CN103455753B - 一种样本文件分析方法及装置 - Google Patents
一种样本文件分析方法及装置 Download PDFInfo
- Publication number
- CN103455753B CN103455753B CN201210174885.8A CN201210174885A CN103455753B CN 103455753 B CN103455753 B CN 103455753B CN 201210174885 A CN201210174885 A CN 201210174885A CN 103455753 B CN103455753 B CN 103455753B
- Authority
- CN
- China
- Prior art keywords
- sample file
- string
- binary format
- character string
- unsuccessful
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种样本文件分析方法及装置,其中,方法包括:获得二进制格式的样本文件;将所述二进制格式的样本文件映射到内存;对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析,得到过滤后的二进制格式的样本文件;输出所述过滤后的二进制格式的样本文件。本发明的方案可以从二进制格式的样本文件中提取可见字符串,作为判断文件是否是病毒的依据,并加以对可见字符串的有效性过滤,有效减小样本文件的分析结果集合,大大提升病毒查杀效率。
Description
技术领域
本发明涉及计算机安全技术领域,特别是指一种样本文件分析方法及装置。
背景技术
在反病毒领域,每日样本增量都是海量的,通过人工方式进行识别将浪费大量时间,因此,样本文件的自动分析成了反病毒领域的一个核心问题。
目前已有的样本文件自动分析技术可以分为两类:
(1)静态自动分析,即通过反汇编代码分析、文件静态内容比对以及一系列启发式规则对比来给文件定性;这种做法的优点是:快速、吞吐量高,可以应对每日的海量文件,并给出分析结果;但缺点是:精准度一般,无法给出样本的恶意行为,对加密处理过的样本存在较多的误报和漏报。
(2)动态自动分析,即通过动态执行样本并记录运行过程,进行动态行为分析,利用分析结果对样本文件进行定性;这种做法的优点是:精准度非常高,可以明确指出样本恶意行为并可以精确对其定性;但缺点是:低速,吞吐量低,若想应对海量的样本文件,需要大量硬件资源投入。
发明内容
本发明要解决的技术问题是提供一种样本文件分析方法及装置,从二进制格式的样本文件中提取可见字符串,作为判断文件是否是病毒的依据,并加以对可见字符串的有效性过滤,有效减小样本文件的分析结果集合,大大提升病毒查杀效率。
为解决上述技术问题,本发明的实施例提供一种样本文件分析方法,包括:
获得二进制格式的样本文件;
将所述二进制格式的样本文件映射到内存;
对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析,得到过滤后的二进制格式的样本文件;
输出所述过滤后的二进制格式的样本文件。
其中,所述对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析,得到过滤后的二进制格式的样本文件的步骤包括:
根据字符编码集和病毒家族库的特征串,对映射到内存的所述二进制格式的样本文件进行全文字符串匹配,获得匹配不成功的字符串;
过滤掉所述匹配不成功的字符串,得到过滤后的二进制格式的样本文件。
其中,所述根据字符编码集和病毒家族库的特征串,对映射到内存的所述二进制格式的样本文件进行全文字符串匹配的步骤包括:
对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配,获得匹配不成功的无意义的字符串以及匹配成功的字符串对应的样本文件;
对所述匹配成功的字符串对应的样本文件与所述病毒家族库中的特征串进行匹配,获得匹配不成功的待过滤串。
其中,对所述匹配成功的字符串组成的样本文件与所述病毒家族库中的特征串进行匹配,获得匹配不成功的待过滤串的步骤包括:
计算所述匹配成功的字符串对应的样本文件中的字符串的哈希值;
计算所述病毒家族库中的特征串的哈希值;
将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较,若不相等,认为相比较的两个字符串匹配不成功,并获得匹配不成功的待过滤串,否则认为匹配成功。
其中,将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较的步骤包括:
采用一条处理器指令将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较。
其中,所述过滤掉所述匹配不成功的字符串,得到过滤后的二进制格式的样本文件的步骤包括:
过滤掉所述匹配不成功的无意义的字符串以及所述匹配不成功的待过滤串,得到过滤后的二进制格式的样本文件。
其中,所述字符编码集包括:UNICODE,UFT-8,GBK,GB2312和/或MBCS字符编码。
本发明的实施例还提供一种样本文件分析装置,包括:
获得模块,用于获得二进制格式的样本文件;
映射模块,用于将所述二进制格式的样本文件映射到内存;
分析模块,用于对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析,得到过滤后的二进制格式的样本文件;
输出模块,用于输出所述过滤后的二进制格式的样本文件。
