CN105022957B - 随选检测恶意程序的方法及其电子装置 - Google Patents

随选检测恶意程序的方法及其电子装置 Download PDF

Info

Publication number
CN105022957B
CN105022957B CN201410192620.XA CN201410192620A CN105022957B CN 105022957 B CN105022957 B CN 105022957B CN 201410192620 A CN201410192620 A CN 201410192620A CN 105022957 B CN105022957 B CN 105022957B
Authority
CN
China
Prior art keywords
risk
time
application program
path
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201410192620.XA
Other languages
English (en)
Other versions
CN105022957A (zh
Inventor
黄珮雯
温翔安
毛敬豪
陈育得
陈培德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute for Information Industry
Original Assignee
Institute for Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute for Information Industry filed Critical Institute for Information Industry
Publication of CN105022957A publication Critical patent/CN105022957A/zh
Application granted granted Critical
Publication of CN105022957B publication Critical patent/CN105022957B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04842Selection of displayed objects or displayed text elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0487Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser
    • G06F3/0488Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种随选检测恶意程序的方法及其电子装置和使用者界面,以评估一应用程序是否具有安全性弱点或恶意行为。随选检测恶意程序的方法包含下列步骤:首先,评估应用程序具有安全性弱点或恶意行为的风险程度及风险检测时间。接着,通过使用者的选择来检测应用程序,以评估应用程序具有安全性弱点或恶意行为的风险程度,并据此产生对应的检测结果。因此,本发明提供的方法、电子装置及使用者界面在未取得变种或新的恶意程序的病毒码之前,仍然可以判断出应用程序具有安全性弱点或恶意行为的风险程度。

Description

随选检测恶意程序的方法及其电子装置
技术领域
本发明提供一种检测恶意程序的方法、电子装置及使用者界面,特别是涉及一种可供使用者随选的检测恶意程序的方法、电子装置、及使用者界面。
背景技术
随着电子科技的快速发展,网络俨然成为现今人们生活中不可或缺的一部份。但是,网络也带来了多种信息安全危害。其中,又以恶意程序攻击使用者的电子装置最为严重。目前主要的恶意程序为间谍软件、木马程序以及寄生病毒。而这些恶意程序可以在使用者毫不知情的情形下安装于电子装置中,且恶意程序在执行任务时电子装置也根本无从查觉。
传统的防毒***是由已知的恶意程序中取出对应的病毒码,并存于其数据库中。当防毒***接收到一应用程序时,防毒***将检测应用程序是否有已知的病毒码。而防毒***亦将在检测到已知的病毒码后隔离恶意程序或者删除恶意程序。然而,恶意程序往往以极快的速度演变成变种的恶意程序或产生新的恶意程序,使得传统的防毒***没有能力检测到变种的恶意程序或新的恶意程序。
因此,当上述变种或新的恶意程序出现时,在传统的防毒***取得上述变种或新的恶意程序的病毒码之前,上述变种或新的恶意程序将会伤害客户端的电子装置。
发明内容
本发明实施例提供一种随选检测恶意程序的方法,上述随选检测恶意程序的方法为用来评估应用程序是否具有安全性弱点或恶意行为。随选检测恶意程序的方法的步骤如下:接收应用程序;反译应用程序,以产生与应用程序相关的编译码;根据编译码及一关联分析建立多个编译路径,其中多个编译路径分别对应到应用程序的多个指令路径;预测每一编译路径具有安全性弱点或恶意行为的风险程度及风险检测时间,并据此将多个编译路径分类为多个风险测试项目;接收测试命令,以选择至少一风险测试项目及可检测时间;根据风险测试项目及可检测时间的选择,选取对应的多个编译路径,以执行多个编译路径对应到的多个指令路径,并据此产生应用程序是否具有安全性弱点或恶意行为的测试结果。
本发明实施例提供一种随选检测恶意程序的电子装置,上述随选检测恶意程序的电子装置用来评估应用程序是否具有安全性弱点或恶意行为。随选检测恶意程序的电子装置包含显示单元、储存单元、及运算处理单元。显示单元用以显示一检测界面。储存单元用以储存应用程序。运算处理单元则用以执行下列的步骤。通过操控检测界面接收应用程序。反译应用程序,以产生与应用程序相关的编译码。根据编译码及一关联分析建立多个编译路径,其中多个编译路径分别对应到应用程序的多个指令路径。预测每一编译路径具有安全性弱点或恶意行为的风险程度及风险检测时间,并据此将多个编译路径分类为多个风险测试项目。通过操控检测界面接收一测试命令,以选择至少一风险测试项目及可检测时间。根据风险测试项目及可检测时间的选择,选取对应的多个编译路径,以执行多个编译路径对应到的多个指令路径,并据此产生应用程序是否具有安全性弱点或恶意行为的测试结果。
本发明实施例提供一种位于电子装置上的使用者界面。电子装置具有显示使用者界面的触控显示单元、储存单元、及运算处理单元,该运算处理单元用以执行储存于存储单元中的欲检测的应用程序,以评估应用程序是否具有安全性弱点或恶意行为。使用者界面包含一检测界面。检测界面显示多个待检测应用程序,以提供使用者选择欲检测的应用程序。当使用者选择欲检测的应用程序,检测界面显示应用程序对应的风险测试项目及可检测时间,以提供使用者选择评估应用程序是否具有安全性弱点或恶意行为的风险测试项目及可检测时间。当使用者选择应用程序的风险测试项目及可检测时间后,检测界面显示应用程序是否具有安全性弱点或恶意行为的测试结果。
此外,本发明实施例还提供一种电脑可读取记录媒体记录一组电脑可执行程序,当电脑可读取记录媒体被处理器读取时,处理器可执行上述随选检测恶意程序的方法中的步骤。
综合以上所述,本发明实施例所提供的随选检测恶意程序的方法、电子装置、及使用者界面为根据应用程序所执行的指令路径具有安全性弱点或恶意行为的风险程度,来评估应用程序是否具有安全性弱点或恶意行为。据此,本发明实施例所提供的方法、电子装置、及使用者界面不需根据恶意程序的病毒码来评估应用程序是否具有安全性弱点或恶意行为。故在取得变种或新的恶意程序的病毒码的前,本发明实施例所提供的方法、电子装置、及使用者界面仍然可以判断出接收到的应用程序具有安全性弱点或恶意行为的风险程度。
为使能更进一步了解本发明的特征及技术内容,请参阅以下有关本发明的详细说明与附图,但是此等说明与所附图式仅是用来说明本发明,而非对本发明的权利要求范围作任何的限制。
附图说明
图1是本发明一实施例的随选检测恶意程序的电子装置的示意图。
图2是本发明一实施例的随选检测恶意程序的方法的流程图。
图3是本发明另一实施例的随选检测恶意程序的方法的流程图。
图4是本发明另一实施例的编译路径的示意图。
图5A~5C是本发明另一实施例的检测界面通过使用者的操作而产生评估应用程序是否具有安全性弱点或恶意行为的测试结果的示意图。
【符号说明】
100:电子装置
110:显示单元
120:运算处理单元
130:储存单元
160:检测界面
165:图块
170:图块
175:图块
APP:应用程序
S210、S220、S230、S240、S250、S260:步骤
S310、S320、S330、S340、S350、S360:步骤
PATH1、PATH2、PATH3、PATH4、PATH5、PATH6:编译路径
具体实施方式
本发明实施例所提供的随选检测恶意程序的方法、电子装置、及使用者界面为先行预测接收到的应用程序具有安全性弱点或恶意行为的风险程度及风险检测时间,接着再通过一使用者的选择以检测应用程序,以评估所选择的应用程序是否具有安全性弱点或恶意行为并据此产生对应的测试报告。因此,本发明实施例所提供的方法、电子装置、及使用者界面不需要根据恶意程序的病毒码来评估应用程序是否具有安全性弱点或恶意行为。相较于已知的防毒***,本发明实施例所提供的方法、电子装置、及使用者界面在取得变种或新的恶意程序的病毒码的前,仍然可以判断出接收到的应用程序具有安全性弱点或恶意行为的风险程度。以下将进一步介绍本发明的实施例所提供的随选检测恶意程序的方法、电子装置、及使用者界面。
首先,请参考图1,图1是本发明一实施例的随选检测恶意程序的电子装置的示意图。如图1所示,随选检测恶意程序的电子装置100是用来评估电子装置100所接收到的应用程序APP是否具有安全性弱点或恶意行为,以避免电子装置100内的重要数据遭恶意程序破坏或窃取。在本实施例中,电子装置100可为智能型手机、桌上型电脑、笔记本电脑、或是其他可接收及执行应用程序APP的电子装置。
电子装置100包含显示单元110、运算处理单元120、及储存单元130。显示单元110用来显示一检测界面(如图5A所示的检测界面160),以进一步提供使用者操控检测界面。显示单元110可为具有触控输入功能或不具有触控输入功能的液晶屏幕,本发明并不对此作限制。
储存单元130用来储存欲检测的应用程序APP。也即当电子装置100 接收到欲检测的应用程序APP(如使用者通过检测界面选择欲检测的所述应用程序)后,电子装置100遂将此应用程序APP储存到储存单元130。而有关电子装置100储存应用程序APP至储存单元130的方式为已知的储存方式,所属技术领域的普通技术人员应知电子装置100储存应用程序APP至储存单元130的方式,故在此不再赘述。在本实施例中,储存单元 130可为快闪存储器芯片、只读存储器芯片或随机存取存储器芯片等挥发性或非挥发性存储芯片,且储存单元130优选为非挥发性存储芯片。
运算处理单元120为电子装置100的主要运算中心,用以执行各项分析、运算及控制。在本实施例中,运算处理单元120可为中央处理器、微控制器或嵌入式控制器等处理芯片。运算处理单元120电连接显示单元 110及储存单元130并执行下列步骤,以评估储存在储存单元130的应用程序APP是否具有安全性弱点或恶意行为。
请同时参考图2,首先,运算处理单元120接收储存在储存单元130 的应用程序APP(步骤S210)。接下来,运算处理单元120将反译应用程序APP,以产生与应用程序APP相关的编译码。在本实施例中,编译码为位元组码(byte-code)、smali码、或其他与应用程序APP相关的编译码,本发明并不对此作限制(步骤S220)。
值得注意的是,此时编译码为分布式的编译码,也即编译码中的各项功能件彼此之间并无关联。因此,运算处理单元120遂利用一关联分析 (Association Analysis)以找出编译码中的各项功能元件彼此之间的关联,并据此建立多个编译路径。而所属技术领域的普通技术人员应知关联分析的实施与运用方式,故不再赘述。此时,多个编译路径为分别对应到应用程序APP中的多个指令路径,而应用程序APP中的多个指令路径表示应用程序APP会执行的路径。故由上述可知,运算处理单元120将可通过反译应用程序APP及关联分析产生多个编译路径,以预测应用程序APP 会执行的路径(步骤S230)。
接下来,运算处理单元120将进一步预测每一编译路径具有安全性弱点或恶意行为的风险程度及风险检测时间,以据此将多个编译路径分类为多个风险测试项目(步骤S240)。在本实施例中,每一编译路径的风险程度及风险检测时间可根据开放网络应用安全计划(Open Web Application Security Project,OWASP)及电脑安全风险管理(NISTsecurity guideline) 其中之一或其组合作预测,也可通过使用者自行定义的方式来制作,本发明并不对此作限制。举例来说,如表1所示,编译路径PT1~PT6共有六条。其中,编译路径PT1、PT3、及PT5被运算处理单元120预测为高风险程度且风险检测时间分别为20分、5分、及10分。编译路径PT2、PT4、及PT6被运算处理单元120预测为低风险程度且风险检测时间分别为10 分、15分、及5分。此时,运算处理单元120遂将编译路径PT1~PT6分类为2个风险测试项目,即“高”风险测试项目及“低”风险测试项目。而风险测试项目也可依据编译路径PT1~PT6实际的情况来定义风险测试项目。举例来说,风险测试项目分类为“安全性弱点”风险测试项目(如网络风险、个资风险等)及“恶意行为”风险测试项目(如绑架***、传送病毒等),本发明并不对此作限制。
<表1>
编译路径 PT1 PT2 PT3 PT4 PT5 PT6
风险程度(高/低)
风险检测时间(分) 20 10 5 15 10 5
接下来,运算处理单元120接收一测试命令,以据此选择至少一风险测试项目及可检测时间(步骤S250)。在本实施例中,测试命令是通过操控显示单元110的检测界面所产生,也即使用者以触控方式操控显示单元 110的检测界面,使得检测界面产生测试命令至运算处理单元120。而测试命令也可通过其他操控装置所产生,如电连接在运算处理单元120上的键盘,本发明对此不作限制。再来,运算处理单元120将根据风险测试项目及可检测时间的选择,选取对应的多个编译路径。而运算处理单元120 将进一步执行多个编译路径对应到应用程序APP的多个指令路径。且运算处理单元120在执行可检测时间后,产生应用程式APP是否具有安全性弱点或恶意行为的测试结果,以进一步告知使用者上述应用程序属于恶意程序的机率(步骤S260)。
承接上述例子,当运算处理单元120接收到的测试命令为选择“高”风险测试项目以及可检测时间为25分时,运算处理单元120将进一步执行编译路径PT1、PT3、及PT5对应到应用程序APP的多个指令路径。由于运算处理单元120预测编译路径PT1、PT3、及PT5的风险检测时间最高为20分,即运算处理单元120执行“高”风险测试项目,以完整评估应用程序APP是否具有安全性弱点或恶意行为需20分。因此,运算处理单元120将在执行20分钟后,产生应用程序APP是否具有安全性弱点或恶意行为的测试结果,而不会执行到25分钟才产生应用程序APP是否具有安全性弱点或恶意行为的测试结果。而测试结果将显示在显示单元110 的检测界面中。此时,使用者遂可根据测试结果对应用程序APP作进一步的处理。如删除应用程序APP或开启应用程序APP。
又例如,当运算处理单元120接收到的测试命令为选择“低”风险测试项目以及可检测时间为10分时,运算处理单元120将进一步执行编译路径PT2、PT4、及PT6对应到应用程序APP的多个指令路径。由于运算处理单元120预测编译路径PT2、PT4、及PT6的风险检测时间最高为15 分,即运算处理单元120执行“低”风险测试项目,以完整评估应用程序 APP是否具有安全性弱点或恶意行为需15分。然而,可检测时间仅为10 分钟。因此,运算处理单元120将在执行10分后,根据执行完成的指令路径(即对应到编译路径PT2及PT6的指令路径)及未执行完成的指令路径(即对应到编译路径PT4的指令路径)的状况产生应用程序APP是否具有安全性弱点或恶意行为的测试结果。运算处理单元120将不会执行到15分钟才产生应用程序APP是否具有安全性弱点或恶意行为的测试结果。而测试结果将显示在显示单元110的检测界面中。此时,使用者遂可根据测试结果对应用程序APP作进一步的处理。如删除应用程序APP或开启应用程序APP。
接下来,请同时参考图3,图3是本发明另一实施例的随选检测恶意程序的方法的流程图。首先,运算处理单元120接收储存在储存单元130 的应用程序APP(步骤S310)。接下来,运算处理单元120将反译应用程序APP,以产生与应用程序APP相关的编译码(步骤S320)。再来运算处理单元120将利用关联分析以找出编译码中的各项功能件彼此之间的关联,并据此建立多个编译路径。此时,多个编译路径分别对应到应用程序 APP中的多个指令路径,而应用程序APP中的多个指令路径代表应用程序APP会执行的路径。有关图3的步骤S310~S330与图2的步骤S210~230 类似,故在此不再赘述。
不同的地方在于,本实施例的每一编译路径具有至少一元件指令及至少一程序代码指令其中之一或其组合,且同一编译路径上的所有指令(即,至少一元件指令及至少一程序码指令其中之一或其组合)具有关联性。举例来说,如图4所示,编译路径PATH1~PATH6上分别具有多个元件指令及多个程序码指令其中之一或其组合。也即编译路径PATH1具有彼此相关的元件指令2~3与程序码指令4;编译路径PATH2具有彼此相关的元件指令2~3及5;编译路径PATH3具有彼此相关的元件指令2与程序码指令 3~4;编译路径PATH4具有彼此相关的元件指令2及5与程序码指令3及 5;编译路径PATH5具有彼此相关的元件指令2与程序码指令1~2;以及编译路径PATH6具有彼此相关的元件指令5与程序码指令1~2及5。
接下来,运算处理单元120将根据元件风险数据及程序码风险数据进一步预测每一编译路径具有安全性弱点或恶意行为的风险程度及风险检测时间,以据此将多个编译路径分类为多个风险测试项目(步骤S340)。在本实施例中,元件风险数据及程序码风险数据储存在储存单元130之中,以据此提供运算处理单元120预测每一编译路径具有安全性弱点或恶意行为的风险程度及风险检测时间。在此,元件风险数据根据开放网络应用安全计划(Open Web Application Security Project,OWASP)及电脑安全风险管理(NIST securityguideline)其中之一或其组合来制作。同样地,程序码风险数据也为根据开放网络应用安全计划及电脑安全风险管理其中之一或其组合来制作。在本实施例中,元件风险数据包含每一元件指令的行为描述、预测风险值、及预测执行时间,以据此编辑元件指令的元件风险值及元件执行时间。程序码风险数据包含每一程序码指令的行为描述、预测风险值、及预测执行时间,以据此编辑程序码指令的程序码风险值及程序码执行时间。当然,元件风险数据及程序码风险数据也可通过使用者自行定义的方式来制作,本发明并不对此作限制。
承接上述例子,请同时参考图4及表2A~2B。如表2A所示,元件风险数据具有元件指令1~5。元件指令1~5分别对应到元件风险值及元件执行时间,且元件风险值越高代表对应的元件指令具有安全性弱点或恶意行为的风险程度越大。
<表2A>
元件指令 元件风险值 元件执行时间(分)
元件指令1 1 1
元件指令2 2 2
元件指令3 3 3
元件指令4 4 4
元件指令5 5 5
如表2B所示,程序码风险数据具有程序码指令1~5及程序码执行时间。程序码指令1~5分别对应到程序码风险值及程序码执行时间,且程序码风险值越高代表对应的程序码指令具有安全性弱点或恶意行为的风险程度越大。
<表2B>
程序代码指令 程序代码风险值 程序代码执行时间(分)
程序代码指令1 1 1
程序代码指令2 2 2
程序代码指令3 3 3
程序代码指令4 4 4
程序代码指令5 5 5
因此,若在编译路径中出现元件指令1,运算处理单元120将记录元件指令1的元件风险值为1及其元件执行时间为1分。同样地,若在编译路径中出现程序码指令5,运算处理单元120将记录程序码指令5的程序码风险值为5及其程序码执行时间为5分。而运算处理单元120亦依照同样的方式来判断元件指令2~5及程序码指令1~4,以记录对应的元件风险值、元件执行时间、程序码风险值、及程序码执行时间。
为了方便说明,以下运算处理单元120将利用图4的编译路径 PATH1~PATH6来记录元件指令及程序码指令的元件风险值、元件执行时间、程序码风险值、及程序码执行时间,以据此预测编译路径 PATH1~PATH6具有安全性弱点或恶意行为的风险程度及所需的风险检测时间。在此,元件风险值与程序码风险值统称为风险值,且元件执行时间与程序码执行时间统称为运行时间。
如图4所示,于编译路径PATH1中,运算处理单元120分别记录风险值为2、3、及4,且其运行时间为2分、3分、及4分。于编译路径PATH2 中,运算处理单元120分别记录风险值为2、3、及5,且其执行时间为2 分、3分、及5分。于编译路径PATH3中,运算处理单元120分别记录风险值为2、5、及1,且其执行时间为2分、5分、及1分。于编译路径PATH4 中,运算处理单元120分别记录风险值为2、5、5、及5,且其执行时间为2分、5分、5分、及5分。于编译路径PATH5中,运算处理单元120 分别记录风险值为1、2、及2,且其执行时间为1分、2分、及2分。于编译路径PATH6中,运算处理单元120分别记录风险值为1、2、5、及5,且其执行时间为1分、2分、5分、及5分。
接下来,运算处理单元120将计算每一编译路径PATH1~PATH6的平均风险值及平均执行时间,如下表3所示。
<表3>
编译路径 平均风险值 平均执行时间(分)
编译路径PATH1 (2+3+4)/3=3 (2+3+4)=9
编译路径PATH2 (2+3+5)/3=3.3 (2+3+5)=10
编译路径PATH3 (2+5+1)/3=2.7 (2+5+1)=8
编译路径PATH4 (2+5+5+5)/4=4.3 (2+5+5+5)=17
编译路径PATH5 (1+2+2)/3=1.67 (1+2+2)=5
编译路径PATH6 (1+2+5+5)/4=3.3 (1+2+5+5)=13
再来,运算处理单元120将根据每一编译路径PATH1~PATH6的平均风险值及平均执行时间来预测编译路径PATH1~PATH6具有安全性弱点或恶意行为的风险程度及风险检测时间。附带一提的是,运算处理单元120 也可根据其他计算方式(如元件风险值及程序码风险值为以加权平均计算)来预测编译路径PATH1~PATH6具有安全性弱点或恶意行为的风险程度及风险检测时间,本发明对此不作限制。
在本实施例中,若平均风险值大于3,运算处理单元120将预测对应的编译路径为高风险程度。而若平均风险值小于等于3,运算处理单元120 将预测对应的编译路径为低风险程度。风险程度是根据开放网络应用安全计划及电脑安全风险管理其中之一或其组合来制作。当然,元件风险数据及程序码风险数据也可通过使用者自行定义的方式来制作,本发明并不对此作限制。
故如表3所示,编译路径PATH1、PATH3、及PATH5将被运算处理单元120预测为低风险程度,且风险检测时间分别为9分、8分、及5分。编译路径PATH2、PATH4、及PATH6将被运算处理单元120预测为高风险程度,且风险检测时间分别为10分、17分、及13分。此时,运算处理单元120遂将编译路径PATH1~PATH6分类为2个风险测试项目,即“高”风险测试项目及“低”风险测试项目。而风险测试项目也可依据编译路径 PATH1~PATH5实际的情况来定义风险测试项目。举例来说,风险测试项目分类为“安全性弱点”风险测试项目(如网络风险、个资风险等)及“恶意行为”风险测试项目(如绑架***、传送病毒等),本发明并不对此作限制。
接下来,运算处理单元120接收一测试命令,以据此选择至少一风险测试项目及可检测时间(步骤S350)。在本实施例中,测试命令是通过操控显示单元110的检测界面所产生,也即使用者以触控方式操控显示单元 110的检测界面,使得检测界面产生测试命令至运算处理单元120。而测试命令也可通过其他操控装置所产生,如电连接在运算处理单元120上的键盘,本发明对此不作限制。再来,运算处理单元120将根据风险测试项目及可检测时间的选择,选取对应的多个编译路径。而运算处理单元120 将进一步执行多个编译路径对应到应用程序APP的多个指令路径。且运算处理单元120在执行可检测时间后,产生应用程序APP是否具有安全性弱点或恶意行为的测试结果,以进一步告知使用者上述应用程序属于恶意程序的机率(步骤S360)。
承接上述例子,当运算处理单元120接收到的测试命令为选择“低”风险测试项目以及可检测时间为15分时,运算处理单元120将进一步执行编译路径PT1、PT3、及PT5对应到应用程序APP的多个指令路径。由于运算处理单元120预测编译路径PT1、PT3、及PT5的风险检测时间最高为9分,即运算处理单元120执行“低”风险测试项目,以完整评估应用程序APP是否具有安全性弱点或恶意行为需9分。因此,运算处理单元120将在执行9分后,产生应用程序APP是否具有安全性弱点或恶意行为的测试结果,而不会执行到15分才产生应用程序APP是否具有安全性弱点或恶意行为的测试结果。此时,测试结果将显示在显示单元110的检测界面中。使用者将可根据测试结果对应用程序APP作进一步的处理。如删除应用程序APP或开启应用程序APP。
又例如,当运算处理单元120接收到的测试命令为选择“高”风险测试项目以及可检测时间为15分时,运算处理单元120将进一步执行编译路径PT2、PT4、及PT6对应到应用程序APP的多个指令路径。由于运算处理单元120预测编译路径PT2、PT4、及PT6的风险检测时间最高为17 分,即运算处理单元120执行“高”风险测试项目,以完整评估应用程序 APP是否具有安全性弱点或恶意行为需17分。然而,可检测时间仅为15 分。因此,运算处理单元120将在执行15分后,根据执行完成的指令路径(即对应到编译路径PT2及PT6的指令路径)及未执行完成的指令路径(即对应到编译路径PT4的指令路径)的状况产生应用程序APP是否具有安全性弱点或恶意行为的测试结果。运算处理单元120将不会执行到15分才产生应用程序APP是否具有安全性弱点或恶意行为的测试结果。此时,测试结果将显示在显示单元110的检测界面中。使用者将可根据测试结果对应用程序APP作进一步的处理。如删除应用程序APP或开启应用程序APP。
由上述可知,本发明实施例所提供的随选检测恶意程序的方法、电子装置、及使用者界面为先行预测接收到的应用程序APP具有安全性弱点或恶意行为的风险程度及风险检测时间,接着再通过使用者的选择来检测应用程序APP,以评估应用程序APP具有安全性弱点或恶意行为的风险程度,并据此产生对应的测试报告。因此,本发明实施例所提供的方法、电子装置、及使用者界面未在取得变种或新的恶意程序的病毒码之前,仍然可以判断出接收到的应用程序具有安全性弱点或恶意行为的风险程度。
以下将进一步介绍使用者操作电子装置100上的使用者界面,以检测所选择的应用程序是否具有安全性弱点或恶意行为。使用者界面位于显示单元110上,且使用者界面具有检测界面160。而电子装置100将于检测界面160显示所选择的应用程序是否具有安全性弱点或恶意行为的测试结果。为了方便说明,本实施例的显示单元110为具有触控输入功能的触控显示单元,以进一步提供使用者操控检测界面160。
如图5A所示,当电子装置100接收到应用程序A~C时,显示单元 110的检测界面160将显示应用程序A~C的选项(如图块165),以供使用者选择欲检测的应用程序。而显示单元110将在检测到一检测选择后告知电子装置100的运算处理单元120使用者欲检测的应用程序。在本实施例中,使用者选择应用程序A,表示使用者欲检测应用程序A是否具有安全性弱点或恶意行为。
接着,运算处理单元120将先行预测接收到的应用程序A是否具有安全性弱点或恶意行为的风险程度及风险检测时间。也即当运算处理单元 120接收到欲检测的应用程序A后,运算处理单元120反译应用程序A并根据关联分析产生多个编译路径,以预测应用程序A会执行的路径。最后,运算处理单元120再预测应用程序A的每一编译路径具有安全性弱点或恶意行为的风险程度及风险检测时间。而有关运算处理单元120预测应用程序A是否具有安全性弱点或恶意行为的风险程度及风险检测时间的详细方法流程已描述于图2的步骤S210~S240或图3的步骤S310~S340,故在此不再赘述。在本实施例中,风险测试项目将分类为“安全性弱点”风险测试项目(即代表网络风险、个资风险等安全性弱点)以及“恶意行为”风险测试项目(即代表绑架***、传送病毒等恶意行为)。
接下来,如图5B所示,检测界面160将显示风险测试项目(即安全性弱点以及恶意行为)及可检测时间(如图块170),以供使用者选择欲检测应用程序A的可检测时间及检测项目。而显示单元110将在检测到一需求选择后告知电子装置100的运算处理单元120使用者欲检测应用程序A 的可检测时间及检测项目。在本实施例中,使用者选择可检测时间为“无限制”及选择风险测试项目为“恶意行为”。表示运算处理单元120将无时间限制的执行“恶意行为”风险测试项目,以完整评估应用程序APP 是否具有安全性弱点或恶意行为。
接下来,如图5C所示,运算处理单元120将在完整评估应用程序 APP是否具有安全性弱点或恶意行为后,产生应用程序APP是否具有安全性弱点或恶意行为的测试结果(如图块175),并显示测试结果于电子装置100的检测界面160。在本实施例中,检测界面160将显示应用程序A 为具有安全性弱点或恶意行为的可能性为“高”。此时,使用者将可根据测试结果对应用程序A作进一步的处理。如删除应用程序A或忽略并开启应用程序A。
另外,本发明还可利用一种电脑可读取记录媒体,储存前述随选检测恶意程序的方法的电脑程序以执行前述的步骤。此电脑可读取媒体可以是软盘、硬盘、光盘、随身碟、磁带、可由网络存取的数据库或熟知此项技术者可轻易思及具有相同功能的储存媒体。
综上所述,本发明实施例所提供的随选检测恶意程序的方法、电子装置、及使用者界面为先行预测接收到的应用程序具有安全性弱点或恶意行为的风险程度及风险检测时间,接着再通过使用者的选择来检测应用程序,以评估应用程序具有安全性弱点或恶意行为的风险程度,并据此产生对应的测试报告。因此,本发明实施例所提供的方法、电子装置、及使用者界面在未取得变种或新的恶意程序的病毒码之前,仍然可以判断出接收到的应用程序具有安全性弱点或恶意行为的风险程度。
以上所述仅为本发明的实施例,其并非用以局限本发明的专利范围。

Claims (18)

1.一种随选检测恶意程序的方法,用以评估一应用程序是否具有安全性弱点或恶意行为,其特征在于,所述随选检测恶意程序的方法包含:
接收所述应用程序;
反译所述应用程序,以产生与所述应用程序相关的一编译码;
根据所述编译码及一关联分析,建立多个编译路径,其中所述编译路径分别对应到所述应用程序的多个指令路径;
预测每一所述编译路径具有安全性弱点或恶意行为的一风险程度及一风险检测时间,并据此将所述编译路径分类成多个风险测试项目;
接收一测试命令,以选择至少一所述风险测试项目及一可检测时间;以及
根据所述风险测试项目及所述可检测时间的选择,选取对应的所述编译路径,以执行所述编译路径对应到的所述指令路径,并据此产生所述应用程序是否具有安全性弱点或恶意行为的一测试结果;
其中,每一所述编译路径具有至少一元件指令及至少一程序码指令的其中之一或其组合,且于预测每一所述编译路径具有安全性弱点或恶意行为的所述风险程度及所述风险检测时间时,利用一元件风险数据及一程序码风险数据作预测,以对应产生每一所述编译路径的所述元件指令的一元件风险值与一元件执行时间及所述程序码指令的一程序码风险值与一程序码执行时间,并据此预测每一所述编译路径具有安全性弱点或恶意行为的所述风险程度及所述风险检测时间。
2.根据权利要求1所述的随选检测恶意程序的方法,其特征在于,所述元件风险数据包含每一所述元件指令的一行为描述、一预测风险值及一预测执行时间,以据此编辑所述元件指令的所述元件风险值及所述元件执行时间。
3.根据权利要求1所述的随选检测恶意程序的方法,其特征在于,所述程序码风险数据包含每一所述程序码指令的一行为描述、一预测风险值及一预测执行时间,以据此编辑所述程序码指令的所述程序码风险值及所述程序码执行时间。
4.根据权利要求1所述的随选检测恶意程序的方法,其特征在于,于选择至少一所述风险测试项目及所述可检测时间时,若所述可检测时间少于所述风险检测时间,则对所述编译路径对应到的所述指令路径执行所述可检测时间,并据此产生评估所述应用程序是否具有安全性弱点或恶意行为的所述测试结果。
5.根据权利要求1所述的随选检测恶意程序的方法,其特征在于,于接收所述应用程序前,还包含步骤:
根据至少一待检测应用程序建立一检测界面,以供一使用者选择欲检测的所述应用程序。
6.根据权利要求1所述的随选检测恶意程序的方法,其特征在于,在将所述编译路径分类成多个风险测试项目后,还包含步骤:
根据所述风险测试项目建立一检测界面,以供一使用者选择欲执行的风险测试项目及所述可检测时间,并据此产生所述测试命令。
7.根据权利要求1所述的随选检测恶意程序的方法,其特征在于,在产生所述测试结果后,还包含步骤:
根据所述测试结果建立一检测界面,以显示所述测试结果。
8.根据权利要求1所述的随选检测恶意程序的方法,其特征在于,在根据所述风险程度及所述风险检测时间将所述编译路径分类成多个风险测试项目时,所述风险程度根据一开放网络应用安全计划及一电脑安全风险管理的其中之一或其组合制成。
9.一种随选检测恶意程序的电子装置,用以评估一应用程序是否具有安全性弱点或恶意行为,其特征在于,所述电子装置包含:
一显示单元,用以显示一检测界面;
一储存单元,用以储存所述应用程序;以及
一运算处理单元,用以执行下列步骤:
通过操控所述检测界面接收所述应用程序;
反译所述应用程序,以产生与所述应用程序相关的一编译码;
根据所述编译码及一关联分析,建立多个编译路径,其中所述编译路径分别对应到所述应用程序的多个指令路径;
预测每一所述编译路径具有安全性弱点或恶意行为的一风险程度及一风险检测时间,并据此将所述编译路径分类成多个风险测试项目;
通过操控所述检测界面接收一测试命令,以选择至少一所述风险测试项目及一可检测时间;以及
根据所述风险测试项目及所述可检测时间的选择,选取对应的所述编译路径,以执行所述编译路径对应到的所述指令路径,并据此产生所述应用程序是否具有安全性弱点或恶意行为的一测试结果;
其中,每一所述编译路径具有至少一元件指令及至少一程序码指令的其中之一或其组合,且所述运算处理单元在预测每一所述编译路径具有安全性弱点或恶意行为的所述风险程度及所述风险检测时间时,所述运算处理单元利用一元件风险数据及一程序码风险数据作预测,以对应产生每一所述编译路径的所述元件指令的一元件风险值与一元件执行时间以及所述程序码指令的一程序码风险值与一程序码执行时间,并据此预测每一所述编译路径具有安全性弱点或恶意行为的所述风险程度及所述风险检测时间。
10.根据权利要求9所述的随选检测恶意程序的电子装置,其特征在于,所述储存单元储存有所述元件风险数据及所述程序码风险数据。
11.根据权利要求9所述的随选检测恶意程序的电子装置,其特征在于,所述元件风险数据包含每一所述元件指令的一行为描述、一预测风险值及一预测执行时间,以据此编辑所述元件指令的所述元件风险值及所述元件执行时间。
12.根据权利要求9所述的随选检测恶意程序的电子装置,其特征在于,所述程序码风险数据包含每一所述程序码指令的一行为描述、一预测风险值及一预测执行时间,以据此编辑所述程序码指令的所述程序码风险值及所述程序码执行时间。
13.根据权利要求9所述的随选检测恶意程序的电子装置,其特征在于,若所述可检测时间少于所述风险检测时间,所述运算处理单元对所述编译路径对应到的所述指令路径执行所述可检测时间,并据此产生评估所述应用程序是否具有安全性弱点或恶意行为的所述测试结果。
14.根据权利要求9所述的随选检测恶意程序的电子装置,其特征在于,所述风险程度根据一开放网络应用安全计划及一电脑安全风险管理的其中之一或其组合制作。
15.根据权利要求9所述的随选检测恶意程序的电子装置,其特征在于,所述检测界面显示至少一待检测应用程序,并提供一检测选择,使得所述运算处理单元根据所述检测选择接收所述应用程序。
16.根据权利要求9所述的随选检测恶意程序的电子装置,其特征在于,所述检测界面显示所述应用程序的至少一所述风险测试项目及所述可检测时间,并提供一需求选择,使得所述运算处理单元根据所述需求选择接收所述测试命令。
17.根据权利要求9所述的随选检测恶意程序的电子装置,其特征在于,所述检测界面显示所述测试结果。
18.一种具有一使用者界面的电子装置,所述电子装置具有显示所述使用者界面的一触控显示单元、一储存单元及一运算处理单元,所述运算处理单元执行储存于所述储存单元中的欲检测的一应用程序,以评估所述应用程序是否具有安全性弱点或恶意行为,其特征在于,所述电子装置的所述使用者界面包含:
一检测界面,显示多个待检测应用程序,以提供一使用者选择欲检测的所述应用程序;
其中,当所述使用者选择欲检测的所述应用程序时,所述检测界面显示所述应用程序对应的至少一风险测试项目及一可检测时间,以提供所述使用者选择评估所述应用程序是否具有安全性弱点或恶意行为的所述风险测试项目及所述可检测时间;以及
其中,当所述使用者选择所述应用程序的所述风险测试项目及所述可检测时间时,所述检测界面显示所述应用程序是否具有安全性弱点或恶意行为的一测试结果;
其中,所述运算处理单元执行下列步骤:
根据所述应用程序的一编译码与一关联分析建立多个编译路径,其中所述编译路径分别对应到所述应用程序的多个指令路径;
预测每一所述编译路径具有安全性弱点或恶意行为的一风险程度及一风险检测时间,并据此将所述编译路径分类成多个风险测试项目;以及
根据所述风险测试项目及所述可检测时间的选择,选取对应的所述编译路径,以执行所述编译路径对应到的所述指令路径,并据此于所述检测界面产生所述应用程序是否具有安全性弱点或恶意行为的测试结果;
其中,每一所述编译路径具有至少一元件指令及至少一程序码指令的其中之一或其组合,且所述运算处理单元在预测每一所述编译路径具有安全性弱点或恶意行为的所述风险程度及所述风险检测时间时,所述运算处理单元利用一元件风险数据及一程序码风险数据作预测,以对应产生每一所述编译路径的所述元件指令的一元件风险值与一元件执行时间以及所述程序码指令的一程序码风险值与一程序码执行时间,并据此预测每一所述编译路径具有安全性弱点或恶意行为的所述风险程度及所述风险检测时间。
CN201410192620.XA 2014-04-30 2014-05-08 随选检测恶意程序的方法及其电子装置 Expired - Fee Related CN105022957B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW103115530 2014-04-30
TW103115530A TWI528216B (zh) 2014-04-30 2014-04-30 隨選檢測惡意程式之方法、電子裝置、及使用者介面

Publications (2)

Publication Number Publication Date
CN105022957A CN105022957A (zh) 2015-11-04
CN105022957B true CN105022957B (zh) 2018-04-13

Family

ID=54356080

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410192620.XA Expired - Fee Related CN105022957B (zh) 2014-04-30 2014-05-08 随选检测恶意程序的方法及其电子装置

Country Status (3)

Country Link
US (1) US9313222B2 (zh)
CN (1) CN105022957B (zh)
TW (1) TWI528216B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9824214B2 (en) * 2014-08-15 2017-11-21 Securisea, Inc. High performance software vulnerabilities detection system and methods
US10599852B2 (en) 2014-08-15 2020-03-24 Securisea, Inc. High performance software vulnerabilities detection system and methods
US9454659B1 (en) * 2014-08-15 2016-09-27 Securisea, Inc. Software vulnerabilities detection system and methods
US9967278B2 (en) 2014-10-21 2018-05-08 Proofpoint, Inc. Systems and methods for application security analysis
RU2017118317A (ru) * 2014-10-27 2018-11-29 Онапсис, Инк. Система и способ автоматического расчета кибер-риска в бизнес-критических приложениях
EP4155984A1 (en) 2014-10-31 2023-03-29 Proofpoint, Inc. Systems and methods for privately performing application security analysis
US9646159B2 (en) * 2015-03-31 2017-05-09 Juniper Networks, Inc. Multi-file malware analysis
US10320823B2 (en) * 2015-05-13 2019-06-11 Cisco Technology, Inc. Discovering yet unknown malicious entities using relational data
TWI791418B (zh) * 2015-12-08 2023-02-11 美商飛塔公司 用以檢測運作時期所產生碼中之惡意碼的系統及方法、與相關電腦程式產品
JP6340358B2 (ja) * 2015-12-25 2018-06-06 株式会社日立ソリューションズ 情報漏洩防止システム及び方法
CN106997367B (zh) * 2016-01-26 2020-05-08 华为技术有限公司 程序文件的分类方法、分类装置和分类***
US10423789B2 (en) 2016-04-03 2019-09-24 Palo Alto Networks, Inc. Identification of suspicious system processes
CN109446809B (zh) * 2018-10-31 2020-11-10 北斗智谷(北京)安全技术有限公司 一种恶意程序的识别方法及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102542186A (zh) * 2010-12-15 2012-07-04 财团法人资讯工业策进会 恶意程序检测装置以及恶意程序检测方法
CN103685251A (zh) * 2013-12-04 2014-03-26 电子科技大学 一种面向移动互联网的Android恶意软件检测平台
CN103703487A (zh) * 2011-07-25 2014-04-02 国际商业机器公司 信息识别方法、程序产品以及***

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7430670B1 (en) * 1999-07-29 2008-09-30 Intertrust Technologies Corp. Software self-defense systems and methods
CA2447451C (en) * 2000-05-12 2013-02-12 Xtreamlok Pty. Ltd. Information security method and system
US20020065946A1 (en) * 2000-10-17 2002-05-30 Shankar Narayan Synchronized computing with internet widgets
US7496960B1 (en) 2000-10-30 2009-02-24 Trend Micro, Inc. Tracking and reporting of computer virus information
US7315903B1 (en) * 2001-07-20 2008-01-01 Palladia Systems, Inc. Self-configuring server and server network
WO2011073982A1 (en) * 2009-12-15 2011-06-23 Seeker Security Ltd. Method and system of runtime analysis
TWI435235B (zh) * 2010-11-04 2014-04-21 Inst Information Industry 電腦蠕蟲治療系統以及方法以及儲存電腦蠕蟲治療方法之電腦可讀取記錄媒體
TWI435236B (zh) * 2010-12-15 2014-04-21 Inst Information Industry 惡意程式偵測裝置、惡意程式偵測方法及其電腦程式產品
US8806591B2 (en) * 2011-01-07 2014-08-12 Verizon Patent And Licensing Inc. Authentication risk evaluation
CN102999419B (zh) 2011-09-13 2016-03-16 百度在线网络技术(北京)有限公司 一种Android测试事件记录回放方法及装置
US9672355B2 (en) * 2011-09-16 2017-06-06 Veracode, Inc. Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
US8806641B1 (en) * 2011-11-15 2014-08-12 Symantec Corporation Systems and methods for detecting malware variants
US8875298B2 (en) * 2012-02-16 2014-10-28 Nec Laboratories America, Inc. Method for scalable analysis of android applications for security vulnerability
US8713684B2 (en) 2012-02-24 2014-04-29 Appthority, Inc. Quantifying the risks of applications for mobile devices
TWI478561B (zh) * 2012-04-05 2015-03-21 Inst Information Industry 網域追蹤方法與系統及其電腦可讀取記錄媒體
RU2485577C1 (ru) * 2012-05-11 2013-06-20 Закрытое акционерное общество "Лаборатория Касперского" Способ увеличения надежности определения вредоносного программного обеспечения
US20140020096A1 (en) * 2012-07-11 2014-01-16 Clutch Mobile, Inc. System to profile application software
KR101402057B1 (ko) * 2012-09-19 2014-06-03 주식회사 이스트시큐리티 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법
TWI461952B (zh) * 2012-12-26 2014-11-21 Univ Nat Taiwan Science Tech 惡意程式偵測方法與系統
RU2571726C2 (ru) * 2013-10-24 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки целесообразности установки обновлений

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102542186A (zh) * 2010-12-15 2012-07-04 财团法人资讯工业策进会 恶意程序检测装置以及恶意程序检测方法
CN103703487A (zh) * 2011-07-25 2014-04-02 国际商业机器公司 信息识别方法、程序产品以及***
CN103685251A (zh) * 2013-12-04 2014-03-26 电子科技大学 一种面向移动互联网的Android恶意软件检测平台

Also Published As

Publication number Publication date
US20150319187A1 (en) 2015-11-05
US9313222B2 (en) 2016-04-12
CN105022957A (zh) 2015-11-04
TWI528216B (zh) 2016-04-01
TW201541278A (zh) 2015-11-01

Similar Documents

Publication Publication Date Title
CN105022957B (zh) 随选检测恶意程序的方法及其电子装置
Luo et al. A novel intrusion detection system based on feature generation with visualization strategy
Baldwin et al. Leveraging support vector machine for opcode density based detection of crypto-ransomware
Ham et al. Linear SVM‐based android malware detection for reliable IoT services
US9071636B2 (en) Predictive scoring management system for application behavior
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
KR102090423B1 (ko) 동적 api 추출 기반의 애플리케이션 악성코드 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치
CN104424354A (zh) 使用用户操作生成模型检测异常用户行为的方法和***
US8584247B1 (en) Systems and methods for evaluating compliance checks
KR20150084123A (ko) 이상행위 탐지 장치 및 방법
Abawajy et al. Iterative classifier fusion system for the detection of Android malware
KR20200057903A (ko) 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법
Palahan et al. Extraction of statistically significant malware behaviors
TW201721418A (zh) 檢測系統及其方法
US11106801B1 (en) Utilizing orchestration and augmented vulnerability triage for software security testing
Bhattacharya et al. DMDAM: data mining based detection of android malware
CN103577323A (zh) 基于动态关键指令序列胎记的软件抄袭检测方法
WO2021111540A1 (ja) 評価方法、評価プログラム、および情報処理装置
Munaiah et al. Beyond the attack surface: Assessing security risk with random walks on call graphs
CN117742618B (zh) 一种固态硬盘的数据存储管理方法和固态硬盘管理装置
Liu et al. Probabilistic modeling and analysis of sequential cyber‐attacks
Choi et al. All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis
CN104239799A (zh) 基于行为链的Android应用程序隐私窃取检测方法及***
Warmsley et al. A survey of explainable graph neural networks for cyber malware analysis
CN111784360B (zh) 一种基于网络链接回溯的反欺诈预测方法及***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20180413