESSING; SPEECH OR AUDIO CODING OR DECODING
- G10L19/00—Speech or audio signals analysis-synthesis techniques for redundancy reduction, e.g. in vocoders; Coding or decoding of speech or audio signals, using source filter models or psychoacoustic analysis
- G10L2019/0001—Codebooks
- G10L2019/0013—Codebook search algorithms
- G10L2019/0014—Selection criteria for distances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
Description
前記初期検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップと、
前記初期検出モデルの誤判定率が所定閾値より小さくない場合に、現在の検出モデルを補正するステップ及び補正後の検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップを繰り返すステップと、補正後の検出モデルの誤判定率が所定閾値より小さいことに応じて、繰り返しを停止して前記補正後の検出モデルを出力するステップと、を含む。
本願に係る端末は、スマートフォン、タブレットPC、パーソナルデジタルアシスタント、ラップトップ型PC及びデスクトップパソコンなどを含むが、それらに限定されない。例示的説明の目的及び便宜上、以下、デスクトップパソコンを参照して本願の例示的な実施例を説明する。
図1に示すように、ステップ101において、検出すべきファイルを取得する。
一般的には、悪質な脆弱性のあるファイルはドキュメントにおいて大量の重複文字列を作成し、次にROP(Return−oriented programming、リターン指向プログラミング)を作成し、ほかのモジュールにおけるコードを実行し、それによりDEP(Data Execution Prevention、データ実行防止)を回避してウイルスを放出する。
最終的に、ステップ103において、トレーニングされた検出モデルを利用して上記の検出すべきファイルのエントロピーベクトルを検出して当該検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する。
図4に示されるように、ステップ401において、ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得する。
本実施例において、トレーニングファイルのセキュリティカテゴリーに応じて上した記トレーニングファイルを標識し、本実施例の一形態において、特殊の色でトレーニングファイルに対してセキュリティカテゴリーを標識してもよく、異なる色が異なるセキュリティカテゴリーを示す。本実施例の別の形態において、特殊な符号でトレーニングファイルに対してセキュリティカテゴリーを標識してもよく、異なる符号が異なるセキュリティカテゴリーを示す。ほかの方式により上記したトレーニングファイルに対してセキュリティカテゴリーを標識してもよく、本願はこの点について限定しないことが理解されるべきである。
最終的に、ステップ404において、上記したトレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力する。
図5に示されるように、本実施例の装置500は、取得手段501、確定手段502及び検出手段503を含む。取得手段501は検出すべきファイルを取得する。確定手段502は検出すべきファイルのエントロピーベクトルを確定する。検出手段503はトレーニングされた検出モデルを利用して検出すべきファイルのエントロピーベクトルを検出して、検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する。検出すべきファイルのファイルタイプが検出モデルに対応するファイルタイプと同一である。
図6に示されるように、本実施例の端末600は、少なくとも1つのプロセッサ601、たとえばCPU(Central Processing Unit、中央処理装置)、少なくとも1つの通信インターフェース602、少なくとも1つのユーザインターフェース603、メモリ604、及び少なくとも1つの通信バス605を含む。通信バス605は上記した部品同士の接続通信を達成する。任意で、端末600は、ユーザインターフェース603、例えば表示ユニット、キーボード又はクリック装置(たとえば、マウス、トラックボール(trackball)、タッチパネル又はタッチスクリーン)などを備えてもよい。メモリ604は高速RAM(Random Access Memory、ランダムアクセスメモリ)を含んでもよく、不揮発性メモリ(non−volatile memory)、たとえば、少なくとも1つのフレキシブルディスクメモリをさらに含んでもよい。メモリ604は上記したプロセッサ601から遠く離れる少なくとも1つの記憶装置を含んでもよい。
アプリケーションプログラム624は、各種のアプリケーションプログラムを含み、各種のアプリケーションサービスを実現する。
Claims (14)
- 検出すべきファイルを取得するステップと、
前記検出すべきファイルのエントロピーベクトルを確定するステップと、
トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定するステップと、を含んでおり、
前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一であることを特徴とする、悪質な脆弱性のあるファイルを検出する方法。 - ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、
前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、
前記トレーニングファイルのエントロピーベクトルを確定するステップと、
前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、
ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含むことを特徴とする、請求項1に記載の方法。 - 前記の検出モデルをトレーニングして出力するステップにおいては、
前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて初期検出モデルを取得するステップと、
前記初期検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップと、
前記初期検出モデルの誤判定率が所定閾値より小さくない場合に、現在の検出モデルを補正するステップ及び補正後の検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップを繰り返すステップと、
補正後の検出モデルの誤判定率が所定閾値より小さいことに応じて、繰り返しを停止して前記補正後の検出モデルを出力するステップと、を含むことを特徴とする、請求項2に記載の方法。 - 前記の初期検出モデルを取得するステップにおいては、
前記トレーニングファイルから一部のファイルを第1ファイルとして取得するステップと、
前記第1ファイルのエントロピーベクトルに対して特徴分類を行うステップと、
前記特徴分類の結果及び前記第1ファイルのセキュリティカテゴリー識別子に基づいて、学習して初期検出モデルを取得するステップと、を含むことを特徴とする、請求項3に記載の方法。 - 検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップにおいては、
前記トレーニングファイルから一部のファイルを第2ファイルとして取得するステップと、
テストすべき検出モデルを利用して前記第2ファイルのエントロピーベクトルを検出するステップと、
検出結果及び前記第2ファイルのセキュリティカテゴリー識別子に基づいて誤判定率を確定するステップと、
前記誤判定率を前記所定閾値と比較し、前記誤判定率が所定閾値より小さいか否かを確定するステップと、を含んでおり、
ここで、前記第1ファイルが前記第2ファイルに含まれないことを特徴とする、請求項4に記載の方法。 - 前記の現在の検出モデルを補正するステップは、
第1ファイルの数を増やして再学習することによって検出モデルを取得するステップ、及び
エントロピーベクトルの次元数を調整して再学習することによって検出モデルを取得するステップのうちの少なくとも一つのステップを含むことを特徴とする、請求項5に記載の方法。 - ファイルを所定数のセグメントに分けるステップと、
各前記セグメントのエントロピー値を取得するステップと、
前記セグメントの数をエントロピーベクトルの次元数とし、各前記セグメントが1つのエントロピーベクトルの方向に対応し、各前記セグメントのエントロピー値に基づいてファイルのエントロピーベクトルを確定するステップと、によってファイルのエントロピーベクトルを確定することを特徴とする、請求項1〜6のいずれかに記載の方法。 - 検出すべきファイルを取得する取得手段と、
前記検出すべきファイルのエントロピーベクトルを確定する確定手段と、
トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する検出手段と、を備えており、
ここで、前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一であることを特徴とする、悪質な脆弱性のあるファイルを検出する装置。 - ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、
前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、
前記トレーニングファイルのエントロピーベクトルを確定するステップと、
前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、
ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含むことを特徴とする、請求項8に記載の装置。 - 前記確定手段は
ファイルを所定数のセグメントに分け、
各前記セグメントのエントロピー値を取得し、
前記セグメントの数をエントロピーベクトルの次元数とし、各前記セグメントが1つのエントロピーベクトルの方向に対応し、各前記セグメントのエントロピー値に基づいてファイルのエントロピーベクトルを確定するように構成されることを特徴とする、請求項8または9に記載の装置。 - トレーニングされた検出モデルを記憶するメモリと、
検出すべきファイルを取得し、前記検出すべきファイルのエントロピーベクトルを確定し、且つトレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定するプロセッサと、を備えており、
ここで、前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一であることを特徴とする、端末。 - ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、
前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、
前記トレーニングファイルのエントロピーベクトルを確定するステップと、
前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、
ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含むことを特徴とする、請求項11に記載の端末。 - 不揮発性のコンピュータ記憶媒体であって、コンピュータ可読命令を記憶しており、前記コンピュータ可読命令がプロセッサにより実行される場合に、前記プロセッサは、
検出すべきファイルを取得し、
前記検出すべきファイルのエントロピーベクトルを確定し、
トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定するように操作可能であり、
前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一であることを特徴とする、不揮発性のコンピュータ記憶媒体。 - 前記検出モデルを取得するように、前記プロセッサはファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得し、
前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識し、
前記トレーニングファイルのエントロピーベクトルを確定し、
前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するように操作可能であり、
ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含むことを特徴とする、不揮発性のコンピュータ記憶媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510377521.3A CN106295337B (zh) | 2015-06-30 | 2015-06-30 | 用于检测恶意漏洞文件的方法、装置及终端 |
CN201510377521.3 | 2015-06-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017016626A true JP2017016626A (ja) | 2017-01-19 |
JP6138896B2 JP6138896B2 (ja) | 2017-05-31 |
Family
ID=57651270
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015234043A Active JP6138896B2 (ja) | 2015-06-30 | 2015-11-30 | 悪質な脆弱性のあるファイルを検出する方法、装置及び端末 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10176323B2 (ja) |
JP (1) | JP6138896B2 (ja) |
KR (1) | KR101711882B1 (ja) |
CN (1) | CN106295337B (ja) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US9864956B1 (en) * | 2017-05-01 | 2018-01-09 | SparkCognition, Inc. | Generation and use of trained file classifiers for malware detection |
US10616252B2 (en) | 2017-06-30 | 2020-04-07 | SparkCognition, Inc. | Automated detection of malware using trained neural network-based file classifiers and machine learning |
US10305923B2 (en) | 2017-06-30 | 2019-05-28 | SparkCognition, Inc. | Server-supported malware detection and protection |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
CN108763931B (zh) * | 2018-05-28 | 2021-11-16 | 上海交通大学 | 基于Bi-LSTM和文本相似性的漏洞检测方法 |
CN110689133B (zh) * | 2018-06-20 | 2023-09-05 | 深信服科技股份有限公司 | 一种训练机器学习引擎的方法、系统及相关装置 |
CN109194609B (zh) * | 2018-07-20 | 2021-07-27 | 西安四叶草信息技术有限公司 | 一种检测漏洞文件的方法及装置 |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10922139B2 (en) | 2018-10-11 | 2021-02-16 | Visa International Service Association | System, method, and computer program product for processing large data sets by balancing entropy between distributed data segments |
US10880328B2 (en) | 2018-11-16 | 2020-12-29 | Accenture Global Solutions Limited | Malware detection |
KR101963756B1 (ko) * | 2018-11-19 | 2019-03-29 | 세종대학교산학협력단 | 소프트웨어 취약점 예측 모델 학습 장치 및 방법, 소프트웨어 취약점 분석 장치 및 방법 |
CN109858249B (zh) * | 2019-02-18 | 2020-08-07 | 暨南大学 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
CN111723373A (zh) * | 2019-03-19 | 2020-09-29 | 国家计算机网络与信息安全管理中心 | 复合式二进制文档的漏洞利用文件检测方法及装置 |
CN109992969B (zh) * | 2019-03-25 | 2023-03-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件检测方法、装置及检测平台 |
US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11374946B2 (en) * | 2019-07-19 | 2022-06-28 | Palo Alto Networks, Inc. | Inline malware detection |
US11636208B2 (en) | 2019-07-19 | 2023-04-25 | Palo Alto Networks, Inc. | Generating models for performing inline malware detection |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
CN111191242A (zh) * | 2019-08-09 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 漏洞信息确定方法、装置、计算机可读存储介质及设备 |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
WO2022066910A1 (en) | 2020-09-23 | 2022-03-31 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
CN112966267A (zh) * | 2021-03-02 | 2021-06-15 | 北京六方云信息技术有限公司 | 基于机器学习的恶意文件检测方法及系统 |
CN113050015B (zh) * | 2021-03-26 | 2023-01-17 | 联想(北京)有限公司 | 一种数据处理方法及电子装置 |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
US11934667B1 (en) * | 2021-06-30 | 2024-03-19 | Amazon Technologies, Inc. | Encrypted-data-only media operations |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
CN116578536B (zh) * | 2023-07-12 | 2023-09-22 | 北京安天网络安全技术有限公司 | 文件检测方法、存储介质及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003207565A (ja) * | 2002-01-10 | 2003-07-25 | Mitsubishi Electric Corp | 類識別装置及び類識別方法 |
US20070152854A1 (en) * | 2005-12-29 | 2007-07-05 | Drew Copley | Forgery detection using entropy modeling |
US20080184367A1 (en) * | 2007-01-25 | 2008-07-31 | Mandiant, Inc. | System and method for determining data entropy to identify malware |
JP2009301557A (ja) * | 2009-07-21 | 2009-12-24 | Nec Corp | 学習システム |
JP2011034177A (ja) * | 2009-07-30 | 2011-02-17 | Sony Corp | 情報処理装置および情報処理方法、並びにプログラム |
US20130067579A1 (en) * | 2011-09-14 | 2013-03-14 | Mcafee, Inc. | System and Method for Statistical Analysis of Comparative Entropy |
US20140090061A1 (en) * | 2012-09-26 | 2014-03-27 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
Family Cites Families (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6578018B1 (en) * | 1999-07-27 | 2003-06-10 | Yamaha Hatsudoki Kabushiki Kaisha | System and method for control using quantum soft computing |
US7376635B1 (en) * | 2000-07-21 | 2008-05-20 | Ford Global Technologies, Llc | Theme-based system and method for classifying documents |
US6775405B1 (en) * | 2000-09-29 | 2004-08-10 | Koninklijke Philips Electronics, N.V. | Image registration system and method using cross-entropy optimization |
US7593904B1 (en) * | 2005-06-30 | 2009-09-22 | Hewlett-Packard Development Company, L.P. | Effecting action to address an issue associated with a category based on information that enables ranking of categories |
US8176414B1 (en) * | 2005-09-30 | 2012-05-08 | Google Inc. | Document division method and system |
US8490194B2 (en) * | 2006-01-31 | 2013-07-16 | Robert Moskovitch | Method and system for detecting malicious behavioral patterns in a computer, using machine learning |
KR20070095718A (ko) * | 2006-03-22 | 2007-10-01 | 한국전자통신연구원 | 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 |
US8135994B2 (en) * | 2006-10-30 | 2012-03-13 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
US8019700B2 (en) * | 2007-10-05 | 2011-09-13 | Google Inc. | Detecting an intrusive landing page |
US20090113128A1 (en) * | 2007-10-24 | 2009-04-30 | Sumwintek Corp. | Method and system for preventing virus infections via the use of a removable storage device |
US20100205198A1 (en) * | 2009-02-06 | 2010-08-12 | Gilad Mishne | Search query disambiguation |
US8266698B1 (en) * | 2009-03-09 | 2012-09-11 | Symantec Corporation | Using machine infection characteristics for behavior-based detection of malware |
US8744171B1 (en) * | 2009-04-29 | 2014-06-03 | Google Inc. | Text script and orientation recognition |
US8924314B2 (en) * | 2010-09-28 | 2014-12-30 | Ebay Inc. | Search result ranking using machine learning |
US8869277B2 (en) * | 2010-09-30 | 2014-10-21 | Microsoft Corporation | Realtime multiple engine selection and combining |
CN103839006B (zh) * | 2010-11-29 | 2017-07-28 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
US9349006B2 (en) * | 2010-11-29 | 2016-05-24 | Beijing Qihoo Technology Company Limited | Method and device for program identification based on machine learning |
US8521667B2 (en) * | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
CN102024112B (zh) * | 2010-12-17 | 2012-08-01 | 四川大学 | 基于静态特征的pe文件加壳检测方法 |
KR101228899B1 (ko) * | 2011-02-15 | 2013-02-06 | 주식회사 안랩 | 벡터량 산출을 이용한 악성코드의 분류 및 진단 방법과 장치 |
US8402543B1 (en) * | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
US20130018650A1 (en) * | 2011-07-11 | 2013-01-17 | Microsoft Corporation | Selection of Language Model Training Data |
US20130097704A1 (en) * | 2011-10-13 | 2013-04-18 | Bitdefender IPR Management Ltd. | Handling Noise in Training Data for Malware Detection |
US8549645B2 (en) * | 2011-10-21 | 2013-10-01 | Mcafee, Inc. | System and method for detection of denial of service attacks |
US20160213353A1 (en) * | 2011-10-28 | 2016-07-28 | Hironari Masui | Ultrasound imaging apparatus, ultrasound imaging method and ultrasound imaging program |
JP2013103072A (ja) * | 2011-11-16 | 2013-05-30 | Ntt Docomo Inc | メンタル状態推定装置、メンタル状態推定システム、メンタル状態推定方法、メンタル状態推定プログラム、及び携帯端末 |
US8918353B2 (en) * | 2012-02-22 | 2014-12-23 | Knowmtech, Llc | Methods and systems for feature extraction |
CN102708313B (zh) * | 2012-03-08 | 2015-04-22 | 珠海市君天电子科技有限公司 | 针对大文件的病毒检测系统及方法 |
US8837720B2 (en) * | 2012-03-16 | 2014-09-16 | Paul de Roulet | Cryptographically secure pseudorandom number generator |
KR20130126814A (ko) * | 2012-04-26 | 2013-11-21 | 한국전자통신연구원 | 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법 |
US9548987B1 (en) * | 2012-06-11 | 2017-01-17 | EMC IP Holding Company LLC | Intelligent remediation of security-related events |
US9607272B1 (en) * | 2012-10-05 | 2017-03-28 | Veritas Technologies Llc | System and method for training data generation in predictive coding |
JP2014085854A (ja) * | 2012-10-24 | 2014-05-12 | Nippon Telegr & Teleph Corp <Ntt> | 類似度評価システム、類似度評価装置、利用者端末、類似度評価方法、およびプログラム |
KR101432429B1 (ko) * | 2013-02-26 | 2014-08-22 | 한양대학교 산학협력단 | 시각적 데이터 생성을 이용한 악성 코드 분석 시스템과 그 방법 |
US9465942B1 (en) * | 2013-04-08 | 2016-10-11 | Amazon Technologies, Inc. | Dictionary generation for identifying coded credentials |
US9471883B2 (en) * | 2013-05-09 | 2016-10-18 | Moodwire, Inc. | Hybrid human machine learning system and method |
WO2014184934A1 (ja) * | 2013-05-16 | 2014-11-20 | 株式会社日立製作所 | 障害分析方法、障害分析システム及び記憶媒体 |
US9288220B2 (en) * | 2013-11-07 | 2016-03-15 | Cyberpoint International Llc | Methods and systems for malware detection |
CN105917345B (zh) * | 2013-12-04 | 2019-02-05 | 英派尔科技开发有限公司 | 虚拟机之间的边信道攻击的检测 |
US9386034B2 (en) * | 2013-12-17 | 2016-07-05 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
KR102131099B1 (ko) * | 2014-02-13 | 2020-08-05 | 삼성전자 주식회사 | 지식 그래프에 기초한 사용자 인터페이스 요소의 동적 수정 방법 |
US9342869B2 (en) * | 2014-04-29 | 2016-05-17 | Adobe Systems Incorporated | Discriminative indexing for patch-based image enhancement |
CN105260628B (zh) * | 2014-06-03 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 分类器训练方法和装置、身份验证方法和系统 |
US9483742B1 (en) * | 2014-10-27 | 2016-11-01 | Amazon Technologies, Inc. | Intelligent traffic analysis to detect malicious activity |
US9465940B1 (en) * | 2015-03-30 | 2016-10-11 | Cylance Inc. | Wavelet decomposition of software entropy to identify malware |
KR101716564B1 (ko) * | 2015-04-02 | 2017-03-15 | 현대오토에버 주식회사 | 하둡 기반의 악성코드 탐지 방법과 시스템 |
US20160307113A1 (en) * | 2015-04-20 | 2016-10-20 | Xerox Corporation | Large-scale batch active learning using locality sensitive hashing |
US20170193230A1 (en) * | 2015-05-03 | 2017-07-06 | Microsoft Technology Licensing, Llc | Representing and comparing files based on segmented similarity |
CN105095755A (zh) * | 2015-06-15 | 2015-11-25 | 安一恒通(北京)科技有限公司 | 文件识别方法和装置 |
-
2015
- 2015-06-30 CN CN201510377521.3A patent/CN106295337B/zh active Active
- 2015-11-26 KR KR1020150166482A patent/KR101711882B1/ko active IP Right Grant
- 2015-11-30 JP JP2015234043A patent/JP6138896B2/ja active Active
- 2015-12-31 US US14/985,944 patent/US10176323B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003207565A (ja) * | 2002-01-10 | 2003-07-25 | Mitsubishi Electric Corp | 類識別装置及び類識別方法 |
US20070152854A1 (en) * | 2005-12-29 | 2007-07-05 | Drew Copley | Forgery detection using entropy modeling |
US20080184367A1 (en) * | 2007-01-25 | 2008-07-31 | Mandiant, Inc. | System and method for determining data entropy to identify malware |
JP2009301557A (ja) * | 2009-07-21 | 2009-12-24 | Nec Corp | 学習システム |
JP2011034177A (ja) * | 2009-07-30 | 2011-02-17 | Sony Corp | 情報処理装置および情報処理方法、並びにプログラム |
US20130067579A1 (en) * | 2011-09-14 | 2013-03-14 | Mcafee, Inc. | System and Method for Statistical Analysis of Comparative Entropy |
US20140090061A1 (en) * | 2012-09-26 | 2014-03-27 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
Also Published As
Publication number | Publication date |
---|---|
KR20170003356A (ko) | 2017-01-09 |
CN106295337B (zh) | 2018-05-22 |
US10176323B2 (en) | 2019-01-08 |
KR101711882B1 (ko) | 2017-03-03 |
JP6138896B2 (ja) | 2017-05-31 |
US20170004306A1 (en) | 2017-01-05 |
CN106295337A (zh) | 2017-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6138896B2 (ja) | 悪質な脆弱性のあるファイルを検出する方法、装置及び端末 | |
US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
Carlin et al. | Detecting cryptomining using dynamic analysis | |
US11716348B2 (en) | Malicious script detection | |
EP2588983B1 (en) | Systems and methods for alternating malware classifiers in an attempt to frustrate brute-force malware testing | |
Gao et al. | Malware classification for the cloud via semi-supervised transfer learning | |
KR101720686B1 (ko) | 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법 | |
US8732587B2 (en) | Systems and methods for displaying trustworthiness classifications for files as visually overlaid icons | |
US11443032B2 (en) | Stack pivot exploit detection and mitigation | |
US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
US11640471B2 (en) | Detecting injection vulnerabilities of client-side templating systems | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
Dietrich et al. | Exploiting visual appearance to cluster and detect rogue software | |
JP2012088803A (ja) | 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム | |
Ugarte-Pedrero et al. | On the adoption of anomaly detection for packed executable filtering | |
EP3506136B1 (en) | Detecting stack cookie utilization in a binary software component using binary static analysis | |
EP2942728A1 (en) | Systems and methods of analyzing a software component | |
US20230041534A1 (en) | Security status based on hidden information | |
US11232202B2 (en) | System and method for identifying activity in a computer system | |
US20220156371A1 (en) | Warning apparatus, control method, and program | |
WO2022218188A1 (zh) | 攻击样本管理的方法以及设备 | |
US11882143B1 (en) | Cybersecurity system and method for protecting against zero-day attacks | |
US20240114053A1 (en) | Phishing detection using html | |
US20200184069A1 (en) | Detecting Stack Pivots Using Stack Artifact Verification | |
Vadrevu | Enabling efficient detection and forensic investigation of malicious software downloads. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161122 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170404 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170426 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6138896 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |