公开(公告)号：CN105488409B

公开(公告)日：2018-04-24

申请号：CN201410845278.9

申请日：2014-12-31

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 贾琼 ,  李柏松

IPC: G06F21/56

Abstract: 本发明公开了一种检测恶意代码家族变种及新家族的方法及系统，首先通过现有的已知恶意代码家族及其样本作为训练数据，提取其中的API函数名和API函数传入的参数，在检测过程中，将待检测恶意代码的API函数名与训练数据的函数名进行对比，初步判断其是否属于已知恶意代码家族，然后将待检测恶意代码API函数传入的参数与训练数据的API函数传入的参数进行对比，判断其属于现有家族的变种还是属于新增家族的样本，最终返回检测结果。本发明弥补了现有恶意代码检测都为单一目标样本的检测，并没有对家族样本进行分类，无法直观的发现目前正在活跃的家族并根据其新的变种做针对性的防御的不足，且检测结果精确，可靠性高。

公开(公告)号：CN105488409A

公开(公告)日：2016-04-13

申请号：CN201410845278.9

申请日：2014-12-31

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 贾琼 ,  李柏松

IPC: G06F21/56

Abstract: 本发明公开了一种检测恶意代码家族变种及新家族的方法及系统，首先通过现有的已知恶意代码家族及其样本作为训练数据，提取其中的API函数名和API函数传入的参数，在检测过程中，将待检测恶意代码的API函数名与训练数据的函数名进行对比，初步判断其是否属于已知恶意代码家族，然后将待检测恶意代码API函数传入的参数与训练数据的API函数传入的参数进行对比，判断其属于现有家族的变种还是属于新增家族的样本，最终返回检测结果。本发明弥补了现有恶意代码检测都为单一目标样本的检测，并没有对家族样本进行分类，无法直观的发现目前正在活跃的家族并根据其新的变种做针对性的防御的不足，且检测结果精确，可靠性高。