基于隐马尔可夫模型的程序行为异常检测

针对入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于隐马尔可夫模型的程序行为异常检测新方法．该方法以程序正常执行过程中产生的系统调用序列为研究对象，建立计算机的正常程序行为模型．在入侵检测时，先对测试的系统调用数据用滑动窗口划分得到短序列，再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率，如果系统调用短序列的输出概率低于给定阈值，则将该短序列标定为“不匹配”，如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值，该模型就认为此程序行为异常．实验结果表明，与Forrest和Lee的方法相比，所提方法的检测率的最大提高率可达590％．     

基于语义API依赖图的恶意代码检测

传统的恶意代码动态分析方法大多基于序列挖掘和图匹配来进行恶意代码检测,序列挖掘易受系统调用注入的影响,图匹配受限于子图匹配的复杂性问题,并且此类方法并未考虑到样本的反检测行为,如反虚拟机.因此检测效果越来越差.本文设计并提出一种基于程序语义API依赖图的真机动态分析方法,在基于真机的沙箱中来提取恶意代码的API调用序列,从而不受反虚拟机检测的影响.本文的特征构建方法是基于广泛应用于信息理论领域的渐近均分性(AEP)概念,基于AEP可以提取出语义信息丰富的API序列,然后以关键API序列依赖图的典型路径来定义程序行为,以典型路径的平均对数分支因子来定义路径的相关性,利用平均对数分支因子和直方图bin方法来构建特征空间.最后采用集成学习算法-随机森林进行恶意代码分类.实验结果表明,本文所提出的方法可以有效分类恶意代码,精确度达到97.1%.     

基于混合人工势场-蚁群算法的机器人避障

针对移动机器人避障的路径规划问题,提出一种基于混合人工势场-蚁群算法的方法。在栅格环境中,以人工势场法的规划信息作为蚁群算法寻优的基础,引入势场合力作为蚂蚁搜索路径点的部分启发信息。Mat-lab7.6仿真表明,该方法解决了人工势场法的目标不可达、易陷入极值点等弊端,提高了经典蚁群算法的寻优效果和收敛速率,具有更强的稳定性和环境适应力。     

一种分析系统调用序列的入侵检测系统设计与实现

结合程序局部性原理,提出系统调用序列中位置间的相关度定义.利用相关度给出了实际系统调用序列与正常系统调用序列间的模糊匹配方法,利用该方法判断应用程序运行状况,进行入侵检测.给出了一个采用该方法的主机入侵检测系统,说明了其整体结构设计、模块间调用关系、模块设计原理、模块实现方法及用于验证该入侵检测系统的实验环境.通过实验结果验证了检测方法是有效的.     

基于图注意力网络的安卓恶意软件检测

安卓恶意软件的爆发式增长对恶意软件检测方法提出了更高效、准确的要求.早年的检测方法主要是基于权限、opcode序列等特征,然而这些方法并未充分挖掘程序的结构信息.基于API调用图的方法是目前主流方法之一,它重在捕获结构信息,可准确地预测应用程序可能的行为.本文提出一种基于图注意力网络的安卓恶意软件检测方法,该方法通过静态分析构建API调用图来初步表征APK,然后引入SDNE图嵌入算法从API调用图中学习结构特征和内容特征,再通过注意力网络充分融合邻居节点特征向量,进而构成图嵌入进行检测任务.在AMD数据集上的实验结果表明,本文提出的方法可以有效检测恶意软件,准确率为97.87%,F1分数为97.40%.     

OSEK/VDX OS服务调用的规范一致性检测方法

OSEK/VDX(open systems and the corresponding interfaces for automobile electronic/vehicle distributed execu-tive)OS规范描述了一个嵌入式实时操作系统,对系统服务调用的上下文做了严格的限制。违反系统服务调用规范是一种很隐蔽的错误,不会被编译器发现。提出一种OSEK/VDX OS系统服务调用规范一致性的检测方法,利用森林图描述用户自定义代码中的函数及其调用关系,采用矩阵描述OSEK/VDX OS系统服务调用的规则,遍历该森林图的函数调用路径,对于每条路径,结合该规则矩阵判断其规范一致性。实验和分析表明该方法能有效地检测用户自定义代码中隐藏的违反OSEK/VDX OS系统服务调用规范的错误。     

OSEK/VDX OS服务调用的规范一致性检测方法

OSEK/VDX（open systems and the corresponding interfaces for automobile electronic/vehicle distributed executive） OS规范描述了一个嵌入式实时操作系统,对系统服务调用的上下文做了严格的限制。违反系统服务调用规范是一种很隐蔽的错误,不会被编译器发现。提出一种OSEK/VDX OS系统服务调用规范一致性的检测方法,利用森林图描述用户自定义代码中的函数及其调用关系,采用矩阵描述OSEK/VDX OS系统服务调用的规则,遍历该森林图的函数调用路径,对于每条路径,结合该规则矩阵判断其规范一致性。实验和分析表明该方法能有效地检测用户自定义代码中隐藏的违反OSEK/VDX OS系统服务调用规范的错误。     

汇编语言程序相似性检测混合算法

根据汇编语言自身的特点,提出了结合属性计数和结构度量技术的相似性检测混合算法.在该方法中,将程序段的数目、子程序定义和调用的次数、循环指令loop出现的次数、转移指令出现的次数作为结构信息,73个使用频率较高的关键字作为属性信息.在从汇编语言程序中提取这些信息后,利用卡方检验来判断2个程序的相似性.实验结果表明,从混合...     

基于调用图的Android应用权限泄露检测方法

为提高安卓(Android)应用权限泄露漏洞检测的准确性,提出了1种基于调用图的权限泄露检测方法。提取应用程序的公开接口,进而得到公开方法。提取程序中使用敏感应用程序编程接口(API)的敏感方法,然后构建程序方法间调用图。在公开方法和敏感方法间搜索权限泄露路径。以APKPure应用市场的286个应用程序包(APK)为实验对象进行验证。批量样本检测实验结果表明该文方法能够准确检测多种接口的权限泄露漏洞。选取Drozer、AndroBugs和腾讯金刚审计系统作为对比工具进行对比实验。结果显示,在公开接口检测时,该文方法检测范围最广、考虑的因素最多、漏报误报情况最少。     

一种组合式基于调用栈的程序切片方法

通过调用栈提取当前调用上文信息,对传统的静态程序切片约简,可获得基于调用栈的程序切片,进行有效的程序调试.针对目前该切片计算需构造系统依赖图(SDG)而造成大程序分析效率较低等问题,提出相关子程序分析算法,通过仅分析程序中部分与切片标准相关的子程序,而不是所有子程序来提高分析效率,同时提出一种组合式基于调用栈的程序切片...     

面向不同应用的可行性数据流测试准则

测试准则是完成软件测试必须满足的条件。一个可行的测试准则是当且仅当对任意一个程序，都存在一个测试用例集能够满足该准则，但在通常情况下，由于程序中不可执行的语句或路径的存在，使得基于数据流的测试准则不可行，在一类具有可行性的测试准则FDF的基础上，给出院 三类新的基于数据流的测试准则。并且证明其中两类准则比FDF测试准则具有更强的故障检测能力。     

Variable-length sequential dynamic features-based malware detection①

In order to solve the problem that traditional signature-based malware detection systems are in-efficacious in detecting new malware , a practical malware detection system is constructed to find out new malware .Application programming interface ( API) call sequence is introduced to capture ac-tivities of a program in this system .After that, based on variable-length n-gram, API call order can be extracted from API call sequence as the malicious behavior feature of a software .Compared with tra-ditional methods , which use fixed-length n-gram, the solution can find more new malware .The experi-mental results show that the presented approach improves the accuracy of malware detection .     

C 语言源程序函数列表和函数调用树的自动生成

文档是编程工作的一个非常重要的环节，它一般包括规格化程序清单、函数调用关系、变量参访表和程序结构等等。本文介绍了用ＢｏｒｌａｎｄＣ＋＋编程实现函数列表和函数调用树的自动生成方法，并详细分析了有关的数据结构和主要算法及技巧。     

电信级客服系统监控的研究

研究的客服系统监控方法采用模块化结构,由监控接口组件、数据采集组件、数据分析组件和监控预警网关组成.将监控信息生成XML文件,通过TCP IP或FTP的方式传输,并对XML文件做分析、备份、入库工作,可将原被动式监控转化成主动式服务方式.采集的数据完整、分析的数据准确、告警及时,有效提高客服系统的稳定性.     

Intrusion Detection Method for Program Vulnerability via Library Calls

Library function call sequence is the direct reflection of a program＇s behavior. The relationship between program vulnerability and library calls is analyzed, and an intrusion detection method via library calls is proposed, in which the short sequences of library call are used as signature profile. In this intrusion detection method, library interposition is used to hook library calls, and with the discussion of the features of the library call sequence in detail, an algorithm based on information-theory is applied to determine the appropriate length of the library call sequence. Experiments show good performance of our method against intrusions caused by the popular program vulnerabilities.     

基于系统调用的安卓寄生木马的检测

在基于安卓操作系统的手机中,很多安全检测软件对独立存在的木马有很好的防范能力,却很难检测出依附于正常程序的寄生木马,文中提出一种新的安卓寄生木马检测方法,通过检测手机发送的数据包实时确定发送包的端口,再根据已确定的端口和系统提供的信息,将会发现通过该端口发送包的进程,接着追踪到创建该进程的应用程序,最后通过分析程序的系统调用序列判断其是否有寄生木马,仿真实验显示该方法可以有效地检测出安卓寄生木马。     

基于EFSM模型的不可行迁移路径判定

扩展有限状态机(Extended Finite State Machine:EFSM)虽然被广泛用作各种软件的底层模型,但如何判定其测试序列的不可行性是一个困难的问题,为此将迁移路径上的变量分为计数器变量、选择变量和矛盾变量,并从这三个角度进行路径的不可行判定.实验结果表明,EFSM模型中的不可行迁移路径主要由这三类变量引起,且本方法可以有效地判定出含这三类变量的不可行迁移路径.     

一种静态分析成员调用方法的研究

在面向对象程序设计中 ,成员调用的静态分析是指在编译阶段确定调用成员函数指针或引用的类型。本文在分析C + +对象模型的基础上 ,对与静态分析相关的三种类型转换的成员调用方法进行了研究 ,针对已有分析方法的不足 ,给出一种新的静态分析成员调用的方法———转型分析法。为优化编译器 ,程序理解提供了一种切实可行的方法。     

LINUX的系统调用与函数调用

介绍了LINUX系统调用和函数调用的区别及联系，一般地系统调用与函数调用在形式上并没有什么区别，但是系统调用与函数在执行效率、所 完成的功能和可移植性方面却有很大的区别，函数库中的函数尤其是与输入输出有关的函数，大多数必须通过LINUX的系统调用来完成。     

一种基于层次模型的面向对象类型分析框架

建立了一种用于静态类型面向对象程序的类型分析框架,该框架集成了目前最为实用的４种类型分析方法,即唯一名分析、类层分析、快速类型分析以及指针别名分析。首先在这４种方法的基础上提出了类型分析的层次模型,然后以此模型为核心,结合程序预处理器和信息加工器等建立了一种类型分析框架,该框架适合分析静态类型的面向对象程序,如Ｃ＋＋／Ｊａｖａ程序等。