基于Windows API调用序列的恶意代码检测方法

为解决现有恶意代码检测方法存在的特征提取能力不足、检测模型泛化性弱的问题，提出了一种基于Windows API调用序列的恶意代码检测方法.使用N-gram算法和TF-IDF算法提取序列的统计特征，采用Word2Vec模型提取语义特征，将统计特征和语义特征进行特征融合，作为API调用序列的特征.设计了基于Stacking的三层检测模型，通过多个弱学习器构成一个强学习器提高检测模型性能.实验结果表明，提出的特征提取方法可以获得更关键的特征，设计的检测模型的准确率、精确率、召回率均优于单一模型且具有良好的泛化性，证明了检测方法的有效性.     

概率密度函数的特征相关法DNA序列分析(英文)

提出了一种客观的特征提取和相关的方法用于DNA序列的结构分析.这种方法是从DNA序列码的碱基和片段码中提取统计特征和相关特征.然后计算样本序列和已知类之间的平均相关系数.如果最大的相关系数大于对应类的平均相关系数,则该样本被分类到对应的类中去.利用一组DNA序列样本做了试验,结果表明,这种方法适合于任何DNA序列的结构分析而不需要先念的生物信息,对发掘人类基因隐藏信息的研究大有用处。     

基于事件序列的蠕虫网络行为分析算法

蠕虫以及其他一些恶意代码的更新速度越来越快，如何快速有效地分析大量恶意样本成为网络安全研究的一个问题. 因此提出了一种基于事件序列的蠕虫网络行为自动分析算法. 该算法依靠在实验环境中采集的纯净恶意流量，通过使用数据流的压缩归并等方法获取网络行为的基本轮廓以及网络特征码. 该算法的使用可以加快蠕虫等恶意代码的分析速度，提高防火墙以及网络入侵检测系统的配置效率.     

基于动态行为指纹的恶意代码同源性分析

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种.经研究分析,最终筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析.实验结果表明,该方法能够有效地对不同恶意代码及其变种进行同源性分析.     

基于CUDA加速的SIFT特征提取

提出一种基于统一计算设备架构(CUDA)加速的尺度不变特征变换(SIFT)快速计算方法,用以解决SIFT特征提取计算过程耗时过长的问题.该方法充分利用图像处理单元(GPU)在并行计算、浮点计算、内存管理等方面的优势,合理分配主机端和设备端的资源及其在SIFT特征计算中所承担的角色.实验表明,与CPU架构下的SIFT特征提取算法相比,本文算法可以大幅度加快SIFT特征提取的计算速度,其加速比随着SIFT特征点数目的增加而增加,在本文实验中最大加速比可达1954.     

一种基于Java字节码的软件设计信息提取方法

基于ASM解析字节码文件的算法,提出一种基于Java字节码的软件设计信息提取的方法.在此方法基础上,设计并实现了以Java字节码文件作为输入,MS Word格式的软件设计说明文档作为输出的原型系统.运行结果表明,该方法对大部分字节码文件的解析和提取效果比较理想.     

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

基于语义API依赖图的恶意代码检测

传统的恶意代码动态分析方法大多基于序列挖掘和图匹配来进行恶意代码检测,序列挖掘易受系统调用注入的影响,图匹配受限于子图匹配的复杂性问题,并且此类方法并未考虑到样本的反检测行为,如反虚拟机.因此检测效果越来越差.本文设计并提出一种基于程序语义API依赖图的真机动态分析方法,在基于真机的沙箱中来提取恶意代码的API调用序列,从而不受反虚拟机检测的影响.本文的特征构建方法是基于广泛应用于信息理论领域的渐近均分性(AEP)概念,基于AEP可以提取出语义信息丰富的API序列,然后以关键API序列依赖图的典型路径来定义程序行为,以典型路径的平均对数分支因子来定义路径的相关性,利用平均对数分支因子和直方图bin方法来构建特征空间.最后采用集成学习算法-随机森林进行恶意代码分类.实验结果表明,本文所提出的方法可以有效分类恶意代码,精确度达到97.1%.     

恶意代码族群特征提取与分析技术

分析了当前对抗传统特征提取的主要技术特点,提出了恶意代码族群相关度的概念,根据同一恶意代码的不同变种的主体代码函数调用图的相似性和不同恶意代码为实现相同功能使用共同的内核函数的特点,给出了一种基于函数调用图和内核函数调用集合的恶意代码族群特征提取方法.该方法使用函数调用图中的节点度特征进行匹配比较,并使用集合运算获取函数特征.实验表明,利用该方法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义.     

DNA序列特征提取方法研究

针对DNA序列分类问题提出了两种特征提取方法,利用可分支持向量分类机间隔大、推广能力强的原理建立了DNA序列特征提取方法优劣的评价标准,利用该标准把本文的两种特征提取方法进行了比较,且跟以往的DNA序列特征提取方法进行了比较.实验表明,提出的两种特征方法得到的DNA序列特征完全能够代表DNA序列,对已知分类样本的预测率为100%,且此特征提取方法有很强的推广能力.     

