TWI674514B - 惡意軟體辨識裝置及方法 - Google Patents

惡意軟體辨識裝置及方法 Download PDF

Info

Publication number
TWI674514B
TWI674514B TW107137009A TW107137009A TWI674514B TW I674514 B TWI674514 B TW I674514B TW 107137009 A TW107137009 A TW 107137009A TW 107137009 A TW107137009 A TW 107137009A TW I674514 B TWI674514 B TW I674514B
Authority
TW
Taiwan
Prior art keywords
malware
network traffic
data set
category
traffic data
Prior art date
Application number
TW107137009A
Other languages
English (en)
Other versions
TW202016784A (zh
Inventor
徐暐釗
Wei Chao Hsu
柯盈圳
Ying Tsun Ke
陳俊良
Jiann Liang Chen
陳昱宏
Yu Hung Chen
陳彥儒
Yan Ju Chen
Original Assignee
財團法人資訊工業策進會
Institute For Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會, Institute For Information Industry filed Critical 財團法人資訊工業策進會
Priority to TW107137009A priority Critical patent/TWI674514B/zh
Priority to CN201811249190.5A priority patent/CN111079141B/zh
Priority to US16/197,353 priority patent/US10984288B2/en
Application granted granted Critical
Publication of TWI674514B publication Critical patent/TWI674514B/zh
Publication of TW202016784A publication Critical patent/TW202016784A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • G06F18/2148Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the process organisation or structure, e.g. boosting cascade
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/217Validation; Performance evaluation; Active pattern learning techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

一種惡意軟體辨識裝置及方法。該惡意軟體辨識裝置儲存一訓練資料集,其係包含多筆網路流量資料集。各該網路流量資料集對應至多個軟體類別其中之一,該等軟體類別包含多個惡意軟體類別。該惡意軟體辨識裝置測試出一惡意軟體辨識模型對該等惡意軟體類別之一子集之多個辨識率偏低,判斷該子集所對應之該等網路流量資料集之一重疊程度高,合併該子集所對應之惡意軟體類別以更新軟體類別,整合該子集所對應之網路流量資料集以更新訓練資料集,且以更新後之該訓練資料集訓練該惡意軟體辨識模型。該訓練後之惡意軟體辨識模型被佈署於真實世界。

Description

惡意軟體辨識裝置及方法
本發明係關於一種惡意軟體辨識裝置及方法;具體而言,本發明係關於一種基於網路通訊行為進行辨識且能漸進地更新惡意軟體類別之惡意軟體辨識裝置及方法。
基於網路通訊行為(例如:網路流量)來辨識惡意軟體的資安網通設備(例如:防火牆)為建構資安防線的第一線設備。這類資安網通設備需事先分析各種惡意軟體對外的網路通訊行為(例如:與遠端伺服器的溝通行為、網路流量),並予以記錄。之後,若資安網通設備偵測出一軟體有異常的網路通訊行為(例如:連線至一黑名單所記載的網際網路位址、進行大量的網路連線、具有一惡意軟體資料庫所記錄的特定網路特徵),則認定該軟體為惡意軟體,並予以封鎖。
這類資安網通設備無法取得軟體的系統行為(例如:輸入/輸出行為、寫入/讀取動作、應用程式介面(Application Program Interface;API)呼叫),因此僅能以軟體的網路通訊行為作為辨識軟體為正常或惡意的依據。然而,網路通訊行為的特徵相似,且惡意軟體的種類及數目會因變種、切分或重新包裝而持續地增加,要正確地辨識軟體為正常或惡意,甚至辨識出惡意軟體的種類,極具難度。此外,若一軟體以加密方式進行網路通 訊,這類資安網通設備會因無法取得其進階的封包特徵而無法辨識。
有鑑於此,如何基於網路通訊行為辨識惡意軟體之種類且適應日益增加的惡意軟體的種類及數目,為本領域極需解決的課題。
本發明之一目的在於提供一惡意軟體辨識裝置。該惡意軟體辨識裝置包含一儲存器及一處理器,且二者電性連接。該儲存器儲存一訓練資料集與一測試資料集,其中該訓練資料集與該測試資料集各包含複數筆網路流量資料集。各該網路流量資料集對應至複數個軟體類別其中之一,且該等軟體類別包含複數個惡意軟體類別。該處理器以該測試資料集測試出一惡意軟體辨識模型對該等惡意軟體類別之一子集之複數個辨識率低於一第一門檻值,判斷該子集所對應之該等網路流量資料集之一重疊程度大於一第二門檻值,基於該重疊程度大於該第二門檻值之判斷結果,合併該子集所對應之該等惡意軟體類別以更新該等軟體類別,且藉由整合該子集所對應之該等網路流量資料集以更新該訓練資料集。該處理器以更新後之該訓練資料集訓練該惡意軟體辨識模型,且以訓練後之該惡意軟體辨識模型辨識一實際網路流量資料集以獲得一實際辨識結果。
本發明之另一目的在於提供一種惡意軟體辨識方法,其係適用於一電子計算裝置。該電子計算裝置儲存一訓練資料集與一測試資料集,其中該訓練資料集與該測試資料集各包含複數筆網路流量資料集。各該網路流量資料集對應至複數個軟體類別其中之一,其中該等軟體類別包含複數個惡意軟體類別。該惡意軟體識別方法包含下列步驟:(a)以該測試資料集測試出一惡意軟體辨識模型對該等惡意軟體類別之一子集之複數個辨識 率低於一第一門檻值,(b)判斷該子集所對應之該等網路流量資料集之一重疊程度大於一第二門檻值,(c)基於該重疊程度大於該第二門檻值之判斷結果,合併該子集所對應之該等惡意軟體類別以更新該等軟體類別,(d)基於該重疊程度大於該第二門檻值之判斷結果,藉由整合該子集所對應之該等網路流量資料集以更新該訓練資料集,(e)以一機器學習演算法及更新後之該訓練資料集訓練該惡意軟體辨識模型,以及(f)以訓練後之該惡意軟體辨識模型辨識一實際網路流量資料集以獲得一實際辨識結果。
概要而言,本發明所提供之惡意軟體辨識技術(包含裝置及方法)利用一訓練資料集訓練出能辨識一正常軟體類別及複數個惡意軟體類別之一惡意軟體辨識模型。在訓練階段,本發明所提供之惡意軟體辨識技術會基於該惡意軟體辨識模型對各該惡意軟體類別之辨識率判斷是否需要合併某些惡意軟體類別以及整合某些網路流量資料集以重新訓練該惡意軟體辨識模型。透過前述的整併使不同惡意軟體類別間的差異更為明顯,故能使再次訓練後之該惡意軟體辨識模型對各軟體類別之辨識率提高。將該惡意軟體辨識模型佈署於實際的網路環境後,本發明所提供之惡意軟體辨識技術仍可基於一實際辨識結果更新該惡意軟體辨識模型。
透過前述運作,本發明之惡意軟體辨識技術提供一種漸進式地學習訓練一惡意軟體辨識模型之機制。針對辨識率較低之惡意軟體類別,本發明之惡意軟體辨識技術會進一步地分析,且判斷是否需要進行前述的整併及重新訓練,因此能夠建立更具適應性之惡意軟體辨識模型。針對無法分類之惡意軟體類別,本發明之惡意軟體辨識技術亦會進一步地分析,判斷是否需要進行前述的整併、更新定義的惡意軟體類別及重新訓練,故能確保 未知的惡意軟體類別被立即地偵測出來。實際部署惡意軟體辨識模型後,本發明之惡意軟體辨識技術仍會基於實際辨識結果適時地更新該惡意軟體辨識模型。因此,當有變形或未知之惡意軟體時,本發明之惡意軟體辨識技術能夠基於其網路流量資料集更新該惡意軟體辨識模型,增加惡意軟體辨識模型之彈性。此外,由於本發明之惡意軟體辨識技術之運作係基於網路流量資料集,因此亦能辨識出採用加密技術之惡意軟體類別。
由上述說明可知,在惡意軟體的種類及數目不斷增加的情況下,本發明所提供之惡意軟體辨識技術仍能藉由適時地更新惡意軟體辨識模型而持續地辨識出各種惡意軟體類別,即時地阻擋各種既有的或新增的惡意軟體。
以下結合圖式闡述本發明之詳細技術及實施方式,俾使本發明所屬技術領域中具有通常知識者能理解所請求保護之發明之技術特徵。
1‧‧‧惡意軟體辨識裝置
11‧‧‧儲存器
13‧‧‧處理器
10‧‧‧訓練資料集
12‧‧‧測試資料集
10a、……、10b‧‧‧網路流量資料集
12a、……、12b‧‧‧網路流量資料集
14‧‧‧惡意軟體辨識模型
16a、……、16b‧‧‧流量行為相關報告
18a、18b、18c‧‧‧網路流量資料集
S201~S227‧‧‧步驟
第1A圖係描繪本發明之第一實施方式之惡意軟體辨識裝置1之架構示意圖;第1B圖係描繪網路流量資料集之具體範例;第2A圖係描繪本發明之第二實施方式之惡意軟體辨識方法之流程圖;以及第2B圖係描繪本發明之某些實施方式之惡意軟體辨識方法之部分流程圖。
以下將透過實施方式來解釋本發明所提供之惡意軟體辨識 裝置及方法。然而,該等實施方式並非用以限制本發明需在如該等實施方式所述之任何環境、應用或方式方能實施。因此,關於以下實施方式之說明僅在於闡釋本發明之目的,而非用以限制本發明之範圍。應理解,在以下實施方式及圖式中,與本發明非直接相關之元件已省略而未繪示,且圖式中各元件之尺寸以及元件間之尺寸比例僅為便於繪示及說明,而非用以限制本發明之範圍。
本發明之第一實施方式為一惡意軟體辨識裝置1,其架構係描繪於第1A圖。惡意軟體辨識裝置1包含一儲存器11及一處理器13,且二者電性連接。儲存器11可為一記憶體、一硬碟(Hard Disk Drive;HDD)、一通用串列匯流排(Universal Serial Bus;USB)碟、一光碟(Compact Disk;CD)或本發明所屬技術領域中具有通常知識者所知之任何其他具有相同功能之非暫態儲存媒體或裝置。處理器13可為各種處理單元、中央處理單元(Central Processing Unit;CPU)、微處理器(Microprocessor)、數位訊號處理器(Digital Signal Processor;DSP)或本發明所屬技術領域中具有通常知識者所知之任何其他具有相同功能之計算裝置。
儲存器11儲存一訓練資料集10與一測試資料集12,其中訓練資料集10包含複數個網路流量資料集10a、……、10b,且測試資料集12包含複數個網路流量資料集12a、……、12b。訓練資料集10與測試資料集12所包含之網路流量資料集之數目可不相等。網路流量資料集10a、……、10b、12a、……、12b各自對應至複數個軟體類別(例如:100個軟體類別)其中之一,且網路流量資料集109、……、10b、12a、……、12b各自包含所對應之該軟體類別之複數筆網路流量資料。於本實施方式中,一網路流量資料集 (亦即,前述網路流量資料集10a、……、10b、12a、……、12b中之任一個)所包含之複數筆網路流量資料為能呈現網路通訊行為之複數個特徵資料(例如:一來源網際網路位址、一目的地網際網路位址、一開始時間、一結束時間、一通訊協定名稱、一目標埠、一流量大小、一封包數目,但不以此為限)轉換至一多維資料空間後之資料。為便於理解,請參第1B圖所繪示之三個網路流量資料集18a、18b、18c,但該具體範例並非用以限制本發明之範圍。
前述該等軟體類別複數個惡意軟體類別,甚至可再包含一正常軟體類別。為便於後續說明,茲假設於一初始階段(亦即,尚未訓練一惡意軟體辨識模型之階段)共有100個軟體類別,其中1個為正常軟體類別(例如:第一個軟體類別),而其餘99個為惡意軟體類別(例如:第二個至第一百個軟體類別)。應理解,前述軟體類別之數目以及正常/惡意軟體類別之編號僅為舉例而已,並非用以限制本發明之範圍。於本實施方式中,於初始階段,各該惡意軟體類別僅包含一特定惡意軟體,且不同惡意軟體類別係包含不同特定惡意軟體。於其他實施方式中,於初始階段,各該惡意軟體類別可包含不只一個特定惡意軟體,但同一惡意軟體類別中的該等特定惡意軟體之網路通訊行為必須相近(例如:同一惡意軟體類別中的該等特定惡意軟體之網路流量資料集之重疊程度大於一預設門檻值)。此外,於本實施方式中,為使後續的訓練及測試結果較佳,訓練資料集10所包含之網路流量資料集10a、……、10b涵蓋所有的該等軟體類別,且測試資料集12所包含之網路流量資料集12a、……、12b涵蓋所有的該等軟體類別。
於本實施方式中,處理器13利用訓練資料集10訓練出一惡意 軟體辨識模型14,利用測試資料集12測試惡意軟體辨識模型14,再視測試結果決定是否再次訓練惡意軟體辨識模型14。
具體而言,處理器13利用訓練資料集10與一機器學習演算法訓練出用於辨識前述該等軟體類別(例如:100個軟體類別)之惡意軟體辨識模型14。本發明所屬技術領域中具有通常知識者皆應瞭解不同的機器學習演算法對應至不同的機器學習模型。處理器13係以訓練資料集10所包含之網路流量資料集10a、……、10b訓練所採用之機器學習演算法所對應之機器學習模型,並因此訓練出惡意軟體辨識模型14。舉例而言,機器學習模型可為一類神經網路(neural network)模型、一卷積神經網路(convolutional neural network)模型、一羅吉斯回歸模型(logistic regression)、一多類別決策森林(multiclass decision forest)模型,但不以此為限。本發明所屬技術領域中具有通常知識者應熟知機器學習演算法之運作方式,故應能理解處理器13如何以訓練資料集10與機器學習演算法訓練出惡意軟體辨識模型14,故不贅言。
接著,處理器13以測試資料集12所包含之網路流量資料集12a、……、12b測試出惡意軟體辨識模型14對各該軟體類別(包含前述1個正常軟體類別及99個惡意軟體類別)之一第一辨識率。若處理器13測試出該等惡意軟體類別之該等第一辨識率皆大於一第一門檻值,代表惡意軟體辨識模型14通過測試,該等軟體類別為適當的區分方式,因此可將惡意軟體辨識模型14佈署於一實際的網路環境使用。
若處理器13以測試資料集12測試出惡意軟體辨識模型14對該等惡意軟體類別之一子集之第一辨識率(例如:99個惡意軟體類別中的第 17個軟體類別之第一辨識率及第23個軟體類別之第一辨識率)低於該第一門檻值,則處理器13會分析該子集所包含之該等惡意軟體類別所對應之該等網路流量資料集以決定該如何重新訓練惡意軟體辨識模型14。
