CN107426141A - 恶意码的防护方法、***及监控装置 - Google Patents
恶意码的防护方法、***及监控装置 Download PDFInfo
- Publication number
- CN107426141A CN107426141A CN201610415373.4A CN201610415373A CN107426141A CN 107426141 A CN107426141 A CN 107426141A CN 201610415373 A CN201610415373 A CN 201610415373A CN 107426141 A CN107426141 A CN 107426141A
- Authority
- CN
- China
- Prior art keywords
- monitoring module
- electronic installation
- operation protective
- code
- malice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title abstract description 5
- 238000012806 monitoring device Methods 0.000 title abstract 3
- 238000012544 monitoring process Methods 0.000 claims abstract description 125
- 238000004891 communication Methods 0.000 claims abstract description 51
- 238000012545 processing Methods 0.000 claims abstract description 34
- 230000009471 action Effects 0.000 claims abstract description 25
- 230000000644 propagated effect Effects 0.000 claims abstract description 13
- 239000013598 vector Substances 0.000 claims description 88
- 230000001681 protective effect Effects 0.000 claims description 80
- 230000002110 toxicologic effect Effects 0.000 claims description 80
- 231100000027 toxicology Toxicity 0.000 claims description 80
- 238000009434 installation Methods 0.000 claims description 56
- 239000000203 mixture Substances 0.000 claims description 25
- 238000004458 analytical method Methods 0.000 claims description 16
- 230000003542 behavioural effect Effects 0.000 claims description 12
- 230000002159 abnormal effect Effects 0.000 claims description 11
- 230000005611 electricity Effects 0.000 claims description 5
- 238000005457 optimization Methods 0.000 claims description 5
- 235000013399 edible fruits Nutrition 0.000 claims description 4
- 230000002155 anti-virotic effect Effects 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 11
- 241000700605 Viruses Species 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 210000004556 brain Anatomy 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 238000012417 linear regression Methods 0.000 description 2
- 230000013011 mating Effects 0.000 description 2
- 230000003612 virological effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 241000894007 species Species 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
一种恶意码的防护方法、***及监控装置。由监控装置在通信***中传播由多个防毒***组合而获得的监控模块,借以监控通信***的多个电子装置。在监控模块传播至其中一个电子装置而检测到恶意码时,由监控模块来决定防护结果,并基于防护结果执行对应的处理动作。
Description
技术领域
本发明涉及一种数据安全机制,且特别涉及一种恶意码的防护方法、***及监控装置。
背景技术
随着科技的演进与创新,网际网络除了促进全球的信息交流外,愈来愈多人的生活形态从现实社会中逐渐融入虚拟世界。因此,不少有心人士会通过网际网络来进行恶意攻击。而电脑病毒是其中一种恶意程序,会将程序自我复制、或感染电脑中其他正常的程序、或破坏电脑***,进而导致电脑无法正常运作。
而随着物联网(Internet Of Things,IoT)的流行,病毒数量及种类大增。传统防毒***需要取得病毒样本,以人工研究其行为再造出病毒样本(virus pattern)进行部署,如此费时费力成本高昂。在IoT时代,传统防毒***已经跟不上病毒演化的速度,需要有一种方式让防毒***伴随着病毒演化才够快。
发明内容
本发明提供一种恶意码的防护方法、***及监控装置,针对恶意码的演化方向来组合多种防毒***以形成监控模块,使得监控模块的朝向更佳的方向而自主演化。
本发明的恶意码的防护方法,包括:由监控装置在通信***中传播由多个防毒***组合而获得的监控模块,借以监控通信***的至少一个电子装置;在监控模块传播至通信***的其中一个电子装置时,通过监控模块来检测是否存在恶意码;在监控模块检测到恶意码时,由监控模块来决定防护结果;以及基于防护结果执行对应的处理动作。在此,在监控模块检测到恶意码时,由监控模块来获得防护结果的步骤包括:在监控模块为混合式模型(admixture model)的情况下,自上述防毒***中选择至少其中一个作为选定模块,而通过选定模块来获得对应于恶意码的防护结果;以及在监控模块为结合式模型(association model)的情况下,通过结合这些防毒***而获得对应于恶意码的防护结果。
在本发明的一实施例中,上述在监控模块为混合式模型的情况下,包括:基于由监控装置所决定的演化方向向量,自上述多个防毒***中选择其中一个作为选定模块;基于由选定模块所决定的机率向量,通过选定模块来识别恶意码对应的代表丛集;以及依据演化方向向量以及机率向量,利用随机分析演算法来识别与代表丛集对应的一组处理动作,而以该组处理动作来作为防护结果。
在本发明的一实施例中,上述在监控模块为结合式模型的情况下,包括:获得由监控装置所决定的演化方向向量,其中演化方向向量决定各防毒***与恶意码之间的相关性权重;在各防毒***中,基于由各防毒***所决定的机率向量,识别恶意码在各防毒***所对应的代表丛集;以及依据演化方向向量以及机率向量来识别与这些防毒***的多个代表丛集相对应的一组处理动作,而以该组处理动作来作为防护结果。
在本发明的一实施例中,上述在由监控模块决定防护结果之后,还包括:执行多目标最佳化演算法,以自防护结果所包括的多个目标解中获得最佳目标解,以设定最佳目标解为最终的处理动作。
在本发明的一实施例中,上述恶意码的防护方法还包括:由监控装置分析自电子装置接收的恶意码对应的多个攻击行为而获得行为特征向量,并基于行为特征向量来执行行为预测,进而获得恶意码与监控模块所包括的多个防毒***对应的演化方向向量;以及在自其中一个电子装置接收到异常信息时,传播监控模块至传送异常信息的电子装置,而通过监控模块来检测是否存在恶意码。
在本发明的一实施例中,上述监控模块所包括的多个防毒***为树状分层结构,树状分层结构的多个层各自属于混合式模型或结合式模型。
本发明的恶意码的防护***,包括:电子装置以及监控装置。上述电子装置及监控装置位于一通信***中。监控装置通过通信设备与各电子装置进行沟通,并在通信***中传播由多个防毒***组合而获得的监控模块,借以监控通信***的各电子装置。在监控模块传播至电子装置时,电子装置通过监控模块来检测是否存在一恶意码,并且,在监控模块检测到恶意码时,电子装置通过监控模块来决定防护结果,并基于防护结果执行对应的处理动作。在此,在监控模块检测到恶意码时,在监控模块为混合式模型的情况下,电子装置自上述防毒***中选择至少一个作为选定模块,而通过选定模块来获得对应于恶意码的防护结果;在监控模块检测到恶意码时,在监控模块为结合式模型的情况下,电子装置通过上述全部防毒***而获得对应于恶意码的防护结果。
本发明的监控装置,包括通信设备、储存设备以及处理器。处理器耦接至通信设备以及储存设备。通信设备与通信***的电子装置建立连线。储存设备包括行为分析模块及行为预测模块。处理器通过通信设备在通信***中传播由多个防毒***组合而获得的监控模块至电子装置,借以监控通信***的电子装置。处理器驱动行为分析模块来分析自电子装置所接收的至少一恶意码对应的至少一个攻击行为而获得行为特征向量,且处理器驱动行为预测模块基于行为特征向量来执行行为预测,进而获得监控模块所包括的防毒***对应的演化方向向量,通过演化方向向量决定监控模块为自多个防毒***中选择至少其中一个来决定防护结果或结合多个防毒***来决定防护结果。
基于上述,由监控装置在通信***中传播(circulate)由多个防毒***组成的监控模块,借以来监控通信***的各电子装置。通过监控装置的分析而可针对恶意码的演化方向来组合多种防毒***以形成监控模块,使得监控模块的朝向更佳的方向而自主演化。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合说明书附图作详细说明如下。
附图说明
图1是本发明一实施例的恶意码的防护***的示意图。
图2是依照本发明一实施例的恶意码的防护方法流程图。
图3是依照本发明一实施例的混合式模型的架构示意图。
图4是依照本发明一实施例的结合式模型的架构示意图。
附图标记说明:
110:监控装置
111:处理器
112:储存设备
113:通信设备
120:电子装置
131:数据库
132:行为分析模块
133:行为预测模块
300:混合式模型
310、410、410_a:防毒***
310_a:选定模块
311、311_1、411、411_1~411_n:代表丛集
400:结合式模型
πi:演化方向向量
机率向量
S205~S220:恶意码的防护方法各步骤
具体实施方式
图1是本发明一实施例的恶意码的防护***的示意图。防护***包括监控装置110以及多个电子装置120。在此,防护***例如为建构在物联网(Internet of Things,IoT)架构上。
监控装置110为具有智能且可进行恶意码分析的装置,例如为具有高运算能力的服务器。电子装置120例如为服务器、个人电脑、笔记本电脑、平板电脑、智能手机、穿载式装置、智能家电等具有运算能力及连网功能的电子装置。即,电子装置120包括处理器与通信设备(未绘示)。
监控装置110包括处理器111、储存设备112以及通信设备113。处理器111耦接至储存设备112以及通信设备113。监控装置110通过通信设备113连接至网际网络来与各电子装置120进行沟通。并且,监控装置110通过通信设备113在通信***中来传播(circulate)多个防毒***、或者由多个防毒***组合而成的监控模块,借以监控通信***底下的一个或多个电子装置120是否存在恶意码。
所述恶意码例如为电脑病毒(computer virus)、电脑蠕虫(computerworm)、木马程序(trojan horse)、勒索软件(ransomware)、间谍软件(spyware)、广告软件(adware)、恐吓软件(scareware)等。
处理器111例如为中央处理单元(central processing unit,CPU)、可编程的微处理器(microprocessor)、嵌入式控制芯片、数字信号处理器(digital signal processor,DSP)、特殊应用集成电路集成电路(applicationspecific integrated circuits,ASIC)或其他类似装置。储存设备112例如为非易失性存储器(non-volatile memory)、随机存取存储器(random accessmemory,RAM)或硬盘等。而通信设备113例如为支持有线或无线通信协定的芯片。
储存设备112包括数据库131、行为分析模块132以及行为预测模块133。数据库131中储存多个防毒***,使得处理器111经由通信设备113而在通信***中来传播至少一个防毒***。
行为分析模块132分别自位于各电子装置120中的一个或多个防毒***接收一恶意码的多个攻击行为,并分析这些攻击行为以获得一行为特征向量。行为预测模块133基于行为特征向量来执行行为预测,进而获得恶意码与多个防毒***对应的演化方向(evolution bias)向量。例如,行为预测模块133利用马可夫链蒙地卡罗(Markov chain Monte Carlo,MCMC)演算法,而自行为特征向量来预测攻击行为的演化方向,而获得演化方向向量πi。并且,依据演化方向向量πi中所包括的元素(element)内容来决定监控模块所包括的防毒***。
通过演化方向向量决定监控模块为混合式模型或结合式模型。若处理器111决定监控模块为混合式模型,则在获得的演化方向向量中的其中一个元素的数值远大于其他元素的数值,例如(0.99,0.01,0.10,0.06)。若处理器111决定监控模块为结合式模型,则在获得的演化方向向量中常不存在一个元素的数值远大于其他元素的数值,例如(0.81,0.52,0.63,0.50)。
由于监控装置110会从传播至其他电子装置120的防毒***获得回馈,因而监控装置110具有全局知识以动态调整机率向量(probabilityvector)或权重向量(weight vector)中的元素(element)。故,由监控装置110所获得的演化方向向量πi可以将监控模块的演化引导至朝向更佳的方向。并且,监控装置110可以决定监控模块所使用的演化方向向量πi为机率向量或权重向量(weight vector)。而当经由通信设备113自其中一电子装置120接收到异常信息时,处理器111将对应于异常信息的监控模块传播至传送异常信息的电子装置120,以由监控模块来获得对应的防护结果。例如,在检测到其中一个电子装置120停止传送心跳封包时,判定其发生异常。
底下搭配上述防护***来说明恶意码防护方法的各步骤。图2是依照本发明一实施例的恶意码的防护方法流程图。请参照图1及图2,在步骤S205中,由监控装置110在通信***中传播由多个防毒***组合而获得的监控模块,借以监控通信***底下的多个电子装置120。在此,监控装置110可以定时使一监控模块在通信***中进行传播(circulate),也可以在接收到异常信息时,将监控模块传送至有异常的电子装置120。
接着,在步骤S210中,在监控模块传播至其中一个电子装置120时,通过监控模块来检测指定装置中是否存在恶意码。
在步骤S215中,在监控模块检测到电子装置中存在恶意码时,由监控模块决定防护结果。在此,监控模块可以是混合式模型(admixture model)与结合式模型(association model),其包括至少两个防毒***。在监控模块为混合式模型的情况下,选择至少其中一个防毒***作为一选定模块,而通过选定模块来获得对应于恶意码的防护结果。在监控模块为结合式模型的情况下,通过结合全部的防毒***而获得对应于恶意码的防护结果。即,在监控模块为混合式模型的情况下,通过恶意码来训练一个防毒***;而在监控模块为结合式模型的情况下,通过恶意码来训练全部的防毒***。
进一步来说,不管是混合式模型或结合式模型的监控模块,其都具有一个演化方向向量πi=(p1,p2,...,pm)。在监控模块为混合式模型的情况下,演化方向向量πi为机率向量,在此机率向量中具有一个机率趋近于100%的元素,进而基于机率选择此一元素对应的防毒***来作为选定模块。而在监控模块为结合式模型的情况下,演化方向向量πi为权重向量,借以来决定各防毒***与恶意码之间的相关性权重。
图3是依照本发明一实施例的混合式模型的架构示意图。请参照图3,混合式模型300在检测到恶意码时,基于由监控装置110所决定的演化方向向量πi(即,机率向量),自多个防毒***310中选择其中一个作为选定模块310_a。在图3的多个防毒***310中,以实线连接至被选择的防毒***,并且以虚线连接来表示未被选择的防毒***310。
