2种恶意代码行为特征统计方法的比较

随着恶意代码技术的更新,其检测技术变得日趋复杂,以启发式、前摄检测、行为检测和主动防御为代表的非特征码检测技术孕育而生,这些方法多数是利用了统计学原理。该文阐述了恶意代码行为的捕获方法和对恶意代码行为的统计方法,归纳了恶意代码行为的2种特征统计量定义方式;使用基于标准化欧式距离的分类器对这2种统计空间进行建模,并通过对建模结果的分析,得出了适用于最小距离分类器建模的行为特征统计空间。     

一种针对Android平台恶意代码的检测方法及系统实现

针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统.在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码.经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率.所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务.     

基于虚拟化环境恶意代码检测系统的设计与实现

本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响.     

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

基于二阶HMM模型的恶意代码检测

普通隐马尔可夫（HMM）模型状态转移概率只与前一个时间状态相关,而恶意代码的行为有多种,因此本文提出了一种基于二阶隐马尔可夫的恶意代码检测模型。应用BW算法对系统的正常行为建模,并采用滑动窗口的方法,检测系统中是否有恶意代码的存在。通过实验结果证明二阶HMM模型的检测准确性高于普通的HMM模型,能快速有效的检测系统中恶意代码的存在。     

路径条件驱动的混淆恶意代码检测

代码混淆是恶意代码隐藏自身的主要手段之一.本文提出了一种新的动态检测方法,能够有效检测混淆后的恶意代码.该方法能够利用ISR进行动态调试.在调试过程中通过对路径条件的约束求解,驱动恶意代码执行不同的路径更深入地检测隐藏恶意代码.此外,对于需要读取外部资源的恶意代码,恶意行为往往需要结合外部资源才能检测.本文方法能够准确定位外部资源并结合原始恶意代码进行检测,提高检测的准确性.在原型系统的测试中,与12种杀毒软件的横向测试表明,该方法在对混淆恶意代码检测中能有效地降低漏报率.     

基于动态行为指纹的恶意代码同源性分析

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种.经研究分析,最终筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析.实验结果表明,该方法能够有效地对不同恶意代码及其变种进行同源性分析.     

基于云计算的恶意代码防御系统

针对当前恶意代码检测系统存在的查杀能力较弱、资源占用率大、自身易受攻击等问题,综合利用云查杀、主动防御和多代理协同处理等技术提出了一种新的恶意代码防御系统.该系统将核心检测分析功能分离到云端以服务形式提供,终端只具备安全状态和行为监控等基本代理功能,海量代理构成的监控云快速发现未知恶意代码,检测分析云通过分布式处理和多查杀引擎协同快速分析识别恶意代码.为了测试系统的可行性和有效性,使用6 835个恶意代码样本开展了与传统模式的对比实验,系统的查杀成功率达到97.3%,CPU占用率不高于29%.与传统模式相比,新体系具有更高的查杀能力和更低的终端资源占用率.     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

基于行为关系网络的恶意代码检测方法

在网络安全领域,恶意代码的威胁是一个不可回避的话题.如何快速检测出恶意代码、阻止和降低恶意代码产生的危害一直是亟需解决的问题.本文提出一种基于行为关系网络的恶意代码检测方法.首先,在沙箱中运行样本获得行为报告,再从报告中提取样本的API调用、注册表访问和文件读写操作三种行为记录来构建行为关系网络,所构建的行为关系网络包含“PE”、“API”、“Registry”和“File”4种类型的节点;然后,使用一种基于元图的方法来计算样本之间的相似度矩阵;最后,使用一种自定义核的支持向量机(Support Vector Machine, SVM)模型来进行训练和预测.实验结果表明,本文提出的方法可以达到95.5%的分类准确率,能够有效地对恶意代码进行检测.     

选择性丢弃攻击检测方案

在无线传感器网络中,针对被俘获的恶意节点发动的丢弃合法数据包的攻击行为,提出了选择性丢弃攻击检测方案.该方案使用邻居检测点监听转发节点是否转发了数据包,防止数据包被恶意的丢弃.检测点在发现转发节点恶意丢包行为时,会执行转发数据包的任务,同时生成警报信息给BS节点.BS节点收到一定数量的警报信息,采取相应的措施隔离恶意节点.仿真结果表明,该方案能够很好的抵御恶意节点的丢包行为.     

Android系统中恶意代码的动态检测技术研究

随着手机普及程度的日益提高,人们对智能手机的依赖性加重,手机的安全性问题变得愈加突出.根据Android安装包(APK)文件的权限调用和Android系统的应用程序接口(API)函数调用情况,设计了一种基于API拦截技术的检测恶意代码的动态检测方法.实验结果表明,该方法可以有效检测并报告Android系统中的恶意代码.     

一种高效的恶意域名检测框架

由于域名系统缺乏足够的安全机制,常作为黑客发动网络攻击的重要行动基础设施.因此如何快速准确地发现并阻断潜在的恶意域名及对应IP是防范未知网络攻击的重要手段和研究热点.讨论了恶意域名检测领域已有研究成果及其优缺点,提出了一种结合三种域名检测技术的新型恶意域名检测框架MDDF,结合实验结果讨论了该框架具备更好的检测效率及较好的完备性.      

分形塔分抗逼近电路——标度拓展与优化设计原理

分析B型分形塔分抗逼近电路的特征,该电路只具有负半阶运算性能.结合标度拓展理论,获得具有任意实数阶微积算子的分抗逼近电路——标度分形塔分抗逼近电路,并用非正则双重标度方程进行描述.分析该分抗逼近电路的运算性能和逼近性能.运用典型的数值求解算法分析频域特征及运算特征,对比不同初始阻抗值对零极点分布及频域曲线的影响.结合运算特征曲线与标度特征参量的不同取值情形,理论分析标度分形塔分抗逼近电路的优化原理并给出具体优化方法.对比分析标度分形塔分抗优化前后的逼近性能,定量分析运算振荡现象.介绍标度分形塔分抗的实际电路设计方案并给出实例,使用电阻电容与有源器件将该分抗的运算阶由-1μ0推广为0|μ|2.标度分形塔分抗逼近电路及其优化电路为分抗的构造与应用提供新思路.     

基于图像纹理聚类的恶意代码家族标注方法

针对传统恶意代码标注分析方法中特征提取能力不足以及家族标注不统一、不规范、不精确且时效性差等问题,通过对大量恶意样本PE文件纹理构成和分布的研究,提出了基于内容纹理聚类的恶意代码深度标注方法。该方法对恶意代码的纹理指纹进行统计分析,从基准标注和深度标注这2个步骤对恶意代码家族进行归纳和分析,并结合VirusTotal分析方法、基于GLCM纹理特征空间构建方法和基于P-Stable LSH的近邻增量聚类算法,对恶意代码家族进行深度标注。实验结果表明,基于上述方法开发的原型系统具有家族标注准确率高、支持增量标注等优势,通过深度标注生成的基准标签实用性强,且对未知恶意代码检测具有积极意义。     

基于动态API调用序列和机器学习的恶意逃避样本检测方法

针对恶意逃避样本的逃避行为进行分析,归纳并总结了恶意逃避样本常用的逃避API函数集,提出了一种基于动态API调用序列和机器学习的恶意逃避样本检测方法。在特征工程处理阶段,提出了逃避API函数权重衡量算法,并通过优化词频处理来增强逃避API函数的特征向量值,最终本文方法检测恶意逃避样本的准确率可达95.09%。