TWI623850B - 針對惡意程式碼來評估檔案之電腦實施方法、系統及非暫時性電腦可讀媒體 - Google Patents
針對惡意程式碼來評估檔案之電腦實施方法、系統及非暫時性電腦可讀媒體 Download PDFInfo
- Publication number
- TWI623850B TWI623850B TW105132852A TW105132852A TWI623850B TW I623850 B TWI623850 B TW I623850B TW 105132852 A TW105132852 A TW 105132852A TW 105132852 A TW105132852 A TW 105132852A TW I623850 B TWI623850 B TW I623850B
- Authority
- TW
- Taiwan
- Prior art keywords
- file
- malicious
- files
- machine learning
- normal
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
藉由將正常檔案及惡意檔案分成區段來準備一種用於訓練一機器學習模組之訓練資料集。一正常檔案之各區段經標記為正常的。一惡意檔案之各區段經標記為惡意的,而不管該區段是否為惡意的。該等正常檔案及惡意檔案之該等區段係用以訓練該機器學習模組。該經訓練之機器學習模組被封裝為一機器學習模型,其被提供至一端點電腦。在該端點電腦中,一未知檔案被分成區段,其等被輸入至該機器學習模型,以在任一惡意區段存在於該未知檔案中之情況下,識別該未知檔案之一惡意區段。
Description
本發明大體上係關於電腦安全,且更特定言之(但非排他性地)係關於用於評估針對惡意程式碼之電腦檔案之方法及系統。
機器學習技術通常用於偵測惡意軟體。目前,用於惡意軟體偵測之機器學習涉及監督學習以產生一機器學習模型。一般而言,準備已知惡意檔案及已知正常(即,良性)檔案之一訓練資料集。一惡意檔案被標記為「惡意的」,且一正常檔案被標記為「正常的」。訓練資料集被輸入至一機器學習模組,其採用一機器學習算法,諸如支援向量機(SVM)或隨機森林算法。機器學習模組自訓練資料集學習以做出關於一未知檔案是惡意還是正常之一預測。一經訓練之機器學習模組經封裝為被提供至一電腦系統之一機器學習模型。在電腦系統中接收之一未知檔案被輸入至機器學習模型,其將未知檔案分類為惡意的或正常的。
當前可用的機器學習模型係非常複雜的,且能夠以一高準確度對檔案進行分類。然而,儘管一典型機器學習模型可判斷一未知檔案是否係惡意
的,但機器學習模型不能識別檔案之哪個區段或哪些區段係惡意的。
在一項實施例中,藉由將正常檔案及惡意檔案分成區段來準備一種用於訓練一機器學習模組之訓練資料集。一正常檔案之各區段經標記為正常的。一惡意檔案之各區段經標記為惡意的,而不管該區段是否為惡意的。該等正常檔案及惡意檔案之該等區段用以訓練該機器學習模組。該經訓練之機器學習模組經封裝為一機器學習模型,其被提供至一端點電腦。在該端點電腦中,一未知檔案被分成區段,其等被輸入至該機器學習模型以在任一惡意區段存在於該未知檔案中之情況下識別該未知檔案之一惡意區段。
在閱讀包含隨附圖式及申請專利範圍之本發明的全文之後,本發明之此等及其他特徵對於一般技術者將係顯而易見的。
100‧‧‧電腦系統
101‧‧‧處理器
102‧‧‧使用者輸入裝置
103‧‧‧匯流排
104‧‧‧顯示監視器
105‧‧‧電腦網路介面
106‧‧‧資料儲存裝置
108‧‧‧主記憶體
109‧‧‧電腦網路
110‧‧‧軟體模組
200‧‧‧後端電腦系統
201‧‧‧箭頭
202‧‧‧箭頭
203‧‧‧箭頭
204‧‧‧箭頭
205‧‧‧箭頭
206‧‧‧箭頭
210‧‧‧預處理器
211-1‧‧‧檔案區段
211-2‧‧‧檔案區段
211-3‧‧‧檔案區段
211-4‧‧‧檔案區段
211-5‧‧‧檔案區段
211-6‧‧‧檔案區段
211-7‧‧‧檔案區段
211-8‧‧‧檔案區段
211-n‧‧‧檔案區段
212-1‧‧‧檔案區段
212-2‧‧‧檔案區段
212-3‧‧‧檔案區段
212-4‧‧‧檔案區段
212-5‧‧‧檔案區段
212-6‧‧‧檔案區段
212-7‧‧‧檔案區段
212-8‧‧‧檔案區段
212-n‧‧‧檔案區段
220‧‧‧機器學習模組
230‧‧‧機器學習模型
230‧‧‧機器學習模型
300‧‧‧端點電腦系統
301‧‧‧箭頭
302‧‧‧箭頭
303‧‧‧箭頭
304‧‧‧箭頭
305‧‧‧箭頭
320‧‧‧惡意軟體偵測器
321-1‧‧‧檔案區段
321-2‧‧‧檔案區段
321-N‧‧‧檔案區段
圖1展示根據本發明之一實施例之一電腦系統之一示意圖。
圖2展示根據本發明之一實施例之一後端電腦系統之一邏輯圖。
圖3展示一惡意檔案之一實例性檔案區段。
圖4展示一正常檔案之一實例性檔案區段。
圖5展示根據本發明之一實施例之由一預處理器準備之一正常檔案。
圖6展示根據本發明之一實施例之由一預處理器準備之一惡意檔案。
圖7展示根據本發明之一實施例之用於識別惡意檔案之一系統。
不同圖式中之相同參考標記的使用指示相同或類似組件。
在本發明中,提供諸多特定細節(諸如設備、組件及方法之實例)以提
供對本發明之實施例的透徹理解。然而,一般技術者將認識到,可在不具有特定細節之一或多者的情況下實踐本發明。在其他情況下,未展示或描述眾所周知之細節以避免混淆本發明之態樣。
