公开(公告)号：CN116842513A

公开(公告)日：2023-10-03

申请号：CN202310641460.1

申请日：2023-06-01

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  刘嘉熹 ,  冯云 ,  陈艳辉 ,  谭儒 ,  代峰 ,  靳泽

IPC: G06F21/56 ,  G06V10/764 ,  G06V10/82 ,  G06N3/0442 ,  G06N3/082

Abstract: 本发明公开了一种基于深度学习的内存驻留恶意代码检测方法及系统，所述方法包括：在虚拟机中运行待检测软件，得到该待检测软件对应的内存转储文件；每次读取的内存转储文件的三个字节，将三个字节分别填充进R通道、G通道和B通道，得到该待检测软件对应的一内存转储图片；将内存转储图片剪切为若干张子图片；提取每一子图片的特征且向量化，并对得到的特征向量进行分类，得到该子图片的分类结果；根据待检测软件对应的所有子图片的分类结果，得到该待检测软件的内存驻留恶意代码检测结果。本发明提升了Windows系统中恶意代码检测效率，降低了恶意代码分析的人工成本和时间成本。

公开(公告)号：CN118296602B

公开(公告)日：2024-10-29

申请号：CN202410462681.7

申请日：2024-04-17

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  朱洪文 ,  谭儒 ,  曹雅琴 ,  刘嘉熹 ,  赵建军 ,  谭耀康

IPC: G06F21/56 ,  G06N3/0464 ,  G06N3/0442 ,  G06N3/045

Abstract: 本发明公开了一种逃避型恶意软件检测方法及系统，涉及计算机网络安全领域。本发明基于收集的正常软件样本和逃避型恶意软件样本构建训练样本集和验证样本集，运行样本并分析得到用户态API调用序列和内核态系统调用序列；基于这两个样本集中的这两种序列训练得到用户态行为特征检测模型和内核态行为特征检测模型并作为基模型，与元模型堆叠训练得到多态行为特征集成检测模型，利用该模型进行逃避型恶意软件检测。本发明融合基于两种调用序列分类模型，有效地捕捉恶意软件在不同操作层面的行为特征，并通过堆叠法融合多个模型的输出，显著提升了对逃避型恶意软件检测的准确性和效率。

公开(公告)号：CN118296602A

公开(公告)日：2024-07-05

申请号：CN202410462681.7

申请日：2024-04-17

Applicant: 中国科学院信息工程研究所

Inventor： 刘奇旭 ,  朱洪文 ,  谭儒 ,  曹雅琴 ,  刘嘉熹 ,  赵建军 ,  谭耀康

IPC: G06F21/56 ,  G06N3/0464 ,  G06N3/0442 ,  G06N3/045

Abstract: 本发明公开了一种逃避型恶意软件检测方法及系统，涉及计算机网络安全领域。本发明基于收集的正常软件样本和逃避型恶意软件样本构建训练样本集和验证样本集，运行样本并分析得到用户态API调用序列和内核态系统调用序列；基于这两个样本集中的这两种序列训练得到用户态行为特征检测模型和内核态行为特征检测模型并作为基模型，与元模型堆叠训练得到多态行为特征集成检测模型，利用该模型进行逃避型恶意软件检测。本发明融合基于两种调用序列分类模型，有效地捕捉恶意软件在不同操作层面的行为特征，并通过堆叠法融合多个模型的输出，显著提升了对逃避型恶意软件检测的准确性和效率。