基于BiTCNSA的恶意代码分类方法

当前恶意代码的对抗技术不断变化，恶意代码变种层出不穷，使恶意代码分类问题面临严峻挑战。针对目前基于深度学习的恶意代码分类方法提取特征不足和准确率低的问题，提出了基于双向时域卷积网络(BiTCN)和自注意力机制(Self-Attention)的恶意代码分类方法(BiTCNSA)。该方法融合恶意代码操作码特征和图像特征以展现不同的特征细节，增加特征多样性。构建BiTCN对融合特征进行处理，充分利用特征的前后依赖关系。引入自注意力机制对数据权值进行动态调整，进一步挖掘恶意代码内部数据间的关联性。在Kaggle数据集上对模型进行验证，实验结果表明:该方法准确率可达99.75%，具有较快的收敛速度和较低的误差。     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

基于遥感的合肥市建成区时空变化分析

通过对恶意代码行为和特征提取技术的分析,提出了基于虚拟环境下实现恶意代码检测的方法,设计了相应的检测系统;利用虚拟化技术,通过Docker容器简化检测环境的配置,增强了代码检测的隔离性、安全性;并建立相应的实验平台开展测试,为检测恶意的网络行为提供了支持。     

基于语义分析的恶意JavaScript代码检测方法

JavaScript是一种动态脚本语言,被用于提高网页的交互能力.然而攻击者利用它的动态性在网页中执行恶意代码,构成了巨大威胁.传统的基于静态特征的检测方式难以检测经过混淆后的恶意代码,而基于动态分析检测的方式存在效率低等问题.本文提出了一种基于语义分析的静态检测模型,通过提取抽象语法树的词法单元序列特征,使用word2vec训练词向量模型,将生成的序列向量特征输入到LSTM网络中检测恶意JavaScript脚本.实验结果表明,该模型能够高效检测混淆的恶意JavaScript代码,模型的精确率达99.94%,召回率为98.33%.     

2种恶意代码行为特征统计方法的比较

随着恶意代码技术的更新,其检测技术变得日趋复杂,以启发式、前摄检测、行为检测和主动防御为代表的非特征码检测技术孕育而生,这些方法多数是利用了统计学原理。该文阐述了恶意代码行为的捕获方法和对恶意代码行为的统计方法,归纳了恶意代码行为的2种特征统计量定义方式;使用基于标准化欧式距离的分类器对这2种统计空间进行建模,并通过对建模结果的分析,得出了适用于最小距离分类器建模的行为特征统计空间。     

基于图像纹理聚类的恶意代码家族标注方法

针对传统恶意代码标注分析方法中特征提取能力不足以及家族标注不统一、不规范、不精确且时效性差等问题,通过对大量恶意样本PE文件纹理构成和分布的研究,提出了基于内容纹理聚类的恶意代码深度标注方法。该方法对恶意代码的纹理指纹进行统计分析,从基准标注和深度标注这2个步骤对恶意代码家族进行归纳和分析,并结合VirusTotal分析方法、基于GLCM纹理特征空间构建方法和基于P-Stable LSH的近邻增量聚类算法,对恶意代码家族进行深度标注。实验结果表明,基于上述方法开发的原型系统具有家族标注准确率高、支持增量标注等优势,通过深度标注生成的基准标签实用性强,且对未知恶意代码检测具有积极意义。     

基于抽象语法树和图匹配网络的代码作者身份识别

源代码作者身份识别有助于解决恶意代码攻击溯源、代码剽窃、软件侵权等问题，本文提出一种新的基于图匹配网络和抽象语法树的源代码作者身份识别方法.首先，通过删除注释、统一换行符、制表符预处理源代码，消除不同集成开发环境和代码布局的影响；然后，基于数据增强抽象语法树将源代码转换为树结构，添加不同类型的边构建代码特征图，不仅关注语法和句法特征，还提取了代码中数据流和控制流特征；接着使用特征图训练图匹配神经网络，生成源代码的图嵌入特征向量；最后，使用孪生神经网络对输出的两个图嵌入特征向量进行计算，识别源代码作者身份.实验结果表明，本文的方法在包含1000位程序员的Google Code Jam数据集上达到了95.60%的准确率，与现有的源代码作者身份识别方法相比，提高了准确率和扩展性.     

软件开发中的一个重要环节--混淆

详细阐述了混淆在软件开发中的重要作用,并讨论了4种需要混淆代码的情形以及常见的混淆方法.在此基础上着重分析了Java字节码的特点,并列举了几种典型的Java字节码混淆器,具体介绍了RetroGuard混淆器的特点和用法.     

PCA+4点算法在手写体数字特征识别中的应用

提出一种改进手写字体特征的提取方法:将传统的PCA特征方法与13点特征方法进行综合,得到一种PCA+4点的特征提取算法,然后通过BP神经网络进行训练识别.实验仿真表明这种改进的方法比PCA特征提取及13点特征提取的识别率高,特别在手写变化大、手写速度快等方面优势更加明显.     

基于机器学习的内核恶意程序检测研究与实现

随着计算机科学的发展,世界对计算机的依赖越来越强,计算机安全也越来越重要,恶意代码是计算机安全面临的最大敌人.针对传统的恶意代码检测和分析技术在现在已经无法满足需求的问题,提出使用机器学习并应用新的分类特征来识别恶意程序,并且对他们进行初级的家族分类,指出以往机器学习在恶意代码检测和分类上的不足,筛选出更好的区分特征.首先使用了n-gram算法来优化恶意代码反汇编代码中的操作码特征,然后使用词袋模型和TF-IDF算法优化API调用特征,最后编程实现模型并使用数据集进行了模型的训练和测试.实验中使用决策树算法的模型的分类准确率上达到了87.41%,使用随机森林算法的模型的分类准确率上达到了90.06%,实验结果表明提出的特征相比以往在恶意代码检测分类上应用的特征有着更好的效果.