公开(公告)号：CN109697361A

公开(公告)日：2019-04-30

申请号：CN201710984746.4

申请日：2017-10-20

Applicant: 北京理工大学

Inventor： 张继 ,  王勇 ,  魏浩 ,  薛静锋 ,  马云鹏

IPC: G06F21/56

Abstract: 本发明提出一种基于木马特征的木马分类方法，解决木马特征序列过长且存在大量的无效信息的技术问题。步骤一、针对木马程序进行静态分析和动态分析；步骤二、分析步骤一得到的PE文件和动态分析报告，得到PE文件的静态特征和动态分析报告的动态特征；步骤三、构建特征模型：包括特征处理和特征降维；特征处理是指将步骤二得到的静态特征和动态特征转化为定量特征，并将所有的定量特征合并，构成特征模型；特征降维是指降低所述特征模型的维度，包括去掉冗余特征和低贡献度特征；步骤四、采用分类学习软件对步骤三构建的特征模型进行分类学习，最后输出分类结果。

公开(公告)号：CN111079143B

公开(公告)日：2022-02-11

申请号：CN201911164938.6

申请日：2019-11-25

Applicant: 北京理工大学

Inventor： 张继 ,  刘振岩 ,  马昊聪 ,  王勇 ,  薛静锋 ,  魏浩

IPC: G06F21/56

Abstract: 本发明针对目前特洛伊木马种类繁多，形态各异，给检测技术带来困扰的问题，提出一种基于多维特征图的木马检测方法。该方法包括：将木马可执行文件转化为反汇编ASM文件，根据所述反汇编ASM文件构建ASM多维特征图，基于深度残差神经网络构建所述ASM多维特征图的恶意代码家族分类模型。

公开(公告)号：CN111079143A

公开(公告)日：2020-04-28

申请号：CN201911164938.6

申请日：2019-11-25

Applicant: 北京理工大学

Inventor： 张继 ,  刘振岩 ,  马昊聪 ,  王勇 ,  薛静锋 ,  魏浩

IPC: G06F21/56

Abstract: 本发明针对目前特洛伊木马种类繁多，形态各异，给检测技术带来困扰的问题，提出一种基于多维特征图的木马检测方法。该方法包括：将木马可执行文件转化为反汇编ASM文件，根据所述反汇编ASM文件构建ASM多维特征图，基于深度残差神经网络构建所述ASM多维特征图的恶意代码家族分类模型。