CN103475671A - 恶意程序检测方法 - Google Patents
恶意程序检测方法 Download PDFInfo
- Publication number
- CN103475671A CN103475671A CN2013104471593A CN201310447159A CN103475671A CN 103475671 A CN103475671 A CN 103475671A CN 2013104471593 A CN2013104471593 A CN 2013104471593A CN 201310447159 A CN201310447159 A CN 201310447159A CN 103475671 A CN103475671 A CN 103475671A
- Authority
- CN
- China
- Prior art keywords
- program
- behavior
- white list
- feature
- performance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开了一种恶意程序检测方法,包括:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述客户端。本发明通过使用白名单对合法程序进行判定,从而将不属于白名单范畴的非合法程序判定为恶意程序,从另一角度进行恶意程序的判定查杀。
Description
本发明专利申请是申请日为2010年8月18日、申请号为201010256973.3、名称为“一种依据白名单进行恶意程序检测的方法”的中国发明专利申请的分案申请。
技术领域
本发明属于网络安全领域,具体地说,涉及一种恶意程序检测方法。
背景技术
传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。
之后又衍生出了在本地启发式杀毒的方式,是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。恶意程序和正常程序的区别可以体现在许多方面,比如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而恶意程序通常最初的指令则是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查杀病毒软件中的具体程序体现。
但是上述查杀恶意软件的方法都是基于恶意行为和/或恶意特征,先对一个程序判定其是否为恶意程序,然后再决定是否进行查杀或者清理。这就不可避免导致出现了如下弊端。
据统计,现今全球恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,特征库中恶意程序的特征码的补充跟不上层出不穷的未知恶意程序。
另外,近年来,随着恶意程序制作者对免杀技术的应用,通过对恶意程序加壳或修改该恶意程序的特征码的手法越来越多的出现;以及许多木马程序采用了更多更频繁快速的自动变形,这些都导致通过恶意行为和/或恶意特征对恶意程序进行判定的难度越来越大,从而引起对恶意程序的查杀或清理的困难。
发明内容
有鉴于此,本发明所要解决的技术问题是提供了一种依据白名单进行恶意程序检测的方法,不依赖于本地数据库,并且基于对合法程序的认定来反向判定恶意程序。
为了解决上述技术问题,本发明公开了一种依据白名单进行恶意程序检测的方法,包括:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述客户端。
进一步地,所述服务器端根据所述程序特征和/或程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,如果命中,则判定所述程序为合法程序,并反馈给所述客户端;如果没有命中,则判定所述程序为恶意程序,并反馈给所述客户端。
进一步地,所述服务器端根据程序的一组程序特征和/或一组程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,根据命中的程度,对所述程序赋予一信任值,并将所述信任值反馈给所述客户端;所述客户端预设一阈值,根据所述信任值与所述阈值进行比对,如果所述信任值不小于所述阈值,则判定所述所述程序为合法程序,如果所述信任值小于所述阈值,则判定所述程序为恶意程序。
进一步地,如果所述一组程序特征和/或一组程序行为在所述白名单中全部命中,则所述服务器端对所述程序赋予一最高信任值;如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则所述服务器端对所述程序赋予一最低信任值。
进一步地,还包括:所述客户端根据所述判定结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序,恢复***环境。
进一步地,还包括:所述客户端根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序。
进一步地,所述属性,包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于***目录内。
进一步地,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,包括:周期性通过手工、利用蜘蛛或网络爬虫和/或用户上传对合法程序进行收集;通过手工或通过工具自动甄别所述合法程序的程序特征和或程序行为并保存在所述白名单中。
进一步地,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,包括:根据现有已知白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。
进一步地,所述程序特征,包括:程序文件内的静态特征和/或静态特征串。
进一步地,所述对未知程序特征及其程序行为进行分析的步骤,包括:如果未知程序特征与现有白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入白名单;如果未知程序行为与现有白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入白名单;当某程序行为被列入白名单时,在数据库中将该程序行为对应的程序特征列入白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入白名单;和/或当某程序特征被列入白名单时,在数据库中将该程序特征对应的程序行为列入白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入白名单。
进一步地,还包括:在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新白名单。
与现有的方案相比,本发明所获得的技术效果:
本发明通过使用白名单对合法程序进行判定,从而将不属于白名单范畴的非合法程序判定为恶意程序,从另一角度进行恶意程序的判定查杀;
同时引入云安全架构,将所有“云安全”客户端与“云安全”服务器实时连接,将合法程序的判定分析放在服务器端完成;
另外,本发明还通过客户端收集程序行为并关联到程序特征,从而在数据库中记录程序特征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在数据库中对样本进行分析归纳,从而有助于对软件或程序进行合法判别。
附图说明
图1为本发明的实施模式示意图;
图2本发明的依据白名单进行恶意程序检测的方法流程图;
图3为根据本发明实施例所述的关联关系示意图。
具体实施方式
以下将配合图式及实施例来详细说明本发明的实施方式,藉此对本发明如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
本发明的核心构思在于:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序进行判定并反馈给所述客户端。
下面对于由大量客户端计算机102-服务器端104构成的云安全模式下的白名单检测恶意程序方法进行说明。云结构就是一个大型的客户端/服务器(CS)架构,如图1所示,为本发明的实施模式示意图。
参考图2为本发明的依据白名单进行恶意程序检测的方法流程图,包括:
S1,服务器端的数据库建立合法程序的白名单并进行收集更新;
S2,客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询;
S3,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序进行判定并反馈给所述客户端;
S4,所述客户端根据所述判定结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序,恢复***环境;或者
所述客户端根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序;
所述属性,包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于***目录内。
对于步骤S3,可以具体由以下方式实现。
第一方式:所述服务器端根据所述程序特征和/或程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,如果命中,则判定所述程序为合法程序,并反馈给所述客户端;如果没有命中,则判定所述程序为恶意程序,并反馈给所述客户端。
第二方式:所述服务器端根据程序的一组程序特征和/或一组程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,根据命中的程度,对所述程序赋予一信任值,并将所述信任值反馈给所述客户端;所述客户端预设一阈值,根据所述信任值与所述阈值进行比对,如果所述信任值不小于所述阈值,则判定所述所述程序为合法程序,如果所述信任值小于所述阈值,则判定所述程序为恶意程序。
对于信任值的设定,如果所述一组程序特征和/或一组程序行为在所述白名单中全部命中,则所述服务器端对所述程序赋予一最高信任值;如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则所述服务器端对所述程序赋予一最低信任值;处于上述两命中率之间的程序按所述上述趋势设定。
对于步骤S1,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,可以由以下方式实现。
第一方式:由技术人员周期性通过手工、利用蜘蛛或网络爬虫和/或用户上传对合法程序进行收集;通过手工或通过工具自动甄别所述合法程序的程序特征和或程序行为并保存在所述白名单中。
第二方式:根据现有已知白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。
所述程序特征,可以是程序文件内的静态特征,如经由MD5(Message-Digest Algorithm5,信息-摘要算法)运算得出的MD5验证码,或SHA1码,或CRC(Cyclic Redundancy Check,循环冗余校验)码等可唯一标识原程序的特征码;也可以是程序文件内的静态特征串。
下面对于第二方式中服务器端的数据库白名单的构建及动态维护进行下说明。
其处理思路主要是:根据现有已知白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。这种对比分析有时候不需要对程序的行为本身做追踪分析,只需要简单的与现有白名单中的已知程序行为做比对即可判定未知程序的性质。
由于在数据库中记录了程序特征及该特征对应的行为记录,因此可以结合已知白名单对未知程序进行分析。
例如,如果未知程序特征与现有白名单中的已知程序特征相同,则将该未知程序特征及其程序行为都列入白名单。
如果未知程序行为与现有白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征都列入白名单。
通过数据库中的记录分析,我们可以发现,有一些程序的行为相同或近似,但程序特征不同,这时,只要我们在具有相同或近似行为的程序之间建立行为与特征的关联关系,并根据这种关联关系,就可以更便捷的对未知程序特征及程序行为进行分析,以更新白名单。
如图3所示,为根据本发明实施例所述的关联关系示意图。假设未知程序A、B和C的特征分别为A、B和C,其各自对应的程序行为为A1~A4,B1~B4,C1~C4。如果经过分析发现程序行为A1~A4,B1~B4,C1~C4之间实质上相同或非常近似,那么就可以在特征A、B、C和行为A1~A4,B1~B4,C1~C4之间建立特征与行为的关联关系。
通过这种关联关系,在某些条件下可以更加快捷的自扩展的对数据库进行维护。例如,当程序B的程序行为B1~B4被确认为合法程序行为并被列入白名单时,可以在数据库中自动将与该程序行为对应的程序特征B列入白名单,同时,根据关联关系,可以自动将与该程序行为有关联关系的程序行为A1~A4,C1~C4及对应的程序特征A,特征C也列入白名单。
再例如,如果最初时程序A、B和C都属于黑白未知的程序,而经由其他病毒查杀途径,程序特征B首先被确认为属于合法程序的特征,则在数据库中可以自动将行为B1~B4的组合列入白名单,还可以根据关联关系,将具有相同或近似行为的特征A和C也列入白名单,并将程序行为A1~A4,C1~C4也列入白名单。
本发明由于在数据库中记录了程序特征对应的行为,这就使得对未知程序的行为分析提供了很大的便利。本发明上述分析方法不限于此,还可以利用类似于决策树,贝叶斯算法,神经网域计算等方法,或者使用简单的阈值分析,都可以在本发明的数据库基础上得到很好的应用。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (9)
1.一种恶意程序检测方法,其包括:
建立合法程序的白名单并对所述白名单进行更新,其中,所述白名单保存合法程序特征和/或合法程序行为;
收集一程序的程序特征和/或程序行为;
将收集的所述程序的程序特征和/或程序行为与所述白名单中的合法程序特征和/或合法程序行为进行比对并根据比对结果判断所述程序是否为恶意程序。
2.如权利要求1所述的方法,其中,将收集的所述程序的程序特征和/或程序行为与所述白名单中的合法程序特征和/或合法程序行为进行比对并根据比对结果判断所述程序是否为恶意程序,进一步包括:将所述程序特征和/或程序行为与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,如果命中,则判定所述程序为合法程序;如果没有命中,则判定所述程序为恶意程序。
