[发明专利]一种基于高交互蜜罐技术的病毒文件检测方法在审
| 申请号: | 201910984633.3 | 申请日: | 2019-10-16 |
| 公开(公告)号: | CN110750788A | 公开(公告)日: | 2020-02-04 |
| 发明(设计)人: | 张帅哲;范渊 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/53 |
| 代理公司: | 33230 杭州赛科专利代理事务所(普通合伙) | 代理人: | 郭薇;冯年群 |
| 地址: | 310051 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种基于高交互蜜罐技术的病毒文件检测方法,建立高交互蜜罐,高交互蜜罐启动后,数据处理中心处理下属高交互蜜罐捕捉的新增或修改文件并存入沙盒,以特征分析引擎比较沙盒中和数据库中的文件,检测得到病毒文件并反馈至数据处理中心;本发明能够在底层进程中部署记录高交互蜜罐的监控进程,监测到黑客攻击蜜罐的网络数据包,捕获黑客在蜜罐中新增或者修改的文件,与病毒库对比,进一步判断文件是否是黑客攻击使用的病毒文件。本发明可在现有检测业务上开发,减少开发成本;高交互蜜罐不仅能记录基本信息、进程列表、网络连接数据,还可通过病毒库、结合入侵者IP建立黑客画像库,对黑客的通用攻击手法更好了解,建立对应的防护机制。 | ||
| 搜索关键词: | 病毒文件 黑客 数据处理中心 黑客攻击 病毒库 沙盒 检测 网络连接数据 网络数据包 防护机制 基本信息 监控进程 蜜罐技术 特征分析 修改文件 画像库 记录 捕获 引擎 数据库 捕捉 进程 中和 入侵 反馈 开发 攻击 通用 监测 部署 | ||
【主权项】:
1.一种基于高交互蜜罐技术的病毒文件检测方法,其特征在于:所述方法包括以下步骤:/n步骤1:建立高交互蜜罐;/n步骤2:高交互蜜罐启动,数据处理中心处理下属高交互蜜罐捕捉的新增文件或修改文件并存入沙盒中;/n步骤3:以沙盒中文件和数据库中的文件进行比较,检测得到病毒文件,将病毒文件反馈至数据处理中心。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910984633.3/,转载请声明来源钻瓜专利网。
- 同类专利
- 一种恶意文件彻底清除方法、系统及存储介质-201811238620.3
- 奚乾悦;徐翰隆;王小丰;肖新光 - 北京安天网络安全技术有限公司
- 2018-10-23 - 2020-02-14 - G06F21/56
- 本发明提出了一种恶意文件彻底清除方法、系统及存储介质,所述方法通过检测计算机终端中的恶意文件拦截情况,针对未拦截的可疑文件进行系统、移动存储设备及流量等多维度的监控,当发现可疑文件对系统关键项目进行修改,则记录修改内容并备份文件;当发现可疑文件感染了移动存储设备,则记录移动存储设备的信息;同时本方法还与网络侧的流量监控设备联动,监测可疑文件是否通过网络传输,若传输则记录源IP及目的IP等信息;当计算机终端清除可疑文件时,则能够根据上述记录内容对修改进行恢复,同时对可疑文件的传输情况进行告警。
- 基于SVM的Android移动网络终端恶意代码的动静结合检测方法-201910959635.7
- 顾晶晶;庄毅;乔塨哲 - 南京航空航天大学
- 2019-10-10 - 2020-02-14 - G06F21/56
- 本发明公开了一种基于SVM的Android移动网络终端恶意代码的动静结合检测方法,构建包含恶意软件和非恶意软件的训练样本数据集;获取训练样本数据集中每个样本的静态特征与动态行为特征,构建每个软件样本的特征向量;对所有软件样本的特征向量增加恶意软件标记字段,训练支持向量机分类器;对恶意软件样本的特征向量增加恶意软件类别标记字段,训练随机森林分类器;提取待测软件的静态特征向量和动态特征向量,构建待测软件的特征向量;利用支持向量机分类器进行恶意软件检;若检测为恶意的软件,则进一步利用随机森林分类器判断其所属的恶意软件家族。本发明提高了软件恶意行为检测的准确性,同时具有恶意家族分类的能力。
- 管理主机中文件方法和装置-201910968095.9
- 吴振刚 - 苏州浪潮智能科技有限公司
- 2019-10-12 - 2020-02-14 - G06F21/56
- 本申请实施例公开了一种管理主机中文件方法和装置。所述方法包括:获取主机上存储的可执行文件;利用预先获取的钩子函数,获取对所述可执行文件的读写操作信息;根据所述读写操作信息,确定所述主机上可执行文件的变化信息;根据所述主机上可执行文件的变化信息,更新对所述主机上可执行文件的记录信息。
- 一种面向异构BIOS环境的Rootkit通用性检测方法-201911037212.6
- 何利文;侯小宇 - 南京邮电大学
- 2019-10-29 - 2020-02-14 - G06F21/56
- 一种面向异构BIOS环境的Rootkit通用性检测方法,该方法利用逆向分析技术对多种BIOS环境的具体结构特征进行分析,结合实际可应用的异构BIOS环境的Rootkit样本,分析和整理得到同一种BIOS环境下不同样本的共同感染点和模块,同时,结合可信计算技术,建立3条可信链和确定需要检测的模块,系统启动过程中嵌入检测模块,通过对比未感染系统的数据和检测模块得到的校验数据,实现对BIOS文件和Windows系统文件初始化、内核加载过程和内核初始化这3个阶段的检测,并对检测出感染痕迹的模块进行修复。该方法能够有效检测出计算法系统感染了Rootkit,并且在面向异构BIOS环境时具有通用性,高准确性,属于恶意代码检测领域。
- 一种基于内存保护类型监控的恶意代码跟踪识别方法-201710202288.4
- 何永强;吕承琨;袁伟华;朱鲲鹏 - 兴华永恒(北京)科技有限责任公司
- 2017-03-30 - 2020-02-14 - G06F21/56
- 一种基于内存保护类型监控的恶意代码跟踪识别方法,步骤如下:1:将开发的动态链接库注入到目标进程中;2:申请向量化异常处理函数接管异常,用于进行对异常段静态分析及动态分析;3:劫持修改内存保护属性的接口函数;4:检测每次调用是否位于栈空间;5:判断每次调用参数中是否包含执行属性标志;6:针对修改内存保护属性为可执行属性的接口函数调用,清除可执行保护标志位;7:记录本次接口函数调用的参数环境;8:调用原始接口函数,使程序正常运行;9:报告发现漏洞攻击(exploit);通过以上步骤,达到了识别漏洞攻击过程中恶意代码(shellcode)执行的效果,解决了现有技术保护覆盖面积小,兼容性低的问题。
- Android平台恶意应用检测方法及装置-201710214419.0
- 朱大立;金昊;杨莹 - 中国科学院信息工程研究所
- 2017-04-01 - 2020-02-14 - G06F21/56
- 本发明提供一种Android平台恶意应用检测方法及装置,其中,所述方法包括:调用FlowDroid工具,提取待测Android应用的静态数据流特征;利用SUSI技术对待测Android应用的静态数据流特征进行处理,生成待测Android应用的数据流的特征向量;将生成的待测Android应用的数据流的特征向量输入预先训练好的深度置信网络检测模型,获得待测Android应用是否是恶意应用的检测结果。本发明能对Android平台恶意应用进行准确检测,避免动态污点追踪存在的路径覆盖问题,克服静态数据流分析技术需要对应用运行流程进行准确建模及准确获取组件间通信的目标组件的两大挑战,实现对Android应用敏感数据流的准确全面提取,同时克服传统浅层机器学习算法在构建检测模型时存在的局限性。
- 物联网分布式多级协同恶意代码检测方法、系统及装置-201811579395.X
- 黄磊;童志明;何公道 - 哈尔滨安天科技集团股份有限公司
- 2018-12-24 - 2020-02-11 - G06F21/56
- 本发明提出一种物联网分布式多级协同恶意代码检测方法、系统及装置,包括:根据物联网云管端架构内的设备性能,分别部署本地检测组件;若终端低性能设备检测到可疑样本,则将所述可疑样本上传到云端高性能设备中;若管端常规性能设备或云端高性能设备检测到恶意代码,则将所述恶意代码的特征上报到集中管理中心;集中管理中心收集各设备上报的恶意代码特征,根据预设周期进行恶意代码流行度及威胁度评估,并将高流行度及威胁度的恶意代码的恶意代码特征下发到物联网云管端架构内的各设备中。本发明通过针对不同性能设备进行差异化部署检测,实现了不同性能节点的协同检测能力。
- 用以检测恶意软件的计算装置-201910919572.2
- 肖徐春;邓朔;巴巴克·萨拉马特;拉贾什·古普塔 - 高通股份有限公司
- 2013-03-14 - 2020-02-11 - G06F21/56
- 本发明涉及用以检测恶意软件的计算装置。所述计算装置可包含:查询记录器,其记录所述计算装置上的所述应用程序的行为以产生日志;行为分析引擎,其分析来自所述查询记录器的所述日志以产生特性化所述应用程序的所述行为的行为向量;和分类器,其将所述应用程序的所述行为向量分类为良性或恶意软件。
- 一种智能卡和智能卡安全防护方法-201911033094.1
- 谭平 - 谭平
- 2019-10-28 - 2020-02-11 - G06F21/56
- 本发明公开了一种智能卡和智能卡安全防护方法,属于智能卡安全防护技术领域,包括数据库建立单元、安装检测单元、清除单元、巡检检测单元、实时清除检测单元,所述清除单元在每次进行所述安装检测单元均进行清除工作;本发明所提供的智能卡和智能卡安全防护方法在智能卡安装前进行病毒的巡检,确定安全的安装环境,同时在智能卡工作过程中进行巡航检测,进一步确定智能卡的工作环境,实时保护智能卡。
- 一种应用程序检测方法、装置和终端-201511021184.0
- 曾欢 - 北京金山安全软件有限公司
- 2015-12-30 - 2020-02-11 - G06F21/56
- 本发明实施例公开了一种应用程序检测方法、装置和终端,方案包括:识别存在于该终端的系统目录下的第一应用程序;依据该第一应用程序的签名信息,对该第一应用程序进行分组,生成包括至少一组签名组的第一组别,签名组与签名信息具有唯一对应性;依据该第一应用程序的安装时间,对该第一应用程序进行分组,生成包括至少一组时间组的第二组别,时间组与安装时间具有唯一对应性;判断在该第一组别中是否存在符合预定条件的第一签名组,如果是,将该第一签名组中的第一应用程序确定为病毒程序,预定条件至少包括:所包括的第一应用程序能够覆盖至少一组时间组所包括的第一应用程序。应用本发明实施例可以实现对“隐形”安装于终端的病毒程序的识别。
- 一种root病毒清理方法、装置及电子设备-201511030949.7
- 袁国庆 - 北京金山安全软件有限公司
- 2015-12-31 - 2020-02-11 - G06F21/56
- 本发明实施例公开了一种root病毒清理方法、装置及电子设备,应用于智能设备,所述智能设备从预设病毒库中获得符合特征的具有root权限病毒的病毒文件的存储路径信息;根据获得的所述病毒文件的存储路径信息,查找智能设备中是否存有所述病毒文件;根据查找到的病毒文件,获得具有root权限的进程;根据所述具有root权限的进程,按照预设的处置策略,清除所述具有root权限病毒。本发明实施例能够提高所述智能设备获取root权限的速度,进而提高了对具有root权限病毒的查杀速度。
- 一种基于上下文信息的Android组件间隐私泄露行为识别方法及系统-201710261243.4
- 王蕊;张道娟;郭电杰;操晓春 - 中国科学院信息工程研究所
- 2017-04-20 - 2020-02-11 - G06F21/56
- 本发明公开了一种基于上下文信息的Android组件间隐私泄露行为识别方法及系统。本方法为:1)从Android应用程序中提取组件间通信参数信息;2)根据提取的组件间通信参数信息匹配该Android应用程序中相互通信的两个组件,形成组件调用链;3)根据所述组件调用链信息对Android应用程序执行静态插桩,连接相互通信的两个组件;4)对插桩后的应用程序代码执行静态污点分析,获取组件间隐私信息传输相关的行为路径,并提取所述行为路径上的上下文信息;5)根据得到的行为路径上的上下文信息,判断组件间隐私信息传输行为是否为隐私泄露行为。本发明大大提高了组件间通信分析的准确性。
- 一种计算机硬盘-201920260924.3
- 朱萍华 - 朱萍华
- 2019-03-01 - 2020-02-11 - G06F21/56
- 本实用新型公开了一种计算机硬盘,包括计算机硬盘,所述计算机硬盘内安装有病毒检测机构,所述计算机硬盘的四周活动连接有硬盘防震机构,所述硬盘防震机构包括矩形筒,所述矩形筒筒内上下表面均开设有第一弹簧安装槽,所述矩形筒通过第一弹簧安装槽固定连接有第一减震弹簧,所述第一减震弹簧的一端固定连接有第一夹板,所述矩形筒筒壁的内部开设有空腔,所述矩形筒筒内的两侧开设有四个第一通槽,且四个第一通槽均与空腔相通,两个所述第一夹板的两侧均固定连接有第一传动板。本实用新型,通过上述等结构之间的配合,大大提高了计算机硬盘的防震效果,继而延长了计算机硬盘使用寿命。
- 基于属性域异常调用的恶意文档检测方法、装置及系统-201811025289.7
- 佟勇;黄磊;童志明;何公道 - 哈尔滨安天科技集团股份有限公司
- 2018-09-04 - 2020-02-07 - G06F21/56
- 本发明提出了一种基于属性域异常调用的恶意文档检测方法、装置及系统,所述方法包括:提取文档内嵌脚本文件,并对内嵌脚本进行归一化处理;提取文档属性域信息;预处理脚本文件,解析内嵌脚本文件,获取读取属性域信息的代码;将提取的文档属性域信息嵌入到内嵌脚本文件读取属性域信息的代码的相应位置;对预处理后的脚本文件进行检测,输出检测结果。本发明还同时提出相应装置、系统及存储介质,通过本发明的方法,能够将文档属性域中的信息还原到内嵌脚本中,可有效对基于属性异常调用的文档类攻击进行检测。
- 一种检测隐藏进程的方法、装置及存储设备-201811316314.7
- 付威;徐翰隆;肖新光;王小丰 - 北京安天网络安全技术有限公司
- 2018-11-07 - 2020-02-07 - G06F21/56
- 本发明实施例公开一种检测隐藏进程的方法、装置及存储设备,用以解决在采用Rookit技术隐藏进程之后利用目前Windows提供的系统工具无法查看出是否存在隐藏进程的问题。该方法包括:调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;比较两次获取的进程句柄的数量;在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
- 一种基于程序逻辑识别同源攻击的方法、装置及存储设备-201811579698.1
- 郭伟超;徐翰隆;肖新光;王小丰 - 哈尔滨安天科技集团股份有限公司
- 2018-12-24 - 2020-02-07 - G06F21/56
- 本发明实施例公开一种基于程序逻辑识别同源攻击的方法、装置及存储设备,用以解决在无法通过IP或者域名等方式追溯恶意代码的来源时,难以对恶意代码编写者进行身份确认及攻击组织划分的问题。该方法包括:采集恶意代码;对恶意代码进行静态分析,构建恶意代码调用系统API的第一有向图;将恶意代码调用系统API的第一有向图转化成n维向量,并存储;与已知恶意代码样本的n维向量进行对比,计算相似度,判断恶意代码编写者身份。
- 一种恶意脚本检测方法、装置和存储介质-201910991553.0
- 庞瑞;张宏君 - 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司
- 2019-10-18 - 2020-02-07 - G06F21/56
- 本发明提出了一种恶意脚本检测方法、装置和存储介质,用以针对未知恶意脚本进行检测,提高恶意脚本检测方法的通用性。恶意脚本检测方法,包括:获取待检测样本;利用恶意脚本检测模型对待检测样本进行处理得到所述待检测样本对应的第一检测值,所述恶意脚本检测模型为利用预设机器学习算法对训练样本集进行学习得到的;判断所述第一检测值是否大于恶意脚本检测阈值,所述恶意脚本检测阈值为根据利用所述恶意脚本检测模型对测试样本集中包含的测试样本进行处理得到的;如果所述第一检测值大于所述恶意脚本检测阈值,则确定所述待检测样本是恶意脚本,如果所述第一检测值不大于所述恶意脚本检测阈值,则确定所述待检测样本不是恶意脚本。
- 一种基于免疫的Rootkit隐遁攻击内存取证技术-201910991717.X
- 张瑜;孙葭;张皞 - 海南师范大学;张瑜;孙葭
- 2019-10-11 - 2020-02-07 - G06F21/56
- 本发明针对传统内存取证方法应对Rootkit隐遁攻击不力的安全困境,通过借鉴生物免疫系统原理,提出了一种基于免疫的Rootkit隐遁攻击内存取证技术。通过完整获取内存镜像数据、详尽解析内存数据,实现动态智能提取Rootkit隐遁攻击的内存证据。首先,通过逆向分析Windows内存页面交换机制,获取完整的内存镜像数据(物理内存和页面交换文件)。其次,利用内核驱动技术,动态分析内存镜像中的进程数据,并重建与进程相对应的可执行文件映像。最后,借鉴人体免疫系统机理,利用Rootkit检测器(免疫细胞)的动态演化来提取Rootkit隐遁攻击的相关证据。本发明能动态、智能地对Rootkit隐遁攻击进行内存取证,确保其无处遁形,为绳之以法网络攻击者(黑客)提供呈堂证供。
- 一种设备检修过程的安全防护方法及装置-201911089961.3
- 周晨;范渊 - 杭州安恒信息技术股份有限公司
- 2019-11-08 - 2020-02-07 - G06F21/56
- 本申请公开了一种设备检修过程的安全防护方法、装置、设备及可读存储介质。本申请公开的方法包括:若检修设备与被检修系统建立通信连接,则判断检修设备中是否存在病毒威胁;若否,则允许检修设备访问被检修系统;在检修人员利用检修设备检修被检修系统中的被检修设备的过程中,利用检修设备中的行为监测平台对检修人员的检修操作进行监测;若检修操作异常,则断开检修设备和被检修系统之间的通信连接。本申请可避免外来病毒对被检修系统的威胁,打破了以往检修过程的盲区,使得检修过程透明化且可监测,从而提高了设备检修的安全性。
- 程序特征的检测方法和装置-201610088140.8
- 罗绍华 - 腾讯科技(深圳)有限公司
- 2016-02-16 - 2020-02-07 - G06F21/56
- 本发明公开了一种程序特征的检测方法和装置。其中,该方法包括:获取输入的待检测的程序特征和程序特征所属的特征类型;按照特征类型从数据库中查询具有程序特征的样本程序包的安全指示信息,其中,安全指示信息用于指示样本程序包的安全特性;根据样本程序包的安全指示信息确定待检测的程序特征是否为病毒特征。本发明解决了相关技术中不能对安卓软件的程序特征进行准确识别的技术问题。
- 一种恶意代码未知自启动识别方法及系统-201610914040.6
- 康学斌;邓琮;董建武;肖新光 - 深圳市安之天信息技术有限公司
- 2016-10-20 - 2020-02-07 - G06F21/56
- 本发明公开了一种恶意代码未知自启动识别方法及系统,包括:基于运行未知启动项的恶意代码,提取并记录所述恶意代码的特征信息,产生模块集合;监控系统重启恶意代码在运行中新释放模块的重新加载,判断模块集合中任一模块在注册表中出现,则对所述任一模块的自启动行为提取取样信息;扫描系统重启运行时的进程或内存,判断模块集合中任一模块在进程或内存中出现,则对所述任一模块的自启动行为提取取样信息;对所述自启动行为进行提示。本发明解决了现有技术中对于未知的启动项的预防与识别响应方法不够完善的技术问题。
- 一种自动化恶意代码仿真检测方法及系统-201710974003.9
- 黄云宇;康学斌;刘广柱;王小丰;肖新光 - 北京安天网络安全技术有限公司
- 2017-10-19 - 2020-02-07 - G06F21/56
- 本发明提出一种自动化恶意代码仿真检测方法及系统,所述方法包括:通过对已知恶意代码样本集进行家族分类,并提取出信息交互数据,建立专用协议数据库、专用协议知识库、通用协议数据库及通用协议知识库;获取恶意样本的网络请求,根据专用协议知识库,对恶意样本的家族及专用通信协议进行识别;根据通用协议知识库,对恶意样本的通信请求类型及通用通信协议进行识别;对恶意代码通用协议及专用协议自动化仿真,触发恶意代码的恶意行为。通过本发明的技术方案,能够触发恶意行为操作执行机制,优化沙箱的自动化恶意代码分析能力,极大减少人工分析投入。
- 一种可验证的安卓恶意软件检测系统及方法-201711263967.9
- 官全龙;罗伟其;崔林;张凌燕;张焕明;吴祖剑 - 暨南大学
- 2017-12-05 - 2020-02-07 - G06F21/56
- 本发明公开了一种可验证的安卓恶意软件检测系统及方法,该系统包括安卓应用源数据初始化过滤模块、可疑代码报警器模块和恶意代码验证模块,安卓应用源数据初始化过滤模块首先对安卓应用源数据初始化过滤和特征生成;可疑代码报警器模块发现可疑的恶意代码通过警报器标记;恶意代码验证模块用验证器验证安卓恶意软件及其恶意代码。本发明实现自动地检测由病毒检测服务平台的门户网站提交的数据流是否含有恶意代码,以及由系统提供的API接口提交的文件里是否含有恶意代码,并实现识别技术给予验证,该发明可发现安卓恶意应用开发者提交的安卓恶意代码,并通过有效的验证技术提高恶意代码检测的准确率。
- 一种病毒特征匹配方法、终端及计算机可读存储介质-201710813679.X
- 孟磊 - 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司
- 2017-09-11 - 2020-02-07 - G06F21/56
- 本发明提供了一种病毒特征匹配方法,包括:将病毒库映射到包含若干个连续比特位的位图上;将从数据包中提取的文件内容复制到缓冲区;利用预设窗口在缓冲区中选取出匹配区域,计算匹配区域在位图上的映射位置,根据映射位置判断是否匹配,滑动预设窗口,直到文件内容匹配结束。基于上述病毒特征匹配方法,本发明还提供了一种终端及计算机可读存储介质,采用本发明的技术方案,能将海量病毒库装入尺寸有限的缓存中,同时采用计算算法代替现有技术中的比较算法,能进一步发挥X86 CPU计算性能好的特点,提升病毒检测的效率。
- 一种基于高交互蜜罐技术的病毒文件检测方法-201910984633.3
- 张帅哲;范渊 - 杭州安恒信息技术股份有限公司
- 2019-10-16 - 2020-02-04 - G06F21/56
- 本发明涉及一种基于高交互蜜罐技术的病毒文件检测方法,建立高交互蜜罐,高交互蜜罐启动后,数据处理中心处理下属高交互蜜罐捕捉的新增或修改文件并存入沙盒,以特征分析引擎比较沙盒中和数据库中的文件,检测得到病毒文件并反馈至数据处理中心;本发明能够在底层进程中部署记录高交互蜜罐的监控进程,监测到黑客攻击蜜罐的网络数据包,捕获黑客在蜜罐中新增或者修改的文件,与病毒库对比,进一步判断文件是否是黑客攻击使用的病毒文件。本发明可在现有检测业务上开发,减少开发成本;高交互蜜罐不仅能记录基本信息、进程列表、网络连接数据,还可通过病毒库、结合入侵者IP建立黑客画像库,对黑客的通用攻击手法更好了解,建立对应的防护机制。
- 一种安全诊断方法、装置及电子设备-201511029899.0
- 苏海峰 - 北京金山安全软件有限公司
- 2015-12-31 - 2020-02-04 - G06F21/56
- 本发明实施例提供了一种安全诊断方法、装置及电子设备,接收安全诊断指令,响应所述安全诊断指令,获得所述电子设备中的各待确定对象的特征信息,将所述特征信息发送至云端服务器,以使所述云端服务器在接收到所述特征信息后,基于所述特征信息,确定所述电子设备所对应的安全诊断处理策略,并将所确定的安全诊断结果和处理策略发送至所述电子设备,接收所述云端服务器所发送的所述安全诊断结果和处理策略。与现有技术相比,本发明实施例中,由于每个电子设备的特征信息不同,针对每个电子设备,所述云端服务器确定出相应的处理策略,提高了安全处理的效果。
- 基于深度神经网络的软件漏洞自动分类方法-201910068001.2
- 何海涛;任家东;王倩;李亚洲;胡昌振 - 燕山大学
- 2019-01-24 - 2020-02-04 - G06F21/56
- 本申请提供一种基于深度神经网络的软件漏洞自动分类方法,包括:S1,对漏洞信息进行预处理后形成词集列表;S2,对样本漏洞描述信息集合使用TF‑IDF算法和IG算法对每个词的权重进行计算,获取重要特征词集列表;S3,根据重要特征词集列表生成词向量空间,把每一条漏洞描述信息表述成一个m维的向量,m是重要特征词集中特征词的数量;S4,使用DNN模型获得软件漏洞分类器;S5,新的漏洞描述信息集合进行分类。本发明基于TF‑IDF和IG算法构建深度神经网络漏洞自动分类模型,降低了高维词向量空间的维度,能够适应不断更新的软件漏洞数据集,有效地处理词向量空间的高维性和稀疏性,在准确率、召回率、精度等多维评价指标中表现出较好性能。
- 一种主机入侵检测方法和装置-201810796167.1
- 刘明浩;郝益壮;洪艳 - 北京京东金融科技控股有限公司
- 2018-07-19 - 2020-01-31 - G06F21/56
- 本发明公开了一种主机入侵检测方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:采集主机的信号数据,信号数据包括:静态信号数据n和动态信号数据s;从预设的特征库中查找与静态信号数据匹配的静态检测规则ret
- 恶意文件检测方法、装置、电子设备及存储介质-201811421335.5
- 齐飞;黄显澍;王小丰;肖新光 - 哈尔滨安天科技集团股份有限公司
- 2018-11-28 - 2020-01-31 - G06F21/56
- 本发明的实施例公开了一种恶意文件检测方法、装置、电子设备及存储介质,涉及文件检测技术领域。所述恶意文件检测方法包括:将待检测文件转化为二进制图像;采用局部二值模式LBP提取所述二进制图像的纹理特征,并形成纹理特征向量;将所述纹理特征向量与预先设置的恶意样本集中的特征向量进行比较,若相同,则所述待检测文件为恶意文件。这样,通过LBP算法提取文件特征向量,不需要反编译工具,沙箱、虚拟机等环境,降低对环境的依赖,减少系统资源消耗。且LBP分析得到的特征向量能准确的体现文件的特征,利于文件属性的判定。因此,本发明实施例资源消耗低,能准确判断文件属性。
- 使用静态和动态恶意软件分析来扩展恶意软件的动态检测-201910419646.6
- S·R·达喀尔;A·W·萨尔达尼亚;A·莫汉塔 - 瞻博网络公司
- 2019-05-20 - 2020-01-31 - G06F21/56
- 本公开的实施例涉及使用静态和动态恶意软件分析来扩展恶意软件的动态检测。一种设备,设备接收软件程序,执行软件程序的动态恶意软件分析以生成动态恶意软件分析结果,并且基于软件程序的动态恶意软件分析生成调用图表。设备在软件程序的动态恶意软件分析期间利用调用图表来标识软件程序的退出和/或软件程序的强制终止,并且基于标识软件程序的退出和/或软件程序的强制终止来执行软件程序的静态恶意软件分析。设备基于执行软件程序的静态恶意软件分析生成静态恶意软件分析结果,并且将动态恶意软件分析结果和静态恶意软件分析结果结合以生成经结合的恶意软件分析结果。设备基于经结合的恶意软件分析结果执行一个或多个动作。
- 专利分类
