基于集成学习的安卓恶意程序检测技术

随着安卓恶意程序的数量的急剧增加,恶意程序检测已成为一个重要的研究课题.然而,目前许多研究表明,恶意程序的检测仍然需要改进,安卓的碎片问题和需要root权限,阻碍了这些方法的广泛使用.现有的杀毒程序依赖于需要实时更新的签名数据库,这无法检测出零日恶意程序.在本文中,我们提取了安卓程序中的特征,进行混合,选择集成算法中的DECORATE算法,并用WEKA工具辅助进行分类恶意程序的检测.该方法最终达到95.8%的检测精度,同时我们在真实的数据集上经过十折交叉验算实验及对比.     

改进指纹和LSC加权的恶意程序代码相似度估计算法

恶意程序代码的相似度估计是恶意程序代码分析和检测的重要研究内容。现有的方法主要是对恶意程序代码进行属性计算或结构度量,但由于恶意程序代码结构的灵活性和恶意程序代码的伪装、恶意程序代码的相似度较难度量。提出了改进指纹和LSC加权的恶意程序代码相似度估计算法。该算法首先对恶意程序代码进行函数作用域划分和标准化预处理,然后对其进行字串序列化,利用改进的指纹相似度来对恶意程序代码的相似度进行度量;同时结合最大公共字串匹配算法进行结构度量,并对其相似度计算结果进行加权,对恶意程序代码结构的相似度进行综合估计。实验以C语言结构的程序代码为例,利用折半查找算法生成恶意程序代码测试数据集进行算法有效性验证。仿真证明该算法具有较好的恶意程序代码相似度估算精度。     

基于机器学习的内核恶意程序检测研究与实现

随着计算机科学的发展,世界对计算机的依赖越来越强,计算机安全也越来越重要,恶意代码是计算机安全面临的最大敌人.针对传统的恶意代码检测和分析技术在现在已经无法满足需求的问题,提出使用机器学习并应用新的分类特征来识别恶意程序,并且对他们进行初级的家族分类,指出以往机器学习在恶意代码检测和分类上的不足,筛选出更好的区分特征.首先使用了n-gram算法来优化恶意代码反汇编代码中的操作码特征,然后使用词袋模型和TF-IDF算法优化API调用特征,最后编程实现模型并使用数据集进行了模型的训练和测试.实验中使用决策树算法的模型的分类准确率上达到了87.41%,使用随机森林算法的模型的分类准确率上达到了90.06%,实验结果表明提出的特征相比以往在恶意代码检测分类上应用的特征有着更好的效果.      

基于自相似特性的恶意代码动态分析技术

在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuchi算法,分别计算程序的Hurst指数,匹配同种恶意程序的自相似性。将恶意程序与正常程序的API调用序列和Hurst指数进行对比实验表明,恶意程序调用API函数与正常程序存在差异,并且同一类型的恶意程序确实具有自相似性,从而能够动态检测出恶意程序。     

一种基于权限的安卓恶意软件检测方法

针对基于特征代码的Android恶意软件检测方法难以检测未知恶意程序,且基于行为的检测方法误报率较高的问题,提出了一种基于权限的Android恶意软件检测方法.该方法首先在静态分析的基础上,结合动态行为分析提取权限特征;然后,采用权限特征关联分析方法,挖掘权限特征之间的关联规则;最后,基于朴素贝叶斯分类算法,建立恶意应用检测模型.实验结果表明,与现有方法相比,本文方法建立的恶意应用模型具有较高的检测率和准确率.     

基于ICC的Android恶意程序检测方法

结合语法和语义特征的检测方法可有效识别Android恶意程序.对现有以污点传播路径为语义特征的方法进行扩展,将不同组件内的Source方法和Sink方法对定义为跨组件(ICC)污点传播路径,并进一步抽象为基于类的路径集合作为新的语义特征,按照它们在不同样本集中出现次数的比例关系进行特征值规范化,采用SVM进行分类和检测.针对295个样本的检测结果表明,准确率和虚警率均有一定改善.     

基于机器学习的Windows环境下恶意程序检测系统

针对Windows环境下恶意程序数量众多且难以判别的情况,为了改善和提高对恶意程序的识别能力和效果,结合程序行为分析和机器学习技术,设计了一个恶意程序的检测系统。通过对所采集的程序样本集进行动态分析,提取出其两类系统调用序列作为样本特征,以此作为输入数据,对机器学习分类器进行监督式学习训练,使其能够对恶意行为和正常行为进行区分,并可以对于未知程序的性质做出判定,可以高效地识别出恶意程序。结果表明,可以通过较短时间的训练即可到达较为满意的判定能力,也表明了机器学习对于程序行为性质判定方面具有广泛的应用前景。     

多上下文特征的Android恶意程序静态检测方法

提出一种基于多上下文特征的Android恶意程序检测方法,将敏感权限、广义敏感应用程序接口(API)和敏感系统广播三类敏感资源作为原始特征,并与其发生的上下文相结合形成程序特征,区分应用程序的良性和恶意行为.构造了基于回调函数的过程间控制流图,并定义了一组过滤压缩规则.用该方法对4 972个应用程序进行检测分析,结果表明:随机森林算法在本文的特征集上表现效果最佳,准确率为95.4%,召回率为96.5%,本文方法比其他方法的检测效果更优.     

一种多级数据嵌入的信息隐藏方法研究

利用Bandelet变换实现数字图像特征信息自适应提取,对水印信息实现自适应多级调制嵌入,强化了对特征信息的保护和恢复,以及对检测信号进行进一步的信息筛选。实验结果表明,提出的数字水印特征多级嵌入调制及其检测的研究方法,提高了水印图像的恢复性和抗攻击能力。     

基于行为特征库的木马检测模型设计

目前木马检测的主流技术主要是特征码检测技术,而该技术提取特征码滞后,无法检测未知新型木马.为了更好的检测新型木马,详细归纳总结木马的行为特征,同时在此基础上提取木马通适性行为特征,构建木马行为特征库,设计了基于行为特征库的木马检测模型,并应用模糊模式识别方法判断木马程序.通过实验证明此模型可以对可疑程序的行为特征进行分析判断,较准确地识别木马程序.该检测模型是对基于特征码检测技术的强有力补充,在新型木马不断涌现的今天,基于木马行为特征检测技术具有重要的应用意义.