其中,所述分析模块包括:
第一分析子模块,用于根据字符编码集和病毒家族库的特征串,对映射到内存的所述二进制格式的样本文件进行全文字符串匹配,获得匹配不成功的字符串;
第二分析子模块,用于过滤掉所述匹配不成功的字符串,得到过滤后的二进制格式的样本文件。
其中,所述第一分析子模块包括:
第一匹配模块,用于对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配,获得匹配不成功的无意义的字符串以及匹配成功的字符串组成的样本文件;
第二匹配模块,用于对所述匹配成功的字符串组成的样本文件与所述病毒家族库中的特征串进行匹配,获得匹配不成功的待过滤串。
其中,所述第二匹配模块包括:
第一计算模块,用于计算所述匹配成功的字符串组成的样本文件中的字符串的哈希值;
第二计算模块,用于计算所述病毒家族库中的特征串的哈希值;
匹配子模块,用于将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较,若不相等,认为相比较的两个字符串匹配不成功,并获得匹配不成功的待过滤串,否则认为匹配成功。
其中,所述第二分析子模块具体用于:过滤掉所述匹配不成功的无意义的字符串以及所述匹配不成功的待过滤串,得到过滤后的二进制格式的样本文件。
本发明的上述技术方案的有益效果如下:
上述方案中,通过将获得的二进制格式的样本文件映射到内存,并对该二进制格式的样本文件进行全文字符串过滤分析,从而过滤掉匹配不成功的字符串,提取有效串,有效减小样本文件的分析结果集合,大大提升病毒查杀效率。
附图说明
图1为本发明的样本文件分析方法流程图;
图2为本发明的样本文件分析装置的结构框示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
如图1所示,本发明的实施例提供一种样本文件分析方法,包括:
步骤11,获得二进制格式的样本文件;
步骤12,将所述二进制格式的样本文件映射到内存;
步骤13,对映射到内存的所述二进制格式的样本文件进行全文字符串过滤,得到过滤后的二进制格式的样本文件;
步骤14,输出所述过滤后的二进制格式的样本文件。
本发明的该实施例通过将获得的二进制格式的样本文件映射到内存,并对该二进制格式的样本文件进行全文字符串过滤分析,有效减小样本文件的分析结果集合,大大提升病毒查杀效率。
在本发明的另一实施例中,包括上述步骤11-14的基础上,上述步骤13包括:
步骤131,根据字符编码集和病毒家族库的特征串,对映射到内存的所述二进制格式的样本文件进行全文字符串匹配,获得匹配不成功的字符串;
步骤132,过滤掉所述匹配不成功的字符串,得到过滤后的二进制格式的样本文件。
其中,字符编码集包括UNICODE,UFT-8,GBK,GB2312,MBCS等所有常用的字符编码集,病毒家族库包括已确定的某一类型或者多种类型病毒对应的特征串形成的特征串集合。
在本发明的另一实施例中,包括上述步骤11-14的基础上,上述步骤131包括:
步骤1311,对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配,获得匹配不成功的无意义的字符串以及匹配成功的字符串对应的样本文件;
步骤1312,对所述匹配成功的字符串对应的样本文件与所述病毒家族库中的特征串进行匹配,获得匹配不成功的待过滤串。
该实施例中,通过对映射到内存的二进制格式的样本文件与字符编码集中的字符串相匹配,获得匹配不成功的无意义的字符串,这里采用常用字过滤的方法,排除掉明显无意义的字符串,如:"犒嗣S莪撒嗖烫烫烫烫",得到匹配成功的字符串对应的样本文件,从而缩小二进制格式的样本文件的数量,可大幅提升病毒的查杀效率。
进一步地,在本发明的另一实施例中,步骤1312可以包括:
步骤13121,计算所述匹配成功的字符串对应的样本文件中的字符串的哈希(Hash)值;
步骤13122,计算所述病毒家族库中的特征串的Hash值;
步骤13123,将所述二进制格式的样本文件中的字符串的Hash值与所述病毒家族库中的特征串的Hash值进行比较,若不相等,认为相比较的两个字符串匹配不成功,并获得匹配不成功的待过滤串,否则认为匹配成功。
该实施例中,字符串的Hash值或者特征串的Hash值均是采用CRC32算法生成的一个DWORD(双字节的值),在字符串匹配时,根据生成的该CRC32值,只需要一条处理器指令,如,(Cmp,eRx,eRx)就可判断两个字符串的CRC32值是否相等,即两个字符串是否匹配,这样极大提升了分析效率。具体地,上述步骤13123中,所述将所述二进制格式的样本文件中的字符串的Hash值与所述家族库中的特征串的Hash值进行比较的步骤包括:采用一条处理器指令将所述二进制格式的样本文件中的字符串的Hash值与所述家族库中的特征串的Hash值进行比较。其中,在得到匹配不成功的待过滤串后,可以对这些匹配不成功的待过滤串进行排序,如采用快速排序方法进行排序,从而强制过滤掉这些待过滤串。
相应地,上述实施例中,步骤132可以包括:过滤掉所述匹配不成功的无意义的字符串以及所述匹配不成功的待过滤串,得到过滤后的二进制格式的样本文件。
其中,上述实施例中,所述字符编码集包括:UNICODE,UFT-8,GBK,GB2312,MBCS字符编码。其中,可以根据常用的3500个汉字,英文,符号等来当作有效字符集进行匹配,从而排除掉无效字符。
本发明的上述实施列中,对二进制格式的样本文件映射到内存,并采用包括所有字符编码集的有效字符集进行匹配,排除掉明显无意义的字符串,缩小二进制格式的样本文件的数量,即减小分析的样本数量,从而可大幅提升病毒查杀效率,进一步对排除掉无意义的字符串后的样本文件(即提取出的可见串)与病毒家族库的特征串进行匹配,从而过滤掉匹配不成功的字符串,从而有效减小分析结果集合,提升病毒查杀效率。
如图2所示,本发明的实施例还提供一种样本文件分析装置,包括:
获得模块21,用于获得二进制格式的样本文件;
映射模块22,用于将所述二进制格式的样本文件映射到内存;
分析模块23,用于对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析,得到过滤后的二进制格式的样本文件;
输出模块24,用于输出所述过滤后的二进制格式的样本文件。
本发明的该装置实施例同样通过将获得的二进制格式的样本文件映射到内存,并对该二进制格式的样本文件进行全文字符串过滤分析,有效减小样本文件的分析结果集合,大大提升病毒查杀效率。
其中,所述分析模块包括:
第一分析子模块,用于根据字符编码集和病毒家族库的特征串,对映射到内存的所述二进制格式的样本文件进行全文字符串匹配,获得匹配不成功的字符串;
第二分析子模块,用于过滤掉所述匹配不成功的字符串,得到过滤后的二进制格式的样本文件。
其中,字符编码集包括UNICODE,UFT-8,GBK,GB2312,MBCS等所有常用的字符编码集,病毒家族库包括已确定的某一类型或者多种类型病毒对应的特征串形成的特征串集合。
其中,所述第一分析子模块包括:
第一匹配模块,用于对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配,获得匹配不成功的无意义的字符串以及匹配成功的字符串组成的样本文件;
第二匹配模块,用于对所述匹配成功的字符串组成的样本文件与所述病毒家族库中的特征串进行匹配,获得匹配不成功的待过滤串。
其中,所述第二匹配模块包括:
第一计算模块,用于计算所述匹配成功的字符串组成的样本文件中的字符串的哈希值;
第二计算模块,用于计算所述病毒家族库中的特征串的哈希值;
匹配子模块,用于将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较,若不相等,认为相比较的两个字符串匹配不成功,并获得匹配不成功的待过滤串,否则认为匹配成功。
该实施例中,通过对映射到内存的二进制格式的样本文件与字符编码集中的字符串相匹配,获得匹配不成功的无意义的字符串,这里采用常用字过滤的方法,排除掉明显无意义的字符串,如:"犒嗣S莪撒嗖烫烫烫烫",得到匹配成功的字符串对应的样本文件,从而缩小二进制格式的样本文件的数量,可大幅提升病毒的查杀效率。
其中,所述第二分析子模块具体用于:过滤掉所述匹配不成功的无意义的字符串以及所述匹配不成功的待过滤串,得到过滤后的二进制格式的样本文件。
本发明的该装置实施例同样通过对二进制格式的样本文件映射到内存,并采用包括所有字符编码集的有效字符集进行匹配,排除掉明显无意义的字符串,缩小二进制格式的样本文件的数量,即减小分析的样本数量,从而可大幅提升病毒查杀效率,进一步对排除掉无意义的字符串后的样本文件(即提取出的可见串)与病毒家族库的特征串进行匹配,从而过滤掉匹配不成功的字符串,从而有效减小分析结果集合,提升病毒查杀效率。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种样本文件分析方法,其特征在于,包括:
获得二进制格式的样本文件;
将所述二进制格式的样本文件映射到内存;
对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析,得到过滤后的二进制格式的样本文件,包括:根据字符编码集和病毒家族库的特征串,对映射到内存的所述二进制格式的样本文件进行全文字符串匹配,获得匹配不成功的字符串,具体包括:对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配,获得匹配不成功的无意义的字符串以及匹配成功的字符串对应的样本文件;对所述匹配成功的字符串对应的样本文件与所述病毒家族库中的特征串进行匹配,获得匹配不成功的待过滤串;
过滤掉所述匹配不成功的待过滤串,得到过滤后的二进制格式的样本文件;输出所述过滤后的二进制格式的样本文件。
2.根据权利要求1所述的样本文件分析方法,其特征在于,对所述匹配成功的字符串组成的样本文件与所述病毒家族库中的特征串进行匹配,获得匹配不成功的待过滤串的步骤包括:
计算所述匹配成功的字符串对应的样本文件中的字符串的哈希值;
计算所述病毒家族库中的特征串的哈希值;
将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较,若不相等,认为相比较的两个字符串匹配不成功,并获得匹配不成功的待过滤串,否则认为匹配成功。
3.根据权利要求2所述的样本文件分析方法,其特征在于,将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较的步骤包括:
采用一条处理器指令将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较。
4.根据权利要求1或2所述的样本文件分析方法,其特征在于,所述过滤掉所述匹配不成功的字符串,得到过滤后的二进制格式的样本文件的步骤包括:
过滤掉所述匹配不成功的无意义的字符串以及所述匹配不成功的待过滤串,得到过滤后的二进制格式的样本文件。
5.根据权利要求1所述的样本文件分析方法,其特征在于,所述字符编码集包括:UNICODE,UFT-8,GBK,GB2312和/或MBCS字符编码。
6.一种样本文件分析装置,其特征在于,包括:
获得模块,用于获得二进制格式的样本文件;
映射模块,用于将所述二进制格式的样本文件映射到内存;
分析模块,用于对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析,得到过滤后的二进制格式的样本文件;包括:第一分析子模块,用于根据字符编码集和病毒家族库的特征串,对映射到内存的所述二进制格式的样本文件进行全文字符串匹配,获得匹配不成功的字符串,第一分析子模块包括第一匹配模块和第二匹配模块,第一匹配模块用于对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配,获得匹配不成功的无意义的字符串以及匹配成功的字符串组成的样本文件;第二匹配模块,用于对所述匹配成功的字符串组成的样本文件与所述病毒家族库中的特征串进行匹配,获得匹配不成功的待过滤串;
第二分析子模块,用于过滤掉所述匹配不成功的待过滤串,得到过滤后的二进制格式的样本文件;
输出模块,用于输出所述过滤后的二进制格式的样本文件。
7.根据权利要求6所述的样本文件分析装置,其特征在于,所述第二匹配模块包括:
第一计算模块,用于计算所述匹配成功的字符串组成的样本文件中的字符串的哈希值;
第二计算模块,用于计算所述病毒家族库中的特征串的哈希值;
匹配子模块,用于将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较,若不相等,认为相比较的两个字符串匹配不成功,并获得匹配不成功的待过滤串,否则认为匹配成功。
8.根据权利要求7所述的样本文件分析装置,其特征在于,所述第二分析子模块具体用于:过滤掉所述匹配不成功的无意义的字符串以及所述匹配不成功的待过滤串,得到过滤后的二进制格式的样本文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210174885.8A CN103455753B (zh) | 2012-05-30 | 2012-05-30 | 一种样本文件分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210174885.8A CN103455753B (zh) | 2012-05-30 | 2012-05-30 | 一种样本文件分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103455753A CN103455753A (zh) | 2013-12-18 |
| CN103455753B true CN103455753B (zh) | 2016-07-13 |
Family
ID=49738103
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210174885.8A Active CN103455753B (zh) | 2012-05-30 | 2012-05-30 | 一种样本文件分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103455753B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106156348A (zh) * | 2016-07-21 | 2016-11-23 | 杭州安恒信息技术有限公司 | 一种数据库对象脚本危险操作的审计方法 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104715194B (zh) * | 2013-12-13 | 2018-03-27 | 北京启明星辰信息安全技术有限公司 | 恶意软件检测方法和装置 |
| CN106484730A (zh) * | 2015-08-31 | 2017-03-08 | 北京国双科技有限公司 | 字符串匹配方法和装置 |
| CN107102998A (zh) * | 2016-02-22 | 2017-08-29 | 阿里巴巴集团控股有限公司 | 一种字符串距离计算方法和装置 |
| CN106790101A (zh) * | 2016-12-23 | 2017-05-31 | 北京邮电大学 | 一种成熟检测器集生成方法、入侵检测方法及装置 |
| CN109871685B (zh) * | 2019-02-19 | 2023-08-08 | 腾讯科技(深圳)有限公司 | 一种rtf文件的解析方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102289617A (zh) * | 2010-06-21 | 2011-12-21 | 三星Sds株式会社 | 反恶意软件装置、服务器和匹配恶意软件模式的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7444515B2 (en) * | 2003-08-14 | 2008-10-28 | Washington University | Method and apparatus for detecting predefined signatures in packet payload using Bloom filters |
| CN101350054B (zh) * | 2007-10-15 | 2011-05-25 | 北京瑞星信息技术有限公司 | 计算机有害程序自动防护方法及装置 |
| CN102301342B (zh) * | 2009-07-29 | 2014-07-30 | 华为技术有限公司 | 正则表达式匹配方法和***及查找装置 |
-
2012
- 2012-05-30 CN CN201210174885.8A patent/CN103455753B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102289617A (zh) * | 2010-06-21 | 2011-12-21 | 三星Sds株式会社 | 反恶意软件装置、服务器和匹配恶意软件模式的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106156348A (zh) * | 2016-07-21 | 2016-11-23 | 杭州安恒信息技术有限公司 | 一种数据库对象脚本危险操作的审计方法 |
| CN106156348B (zh) * | 2016-07-21 | 2019-06-28 | 杭州安恒信息技术股份有限公司 | 一种数据库对象脚本危险操作的审计方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103455753A (zh) | 2013-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103455753B (zh) | 一种样本文件分析方法及装置 | |
| KR101162051B1 (ko) | 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법 | |
| Schäfer et al. | Building large corpora from the web using a new efficient tool chain. | |
| CN102891852B (zh) | 基于报文分析的协议格式自动推断方法 | |
| CN105912514B (zh) | 基于指纹特征的文本复制检测***及方法 | |
| CN103679012A (zh) | 一种可移植可执行文件的聚类方法和装置 | |
| CN105359139A (zh) | 安全信息管理***及安全信息管理方法 | |
| CN102243699A (zh) | 一种恶意代码检测方法及*** | |
| CN104391881A (zh) | 一种基于分词算法的日志解析方法及*** | |
| CN102938041A (zh) | 一种页面篡改的综合检测方法及*** | |
| RU2728497C1 (ru) | Способ и система определения принадлежности программного обеспечения по его машинному коду | |
| EP2977928B1 (en) | Malicious code detection | |
| CN108446559A (zh) | 一种apt组织的识别方法及装置 | |
| Li et al. | FEPDF: a robust feature extractor for malicious PDF detection | |
| CN102298681B (zh) | 一种基于数据流切片的软件识别方法 | |
| CN105488409A (zh) | 一种检测恶意代码家族变种及新家族的方法及*** | |
| CN103902909A (zh) | 一种基于Opcode回溯的Android恶意代码检测***及方法 | |
| CN109408810A (zh) | 一种恶意pdf文档检测方法及装置 | |
| CN114386511A (zh) | 基于多维度特征融合和模型集成的恶意软件家族分类方法 | |
| Zhang et al. | Osldetector: Identifying open-source libraries through binary analysis | |
| EP2819054B1 (en) | Flexible fingerprint for detection of malware | |
| Yang et al. | A convolutional neural network based classifier for uncompressed malware samples | |
| CN109408525A (zh) | 一种农业数据库sql语句安全检测方法及*** | |
| Pungila | Improved file-carving through data-parallel pattern matching for data forensics | |
| Cheng et al. | A static detection model of malicious PDF documents based on naive Bayesian classifier technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing City, Haidian District Road 33, Jinshan building Xiaoying Co-patentee after: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd. Address before: 100085 Beijing City, Haidian District Road 33, Jinshan building Xiaoying Co-patentee before: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. |