CN111125699A - 基于深度学习的恶意程序可视化检测方法 - Google Patents
基于深度学习的恶意程序可视化检测方法 Download PDFInfo
- Publication number
- CN111125699A CN111125699A CN201911227920.6A CN201911227920A CN111125699A CN 111125699 A CN111125699 A CN 111125699A CN 201911227920 A CN201911227920 A CN 201911227920A CN 111125699 A CN111125699 A CN 111125699A
- Authority
- CN
- China
- Prior art keywords
- subgraph
- malicious program
- sub
- program
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000007 visual effect Effects 0.000 title claims abstract description 34
- 238000013135 deep learning Methods 0.000 title claims abstract description 23
- 238000001514 detection method Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 41
- 239000013598 vector Substances 0.000 claims abstract description 27
- 239000011159 matrix material Substances 0.000 claims abstract description 24
- 238000013145 classification model Methods 0.000 claims abstract description 12
- 238000004364 calculation method Methods 0.000 claims abstract description 9
- 238000013507 mapping Methods 0.000 claims abstract description 8
- 230000006399 behavior Effects 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 25
- 238000000605 extraction Methods 0.000 claims description 7
- 238000013527 convolutional neural network Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 6
- 241000544061 Cuculus canorus Species 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 description 11
- 230000003068 static effect Effects 0.000 description 5
- 238000002474 experimental method Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于深度学习的恶意程序可视化检测方法,包括运行恶意程序并构建恶意程序的数据流图;从数据流图中提取特征子图构成子图语料库;将子图语料库中的子图映射成字符串;采用深度学习算法将子图向量化;采用minHash算法对恶意程序包含的子图向量进行hash计算构建恶意程序可视化的图片矩阵;构建分类模型;针对待检测的程序,构建待检测的程序可视化的图片矩阵,采用分类模型对待检测的程序可视化的图片矩阵进行分类得到分类结果。本发明方法易于实现,而且可靠性高、实用性好且检测结果准确。
Description
技术领域
本发明属于网络安全领域,具体涉及一种基于深度学习的恶意程序可视化 检测方法。
背景技术
随着经济技术的发展和人们生活水平的提高,以及智能数据时代的来临, 数据已经成为了未来最重要的资源之一。
恶意程序仍是信息安全的最大威胁之一,每年政府和企业因恶意攻击都遭 受了巨大的损失。甚至可以说恶意程序已成为一种可以盈利的商业模式,高额 的利润聚集着大量的非法人员,使得恶意程序愈发复杂。
目前恶意程序分析方法可以分为静态特征分析方法和动态行为分析。静态 特征分析方法主要是利用恶意程序二进制文件进行分析和检测,通过反编译恶 意程序提取操作码或***调用等信息,并以此为特征建立恶意程序分析模型。 然而恶意程序可以通过外壳加密,混淆和数据加密来避免反编译操作或者增加 样本脱壳难度,这会影响到静态分析特征属性提取,从而造成静态分析方法检 测精度的下降。动态行为分析方法弥补了静态特征分析方法的不足,同时也被 认为为最具有前景的方法之一。动态行为分析方法通过捕获恶意程序运行时的 行为特征,主流方式是使用***调用或资源依赖来表示行为特征并以此构建行 为分析图,之后再使用图挖掘算法提取出恶意样本中的恶意特征或子图,这些恶意特征能够有效地区分出恶意和正常程序。
但是,目前的动态行为分析方法,由于其方法自身的限制,使得目前的动 态行为分析方法依然不能够较为可靠的对恶意程序进行检测。
发明内容
本发明的目的之一在于提供一种可靠性高、实用性好且检测结果准确的基 于深度学习的恶意程序可视化检测方法。
本发明提供的这种基于深度学习的恶意程序可视化检测方法,包括如下步 骤:
S1.运行恶意程序,并从恶意程序运行时的行为轨迹构建恶意程序的数据流 图;
S2.从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库;
S3.将步骤S2构建的子图语料库中的子图映射成字符串;
S4.采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图 向量化;
S5.采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构 建恶意程序可视化的图片矩阵;
S6.根据步骤S5得到的恶意程序可视化的图片矩阵,构建分类模型;
S7.针对待检测的程序,构建待检测的程序可视化的图片矩阵,并采用步骤 S6得到的分类模型对待检测的程序可视化的图片矩阵进行分类,从而得到最终 的待检测的程序的分类结果。
步骤S1所述的从恶意程序运行时的行为轨迹构建恶意程序的数据流图,具 体为在虚拟机中运行恶意程序,并通过Cuckoo来捕获运行时行为轨迹;数据流 图的实体包括进程PROCESS,注册表REGISTRY,文件File和网络地址URL。
步骤S2所述的从步骤S1构建的数据流图中提取特征子图,从而构成子图 语料库,具体为采用TreeWalk(G,v,d)算法提取特征子图并构建子图语料库。
所述的采用TreeWalk(G,v,d)算法提取特征子图并构建子图语料库,具体为 采用如下步骤提取子图:
B.将数据流图G中节点v的后继节点Nv中未处理的节点作为树根节点的 孩子节点,同时d的值减1;
C.若d>0,则将树中叶子节点在数据流图G中的未处理的邻接节点作为 该叶子节点的孩子节点,同时d的值减1;
步骤S3所述的将步骤S2构建的子图语料库中的子图映射成字符串,具体 为采用如下过程进行映射:初始时子图中节点标示为节点类型 {PROCESS,FILE,REGISTRY,URL},然后将每个节点的后继节点标识排序后 拼接在该节点标识后,再删除子图中出度为零的节点,并重复上述过程直至子 图中只有一个节点为止。
步骤S4所述的采用深度学习算法对子图语料库中的子图进行相似性学习, 从而将子图向量化,具体为采用如下步骤进行子图向量化:
步骤S5所述的采用minHash算法对恶意程序包含的子图向量进行hash计 算,从而构建恶意程序可视化的图片矩阵,具体为采用如下步骤构建图片矩阵:
(1)恶意程序包含的子图向量为V={v(sg1),…,v(sgk)},对子图向量V中 的每一个向量v(sg)=(a1,a2,...,am)的每个维度的值进行hash计算:
hashi(v(sg))=hashi((a1,…,am))=(hashi(a1),…,hashi(am))
其中i=1,2,...,k;
(2)选择最小的hash值作为该维度的最终值:vi=min(hashi(V));
步骤S6所述的构建分类模型,具体为采用卷积神经网络算法CNN构建分 类模型。
本发明提供的这种基于深度学习的恶意程序可视化检测方法,利用深度学 习进行子图向量化同时利用minHash函数将向量间的关系映射到最后可视化图 片矩阵中,其次将子图的结构信息进行字符串化字符串蕴含了原始子图的结构 信息,用字符串匹配代替图的匹配;最后采用神经网络算法进行分类和辨识; 因此本发明方法易于实现,而且可靠性高、实用性好且检测结果准确。
附图说明
图1为本发明方法的方法流程示意图。
图2为本发明方法的TreeWalk(G,v,d)算法的流程示意图。
图3为本发明方法与现有方法的比较ROC示意图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种基于深度 学习的恶意程序可视化检测方法,包括如下步骤:
S1.运行恶意程序,并从恶意程序运行时的行为轨迹构建恶意程序的数据流 图;具体为在虚拟机中运行恶意程序,并通过Cuckoo来捕获运行时行为轨迹; 数据流图的实体包括进程PROCESS,注册表REGISTRY,文件File和网络地址 URL;
在具体实施时,恶意程序运行在虚拟机中通过Cuckoo来捕获运行时行为轨 迹,通过监测***实体间的数据交互来构建流图。数据流图的***实体包括进 程PROCESS,注册表REGISTRY,文件File和网络地址URL;而数据交互包 括进程ReadProcessMemory和WriteProcessMemory,文件ReadFile和WriteFile, 注册表RegQueryValue和RegSetValue,网络Send和Recv;使用e(src,dest,s,t) 表示这一事件,其中src表示文件F,dest表示进程P,s表示事件数据流大小 即信息的字节数,t表示事件发生的时间;
使用update(G,e)来表示数据流图的生成过程,每次捕获***实体间的事件 就对数据流图进行更新;若该事件已存在,则合并流图G中该事件附加的信息, 若不存在则保存该事件信息到流图中,其表示如下:
S2.从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库;具 体为采用TreeWalk(G,v,d)算法(如图2所示)提取特征子图并构建子图语料库:
B.将数据流图G中节点v的后继节点Nv中未处理的节点作为树根节点的 孩子节点,同时d的值减1;
C.若d>0,则将树中叶子节点在数据流图G中的未处理的邻接节点作为 该叶子节点的孩子节点,同时d的值减1;其中树中叶子节点在数据流图已处理 过的节点不进行这一过程;
在具体实施时,使用TreeWalk算法可以从图中以任意节点提取深度为d的 特征子图,这些特征子图包含了图的恶意行为,图2则表示使用TreeWalk算法 从图(a)提取了以根节点A,提取深度d=2的子图(b);然而恶意程序间的差异性 使得恶意行为也不同,仅通过深度为d的特征子图是不足以涵盖所有的恶意行 为,因而本方法通过给定阈值D即最大提取深度来尽可能提取出恶意程序的恶 意行为即从图中以任意节点提取深度d∈{0,1,…,D}的特征子图来尽可能的挖 掘可能的恶意行为;对于图G其所有的提取子图可表示为对于恶意程序数据流图集{G1,G2,…,Gn}中提取每个图的子图集sg(Gi)构造恶意程序的子图语料库 sgcorpus=∪sg(Gi),i=1,2,…n,子图语料库包含了训练样本中恶意程序所有可能 的恶意行为特征;
