一种恶意软件识别方法及装置
文献发布时间:2023-06-19 18:34:06
技术领域
本申请涉及网络安全术领域,具体而言,涉及一种恶意软件识别方法及装置。
背景技术
随着互联网的飞速发展,恶意软件也随着开始快速传播,其中很多恶意软件通过变种或者混淆技术来逃过现有安全产品的检测,从而对被攻击的设备进行破坏或进行敏感信息的收集。可见,目前的安全产品并不能够快速、有效地对恶意软件进行识别与检测。
发明内容
本申请实施例的目的在于提供一种恶意软件识别方法及装置,能够训练出恶意软件检测模型,并以此来快速、高效地对恶意软件进行识别与检测。
本申请实施例第一方面提供了一种恶意软件识别方法,包括:
获取恶意软件生产的流量数据包;
对所述流量数据包进行分流存储,得到tcp链表;
当所述tcp链表符合预设条件时,对所述tcp链表进行特征提取并记录,得到特征记录;
基于SVM算法和所述特征记录进行训练,得到多个不同的恶意软件检测模型;
获取输入的待检测流量;
基于所述多个不同的恶意软件检测模型对所述待检测流量进行匹配识别,得到恶意软件识别结果。
在上述实现过程中,该方法可以优先获取恶意软件生产的流量数据包,从而以此来获取模型训练的基础数据。然后,该方法对流量数据包进行分流存储,得到tcp链表;可见,该步骤能够对流量数据包进行识别与分类,从而加快流量数据包的存储速度,并将同类型的流量数据包列入相同的tcp链表当中。然后,当tcp链表符合预设条件时,对tcp链表进行特征提取并记录,得到特征记录;可见,该方法可以在tcp链表足够长或者生成了足够多的时间时,自动对其特征进行提取,从而有效获取到大量用于训练模型的特征数据。再然后,该方法可以基于SVM算法和特征记录进行训练,得到多个不同的恶意软件检测模型;可见,该方法不似平常方法训练出一个最佳的模型,而是基于大量的特征记录训练出多个不同的恶意软件检测模型,从而使得该方法形成一个模型群检识别方法,进而保障恶意软件识别的精度。在得到多个恶意软件检测模型之后,该方法开始获取输入的待检测流量;并基于多个不同的恶意软件检测模型对待检测流量进行匹配识别,得到恶意软件识别结果;可见,该方法能够通过多个恶意软件检测模型对待检测流量进行识别,从而获取到准确的流量识别结果,并根据该流浪识别结果确定出生产该流量的软件是否为恶意软件。
进一步地,所述获取恶意软件生产的流量数据包的步骤包括:
通过预设抓包功能对恶意软件生产的流量进行pacp抓包,得到流量数据包。
在上述实现过程中,该方法具体可以通过预设抓包功能对恶意软件生产的流量进行pacp抓包,得到流量数据包,可见,该方法可以通过各种抓包软件或者相应功能实现流量数据包的获取,从而使得流量获取的效率与效果变得更优秀。
进一步地,所述对所述流量数据包进行分流存储,得到tcp链表的步骤包括:
获取所述流量数据包的源目的IP和源目的端口;
基于所述源目的IP和所述源目的端口计算流量hash值;
基于所述流量hash值和链表数据结构保存所述流量数据包,得到tcp链表。
在上述实现过程中,该方法在对流量数据包进行分流存储,得到tcp链表的过程中,可以有线获取流量数据包的源目的IP和源目的端口;并基于源目的IP和源目的端口计算流量hash值。可见,该方法可以通过上述这种方式计算出对应的hash值,并以此来判定流量数据包的类型。然后,该方法还可以继续基于流量hash值和链表数据结构保存流量数据包,得到tcp链表;可见,该方法可以基于hash值进行有效的分流和链表结构的存储,从而保障该方法可以在后续过程中基于tcp链表进行类群式的分析与处理。
进一步地,所述当所述tcp链表符合预设条件时,对所述tcp链表进行特征提取并记录,得到特征记录的步骤包括:
当所述tcp链表符合预设条件时,对所述tcp链表进行解析,得到数据包负载、源目的端口和数据获取时间间隔;
对所述数据包负载、所述源目的端口和所述数据获取时间间隔进行记录,得到特征记录。
在上述实现过程中,该方法在对tcp链表进行特征提取并记录,得到特征记录的过程中可以优先对tcp链表进行解析,得到数据包负载、源目的端口和数据获取时间间隔;其中,该些数据特征能够有效的对后续过程起到正向作用。然后,该方法可以对数据包负载、源目的端口和数据获取时间间隔进行记录,得到特征记录。可见,该方法可以基于上述特征确定出tcp链表的记录文件,以便后续基于该记录文件进行模型训练。
进一步地,所述基于所述多个不同的恶意软件检测模型对所述待检测流量进行匹配识别,得到恶意软件识别结果的步骤包括:
对所述待检测流量进行分流存储,得到待检测链表;
对待检测链表进行特征提取并记录,得到待检测特征记录;
基于所述多个不同的恶意软件检测模型对所述待检测特征记录进行匹配识别,得到恶意软件识别结果。
在上述实现过程中,该方法在基于多个不同的恶意软件检测模型对待检测流量进行匹配识别,得到恶意软件识别结果的过程中可以优先对待检测流量进行分流存储,得到待检测链表;然后再对待检测链表进行特征提取并记录,得到待检测特征记录;最后,再基于多个不同的恶意软件检测模型对待检测特征记录进行匹配识别,得到恶意软件识别结果。可见,该方法可以对待检测流量进行预处理,从而使得恶意软件识别模型可以对预处理后的待检测特征记录进行识别,进而能够提高恶意软件识别的准确程度。
本申请实施例第二方面提供了一种恶意软件识别装置,所述恶意软件识别装置包括:
获取单元,用于获取恶意软件生产的流量数据包;
分流单元,用于对所述流量数据包进行分流存储,得到tcp链表;
记录单元,用于当所述tcp链表符合预设条件时,对所述tcp链表进行特征提取并记录,得到特征记录;
训练单元,用于基于SVM算法和所述特征记录进行训练,得到多个不同的恶意软件检测模型;
所述获取单元,还用于获取输入的待检测流量;
识别单元,用于基于所述多个不同的恶意软件检测模型对所述待检测流量进行匹配识别,得到恶意软件识别结果。
在上述实现过程中,该装置可以通过获取单元获取恶意软件生产的流量数据包;通过分流单元对流量数据包进行分流存储,得到tcp链表;通过记录单元在当tcp链表符合预设条件时,对tcp链表进行特征提取并记录,得到特征记录;通过训练单元基于SVM算法和特征记录进行训练,得到多个不同的恶意软件检测模型;通过获取单元获取输入的待检测流量;通过识别单元基于多个不同的恶意软件检测模型对待检测流量进行匹配识别,得到恶意软件识别结果。可见,该装置不再需要在安全虚拟环境(如沙箱)中进行实际操作便能够简单、快速地实现恶意软件识别的效果,同时该装置还可以通过之前训练阶段建立的模型快速识别其类别,提高检测时效性。另外,该装置还不需要通过安全专业人员手工提取恶意软件的特征,便可以基于预先定义的特征选定原则(30个数据包的时间间隔、数据包负载大小、固定负载)实现恶意软件流量的特征的自动提取。然后,该装置还能够结合机器学习SVM算法,对同一款恶意软件的多个变种进行建模,从而适应同一款恶意软件的变种具有的很多相似性(编码相似性、操作码(指令)相似性、负载相似性等),进而实现有效检测同一款恶意软件的新变种的效果。最后,该装置还能够通过链表数据结构实现检测长连接流量。
进一步地,所述获取单元具体用于通过预设抓包功能对恶意软件生产的流量进行pacp抓包,得到流量数据包。
进一步地,所述分流单元包括:
获取子单元,用于获取所述流量数据包的源目的IP和源目的端口;
计算子单元,用于基于所述源目的IP和所述源目的端口计算流量hash值;
保存子单元,用于基于所述流量hash值和链表数据结构保存所述流量数据包,得到tcp链表。
进一步地,所述记录单元包括:
提取子单元,用于当所述tcp链表符合预设条件时,对所述tcp链表进行解析,得到数据包负载、源目的端口和数据获取时间间隔;
记录子单元,用于对所述数据包负载、所述源目的端口和所述数据获取时间间隔进行记录,得到特征记录。
进一步地,所述识别单元包括:
分流子单元,用于对所述待检测流量进行分流存储,得到待检测链表;
处理子单元,用于对待检测链表进行特征提取并记录,得到待检测特征记录;
识别子单元,用于基于所述多个不同的恶意软件检测模型对所述待检测特征记录进行匹配识别,得到恶意软件识别结果。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的恶意软件识别方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的恶意软件识别方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种恶意软件识别方法的流程示意图;
图2为本申请实施例提供的另一种恶意软件识别方法的流程示意图;
图3为本申请实施例提供的一种恶意软件识别装置的结构示意图;
图4为本申请实施例提供的另一种恶意软件识别装置的结构示意图;
图5为本申请实施例提供的一种分流过程的实例示意图;
图6为本申请实施例提供的一种TCP(数据)段大小及源目的端口的示意图;
图7为本申请实施例提供的一种每个数据包的到达时间(抓取数据包的时间)的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本实施例提供了一种恶意软件识别方法的流程示意图。其中,该恶意软件识别方法包括:
S101、获取恶意软件生产的流量数据包。
本实施例中,该方法的抓取流量包括两种方式:第一种,通过其他抓包软件(wireshark等)抓取并保存为pcap数据包;第二种,通过本装置的抓包功能抓取,一般抓取30个数据包(30个数据包根据经验设定,基本涵盖了上线、指令下发等过程),可动态设置此值。
S102、对流量数据包进行分流存储,得到tcp链表。
S103、当tcp链表符合预设条件时,对tcp链表进行特征提取并记录,得到特征记录。
S104、基于SVM算法和特征记录进行训练,得到多个不同的恶意软件检测模型。
S105、获取输入的待检测流量。
S106、基于多个不同的恶意软件检测模型对待检测流量进行匹配识别,得到恶意软件识别结果。
本实施例中,该方法能够支持检测长连接。具体的,该方法可以通过对装置输入的流量进行分流(根据hash值),然后将tcp流量存储到链表结构中,当一个tcp连接保存完回放的30个数据包或者时间超时(可动态设置)就可以进行后续的特征提取、特征保存等步骤了。
本实施例中,该方法在匹配识别过程中,可以将待检测恶意流量输入装置后形成的特征文件C与模型B(i)进行相似度(取值区间为0到1)比较,从而判断该恶意流量属于哪种恶意软件。相似度取值可动态设置,取值越大,识别结果的可信度越高。
本实施例中,该方法的执行主体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
在本实施例中,该方法的执行主体还可以为智能手机、平板电脑等智能设备,对此本实施例中不作任何限定。
可见,实施本实施例所描述的恶意软件识别方法,能够不再需要在安全虚拟环境(如沙箱)中进行实际操作便能够简单、快速地实现恶意软件识别的效果,同时该方法还可以通过之前训练阶段建立的模型快速识别其类别,提高检测时效性。另外,该方法还不需要通过安全专业人员手工提取恶意软件的特征,便可以基于预先定义的特征选定原则(30个数据包的时间间隔、数据包负载大小、固定负载)实现恶意软件流量的特征的自动提取。然后,该方法还能够结合机器学习SVM算法,对同一款恶意软件的多个变种进行建模,从而适应同一款恶意软件的变种具有的很多相似性(编码相似性、操作码(指令)相似性、负载相似性等),进而实现有效检测同一款恶意软件的新变种的效果。最后,该方法还能够通过链表数据结构实现检测长连接流量。
实施例2
请参看图2,图2为本实施例提供了一种恶意软件识别方法的流程示意图。其中,该恶意软件识别方法包括:
S201、通过预设抓包功能对恶意软件生产的流量进行pacp抓包,得到流量数据包。
S202、获取流量数据包的源目的IP和源目的端口。
S203、基于源目的IP和源目的端口计算流量hash值。
S204、基于流量hash值和链表数据结构保存流量数据包,得到tcp链表。
本实施例中,该方法可以实现分流的效果。
在本实施例中,由于木马等恶意软件的流量多为长连接,因此在向本装置回放第一步抓取的流量时通常需要数十秒甚至更长时间。所以,需要对每一个tcp连接进行保存直至回放完30个数据包或者时间超时(可动态设置)。
在本实施例中,该方法可以采用链表数据结构保存tcp流量。其中,每达到一个数据包,根据源目的IP和源目的端口计算一个hash值。同一个tcp连接中所有数据包的hash值相同(每次根据端口大小排序,这样无论是S->C还是C->S方向计算出的hash值都一样)。通过linux内核中的jhash_3words函数计算hash值。
在本实施例中,jhash_3words可以根据hash值进行分组,比如100个hash值分成10组,每组10个hash值(每组多少个hash值可以动态设置)。同一组的10个hash值将指向同一个链表,也就是说,同一个链表上存储了10个tcp的流量。其中,每到达一个数据包,根据源目的IP和源目的端口计算一个hash值,利用此hash值查找到所属链表,找到所属的tcp连接后,将数据包放在tcp链表后面。具体过程如图5所示。
在本实施例中,该方法可以分流可以大大减少查找tcp连接的时间。
S205、当tcp链表符合预设条件时,对tcp链表进行解析,得到数据包负载、源目的端口和数据获取时间间隔。
S206、对数据包负载、源目的端口和数据获取时间间隔进行记录,得到特征记录。
本实施例中,该方法可以自动提取特征。
在本实施例中,该方法可以再一个tcp连接保存完回放的30个数据包或者时间超时(可动态设置),就可以自动提取特征了。这里提取的特征是30个数据包的时间间隔、数据包负载大小、固定端口、固定负载(特征依据经验选定,市面上的安全产品规则库中的特征大体也是这些)等。自动提取特征是自动解析数据包的过程,具体步骤如下:
①解析TCP(数据)段大小,即为数据包负载大小,如图6所示;
②解析TCP的源目的端口,如图6所示,一般服务端的端口固定;
③根据同一个tcp流中当前数据包和上一个数据包的到达时间差,获得时间间隔,如图7所示。
在本实施例中,该方法可以在完成上述步骤后从链表中删除此tcp连接。
本实施例中,该方法可以对特征进行记录。
在本实施例中,该方法可以将提取的特征记录到特征文件A(便于后面描述)中,形成一条记录。其中,每一个tcp流量提取的特征形成一条记录。
S207、基于SVM算法和特征记录进行训练,得到多个不同的恶意软件检测模型。
本实施例中,该方法可以调用SVM算法接口,将记录的特征文件A和大量的白流量作为训练数据集,对模型进行训练,从而建立一个识别该款恶意软件的模型B(i)。
在本实施例中,该方法可以重复训练恶意软件检测模型。其中,该方法可以建立针对多款恶意软件的模型B(多个模型的集合,B(1)、B(2)、B(3)……B(i)……B(n))。可见,模型越多,支持检测的恶意软件种类就越多。
S208、获取输入的待检测流量。
S209、对待检测流量进行分流存储,得到待检测链表。
S210、对待检测链表进行特征提取并记录,得到待检测特征记录。
S211、基于多个不同的恶意软件检测模型对待检测特征记录进行匹配识别,得到恶意软件识别结果。
本实施例中,该方法可以接收输入的未知待检测恶意流量,经过分流、自动提取特征、记录特征,形成特征文件C。其中,该方法可以比较B(i)和C的相似度(取值区间为0到1),从而判断该恶意流量属于哪种恶意软件。相似度取值可动态设置,取值越大,识别结果的可信度越高。比如相似度大于0.9才算匹配成功具有较高的可信度。
本实施例中,该方法的执行主体可以为计算机、服务器等计算装置,对此本实施例中不作任何限定。
在本实施例中,该方法的执行主体还可以为智能手机、平板电脑等智能设备,对此本实施例中不作任何限定。
可见,实施本实施例所描述的恶意软件识别方法,能够不再需要在安全虚拟环境(如沙箱)中进行实际操作便能够简单、快速地实现恶意软件识别的效果,同时该方法还可以通过之前训练阶段建立的模型快速识别其类别,提高检测时效性。另外,该方法还不需要通过安全专业人员手工提取恶意软件的特征,便可以基于预先定义的特征选定原则(30个数据包的时间间隔、数据包负载大小、固定负载)实现恶意软件流量的特征的自动提取。然后,该方法还能够结合机器学习SVM算法,对同一款恶意软件的多个变种进行建模,从而适应同一款恶意软件的变种具有的很多相似性(编码相似性、操作码(指令)相似性、负载相似性等),进而实现有效检测同一款恶意软件的新变种的效果。最后,该方法还能够通过链表数据结构实现检测长连接流量。
实施例3
请参看图3,图3为本实施例提供的一种恶意软件识别装置的结构示意图。如图3所示,该恶意软件识别装置包括:
获取单元310,用于获取恶意软件生产的流量数据包;
分流单元320,用于对流量数据包进行分流存储,得到tcp链表;
记录单元330,用于当tcp链表符合预设条件时,对tcp链表进行特征提取并记录,得到特征记录;
训练单元340,用于基于SVM算法和特征记录进行训练,得到多个不同的恶意软件检测模型;
获取单元310,还用于获取输入的待检测流量;
识别单元350,用于基于多个不同的恶意软件检测模型对待检测流量进行匹配识别,得到恶意软件识别结果。
本申请实施例中,对于恶意软件识别装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的恶意软件识别装置,能够不再需要在安全虚拟环境(如沙箱)中进行实际操作便能够简单、快速地实现恶意软件识别的效果,同时该装置还可以通过之前训练阶段建立的模型快速识别其类别,提高检测时效性。另外,该装置还不需要通过安全专业人员手工提取恶意软件的特征,便可以基于预先定义的特征选定原则(30个数据包的时间间隔、数据包负载大小、固定负载)实现恶意软件流量的特征的自动提取。然后,该装置还能够结合机器学习SVM算法,对同一款恶意软件的多个变种进行建模,从而适应同一款恶意软件的变种具有的很多相似性(编码相似性、操作码(指令)相似性、负载相似性等),进而实现有效检测同一款恶意软件的新变种的效果。最后,该装置还能够通过链表数据结构实现检测长连接流量。
实施例4
请参看图4,图4为本实施例提供的一种恶意软件识别装置的结构示意图。如图4所示,该恶意软件识别装置包括:
获取单元310,用于获取恶意软件生产的流量数据包;
分流单元320,用于对流量数据包进行分流存储,得到tcp链表;
记录单元330,用于当tcp链表符合预设条件时,对tcp链表进行特征提取并记录,得到特征记录;
训练单元340,用于基于SVM算法和特征记录进行训练,得到多个不同的恶意软件检测模型;
获取单元310,还用于获取输入的待检测流量;
识别单元350,用于基于多个不同的恶意软件检测模型对待检测流量进行匹配识别,得到恶意软件识别结果。
作为一种可选的实施方式,获取单元310具体用于通过预设抓包功能对恶意软件生产的流量进行pacp抓包,得到流量数据包。
作为一种可选的实施方式,分流单元320包括:
获取子单元321,用于获取流量数据包的源目的IP和源目的端口;
计算子单元322,用于基于源目的IP和源目的端口计算流量hash值;
保存子单元323,用于基于流量hash值和链表数据结构保存流量数据包,得到tcp链表。
作为一种可选的实施方式,记录单元330包括:
提取子单元331,用于当tcp链表符合预设条件时,对tcp链表进行解析,得到数据包负载、源目的端口和数据获取时间间隔;
记录子单元332,用于对数据包负载、源目的端口和数据获取时间间隔进行记录,得到特征记录。
作为一种可选的实施方式,识别单元350包括:
分流子单元351,用于对待检测流量进行分流存储,得到待检测链表;
处理子单元352,用于对待检测链表进行特征提取并记录,得到待检测特征记录;
识别子单元353,用于基于多个不同的恶意软件检测模型对待检测特征记录进行匹配识别,得到恶意软件识别结果。
本实施例中,对于恶意软件识别装置的解释说明可以参照实施例1或实施例2中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的恶意软件识别装置,能够不再需要在安全虚拟环境(如沙箱)中进行实际操作便能够简单、快速地实现恶意软件识别的效果,同时该装置还可以通过之前训练阶段建立的模型快速识别其类别,提高检测时效性。另外,该装置还不需要通过安全专业人员手工提取恶意软件的特征,便可以基于预先定义的特征选定原则(30个数据包的时间间隔、数据包负载大小、固定负载)实现恶意软件流量的特征的自动提取。然后,该装置还能够结合机器学习SVM算法,对同一款恶意软件的多个变种进行建模,从而适应同一款恶意软件的变种具有的很多相似性(编码相似性、操作码(指令)相似性、负载相似性等),进而实现有效检测同一款恶意软件的新变种的效果。最后,该装置还能够通过链表数据结构实现检测长连接流量。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1或实施例2中的恶意软件识别方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1或实施例2中的恶意软件识别方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
- 一种基于虚拟化技术的潜在恶意软件分析方法及相关装置
- 一种车牌识别方法、装置、计算机装置及计算机可读存储介质
- 一种纹路识别方法、纹路识别装置、显示装置
- 恶意软件识别模型训练方法、恶意软件识别方法及装置
- 一种基于字符串的恶意软件识别方法、系统及相关装置