3.如权利要求2所述的方法,其中,将收集的所述程序的程序特征和/或程序行为与所述白名单中的合法程序特征和/或合法程序行为进行比对并根据比对结果判断所述程序是否为恶意程序,进一步包括:将所述程序的一组程序特征和/或一组程序行为与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,根据命中的程度,对所述程序赋予一信任值;
如果所述信任值小于预定阈值,则判定所述程序为恶意程序。
4.如权利要求3所述的方法,其中,所述信任值按下面进行赋予:
如果所述一组程序特征和/或一组程序行为在所述白名单中全部命中,则对所述程序赋予一最高信任值;
如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则对所述程序赋予一最低信任值。
5.如权利要求2或3所述的方法,还包括:根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序。
6.如权利要求5所述的方法,其中,所述建立合法程序的白名单并对所述白名单进行更新进一步包括:
根据现有已知白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。
7.如权利要求6所述的方法,其中,所述程序特征包括程序文件内的静态特征和/或静态特征串。
8.如权利要求7所述的方法,其中,所述对未知程序特征及其程序行为进行分析的步骤包括:
如果未知程序特征与现有白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入白名单;
如果未知程序行为与现有白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入白名单;
当某程序行为被列入白名单时,将该程序行为对应的程序特征列入白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入白名单;和/或
当某程序特征被列入白名单时,将该程序特征对应的程序行为列入白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入白名单。
9.如权利要求8所述的方法,其中,所述建立合法程序的白名单并对所述白名单进行更新进一步包括:
在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新白名单。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310447159.3A CN103475671B (zh) | 2010-08-18 | 2010-08-18 | 恶意程序检测方法 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102569733A CN101924761B (zh) | 2010-08-18 | 2010-08-18 | 一种依据白名单进行恶意程序检测的方法 |
CN201310447159.3A CN103475671B (zh) | 2010-08-18 | 2010-08-18 | 恶意程序检测方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102569733A Division CN101924761B (zh) | 2010-08-18 | 2010-08-18 | 一种依据白名单进行恶意程序检测的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103475671A true CN103475671A (zh) | 2013-12-25 |
CN103475671B CN103475671B (zh) | 2017-12-29 |
Family
ID=49800367
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310447159.3A Active CN103475671B (zh) | 2010-08-18 | 2010-08-18 | 恶意程序检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103475671B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104134143A (zh) * | 2014-07-15 | 2014-11-05 | 北京奇虎科技有限公司 | 移动支付安全的保护方法、装置及云服务器 |
CN104462989A (zh) * | 2014-12-25 | 2015-03-25 | 宇龙计算机通信科技(深圳)有限公司 | 多***间应用程序的安装方法、安装***和终端 |
CN104978179A (zh) * | 2014-04-22 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种应用管理方法及装置 |
CN106803037A (zh) * | 2016-11-28 | 2017-06-06 | 全球能源互联网研究院 | 一种软件安全防护方法及装置 |
CN106934286A (zh) * | 2015-12-31 | 2017-07-07 | 北京金山安全软件有限公司 | 一种安全诊断方法、装置及电子设备 |
CN107729753A (zh) * | 2017-09-22 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种计算机未知病毒的防御方法及*** |
CN109558731A (zh) * | 2017-09-26 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 特征码处理方法、装置及存储介质 |
CN110866253A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1766778A (zh) * | 2004-10-29 | 2006-05-03 | 微软公司 | 用户可修改文件的有效白名单 |
CN101388056A (zh) * | 2008-10-20 | 2009-03-18 | 成都市华为赛门铁克科技有限公司 | 一种预防恶意程序的方法、***及装置 |
US7640589B1 (en) * | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
CN101667232A (zh) * | 2009-07-13 | 2010-03-10 | 北京中软华泰信息技术有限责任公司 | 基于可信计算的终端可信保障***与方法 |
-
2010
- 2010-08-18 CN CN201310447159.3A patent/CN103475671B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1766778A (zh) * | 2004-10-29 | 2006-05-03 | 微软公司 | 用户可修改文件的有效白名单 |
CN101388056A (zh) * | 2008-10-20 | 2009-03-18 | 成都市华为赛门铁克科技有限公司 | 一种预防恶意程序的方法、***及装置 |
US7640589B1 (en) * | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
CN101667232A (zh) * | 2009-07-13 | 2010-03-10 | 北京中软华泰信息技术有限责任公司 | 基于可信计算的终端可信保障***与方法 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104978179A (zh) * | 2014-04-22 | 2015-10-14 | 腾讯科技(深圳)有限公司 | 一种应用管理方法及装置 |
CN104134143A (zh) * | 2014-07-15 | 2014-11-05 | 北京奇虎科技有限公司 | 移动支付安全的保护方法、装置及云服务器 |
CN104462989A (zh) * | 2014-12-25 | 2015-03-25 | 宇龙计算机通信科技(深圳)有限公司 | 多***间应用程序的安装方法、安装***和终端 |
CN106934286A (zh) * | 2015-12-31 | 2017-07-07 | 北京金山安全软件有限公司 | 一种安全诊断方法、装置及电子设备 |
CN106934286B (zh) * | 2015-12-31 | 2020-02-04 | 北京金山安全软件有限公司 | 一种安全诊断方法、装置及电子设备 |
CN106803037A (zh) * | 2016-11-28 | 2017-06-06 | 全球能源互联网研究院 | 一种软件安全防护方法及装置 |
CN107729753A (zh) * | 2017-09-22 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种计算机未知病毒的防御方法及*** |
CN109558731A (zh) * | 2017-09-26 | 2019-04-02 | 腾讯科技(深圳)有限公司 | 特征码处理方法、装置及存储介质 |
CN109558731B (zh) * | 2017-09-26 | 2022-04-08 | 腾讯科技(深圳)有限公司 | 特征码处理方法、装置及存储介质 |
CN110866253A (zh) * | 2018-12-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
CN110866253B (zh) * | 2018-12-28 | 2022-05-27 | 北京安天网络安全技术有限公司 | 一种威胁分析方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN103475671B (zh) | 2017-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101924761B (zh) | 一种依据白名单进行恶意程序检测的方法 | |
CN101924762B (zh) | 一种基于云安全的主动防御方法 | |
Li et al. | Libd: Scalable and precise third-party library detection in android markets | |
CN103607381A (zh) | 白名单生成及恶意程序检测方法、客户端和服务器 | |
Crussell et al. | Andarwin: Scalable detection of semantically similar android applications | |
Crussell et al. | Andarwin: Scalable detection of android application clones based on semantics | |
CN103475671A (zh) | 恶意程序检测方法 | |
CN101923617B (zh) | 一种基于云的样本数据库动态维护方法 | |
Comparetti et al. | Identifying dormant functionality in malware programs | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
CN104573515A (zh) | 一种病毒处理方法、装置和*** | |
Lindorfer et al. | AndRadar: fast discovery of android applications in alternative markets | |
Bayer et al. | Scalable, behavior-based malware clustering. | |
EP2975873A1 (en) | A computer implemented method for classifying mobile applications and computer programs thereof | |
CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及*** | |
US20150207811A1 (en) | Vulnerability vector information analysis | |
KR20160028724A (ko) | 악성코드 특징 정보 기반의 유사 악성코드 검색 장치 및 방법 | |
CN102867038A (zh) | 文件类型的确定方法和装置 | |
EP3531329B1 (en) | Anomaly-based-malicious-behavior detection | |
Huang et al. | Android malware development on public malware scanning platforms: A large-scale data-driven study | |
US11580220B2 (en) | Methods and apparatus for unknown sample classification using agglomerative clustering | |
KR102120200B1 (ko) | 악성 코드 수집 방법 및 시스템 | |
Paturi et al. | Mobile malware visual analytics and similarities of attack toolkits (malware gene analysis) | |
CN105791250A (zh) | 应用程序检测方法及装置 | |
CN103501294A (zh) | 判断程序是否恶意的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220714 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |