[发明专利]一种卷积神经网络和XGBoost相结合的PHP-Webshell检测方法有效
| 申请号: | 201910238084.5 | 申请日: | 2019-03-27 |
| 公开(公告)号: | CN109948340B | 公开(公告)日: | 2020-09-01 |
| 发明(设计)人: | 茅剑;张杰敏;刘晋明;陈奋;程长高;陈荣有 | 申请(专利权)人: | 集美大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F8/41;G06N3/04;G06F40/289 |
| 代理公司: | 长沙七源专利代理事务所(普通合伙) 43214 | 代理人: | 郑隽;吴婷 |
| 地址: | 361021 福*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种卷积神经网络和XGBoost相结合的PHP‑Webshell检测方法,对于能够解析成操作码的PHP文件,采用PHP编译工具将PHP文件解析成统一的操作码文件;用以解决PHP语法灵活和变异复杂的问题,随后通过词汇表映射的方法,将解析成的操作码文件转换成机器学习可以识别的索引号序列样本,进而通过卷积神经网络模型对索引号序列样本进行分类检测,并输出检测结果;对于无法解析成操作码的PHP文件,采用N‑Gram词袋模型的方法提取PHP文件中保留有上下文语义关系的关键词组,形成关键词组序列;并将提取的关键词组序列表示成统一的基于N‑Gram词袋模型维度的关键词组词频样本;通过XGBoost模型对关键词组词频样本进行训练检测,判断样本中是否含有恶意代码,并输出检测结果。 | ||
| 搜索关键词: | 一种 卷积 神经网络 xgboost 相结合 php webshell 检测 方法 | ||
【主权项】:
1.一种卷积神经网络和XGBoost相结合的PHP‑Webshell检测方法,其特征在于,包括以下步骤:步骤S1、输入待测PHP文件样本;步骤S2、PHP文件操作码解析判定,通过PHP编译工具将待测PHP文件解析为操作码文件;如果PHP文件操作码解析成功,则依次执行步骤S3和S4;如果PHP文件操作码解析失败,则依次执行步骤S5、S6和S7;步骤S3、词汇表映射,词汇表映射可以将解析成功的操作码文件统一映射为特征向量,同时将特征向量转换成对应的索引号序列,实现样本的标准化表示;建立词汇表模型的过程具体包括以下步骤:步骤A1、获取词汇表训练集:采集n个解析成功的PHP网页文件样本:Di,i=1,2,3....n其中包括:含有WebShell恶意代码的黑样本、仅包含正常的网页代码的白样本;对每个样本标定为黑或白:yi,i=1,2,3....n;将标定黑样本和白样本作为训练集{Di,yi},i=1,2,3....n;步骤A2、文本分词:对每个文件样本进行文本分词:Di={Wi1,Wi2,Wi3,…Wim},第i个样本由m个关键词组成;步骤A3、统计词频:遍历所有的样本,提取每个关键词在训练集样本中出现的频率,将所有词按词频大小降序排列;步骤A4、收录关键词,建立词汇表:根据A3步骤统计的词频,过滤最小或最大词频后,收录剩余的关键词,建立词汇表;L={IDj,Wj},j=1,2,…N;词汇表由收录的关键词Wj和关键词对应的索引IDj组成,词汇表的规模N为可设置的参数;步骤S4、卷积神经网络模型的Webshell检测检测;将重新表示PHP文件的索引号序列样本输入到卷积神经网络中训练,得到用于检测WebShell的神经网络模型;通过模型中神经网络的逐层卷积计算,检测判别待测索引号序列样本中是否存在WebShell恶意代码,并输出检测结果;步骤S5、N‑Gram词袋模型,N‑Gram词袋模型可以通过N‑Gram分词将待测PHP文件中连续N个词组合成一个关键词组;并能将所有PHP文件中所有的关键词组收录到词袋中,且收录过程中记录每个关键词组在各PHP文件中出现的频率;生成N‑Gram词袋模型;具体包括以下步骤:步骤B1、获取N‑Gram词袋模型训练集:采集n个PHP网页文件样本:Qi,i=1,2,3....n其中包括:含有WebShell恶意代码的黑样本、仅包含正常的网页代码的白样本;对每个样本标定为黑或白:yi,i=1,2,3....n;将样本及其标定作为训练集{Qi,yi},i=1,2,3....n;步骤B2、N‑Gram分词:对训练集中样本文件进行N‑Gram分词,一个样本文件Q由M个词W组成,Q={W1,W2,W3,…WM};对Q进行N‑Gram分词,N的取值为大于等于1的正整数;Q′={′W1+W2+,…+WN′,′W2+W3+,…+WN+1′,……′WM‑N+1+WM‑N+2+…+WM′}N‑Gram分词将文件中连续N个词组合成一个关键词组,且关键词组中可以保留样本文件中的上下文信息,有利于后续的智能语义分析;步骤B3、生成N‑Gram词袋模型,遍历训练集中所有PHP文件,将文件中所有N‑Gram关键词组收录到词袋中,建立N‑Gram词袋模型;收录过程中记录每个关键词组在各文件中出现的频率;在确定N‑Gram词袋模型时,根据关键词组的词频过滤一部分关键词组,控制词袋模型规模,进而提高运算效率;步骤S6、提取样本的词袋特征表示,利用步骤S5生成的N‑Gram词袋模型,重新表示待测样本,将样本中的N‑Gram关键词组与N‑Gram词袋模型中的关键词组对应,根据N‑Gram词袋模型中关键词组的顺序重新表示样本,样本特征维度为N‑Gram词袋模型维度,每个样本特征维度中的数值为N‑Gram关键词组词频数,形成基于N‑Gram词袋模型维度的关键词组词频样本;步骤S7、XGBoost模型的Webshell检测,将步骤S6中获得的基于N‑Gram词袋模型维度的关键词组词频样本输入到XGBoost模型中,根据XGBoost模型中分类树的分支节点,对样本中各特征维度进行计算判别,依据XGBoost模型中目标函数最优的判定指标,智能检测该样本是否含有WebShell恶意代码,并输出检测结果。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于集美大学,未经集美大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910238084.5/,转载请声明来源钻瓜专利网。
- 同类专利
- 动态调整潜在黑名单和黑名单的方法-202310904530.8
- 李保荣;陈倩;杜金龙;陈凤林 - 上海则一供应链管理有限公司
- 2023-07-21 - 2023-10-27 - G06F21/56
- 一种动态调整潜在黑名单和黑名单的方法,该方法包括以下步骤:从云平台提取用户行为数据;对所述用户行为数据进行语义编码以得到交互用户行为语义理解优化特征向量;基于所述交互用户行为语义理解优化特征向量,确定用户行为数据属于潜在黑名单标签、黑名单标签或白名单标签。这样,能够对于用户行为数据属于潜在黑名单标签、黑名单标签或白名单标签中的哪个标签进行准确判定,从而及时判断和处理潜在欺诈行为,有利于保障平台的安全与稳定,避免经济损失。
- 污点源识别方法、污点源识别装置、电子设备及介质-202310799123.5
- 孙利民;刘圃卓;李志;刘明东;宋站威 - 中国科学院信息工程研究所
- 2023-06-30 - 2023-10-27 - G06F21/56
- 本发明提供一种污点源识别方法、污点源识别装置、电子设备及介质。该方法包括:对目标固件中的每个函数分别对应的行为特征向量和目标特征矩阵进行相似度计算,确定所述每个函数的相似度得分,所述每个函数分别对应的行为特征向量基于所述目标固件中的二进制程序确定,所述目标特征矩阵基于内存操作函数对应的行为特征向量构建;基于所述每个函数的相似度得分,确定作为污点源的目标函数,所述目标函数用于进行污点分析。本发明提供的污点源识别方法,可以对目标固件中的二进制程序进行自定义函数中的污点源确定,并进行污点分析,达到了有效发现二进制程序存在的安全缺陷。
- 跨架构的物联网恶意软件分析方法及装置-202310805014.X
- 孙利民;文辉;邓立廷;辛明峰;李红;吕世超;李志 - 中国科学院信息工程研究所
- 2023-06-30 - 2023-10-27 - G06F21/56