現參考圖1,其展示根據本發明之一實施例之一電腦系統100之一示意圖。例如,電腦系統100可被用作一端點電腦系統或一後端電腦系統。電腦系統100可具有更少或更多組件,以滿足一特定應用之需求。電腦系統100可包含一或多個處理器101。電腦系統100可具有耦合其各種組件之一或多個匯流排103。電腦系統100可包含一或多個使用者輸入裝置102(例如,鍵盤、滑鼠)、一或多個資料儲存裝置106(例如,硬碟機、光碟、通用串列匯流排記憶體)、一顯示監視器104(例如,液晶顯示器、平板監視器)、一電腦網路介面105(例如,網路配接器、數據機),及一主記憶體108(例如,隨機存取記憶體)。電腦網路介面105可經耦合至一電腦網路109,在此實例中,電腦網路109包含網際網路。
電腦系統100係用一或多個軟體模組110來程式化之一特定機器,其包括非暫時性地被儲存於主記憶體108中之指令,以由處理器101執行以致使電腦系統100執行對應之經程式化步驟。一製品可經體現為包含指令之電腦可讀儲存媒體,該等指令在由處理器101執行時,致使得電腦系統100可操作以執行一或多個軟體模組110之功能。在圖1之實例中,當電腦系統100被用作一後端電腦系統時,軟體模組110包括一預處理器及一機器學習模組。當電腦系統100被用作一端點電腦系統時,軟體模組110可包括具有一機器學習模型之一惡意軟體偵測器。
圖2展示根據本發明之一實施例之後端電腦系統200之一邏輯圖。後端電腦系統200可包括用於產生用於識別惡意檔案(亦稱為「惡意軟體」)及一
惡意檔案之哪個區段具有惡意程式碼之一機器學習模型230的一或多個電腦。
在圖2之實例中,後端電腦系統200接收已知正常檔案及已知惡意檔案之樣本之一訓練資料集。在一項實施例中,已知正常檔案及已知惡意檔案係可執行檔案,諸如可攜式可執行(PE)格式之檔案。已知正常檔案及已知惡意檔案可以自可信客戶、誘捕系統及防病毒研究中心接收,僅舉幾個實例。已知正常檔案及已知惡意檔案可經掃描或測試,用於驗證惡意軟體。
預處理器210可包括用於將一檔案劃分為複數個區段並將一分類標籤指派至各個別區段之指令。在一項實施例中,預處理器210將一已知惡意檔案之各區段標記為惡意的,並將已知一正常檔案之各區段標記為正常的。與其中一整個檔案被指派一單個分類標籤之監督訓練形成顯著對照,預處理器210將一分類標籤指派至一檔案之各個別區段。
因為預處理器210將一惡意檔案之各區段標記為惡意的,而不管該區段是否為惡意的,所以惡意檔案的一些區段可最終被錯誤地標記。亦即,惡意檔案之一正常區段(即,不具有惡意程式碼之區段)亦將被標記為惡意的。此與先前方法明顯不同,其中訓練資料集中之樣本被正確地標記,且各標籤應用於一整個檔案,而非一檔案之個別區段。
在圖2之實例中,預處理器210自已知正常檔案之樣本接收一正常檔案,將正常檔案分成複數個檔案區段211(即,211-1、211-2、...、211-n)(參見箭頭201),並將各檔案區段211標記為正常的(L:NORM)(參見箭頭202)。預處理器210將各檔案區段211標記為正常的,而不管檔案區段211是否實際上係正常的。類似地,預處理器210自已知惡意檔案之樣本接收一惡意檔案,將惡意檔案劃分為複數個檔案區段212(即,212-1、212-2、...、
212-n)(參見箭頭204),並將各檔案區段212標記為惡意的(L:MAL)(參見箭頭205)。預處理器210將各檔案區段212標記為惡意的,而不管檔案區段212是否實際上係惡意的。各檔案區段可為足夠大以含有惡意程式碼之一可識別部分。檔案區段211及212之大小未必相同,此係因為一機器學習模組可適應不同的大小,或根據需要來填充/填補一檔案區段。圖3展示自一惡意PE檔案提取之一實例性檔案區段,且圖4展示自一正常PE檔案提取之一實例性檔案區段。
圖5展示根據本發明之一實施例之由預處理器210準備之一正常檔案。在圖5之實例中,預處理器210將正常檔案劃分為複數個檔案區段211,並將各檔案區段211標記為正常的(L:NORM)。在一正常檔案之情況下,各檔案區段211將最終被正確地標記,此係因為正常檔案來自已知正常檔案的樣本。
圖6展示根據本發明之一實施例之由預處理器210準備之一惡意檔案。在圖6之實例中,預處理器210將惡意檔案劃分為複數個檔案區段212,並將各檔案區段212標記為惡意的(L:MAL)。在一惡意檔案的情況下,一些檔案區段212將最終被錯誤地標記,此係因為一惡意檔案未必僅由惡意程式碼組成。儘管如此,預處理器210將一惡意檔案之一區段標記為惡意的,而不管該區段是否含有惡意程式碼。
在圖6之實例中,惡意檔案包括連續檔案區段212-1至212-8。一惡意程式碼序列213僅存在於區段212-5、212-6及212-7中。檔案區段212-5、212-6及212-7因此被正確地標記為惡意的。然而,檔案區段212-1、212-2、212-3、212-4及212-8不具有惡意程式碼,即正常。此導致檔案區段212-1、212-2、212-3、212-4及212-8被錯誤地標記為惡意的。
藉助於已知正常及已知惡意檔案之足夠數目的樣本,一適合機器學習算法將能夠忽略作為雜訊之不正確標記的檔案區段。對於可執行檔案尤其如此。例如,假設圖5之正常檔案係一流行可執行檔案之一乾淨(即,正常;未受感染)複本,且圖6之惡意檔案係同一流行可執行檔案之一受感染(即,惡意)複本,則機器學習算法將偵測正常檔案之檔案區段211-1、211-2、211-3、211-4及211-8被標記為正常,但具有相同內容之惡意檔案之對應檔案區段(即,檔案區段212-1、212-2、212-3、212-4及212-8)被標記為惡意的。機器學習算法將忽略作為雜訊之惡意檔案之不正確標記的檔案區段212及正常檔案的對應檔案區段211,並學習識別實際含有惡意程式碼的檔案區段212。
更具體而言,在圖5及圖6之實例中,機器學習算法將忽略作為雜訊之正常檔案的檔案區段211-1、211-2、211-3、211-4及211-8以及惡意檔案的檔案區段212-1、212-2、212-3、212-4及212-8,但將把正常檔案的檔案區段211-5、211-6及211-7視為正常檔案區段,並將惡意檔案的檔案區段212-5、212-6及212-7視為惡意檔案區段。
再參考圖2,機器學習模組220可包括實施一機器學習算法之指令。機器學習模組220可採用任何適合機器學習算法,諸如SVM或隨機森林,而不減損本發明之優點。機器學習模組220接收正常檔案(參見箭頭203)之檔案區段211及惡意檔案(參見箭頭206)之檔案區段212。機器學習模組220接收檔案區段211及212作為用於產生一機器學習模型230之預處理訓練資料集。更具體而言,使用經標記之檔案區段211及212來訓練機器學習模組220。經訓練之機器學習模組220經封裝為用於部署之一機器學習模型230。
可瞭解,藉由使用檔案區段211及212來訓練機器學習模組220,所得
到機器學習模型230能夠偵測惡意檔案區段及正常檔案區段。機器學習模型230可部署於一後端電腦系統中,以輔助防病毒研究人員隔離惡意程式碼以用於研究或簽章開發。機器學習模型230亦可部署於一端點電腦系統中以保護一端點電腦系統免受惡意軟體攻擊,如現在參考圖7所描述。
圖7展示根據本發明之一實施例之用於識別惡意檔案之一系統。在圖7之實例中,該系統包含一端點電腦系統300及後端電腦系統200。如可瞭解,後端電腦系統200可結合複數個端點電腦系統300來工作,但為清楚繪示,圖7中僅展示一個端點電腦系統。
在圖7之實例中,端點電腦系統300自後端電腦系統200接收機器學習模型230(參見箭頭301)。一般而言,後端電腦系統200可經由網際網路向訂閱端點電腦系統300提供機器學習模型230。端點電腦系統300可包含一惡意軟體偵測器320。惡意軟體偵測器320可包括用於偵測惡意檔案之一或多個軟體模組。在一項實施例中,惡意軟體偵測器320包含機器學習模型230。
在圖7之實例中,端點電腦系統300接收用於評估之一未知檔案。一未知檔案係如此命名,此係因為檔案之分類係未知的,即,不知曉該檔案係惡意的或正常的。在一項實施例中,惡意軟體偵測器320對未知檔案進行分類,並識別含有惡意程式碼之檔案之特定部分(若檔案中存在任一惡意程式碼)。針對惡意軟體評估之一未知檔案在本文中亦稱為一「目標檔案」。
更具體而言,在圖7之實例中,惡意軟體偵測器320將一目標檔案劃分為複數個檔案區段321(即,321-1、321-2、...、321-n)(參見箭頭302)。目標檔案之檔案區段321經輸入至機器學習模型230(參見箭頭303),其將檔案區段321之各者分類為正常的或惡意的(參見箭頭304)。
在一項實施例中,當目標檔案之至少一個檔案區段321由機器學習模型230分類為惡意的時,惡意軟體偵測器320認為目標檔案係惡意的。在此情況下,惡意軟體偵測器320可將由機器學習模型230分類之目標檔案之特定區段識別為惡意的。若目標檔案之檔案區段321中沒有一者由機器學習模型230分類為惡意的,則惡意軟體偵測器320可認為目標檔案係正常的。惡意軟體偵測器320可針對一偵測到之惡意檔案採取一回應動作,諸如將惡意檔案置於隔離中,阻止惡意檔案在端點電腦系統300中被接收,清除惡意檔案,警告一使用者或管理員等等。
有利地,惡意軟體偵測器320能夠確定一檔案是否為惡意的以及一惡意檔案之哪個區段含有惡意程式碼(參見箭頭305)。此允許對一目標檔案進行一更徹底之惡意程式碼之評估。此外,藉由識別含有惡意程式碼之一目標檔案之特定區段,可自目標檔案提取惡意程式碼以清除目標檔案,或輔助防病毒研究人員開發用於偵測惡意程式碼之一簽章。
已揭示用於偵測電腦檔案之惡意程式碼區段之方法及系統。雖然已提供本發明之特定實施例,但應瞭解,此等實施例係用於闡釋性目的,而非限制性的。對於閱讀本發明之一般技術者而言,諸多額外實施例將係顯而易見的。
Claims (17)
- 一種針對惡意程式碼來評估一檔案之電腦實施方法,該方法包括:接收複數個正常檔案及複數個惡意檔案;將該等正常檔案之各者及該等惡意檔案之各者分成複數個檔案區段;將該等正常檔案之各檔案區段標記為一正常檔案區段;將該等惡意檔案之各檔案區段標記為一惡意檔案區段;使用包括該等正常檔案及該等惡意檔案之該等經標記之檔案區段之一機器學習訓練資料集來產生一機器學習模型;將一目標檔案分成複數個區段;及使用該機器學習模型來識別該目標檔案之哪個特定區段含有惡意程式碼。
- 如請求項1之電腦實施方法,其中使用該機器學習模型來識別該目標檔案之哪個特定區段含有惡意程式碼包括:使用該機器學習模型來分類該目標檔案之該等區段之各者。
- 如請求項1之電腦實施方法,其中藉由使用該訓練資料集來訓練一支援向量機來產生該機器學習模型。
- 如請求項1之電腦實施方法,進一步包括:經由一電腦網路,將該機器學習模型提供至一端點電腦系統,其中該端點電腦系統經由該電腦網路接收該目標檔案,且使用該機器 學習模型來分類該目標檔案之個別區段。
- 如請求項1之電腦實施方法,其中該等正常檔案、該等惡意檔案及該目標檔案為可執行檔案。
- 如請求項1之電腦實施方法,其中該等正常檔案、該等惡意檔案及該目標檔案係採用可攜式可執行格式。
- 一種用於針對惡意程式碼來評估檔案之系統,該系統包括:一後端電腦系統,其經組態以將複數個正常檔案之各者分成檔案區段、將複數個惡意檔案之各者分成檔案區段、將該等正常檔案之各檔案區段標記為一正常檔案區段、將該等惡意檔案之各檔案區段標記為一惡意檔案區段,且使用包括該等正常檔案及該等惡意檔案之經標記之檔案區段之一機器學習訓練資料集來產生一機器學習模型;及一端點電腦,其經組態以經由一電腦網路接收該機器學習模型、接收一目標檔案、將該目標檔案分成複數個區段,及使用該機器學習模型來識別該目標檔案之哪個特定區段含有惡意程式碼。
- 如請求項7之系統,其中該端點電腦將該目標檔案之該等區段輸入至該機器學習模型中。
- 如請求項7之系統,其中該後端電腦系統藉由使用該訓練資料集訓練一支援向量機來產生該機器學習模型。
- 如請求項7之系統,其中該等正常檔案、該等惡意檔案及該目標檔案為可執行檔案。
- 如請求項7之系統,其中該等正常檔案、該等惡意檔案及該目標檔案係採用可攜式可執行格式。
- 如請求項7之系統,其中該端點電腦將該目標檔案分成複數個區段,且將該目標檔案之該等區段輸入至該機器學習模型中。
- 一種非暫時性電腦可讀媒體,其包括經儲存於其上之指令,該等指令在由一處理器執行時執行以下步驟:將複數個正常檔案之各者及複數個惡意檔案之各者分成複數個檔案區段;將該等正常檔案之各檔案區段標記為一正常檔案區段;將該等惡意檔案之各檔案區段標記為一惡意檔案區段;使用包括該等正常檔案及該等惡意檔案之經標記之檔案區段之一機器學習訓練資料集來產生一機器學習模型;及將該機器學習模型提供至一端點電腦系統,以偵測該端點電腦系統中之惡意檔案。
- 如請求項13之非暫時性電腦可讀媒體,其中藉由使用該訓練資料集訓練一支援向量機來產生該機器學習模型。
- 如請求項13之非暫時性電腦可讀媒體,其中該等正常檔案及該等惡意檔案為可執行檔案。
- 如請求項13之非暫時性電腦可讀媒體,其中該等正常檔案及該等惡意檔案係採用可攜式可執行格式。
- 如請求項13之非暫時性電腦可讀媒體,其中該機器學習模型係經由網際網路提供至該端點電腦系統。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/249,702 | 2016-08-29 | ||
| US15/249,702 US10169581B2 (en) | 2016-08-29 | 2016-08-29 | Detecting malicious code in sections of computer files |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201807612A TW201807612A (zh) | 2018-03-01 |
| TWI623850B true TWI623850B (zh) | 2018-05-11 |
Family
ID=61242900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105132852A TWI623850B (zh) | 2016-08-29 | 2016-10-12 | 針對惡意程式碼來評估檔案之電腦實施方法、系統及非暫時性電腦可讀媒體 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10169581B2 (zh) |
| TW (1) | TWI623850B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10366234B2 (en) | 2016-09-16 | 2019-07-30 | Rapid7, Inc. | Identifying web shell applications through file analysis |
| CN108718310B (zh) * | 2018-05-18 | 2021-02-26 | 安徽继远软件有限公司 | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 |
| US10929531B1 (en) * | 2018-06-27 | 2021-02-23 | Ca, Inc. | Automated scoring of intra-sample sections for malware detection |
| JP7099165B2 (ja) * | 2018-08-20 | 2022-07-12 | コニカミノルタ株式会社 | 画像形成装置およびウイルスチェック方法 |
| TWI674514B (zh) * | 2018-10-19 | 2019-10-11 | 財團法人資訊工業策進會 | 惡意軟體辨識裝置及方法 |
| US20220050899A1 (en) * | 2020-08-17 | 2022-02-17 | Acronis International Gmbh | Systems and methods for synthetic file scanning |
| CN114143024B (zh) * | 2021-10-26 | 2022-07-26 | 广州大学 | 基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法、系统、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1304089A (zh) * | 2000-01-11 | 2001-07-18 | 神达电脑股份有限公司 | 感染计算机病毒文件的追踪检测方法 |
| TW448402B (en) * | 1999-09-17 | 2001-08-01 | Mitac Int Corp | Virus detecting method for IDE hard disk device set in PIO access mode |
| TW518463B (en) * | 2000-07-14 | 2003-01-21 | Vcis Inc | Computer immune system and method for detecting unwanted code in a computer system |
| US6952776B1 (en) * | 1999-09-22 | 2005-10-04 | International Business Machines Corporation | Method and apparatus for increasing virus detection speed using a database |
| TW200636586A (en) * | 2005-03-11 | 2006-10-16 | Lionic Corp | System security approaches using multiple processing units |
| US8935788B1 (en) * | 2008-10-15 | 2015-01-13 | Trend Micro Inc. | Two stage virus detection |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2501771B2 (ja) | 1993-01-19 | 1996-05-29 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置 |
| US5649068A (en) | 1993-07-27 | 1997-07-15 | Lucent Technologies Inc. | Pattern recognition system using support vectors |
| US5675711A (en) | 1994-05-13 | 1997-10-07 | International Business Machines Corporation | Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses |
| US5640492A (en) | 1994-06-30 | 1997-06-17 | Lucent Technologies Inc. | Soft margin classifier |
| US5442699A (en) | 1994-11-21 | 1995-08-15 | International Business Machines Corporation | Searching for patterns in encrypted data |
| US6279128B1 (en) | 1994-12-29 | 2001-08-21 | International Business Machines Corporation | Autonomous system for recognition of patterns formed by stored data during computer memory scrubbing |
| US6161130A (en) | 1998-06-23 | 2000-12-12 | Microsoft Corporation | Technique which utilizes a probabilistic classifier to detect "junk" e-mail by automatically updating a training and re-training the classifier based on the updated training set |
| US6192512B1 (en) | 1998-09-24 | 2001-02-20 | International Business Machines Corporation | Interpreter with virtualized interface |
| US6711583B2 (en) | 1998-09-30 | 2004-03-23 | International Business Machines Corporation | System and method for detecting and repairing document-infecting viruses using dynamic heuristics |