具體而言,處理器13判斷該子集所包含之該等惡意軟體類別所對應之該等網路流量資料集之一重疊程度是否大於一第二門檻值,此第二門檻值可與前述預設門檻值相同。若該子集所包含之該等惡意軟體類別所對應之該等網路流量資料集之該重疊程度大於該第二門檻值,代表該子集所包含之該等惡意軟體類別之網路通訊行為類似,應將之視為同一個惡意軟體類別。因此,若該子集所包含之該等惡意軟體類別所對應之該等網路流量資料集之該重疊程度大於該第二門檻值,處理器13藉由合併(combine)該子集所對應之該等惡意軟體類別以更新該等軟體類別(亦即,將該子集所對應之該等惡意軟體類別視為同一個惡意軟體類別),且藉由整合(integrate)該子集所對應之該等網路流量資料集以更新訓練資料集10。
於本發明之不同實施方式中,惡意軟體辨識裝置1可採用以下不同方式來整合該子集所包含之該等惡意軟體類別所對應之該等網路流量資料集以更新訓練資料集10。為便於說明,茲假設該子集包含一第一惡意軟體類別與一第二惡意軟體類別(例如:99個惡意軟體類別中的第17個與第23個惡意軟體類別)。
於某些實施方式中,當處理器13需整合該子集所包含之該等惡意軟體類別所對應之該等網路流量資料集以更新訓練資料集10時,處理器13係藉由取該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之一聯集以整合該子集所對應 之該等網路流量資料集。為便於理解,茲以第1B圖所示之網路流量資料集18a、18c為例說明。茲假設網路流量資料集18a為前述第一惡意軟體類別所對應之網路流量資料集,且假設網路流量資料集18c為前述第二惡意軟體類別所對應之網路流量資料集。處理器13係藉由取該第一惡意軟體類別所對應之網路流量資料集18a與該第二惡意軟體類別所對應之網路流量資料集18c之聯集以整合該子集所對應之該等網路流量資料集。
於某些實施方式中,當處理器13需整合該子集所包含之該等惡意軟體類別所對應之該等網路流量資料集以更新訓練資料集10時,處理器13係保留該第一惡意軟體類別所對應之該等網路流量資料集,且捨棄該第二惡意軟體類別所對應之該等網路流量資料集(或,保留該第二惡意軟體類別所對應之該等網路流量資料集,且捨棄該第一惡意軟體類別所對應之該等網路流量資料集)。為便於理解,茲以第1B圖所示之網路流量資料集18a、18b為例說明。茲假設網路流量資料集18a為前述第一惡意軟體類別所對應之網路流量資料集,且假設網路流量資料集18b為前述第二惡意軟體類別所對應之網路流量資料集。處理器13判斷該第一惡意軟體類別所對應之網路流量資料集18a之覆蓋範圍大於該第二惡意軟體類別所對應之網路流量資料集18b之覆蓋範圍,因此處理器13保留該第一惡意軟體類別所對應之網路流量資料集18a,且捨棄該第二惡意軟體類別所對應之網路流量資料集18b。
於某些實施方式中,處理器13則可藉由設置二道門檻值來決定要採用上述哪一種方式整合該子集所對應之該等網路流量資料集以更新訓練資料集10。具體而言,處理器13設置一上門檻值及一下門檻值,其中該 上門檻值高於該下門檻值。若處理器13判斷該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之該重疊程度介於該上門檻值及該下門檻值之間,則取該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之一聯集以整合該子集所對應之該等網路流量資料集。若處理器13判斷該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之該重疊程度高於該上門檻值,則保留該第一惡意軟體類別所對應之該等網路流量資料集,且捨棄該第二惡意軟體類別所對應之該等網路流量資料集(或者,保留該第二惡意軟體類別所對應之該等網路流量資料集,且捨棄該第一惡意軟體類別所對應之該等網路流量資料集)。
上述說明係以一個子集且該子集包含二個惡意軟體類別(亦即,前述該第一惡意軟體類別與該第二惡意軟體類別)為例。依據前述說明,本發明所屬技術領域中具有通常知識者應能理解當一子集包含多於二個惡意軟體類別時,處理器13如何判斷該等惡意軟體類別之網路流量資料集之重疊程度以及如何整合該子集所包含之該等惡意軟體類別所對應之該等網路流量資料集以更新訓練資料集10,茲不贅言。此外,依據前述說明,本發明所屬技術領域中具有通常知識者應能理解當有多個子集各自之第一辨識率低於該第一門檻值時,處理器13會對各該子集一一分析,判斷是否需要更新該等軟體類別及更新訓練資料集10,茲不贅言。
在更新訓練資料集10與更新該等軟體類別(例如:合併第17個與第23個惡意軟體類別為同一個惡意軟體類別,因此該等軟體類別由100 個更新為99個)後,處理器13以更新後之訓練資料集10及前述機器學習演算法再次訓練惡意軟體辨識模型14。
於某些實施方式中,惡意軟體辨識裝置1便視此一再次訓練後之惡意軟體辨識模型14通過測試,更新後之該等軟體類別為適當的區分方式,因此可將此一再次訓練後之惡意軟體辨識模型14佈署於一實際的網路環境使用。
於某些實施方式中,處理器13會再以測試資料集12測試此一再次訓練後之惡意軟體辨識模型14對更新後之各該軟體類別之辨識率。若測試出某些軟體類別之辨識率低於該第一門檻值,處理器13再判斷是否需要再次合併某些惡意軟體類別以及整合某些網路流量資料集以重新訓練惡意軟體辨識模型14。於該等實施方式中,處理器13會重複前述運作,直到訓練出來的惡意軟體辨識模型14對所有的軟體類別之辨識率皆高於該第一門檻值,才會視該惡意軟體辨識模型14通過測試,該等軟體類別為適當的區分方式,可佈署於一實際的網路環境使用。
惡意軟體辨識模型14通過測試且佈署於實際的網路環境後,處理器13便利用惡意軟體辨識模型14辨識一實際網路流量資料集(未繪示)以獲得一實際辨識結果(未繪示)。該實際辨識結果為該實際網路流量資料集對應至哪一個軟體類別。若該實際辨識結果為一特定惡意軟體類別(亦即,該等軟體類別中之某一個惡意軟體類別),處理器13會封鎖該實際網路流量資料集所對應之一應用程式。