S3.将步骤S2构建的子图语料库中的子图映射成字符串;具体为采用如下 过程进行映射:初始时子图中节点标示为节点类型 {PROCESS,FILE,REGISTRY,URL},然后将每个节点的后继节点标识排序后 拼接在该节点标识后,再删除子图中出度为零的节点,并重复上述过程直至子 图中只有一个节点为止;
在具体实施时,将子图中节点类型标识为{P,F,R,U},之后将每个节点 的后继节点标识排序后拼接在该节点的标识之后,之后再删除子图中出度为零 的节点,重复该过程直至子图中只剩一个节点,该节点的标识字符串蕴含了原 始子图的结构信息,这一过程类似于拓扑的逆排序,称之为“逆拓扑标识”。不 过必须注意的是1)子图中存在环时方法将失效。子图语料库中的子图都是基于 TreeWalk算法,而TreeWalk算法可以确保提取的子图是一棵树因而不存在环; 2)子图字符串长度与子图的深度有关,当子图深度比较大时,字符串的长度会变 得非常冗长;子图表示恶意程序公共的恶意行为特征,愈发复杂的子图出现在 其他恶意程序中的概率愈低,因而恶意程序的特征子图应在一个合理的范围内, 才可能出现在其他恶意程序中;
S4.采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图 向量化;具体为采用如下步骤进行子图向量化:
上述更新的依据是计算在目标子图条件下其上下文子图概率的最大化即给 定目标子图sgi及其上下文信息context(sgi),使得对数似然公式 最大化,其中概率P(context(sgi)|sgi)是计算上下 文中的所有子图sgj在目标子图sgi的条件下条件概率P(sgj|sgi)的总乘积表 示为而条件概率P(sgj|sgi)则是通过计算子图向量的 比值其中和是子图sgk的输入和输出向量,C表示 子图库中子图的数量;
步骤S4需对所有的子图进行反复学习,即需要对子图库中的子图每出现一 次在训练集的数据流图时,就利用该子图的上下文进行一次更新,通过不断地 学习会使得语境相似(上下文)的子图其向量表示距离也相近;实际过程中, 从数据流图提取子图的同时也保存了该子图的上下文信息,因而后续的过程只 需要读取相关信息即可,这可以减少大量的时间开销;
S5.采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构 建恶意程序可视化的图片矩阵;具体为采用如下步骤构建图片矩阵:
(1)恶意程序包含的子图向量为V={v(sg1),…,v(sgk)},对子图向量V中 的每一个向量v(sg)=(a1,a2,...,am)的每个维度的值进行hash计算:
hashi(v(sg))=hashi((a1,…,am))=(hashi(a1),…,hashi(am))
其中i=1,2,...,k;
(2)选择最小的hash值作为该维度的最终值:vi=min(hashi(V));
实际过程中,对向量hash过程中首先需要将向量中的值进行取整,之后使 用hash算法hashi(x)=(coei,1·x+coei,2)%mod,其中mod是一个非常大的数, 而coei,1和coei,2是由随机函数产生的随机数,每个hashi(x)函数中的coei,1和 coei,2不会全相同;
S6.根据步骤S5得到的恶意程序可视化的图片矩阵,构建分类模型(比如 采用卷积神经网络算法CNN);
S7.针对待检测的程序,构建待检测的程序可视化的图片矩阵,并采用步骤 S6得到的分类模型对待检测的程序可视化的图片矩阵进行分类,从而得到最终 的待检测的程序的分类结果。
以下结合一个实施例,对本发明方法和现有方法进行对比说明:
实验中使用Cuckoo Sandbox来捕获运行在虚拟机上样本的原始行为记录。
实验样本情况下表所示:
表1实验样本
本次实验与基于图匹配的方法(MDC)以及基于深度图内核并使用用SVM构 建模型方法进行比较。数据集中随机选取90%的数据用于训练,剩余10%的数 据用于测试,实验重复了10次且取平均值作为最终结果(如图3所示);
表2结果比较示意表
Accuracy | Precision | Recall | F1 | |
MDC | 0.932 | 0.931 | 0.927 | 0.941 |
SVM | 0.955 | 0.956 | 0.949 | 0.958 |
本专利 | 0.957 | 0.954 | 0.950 | 0.956 |
表2表示两个方法的分类结果比较,从中可以看出本专利准确率最高,因 为本专利使用minHash算法对恶意程序包含的子图其对应的向量转化成可视化 图片,图片包含了原有子图的信息,子图间的相关性也隐含在图片中;同时本 方法使用多个hash函数可以有效地解决基于SVM方法中的规模的问题,这使 得本专利的应用范围更广泛。最后本专利采用“逆拓扑标识”算法将特征子图 映射成字符串,采用字符串匹配代替图的匹配,这易于实现。
Claims (8)
1.一种基于深度学习的恶意程序可视化检测方法,包括如下步骤:
S1.运行恶意程序,并从恶意程序运行时的行为轨迹构建恶意程序的数据流图;
S2.从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库;
S3.将步骤S2构建的子图语料库中的子图映射成字符串;
S4.采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图向量化;