| US6622134B1 (en) | 1999-01-05 | 2003-09-16 | International Business Machines Corporation | Method of constructing data classifiers and classifiers constructed according to the method |
| GB2350449A (en) | 1999-05-27 | 2000-11-29 | Ibm | Detecting replication of a computer virus using a counter virus |
| US6789200B1 (en) | 2000-05-18 | 2004-09-07 | International Business Machines Corporation | Method of automatically instituting secure, safe libraries and functions when exposing a system to potential system attacks |
| US6650890B1 (en) | 2000-09-29 | 2003-11-18 | Postini, Inc. | Value-added electronic messaging services and transparent implementation thereof using intermediate server |
| US6778941B1 (en) | 2000-11-14 | 2004-08-17 | Qualia Computing, Inc. | Message and user attributes in a message filtering method and system |
| US7089589B2 (en) | 2001-04-10 | 2006-08-08 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait |
| US20020173934A1 (en) | 2001-04-11 | 2002-11-21 | Potenza John J. | Automated survey and report system |
| US7076527B2 (en) | 2001-06-14 | 2006-07-11 | Apple Computer, Inc. | Method and apparatus for filtering email |
| US7089429B2 (en) | 2002-11-25 | 2006-08-08 | Nokia Corporation | Creation of local usage rights voucher |
| US6732157B1 (en) | 2002-12-13 | 2004-05-04 | Networks Associates Technology, Inc. | Comprehensive anti-spam system, method, and computer program product for filtering unwanted e-mail messages |
| US7055008B2 (en) * | 2003-01-22 | 2006-05-30 | Falconstor Software, Inc. | System and method for backing up data |
| US20060259543A1 (en) | 2003-10-06 | 2006-11-16 | Tindall Paul G | Method and filtering text messages in a communication device |
| US20050108630A1 (en) | 2003-11-19 | 2005-05-19 | Wasson Mark D. | Extraction of facts from text |
| US20060075494A1 (en) | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
| US20060122957A1 (en) | 2004-12-03 | 2006-06-08 | Johnny Chen | Method and system to detect e-mail spam using concept categorization of linked content |
| US7636856B2 (en) * | 2004-12-06 | 2009-12-22 | Microsoft Corporation | Proactive computer malware protection through dynamic translation |
| US7426510B1 (en) | 2004-12-13 | 2008-09-16 | Ntt Docomo, Inc. | Binary data categorization engine and database |
| US7912706B2 (en) | 2006-04-03 | 2011-03-22 | Sony Ericsson Mobile Communications Ab | On-line predictive text dictionary |
| US7930749B2 (en) * | 2006-05-11 | 2011-04-19 | Eacceleration Corp. | Accelerated data scanning |
| US7756535B1 (en) | 2006-07-07 | 2010-07-13 | Trend Micro Incorporated | Lightweight content filtering system for mobile phones |
| US8863287B1 (en) * | 2008-06-26 | 2014-10-14 | Emc Corporation | Commonality factoring pattern detection |
| US8621625B1 (en) * | 2008-12-23 | 2013-12-31 | Symantec Corporation | Methods and systems for detecting infected files |
| US8370938B1 (en) | 2009-04-25 | 2013-02-05 | Dasient, Inc. | Mitigating malware |
| US9081958B2 (en) | 2009-08-13 | 2015-07-14 | Symantec Corporation | Using confidence about user intent in a reputation system |
| US8869277B2 (en) | 2010-09-30 | 2014-10-21 | Microsoft Corporation | Realtime multiple engine selection and combining |
| US8402543B1 (en) | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
| US8838992B1 (en) | 2011-04-28 | 2014-09-16 | Trend Micro Incorporated | Identification of normal scripts in computer systems |
| US20170193230A1 (en) * | 2015-05-03 | 2017-07-06 | Microsoft Technology Licensing, Llc | Representing and comparing files based on segmented similarity |
-
2016
- 2016-08-29 US US15/249,702 patent/US10169581B2/en active Active
- 2016-10-12 TW TW105132852A patent/TWI623850B/zh active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW448402B (en) * | 1999-09-17 | 2001-08-01 | Mitac Int Corp | Virus detecting method for IDE hard disk device set in PIO access mode |
| US6952776B1 (en) * | 1999-09-22 | 2005-10-04 | International Business Machines Corporation | Method and apparatus for increasing virus detection speed using a database |
| CN1304089A (zh) * | 2000-01-11 | 2001-07-18 | 神达电脑股份有限公司 | 感染计算机病毒文件的追踪检测方法 |
| TW518463B (en) * | 2000-07-14 | 2003-01-21 | Vcis Inc | Computer immune system and method for detecting unwanted code in a computer system |
| TW200636586A (en) * | 2005-03-11 | 2006-10-16 | Lionic Corp | System security approaches using multiple processing units |
| US8935788B1 (en) * | 2008-10-15 | 2015-01-13 | Trend Micro Inc. | Two stage virus detection |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201807612A (zh) | 2018-03-01 |
| US10169581B2 (en) | 2019-01-01 |
| US20180060576A1 (en) | 2018-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI623850B (zh) | 針對惡意程式碼來評估檔案之電腦實施方法、系統及非暫時性電腦可讀媒體 | |
| US20230206131A1 (en) | Clustering analysis for deduplication of training set samples for machine learning based computer threat analysis | |
| US11188646B2 (en) | Training a machine learning model for container file analysis | |
| US20200259850A1 (en) | Container file analysis using machine learning model | |
| Mosli et al. | Automated malware detection using artifacts in forensic memory images | |
| US20180183815A1 (en) | System and method for detecting malware | |
| US8806648B2 (en) | Automatic classification of security vulnerabilities in computer software applications | |
| Kapratwar et al. | Static and dynamic analysis of android malware | |
| US11025649B1 (en) | Systems and methods for malware classification | |
| Gao et al. | Malware classification for the cloud via semi-supervised transfer learning | |
| US20180211041A1 (en) | Detection of Malware Using Feature Hashing | |
| WO2020252529A1 (en) | System for automatically detecting software vulnerability | |
| Palahan et al. | Extraction of statistically significant malware behaviors | |
| US20160219068A1 (en) | Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation | |
| Nagano et al. | Static analysis with paragraph vector for malware detection | |
| US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| Rafique et al. | Malware classification using deep learning based feature extraction and wrapper based feature selection technique | |
| Petrik et al. | Towards architecture and os-independent malware detection via memory forensics | |
| Gandotra et al. | Integrated framework for classification of malwares | |
| Faruki et al. | Behavioural detection with API call-grams to identify malicious PE files. | |
| Wu | A systematical study for deep learning based android malware detection | |
| Singh et al. | “Emerging Trends in Computational Intelligence to Solve Real-World Problems” Android Malware Detection Using Machine Learning | |
| Zhao et al. | A malware detection system based on intermediate language | |
| Utama et al. | Analysis and classification of danger level in android applications using naive Bayes algorithm | |
| JP2011034377A (ja) | 情報処理装置及び情報処理方法及びプログラム |