- 本发明提供一种跨架构的物联网恶意软件分析方法及装置,该方法包括:定位软件的目标架构信息;根据所述目标架构信息,采用相应架构的动态分析环境记录软件所运行的系统调用序列;将所述系统调用序列转换为系统调用图;对所述系统调用图上每个节点分别添加语义信息和结构信息;将所述添加语义信息和结构信息的系统调用图分别馈送到两个独立的图神经网络进行编码,得到语义信息编码结果和结构信息编码结果;通过集成学习模型整合所述语义信息编码结果和结构信息编码结果,根据整合结果得到软件的物联网恶意软件家族预测。用以解决现有技术中物联网恶意软件分析效果不足的缺陷,实现跨架构物联网恶意软件检测和分类中的性能提升。
- 一种软件风险识别方法、装置及电子设备-202310870273.0
- 闫保奇;解佳;徐文想 - 中国电信股份有限公司技术创新中心;中国电信股份有限公司
- 2023-07-17 - 2023-10-27 - G06F21/56
- 本申请公开一种软件风险识别方法、装置及电子设备,涉及安全防护技术领域,该方法包括:首先,获取混淆数据的汇编指令,并将汇编指令转换成中间语言,然后,根据所述中间语言生成AST,并基于参数操作指令,在所述AST中获取出N个关键参数,进一步,根据N个关键参数各自在AST中的数据流向,确定出M个目标关键函数,并按照数据流向对M个目标关键函数进行顺序排列,得到反混淆CFG,最后,对反混淆CFG进行污点分析,得到混淆数据的风险识别结果。通过上述方法可以提高混淆数据风险识别的速度与精度。
- 一种基于特征处理的安卓恶意软件自动化识别方法-202310052052.2
- 杨登辉;李益洲 - 四川大学
- 2023-02-02 - 2023-10-27 - G06F21/56
- 本发明提出了一种基于特征处理的安卓恶意软件自动化识别方法,包括如下步骤:步骤(1)、利用反编译工具Apktools从APK中提取smali文件;步骤(2)、对smali文件中的操作码归类并按照gram策略进行特征提取;步骤(3)、将3‑gram、4‑gram、5‑gram的特征拼接,数据维度对齐为N×N,复制为三通道特征;步骤(4)、在特征张量输入金字塔融合语义后,输入视觉transformer模型中完成安卓恶意软件识别。其通过静态方式提取操作码特征,采用金字塔特征处理和视觉注意力相结合的模型结构,提出了安卓恶意软件家族识别模型。
- 恢复被恶性代码修改的计算机系统的方法-202310708175.7
- 单平平;郭俊颖;余帅 - 单平平
- 2023-06-14 - 2023-10-27 - G06F21/56
- 本发明公开了恢复被恶性代码修改的计算机系统的方法,通过先对计算机系统内部的代码进行扫描,然后再对所扫描的代码进行识别,检查是否有恶性代码的存在,若检测到有恶性代码的存在,则将恶性代码数据进行发送,若无恶性代码的存在,则直接结束恶性代码扫描检测,系统自动指定存储盘对恶性代码数据进行存储,对恶性代码二次检测,恶性代码的数据进行比对。本发明解决了系统恢复的速度比较慢,当计算机中出现一组恶性代码则需要进行联网检索处理方法,再进行系统恢复,不能够将相同的恶性代码的处理记录进行整合,导致系统恢复速度慢,或其他访问请求;或者该运行故障可能会导致一些重要的业务数据丢失的问题。
- 提取计算机病毒特征码的方法及装置-202311108454.6
- 王佳音;蒋晓晶 - 中国工商银行股份有限公司
- 2023-08-30 - 2023-10-27 - G06F21/56
- 本发明公开了一种提取计算机病毒特征码的方法及装置,涉及安全检测领域,其中该方法包括:获取历史计算机病毒样本作为初始训练集;从初始训练集中提取出所有病毒程序与合法程序的N‑Gram特征;从提取出的N‑Gram特征中选择出对病毒程序区分度最大的特征作为病毒N‑Gram特征;将病毒N‑Gram特征构成病毒N‑Gram特征库;根据病毒N‑Gram特征库,选择出代表每一病毒的特征码;该特征码唯一标示该病毒,且将该病毒与其他病毒程序和合法程序区分开;每一病毒及其对应的特征码用于作为最终训练集训练得到用于识别计算机病毒的识别模型。本发明可以高效地提取计算机病毒特征码,提高了计算机病毒特征码提取的效率。
- 基于文件图谱拟合的安全检测方法、装置及设备-202311214397.X
- 王滨;毕志城;周少鹏;邱利军;王玉富;万里 - 杭州海康威视数字技术股份有限公司
- 2023-09-19 - 2023-10-27 - G06F21/56
- 本申请提供一种基于文件图谱拟合的安全检测方法、装置及设备,该方法包括:获取目标软件包对应的目标文件图谱,目标文件图谱包括每个目标文件的文件描述向量;基于目标文件图谱和样本软件包对应的样本文件图谱,确定目标文件的安全检测结果,样本文件图谱包括每个样本文件的文件描述向量和该样本文件的安全检测结果;其中,若基于目标文件图谱和样本文件图谱确定第一目标文件的文件描述向量与第一样本文件的文件描述向量匹配,则将第一样本文件的安全检测结果确定为第一目标文件的安全检测结果。通过本申请方案,能够节约处理资源,减少检测时间,软件包的安全检测效率比较高。
- 一种信息检测方法、装置、设备和存储介质-202310915252.6
- 曹磊;李天雄;张逸凡 - 深圳市深信服信息安全有限公司
- 2023-07-24 - 2023-10-27 - G06F21/56
- 本申请实施例公开了一种信息检测方法,方法包括:确定待检测进程对应的物理内存对应的内存结构;识别所述内存结构的内存属性;基于所述内存结构和所述内存属性,创建初始内存索引;识别所述待检测进程对应的运行文件的文件格式属性;基于所述初始内存索引和所述文件格式属性,创建目标内存索引;基于所述目标内存索引,对所述待检测进程进行无文件木马检测,得到检测结果。本申请实施例同时还公开了一种信息检测装置、设备和存储介质。
- 基于特征提取的反垃圾方法、装置、存储介质及电子设备-202310979522.X
- 李昂鸿;刘庆;徐熙超;汪洋;张森杰;杜婷 - 杭州网易云音乐科技有限公司
- 2023-08-04 - 2023-10-27 - G06F21/56
- 本公开实施方式涉及基于特征提取的反垃圾方法、基于特征提取的反垃圾装置、计算机可读存储介质及电子设备,涉及数据安全技术领域。所述方法包括:获取待检测数据;提取所述待检测数据的特征,得到待检测特征向量;通过搜索引擎确定所述待检测特征向量与垃圾特征数据之间的相似度;根据所述待检测特征向量与所述垃圾特征数据之间的相似度,确定最大相似度;确定所述最大相似度所属的预设相似度区间,并将所述预设相似度区间对应的预设标签确定为所述待检测数据的检测结果。如此,不需要训练模型,通过模型实现反垃圾检测,降低了成本;同时,实现了轻量化的反垃圾检测,具有检测响应速度快,风控实时性高的特点。
- 基于文件同步的服务器端文件防篡改方法、系统及设备-202310706220.5
- 林佳;庞为浩 - 百视通网络电视技术发展有限责任公司
- 2023-06-14 - 2023-10-27 - G06F21/56
- 本发明涉及一种基于文件同步的服务器端文件防篡改方法、系统及设备,该方法包括以下步骤:配置心跳检测的间隔时间、需要检测的主服务器文件夹目录及集群子服务器文件夹目录;建立与至少一个集群子服务器的连接,分发文件到集群子服务器文件夹目录下,文件位于主服务器文件夹目录下;基于主服务器文件夹目录及集群子服务器文件夹目录,根据间隔时间将主服务器的文件与集群子服务器的文件进行对比,返回结果集;判断结果集是否有差异,若是,则对返回结果集中有差异的文件做同步覆盖操作,返回同步结果,若否,则不做任何操作。与现有技术相比,本发明通过实时检测和对比防止集群子服务器上的文件被恶意篡改,起到保护业务实时正常使用的功能。
- 软件的检测方法、装置、计算机设备和存储介质-202310827566.0
- 邓薇;高思雨;何晔 - 中国电信股份有限公司技术创新中心;中国电信股份有限公司
- 2023-07-06 - 2023-10-27 - G06F21/56
- 本申请涉及一种软件的检测方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括:获取目标软件的软件文件,并获取目标软件的网络流量数据;根据软件文件以及预设静态特征提取策略,确定目标软件的静态特征数据,并根据静态特征数据,确定目标软件的第一检测结果;根据网络流量数据以及预设动态特征提取策略,确定目标软件的动态特征数据,并根据动态特征数据,确定目标软件的第二检测结果;根据第一检测结果以及第二检测结果,确定目标软件的目标检测结果。采用本方法能够提供目标软件的目标检测结果的准确率。
- 应用于训练模型的代码攻击检测方法、系统、设备及介质-202311205645.4
- 林文丛;尹芳;邓小宁;金剑;郭鹏;李凤荣 - 北方健康医疗大数据科技有限公司
- 2023-09-19 - 2023-10-27 - G06F21/56
- 本申请公开了一种应用于训练模型的代码攻击检测方法、系统、设备及介质,主要涉及代码检测技术领域,用以解决现有的方法对标签特异的触发器是无效的,对不知标签的触发器同样无效,无法有效实现代码攻击检测的目的。包括:获得由训练产生的模型标签;确定进行预设变量数据修改后能够导致训练模块进行错误分类的模型标签为攻击目标标签;获取的模型标签的绝对中位差,进而确定模型标签中的异常值,确定异常值对应的模型标签为攻击目标标签;通过预设代码检测语句,确定是否存在可加载数据;以在存在可加载数据时,确定存在可加载数据对应的模型标签为攻击目标标签;获取攻击目标标签对应的主动过滤器,以将主动过滤器作为训练模型的输入过滤器。
- 基于网络资产内存时间序列多特征数据的异常检测系统-202310667666.1
- 邹凯;陈凯枫;顾颂斐;姚毅;曾浩 - 广州天懋信息系统股份有限公司
- 2023-06-07 - 2023-10-27 - G06F21/56
- 本发明公开了一种基于网络资产内存时间序列多特征数据的异常检测系统,涉及计算机主机和网络安全技术领域。该系统包括通信连接的用于采集内存数据并提取内存特征的内存数据处理模块、用于通过收集恶意软件并运行且获取正负类标签,从而训练有监督时序二分类模型的有监督机器学习模块、用于使用三种算法和投票方式进行异常检测的无监督机器学习模块以及进行综合分析并生成风险等级并告警的综合分析告警模块。本发明按照时间间隔采集内存数据,进行特征处理再将不同采集时间节点的特征构造为时间序列特征,分别通过有监督机器学习和无监督机器学习两个模块进行分析,再经过综合分析和分级告警,实现对内存时间序列数据的异常检测。
- 一种API安全漏洞检测系统及方法-202311204213.1
- 刘斌;刘泽 - 天津华来科技股份有限公司
- 2023-09-19 - 2023-10-27 - G06F21/56
- 本发明提供了一种API安全漏洞检测系统及方法,包括:S1、监听自动化工具以及网络请求工具发出的http请求,并将http请求缓存至redis消息队列中;S2、创建测试任务,创建进程池,从redis消息队列中取出请求数据交给进程池,由进程池启动漏洞检测引擎;S3、配置漏洞检测规则;S4、将原生的http请求基于poc变异为漏洞探测请求,并根据poc判断响应数据是否存在安全风险,并将检测结果保存;S5、基于漏洞检测结果,生成测试报告。本发明有益效果:POC实现配置化,在无需修改源代码的情况下可灵活的依据实际业务新增或修改漏洞检测规则;确保了无害化及检测的准确率。
- 一种文件的动态检测方法、电子设备及存储介质-202311216835.6
- 奚乾悦;辛颖;肖新光 - 北京安天网络安全技术有限公司
- 2023-09-20 - 2023-10-27 - G06F21/56
- 本发明提供了一种文件的动态检测方法、电子设备及存储介质,涉及文件的动态检测领域,所述方法包括:获取若干样本文件,以得到样本文件集B;获取B中每一样本文件对应的行为特征向量,以得到B对应的第一行为特征向量集FB;获取待检测文件D对应的监控周期T0;依次获取D在h个相邻的监控时间点分别对应的行为特征向量,以得到第二行为特征向量集FD;根据FD与FB,得到目标相似度集β
- 一种工业互联网恶意代码识别方法及装置-202010566793.9
- 石志强;李明轩;孙利民;孙玉砚;文辉;吕世超 - 中国科学院信息工程研究所
- 2020-06-19 - 2023-10-27 - G06F21/56
- 本发明提供一种工业互联网恶意代码识别方法及装置,方法包括:将原始恶意代码样本映射为定维特征向量;将所述定维特征向量作为输入,通过生成对抗网络对所述原始恶意代码样本进行扩充,得到扩充后的恶意代码样本;通过扩充后的所述恶意代码样本训练深度信念网络,并通过训练后的所述深度信念网络对扩充后的所述恶意代码样本中的各恶意代码进行分类。本发明能够有效地提高工业互联网恶意代码分类的准确性。
- 一种用于深度半监督学习的后门攻击防御方法-202310912178.2
- 李高磊;李生红;严志聪;黄文凯;易啸宇 - 上海交通大学
- 2023-07-24 - 2023-10-24 - G06F21/56
- 本发明涉及一种用于深度半监督学习的后门攻击防御方法,该方法包括:生成用于对受害深度半监督学习系统进行训练的无标记中毒数据;采用注入有无标记中毒数据的无标记训练数据对受害深度半监督学习系统进行训练,获取被植入后门的受害深度半监督学习系统;采用对比注毒策略,获取受害深度半监督学习系统的后门脆弱性分析结果;根据后门脆弱性分析结果,确定后门攻击防御策略。与现有技术相比,本发明具有防御效果好、验证了深度半监督学习系统的后门脆弱性、能够直观观测不同扰动幅度对后门脆弱性的影响等优点。
- 移动端安全运行环境检测方法、装置、计算机设备及介质-202310897363.9
- 古伟君;郭华;曾国栋 - 远光软件股份有限公司
- 2023-07-20 - 2023-10-24 - G06F21/56
- 本申请属于计算机技术领域,涉及一种移动端安全运行环境检测方法,包括将安全环境识别标识添加至移动工程的配置文件中,得到安全环境检测配置文件;对安全环境检测配置文件进行工程打包,得到应用程序安装包;执行安全脚本读取安全环境检测配置文件,获取到安全环境识别标识;基于安全环境识别标识确定是否开启安全运行环境检测;在开启安全运行环境检测时,将安全运行环境检测脚本和检测脚本调用指令添加至原生工程中;通过检测脚本调用指令调用安全运行环境检测脚本进行安全运行环境检测。本申请还提供一种移动端安全运行环境检测装置、计算机设备及介质。本申请能够使得安全检测代码通用化,能够动态添加安全检测代码,实现过程自动化。
- 一种基于API序列原型的可解释恶意软件检测方法-202310931716.2
- 吕明琪;何功勋;朱添田;陈铁明 - 浙江工业大学
- 2023-07-27 - 2023-10-24 - G06F21/56
- 本发明涉及恶意软件检测领域,具体涉及一种基于API序列原型的可解释恶意软件检测方法。采集软件样本训练集中每个软件运行过程中的API序列,从API序列集中挖掘出API序列模式集;对API序列模式集进行聚类,得到API序列模式聚类,并将每个API序列模式聚类的中心作为API序列模式聚类的API序列原型;利用API序列原型将API序列集中的每个API序列转换成原型序列,训练得到恶意软件分类模型;取注意力权重最高的若干个API序列原型为解释判断为恶意软件的原因。本发明通过序列挖掘算法和聚类算法挖掘出API序列原型,将其输入到LSTM‑注意力网络模型中,能获得较高的分类准确率,并能对分类结果进行解释。
- 一种远程控制程序的检测方法和装置-202310673601.8
- 张天顺;邱春武;康宇 - 新浪技术(中国)有限公司
- 2023-06-08 - 2023-10-24 - G06F21/56
- 本发明实施例提供一种远程控制程序的检测方法和装置,所述方法包括:监测待检测程序,获取所述待检测程序的文本格式的行为数据;根据所述行为数据中的词语内容和频率将所述行为数据转换为行为向量;将所述行为向量输入训练后的RNN模型对所述待检测程序进行分类识别,得到所述待检测程序的程序类别。
- 一种恶意文件的检测方法、检测装置以及存储介质-202310705765.4
- 宋汝鹏;黄晟;马红丽;徐敬蘅 - 深圳市深信服信息安全有限公司
- 2023-06-14 - 2023-10-24 - G06F21/56
- 本申请实施例公开了一种恶意文件的检测方法、检测装置以及存储介质,用于文件检测技术领域。该方法包括:将预设程序文件与恶意匹配规则进行匹配,获取恶意匹配规则匹配为非恶意的目标程序文件;将目标程序文件输入检测网络模型,检测目标程序文件是否为恶意文件,其中,检测网络模型基于恶意文件样本训练而成;若目标程序文件为恶意文件,则将目标程序文件在检测网络模型中提取的文件特征可视化为热力图;提取热力图中的目标文字特征增强恶意匹配规则,并使用增强后的恶意匹配规则检测恶意文件;能够自动地将恶意匹配规则遗漏的恶意文件对应的文字特征增强恶意匹配规则,自动对恶意匹配规则进行维护,能够有效节约人力成本和时间成本。
- 检测勒索软件的方法及相关系统、存储介质-202210318593.0
- 谭峰;王森;张弓;刘金虎 - 华为技术有限公司
- 2022-03-29 - 2023-10-24 - G06F21/56
- 本申请实施例提供一种检测勒索软件的方法及相关系统、存储介质。该方法包括:根据目标文件中的预设数据得到所述目标文件的局部特征,所述局部特征包括局部递增熵和/或局部直方统计数据;根据所述目标文件的局部特征确定所述目标文件是否为加密文件;若所述目标文件为加密文件,确认所述目标文件被勒索软件攻击。采用该手段,相较于现有通过计算整个文件的熵、卡方检验等指标并结合阈值判断文件加密损坏状态,本方案通过文件的局部特征构进行文件加密损坏状态检测,该手段计算开销小,检测效率高;同时,本方案无需利用阈值进行文件加密损坏状态检测判断,具有极高的检测准确率。
- 一种应用程序评估方法、装置、计算机设备及存储介质-202210363991.4
- 吴光明 - 深圳TCL新技术有限公司
- 2022-04-07 - 2023-10-24 - G06F21/56
- 本申请实施例提供一种应用程序评估方法、装置、计算机设备及存储介质,可以获取待安装的目标应用程序的第一待评估信息;根据第一待评估信息,对目标应用程序进行安全评估,得到第一评估结果;若第一评估结果满足预设条件,则将目标应用程序安装至目标设备,并获取在目标设备上针对目标应用程序的第二评估结果;根据第二评估结果,确定目标应用程序的安全信息;由于本申请实施例根据第一待评估信息所得到的第一评估结果,可以将目标应用程序安装至目标设备,如此可以获取到针对目标应用程序的第二评估结果,从而快速确定目标应用程序的安全信息,相当本申请实施例可以自动评估目标应用程序的安全信息,以提高对目标应用程序安全信息的评估效率。
- 一种恶意脚本的识别方法、装置、设备及存储介质-202310650745.1
- 雷小辉;朱利军;马坤;童小敏 - 西安四叶草信息技术有限公司
- 2023-06-02 - 2023-10-24 - G06F21/56
- 本申请公开一种恶意脚本的识别方法、装置、设备及存储介质,涉及信息安全技术领域,能够提高恶意脚本识别效率。具体方案包括:获取待检测的目标脚本,并将目标脚本转换为二进制文件,得到目标二进制文件;将目标二进制文件输入至预设的目标智能自动编码器中对目标二进制文件进行文件重构,目标智能自动编码器是基于样本二进制文件集训练得到的,样本二进制文件集中包括多个由无恶意脚本转换的二进制文件,目标智能自动编码器是基于深度神经网络的无监督机器学习模型;若智能自动编码器模型的输出结果指示目标二进制文件重构失败,则根据目标智能自动编码器输出的目标二进制文件中的异常代码块和异常代码块的上下文,确定目标脚本是否为恶意脚本。
- 基于可视信息的钓鱼文件识别方法-202310880987.X
- 代先勇;邓金详;俞祥基;谷峰;钟昊华;周川;龙雨君;祝长松;余泳洁 - 成都锋卫科技有限公司
- 2023-07-18 - 2023-10-24 - G06F21/56
- 本发明公开了基于可视信息的钓鱼文件识别方法,涉及网络安全技术领域,包括S1获取终端设备的所有文件类型信息,获取文件类型所关联的图标储存路径;S2分析文件特征序列;S3所有文件类型信息和对应的文件特征序列作为白名单特征序列;S4获取目标文件;S5判断目标文件是否为可执行文件,若是,进S6;反之则结束;S6计算目标特征序列;S7计算目标特征序列与所有白名单特征序列之间的距离;S8确定最小距离,判断最小距离师父小于预设阈值,若是,则结束;反之则目标文件为钓鱼文件;通过构建特征序列库,对目标文件进行分析计算,对比其与特征库中相同类型文件的差异,可快速发现经过改造的钓鱼文件,迅速锁定应该详细分析的风险样本,提高检测效率。
- 一种应用程序的进程查杀方法及电子设备-202210339419.4
- 季柯丞;杨文飞;常演;王绪 - 华为技术有限公司
- 2022-04-01 - 2023-10-24 - G06F21/56
- 一种应用程序的进程查杀方法及电子设备,涉及操作系统领域,可以避免电子设备频繁地触发进程查杀行为,有利于提升电子设备运行的流畅度和稳定性,该方法包括:电子设备统计运行的各个进程占用的第一类内存和第二类内存,其中第一类内存包括文件页占用内存,核心库文件占用内存,缓存数据占用内存,以及用户态匿名页占用内存中一项或多项;第二类内存包括流媒体占用内存以及内核占用内存中一项或多项;当检测到电子设备的内存满足预设条件时,根据所述各个进程占用的所述第一类内存和所述第二类内存,从运行的进程中确定目标进程,查杀目标进程。
- 一种针对rootkit的检测方法及系统-202310189733.3
- 李越;姚纪卫 - 安芯网盾(北京)科技有限公司
- 2023-02-23 - 2023-10-24 - G06F21/56
- 本发明的实施例公开了一种针对rootkit的检测方法及系统。方法包括:调用待保护的系统的指定信息并储存;设置rootkit标识范围,遍历rootkit标识范围,判断待保护的系统的标识是否超出rootkit标识范围;若待保护的系统的标识位于rootkit标识范围内,则再次调用待保护的系统的指定信息,与储存的指定信息比较,若两次信息不同,则判断系统受到rootkit感染;若遍历完rootkit标识范围,待保护的系统的标识超出rootkit标识范围,则判断系统未受到rootkit感染。系统包括调用模块,标识检测模块,指定信息比较模块和判断模块。本发明检测过程简便迅速,仅在应用层即可完成,对系统无任何影响,无安全隐患,且对于使用了magic id标志技术的特定rootkit来说必定可检,准确率得到了保证。
- 静态安全检测方法、装置、计算机设备和存储介质-202010523982.8
- 朱庆;李世杰;李隆;赖建新 - 深圳知释网络技术有限公司
- 2020-06-10 - 2023-10-24 - G06F21/56
- 本发明适用于计算机技术领域,提供了一种静态安全检测方法、装置、计算机设备和存储介质,所述方法包括:获取与待检测软件相关联的关联软件的接口信息;根据与业务逻辑相关的建模描述和规则描述对接口信息进行选择标注,得到关联软件的接口语义信息;根据接口语义信息进行静态安全检测,并输出安全检测结果。本发明提供的静态安全检测方法,由于预设了与业务逻辑相关的建模描述和规则描述,在对关联软件的接口信息进行标注时只需选择标注就能确定接口的执行语义信息,操作方便简单,在标注之后只需根据接口语义信息对待检测软件进行静态安全检测,有效地提高了语义标注和静态安全检测的效率,同时还能检测出与业务逻辑相关的漏洞。
- 抗投毒攻击的聚合防御方法、聚合装置及电子设备-202211397225.6
- 高胜;胡乘源;朱建明 - 中央财经大学
- 2022-11-09 - 2023-10-24 - G06F21/56
- 本发明提供了一种抗投毒攻击的聚合防御方法、聚合装置及电子设备,所述方法主要包括以下步骤:客户端下载全局模型,对本地数据进行训练;客户端利用top‑k算法对于模型参数进行压缩并上传模型参数,服务器接收客户端上传的模型参数;对于模型参数利用主成分分析进行数据降维,提取核心参数,服务器使用聚合算法对客户端性质进行判定;服务器对判定为恶意客户端所上传的模型参数进行剪枝,在本轮模型参数更新中忽略所剪枝的模型参数;服务器聚合梯度更新全局模型,并将更新后的全局模型返回客户端;客户端利用更新后的全局模型对本地模型进行更新。相较于现有技术,本发明能够实现对投毒攻击的通用防御,更加安全和高效地保护个人隐私安全。
- 专利分类