於某些實施方式中,惡意軟體辨識裝置1還可依據該實際辨識結果判斷是否要更新惡意軟體辨識模型14。於該等實施方式中,若該實際 辨識結果為一特定惡意軟體類別(亦即,該等軟體類別中之某一個惡意軟體類別),處理器13會根據惡意軟體辨識模型14辨識出該特定惡意軟體類別之一第二辨識率進一步地判斷。
具體而言,處理器13則可藉由設置一第三門檻值及一第四門檻值來進行判斷,其中該第四門檻值高於該第三門檻值。若處理器13判斷該第二辨識率高於該第四門檻值,代表目前的惡意軟體辨識模型14能正確地辨識且目前的該等軟體類別為適當的區分方式,因此不需更新惡意軟體辨識模型14。若處理器13判斷該第二辨識率介於該第三門檻值及該第四門檻值之間,代表該實際網路流量資料集可能來自於一變種的惡意軟體類別,但該變種的惡意軟體類別與原先已存在的某一惡意軟體類別屬於同一家族,因此處理器13可採用前述任一方式整合該特定惡意軟體類別所對應之該等網路流量資料集與該實際網路流量資料集以更新訓練資料集10,且以更新後之訓練資料集10再次訓練惡意軟體辨識模型14。若處理器13判斷該第二辨識率低於該第三門檻值,代表該實際網路流量資料集可能來自於一新惡意軟體類別,因此處理器13藉由增加該新惡意軟體類別以更新該等軟體類別且以該實際網路流量資料集訓練惡意軟體辨識模型14中對應至該新惡意軟體類別之一子辨識模型。
於某些實施方式中,惡意軟體辨識裝置1還可提供流量行為相關報告。於該等實施方式中,儲存器11還儲存複數筆流量行為相關報告16a、……、16b,且流量行為相關報告16a、……、16b各對應至該等惡意軟體類別其中之一。處理器13在訓練惡意軟體辨識模型14之過程,會視需要而合併某些流量行為相關報告。具體而言,若處理器13判斷出需合併某一子集 所對應之該等惡意軟體類別,則亦會合併該子集所包含之該等惡意軟體類別所對應之該等流量行為相關報告。此外,在惡意軟體辨識模型14通過測試且佈署於實際的網路環境後,若惡意軟體辨識模型14辨識一實際網路流量資料之實際辨識結果為一特定惡意軟體類別,則處理器13會根據該特定惡意軟體類別從儲存器11所儲存之流量行為相關報告16a、……、16b中擷取一實際流量行為相關報告。使用者便能根據實際流量行為相關報告採取因應的措施。
由上述說明可知,惡意軟體辨識裝置1會利用訓練資料集10訓練出能辨識正常軟體類別及複數個惡意軟體類別之惡意軟體辨識模型14。在訓練階段,惡意軟體辨識裝置1會基於惡意軟體辨識模型14對各該惡意軟體類別之辨識率判斷是否需要合併某些惡意軟體類別以及整合某些網路流量資料集(亦即,將某些網路通訊行為類似之惡意軟體類別合併為同一惡意軟體類別,且整合其所對應之網路流量資料集)以重新訓練惡意軟體辨識模型14。前述的整併使不同惡意軟體類別間的差異更為明顯,故能提高再次訓練後之惡意軟體辨識模型14對各軟體類別之辨識率。惡意軟體辨識模型14通過測試且佈署於實際的網路環境後,惡意軟體辨識裝置1仍可基於實際辨識結果更新惡意軟體辨識模型14。透過前述運作,在惡意軟體的種類及數目不斷增加的情況下,惡意軟體辨識裝置1仍能藉由適時地更新惡意軟體辨識模型14而持續地辨識出各種惡意軟體類別,即時地阻擋各種既有的或新增的惡意軟體。
本發明之第二實施方式為一惡意軟體辨識方法,其流程圖係描繪於第2A圖。惡意軟體辨識方法適用於一電子計算裝置(亦即,可由該 電子計算裝置執行,例如:第一實施方式中之惡意軟體辨識裝置1)。該電子計算裝置儲存一訓練資料集與一測試資料集,其中該訓練資料集與該測試資料集各包含複數筆網路流量資料集。各該網路流量資料集對應至複數個軟體類別其中之一,其中該等軟體類別包含一正常軟體類別及複數個惡意軟體類別。於一初始階段(亦即,尚未訓練一惡意軟體辨識模型之階段),各該惡意軟體類別僅包含一特定惡意軟體,且不同惡意軟體類別係包含不同特定惡意軟體。
於步驟S201,由該電子計算裝置以該訓練資料集與一機器學習演算法訓練出一惡意軟體辨識模型。於步驟S203,由該電子計算裝置判斷以該測試資料集是否測試出該惡意軟體辨識模型對該等惡意軟體類別之一子集之複數個第一辨識率低於一第一門檻值。若步驟S203之判斷結果為否,則表示該惡意軟體辨識模型通過測試,可結束此一訓練流程。
若步驟S203之判斷結果為是,則執行步驟S205,由該電子計算裝置判斷該子集所對應之該等網路流量資料集之一重疊程度是否大於一第二門檻值。若步驟S205之判斷結果為否,代表沒有需要整合的網路流量資料集,可結束此一訓練流程。若步驟S205之判斷結果為是,則執行步驟S207,由該電子計算裝置藉由合併該子集所對應之該等惡意軟體類別以更新該等軟體類別。於步驟S209,由該電子計算裝置藉由整合該子集所對應之該等網路流量資料集以更新該訓練資料集。需說明者,本發明未限制步驟S207及步驟S209之執行順序。換言之,步驟S207可早於或晚於步驟S209執行,或者步驟S207及步驟S209可同時執行。
於某些實施方式中,該子集包含一第一惡意軟體類別與一第 二惡意軟體類別。步驟S205係判斷該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之重疊程度大於該第二門檻值。步驟S209係藉由保留該第一惡意軟體類別所對應之該等網路流量資料集以及捨棄該第二惡意軟體類別所對應之該等網路流量資料集來該更新該訓練資料集。於某些實施方式中,步驟S209係取該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之一聯集以整合該子集所對應之該等網路流量資料集。
之後,於步驟S211,由該電子計算裝置以更新後之該訓練資料集再次訓練該惡意軟體辨識模型。於某些實施方式中,惡意軟體辨識方法便視步驟S211再次訓練後之惡意軟體辨識模型通過測試,而步驟S207更新後之該等軟體類別為適當的區分方式,因此可將此一再次訓練後之惡意軟體辨識模型佈署於一實際的網路環境使用。
於某些實施方式中,惡意軟體辨識方法則會再次以測試資料集測試此一再次訓練後之惡意軟體辨識模型對更新後之各該軟體類別之辨識率。若測試出某些軟體類別之辨識率低於該第一門檻值,惡意軟體辨識方法再判斷是否需要再次合併某些惡意軟體類別以及整合某些網路流量資料集以重新訓練惡意軟體辨識模型。於該等實施方式中,惡意軟體辨識方法會重複前述步驟,直到訓練出來的惡意軟體辨識模型對所有的軟體類別之辨識率皆高於該第一門檻值,才會視該惡意軟體辨識模型通過測試,該等軟體類別為適當的區分方式,可佈署於一實際的網路環境使用。
於某些實施方式中,惡意軟體辨識方法還可包含第2B圖所 示之流程。於步驟S213,由該電子計算裝置以通過測試之惡意軟體辨識模型(例如:步驟S211所獲得之該惡意軟體辨識模型)辨識一實際網路流量資料集,並因此獲得一實際辨識結果。
於某些實施方式中,惡意軟體辨識方法還會包含步驟S215至步驟S227以基於實際辨識結果更新惡意軟體辨識模型。
於步驟S215,由該電子計算裝置判斷該實際辨識結果是否為一特定惡意軟體類別(亦即,該等軟體類別中之某一個惡意軟體類別)。若步驟S215之判斷結果為否,代表辨識之結果為正常軟體類別,因此惡意軟體辨識方法便可結束此一流程。若步驟S215之判斷結果為是,則執行步驟S217,由該電子計算裝置封鎖該實際網路流量資料集所對應之一應用程式。
於某些實施方式中,若步驟S215判斷該實際辨識結果為一特定惡意軟體類別(亦即,該等軟體類別中之某一個惡意軟體類別),惡意軟體辨識方法還會執行步驟S219,由該電子計算裝置根據惡意軟體辨識模型辨識出該特定惡意軟體類別之一第二辨識率進一步地判斷。具體而言,惡意軟體辨識方法利用一第三門檻值及一第四門檻值,其中該第四門檻值高於該第三門檻值。
若惡意軟體辨識方法判斷該第二辨識率高於該第四門檻值,代表目前的惡意軟體分類為正確的分類方式,因此惡意軟體辨識方法便可結束此一流程。若惡意軟體辨識方法判斷該第二辨識率介於一第三門檻值及一第四門檻值之間,則執行步驟S221及步驟S223,再結束此一流程。於步驟S221,由該電子計算裝置整合該特定惡意軟體類別所對應之該等網路流量資料集與該實際網路流量資料集以更新該訓練資料集。於步驟S223,由該 電子計算裝置以更新後之該訓練資料集再次訓練該惡意軟體辨識模型。若惡意軟體辨識方法判斷該第二辨識率低於該第三門檻值,則執行步驟S225及步驟S227,再結束此一流程。於步驟S225,由該電子計算裝置藉由增加一新惡意軟體類別以更新該等軟體類別。於步驟S227,由該電子計算裝置以該實際網路流量資料集訓練該惡意軟體辨識模型中對應至該新惡意軟體類別之一子辨識模型。
於某些實施方式中,惡意軟體辨識方法還可提供流量行為相關報告。於該等實施方式中,該電子計算裝置還儲存複數筆流量行為相關報告,且各該流量行為相關報告對應至該等惡意軟體類別其中之一。於該等實施方式中,惡意軟體辨識方法在訓練惡意軟體辨識模型之過程,會視需要而合併某些流量行為相關報告。具體而言,若步驟S207合併了某一子集所對應之該等惡意軟體類別,則惡意軟體辨識方法會執行另一步驟以合併該子集所對應之該等惡意軟體類別所對應之該等流量行為相關報告。
另外,於該等實施方式中,在惡意軟體辨識模型通過測試且佈署於實際的網路環境後,若步驟S213之實際辨識結果為一特定惡意軟體類別,則惡意軟體辨識方法會再執行一步驟以根據該特定惡意軟體類別從該等流量行為相關報告中擷取一實際流量行為相關報告。
除了上述步驟,第二實施方式能執行第一實施方式所描述之惡意軟體辨識裝置1之所有運作及步驟,具有同樣之功能,且達到同樣之技術效果。本發明所屬技術領域中具有通常知識者可直接瞭解第二實施方式如何基於上述第一實施方式以執行此等運作及步驟,具有同樣之功能,並達到同樣之技術效果,故不贅述。
需說明者,於本發明專利說明書及申請專利範圍中,某些用語(包含:門檻值、惡意軟體類別、辨識率)前被冠以「第一」、「第二」、或「第三」或「第四」,該等「第一」、「第二」、「第三」及「第四」僅用來區隔該等用語。
綜上所述,本發明所提供之惡意軟體辨識技術(至少包含裝置及方法)利用一訓練資料集訓練出能辨識正常軟體類別及複數個惡意軟體類別之惡意軟體辨識模型。不論在訓練階段或實際使用階段,本發明所提供之惡意軟體辨識技術會在惡意軟體辨識模型之某些辨識率偏低時,判斷是否需要合併某些惡意軟體類別以及整合某些網路流量資料集以重新訓練惡意軟體辨識模型。透過整併使不同惡意軟體類別間的差異更為明顯,故能提高再次訓練後之惡意軟體辨識模型對各軟體類別之辨識率。
透過前述運作,本發明之惡意軟體辨識技術提供一種漸進式地學習訓練一惡意軟體辨識模型之機制。針對辨識率較低之惡意軟體類別,本發明之惡意軟體辨識技術會進一步地分析,且判斷是否需要進行前述的整併及重新訓練,因此能夠建立更具適應性之惡意軟體辨識模型。針對無法分類之惡意軟體類別,本發明之惡意軟體辨識技術亦會進一步地分析,判斷是否需要進行前述的整併、更新定義的惡意軟體類別及重新訓練,故能確保未知的惡意軟體類別被立即地偵測出來。實際部署惡意軟體辨識模型後,本發明之惡意軟體辨識技術仍會基於實際辨識結果適時地更新該惡意軟體辨識模型。因此,當有變形或未知之惡意軟體時,本發明之惡意軟體辨識技術能夠基於其網路流量資料集更新該惡意軟體辨識模型,增加惡意軟體辨識模型之彈性。此外,由於本發明之惡意軟體辨識技術之運作係基於網路流量 資料集,因此亦能辨識出採用加密技術之惡意軟體類別。
在惡意軟體的種類及數目不斷增加的情況下,本發明所提供之惡意軟體辨識技術能藉由適時地更新惡意軟體辨識模型而持續地辨識出各種惡意軟體類別,即時地阻擋各種既有的或新增的惡意軟體。
上述實施方式僅為例示性說明本發明之部分實施態樣,以及闡釋本發明之技術特徵,而非用來限制本發明之保護範疇及範圍。任何熟悉此技藝之人士可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,本發明之權利保護範圍應以申請專利範圍為準。

Claims (19)

  1. 一種惡意軟體辨識裝置,包含:一儲存器,儲存一訓練資料集與一測試資料集,其中該訓練資料集與該測試資料集各包含複數筆網路流量資料集,各該網路流量資料集對應至複數個軟體類別其中之一,該等軟體類別包含複數個惡意軟體類別;以及一處理器,電性連接至該儲存器,以該測試資料集測試出一惡意軟體辨識模型對該等惡意軟體類別之一子集之複數個第一辨識率低於一第一門檻值,判斷該子集所對應之該等網路流量資料集之一重疊程度大於一第二門檻值,且基於該重疊程度大於該第二門檻值之判斷結果,合併該子集所對應之該等惡意軟體類別以更新該等軟體類別,基於該重疊程度大於該第二門檻值之判斷結果,整合該子集所對應之該等網路流量資料集以更新該訓練資料集,且以更新後之該訓練資料集訓練該惡意軟體辨識模型;其中,該處理器還以訓練後之該惡意軟體辨識模型辨識一實際網路流量資料集以獲得一實際辨識結果。
  2. 如請求項1所述之惡意軟體辨識裝置,其中該子集包含一第一惡意軟體類別與一第二惡意軟體類別,該處理器係判斷該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之該重疊程度大於該第二門檻值,該處理器係藉由以下運作整合該子集所對應之該等網路流量資料集:保留該第一惡意軟體類別所對應之該等網路流量資料集,以及捨棄該第二惡意軟體類別所對應之該等網路流量資料集。
  3. 如請求項1所述之惡意軟體辨識裝置,其中該子集包含一第一惡意軟體類別與一第二惡意軟體類別,該處理器係判斷該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之該重疊程度大於該第二門檻值,且該處理器係藉由取該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之一聯集以整合該子集所對應之該等網路流量資料集。
  4. 如請求項1所述之惡意軟體辨識裝置,其中該實際辨識結果包含一特定惡意軟體類別及一第二辨識率,該特定惡意軟體類別為該等惡意軟體類別其中之一,該第二辨識率介於一第三門檻值及一第四門檻值之間,該處理器還藉由整合該特定惡意軟體類別所對應之該等網路流量資料集與該實際網路流量資料集以更新該訓練資料集,且以更新後之該訓練資料集訓練該惡意軟體辨識模型。
  5. 如請求項1所述之惡意軟體辨識裝置,其中該實際辨識結果包含一特定惡意軟體類別及一第二辨識率,該特定惡意軟體類別為該等惡意軟體類別其中之一,該第二辨識率低於一第三門檻值,該處理器還藉由增加一新惡意軟體類別以更新該等軟體類別,且以該實際網路流量資料集訓練該惡意軟體辨識模型中對應至該新惡意軟體類別之一子辨識模型。
  6. 如請求項1所述之惡意軟體辨識裝置,其中該儲存器還儲存各該惡意軟體類別所對應之一流量行為相關報告。
  7. 如請求項6所述之惡意軟體辨識裝置,其中該實際辨識結果包含一特定惡意軟體類別,該特定惡意軟體類別為該等惡意軟體類別其中之一,該處理器還根據該特定惡意軟體類別從該等流量行為相關報告中擷取一實際流量行為相關報告。
  8. 如請求項6所述之惡意軟體辨識裝置,其中該處理器還合併該子集所對應之該等惡意軟體類別所對應之該等流量行為相關報告。
  9. 如請求項1所述之惡意軟體辨識裝置,其中該實際辨識結果包含一特定惡意軟體類別,該處理器還封鎖該實際網路流量資料集所對應之一應用程式。
  10. 如請求項1所述之惡意軟體辨識裝置,其中該等軟體類別還包含一正常軟體類別。
  11. 一種惡意軟體辨識方法,適用於一電子計算裝置,該電子計算裝置儲存一訓練資料集與一測試資料集,該訓練資料集與該測試資料集各包含複數筆網路流量資料集,各該網路流量資料集對應至複數個軟體類別其中之一,該等軟體類別包含複數個惡意軟體類別,該惡意軟體識別方法包含下列步驟:以該測試資料集測試出一惡意軟體辨識模型對該等惡意軟體類別之一子集之複數個第一辨識率低於一第一門檻值;判斷該子集所對應之該等網路流量資料集之一重疊程度大於一第二門檻值;基於該重疊程度大於該第二門檻值之判斷結果,合併該子集所對應之該等惡意軟體類別以更新該等軟體類別;基於該重疊程度大於該第二門檻值之判斷結果,整合該子集所對應之該等網路流量資料集以更新該訓練資料集;以一機器學習演算法及更新後之該訓練資料集訓練該惡意軟體辨識模型;以及以訓練後之該惡意軟體辨識模型辨識一實際網路流量資料集以獲得一實際辨識結果。
  12. 如請求項11所述之惡意軟體辨識方法,其中該子集包含一第一惡意軟體類別與一第二惡意軟體類別,該判斷步驟係判斷該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之該重疊程度大於該第二門檻值,其中藉由整合該子集所對應之該等網路流量資料集以更新該訓練資料集之該步驟包含下列步驟:保留該第一惡意軟體類別所對應之該等網路流量資料集;以及捨棄該第二惡意軟體類別所對應之該等網路流量資料集。
  13. 如請求項11所述之惡意軟體辨識方法,其中該子集包含一第一惡意軟體類別與一第二惡意軟體類別,該判斷步驟係判斷該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之該重疊程度大於該第二門檻值,其中藉由整合該子集所對應之該等網路流量資料集以更新該訓練資料集之該步驟包含下列步驟:取該第一惡意軟體類別所對應之該等網路流量資料集與該第二惡意軟體類別所對應之該等網路流量資料集之一聯集以整合該子集所對應之該等網路流量資料集。
  14. 如請求項11所述之惡意軟體辨識方法,其中該實際辨識結果包含一特定惡意軟體類別及一第二辨識率,該特定惡意軟體類別為該等惡意軟體類別其中之一,該第二辨識率介於一第三門檻值及一第四門檻值之間,該惡意軟體辨識方法還包括下列步驟:藉由整合該特定惡意軟體類別所對應之該等網路流量資料集與該實際網路流量資料集以更新該訓練資料集;以及以更新後之該訓練資料集再次訓練該惡意軟體辨識模型。
  15. 如請求項11所述之惡意軟體辨識方法,其中該實際辨識結果包含一特定惡意軟體類別及一第二辨識率,該特定惡意軟體類別為該等惡意軟體類別其中之一,該第二辨識率低於一第三門檻值,該惡意軟體方法還包括下列步驟:藉由增加一新惡意軟體類別以更新該等軟體類別;以及以該實際網路流量資料集訓練該惡意軟體辨識模型中對應至該新惡意軟體類別之一子辨識模型。
  16. 如請求項11所述之惡意軟體辨識方法,其中該電子計算裝置還儲存各該惡意軟體類別所對應之一流量行為相關報告,該實際辨識結果包含一特定惡意軟體類別,該特定惡意軟體類別為該等惡意軟體類別其中之一,該惡意軟體辨識方法還包括下列步驟:根據該特定惡意軟體類別從該等流量行為相關報告中擷取一實際流量行為相關報告。
  17. 如請求項11所述之惡意軟體辨識方法,其中該電子計算裝置還儲存各該惡意軟體類別所對應之一流量行為相關報告,該惡意軟體辨識方法還包含下列步驟:合併該子集所對應之該等惡意軟體類別所對應之該等流量行為相關報告。
  18. 如請求項11所述之惡意軟體辨識方法,其中該實際辨識結果包含一特定惡意軟體類別,該惡意軟體辨識方法還包括下列步驟:封鎖該實際網路流量資料集所對應之一應用程式。
  19. 如請求項11所述之惡意軟體辨識方法,其中該等軟體類別還包含一正常軟體類別。
TW107137009A 2018-10-19 2018-10-19 惡意軟體辨識裝置及方法 TWI674514B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107137009A TWI674514B (zh) 2018-10-19 2018-10-19 惡意軟體辨識裝置及方法
CN201811249190.5A CN111079141B (zh) 2018-10-19 2018-10-25 恶意软件辨识装置及方法
US16/197,353 US10984288B2 (en) 2018-10-19 2018-11-20 Malicious software recognition apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107137009A TWI674514B (zh) 2018-10-19 2018-10-19 惡意軟體辨識裝置及方法

Publications (2)

Publication Number Publication Date
TWI674514B true TWI674514B (zh) 2019-10-11
TW202016784A TW202016784A (zh) 2020-05-01

Family

ID=69023791

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107137009A TWI674514B (zh) 2018-10-19 2018-10-19 惡意軟體辨識裝置及方法

Country Status (3)

Country Link
US (1) US10984288B2 (zh)
CN (1) CN111079141B (zh)
TW (1) TWI674514B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11641406B2 (en) * 2018-10-17 2023-05-02 Servicenow, Inc. Identifying applications with machine learning
CN111814147A (zh) * 2020-06-03 2020-10-23 武汉科技大学 基于模型库的安卓恶意软件检测方法
CN112182571A (zh) * 2020-07-21 2021-01-05 浙江工商大学 一种基于神经网络不变量的安卓恶意应用检测***
CN113347184A (zh) * 2021-06-01 2021-09-03 国家计算机网络与信息安全管理中心 网络流量安全检测引擎的测试方法、装置、设备及介质
CN115834097B (zh) * 2022-06-24 2024-03-22 电子科技大学 基于多视角的https恶意软件流量检测***及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105022960A (zh) * 2015-08-10 2015-11-04 济南大学 基于网络流量的多特征移动终端恶意软件检测方法及***
TW201741924A (zh) * 2016-05-23 2017-12-01 緯創資通股份有限公司 惡意碼的防護方法、系統及監控裝置
TW201807612A (zh) * 2016-08-29 2018-03-01 趨勢科技股份有限公司 於電腦檔案之區段中偵測惡意程式碼
US20180285740A1 (en) * 2017-04-03 2018-10-04 Royal Bank Of Canada Systems and methods for malicious code detection

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
CN105187395B (zh) * 2015-08-10 2018-10-23 济南大学 基于接入路由器进行恶意软件网络行为检测的方法及***
CN105426762B (zh) * 2015-12-28 2018-08-14 重庆邮电大学 一种android应用程序恶意性的静态检测方法
US10846308B2 (en) * 2016-07-27 2020-11-24 Anomalee Inc. Prioritized detection and classification of clusters of anomalous samples on high-dimensional continuous and mixed discrete/continuous feature spaces
US10325224B1 (en) * 2017-03-23 2019-06-18 Palantir Technologies Inc. Systems and methods for selecting machine learning training data
CN107509170A (zh) * 2017-08-31 2017-12-22 维沃移动通信有限公司 一种推荐同类用户的方法和移动终端
CN108197471B (zh) * 2017-12-19 2020-07-10 北京神州绿盟信息安全科技股份有限公司 一种恶意软件检测方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105022960A (zh) * 2015-08-10 2015-11-04 济南大学 基于网络流量的多特征移动终端恶意软件检测方法及***
TW201741924A (zh) * 2016-05-23 2017-12-01 緯創資通股份有限公司 惡意碼的防護方法、系統及監控裝置
TW201807612A (zh) * 2016-08-29 2018-03-01 趨勢科技股份有限公司 於電腦檔案之區段中偵測惡意程式碼
US20180285740A1 (en) * 2017-04-03 2018-10-04 Royal Bank Of Canada Systems and methods for malicious code detection

Also Published As

Publication number Publication date
TW202016784A (zh) 2020-05-01
CN111079141B (zh) 2022-05-27
CN111079141A (zh) 2020-04-28
US20200125896A1 (en) 2020-04-23
US10984288B2 (en) 2021-04-20

Similar Documents

Publication Publication Date Title
TWI674514B (zh) 惡意軟體辨識裝置及方法
US11003773B1 (en) System and method for automatically generating malware detection rule recommendations
US10417420B2 (en) Malware detection and classification based on memory semantic analysis
EP2988468A1 (en) Apparatus, method, and program
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN109684833B (zh) 使程序危险行为模式适应用户计算机***的***和方法
US20210157909A1 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
US11533325B2 (en) Automatic categorization of IDPS signatures from multiple different IDPS systems
CN110414236A (zh) 一种恶意进程的检测方法及装置
JP6749956B2 (ja) トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム
CN109800569A (zh) 程序鉴别方法及装置
CN110287722B (zh) iOS应用中用于隐私条例检查的敏感权限提取方法
US20200310868A1 (en) System and method for performing a task on a computing device based on access rights
KR101988747B1 (ko) 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치
CN111224919A (zh) 一种ddos识别方法、装置、电子设备及介质
CN113630389A (zh) 用户异常行为识别方法、***、电子设备及存储介质
JP7391960B2 (ja) エクスプロイト・キット検出
US10853462B2 (en) Authorizing file access with user I/O and hardware usage patterns
EP3694176A1 (en) System and method for performing a task based on access rights determined from a danger level of the task
US9088604B1 (en) Systems and methods for treating locally created files as trustworthy
CN105809074B (zh) 一种usb数据传输控制方法、装置、控制组件及***
WO2022185576A1 (ja) 不正侵害分析支援装置、及び不正侵害分析支援方法
EP3716572B1 (en) System and method for performing a task on a computing device based on access rights
KR101884529B1 (ko) 최신 네트워크 응용 분류를 위한 자동화 페이로드 시그니쳐 업데이트 시스템 및 방법
US20240220619A1 (en) Systems and methods for selecting client backup files for maliciousness analysis