接着,以选定模块310_a针对恶意码而基于机率向量自多个代表丛集311中来获得与恶意码最相符的代表丛集311_1。上述机率向量是由防毒***310_a所遇过的恶意码样本来决定。机率向量中具有一个机率趋近于100%的元素,进而基于机率向量选择此一元素对应的代表丛集311_1。在此,机率向量例如是基于狄利克雷分布(Dirichletdistribution)使用匹配(match)的方式去识别对应的丛集。
之后,混合式模型300依据演化方向向量πi以及机率向量利用随机分析(stochastic analytics)演算法(例如贝氏线性回归(Bayesian LinearRegression,BLR)演算法)来识别与代表丛集311_1对应的一组处理动作,而以此组处理动作来作为防护结果。例如,将演化方向向量πi以及机率向量做为一组特征向量而输入至基于BLR演算法的BLR模型,而BLR模型在经过运算后会回传一组处理动作。
图4是依照本发明一实施例的结合式模型的架构示意图。请参照图4,结合式模型400在检测到恶意码时,基于由监控装置110所决定的演化方向向量πi(即,权重向量),决定各防毒***410与恶意码之间的相关性权重。并且,每一个防毒***410皆会针对恶意码来获得对应的一个代表丛集。以防毒***410_a而言,其会基于机率向量自多个代表丛集411中来获得与恶意码最相符的代表丛集411_1。上述机率向量是由防毒***410_a所遇过的恶意码样本来决定。其他防毒***410亦以此类推,而获得对应的n个防毒***410的n个代表丛集411_1~411_n。
之后,混合式模型400依据演化方向向量πi以及机率向量利用随机分析演算法来识别与n个代表丛集411_1~411_n对应的一组处理动作,而以此组处理动作来作为防护结果。例如,将演化方向向量πi以及机率向量做为一组特征向量而输入至基于BLR演算法的BLR模型,而BLR模型在经过运算后会回传一组处理动作。在图4中,以实线连接至全部的防毒***410来表示选择全部的防毒***410来执行后续动作。
返回图2,在步骤S220中,监控模块基于防护结果执行对应的处理动作。例如,在防护结果中包括多个处理动作时,监控模块进一步执行多目标最佳化(multi objective optimization)演算法,以自防护结果所包括的多个目标解(处理动作)中获得最佳目标解,以设定最佳目标解为最终的处理动作。例如,监控模块将每一个处理动作转换成多目标向量(O1,O2,...,On),并且使用柏拉图效率(Pareto efficiency)来获得柏拉图组合(Pareto set),该组合包括一个或多个最佳的处理动作。处理动作例如为,清除或删除可疑文件;若无法清除,则迅速地隔离受感染的网络区段或可疑文件。上述多目标最佳化演算法可基于成本(cost)、效用(utility)等因素来选择最佳目标解。
在此,防毒***采用的是贝氏非参数(Bayesian Nonparametric,BNP)模型。例如,BNP模型为基于原型丛集(prototype clustering)以及子空间学习(subspace learning)的贝氏案例模型(Bayesian Case Model)。BCM通过原型(prototype)ps以及子空间特征指示符(subspace feature indicator)ωs来描述(characterize)每一个丛集(cluster)。在此,丛集的数量可以动态增加或动态减少。
在此,原型ps被定义为x中p(ps|ωs,z,x)为最大化的一个观察(observation)。原型是典型的观察(quintessential observation),最能代表丛集。其中,x(x={x1,x2,...,xN})是自恶意码所获得的特征向量,z为丛集索引(cluster index)。子空间特征指示符ωs代表自恶意码中所撷取的特征向量中最重要(感兴趣)的特征。即,子空间特征指示符ωs的取得是看哪个ωs能最大化机率p(ωs|ps,z,x)。另外,监控装置110也可以更新(增加、减少、或修改)监控模块里面BLR模型的原型与对应的一组处理动作的映射,以便增强监控模块的病毒处理能力。例如,通过机器学习中的案例推论(Case Based Reasoning),来适当地调整对应的一组处理动作。
另外,在一台电子装置120中存在有多个监控模块的情况下,由这些监控模块自行协商(negotiate)决定由哪一个来对恶意码进行处理。
此外,不管是混合式模型的监控模块还是结合式模型的监控模块,其可以由多个混合式模型300组成,也可以由多个结合式模型400组成,更可以由混合式模型300及结合式模型400组成。
例如,倘若监控模块的第一层为混合式模型,则仅会选择底下其中一个支线来处理,再根据该支线为混合型或结合型来决定要选择其中一个防毒***而获得一个代表丛集、或是选择全部的防毒***(假设n个)而获得n个代表丛集。另一方面,倘若监控模块的第一层为结合式模型,则选择底下全部支线,再根据每一个支线为混合型或结合型来决定要选择其中一个防毒***而获得一个代表丛集、或是选择全部的防毒***(假设n个)而获得n个代表丛集。
综上所述,基于上述实施例,通过监控装置的分析而可针对恶意码的演化方向来组合多种防毒***以形成监控模块,使得监控模块的朝向更佳的方向而自主演化。通过防毒***与防毒***之间的基因重组(混合式或组合式)来产生新的防毒***(即,监控模块),再由监控装置在通信***中传播(circulate)由多个防毒***组成的监控模块,借以来监控通信***底下各电子装置。据此,通过监控装置来收集多个攻击行为并进行分析,使得监控模块得以因应恶意码的演化而自主演化。
虽然本发明已以实施例公开如上,然其并非用以限定本发明,任何所属技术领域中技术人员,在不脱离本发明的精神和范围内,当可作些许的变动与润饰,故本发明的保护范围当视后附的权利要求所界定者为准。
Claims (17)
1.一种恶意码的防护方法,其特征在于,包括:
由一监控装置在一通信***中传播由多个防毒***组合而获得的一监控模块,借以监控该通信***的至少一个电子装置;
在该监控模块传播至该通信***的一个所述电子装置时,通过该监控模块来检测是否存在一恶意码;
在该监控模块检测到该恶意码时,由该监控模块决定一防护结果;以及
基于该防护结果来执行对应的处理动作;
其中,在该监控模块检测到该恶意码时,由该监控模块决定该防护结果的步骤包括:
在该监控模块为一混合式模型的情况下,自所述多个防毒***中选择至少其中一个作为一选定模块,而通过该选定模块来获得对应于该恶意码的该防护结果;以及
在该监控模块为一结合式模型的情况下,通过结合所述多个防毒***而获得对应于该恶意码的该防护结果。
2.如权利要求1所述的恶意码的防护方法,其中在该监控模块为该混合式模型的情况下,包括:
基于由该监控装置所决定的一演化方向向量,自所述多个防毒***中选择至少其中一个作为该选定模块;
基于由该选定模块所决定的一机率向量,通过该选定模块来识别该恶意码对应的一代表丛集;以及
依据该演化方向向量以及该机率向量识别与该代表丛集对应的一组处理动作,而以该组处理动作来作为该防护结果。
3.如权利要求1所述的恶意码的防护方法,其中在该监控模块为该结合式模型的情况下,包括:
获得由该监控装置所决定的一演化方向向量,其中该演化方向向量决定每一所述多个防毒***与该恶意码之间的一相关性权重;
在每一所述多个防毒***中,基于由每一所述多个防毒***所决定的一机率向量,识别该恶意码在每一所述多个防毒***所对应的一代表丛集;以及
依据该演化方向向量以及该机率向量识别与所述多个防毒***的多个所述代表丛集相对应的一组处理动作,而以该组处理动作来作为该防护结果。
4.如权利要求1所述的恶意码的防护方法,其中在由该监控模块决定该防护结果的步骤之后,还包括:
执行一多目标最佳化演算法,以自该防护结果所包括的多个目标解中获得一最佳目标解,以设定该最佳目标解为最终的该处理动作。
5.如权利要求1所述的恶意码的防护方法,还包括:
由该监控装置分析自该至少一电子装置接收的该恶意码对应的至少一个攻击行为而获得一行为特征向量,并基于该行为特征向量来执行一行为预测,进而获得该恶意码与该监控模块所包括的所述多个防毒***对应的一演化方向向量。
6.如权利要求1所述的恶意码的防护方法,还包括:
在该通信***的一个所述电子装置发生异常时,由该监控装置传播该监控模块至发生异常的该电子装置,而通过该监控模块来检测是否存在该恶意码。
7.如权利要求1所述的恶意码的防护方法,其中该监控模块所包括的所述多个防毒***为一树状分层结构,该树状分层结构的多个层各自属于该混合式模型或该结合式模型。
8.一种恶意码的防护***,其特征在于,包括:
一电子装置,位于一通信***中;以及
一监控装置,位于该通信***,并通过一通信设备与该电子装置进行沟通,在该通信***中传播由多个防毒***组合而获得的一监控模块,借以监控该通信***的该电子装置;
其中,在该监控模块传播至该电子装置时,该电子装置通过该监控模块检测是否存在一恶意码,并且,在该监控模块检测到该恶意码时,该电子装置通过该监控模块来决定一防护结果,并基于该防护结果执行对应的处理动作;
其中,在该监控模块检测到该恶意码时,在该监控模块为一混合式模型的情况下,该电子装置自所述多个防毒***中选择至少其中一个作为一选定模块,而通过该选定模块来获得对应于该恶意码的该防护结果;
在该监控模块检测到该恶意码时,在该监控模块为一结合式模型的情况下,该电子装置结合所述多个防毒***而获得对应于该恶意码的该防护结果。
9.如权利要求8所述的恶意码的防护***,其中在该监控模块为该混合式模型的情况下,在该电子装置中,
基于由该监控装置所决定的一演化方向向量,自所述多个防毒***中选择至少其中一个作为该选定模块;
基于由该选定模块所决定的一机率向量,通过该选定模块来识别该恶意码对应的一代表丛集;
依据该演化方向向量以及该机率向量识别与该代表丛集对应的一组处理动作,而以该组处理动作来作为该防护结果。
10.如权利要求8所述的恶意码的防护***,其中在该监控模块为该结合式模型的情况下,在该电子装置中,
基于由该监控装置所决定的一演化方向向量,判定每一所述多个防毒***与该恶意码的一相关性权重;
在每一所述多个防毒***中,基于由每一所述多个防毒***所决定的一机率向量,识别该恶意码在每一所述多个防毒***所对应的一代表丛集;
依据该演化方向向量以及该机率向量识别与所述多个防毒***的多个所述代表丛集相对应的一组处理动作,而以该组处理动作来作为该防护结果。
11.如权利要求8所述的恶意码的防护***,其中在该电子装置通过该监控模块来获得该防护结果之后,执行一多目标最佳化演算法,以自该防护结果所包括的多个目标解中获得一最佳目标解,以设定该最佳目标解为最终的该处理动作。
12.如权利要求8所述的恶意码的防护***,其中该监控装置分析自该电子装置及该通信***所包括的另一电子装置至少其中一个接收的该恶意码对应的至少一个攻击行为,而获得一行为特征向量,并基于该行为特征向量来执行一行为预测,进而获得该恶意码与该监控模块所包括的所述多个防毒***对应的一演化方向向量。
13.如权利要求8所述的恶意码的防护***,其中在该电子装置异常时,该监控装置传播该监控模块至该电子装置,而通过该监控模块来检测是否存在该恶意码。
14.如权利要求8所述的恶意码的防护***,其中该监控模块所包括的所述多个防毒***为一树状分层结构,该树状分层结构的多个层各自属于该混合式模型或该结合式模型。
15.一种监控装置,其特征在于,包括:
一通信设备,与一通信***的一电子装置建立连线;
一储存设备,包括一行为分析模块及一行为预测模块;以及
一处理器,耦接至该通信设备以及该储存设备,其中该处理器通过该通信设备在该通信***中传播由多个防毒***组合而获得的一监控模块至该电子装置,借以监控该通信***的该电子装置,
其中,该处理器驱动该行为分析模块来分析自该电子装置所接收的至少一恶意码对应的至少一个攻击行为而获得一行为特征向量,且该处理器驱动该行为预测模块基于该行为特征向量来执行一行为预测,进而获得该监控模块所包括的所述多个防毒***对应的一演化方向向量,通过该演化方向向量决定该监控模块为自所述多个防毒***中选择至少其中一个来决定一防护结果或结合所述多个防毒***来决定该防护结果。
16.如权利要求15所述的监控装置,其中当该电子装置发生异常时,该处理器将该监控模块传播至该电子装置,以由该监控模块来决定该防护结果。
17.如权利要求15所述的监控装置,其中该处理器通过该演化方向向量决定该监控模块为一混合式模型或一结合式模型,其中该混合式模型的该监控模块是通过自所述多个防毒***中选择至少其中一个来决定该防护结果,而该结合式模型的该监控模块是基于该演化方向向量来决定每一所述多个防毒***与该恶意码之间的一相关性权重,进而通过结合所述多个防毒***来决定该防护结果。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW105115962 | 2016-05-23 | ||
TW105115962A TWI599905B (zh) | 2016-05-23 | 2016-05-23 | 惡意碼的防護方法、系統及監控裝置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107426141A true CN107426141A (zh) | 2017-12-01 |
CN107426141B CN107426141B (zh) | 2020-06-09 |
Family
ID=60330229
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610415373.4A Active CN107426141B (zh) | 2016-05-23 | 2016-06-14 | 恶意码的防护方法、***及监控装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10922406B2 (zh) |
CN (1) | CN107426141B (zh) |
TW (1) | TWI599905B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107645533A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 数据处理方法、数据发送方法、风险识别方法及设备 |
TWI676115B (zh) * | 2018-07-13 | 2019-11-01 | 優碩資訊科技股份有限公司 | 用以管控與雲端服務系統認證之系統及方法 |
TWI674514B (zh) * | 2018-10-19 | 2019-10-11 | 財團法人資訊工業策進會 | 惡意軟體辨識裝置及方法 |
TWI733270B (zh) * | 2019-12-11 | 2021-07-11 | 中華電信股份有限公司 | 機器學習模型的最佳超參數組態的訓練裝置和訓練方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10313337A (ja) * | 1997-03-13 | 1998-11-24 | Fujitsu Ltd | ネットワークシステム,情報処理装置 |
CN101127594A (zh) * | 2007-10-10 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种安全信息联动处理装置及方法 |
US20120084859A1 (en) * | 2010-09-30 | 2012-04-05 | Microsoft Corporation | Realtime multiple engine selection and combining |
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
CN103533648A (zh) * | 2013-10-24 | 2014-01-22 | 哈尔滨工业大学 | 基于支持向量机的无线异构网络移动用户位置预测方法 |
CN105072089A (zh) * | 2015-07-10 | 2015-11-18 | 中国科学院信息工程研究所 | 一种web恶意扫描行为异常检测方法与*** |
Family Cites Families (101)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS5470745A (en) * | 1977-11-17 | 1979-06-06 | Toshiba Corp | Fault deciding system for computer numerical control unit |
DK170490B1 (da) * | 1992-04-28 | 1995-09-18 | Multi Inform As | Databehandlingsanlæg |
US20030191957A1 (en) * | 1999-02-19 | 2003-10-09 | Ari Hypponen | Distributed computer virus detection and scanning |
US6785818B1 (en) * | 2000-01-14 | 2004-08-31 | Symantec Corporation | Thwarting malicious registry mapping modifications and map-loaded module masquerade attacks |
WO2002019077A2 (en) * | 2000-09-01 | 2002-03-07 | Sri International, Inc. | Probabilistic alert correlation |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US20110238855A1 (en) * | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