S5.采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构建恶意程序可视化的图片矩阵;
S6.根据步骤S5得到的恶意程序可视化的图片矩阵,构建分类模型;
S7.针对待检测的程序,构建待检测的程序可视化的图片矩阵,并采用步骤S6得到的分类模型对待检测的程序可视化的图片矩阵进行分类,从而得到最终的待检测的程序的分类结果。
2.根据权利要求1所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S1所述的从恶意程序运行时的行为轨迹构建恶意程序的数据流图,具体为在虚拟机中运行恶意程序,并通过Cuckoo来捕获运行时行为轨迹;数据流图的实体包括进程PROCESS,注册表REGISTRY,文件File和网络地址URL。
3.根据权利要求1所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S2所述的从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库,具体为采用TreeWalk(G,v,d)算法提取特征子图并构建子图语料库。
5.根据权利要求1所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S3所述的将步骤S2构建的子图语料库中的子图映射成字符串,具体为采用如下过程进行映射:初始时子图中节点标示为节点类型{PROCESS,FILE,REGISTRY,URL},然后将每个节点的后继节点标识排序后拼接在该节点标识后,再删除子图中出度为零的节点,并重复上述过程直至子图中只有一个节点为止。
7.根据权利要求6所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S5所述的采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构建恶意程序可视化的图片矩阵,具体为采用如下步骤构建图片矩阵:
(1)恶意程序包含的子图向量为V={v(sg1),…,v(sgk)},对子图向量V中的每一个向量v(sg)=(a1,a2,...,am)的每个维度的值进行hash计算:
hashi(v(sg))=hashi((a1,…,am))=(hashi(a1),…,hashi(am))
其中i=1,2,...,k;
(2)选择最小的hash值作为该维度的最终值:vi=min(hashi(V));
8.根据权利要求1~6之一所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S6所述的构建分类模型,具体为采用卷积神经网络算法CNN构建分类模型。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911227920.6A CN111125699B (zh) | 2019-12-04 | 2019-12-04 | 基于深度学习的恶意程序可视化检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911227920.6A CN111125699B (zh) | 2019-12-04 | 2019-12-04 | 基于深度学习的恶意程序可视化检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111125699A true CN111125699A (zh) | 2020-05-08 |
CN111125699B CN111125699B (zh) | 2023-04-18 |
Family
ID=70497328
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911227920.6A Active CN111125699B (zh) | 2019-12-04 | 2019-12-04 | 基于深度学习的恶意程序可视化检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111125699B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105653956A (zh) * | 2016-03-02 | 2016-06-08 | 中国科学院信息工程研究所 | 基于动态行为依赖图的Android恶意软件分类方法 |
US20160306971A1 (en) * | 2015-04-15 | 2016-10-20 | Los Alamos National Security, Llc | Automated identification and reverse engineering of malware |
CN108965245A (zh) * | 2018-05-31 | 2018-12-07 | 国家计算机网络与信息安全管理中心 | 基于自适应异构多分类模型的钓鱼网站检测方法和*** |
CN110245493A (zh) * | 2019-05-22 | 2019-09-17 | 中国人民公安大学 | 一种基于深度置信网络的Android恶意软件检测的方法 |
-
2019
- 2019-12-04 CN CN201911227920.6A patent/CN111125699B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160306971A1 (en) * | 2015-04-15 | 2016-10-20 | Los Alamos National Security, Llc | Automated identification and reverse engineering of malware |
CN105653956A (zh) * | 2016-03-02 | 2016-06-08 | 中国科学院信息工程研究所 | 基于动态行为依赖图的Android恶意软件分类方法 |
CN108965245A (zh) * | 2018-05-31 | 2018-12-07 | 国家计算机网络与信息安全管理中心 | 基于自适应异构多分类模型的钓鱼网站检测方法和*** |
CN110245493A (zh) * | 2019-05-22 | 2019-09-17 | 中国人民公安大学 | 一种基于深度置信网络的Android恶意软件检测的方法 |
Non-Patent Citations (3)
Title |
---|
ABUBAKR SIRAGELDIN ETAL: "《 Graph-based simulated annealing and support vector machine in Malware detection》" * |
孙贺;安庆杰;颜慧颖;吴礼发;: "恶意程序相似性分析技术研究进展" * |
陈浩;王广南;孙建华;: "一种基于图的程序行为相似性比较方法" * |
Also Published As
Publication number | Publication date |
---|---|
CN111125699B (zh) | 2023-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110232373A (zh) | 人脸聚类方法、装置、设备和存储介质 | |
US20140270489A1 (en) | Learned mid-level representation for contour and object detection | |
WO2020164278A1 (zh) | 一种图像处理方法、装置、电子设备和可读存储介质 | |
CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
WO2023070696A1 (zh) | 针对连续学习能力***的基于特征操纵的攻击和防御方法 | |
CN113935033A (zh) | 特征融合的恶意代码家族分类方法、装置和存储介质 | |
CN113360912A (zh) | 恶意软件检测方法、装置、设备及存储介质 | |
CN115270954A (zh) | 基于异常节点识别的无监督的apt攻击检测方法和*** | |
Yujie et al. | End-to-end android malware classification based on pure traffic images | |
CN113705650B (zh) | 一种人脸图片集的处理方法、装置、介质和计算设备 | |
CN108959922B (zh) | 一种基于贝叶斯网的恶意文档检测方法及装置 | |
Zhou et al. | Information distribution based defense against physical attacks on object detection | |
CN111079145B (zh) | 基于图处理的恶意程序检测方法 | |
CN113746780A (zh) | 基于主机画像的异常主机检测方法、装置、介质和设备 | |
CN111125699B (zh) | 基于深度学习的恶意程序可视化检测方法 | |
CN116633589A (zh) | 社交网络中恶意账户检测方法、设备及存储介质 | |
CN113259369B (zh) | 一种基于机器学习成员推断攻击的数据集认证方法及*** | |
CN115622810A (zh) | 一种基于机器学习算法的业务应用识别***及方法 | |
CN115567224A (zh) | 一种用于检测区块链交易异常的方法及相关产品 | |
CN115622793A (zh) | 一种攻击类型识别方法、装置、电子设备及存储介质 | |
CN112733144B (zh) | 一种基于深度学习技术的恶意程序智能检测方法 | |
CN114969761A (zh) | 一种基于lda主题特征的日志异常检测方法 | |
CN113935034A (zh) | 基于图神经网络的恶意代码家族分类方法、装置和存储介质 | |
Fernandez et al. | Classifying suspicious content in Tor Darknet | |
Kim et al. | Research on autoencdoer technology for malware feature purification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20240617 Address after: 410000 East Zone, floor 3, building 1, No. 348, xianjiahu West Road, high tech Development Zone, Changsha, Hunan Patentee after: Hunan Zhongke Angu Information Technology Co.,Ltd. Country or region after: China Address before: Yuelu District City, Hunan province 410083 Changsha Lushan Road No. 932 Patentee before: CENTRAL SOUTH University Country or region before: China |
|
TR01 | Transfer of patent right |