-
公开(公告)号:CN113935033B
公开(公告)日:2024-09-06
申请号:CN202111071137.2
申请日:2021-09-13
Applicant: 北京邮电大学
IPC: G06F21/56 , G06F18/214 , G06F18/22 , G06F18/241 , G06F18/25 , G06N3/042 , G06N3/08
Abstract: 本发明提供一种特征融合的恶意代码家族分类方法、装置和存储介质。所述方法包括以下步骤:提取恶意软件的操作码特征、字节特征、图像化特征和静态统计特征;根据恶意软件的操作码特征、字节特征和图像化特征构建恶意软件之间的相似度矩阵和邻接矩阵,基于所述邻接矩阵获得恶意软件关系图;以及以样本集合中的样本和所述恶意软件关系图为输入,使用图神经网络模型对恶意软件进行模型的训练和测试,从而获得恶意代码家族分类结果。通过将多种特征混合使用,同时结合图神经网络模型获取恶意软件之间的关系并使用,本发明实现了多种特征的有机融合,比传统方法更加合理,可以大大降低训练样本数量,可以提升恶意软件家族进行分类的准确度和复杂度。
-
公开(公告)号:CN113935033A
公开(公告)日:2022-01-14
申请号:CN202111071137.2
申请日:2021-09-13
Applicant: 北京邮电大学
Abstract: 本发明提供一种特征融合的恶意代码家族分类方法、装置和存储介质。所述方法包括以下步骤:提取恶意软件的操作码特征、字节特征、图像化特征和静态统计特征;根据恶意软件的操作码特征、字节特征和图像化特征构建恶意软件之间的相似度矩阵和邻接矩阵,基于所述邻接矩阵获得恶意软件关系图;以及以样本集合中的样本和所述恶意软件关系图为输入,使用图神经网络模型对恶意软件进行模型的训练和测试,从而获得恶意代码家族分类结果。通过将多种特征混合使用,同时结合图神经网络模型获取恶意软件之间的关系并使用,本发明实现了多种特征的有机融合,比传统方法更加合理,可以大大降低训练样本数量,可以提升恶意软件家族进行分类的准确度和复杂度。
-
公开(公告)号:CN113949531B
公开(公告)日:2022-06-17
申请号:CN202111075447.1
申请日:2021-09-14
Applicant: 北京邮电大学
Abstract: 本发明提供一种恶意加密流量检测方法及装置,所述方法通过挖掘加密流量中各加密会话之间的关联关系来构建加密图,由单流孤立分析,转为多流协同分析。同时,提出了刻画加密恶意流量的两类属性,一是基于握手信息进行评价的可信度,二是基于TLS记录长度序列评价的平稳性,通过图注意力网络综合分析计算待评价加密会话的可信度值和平稳性值,并输入预训练的前馈神经网络得到恶意性评分,以识别加密恶意流量。本发明通过挖掘加密会话之间的关系,对恶意加密流量的检测更准确,鲁棒性更高。
-
公开(公告)号:CN113691537A
公开(公告)日:2021-11-23
申请号:CN202110980179.1
申请日:2021-08-25
Applicant: 北京邮电大学
Abstract: 本发明的实施例提供了一种基于图分析的恶意加密流量检测方法,涉及网络通信技术领域。基于图分析的恶意加密流量检测方法包括:提取已经打标的加密流量的特征;采用加密流量的特征对GraphSAGE图模型进行训练;提取待检测的加密流量的特征,并输入训练好的GraphSAGE图模型,以判断加密流量是否为恶意。该检测方法能够快速、准确地判断加密流量是否为恶意,而且,无需对加密流量解密。
-
公开(公告)号:CN113691537B
公开(公告)日:2022-07-26
申请号:CN202110980179.1
申请日:2021-08-25
Applicant: 北京邮电大学
Abstract: 本发明的实施例提供了一种基于图分析的恶意加密流量检测方法,涉及网络通信技术领域。基于图分析的恶意加密流量检测方法包括:提取已经打标的加密流量的特征;采用加密流量的特征对GraphSAGE图模型进行训练;提取待检测的加密流量的特征,并输入训练好的GraphSAGE图模型,以判断加密流量是否为恶意。该检测方法能够快速、准确地判断加密流量是否为恶意,而且,无需对加密流量解密。
-
Patent Agency Ranking
公开(公告)号:CN113935034A
公开(公告)日:2022-01-14
申请号:CN202111076640.7
申请日:2021-09-14
Applicant: 北京邮电大学
Abstract: 本发明提供一种基于图神经网络的恶意代码家族分类方法、装置和存储介质,所述方法包括:提取恶意代码的动态特征中的系统调用特征,并基于所述系统调用特征建立恶意代码无向图,所述恶意代码无向图中每一个节点代表一个恶意代码;提取恶意代码的静态特征作为对应节点的属性;基于建立的无向图和提取到的节点属性构建带有节点属性的恶意代码关系图;将样本集合中的样本和生成的恶意代码关系图输入图神经网络模型,对图神经网络模型分别进行训练和测试,以基于经训练的图神经网络模型获得恶意代码家族分类结果。本发明实施例解决了恶意代码动态和静态特征孤立分析以及没有考虑恶意代码样本之间的结构特征的问题。
-
公开(公告)号:CN113935034B
公开(公告)日:2024-10-01
申请号:CN202111076640.7
申请日:2021-09-14
Applicant: 北京邮电大学
Abstract: 本发明提供一种基于图神经网络的恶意代码家族分类方法、装置和存储介质,所述方法包括:提取恶意代码的动态特征中的系统调用特征,并基于所述系统调用特征建立恶意代码无向图,所述恶意代码无向图中每一个节点代表一个恶意代码;提取恶意代码的静态特征作为对应节点的属性;基于建立的无向图和提取到的节点属性构建带有节点属性的恶意代码关系图;将样本集合中的样本和生成的恶意代码关系图输入图神经网络模型,对图神经网络模型分别进行训练和测试,以基于经训练的图神经网络模型获得恶意代码家族分类结果。本发明实施例解决了恶意代码动态和静态特征孤立分析以及没有考虑恶意代码样本之间的结构特征的问题。
-
公开(公告)号:CN113626817B
公开(公告)日:2024-06-25
申请号:CN202110979019.5
申请日:2021-08-25
Applicant: 北京邮电大学
IPC: G06F21/56 , G06F18/213 , G06F18/214 , G06F18/22 , G06F18/241 , G06F18/25 , G06N3/042 , G06N3/08
Abstract: 本发明的实施例提供了一种恶意代码家族分类方法,涉及网络与信息安全技术领域。恶意代码家族分类方法包括:对恶意代码标注家族信息;从已标注的恶意代码中提取静态特征和动态特征;根据动态特征,生成恶意代码的动态关系图;将静态特征和动态关系图输入图神经网络模型中,以训练图神经网络模型;获取待分类的恶意代码的静态特征和动态关系图,并输入已训练的图神经网络模型,以判断恶意代码的家族信息。恶意代码家族分类方法能够快速、准确地判断出恶意代码的家族信息。
-
公开(公告)号:CN113949531A
公开(公告)日:2022-01-18
申请号:CN202111075447.1
申请日:2021-09-14
Applicant: 北京邮电大学
Abstract: 本发明提供一种恶意加密流量检测方法及装置,所述方法通过挖掘加密流量中各加密会话之间的关联关系来构建加密图,由单流孤立分析,转为多流协同分析。同时,提出了刻画加密恶意流量的两类属性,一是基于握手信息进行评价的可信度,二是基于TLS记录长度序列评价的平稳性,通过图注意力网络综合分析计算待评价加密会话的可信度值和平稳性值,并输入预训练的前馈神经网络得到恶意性评分,以识别加密恶意流量。本发明通过挖掘加密会话之间的关系,对恶意加密流量的检测更准确,鲁棒性更高。
-
公开(公告)号:CN113626817A
公开(公告)日:2021-11-09
申请号:CN202110979019.5
申请日:2021-08-25
Applicant: 北京邮电大学
Abstract: 本发明的实施例提供了一种恶意代码家族分类方法,涉及网络与信息安全技术领域。恶意代码家族分类方法包括:对恶意代码标注家族信息;从已标注的恶意代码中提取静态特征和动态特征;根据动态特征,生成恶意代码的动态关系图;将静态特征和动态关系图输入图神经网络模型中,以训练图神经网络模型;获取待分类的恶意代码的静态特征和动态关系图,并输入已训练的图神经网络模型,以判断恶意代码的家族信息。恶意代码家族分类方法能够快速、准确地判断出恶意代码的家族信息。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.017 seconds)