JP2002342210A (ja) * | 2001-05-16 | 2002-11-29 | Nippon Telegr & Teleph Corp <Ntt> | ディジタルコンテンツ利用量監視方法及びシステム及び流通情報送信プログラム及び流通情報送信プログラムを格納した記憶媒体及びディジタルコンテンツ利用量監視プログラム及びディジタルコンテンツ利用量監視プログラムを格納した記憶媒体 |
US7043757B2 (en) * | 2001-05-22 | 2006-05-09 | Mci, Llc | System and method for malicious code detection |
US7023861B2 (en) * | 2001-07-26 | 2006-04-04 | Mcafee, Inc. | Malware scanning using a network bridge |
US7401359B2 (en) * | 2001-12-21 | 2008-07-15 | Mcafee, Inc. | Generating malware definition data for mobile computing devices |
US7299277B1 (en) * | 2002-01-10 | 2007-11-20 | Network General Technology | Media module apparatus and method for use in a network monitoring environment |
US20040010443A1 (en) * | 2002-05-03 | 2004-01-15 | May Andrew W. | Method and financial product for estimating geographic mortgage risk |
KR100475311B1 (ko) * | 2002-12-24 | 2005-03-10 | 한국전자통신연구원 | 위험도 점수를 이용한 악성실행코드 탐지 장치 및 그 방법 |
US9503470B2 (en) * | 2002-12-24 | 2016-11-22 | Fred Herz Patents, LLC | Distributed agent based model for security monitoring and response |
JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
US7685437B2 (en) * | 2003-05-30 | 2010-03-23 | International Business Machines Corporation | Query optimization in encrypted database systems |
US7386888B2 (en) * | 2003-08-29 | 2008-06-10 | Trend Micro, Inc. | Network isolation techniques suitable for virus protection |
US7340597B1 (en) * | 2003-09-19 | 2008-03-04 | Cisco Technology, Inc. | Method and apparatus for securing a communications device using a logging module |
US20050071432A1 (en) * | 2003-09-29 | 2005-03-31 | Royston Clifton W. | Probabilistic email intrusion identification methods and systems |
US8544096B2 (en) * | 2003-12-30 | 2013-09-24 | Emc Corporation | On-access and on-demand distributed virus scanning |
US8125898B1 (en) * | 2004-03-19 | 2012-02-28 | Verizon Corporate Services Group Inc. | Method and system for detecting attack path connections in a computer network using state-space correlation |
US8230480B2 (en) * | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
FR2872653B1 (fr) * | 2004-06-30 | 2006-12-29 | Skyrecon Systems Sa | Systeme et procedes de securisation de postes informatiques et/ou de reseaux de communications |
US7490244B1 (en) * | 2004-09-14 | 2009-02-10 | Symantec Corporation | Blocking e-mail propagation of suspected malicious computer code |
US7765410B2 (en) * | 2004-11-08 | 2010-07-27 | Microsoft Corporation | System and method of aggregating the knowledge base of antivirus software applications |
US7684784B2 (en) * | 2005-03-24 | 2010-03-23 | Honeywell International Inc. | System for secure communications |
WO2006132987A1 (en) * | 2005-06-03 | 2006-12-14 | Board Of Trustees Of Michigan State University | Worm propagation modeling in a mobile ad-hoc network |
NO323392B1 (no) * | 2005-07-07 | 2007-04-23 | Telenor Asa | Fremgangsmate for spredning eller hindring av spredning av informasjon i et nettverk. |
IL181041A0 (en) * | 2007-01-29 | 2007-07-04 | Deutsche Telekom Ag | Improved method and system for detecting malicious behavioral patterns in a computer, using machine learning |
US20080104101A1 (en) * | 2006-10-27 | 2008-05-01 | Kirshenbaum Evan R | Producing a feature in response to a received expression |
US20080120720A1 (en) * | 2006-11-17 | 2008-05-22 | Jinhong Guo | Intrusion detection via high dimensional vector matching |
JP4872065B2 (ja) * | 2007-03-30 | 2012-02-08 | 独立行政法人産業技術総合研究所 | 自動周回収集式データ収集システム |
US20090100162A1 (en) * | 2007-10-15 | 2009-04-16 | Microsoft Corporation | Sharing Policy and Workload among Network Access Devices |
US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
US8302192B1 (en) * | 2008-04-30 | 2012-10-30 | Netapp, Inc. | Integrating anti-virus in a clustered storage system |
US8572736B2 (en) * | 2008-11-12 | 2013-10-29 | YeeJang James Lin | System and method for detecting behavior anomaly in information access |
US8321938B2 (en) * | 2009-02-12 | 2012-11-27 | Raytheon Bbn Technologies Corp. | Multi-tiered scalable network monitoring |
WO2010105249A1 (en) * | 2009-03-13 | 2010-09-16 | Rutgers, The State University Of New Jersey | Systems and methods for the detection of malware |
CN201726425U (zh) * | 2010-04-08 | 2011-01-26 | 上海第二工业大学 | 嵌入式网络服务器 |
US9245114B2 (en) * | 2010-08-26 | 2016-01-26 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
BR112013002456B8 (pt) * | 2010-09-30 | 2022-10-18 | Tokai Rubber Ind Ltd | Conector de desligamento rápido |
CN102467321A (zh) * | 2010-11-08 | 2012-05-23 | 腾讯科技(深圳)有限公司 | 一种杀毒工具的引擎状态显示方法和装置 |
US20120310864A1 (en) * | 2011-05-31 | 2012-12-06 | Shayok Chakraborty | Adaptive Batch Mode Active Learning for Evolving a Classifier |
RU2506638C2 (ru) * | 2011-06-28 | 2014-02-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере |
JP2013013337A (ja) * | 2011-06-30 | 2013-01-24 | Yanmar Co Ltd | コンバイン |
US20150128262A1 (en) * | 2011-10-28 | 2015-05-07 | Andrew F. Glew | Taint vector locations and granularity |
CN102982031B (zh) * | 2011-09-05 | 2015-04-01 | 腾讯科技(深圳)有限公司 | 文件打开方法及装置 |
US8635698B2 (en) * | 2011-10-07 | 2014-01-21 | Imation Corp. | Antivirus system and method for removable media devices |
US9083741B2 (en) * | 2011-12-29 | 2015-07-14 | Architecture Technology Corporation | Network defense system and framework for detecting and geolocating botnet cyber attacks |
WO2013109499A1 (en) * | 2012-01-19 | 2013-07-25 | University Of Southern California | Physical activity monitoring and intervention using smartphone and mobile app |
US10225249B2 (en) * | 2012-03-26 | 2019-03-05 | Greyheller, Llc | Preventing unauthorized access to an application server |
JP5600133B2 (ja) * | 2012-03-29 | 2014-10-01 | 株式会社富士通エフサス | 監視装置、監視方法および監視プログラム |
US9081960B2 (en) * | 2012-04-27 | 2015-07-14 | Ut-Battelle, Llc | Architecture for removable media USB-ARM |
IL219597A0 (en) * | 2012-05-03 | 2012-10-31 | Syndrome X Ltd | Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention |
JP5533935B2 (ja) * | 2012-05-10 | 2014-06-25 | トヨタ自動車株式会社 | ソフトウェア配信システム、ソフトウェア配信方法 |
US9609456B2 (en) * | 2012-05-14 | 2017-03-28 | Qualcomm Incorporated | Methods, devices, and systems for communicating behavioral analysis information |
US9021589B2 (en) * | 2012-06-05 | 2015-04-28 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
US9411955B2 (en) * | 2012-08-09 | 2016-08-09 | Qualcomm Incorporated | Server-side malware detection and classification |
CN103780589A (zh) * | 2012-10-24 | 2014-05-07 | 腾讯科技(深圳)有限公司 | 病毒提示方法、客户端设备和服务器 |
US20140181975A1 (en) * | 2012-11-06 | 2014-06-26 | William Spernow | Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point |
US8935782B2 (en) * | 2013-02-04 | 2015-01-13 | International Business Machines Corporation | Malware detection via network information flow theories |
WO2014122662A1 (en) * | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
US9491187B2 (en) * | 2013-02-15 | 2016-11-08 | Qualcomm Incorporated | APIs for obtaining device-specific behavior classifier models from the cloud |
US10659480B2 (en) * | 2013-03-07 | 2020-05-19 | Inquest, Llc | Integrated network threat analysis |
US9313217B2 (en) * | 2013-03-07 | 2016-04-12 | Inquest, Llc | Integrated network threat analysis |
US9143519B2 (en) * | 2013-03-15 | 2015-09-22 | Mcafee, Inc. | Remote malware remediation |
WO2014152469A1 (en) * | 2013-03-18 | 2014-09-25 | The Trustees Of Columbia University In The City Of New York | Unsupervised anomaly-based malware detection using hardware features |
US9330259B2 (en) * | 2013-03-19 | 2016-05-03 | Trusteer, Ltd. | Malware discovery method and system |
US10270748B2 (en) * | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US9202065B2 (en) * | 2013-05-28 | 2015-12-01 | Globalfoundries Inc. | Detecting sensitive data access by reporting presence of benign pseudo virus signatures |
US9225739B2 (en) * | 2013-06-26 | 2015-12-29 | Microsoft Technology Licensing, Llc | Providing user-specific malware assessment based on social interactions |
US9117077B2 (en) * | 2013-09-27 | 2015-08-25 | Bitdefender IPR Management Ltd. | Systems and methods for using a reputation indicator to facilitate malware scanning |
US9798751B2 (en) * | 2013-10-16 | 2017-10-24 | University Of Tennessee Research Foundation | Method and apparatus for constructing a neuroscience-inspired artificial neural network |
TWI515600B (zh) * | 2013-10-25 | 2016-01-01 | 緯創資通股份有限公司 | 惡意程式防護方法與系統及其過濾表格更新方法 |
US9288220B2 (en) * | 2013-11-07 | 2016-03-15 | Cyberpoint International Llc | Methods and systems for malware detection |
US10223530B2 (en) * | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
US9503465B2 (en) * | 2013-11-14 | 2016-11-22 | At&T Intellectual Property I, L.P. | Methods and apparatus to identify malicious activity in a network |
US20160012235A1 (en) * | 2014-02-10 | 2016-01-14 | Vivo Security Inc. | Analysis and display of cybersecurity risks for enterprise data |
JP6445775B2 (ja) * | 2014-04-01 | 2018-12-26 | キヤノン株式会社 | 画像処理装置、画像処理方法 |
TWI507912B (zh) * | 2014-04-03 | 2015-11-11 | Wistron Corp | 輸出入重定向方法、輸出入指令虛擬化系統與方法以及其電腦程式產品 |
RU2580030C2 (ru) * | 2014-04-18 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети |
US10789367B2 (en) * | 2014-04-18 | 2020-09-29 | Micro Focus Llc | Pre-cognitive security information and event management |
US9721212B2 (en) * | 2014-06-04 | 2017-08-01 | Qualcomm Incorporated | Efficient on-device binary analysis for auto-generated behavioral models |
SG11201610035RA (en) * | 2014-06-30 | 2017-01-27 | Evolving Machine Intelligence Pty Ltd | A system and method for modelling system behaviour |
US9680843B2 (en) * | 2014-07-22 | 2017-06-13 | At&T Intellectual Property I, L.P. | Cloud-based communication account security |
US9686312B2 (en) * | 2014-07-23 | 2017-06-20 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
US20160078362A1 (en) * | 2014-09-15 | 2016-03-17 | Qualcomm Incorporated | Methods and Systems of Dynamically Determining Feature Sets for the Efficient Classification of Mobile Device Behaviors |
EP3215943B1 (en) * | 2014-11-03 | 2021-04-21 | Vectra AI, Inc. | A system for implementing threat detection using threat and risk assessment of asset-actor interactions |
WO2016090289A1 (en) * | 2014-12-05 | 2016-06-09 | Permissionbit | Methods and systems for encoding computer processes for malware deteection |
WO2016099458A1 (en) * | 2014-12-16 | 2016-06-23 | Hewlett Packard Enterprise Development Lp | Determining permissible activity based on permissible activity rules |
US9571454B2 (en) * | 2014-12-19 | 2017-02-14 | Cisco Technology, Inc. | Dynamic re-ordering of scanning modules in security devices |
US20160269247A1 (en) * | 2015-03-13 | 2016-09-15 | Nec Laboratories America, Inc. | Accelerating stream processing by dynamic network aware topology re-optimization |
US20160306971A1 (en) * | 2015-04-15 | 2016-10-20 | Los Alamos National Security, Llc | Automated identification and reverse engineering of malware |
US10104107B2 (en) * | 2015-05-11 | 2018-10-16 | Qualcomm Incorporated | Methods and systems for behavior-specific actuation for real-time whitelisting |
US10176438B2 (en) * | 2015-06-19 | 2019-01-08 | Arizona Board Of Regents On Behalf Of Arizona State University | Systems and methods for data driven malware task identification |
RU2624552C2 (ru) * | 2015-06-30 | 2017-07-04 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины |
US20170046510A1 (en) * | 2015-08-14 | 2017-02-16 | Qualcomm Incorporated | Methods and Systems of Building Classifier Models in Computing Devices |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
TWI547823B (zh) * | 2015-09-25 | 2016-09-01 | 緯創資通股份有限公司 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
US9888024B2 (en) * | 2015-09-30 | 2018-02-06 | Symantec Corporation | Detection of security incidents with low confidence security events |
-
2016
- 2016-05-23 TW TW105115962A patent/TWI599905B/zh active
- 2016-06-14 CN CN201610415373.4A patent/CN107426141B/zh active Active
- 2016-09-26 US US15/275,502 patent/US10922406B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10313337A (ja) * | 1997-03-13 | 1998-11-24 | Fujitsu Ltd | ネットワークシステム,情報処理装置 |
CN101127594A (zh) * | 2007-10-10 | 2008-02-20 | 杭州华三通信技术有限公司 | 一种安全信息联动处理装置及方法 |
US20120084859A1 (en) * | 2010-09-30 | 2012-04-05 | Microsoft Corporation | Realtime multiple engine selection and combining |
CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
CN103179105A (zh) * | 2012-10-25 | 2013-06-26 | 四川省电力公司信息通信公司 | 一种基于网络流量中行为特征的智能木马检测装置及其方法 |
CN103533648A (zh) * | 2013-10-24 | 2014-01-22 | 哈尔滨工业大学 | 基于支持向量机的无线异构网络移动用户位置预测方法 |
CN105072089A (zh) * | 2015-07-10 | 2015-11-18 | 中国科学院信息工程研究所 | 一种web恶意扫描行为异常检测方法与*** |
Also Published As
Publication number | Publication date |
---|---|
US10922406B2 (en) | 2021-02-16 |
CN107426141B (zh) | 2020-06-09 |
TWI599905B (zh) | 2017-09-21 |
TW201741924A (zh) | 2017-12-01 |
US20170337374A1 (en) | 2017-11-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang et al. | Review of android malware detection based on deep learning | |
Li et al. | Machine learning‐based IDS for software‐defined 5G network | |
Li et al. | Data fusion for network intrusion detection: a review | |
Miah et al. | Improving detection accuracy for imbalanced network intrusion classification using cluster-based under-sampling with random forests | |
CN107426141A (zh) | 恶意码的防护方法、***及监控装置 | |
CN110971677B (zh) | 一种基于对抗强化学习的电力物联网终端设备边信道安全监测方法 | |
CN110363003B (zh) | 一种基于深度学习的Android病毒静态检测方法 | |
Li et al. | A machine learning based intrusion detection system for software defined 5G network | |
Shaikh et al. | Real-time intrusion detection based on residual learning through ResNet algorithm | |
CN115022038A (zh) | 一种电网网络异常检测方法、装置、设备及存储介质 | |
Si et al. | Malware detection using automated generation of yara rules on dynamic features | |
Qaraad et al. | An innovative time-varying particle swarm-based Salp algorithm for intrusion detection system and large-scale global optimization problems | |
Al-Ghaili et al. | A Review of anomaly detection techniques in advanced metering infrastructure | |
Jie | Research on malicious TLS traffic identification based on hybrid neural network | |
Moukhafi et al. | Artificial neural network optimized by genetic algorithm for intrusion detection system | |
Eid et al. | IIoT network intrusion detection using machine learning | |
Lin | Application of feature extraction method based on support vector machine in internet of things | |
Dalmaz et al. | Machine Learning Approaches in Detecting Network Attacks | |
Gautam et al. | A Novel Multilevel Classifier Hybrid Model for Intrusion Detection Using Machine Learning | |
Suganya et al. | Auditing of hadoop log file for dynamic detection of threats using H-ISSM-MIM and convolutional neural network | |
CN112839053B (zh) | 一种基于自培养的电力工控网络恶意代码防护*** | |
Chen et al. | Network intrusion detection based on subspace clustering and BP neural network | |
Shokripoor Bahman Bigloo | A Parallel Genetic Algorithm Based Method for Feature Subset Selection in Intrusion Detection Systems | |
Mughaid et al. | Enhancing cybersecurity in scada iot systems: A novel machine learning-based approach for man-in-the-middle attack detection | |
Tripathi et al. | Iot attack detection method based on synthetic minority over-sampling with random forest technique |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |