CN110619216B - 一种对抗性网络的恶意软件检测方法及*** - Google Patents

一种对抗性网络的恶意软件检测方法及*** Download PDF

Info

Publication number
CN110619216B
CN110619216B CN201910874102.9A CN201910874102A CN110619216B CN 110619216 B CN110619216 B CN 110619216B CN 201910874102 A CN201910874102 A CN 201910874102A CN 110619216 B CN110619216 B CN 110619216B
Authority
CN
China
Prior art keywords
model
malware
malicious software
generator
noise simulation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910874102.9A
Other languages
English (en)
Other versions
CN110619216A (zh
Inventor
段彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuling Technology Co Ltd
Original Assignee
Wuhan Sipuling Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuling Technology Co Ltd filed Critical Wuhan Sipuling Technology Co Ltd
Priority to CN201910874102.9A priority Critical patent/CN110619216B/zh
Publication of CN110619216A publication Critical patent/CN110619216A/zh
Application granted granted Critical
Publication of CN110619216B publication Critical patent/CN110619216B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Virology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种对抗性网络的恶意软件检测方法及***,可以基于历史软件数据,分析构建一个噪声模拟恶意软件模型,将正常软件、恶意软件输入一个黑盒模型,进行打标,生成软件样本,使用该软件样本训练所述噪声模拟恶意软件模型,模型自身还有不断复合、变异恶意软件的能力。当噪声模拟恶意软件模型训练完毕后,在接入机器学习模块,作为机器学习模块的模拟恶意软件源,不间断地恶意软件训练机器学习模块,帮助提升机器学习模块检测的能力。

Description

一种对抗性网络的恶意软件检测方法及***
技术领域
本申请涉及网络安全技术领域,尤其涉及一种对抗性网络的恶意软件检测方法及***。
背景技术
现有的统计分析和机器学***衡会导致检测模型失衡,导致检测稳定性差;二是,随着技术的发展,恶意软件的攻击手段也在不断改变,然而却无法提前将它们用于模型训练,导致模型无法检测未知的恶意软件。所以急需一种可以自我生成可使用的恶意软件,增强训练数据,提升检测模型性能的方法和***。
发明内容
本发明的目的在于提供一种对抗性网络的恶意软件检测方法及***,可以基于历史软件数据,分析构建一个噪声模拟恶意软件模型,将正常软件、恶意软件输入一个黑盒模型,进行打标,生成软件样本,使用该软件样本训练所述噪声模拟恶意软件模型,模型自身还有不断复合、变异恶意软件的能力。当噪声模拟恶意软件模型训练完毕后,在接入机器学习模块,作为机器学习模块的模拟恶意软件源,不间断地恶意软件训练机器学习模块,帮助提升机器学习模块检测的能力。
第一方面,本申请提供一种对抗性网络的恶意软件检测方法,所述方法包括:
获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
将历史软件中已知的正常软件、恶意软件输入一个黑盒模型,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
其中,所述替代检测器不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;
所述替代检测器根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
将所述噪声模拟恶意软件模型接入机器学习模块,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟恶意软件模型,不间断丰富各种恶意软件特征向量样本,对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟恶意软件模型的参数,启动所述噪声模拟恶意软件模型的更新机制。
结合第一方面,在第一方面第一种可能的实现方式中,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
结合第一方面,在第一方面第二种可能的实现方式中,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
结合第一方面,在第一方面第三种可能的实现方式中,所述噪声模拟恶意软件模型的更新机制,是指再次将所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
第二方面,本申请提供一种对抗性网络的恶意软件检测***,所述***包括:
获取单元,用于获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
黑盒模型,用于将历史软件中已知的正常软件、恶意软件一起输入,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
构建单元,用于基于所述恶意数据的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续进行若干种恶意软件,或变异恶意软件特征;
生成器,用于将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
替代检测器,用于不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
所述生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
机器学习模块,用于接入所述噪声模拟恶意软件模型,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟恶意软件模型,不间断丰富各种恶意软件特征向量样本,对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟恶意软件模型的参数,启动所述噪声模拟恶意软件模型的更新机制。
结合第二方面,在第二方面第一种可能的实现方式中,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
结合第二方面,在第二方面第二种可能的实现方式中,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
结合第二方面,在第二方面第三种可能的实现方式中,所述噪声模拟恶意软件模型的更新机制,是指再次将所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
本发明提供一种对抗性网络的恶意软件检测方法及***,可以基于历史软件数据,分析构建一个噪声模拟恶意软件模型,将正常软件、恶意软件输入一个黑盒模型,进行打标,生成软件样本,使用该软件样本训练所述噪声模拟恶意软件模型,模型自身还有不断复合、变异恶意软件的能力。当噪声模拟恶意软件模型训练完毕后,在接入机器学习模块,作为机器学习模块的模拟恶意软件源,不间断地恶意软件训练机器学习模块,帮助提升机器学习模块检测的能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明对抗性网络的恶意软件检测方法的流程图;
图2为本发明对抗性网络的恶意软件检测***的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的对抗性网络的恶意软件检测方法的流程图,所述方法包括:
获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
将历史软件中已知的正常软件、恶意软件输入一个黑盒模型,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
其中,所述替代检测器不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;
所述替代检测器根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
将所述噪声模拟恶意软件模型接入机器学习模块,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟恶意软件模型,不间断丰富各种恶意软件特征向量样本,对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟恶意软件模型的参数,启动所述噪声模拟恶意软件模型的更新机制。
在一些优选实施例中,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
在一些优选实施例中,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
在一些优选实施例中,所述噪声模拟恶意软件模型的更新机制,是指再次将所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
图2为本申请提供的对抗性网络的恶意软件检测***的架构图,所述***包括:
获取单元,用于获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
黑盒模型,用于将历史软件中已知的正常软件、恶意软件一起输入,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
构建单元,用于基于所述恶意数据的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续进行若干种恶意软件,或变异恶意软件特征;
生成器,用于将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
替代检测器,用于不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
所述生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
机器学习模块,用于接入所述噪声模拟恶意软件模型,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟恶意软件模型,不间断丰富各种恶意软件特征向量样本,对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟恶意软件模型的参数,启动所述噪声模拟恶意软件模型的更新机制。
在一些优选实施例中,所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段。
在一些优选实施例中,所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数。
在一些优选实施例中,所述噪声模拟恶意软件模型的更新机制,是指再次将所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (2)

1.一种对抗性网络的恶意软件检测方法,其特征在于,所述方法包括:
获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
将历史软件中已知的正常软件、恶意软件输入一个黑盒模型,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
基于所述恶意软件的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续输出若干种恶意软件,或变异恶意软件特征;
将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
其中,所述替代检测器不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;
所述替代检测器根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
将所述噪声模拟恶意软件模型接入机器学习模块,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟恶意软件模型,不间断丰富各种恶意软件特征向量样本,对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟恶意软件模型的参数,启动所述噪声模拟恶意软件模型的更新机制;
所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段;
所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数;
所述噪声模拟恶意软件模型的更新机制,是指再次将所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
2.一种对抗性网络的恶意软件检测***,其特征在于,所述***包括:
获取单元,用于获取历史软件数据,根据已知的恶意软件类型的特征,分析提取历史软件数据中恶意软件的特征向量;
黑盒模型,用于将历史软件中已知的正常软件、恶意软件一起输入,由黑盒模型将输入的正常软件、恶意软件进行打标,生成软件样本;
构建单元,用于基于所述恶意数据的特征向量,构建噪声模拟恶意软件模型,应用该模型可随机生成已知的各种类型的恶意软件以及多种恶意软件复合;
所述多种恶意软件复合包括同时具备若干种恶意软件的特征,或者连续进行若干种恶意软件,或变异恶意软件特征;
生成器,用于将所述噪声模拟恶意软件模型作为对抗性网络的生成器,采用前向神经网络架构搭建生成器,所述生成器的输出不间断地与黑盒模型输出一并送入替代检测器;
替代检测器,用于不间断学习黑盒模型的特征向量,将学习到的梯度信息反馈给生成器,所述生成器根据梯度信息调整所述噪声模拟恶意软件模型的参数;根据两端输入的生成器输出和黑盒模型输出,得出判别结果;如果判别结果为真时,表明生成器输出与黑盒模型输出在特征向量上非常接近,替代检测器将相似度信息反馈给生成器;如果判别结果为假时,表明生成器输出与黑盒模型输出在特征向量上差别很大,替代检测器将差别度信息、黑盒模型输出的特征向量一并反馈给生成器;
所述生成器根据替代检测器的反馈结果调整噪声模拟恶意软件模型的参数,再次生成新的输出;
当替代检测器得到的判别结果为真的比率大于预先设置的阈值时,表明所述噪声模拟恶意软件模型训练完毕;
机器学习模块,用于接入所述噪声模拟恶意软件模型,由所述噪声模拟恶意软件模型不间断随机生成恶意软件流量,供机器学习模块自我学习;
所述机器学习模块借助所述噪声模拟恶意软件模型,不间断丰富各种恶意软件特征向量样本,对真实网络流量进行恶意软件检测,并将检测结果反馈给管理员,管理员可以定时根据检测结果调整所述噪声模拟恶意软件模型的参数,启动所述噪声模拟恶意软件模型的更新机制;
所述变异恶意软件特征包括对已知的恶意软件特征向量做扩展,以及修改若干恶意数据的字段;
所述替代检测器还会将判别的结果反馈给管理员,供管理员实时调整所述噪声模拟恶意软件模型的参数;
所述噪声模拟恶意软件模型的更新机制,是指再次将所述噪声模拟恶意软件模型作为生成器,将生成器的输出流量送入所述替代检测器。
CN201910874102.9A 2019-09-17 2019-09-17 一种对抗性网络的恶意软件检测方法及*** Active CN110619216B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910874102.9A CN110619216B (zh) 2019-09-17 2019-09-17 一种对抗性网络的恶意软件检测方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910874102.9A CN110619216B (zh) 2019-09-17 2019-09-17 一种对抗性网络的恶意软件检测方法及***

Publications (2)

Publication Number Publication Date
CN110619216A CN110619216A (zh) 2019-12-27
CN110619216B true CN110619216B (zh) 2021-09-03

Family

ID=68923042

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910874102.9A Active CN110619216B (zh) 2019-09-17 2019-09-17 一种对抗性网络的恶意软件检测方法及***

Country Status (1)

Country Link
CN (1) CN110619216B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111259393B (zh) * 2020-01-14 2023-05-23 河南信息安全研究院有限公司 一种基于生成对抗网络的恶意软件检测器抗概念漂移方法
CN111475810B (zh) * 2020-04-13 2021-04-06 广州锦行网络科技有限公司 一种恶意软件检测器训练方法及***、检测方法及***
CN114143024B (zh) * 2021-10-26 2022-07-26 广州大学 基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法、***、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103294954A (zh) * 2013-06-07 2013-09-11 四川大学 一种基于频谱分析的复合文档恶意代码检测技术与***
CN109902709A (zh) * 2019-01-07 2019-06-18 浙江大学 一种基于对抗学习的工业控制***恶意样本生成方法
CN110097185A (zh) * 2019-03-29 2019-08-06 北京大学 一种基于生成对抗网络的优化模型方法及应用
CN110210226A (zh) * 2019-06-06 2019-09-06 深信服科技股份有限公司 一种恶意文件检测方法、***、设备及计算机存储介质

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL226747B (en) * 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
US10291633B1 (en) * 2016-10-18 2019-05-14 The United States Of America As Represented By The Secretary Of The Army Bandwidth conserving signature deployment with signature set and network security
US10733385B2 (en) * 2017-12-12 2020-08-04 Institute For Information Industry Behavior inference model building apparatus and behavior inference model building method thereof
US10841333B2 (en) * 2018-01-08 2020-11-17 Sophos Limited Malware detection using machine learning
CN109190379B (zh) * 2018-08-03 2020-05-19 清华大学 一种深度学习***的漏洞检测方法和装置
CN109446808A (zh) * 2018-10-30 2019-03-08 中国人民解放军国防科技大学 基于DCGAN的Android对抗样本生成方法及***
CN109784056B (zh) * 2019-01-02 2021-04-20 大连理工大学 一种基于深度学习的恶意软件检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103294954A (zh) * 2013-06-07 2013-09-11 四川大学 一种基于频谱分析的复合文档恶意代码检测技术与***
CN109902709A (zh) * 2019-01-07 2019-06-18 浙江大学 一种基于对抗学习的工业控制***恶意样本生成方法
CN110097185A (zh) * 2019-03-29 2019-08-06 北京大学 一种基于生成对抗网络的优化模型方法及应用
CN110210226A (zh) * 2019-06-06 2019-09-06 深信服科技股份有限公司 一种恶意文件检测方法、***、设备及计算机存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN;Weiwei Hu 等;《https://arxiv.org/abs/1702.05983》;20170220;1-7 *

Also Published As

Publication number Publication date
CN110619216A (zh) 2019-12-27

Similar Documents

Publication Publication Date Title
CN110505241B (zh) 一种网络攻击面检测方法及***
Ilyas et al. Black-box adversarial attacks with limited queries and information
US10397258B2 (en) Continuous learning for intrusion detection
CN110619216B (zh) 一种对抗性网络的恶意软件检测方法及***
CN110493262B (zh) 一种改进分类的网络攻击检测方法及***
EP3651043A1 (en) Url attack detection method and apparatus, and electronic device
CN108833409B (zh) 基于深度学习和半监督学习的webshell检测方法及装置
CN110545284A (zh) 一种对抗性网络的域名检测方法及***
CN111368289B (zh) 一种恶意软件检测方法和装置
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN109462578B (zh) 基于统计学习的威胁情报利用与繁殖方法
KR20190028880A (ko) 봇넷 탐지 시스템을 학습하기 위한 학습 데이터를 생성하는 방법 및 그 장치
CN111245784A (zh) 多维度检测恶意域名的方法
CN110598794A (zh) 一种分类对抗的网络攻击检测方法及***
CN110535874A (zh) 一种对抗性网络的网络攻击检测方法及***
CN112084505A (zh) 深度学习模型恶意样本检测方法、***、设备及存储介质
CN110581856A (zh) 一种恶意代码的检测方法及***
Elmasry et al. Comparative evaluation of different classification techniques for masquerade attack detection
CN110581857B (zh) 一种虚拟执行的恶意软件检测方法及***
Boffa et al. Towards NLP-based processing of honeypot logs
CN116915442A (zh) 漏洞测试方法、装置、设备和介质
CN106844219A (zh) 应用检测方法及应用检测装置
Nalavade et al. Evaluation of k-means clustering for effective intrusion detection and prevention in massive network traffic data
CN112532562B (zh) 一种对抗性网络的恶意数据流检测方法及***
CN114285587B (zh) 域名鉴别方法和装置、域名分类模型的获取方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant