CN103810424B - 一种异常应用程序的识别方法及装置 - Google Patents
一种异常应用程序的识别方法及装置 Download PDFInfo
- Publication number
- CN103810424B CN103810424B CN201210436204.0A CN201210436204A CN103810424B CN 103810424 B CN103810424 B CN 103810424B CN 201210436204 A CN201210436204 A CN 201210436204A CN 103810424 B CN103810424 B CN 103810424B
- Authority
- CN
- China
- Prior art keywords
- application program
- dynamic behaviour
- abnormal application
- behaviour information
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种异常应用程序的识别方法和装置,所述方法包括以下步骤:运行已存储的异常应用程序,获取异常应用程序的动态行为信息;将获取的异常应用程序的动态行为信息输入至预先设置的检测网络;通过所述检测网络获取所述动态行为信息的行为规则;根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。本发明能够及时的识别新型的异常应用程序,譬如病毒或者木马,提高了识别以及查杀的效率。
Description
【技术领域】
本发明涉及互联网络领域,特别是涉及一种异常应用程序的识别方法和装置。
【背景技术】
随着互联网络的不断普及,对网络安全性能提出了很高的要求。
用户在使用计算机登录互联网络后,经常会因为各种各样的原因感染病毒或者木马,现有技术中,对病毒或者木马等异常应用程序的识别方法包括以下两种形式:
第一、特征扫描方式;该方式技术是在人为发现新病毒后,对病毒进行分析,根据病毒的特点提取病毒特征,将提取的病毒特征加入到数据库中。在后续执行查毒程序时,若发现有可疑文件,则将该可疑文件与病毒数据库中的病毒特征进行匹配,以判断该可疑文件是否含有病毒。该方式的缺点是不能识别未知的病毒,而且随着病毒种类的增多,特别是变形病毒和隐藏性病毒的发展,病毒特征数据库越来越庞大,该方式显然不能满足及时快速查杀病毒的要求。
第二、人工规则行为启发式扫描方式,该方式通过人工分析已知的病毒样本,总结病毒样本的行为规则,然后将总结的规则保存到数据库。在发现可疑文件时,将可疑文件的运行行为与预先存储的行为规则进行逐一匹配,如果匹配搭配一致的行为规则,则判定该可疑文件为病毒。该方式能够对一些未知病毒进行识别,但是随着病毒的不断发展,新型病毒层出不穷,病毒行为也千变万化,而通过人工分析病毒行为然后进行总结的方式,显然效率低下,不能满足查杀病毒的要求。
综上,如何能够及时的识别新型病毒,提高病毒的查杀效率,是需要解决的技术问题之一。
【发明内容】
本发明的一个目的在于提供一种异常应用程序的识别方法,旨在能够及时的识别新型病毒,提高病毒的查杀效率。
为达到上述有益技术效果,本发明构造了一种异常应用程序的识别方法,所述方法包括以下步骤:
运行已存储的异常应用程序,获取异常应用程序的动态行为信息;
将获取的异常应用程序的动态行为信息输入至预先设置的检测网络;
通过所述检测网络获取所述动态行为信息的行为规则;
根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。
在本发明一实施例中:运行已存储的异常应用程序的步骤之前,所述方法还包括以下步骤:
预先生成一检测网络。
在本发明一实施例中:将获取的异常应用程序的动态行为信息输入至预先设置的检测网络的骤具体包括:
将获取的异常应用程序的动态行为信息转化为行为向量;
将所述行为向量输入至所述检测网络。
在本发明一实施例中:运行已存储的异常应用程序的步骤之前,所述方法还包括以下步骤:
建立动态行为信息监控点;
通过所述动态行为信息监控点获取异常应用程序的动态行为信息。
在本发明一实施例中:所述检测网络为反向传播网络。
本发明的另一个目的在于提供一种异常应用程序的识别装置,旨在能够及时的识别新型病毒,提高病毒的查杀效率。
为达到上述有益技术效果,本发明构造了一种异常应用程序的识别装置,所述装置包括:
动态行为信息获取模块,用于运行已存储的异常应用程序,获取异常应用程序的动态行为信息;
动态行为信息传送模块,用于将获取的异常应用程序的动态行为信息输入至预先设置的检测网络;
行为规则获取模块,用于通过所述检测网络获取所述动态行为信息的行为规则;
识别模块,用于根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。
在本发明一实施例中:所述装置还包括:检测网络生成模块,用于预先生成一检测网络。
在本发明一实施例中:所述装置还包括:行为向量转化模块,用于将获取的异常应用程序的动态行为信息转化为行为向量,所述动态行为信息传送模块将所述行为向量输入至所述检测网络。
在本发明一实施例中:所述装置还包括:监控点建立模块,用于建立动态行为信息监控点,所述动态行为信息获取模块通过所述动态行为信息监控点获取异常应用程序的动态行为信息。
在本发明一实施例中:所述检测网络为反向传播网络。
本发明的另一个目的在于提供一种异常应用程序的识别方法,旨在对异常应用程序进行查杀时,避免误判情况的发生。
为达到上述有益技术效果,本发明构造了一种异常应用程序的识别方法,包括:
运行已存储的正常应用程序,获取正常应用程序的动态行为信息;
将获取的正常应用程序的动态行为信息输入至预先设置的检测网络;
通过所述检测网络获取所述动态行为信息的行为规则;
根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否属于正常应用程序。
在本发明一实施例中:运行已存储的正常应用程序的步骤之前,所述方法还包括以下步骤:
预先生成所述检测网络。
在本发明一实施例中:将获取的异常应用程序的动态行为信息输入至预先设置的检测网络的步骤包括:
将获取的正常应用程序的动态行为信息转化为行为向量;
而通过所述检测网络获取所述动态行为信息的所述行为规则的步骤包括:
将所述行为向量输入至所述检测网络,以获取所述动态行为信息的所述行为规则。
在本发明一实施例中:在将获取的正常应用程序的动态行为信息转化为所述行为向量的步骤之前,所述方法还包括以下步骤;预先建立行为向量映射规则;
而将获取的正常应用程序的动态行为信息转化为所述行为向量的步骤包括:
根据所述行为向量映射规则将获取的正常应用程序的动态行为信息映射成所述行为向量。
在本发明一实施例中:运行已存储的正常应用程序的步骤之前,所述方法还包括以下步骤:
建立动态行为信息监控点;以及
通过所述动态行为信息监控点获取正常应用程序的动态行为信息。
在本发明一实施例中:所述检测网络为反向传播网络。
相对于现有技术,本发明预先建立一个检测络,然后运行已存储的异常应用程序,获取异常应用程序的动态行为信息,将获取的动态行为信息输入至检测网络,由所述检测网络总结获取异常应用程序的行为规则,并根据获取的行为规则去识别其它异常应用程序。显然,本发明能够及时的识别新型病毒,提高了病毒的查杀效率。
为让本发明的上述内容能更明显易懂,下文特举优选实施例,并配合所附图式,作详细说明如下:
【附图说明】
图1为本发明提供的异常应用程序的识别方法的较佳实施例流程示意图;
图2为本发明中检测网络的较佳实施例模型示意图;
图3为本发明提供的异常应用程序的识别装置的较佳实施例流程示意图。
【具体实施方式】
以下各实施例的说明是参考附加的图式,用以例示本发明可用以实施的特定实施例。本发明所提到的方向用语,例如「上」、「下」、「前」、「后」、「左」、「右」、「内」、「外」、「侧面」等,仅是参考附加图式的方向。因此,使用的方向用语是用以说明及理解本发明,而非用以限制本发明。在图中,结构相似的单元是以相同标号表示。
请参阅图1,图1为本发明提供的异常应用程序的识别方法的较佳实施例流程示意图。
在步骤S101,预先生成一检测网络。
本发明提供的检测网络优选为反向传播(Back Propagation,BP)神经网络,其中BP神经网络为一种按误差逆传播算法训练的多层前馈网络,BP网络能够学习和存贮大量的输入/输出模式映射关系,而且无需预先揭示描述上述映射关系的数学方程。
在步骤S102,运行已存储的异常应用程序,获取异常应用程序的动态行为信息。
所述异常应用程序譬如为病毒或者木马程序,当然也可以是其它的影响电脑或者终端正常使用的不正当程序,此处不一一列举。
在具体实施过程中,可在虚拟机上运行已存储的异常应用程序,并通过预先建立的行为监控点获取异常信息的动态行为信息,譬如在虚拟机上建立注册表操作监控,文件操作监控,网络连接监控或者应用程序编程接口(Application Programming Interface,API)调用监控等,详细描述请参阅下文。
在步骤S103,将获取的动态行为信息转化为行为向量,并将所述行为向量输入至预先设置的检测网络。
在具体实施过程中,本发明预先建立行为向量映射规则,将获取的动态行为信息映射成行为向量。譬如:
是否操作了危险注册表项,是为1,否为0;
是否操作了敏感文件,是为1,否为0;
是否网络连接做了危险操作,是为1,否为0;
是否操作了API(1),是为1,否为0;
是否操作了API(2),是为1,否为0…
最终,形成一能够代表动态行为信息的结果输出向量{0,1,0,1,1......}。
其中所述检测网络的输入为所述行为向量,输出为结果输出向量,所述结果输出向量代表被扫描应用程序是否有危险,1代表无危险,0代表有危险。
以检测网络为BP神经网络为例,将获取的动态行为信息转化为行为向量的过程描述如下:设BP神经网络表达式为y=f(x),x代表输入的行为向量,y代表结果输出向量,y=1代表正常(y=1或y接近于1都判定为正常),y=0代表异常(y=0或y接近于0都判定为异常)。现有一行为向量x={1,1,0,1,0,1,0,1...},属于异常(yd=0,yd代表期望结果值),将x输入BP神经网络,输出为yc(yc代表实际输出值)。将yd与yc做差平方运算((yd-yc)^2),判断结果是否小于阀值a,如果小于a,就不需要反馈调整BP网络中各节点权值,如果大于a,就反馈调整BP网络中各节点权值,直到(yd-yc)^2<a。
其中,BP神经网络的权重调整学习率的合适值范围3.0到5.0;动量学习率的合适值范围1.0到1.5,误差限制值的合适值范围0.0001。采用差平方平均值计算误差:((yd-yc)^2)/m<0.0001,其中yd代表期望输出值,yc代表实际输出值。m代表输出层神经元个数,此处为1。
在步骤S104,通过所述检测网络获取行为向量的行为规则。
在步骤S106,通过所述检测网络获取的行为规则对检测到的异常应用程序进行识别。
在具体实施过程中,本发明优选两种应用程序样本,一种为完全异常的应用程序,一种为完全正常的应用程序。而且所述完全异常的应用程序选取不同种类的异常应用程序,之后将选取的异常应用程序逐一运行,通过建立的监控点获取异常应用程序的动态行为信息,并将获取的动态行为信息转化为对应的行为向量,将转化的行为向量输入预先生成的检测网络,并进行反馈训练。
之后选择完全正常的应用程序,之后将正常应用程序逐一运行,通过建立的监控点获取正常应用程序的动态行为信息,并将获取的动态行为信息转化为对应的行为向量,将转化的行为向量输入预先生成的检测网络,并进行反馈训练。本发明运行完全正常的应用程序,并根据运行结果检测其它应用程序,可避免误判情况的发生。
承接步骤S102的描述,本发明中的行为监控分为四大类:
第一、危险注册表项操作监控,即在数据库文件(DB)中预先建立一危险注册项表,将可能存在危险的注册表项存在该危险注册项表中。之后通过虚拟机(VM)运行检测到的应用程序,获取检测到的应用程序的操作注册表项,然后在数据库文件的危险注册项表中进行匹配,判断是否存在与上述检测到的应用程序的操作注册表项一致的危险注册项表,若是,则结果输出向量为1,若否则结果输出向量为0。
第二、敏感文件操作监控,即在数据库文件预先建立一敏感文件项表,将可能存在的敏感文件名和路径存储于该敏感文件项表中。之后通过虚拟机运行检测到的应用程序,获取检测到的应用程序的操作文件项,然后在数据库文件中的敏感文件项表中进行匹配,判断是否存在检测到的应用程序的操作文件项一致的敏感文件名或者路径,若是,则结果输出向量为1,若否则结果输出向量为0。
第三、网络连接监控,即在数据库文件中建立一张危险统一资源定位符表(Uniform Resource Location,URL)和IP表,将可能存在危险URL和IP存在该URL和IP表中。之后通过虚拟机运行检测到的应用程序,获取检测到的应用程序的网络连接信息,然后在URL和IP表中查找是否存在上述网络连接信息,若是,则结果输出向量为1,若否则结果输出向量为0。
第四、系统API调用监控,即在数据库文件中预先存储一系统API调用表。之后通过虚拟机运行检测到的应用程序,获取检测到的应用程序的调用系统API情况,对调用过的系统API对应的表项中设置为1,没有调用过的设置为0,譬如请参阅下表:
| API1(FindWindow) | 1 |
| API2(CreateProcess) | 0 |
| API3(WriteProcessMemory) | 1 |
| .......... | .... |
本发明提供的检测网络,譬如BP神经网络包括输入层、中间层以及输出层,所述输入层的神经元个数为1003,其中危险注册表项操作监控,敏感文件操作监控和网络连接监控各占3个输入神经元,系统API调用监控占用1000个输入神经元。所述中间层包括第一中间层和第二中间层,所述第一中间层的神经元个数为60000,所述第二中间层的神经元个数为60000。所述输出层的输出值偏向于1或为1时,代表检测到的应用程序正常;所述输出层的输出值偏向于0或为0时,代表检测到的应用程序异常。
请参阅图2,图2为本发明提供的检测网络的较佳实施例模型示意图。在具体实施过程中,所述检测网络采用下述公式(1)和(2)作为此检测网络模型的活化函数(激励函数)。
活化函数:y=1/(1+exp(-x)) (1)
活化函数求导函数:y=1.0/(exp(x)*pow((1.0/exp(x)+1),2.0)) (2)
请一并参阅下表,
从应用程序样本库中随机抽取5000个混合样本进行对比测试扫描,显然基于检测网络(BP神经网络)的检出率高于现有技术中特征扫描方式以及人工规则行为启发式扫描方式的检出率。
请参阅图3,图3为本发明提供的异常应用程序的识别装置的较佳实施例结构示意图,所述异常应用程序的识别装置包括检测网络生成模块31、监控点建立模块32、动态行为信息获取模块33、行为向量转化模块34、动态行为信息传送模块35、行为规则获取模块36以及识别模块37:
所述检测网络生成模块31预先生成一检测网络。其中所述检测网络优选为反向传播网络。所述监控点建立模块32建立动态行为信息监控点。譬如在虚拟机上建立注册表操作监控,文件操作监控,网络连接监控或者应API调用监控等。
所述动态行为信息获取模块33运行已存储的异常应用程序,并通过所述动态行为信息监控点获取异常应用程序的动态行为信息。
所述行为向量转化模块34将获取的异常应用程序的动态行为信息转化为行为向量,所述动态行为信息传送模块35将所述行为向量输入至所述检测网络,即将获取的异常应用程序的动态行为信息输入至预先设置的检测网络。
所述行为规则获取模块35通过所述检测网络获取所述动态行为信息的行为规则;所述识别模块36根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。
关于所述异常应用程序的识别装置的具体的工作过程请参阅上文针对异常应用程序的识别方法的详细描述,此处不再赘述。
本发明预先建立一个检测络,然后运行已存储的异常应用程序,获取异常应用程序的动态行为信息,将获取的动态行为信息输入至检测网络,由所述检测网络总结获取异常应用程序的行为规则,根据获取的行为规则去识别其它异常应用程序。显然,本发明能够及时的识别新型病毒,提高了病毒的查杀效率。
综上所述,虽然本发明已以优选实施例揭露如上,但上述优选实施例并非用以限制本发明,本领域的普通技术人员,在不脱离本发明的精神和范围内,均可作各种更动与润饰,因此本发明的保护范围以权利要求界定的范围为准。
Claims (15)
1.一种异常应用程序的识别方法,其特征在于:所述方法包括以下步骤:
运行已存储的异常应用程序,通过注册表操作监控、文件操作监控、网络连接监控或者应用程序编程接口调用监控获取异常应用程序的动态行为信息;
将获取的异常应用程序的动态行为信息转化为行为向量;
将所述行为向量输入至检测网络,以获取所述动态行为信息的行为规则;其中所述检测网络的激励函数如以下公式所示:
y=1/(1+exp(-x)),其中x代表输入的行为向量,y代表结果输出向量;以及
根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。
2.根据权利要求1所述的异常应用程序的识别方法,其特征在于:运行已存储的异常应用程序的步骤之前,所述方法还包括以下步骤:
预先生成所述检测网络。
3.根据权利要求1所述的异常应用程序的识别方法,其特征在于:在将获取的异常应用程序的动态行为信息转化为所述行为向量的步骤之前,所述方法还包括以下步骤;预先建立行为向量映射规则;
而将获取的异常应用程序的动态行为信息转化为所述行为向量的步骤包括:
根据所述行为向量映射规则将获取的动态行为信息映射成所述行为向量。
4.根据权利要求1所述的异常应用程序的识别方法,其特征在于:运行已存储的异常应用程序的步骤之前,所述方法还包括以下步骤:
建立动态行为信息监控点;以及
通过所述动态行为信息监控点获取异常应用程序的动态行为信息。
5.根据权利要求1所述的异常应用程序的识别方法,其特征在于:所述检测网络为反向传播网络。
6.根据权利要求1所述的异常应用程序的识别方法,其特征在于:运行已存储的异常应用程序的步骤包括:
运行已存储的不同种类的异常应用程序。
7.一种异常应用程序的识别装置,其特征在于:所述装置包括:
动态行为信息获取模块,用于运行已存储的异常应用程序,通过注册表操作监控、文件操作监控、网络连接监控或者应用程序编程接口调用监控获取异常应用程序的动态行为信息;
动态行为信息传送模块,用于将获取的异常应用程序的动态行为信息转化为行为向量;
行为规则获取模块,用于将所述行为向量输入至检测网络,以获取所述动态行为信息的行为规则;其中所述检测网络的激励函数如以下公式所示:
y=1/(1+exp(-x)),其中x代表输入的行为向量,y代表结果输出向量;以及
识别模块,用于根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否为异常应用程序。
8.根据权利要求7所述的异常应用程序的识别装置,所述装置还包括:
检测网络生成模块,用于预先生成所述检测网络。
9.根据权利要求7所述的异常应用程序的识别装置,其特征在于:所述装置还包括:
监控点建立模块,用于建立动态行为信息监控点,所述动态行为信息获取模块通过所述动态行为信息监控点获取异常应用程序的动态行为信息。
10.根据权利要求7所述的异常应用程序的识别装置,其特征在于:所述检测网络为反向传播网络。
11.一种异常应用程序的识别方法,其特征在于:所述方法包括以下步骤:
运行已存储的正常应用程序,通过注册表操作监控、文件操作监控、网络连接监控或者应用程序编程接口调用监控获取正常应用程序的动态行为信息;
将获取的正常应用程序的动态行为信息转化为行为向量;
将所述行为向量输入至检测网络,以获取所述动态行为信息的行为规则;其中所述检测网络的激励函数如以下公式所示:
y=1/(1+exp(-x)),其中x代表输入的行为向量,y代表结果输出向量;
根据获取的行为规则对检测到的应用程序进行识别,以判断检测到的应用程序是否属于异常应用程序。
12.根据权利要求11所述的异常应用程序的识别方法,其特征在于:运行已存储的正常应用程序的步骤之前,所述方法还包括以下步骤:
预先生成所述检测网络。
13.根据权利要求11所述的异常应用程序的识别方法,其特征在于:在将获取的正常应用程序的动态行为信息转化为所述行为向量的步骤之前,所述方法还包括以下步骤;预先建立行为向量映射规则;
而将获取的正常应用程序的动态行为信息转化为所述行为向量的步骤包括:
根据所述行为向量映射规则将获取的正常应用程序的动态行为信息映射成所述行为向量。
14.根据权利要求11所述的异常应用程序的识别方法,其特征在于:运行已存储的正常应用程序的步骤之前,所述方法还包括以下步骤:
建立动态行为信息监控点;以及
通过所述动态行为信息监控点获取正常应用程序的动态行为信息。
15.根据权利要求11所述的异常应用程序的识别方法,其特征在于:所述检测网络为反向传播网络。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210436204.0A CN103810424B (zh) | 2012-11-05 | 2012-11-05 | 一种异常应用程序的识别方法及装置 |
| PCT/CN2013/085930 WO2014067424A1 (en) | 2012-11-05 | 2013-10-25 | Method and device for identifying abnormal application |
| TW102139931A TWI498770B (zh) | 2012-11-05 | 2013-11-04 | 一種異常應用程式的識別方法及裝置 |
| US14/700,323 US9894097B2 (en) | 2012-11-05 | 2015-04-30 | Method and device for identifying abnormal application |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210436204.0A CN103810424B (zh) | 2012-11-05 | 2012-11-05 | 一种异常应用程序的识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103810424A CN103810424A (zh) | 2014-05-21 |
| CN103810424B true CN103810424B (zh) | 2017-02-08 |
Family
ID=50626476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210436204.0A Active CN103810424B (zh) | 2012-11-05 | 2012-11-05 | 一种异常应用程序的识别方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9894097B2 (zh) |
| CN (1) | CN103810424B (zh) |
| TW (1) | TWI498770B (zh) |
| WO (1) | WO2014067424A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI608717B (zh) * | 2011-06-28 | 2017-12-11 | 內數位專利控股公司 | 資料管理行動性政策 |
| TWI512528B (zh) * | 2015-01-05 | 2015-12-11 | Rangecloud Information Technology Co Ltd | Dynamic detection of intelligent devices and methods of the application, and computer program products |
| CN104809045B (zh) * | 2015-04-27 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 监控脚本的运行方法及装置 |
| RU2589862C1 (ru) * | 2015-06-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносного кода в оперативной памяти |
| CN105488100A (zh) * | 2015-11-18 | 2016-04-13 | 国信司南(北京)地理信息技术有限公司 | 一种非涉密环境下涉密地理数据的高效检测发现系统 |
| CN106911629B (zh) * | 2015-12-22 | 2020-03-10 | 中国移动通信集团公司 | 一种报警关联方法及装置 |
| US20190156024A1 (en) * | 2017-11-20 | 2019-05-23 | Somansa Co., Ltd. | Method and apparatus for automatically classifying malignant code on basis of malignant behavior information |
| CN108009424A (zh) * | 2017-11-22 | 2018-05-08 | 北京奇虎科技有限公司 | 病毒行为检测方法、装置及系统 |
| CN109344061B (zh) * | 2018-09-25 | 2022-09-16 | 创新先进技术有限公司 | 一种接口的异常检测方法、装置、设备及系统 |
| CN111222137A (zh) * | 2018-11-26 | 2020-06-02 | 华为技术有限公司 | 一种程序分类模型训练方法、程序分类方法及装置 |
| CN113886584A (zh) * | 2020-11-10 | 2022-01-04 | 支付宝(杭州)信息技术有限公司 | 一种应用程序的信息检测方法、装置及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1818823A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
| CN102567661A (zh) * | 2010-12-31 | 2012-07-11 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102647409A (zh) * | 2012-01-13 | 2012-08-22 | 哈尔滨工业大学 | 基于Android智能手机的应用程序行为状态转换模式识别方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030105973A1 (en) * | 2001-12-04 | 2003-06-05 | Trend Micro Incorporated | Virus epidemic outbreak command system and method using early warning monitors in a network environment |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US7574409B2 (en) * | 2004-11-04 | 2009-08-11 | Vericept Corporation | Method, apparatus, and system for clustering and classification |
| US7350097B2 (en) * | 2005-01-24 | 2008-03-25 | General Motors Corporation | Method for recovering control of a continually resetting control module |
| US8161554B2 (en) * | 2005-04-26 | 2012-04-17 | Cisco Technology, Inc. | System and method for detection and mitigation of network worms |
| JP2007165721A (ja) * | 2005-12-15 | 2007-06-28 | Omron Corp | プロセス異常分析装置及びプログラム |
| JP2007219692A (ja) * | 2006-02-15 | 2007-08-30 | Omron Corp | プロセス異常分析装置およびプロセス異常分析システム並びにプログラム |
| US20070300300A1 (en) * | 2006-06-27 | 2007-12-27 | Matsushita Electric Industrial Co., Ltd. | Statistical instrusion detection using log files |
| US20080196103A1 (en) * | 2007-02-09 | 2008-08-14 | Chao-Yu Lin | Method for analyzing abnormal network behaviors and isolating computer virus attacks |
| IL191744A0 (en) * | 2008-05-27 | 2009-02-11 | Yuval Elovici | Unknown malcode detection using classifiers with optimal training sets |
| US7509539B1 (en) * | 2008-05-28 | 2009-03-24 | International Business Machines Corporation | Method for determining correlation of synchronized event logs corresponding to abnormal program termination |
| US8850571B2 (en) * | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8566943B2 (en) * | 2009-10-01 | 2013-10-22 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
| US8850579B1 (en) * | 2009-11-13 | 2014-09-30 | SNS Soft LLC | Application of nested behavioral rules for anti-malware processing |
| US8578497B2 (en) * | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
| US8826438B2 (en) * | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
| WO2012071989A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102034042B (zh) * | 2010-12-13 | 2012-10-03 | 四川大学 | 基于函数调用关系图特征的恶意代码检测新方法 |
| US8862942B2 (en) * | 2010-12-23 | 2014-10-14 | Intel Corporation | Method of system for detecting abnormal interleavings in concurrent programs |
| US8631489B2 (en) * | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
| TWI397016B (zh) * | 2011-03-18 | 2013-05-21 | Hui Hsien Wang | 金融程式交易整體機制監控並自動異常排除之方法 |
| US8949668B2 (en) * | 2011-05-23 | 2015-02-03 | The Boeing Company | Methods and systems for use in identifying abnormal behavior in a control system including independent comparisons to user policies and an event correlation model |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| FR2977050A1 (fr) * | 2011-06-24 | 2012-12-28 | France Telecom | Procede de detection d'attaques et de protection |
| CN102508768B (zh) * | 2011-09-30 | 2015-03-25 | 奇智软件(北京)有限公司 | 应用程序监控方法及装置 |
| US8745760B2 (en) * | 2012-01-30 | 2014-06-03 | Cisco Technology, Inc. | Malware classification for unknown executable files |
-
2012
- 2012-11-05 CN CN201210436204.0A patent/CN103810424B/zh active Active
-
2013
- 2013-10-25 WO PCT/CN2013/085930 patent/WO2014067424A1/en not_active Ceased
- 2013-11-04 TW TW102139931A patent/TWI498770B/zh active
-
2015
- 2015-04-30 US US14/700,323 patent/US9894097B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1818823A (zh) * | 2005-02-07 | 2006-08-16 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
| CN102567661A (zh) * | 2010-12-31 | 2012-07-11 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
| CN102647409A (zh) * | 2012-01-13 | 2012-08-22 | 哈尔滨工业大学 | 基于Android智能手机的应用程序行为状态转换模式识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014067424A1 (en) | 2014-05-08 |
| CN103810424A (zh) | 2014-05-21 |
| TW201419027A (zh) | 2014-05-16 |
| US9894097B2 (en) | 2018-02-13 |
| TWI498770B (zh) | 2015-09-01 |
| US20150244731A1 (en) | 2015-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103810424B (zh) | 一种异常应用程序的识别方法及装置 | |
| CN105516113B (zh) | 用于自动网络钓鱼检测规则演进的系统和方法 | |
| US20260017373A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| US20210288987A1 (en) | Threat mitigation system and method | |
| US9223997B2 (en) | Detecting and breaking CAPTCHA automation scripts and preventing image scraping | |
| EP3647981B1 (en) | Security scanning method and apparatus for mini program, and electronic device | |
| CN103927483B (zh) | 用于检测恶意程序的判定模型及恶意程序的检测方法 | |
| CN107566358A (zh) | 一种风险预警提示方法、装置、介质及设备 | |
| US9906542B2 (en) | Testing frequency control using a volatility score | |
| US10764311B2 (en) | Unsupervised classification of web traffic users | |
| CN106155298A (zh) | 人机识别方法及装置、行为特征数据的采集方法及装置 | |
| CN109271762B (zh) | 基于滑块验证码的用户认证方法及装置 | |
| CN107180190A (zh) | 一种基于混合特征的Android恶意软件检测方法及系统 | |
| CN105824805B (zh) | 一种识别方法及装置 | |
| US10965696B1 (en) | Evaluation of anomaly detection algorithms using impersonation data derived from user data | |
| CN116186693B (zh) | 针对推荐系统的用户隐私保护方法、系统、设备及介质 | |
| EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN110210218A (zh) | 一种病毒检测的方法以及相关装置 | |
| WO2016010875A1 (en) | Behavior change detection system for services | |
| CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| CN111385272A (zh) | 弱口令的检测方法及装置 | |
| CN116089920A (zh) | 一种敏感字段预警方法、系统、计算机设备及介质 | |
| CN106101086A (zh) | 程序文件的云检测方法及系统、客户端、云端服务器 | |
| CN114938285B (zh) | 数据的安全识别方法及存储介质 | |
| CN109685662A (zh) | 投资数据处理方法、装置、计算机设备及其存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |