JP2017016626A - 悪質な脆弱性のあるファイルを検出する方法、装置及び端末 - Google Patents

悪質な脆弱性のあるファイルを検出する方法、装置及び端末 Download PDF

Info

Publication number
JP2017016626A
JP2017016626A JP2015234043A JP2015234043A JP2017016626A JP 2017016626 A JP2017016626 A JP 2017016626A JP 2015234043 A JP2015234043 A JP 2015234043A JP 2015234043 A JP2015234043 A JP 2015234043A JP 2017016626 A JP2017016626 A JP 2017016626A
Authority
JP
Japan
Prior art keywords
file
detection model
detected
training
entropy vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015234043A
Other languages
English (en)
Other versions
JP6138896B2 (ja
Inventor
▲張▼壮
Zhuang Zhang
▲趙▼▲長▼坤
Changkun Zhao
曹▲亮▼
Liang Cao
董志▲強▼
Zhiqiang Dong
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anyi Hengtong Beijing Technology Co Ltd
Original Assignee
Anyi Hengtong Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anyi Hengtong Beijing Technology Co Ltd filed Critical Anyi Hengtong Beijing Technology Co Ltd
Publication of JP2017016626A publication Critical patent/JP2017016626A/ja
Application granted granted Critical
Publication of JP6138896B2 publication Critical patent/JP6138896B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N99/00Subject matter not provided for in other groups of this subclass
    • GPHYSICS
    • G10MUSICAL INSTRUMENTS; ACOUSTICS
    • G10LSPEECH ANALYSIS OR SYNTHESIS; SPEECH RECOGNITION; SPEECH OR VOICE PROCESSING; SPEECH OR AUDIO CODING OR DECODING
    • G10L19/00Speech or audio signals analysis-synthesis techniques for redundancy reduction, e.g. in vocoders; Coding or decoding of speech or audio signals, using source filter models or psychoacoustic analysis
    • G10L2019/0001Codebooks
    • G10L2019/0013Codebook search algorithms
    • G10L2019/0014Selection criteria for distances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

【課題】悪質な脆弱性のあるファイルに対する検出削除の効率を向上させる。【解決手段】検出すべきファイルを取得し101、前記検出すべきファイルのエントロピーベクトルを確定する102。トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する103。ここで、前記検出すべきファイルのファイルタイプは前記検出モデルに対応するファイルタイプと同一である。【選択図】図1

Description

本願はコンピュータの技術分野に関し、具体的には脆弱性検出の技術分野に関し、特に悪質な脆弱性のあるファイルを検出する方法、装置及び端末に関する。
従来、コンピュータ技術が絶え間なく発展するにつれて、コンピュータは人々の日常生活に幅広く用いられ、且つ機能もますます多くなり、人々の生活や仕事の重要なツールになる。しかしながら、いくつかの個人や組織は、高度な攻撃手法により特定のターゲットに対して、長時間にわたり持続的ネットワーク攻撃を行うので、悪質なコードの実行及び機密情報の漏洩を招き、ネットワークセキュリティを脅威にさらしてしまう。
従来の悪質な脆弱性のあるファイルを検出する方法としては静的検出方法と動的実行検出方法との2種類がある。静特性の検出方法は一般的な方法であり、検出方式が2種類ある。A、ファイルフォーマットの異常により異常ドキュメントを検出する。B、脆弱性を検出することによりファイルの固定特性を利用して異常ドキュメントを検出する。動的実行検出方法は発見的検出方法である。比較的高級な発見的環境において、シミュレーション環境を用いて実行すべきドキュメントを実行し、通常のドキュメントにない挙動を検出する。ドキュメントがshellcode(充填データであり、脆弱性コードに属する)をトリガーすると、ドキュメント自体に存在すべきでない挙動が発生してしまう。例えば、ネットワークへのリンク、プログラムの実行、プロセスのインジェクションなどが挙げられる。
しかしながら、静的検出方法について、ドキュメント構造を構築しshellcodeを変更することにより、静的検出方法を簡単に回避することができる。従って、静的検出方法の発見的検出削除の能力が劣り、新たに発生した悪質な脆弱性のあるファイルに対して検出削除の作用がほとんどない。動的実行検出方法について、動的実行の仮想環境を検出できる方法は多種あるので、関連するウイルスコードをトリガーしなくなり、それにより検出を失敗してしまう。従って、動的実行検出方法はある程度の発見的能力があるが、効率が低く、速度が遅く、且つ発見的能力がそれほど高くない。
本願は悪質な脆弱性のあるファイルを検出する方法、装置及び端末を提供する。従来技術において悪質な脆弱性のあるファイルに対して検出削除の速度が遅く、検出削除能力や効率が低いという問題を解決する。
第1態様によれば、本願は悪質な脆弱性のあるファイルを検出する方法を提供する。検出すべきファイルを取得するステップと、前記検出すべきファイルのエントロピーベクトルを確定するステップと、トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定するステップと、を含んでおり、ここで、前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一である。
ある実施形態において、ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、前記トレーニングファイルのエントロピーベクトルを確定するステップと、前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含む。
ある実施形態において、前記の検出モデルをトレーニングして出力するステップにおいては、前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて初期検出モデルを取得するステップと、
前記初期検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップと、
前記初期検出モデルの誤判定率が所定閾値より小さくない場合に、現在の検出モデルを補正するステップ及び補正後の検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップを繰り返すステップと、補正後の検出モデルの誤判定率が所定閾値より小さいことに応じて、繰り返しを停止して前記補正後の検出モデルを出力するステップと、を含む。
ある実施形態において、前記の初期検出モデルを取得するステップにおいては、前記トレーニングファイルから一部のファイルを第1ファイルとして取得するステップと、前記第1ファイルのエントロピーベクトルに対して特徴分類を行うステップと、前記特徴分類の結果及び前記第1ファイルのセキュリティカテゴリー識別子に基づいて、学習して初期検出モデルを取得するステップと、を含む。
ある実施形態において、検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップにおいては、前記トレーニングファイルから一部のファイルを第2ファイルとして取得するステップと、テストすべき検出モデルを利用して前記第2ファイルのエントロピーベクトルを検出するステップと、検出結果及び前記第2ファイルのセキュリティカテゴリー識別子に基づき誤判定率を確定するステップと、前記誤判定率を前記所定閾値と比較し、前記誤判定率が所定閾値より小さいか否かを確定するステップと、を含んでおり、ここで、前記第1ファイルが前記第2ファイルに含まれない。
ある実施形態において、前記の現在の検出モデルを補正するステップにおいては、第1ファイルの数を増やして再学習することによって検出モデルを取得するステップ、及びエントロピーベクトルの次元数を調整して再学習することによって検出モデルを取得するステップのうちの少なくとも一つのステップを含む。
ある実施形態において、ファイルを所定数のセグメントに分けるステップと、各前記セグメントのエントロピー値を取得するステップと、前記セグメントの数をエントロピーベクトルの次元数とし、各前記セグメントが1つのエントロピーベクトルの方向に対応し、各前記セグメントのエントロピー値に基づいてファイルのエントロピーベクトルを確定するステップと、によってファイルのエントロピーベクトルを確定する。
第2態様によれば、本願は悪質な脆弱性のあるファイルを検出する装置を提供し、検出すべきファイルを取得する取得手段と、前記検出すべきファイルのエントロピーベクトルを確定する確定手段と、トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する検出手段と、を備えており、ここで、前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一である。
ある実施形態において、ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、前記トレーニングファイルのエントロピーベクトルを確定するステップと、前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含む。
ある実施形態において、前記の検出モデルをトレーニングして出力するステップにおいては、前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて初期検出モデルを取得するステップと、前記初期検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップと、前記初期検出モデルの誤判定率が所定閾値より小さくない場合に、現在の検出モデルを補正するステップ及び補正後の検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップを繰り返すステップと、補正後の検出モデルの誤判定率が所定閾値より小さいことに応じて、繰り返しを停止して前記補正後の検出モデルを出力するステップと、を含む。
ある実施形態において、前記の初期検出モデルを取得するステップにおいては、前記トレーニングファイルから一部のファイルを第1ファイルとして取得するステップと、前記第1ファイルのエントロピーベクトルに対して特徴分類を行うステップと、前記特徴分類の結果及び前記第1ファイルのセキュリティカテゴリー識別子に基づいて、学習して初期検出モデルを取得するステップと、を含む。
ある実施形態において、検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップにおいては、前記トレーニングファイルから一部のファイルを第2ファイルとして取得するステップと、テストすべき検出モデルを利用して前記第2ファイルのエントロピーベクトルを検出するステップと、検出結果及び前記第2ファイルのセキュリティカテゴリー識別子に基づき誤判定率を確定するステップと、前記誤判定率を前記所定閾値と比較し、前記誤判定率が所定閾値より小さいか否かを確定するステップと、を含んでおり、ここで、前記第1ファイルが前記第2ファイルに含まれない。
ある実施形態において、前記の現在の検出モデルを補正するステップにおいては、第1ファイルの数を増やして再学習することによって検出モデルを取得するステップ、及びエントロピーベクトルの次元数を調整して再学習ことによって検出モデルを取得するステップのうちの少なくとも一つのステップを含む。
ある実施形態において、前記確定手段は、ファイルを所定数のセグメントに分け、各前記セグメントのエントロピー値を取得し、前記セグメントの数をエントロピーベクトルの次元数とし、各前記セグメントが1つのエントロピーベクトルの方向に対応し、各前記セグメントのエントロピー値に基づいてファイルのエントロピーベクトルを確定するように構成される。
第3態様によれば、本願は端末を提供し、トレーニングされた検出モデルを記憶するメモリと、検出すべきファイルを取得し、前記検出すべきファイルのエントロピーベクトルを確定し、且つトレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定するプロセッサと、を備えており、ここで、前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一である。
ある実施形態において、ファイルタイプが同一でセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、前記トレーニングファイルのエントロピーベクトルを確定するステップと、前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、ここで、セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含む。
本願に係るジェスチャーを標識する方法、装置及び端末は、検出すべきファイルのエントロピーベクトルを抽出し、且つ検出すべきファイルのエントロピーベクトルに基づき、当該検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する。従来技術において悪質な脆弱性のあるファイルへの検出削除速度が遅く、検出削除能力や効率が低いという問題を解決し、悪質な脆弱性のあるファイルへの検出削除効率を向上させる。
以下の図面を参照しながら非限定的な実施例を詳しく説明することにより、本願の他の特徴、目的及び利点はより明らかになる。
本願の実施例に係る悪質な脆弱性のあるファイルを検出する方法の一実施例のフローチャートである。 本願の実施例に係る悪質な脆弱性のあるファイルのコンテンツのエントロピー値曲線の変化概略図である。 本願の実施例に係るshellcodeを含むファイルのコンテンツのエントロピー値曲線の変化概略図である。 本願の実施例に係る検出モデルを取得する方法の一実施例のフローチャートである。 本願の実施例に係る悪質な脆弱性のあるファイルを検出する装置の一実施例の構成概略図である。 本願の実施例に係る端末の一実施例の構成概略図である。
以下、図面及び実施例を参照しながら、本願をさらに詳しく説明する。ただし、ここで説明される具体的な実施例は係る発明を解釈するためのものに過ぎず、本発明の範囲を制限するものではないことを理解することができる。なお、説明の便宜上、図面に本発明と関連する部分のみが示されている。
ただし、衝突がない限り、本願における実施例及び実施例における特徴は互いに組み合わせてもよい。以下、図面を参照しながら実施例に基づいて本願を詳しく説明する。
本願に係る端末は、スマートフォン、タブレットPC、パーソナルデジタルアシスタント、ラップトップ型PC及びデスクトップパソコンなどを含むが、それらに限定されない。例示的説明の目的及び便宜上、以下、デスクトップパソコンを参照して本願の例示的な実施例を説明する。
本願に係る悪質な脆弱性のあるファイルを検出する方法の一実施例のフロー100を示す図1を参照する。
図1に示すように、ステップ101において、検出すべきファイルを取得する。
続いて、ステップ102において、検出すべきファイルのエントロピーベクトルを確定する。
一般的には、悪質な脆弱性のあるファイルはドキュメントにおいて大量の重複文字列を作成し、次にROP(Return−oriented programming、リターン指向プログラミング)を作成し、ほかのモジュールにおけるコードを実行し、それによりDEP(Data Execution Prevention、データ実行防止)を回避してウイルスを放出する。
本実施例において、悪質な脆弱性のあるファイルを徹底的に分析したところ、作成されたあやしいファイルはウイルスファイルを暗号化してテキストの末尾に収納し、この部分のコンテンツのエントロピー値が必ず非常に大きく、且つ大量の重複データで充填されるので、ファイルのエントロピー値曲線が末尾において急増するはずである。
たとえば、図2は悪質な脆弱性のあるファイルのコンテンツのエントロピー値曲線の変化概略図を示す。図2に示されるように、横座標がファイルのコンテンツの断片の位置、横座標の原点がファイルヘッダーの位置を示し、横座標の値が大きければ大きいほど、ファイルのコンテンツ断片が末尾に近くなる。縦座標はファイルの横座標位置に対応するコンテンツ断片のエントロピー値を示す。図2からわかるように、悪質な脆弱性のあるファイルのコンテンツにおいて末尾での断片のエントロピー値が急増する。
また、たとえば、図3はshellcodeを含むファイルのコンテンツのエントロピー値曲線の変化概略図を示す。図3に示されるように、横座標がファイルのコンテンツの断片の位置、横座標の原点がファイルヘッダーの位置を示し、横座標の値が大きければ大きいほど、ファイルのコンテンツ断片が末尾に近くなる。縦座標はファイルの横座標位置に対応するコンテンツ断片のエントロピー値を示す。図3からわかるように、shellcodeを含むファイルのコンテンツのエントロピー値は大量で連続的な4前後のデータを含む。
従って、本実施例において、検出すべきファイルのエントロピーベクトルの特徴に基づいて検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを判定することができる。
ただし、ファイル断片のエントロピー値は当該ファイル断片の乱雑さを表し、例えば文字、ピクチャ、コード、圧縮ファイル、アプリケーションプログラム等は組織方式によってエントロピー値も異なる。たとえば、ピクチャが圧縮され、圧縮ファイルも圧縮され、そのエントロピー値がとても高くなり、且つ一定のルールがある。データコードの情報エントロピーでコードの状態を示すことができる。
本実施例において、以下のようにファイルのエントロピーベクトルを確定してもよい。まず、ファイルを所定数のセグメントに等価的に分け、各セグメントの情報エントロピーを算出してファイルコードの変化状況を示す。所定数はユーザが予め設定した値であってもよいが、本願は所定数についての具体的な数値を限定しないことが理解されるべきである。上記のセグメントの数をエントロピーベクトルの次元数とし、各セグメントが1つのエントロピーベクトルの方向に対応し、各セグメントのエントロピー値に基づいてファイルのエントロピーベクトルを確定する。たとえば、ファイルを3つのセグメントに等価的に分け、それぞれがセグメントi、セグメントj、セグメントkであり、これらのセグメントに対応するエントロピー値を算出し、それぞれa、b、cとすると、当該ファイルのエントロピーベクトルが3次元ベクトルであり、エントロピーベクトルが
で示される。
最終的に、ステップ103において、トレーニングされた検出モデルを利用して上記の検出すべきファイルのエントロピーベクトルを検出して当該検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する。
本実施例において、トレーニングされた検出モデルを利用して上記の検出すべきファイルのエントロピーベクトルを検出し、検出すべきファイルのエントロピーベクトルの特徴を分析し、検出すべきファイルのエントロピーベクトルの特徴に基づいて当該検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定することができる。
ただし、悪質な脆弱性のあるファイルのファイルタイプが異なれば、そのエントロピーベクトルの特徴も異なる。従って、各ファイルタイプが1種の検出モデルに対応し、検出すべきファイルを検出する際に、選択された検出モデルに対応するファイルタイプが検出すべきファイルのファイルタイプと同一である。
本願の上記した実施例に係る方法は、検出すべきファイルのエントロピーベクトルを抽出し、且つ検出すべきファイルのエントロピーベクトルに基づいて、当該検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する。従来技術において、悪質な脆弱性のあるファイルに対して検出削除の速度が遅く、検出削除の能力や効率が低いという問題を解決し、悪質な脆弱性のあるファイルへの検出削除効率を向上させる。
検出モデルを取得する方法の一実施例のフロー400を示す図4を更に参照する。
図4に示されるように、ステップ401において、ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得する。
本実施例において、ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして任意に取得し、ここで、セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含む。ただし、上記したトレーニングファイルのセキュリティカテゴリーはほかの方法により確定されてもよく、本願は上記したトレーニングファイルのセキュリティカテゴリーを確定する具体的な方法を限定しないことが理解されるべきである。
続いて、ステップ402において、セキュリティカテゴリーに応じて上記したトレーニングファイルに対してセキュリティカテゴリーを標識する。
本実施例において、トレーニングファイルのセキュリティカテゴリーに応じて上した記トレーニングファイルを標識し、本実施例の一形態において、特殊の色でトレーニングファイルに対してセキュリティカテゴリーを標識してもよく、異なる色が異なるセキュリティカテゴリーを示す。本実施例の別の形態において、特殊な符号でトレーニングファイルに対してセキュリティカテゴリーを標識してもよく、異なる符号が異なるセキュリティカテゴリーを示す。ほかの方式により上記したトレーニングファイルに対してセキュリティカテゴリーを標識してもよく、本願はこの点について限定しないことが理解されるべきである。
次に、ステップ403において、上記したトレーニングファイルのエントロピーベクトルを確定する。
最終的に、ステップ404において、上記したトレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力する。
本実施例において、まず、上記したトレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて初期検出モデルを取得する。具体的には、まず、トレーニングファイルから一部のファイルを第1ファイルとして取得し、第1ファイルのエントロピーベクトルに対して特徴分類を行う。SVM (Support Vector Machine、サポートベクターマシン)アルゴリズムを利用して第1ファイルのエントロピーベクトルに対して特徴分類を行ってもよい。ほかの方式により第1ファイルのエントロピーベクトルに対して特徴分類を行ってもよく、本願は特徴分類に用いられる具体的な方式を限定しないことが理解されるべきである。次に、特徴分類の結果及び第1ファイルのセキュリティカテゴリー識別子に基づいて学習することによって初期検出モデルを取得する。
続いて、上記した初期検出モデルの誤判定率が所定閾値より小さいか否かをテストする。具体的には、トレーニングファイルのうち第1ファイルを含まない一部のファイルから複数のファイルを第2ファイル(第2ファイルに第1ファイルが含まれない)として取得し、初期検出モデル(テストすべき検出モデル)を利用して各第2ファイルのエントロピーベクトルを検出し、各第2ファイルのセキュリティカテゴリーを判定する。次に初期検出モデルによる判定結果を各第2ファイルのセキュリティカテゴリー識別子と比較する。初期検出モデルによる判定結果がある第2ファイルのセキュリティカテゴリー識別子に対応するセキュリティカテゴリーに合致する場合、当該判定結果は正確である。初期検出モデルによる判定結果がある第2ファイルのセキュリティカテゴリー識別子に対応するセキュリティカテゴリーに合致しない場合、当該判定結果は不正確である。判定結果にミスが発生する回数でテストの総回数を割って当該初期検出モデルの誤判定率を取得する。当該誤判定率を所定閾値と比較して誤判定率が所定閾値より小さいか否かを確定する。
次に、初期検出モデルの誤判定率が所定閾値以上で場合には、当該モデルの正確率が十分には高くないことを表すので、現在の検出モデルを補正するステップ及び補正後の検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップを繰り返す。具体的には、現在の検出モデルを補正するステップは、第1ファイルの数を増やして再学習することによって検出モデルを取得するステップ、及びエントロピーベクトルの次元数を調整して再学習することによって検出モデルを取得するステップのうちの少なくとも一つのステップを含んでもよい。
最終的に、補正後の検出モデルの誤判定率が所定閾値より小さく、つまり当該モデルの正確率が条件を満たすことに応じて、繰り返しを停止して補正後の検出モデルを出力する。
ただし、図面において特定の順序で本発明の方法の操作が説明されたが、当該特定の順序でそれらの操作を実行しなければ、或いは示された全ての操作を実行しなければ所望する結果を達成できないと要求又は示唆するわけではない。一方、フローチャートに記載のステップは実行順序が変更されてもよい。たとえば、図4のフロー400において、まず、ステップ403を実行し、上記したトレーニングファイルのエントロピーベクトルを確定してから、ステップ402を実行し、セキュリティカテゴリーに応じて上記トレーニングファイルに対してセキュリティカテゴリーを標識してもよい。付加的または選択的には、あるステップを省略してもよく、複数のステップを1つのステップに合併して実行してもよく、及び/または1つのステップを複数のステップに分解して実行してもよい。
本願に係る悪質な脆弱性のあるファイルを検出する装置の一実施例の構成概略図を示す図5を更に参照する。
図5に示されるように、本実施例の装置500は、取得手段501、確定手段502及び検出手段503を含む。取得手段501は検出すべきファイルを取得する。確定手段502は検出すべきファイルのエントロピーベクトルを確定する。検出手段503はトレーニングされた検出モデルを利用して検出すべきファイルのエントロピーベクトルを検出して、検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する。検出すべきファイルのファイルタイプが検出モデルに対応するファイルタイプと同一である。
いくつかの代替的な実施形態において、ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、セキュリティカテゴリーに応じてトレーニングファイルに対してセキュリティカテゴリーを標識するステップと、トレーニングファイルのエントロピーベクトルを確定するステップと、トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって検出モデルを取得し、ここで、セキュリティカテゴリーは悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含む。
いくつかの代替的な実施形態において、検出モデルをトレーニングして出力するステップにおいては、トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて初期検出モデルを取得するステップと、初期検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップと、初期検出モデルの誤判定率が所定閾値より小さくない場合に、現在の検出モデルを補正するステップ及び補正後の検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップを繰り返すステップと、補正後の検出モデルの誤判定率が所定閾値より小さいことに応じて、繰り返しを停止して補正後の検出モデルを出力するステップと、を含む。
いくつかの代替的な実施形態において、初期検出モデルを取得するステップにおいては、トレーニングファイルから一部のファイルを第1ファイルとして取得するステップと、第1ファイルのエントロピーベクトルに対して特徴分類を行うステップと、特徴分類の結果及び第1ファイルのセキュリティカテゴリー識別子に基づいて、学習して初期検出モデルを取得するステップとを含む。
いくつかの代替的な実施形態において、検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップにおいては、トレーニングファイルから一部のファイルを第2ファイルとして取得するステップと、テストすべき検出モデルを利用して第2ファイルのエントロピーベクトルを検出するステップと、検出結果及び第2ファイルのセキュリティカテゴリー識別子に基づいて誤判定率を確定するステップと、誤判定率を所定閾値と比較し、誤判定率が所定閾値より小さいか否かを確定するステップと、を含んでおり、ここで、第1ファイルが第2ファイルに含まれない。
いくつかの代替的な実施形態において、現在の検出モデルを補正するステップは、第1ファイルの数を増やして再学習することによって検出モデルを取得するステップ、及びエントロピーベクトルの次元数を調整して再学習することによって検出モデルを取得するステップのうちの少なくとも一つのステップを含む。
いくつかの代替的な実施形態において、確定手段は、ファイルを所定数のセグメントに分け、各セグメントのエントロピー値を取得し、セグメントの数をエントロピーベクトルの次元数とし、各セグメントが1つのエントロピーベクトルの方向に対応し、各セグメントのエントロピー値に基づいてファイルのエントロピーベクトルを確定するように構成される。
装置500に記載の各手段またはモジュールは図1〜4を参照して説明される方法の各ステップに対応することが理解されるべきである。それにより、前述した方法に対して説明される操作及び特徴は装置500及びそれに備えられた手段に同様に適用でき、ここで重複説明を省略する。装置500は端末にあらかじめ設置されてもよく、ダウンロード等の方式により端末にロードされてもよい。ジェスチャー識別に用いられる案を達成するために、装置500における相応の手段は端末の手段と協働してもよい。
本願に係る端末の一実施例の構成概略図を示す図6を更に参照する。
図6に示されるように、本実施例の端末600は、少なくとも1つのプロセッサ601、たとえばCPU(Central Processing Unit、中央処理装置)、少なくとも1つの通信インターフェース602、少なくとも1つのユーザインターフェース603、メモリ604、及び少なくとも1つの通信バス605を含む。通信バス605は上記した部品同士の接続通信を達成する。任意で、端末600は、ユーザインターフェース603、例えば表示ユニット、キーボード又はクリック装置(たとえば、マウス、トラックボール(trackball)、タッチパネル又はタッチスクリーン)などを備えてもよい。メモリ604は高速RAM(Random Access Memory、ランダムアクセスメモリ)を含んでもよく、不揮発性メモリ(non−volatile memory)、たとえば、少なくとも1つのフレキシブルディスクメモリをさらに含んでもよい。メモリ604は上記したプロセッサ601から遠く離れる少なくとも1つの記憶装置を含んでもよい。
いくつかの実施形態において、メモリ604は、実行可能なモジュール又はデータ構造、又はそれらのサブセット、又はそれらの拡張セット、例えばオペレーティングシステム614、アプリケーションプログラム624が記憶される。
オペレーティングシステム614は、各種のシステムプログラムを含み、各種の基本的なサービスを実現してハードウェアに基づくタスクを処理する。
アプリケーションプログラム624は、各種のアプリケーションプログラムを含み、各種のアプリケーションサービスを実現する。
本実施例において、メモリ604はトレーニングされた検出モデルを記憶する。プロセッサ601は検出すべきファイルを取得し、検出すべきファイルのエントロピーベクトルを確定し、且つトレーニングされた検出モデルを利用して検出すべきファイルのエントロピーベクトルを検出して、検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する。ここで、検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一である。
更に、ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、セキュリティカテゴリーに応じてトレーニングファイルに対してセキュリティカテゴリーを標識するステップと、トレーニングファイルのエントロピーベクトルを確定するステップと、トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって検出モデルを取得し、ここで、セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含む。
本願の実施例に記述された手段モジュールはソフトウェアで実現されてもよく、ハードウェアで実現されてもよい。記述された手段モジュールをプロセッサに設定してもよく、例えば、「取得手段、確定手段、及び検出手段を含むプロセッサ」と記述されてもよい。そのうち、それらの手段モジュールの名称はある場合に当該手段モジュール自体を限定するものではなく、例えば、取得手段は「検出すべきファイルを取得する手段」と呼ばれてもよい。
一方、本願はコンピュータ可読記憶媒体を更に提供し、当該コンピュータ可読記憶媒体は上記実施例の前記装置に含まれるコンピュータ可読記憶媒体であってもよく、独立に存在して、端末に組み立てされていないコンピュータ可読記憶媒体であってもよい。前記コンピュータ可読記憶媒体は、1つ以上のプロセッサが本願に記載の悪質な脆弱性のあるファイルを検出する方法を実行するための1つ以上のプログラムが記憶される。
以上の記述は本願の最適実施例及び使用された技術的原理の説明に過ぎない。当業者が理解すべきであることは、本願に係る発明の範囲は上記した技術的特徴の特定の組合せからなる技術案に限定されることではなく、本発明の趣旨を逸脱しない範囲で、上記の技術的特徴または同等の特徴の任意の組合せからなる他の技術的解決手段も含むべきである。例えば、上記の特徴と本願に開示された(限定されていない)類似の機能を持っている技術的特徴を互いに置き換えてなる技術案が挙げられる。

Claims (14)

  1. 検出すべきファイルを取得するステップと、
    前記検出すべきファイルのエントロピーベクトルを確定するステップと、
    トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定するステップと、を含んでおり、
    前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一であることを特徴とする、悪質な脆弱性のあるファイルを検出する方法。
  2. ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、
    前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、
    前記トレーニングファイルのエントロピーベクトルを確定するステップと、
    前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、
    ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含むことを特徴とする、請求項1に記載の方法。
  3. 前記の検出モデルをトレーニングして出力するステップにおいては、
    前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて初期検出モデルを取得するステップと、
    前記初期検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップと、
    前記初期検出モデルの誤判定率が所定閾値より小さくない場合に、現在の検出モデルを補正するステップ及び補正後の検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップを繰り返すステップと、
    補正後の検出モデルの誤判定率が所定閾値より小さいことに応じて、繰り返しを停止して前記補正後の検出モデルを出力するステップと、を含むことを特徴とする、請求項2に記載の方法。
  4. 前記の初期検出モデルを取得するステップにおいては、
    前記トレーニングファイルから一部のファイルを第1ファイルとして取得するステップと、
    前記第1ファイルのエントロピーベクトルに対して特徴分類を行うステップと、
    前記特徴分類の結果及び前記第1ファイルのセキュリティカテゴリー識別子に基づいて、学習して初期検出モデルを取得するステップと、を含むことを特徴とする、請求項3に記載の方法。
  5. 検出モデルの誤判定率が所定閾値より小さいか否かをテストするステップにおいては、
    前記トレーニングファイルから一部のファイルを第2ファイルとして取得するステップと、
    テストすべき検出モデルを利用して前記第2ファイルのエントロピーベクトルを検出するステップと、
    検出結果及び前記第2ファイルのセキュリティカテゴリー識別子に基づいて誤判定率を確定するステップと、
    前記誤判定率を前記所定閾値と比較し、前記誤判定率が所定閾値より小さいか否かを確定するステップと、を含んでおり、
    ここで、前記第1ファイルが前記第2ファイルに含まれないことを特徴とする、請求項4に記載の方法。
  6. 前記の現在の検出モデルを補正するステップは、
    第1ファイルの数を増やして再学習することによって検出モデルを取得するステップ、及び
    エントロピーベクトルの次元数を調整して再学習することによって検出モデルを取得するステップのうちの少なくとも一つのステップを含むことを特徴とする、請求項5に記載の方法。
  7. ファイルを所定数のセグメントに分けるステップと、
    各前記セグメントのエントロピー値を取得するステップと、
    前記セグメントの数をエントロピーベクトルの次元数とし、各前記セグメントが1つのエントロピーベクトルの方向に対応し、各前記セグメントのエントロピー値に基づいてファイルのエントロピーベクトルを確定するステップと、によってファイルのエントロピーベクトルを確定することを特徴とする、請求項1〜6のいずれかに記載の方法。
  8. 検出すべきファイルを取得する取得手段と、
    前記検出すべきファイルのエントロピーベクトルを確定する確定手段と、
    トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定する検出手段と、を備えており、
    ここで、前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一であることを特徴とする、悪質な脆弱性のあるファイルを検出する装置。
  9. ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、
    前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、
    前記トレーニングファイルのエントロピーベクトルを確定するステップと、
    前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、
    ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含むことを特徴とする、請求項8に記載の装置。
  10. 前記確定手段は
    ファイルを所定数のセグメントに分け、
    各前記セグメントのエントロピー値を取得し、
    前記セグメントの数をエントロピーベクトルの次元数とし、各前記セグメントが1つのエントロピーベクトルの方向に対応し、各前記セグメントのエントロピー値に基づいてファイルのエントロピーベクトルを確定するように構成されることを特徴とする、請求項8または9に記載の装置。
  11. トレーニングされた検出モデルを記憶するメモリと、
    検出すべきファイルを取得し、前記検出すべきファイルのエントロピーベクトルを確定し、且つトレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定するプロセッサと、を備えており、
    ここで、前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一であることを特徴とする、端末。
  12. ファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得するステップと、
    前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識するステップと、
    前記トレーニングファイルのエントロピーベクトルを確定するステップと、
    前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するステップと、によって前記検出モデルを取得し、
    ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含むことを特徴とする、請求項11に記載の端末。
  13. 不揮発性のコンピュータ記憶媒体であって、コンピュータ可読命令を記憶しており、前記コンピュータ可読命令がプロセッサにより実行される場合に、前記プロセッサは、
    検出すべきファイルを取得し、
    前記検出すべきファイルのエントロピーベクトルを確定し、
    トレーニングされた検出モデルを利用して前記検出すべきファイルのエントロピーベクトルを検出して前記検出すべきファイルが悪質な脆弱性のあるファイルであるか否かを確定するように操作可能であり、
    前記検出すべきファイルのファイルタイプが前記検出モデルに対応するファイルタイプと同一であることを特徴とする、不揮発性のコンピュータ記憶媒体。
  14. 前記検出モデルを取得するように、前記プロセッサはファイルタイプが同一で且つセキュリティカテゴリーが既知の複数のファイルをトレーニングファイルとして取得し、
    前記セキュリティカテゴリーに応じて前記トレーニングファイルに対してセキュリティカテゴリーを標識し、
    前記トレーニングファイルのエントロピーベクトルを確定し、
    前記トレーニングファイルのエントロピーベクトル及びセキュリティカテゴリー識別子に基づいて検出モデルをトレーニングして出力するように操作可能であり、
    ここで、前記セキュリティカテゴリーが悪質な脆弱性のあるファイルカテゴリー及び悪質な脆弱性のないファイルカテゴリーを含むことを特徴とする、不揮発性のコンピュータ記憶媒体。
JP2015234043A 2015-06-30 2015-11-30 悪質な脆弱性のあるファイルを検出する方法、装置及び端末 Active JP6138896B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510377521.3A CN106295337B (zh) 2015-06-30 2015-06-30 用于检测恶意漏洞文件的方法、装置及终端
CN201510377521.3 2015-06-30

Publications (2)

Publication Number Publication Date
JP2017016626A true JP2017016626A (ja) 2017-01-19
JP6138896B2 JP6138896B2 (ja) 2017-05-31

Family

ID=57651270

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015234043A Active JP6138896B2 (ja) 2015-06-30 2015-11-30 悪質な脆弱性のあるファイルを検出する方法、装置及び端末

Country Status (4)

Country Link
US (1) US10176323B2 (ja)
JP (1) JP6138896B2 (ja)
KR (1) KR101711882B1 (ja)
CN (1) CN106295337B (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US9864956B1 (en) * 2017-05-01 2018-01-09 SparkCognition, Inc. Generation and use of trained file classifiers for malware detection
US10616252B2 (en) 2017-06-30 2020-04-07 SparkCognition, Inc. Automated detection of malware using trained neural network-based file classifiers and machine learning
US10305923B2 (en) 2017-06-30 2019-05-28 SparkCognition, Inc. Server-supported malware detection and protection
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
CN108763931B (zh) * 2018-05-28 2021-11-16 上海交通大学 基于Bi-LSTM和文本相似性的漏洞检测方法
CN110689133B (zh) * 2018-06-20 2023-09-05 深信服科技股份有限公司 一种训练机器学习引擎的方法、系统及相关装置
CN109194609B (zh) * 2018-07-20 2021-07-27 西安四叶草信息技术有限公司 一种检测漏洞文件的方法及装置
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10922139B2 (en) 2018-10-11 2021-02-16 Visa International Service Association System, method, and computer program product for processing large data sets by balancing entropy between distributed data segments
US10880328B2 (en) 2018-11-16 2020-12-29 Accenture Global Solutions Limited Malware detection
KR101963756B1 (ko) * 2018-11-19 2019-03-29 세종대학교산학협력단 소프트웨어 취약점 예측 모델 학습 장치 및 방법, 소프트웨어 취약점 분석 장치 및 방법
CN109858249B (zh) * 2019-02-18 2020-08-07 暨南大学 移动恶意软件大数据的快速智能比对和安全检测方法
CN111723373A (zh) * 2019-03-19 2020-09-29 国家计算机网络与信息安全管理中心 复合式二进制文档的漏洞利用文件检测方法及装置
CN109992969B (zh) * 2019-03-25 2023-03-21 腾讯科技(深圳)有限公司 一种恶意文件检测方法、装置及检测平台
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11374946B2 (en) * 2019-07-19 2022-06-28 Palo Alto Networks, Inc. Inline malware detection
US11636208B2 (en) 2019-07-19 2023-04-25 Palo Alto Networks, Inc. Generating models for performing inline malware detection
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
CN111191242A (zh) * 2019-08-09 2020-05-22 腾讯科技(深圳)有限公司 漏洞信息确定方法、装置、计算机可读存储介质及设备
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
WO2022066910A1 (en) 2020-09-23 2022-03-31 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
CN112966267A (zh) * 2021-03-02 2021-06-15 北京六方云信息技术有限公司 基于机器学习的恶意文件检测方法及系统
CN113050015B (zh) * 2021-03-26 2023-01-17 联想(北京)有限公司 一种数据处理方法及电子装置
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11934667B1 (en) * 2021-06-30 2024-03-19 Amazon Technologies, Inc. Encrypted-data-only media operations
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN116578536B (zh) * 2023-07-12 2023-09-22 北京安天网络安全技术有限公司 文件检测方法、存储介质及电子设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003207565A (ja) * 2002-01-10 2003-07-25 Mitsubishi Electric Corp 類識別装置及び類識別方法
US20070152854A1 (en) * 2005-12-29 2007-07-05 Drew Copley Forgery detection using entropy modeling
US20080184367A1 (en) * 2007-01-25 2008-07-31 Mandiant, Inc. System and method for determining data entropy to identify malware
JP2009301557A (ja) * 2009-07-21 2009-12-24 Nec Corp 学習システム
JP2011034177A (ja) * 2009-07-30 2011-02-17 Sony Corp 情報処理装置および情報処理方法、並びにプログラム
US20130067579A1 (en) * 2011-09-14 2013-03-14 Mcafee, Inc. System and Method for Statistical Analysis of Comparative Entropy
US20140090061A1 (en) * 2012-09-26 2014-03-27 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection

Family Cites Families (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6578018B1 (en) * 1999-07-27 2003-06-10 Yamaha Hatsudoki Kabushiki Kaisha System and method for control using quantum soft computing
US7376635B1 (en) * 2000-07-21 2008-05-20 Ford Global Technologies, Llc Theme-based system and method for classifying documents
US6775405B1 (en) * 2000-09-29 2004-08-10 Koninklijke Philips Electronics, N.V. Image registration system and method using cross-entropy optimization
US7593904B1 (en) * 2005-06-30 2009-09-22 Hewlett-Packard Development Company, L.P. Effecting action to address an issue associated with a category based on information that enables ranking of categories
US8176414B1 (en) * 2005-09-30 2012-05-08 Google Inc. Document division method and system
US8490194B2 (en) * 2006-01-31 2013-07-16 Robert Moskovitch Method and system for detecting malicious behavioral patterns in a computer, using machine learning
KR20070095718A (ko) * 2006-03-22 2007-10-01 한국전자통신연구원 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법
US8135994B2 (en) * 2006-10-30 2012-03-13 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US20090113128A1 (en) * 2007-10-24 2009-04-30 Sumwintek Corp. Method and system for preventing virus infections via the use of a removable storage device
US20100205198A1 (en) * 2009-02-06 2010-08-12 Gilad Mishne Search query disambiguation
US8266698B1 (en) * 2009-03-09 2012-09-11 Symantec Corporation Using machine infection characteristics for behavior-based detection of malware
US8744171B1 (en) * 2009-04-29 2014-06-03 Google Inc. Text script and orientation recognition
US8924314B2 (en) * 2010-09-28 2014-12-30 Ebay Inc. Search result ranking using machine learning
US8869277B2 (en) * 2010-09-30 2014-10-21 Microsoft Corporation Realtime multiple engine selection and combining
CN103839006B (zh) * 2010-11-29 2017-07-28 北京奇虎科技有限公司 基于机器学习的程序识别方法及装置
US9349006B2 (en) * 2010-11-29 2016-05-24 Beijing Qihoo Technology Company Limited Method and device for program identification based on machine learning
US8521667B2 (en) * 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
CN102024112B (zh) * 2010-12-17 2012-08-01 四川大学 基于静态特征的pe文件加壳检测方法
KR101228899B1 (ko) * 2011-02-15 2013-02-06 주식회사 안랩 벡터량 산출을 이용한 악성코드의 분류 및 진단 방법과 장치
US8402543B1 (en) * 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
US20130018650A1 (en) * 2011-07-11 2013-01-17 Microsoft Corporation Selection of Language Model Training Data
US20130097704A1 (en) * 2011-10-13 2013-04-18 Bitdefender IPR Management Ltd. Handling Noise in Training Data for Malware Detection
US8549645B2 (en) * 2011-10-21 2013-10-01 Mcafee, Inc. System and method for detection of denial of service attacks
US20160213353A1 (en) * 2011-10-28 2016-07-28 Hironari Masui Ultrasound imaging apparatus, ultrasound imaging method and ultrasound imaging program
JP2013103072A (ja) * 2011-11-16 2013-05-30 Ntt Docomo Inc メンタル状態推定装置、メンタル状態推定システム、メンタル状態推定方法、メンタル状態推定プログラム、及び携帯端末
US8918353B2 (en) * 2012-02-22 2014-12-23 Knowmtech, Llc Methods and systems for feature extraction
CN102708313B (zh) * 2012-03-08 2015-04-22 珠海市君天电子科技有限公司 针对大文件的病毒检测系统及方法
US8837720B2 (en) * 2012-03-16 2014-09-16 Paul de Roulet Cryptographically secure pseudorandom number generator
KR20130126814A (ko) * 2012-04-26 2013-11-21 한국전자통신연구원 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법
US9548987B1 (en) * 2012-06-11 2017-01-17 EMC IP Holding Company LLC Intelligent remediation of security-related events
US9607272B1 (en) * 2012-10-05 2017-03-28 Veritas Technologies Llc System and method for training data generation in predictive coding
JP2014085854A (ja) * 2012-10-24 2014-05-12 Nippon Telegr & Teleph Corp <Ntt> 類似度評価システム、類似度評価装置、利用者端末、類似度評価方法、およびプログラム
KR101432429B1 (ko) * 2013-02-26 2014-08-22 한양대학교 산학협력단 시각적 데이터 생성을 이용한 악성 코드 분석 시스템과 그 방법
US9465942B1 (en) * 2013-04-08 2016-10-11 Amazon Technologies, Inc. Dictionary generation for identifying coded credentials
US9471883B2 (en) * 2013-05-09 2016-10-18 Moodwire, Inc. Hybrid human machine learning system and method
WO2014184934A1 (ja) * 2013-05-16 2014-11-20 株式会社日立製作所 障害分析方法、障害分析システム及び記憶媒体
US9288220B2 (en) * 2013-11-07 2016-03-15 Cyberpoint International Llc Methods and systems for malware detection
CN105917345B (zh) * 2013-12-04 2019-02-05 英派尔科技开发有限公司 虚拟机之间的边信道攻击的检测
US9386034B2 (en) * 2013-12-17 2016-07-05 Hoplite Industries, Inc. Behavioral model based malware protection system and method
KR102131099B1 (ko) * 2014-02-13 2020-08-05 삼성전자 주식회사 지식 그래프에 기초한 사용자 인터페이스 요소의 동적 수정 방법
US9342869B2 (en) * 2014-04-29 2016-05-17 Adobe Systems Incorporated Discriminative indexing for patch-based image enhancement
CN105260628B (zh) * 2014-06-03 2019-01-11 腾讯科技(深圳)有限公司 分类器训练方法和装置、身份验证方法和系统
US9483742B1 (en) * 2014-10-27 2016-11-01 Amazon Technologies, Inc. Intelligent traffic analysis to detect malicious activity
US9465940B1 (en) * 2015-03-30 2016-10-11 Cylance Inc. Wavelet decomposition of software entropy to identify malware
KR101716564B1 (ko) * 2015-04-02 2017-03-15 현대오토에버 주식회사 하둡 기반의 악성코드 탐지 방법과 시스템
US20160307113A1 (en) * 2015-04-20 2016-10-20 Xerox Corporation Large-scale batch active learning using locality sensitive hashing
US20170193230A1 (en) * 2015-05-03 2017-07-06 Microsoft Technology Licensing, Llc Representing and comparing files based on segmented similarity
CN105095755A (zh) * 2015-06-15 2015-11-25 安一恒通(北京)科技有限公司 文件识别方法和装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003207565A (ja) * 2002-01-10 2003-07-25 Mitsubishi Electric Corp 類識別装置及び類識別方法
US20070152854A1 (en) * 2005-12-29 2007-07-05 Drew Copley Forgery detection using entropy modeling
US20080184367A1 (en) * 2007-01-25 2008-07-31 Mandiant, Inc. System and method for determining data entropy to identify malware
JP2009301557A (ja) * 2009-07-21 2009-12-24 Nec Corp 学習システム
JP2011034177A (ja) * 2009-07-30 2011-02-17 Sony Corp 情報処理装置および情報処理方法、並びにプログラム
US20130067579A1 (en) * 2011-09-14 2013-03-14 Mcafee, Inc. System and Method for Statistical Analysis of Comparative Entropy
US20140090061A1 (en) * 2012-09-26 2014-03-27 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection

Also Published As

Publication number Publication date
KR20170003356A (ko) 2017-01-09
CN106295337B (zh) 2018-05-22
US10176323B2 (en) 2019-01-08
KR101711882B1 (ko) 2017-03-03
JP6138896B2 (ja) 2017-05-31
US20170004306A1 (en) 2017-01-05
CN106295337A (zh) 2017-01-04

Similar Documents

Publication Publication Date Title
JP6138896B2 (ja) 悪質な脆弱性のあるファイルを検出する方法、装置及び端末
US11570211B1 (en) Detection of phishing attacks using similarity analysis
Carlin et al. Detecting cryptomining using dynamic analysis
US11716348B2 (en) Malicious script detection
EP2588983B1 (en) Systems and methods for alternating malware classifiers in an attempt to frustrate brute-force malware testing
Gao et al. Malware classification for the cloud via semi-supervised transfer learning
KR101720686B1 (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
US8732587B2 (en) Systems and methods for displaying trustworthiness classifications for files as visually overlaid icons
US11443032B2 (en) Stack pivot exploit detection and mitigation
US11270001B2 (en) Classification apparatus, classification method, and classification program
US11640471B2 (en) Detecting injection vulnerabilities of client-side templating systems
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
Dietrich et al. Exploiting visual appearance to cluster and detect rogue software
JP2012088803A (ja) 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム
Ugarte-Pedrero et al. On the adoption of anomaly detection for packed executable filtering
EP3506136B1 (en) Detecting stack cookie utilization in a binary software component using binary static analysis
EP2942728A1 (en) Systems and methods of analyzing a software component
US20230041534A1 (en) Security status based on hidden information
US11232202B2 (en) System and method for identifying activity in a computer system
US20220156371A1 (en) Warning apparatus, control method, and program
WO2022218188A1 (zh) 攻击样本管理的方法以及设备
US11882143B1 (en) Cybersecurity system and method for protecting against zero-day attacks
US20240114053A1 (en) Phishing detection using html
US20200184069A1 (en) Detecting Stack Pivots Using Stack Artifact Verification
Vadrevu Enabling efficient detection and forensic investigation of malicious software downloads.

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170404

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170426

R150 Certificate of patent or registration of utility model

Ref document number: 6138896

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250