基于图卷积网络的恶意代码聚类

许多新型恶意代码往往是攻击者在已有的恶意代码基础上修改而来,因此对恶意代码的家族同源性分析有助于研究恶意代码的演化趋势和溯源.本文从恶意代码的API调用图入手,结合图卷积网络(GCN),设计了恶意代码的相似度计算和家族聚类模型.首先,利用反汇编工具提取了恶意代码的API调用,并对API函数进行属性标注.然后,根据API对恶意代码家族的贡献度,选取关键API函数并构建恶意代码API调用图.使用GCN和卷积神经网络(CNN)作为恶意代码的相似度计算模型,以API调用图作为模型输入计算恶意代码之间的相似度.最后,使用DBSCAN聚类算法对恶意代码进行家族聚类.实验结果表明,本文提出的方法可以达到87.3%的聚类准确率,能够有效地对恶意代码进行家族聚类.     

基于深度学习的恶意代码检测可解释性研究

针对深度学习模型无法解释其是否提取到了关键特征的问题，该文从建模之前和建模之后2个层面对基于深度学习的恶意代码检测进行了可解释性研究。在建模之前，通过对二进制文件进行可视化分析，发现恶意代码的图像模态特征存在着明显的同类相似性和类间差异性，验证了运用深度学习模型进行图像模态特征恶意代码检测的可行性。在建模之后，提出了一种基于梯度加权类激活映射(Grad-CAM)的恶意代码检测可视化可解释性方法，在视觉直观上和统计分析上说明了基于深度学习的恶意代码检测具有可解释性。     

基于集群的并行分布式聚类及其应用

海量和高维大数据集的聚类对计算机性能提出了很高的要求.基于具有层次聚类特性的RSOM树方法提供了一种有效的手段以实现对高维大数据集的聚类索引,这种RSOM树可支持最近邻搜索且不需要对数据进行线性搜索.注意到RSOM模型具有内在的层次化、分布式结构特点,并可进行增量的训练,研究了基于高效并行集群的增量、分布式RSOM并行算法,并通过视频图像特征集实例证实了算法的可行性.     

一种改进的汽车雷达数据实时聚类算法

为了更好地在复杂多目标环境下进行汽车雷达数据的实时聚类,使用扩展卡尔曼滤波算法(EKF)对基于密度的聚类算法(DBSCAN)进行改进,并通过仿真和实测实验进行验证。结果表明:新算法在进行增量聚类时每次耗时可以保持在一个稳定且较低的水平;新聚类在不增加时间复杂度的情况下进行自适应聚类,可以解决汽车雷达数据密度不均匀的情况。可见新算法同时实现了增量和自适应DBSCAN聚类,同时保证聚类的效率和准确度。     

基于代码图像增强的恶意代码检测方法

网络空间面临的恶意代码威胁日益严峻,传统恶意代码检测方法在恶意代码攻防对抗中逐渐暴露弊端。针对此现状,该文提出了基于代码灰度化图像增强的恶意代码检测方法,使用恶意代码ASCII字符信息和PE结构信息对传统恶意代码灰度化图像方法进行改进,构建RGB三维图像作为原始数据输入到检测算法,并使用一种带有空间金字塔池化结构的VGG16神经网络模型对恶意代码图像进行训练和预测。该文还提出了一种基于多标注归一化表示的方法来提高样本标签的可靠性,实验结果表明:该方案可以有效应对加壳、混淆等对抗手段,对新型恶意代码具有良好的检测效果。     

一种视觉显著性引导的模糊聚类图像分割方法

传统的模糊C均值聚类算法利用图像的灰度、颜色、纹理、强度等底层特征进行聚类,实现图像的分割,它容易受到噪声的影响,且计算量大,不能提供理想的彩色图像分割结果.针对这些问题,提出一种视觉显著性引导的模糊聚类图像分割方法.首先使用显著性检测对图像进行初始化分割,得到带有区域级标注信息的引导图,然后将引导图作为指导信息,引导...     

基于聚类和协同标注的TSVM算法

针对数据集中类样本不均衡、样本标注代价大的问题,结合聚类算法、委员会投票思想和TSVM算法,提出一种基于聚类和协同标注的TSVM算法,该方法利用聚类算法进行子集划分,保证每个子集都包含良好的空间信息,对样本的标注采用多个分类器进行投票,提高标记准确率,减少错误的累积和传递,提高标注准确率,增强最后分类器的泛化性能.KDDCUP99数据集上的实验结果表明该方法对未知攻击有较高的检测准确率.     

基于统计与频谱模型特征融合的纹理图像分割

纹理分析方法主要包括统计法、结构法和频谱法。由于不同纹理分析方法的侧重点和适用对象不一样,传统的单一特征分析方法存在一定的局限性。结合统计法和频谱法对纹理进行分析,利用灰度共生矩阵得到纹理的统计特征,应用Gabor变换得到多尺度、多方向的纹理特征,提出一种依据纹理宏、微特性加权的新的特征融合的方法,最后进行K均值聚类得到分割结果。实验结果表明,与传统应用单一纹理分析方法相比,该方法在保持边缘准确性和区域一致性上有一定程度的提高。     

基于聚类和协同标注的TSVM算法

针对数据集中类样本不均衡、样本标注代价大的问题,结合聚类算法、委员会投票思想和TSVM算法,提出一种基于聚类和协同标注的TSVM算法,该方法利用聚类算法进行子集划分,保证每个子集都包含良好的空间信息,对样本的标注采用多个分类器进行投票,提高标记准确率,减少错误的累积和传递,提高标注准确率,增强最后分类器的泛化性能.KDDCUP99数据集上的实验结果表明该方法对未知攻击有较高的检测准确率.     

多通道Gabor特征的融合聚类图像纹理分割

针对图像纹理分割,提出了采用图像Gabor多通道特征进行融合聚类方法.首先采用Gabor小波对图像进行卷积滤波,得到每个像素点的多尺度多方向的Gabor特征,然后对其进行标准化以及Gauss平滑,减少噪声影响.对每个优化后的Gabor特征作为训练值,采用融合聚类算法每次随机选择部分特征进行聚类,通过运行多次基聚类,然后对聚类结果采用投票的方式得到最终的图像纹理分割,通过人工合成纹理与自然纹理图像实验证明该方法对纹理的分类具有较高的正确率.     

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

恶意代码的符号执行树分析方法

在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基于符号执行树的恶意代码分析方法。通过构造符号执行树,引入汇聚节点,对恶意代码的执行路径进行约束求解,减少分析路径,从而缓解路径爆炸的影响,提高分析的全面性。恶意代码样本分析的实验表明,该方法能够有效地提升分析效率,同时拥有较小的时间复杂度。     

基于GPU加速的恶意代码字节码特征提取方法研究

随着恶意代码的数量和种类增长,快速有效地检测恶意代码显得十分有必要,其中关键技术就是恶意代码特征提取.针对现有恶意代码字节码序列特征提取速度的不足,提出了一种GPU加速提取恶意代码字节码序列特征的方法.使用目前比较成熟的统一计算设备架构CUDA,将传统恶意代码字节码序列特征提取方法中字节码N-Gram特征的提取、TFIDF特征的计算等密集计算型任务移交给GPU进行并行计算.实验表明,针对不同样本文件大小的数据集,该方法均有2～4倍以上的速度提升,大幅提高恶意代码字节码序列特征提取的速度.     

基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法

攻击者为了逃避检测，常利用加壳技术对恶意软件进行加密或压缩，使得安全分析人员以及传统基于静态分析的恶意软件检测方法在恶意软件运行前难以利用反汇编等逆向工具对其进行静态分析。为检测加壳恶意软件，当前主要采用动态分析方法检测加壳恶意软件，然而受限于加壳工具种类和样本规模，以及恶意软件加壳行为带来的混淆噪声，导致传统基于机器学习检测方法存在准确率不足等问题。研究提取并分析加壳恶意软件运行时的系统调用行为特征，识别并筛选出敏感行为，旨在过滤脱壳行为噪声产生的影响；通过对系统调用行为特征加权降维，提升行为特征的有效性；通过对加权降维的行为特征进行聚类分析，最终实现加壳恶意软件未知变种检测和检测模型增量更新。实验结果表明，提出的基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法检测误报率3.9%,相较几种典型机器学习检测方法呈显著降低。     

基于模糊哈希特征表示的恶意软件聚类方法

目前,每年被拦截到的新型恶意软件变种数已达千万级别,在线恶意软件仓库Virus Share上存储的未分类的恶意软件数量也超过了2700万.将恶意软件按一定的行为模式进行聚类,不仅使新型攻击更易被检测出来,也有助于及时获取恶意软件的发展态势并做出防范措施.因此提出了一种高效的恶意软件聚类方法,对恶意样本进行动态分析并筛选出包括导入、导出函数、软件字符串、运行时资源访问记录以及系统API调用序列等特征,然后将这些特征转换为模糊哈希,选用CFSFDP聚类算法对恶意软件样本进行聚类.并将聚类个数、准确率、召回率、调和平均值以及熵作为聚类效果的外部评估指标,将簇内紧密度以及簇间区分度作为内部评估指标,实验结果表明,与Symantec和ESET-NOD32的分类结果相比,本文提出的方法的聚类家族个数与人工标记的数量最为接近,调和平均值分别提升11.632%,2.41%.     

基于语义分析的恶意JavaScript代码检测方法

JavaScript是一种动态脚本语言,被用于提高网页的交互能力.然而攻击者利用它的动态性在网页中执行恶意代码,构成了巨大威胁.传统的基于静态特征的检测方式难以检测经过混淆后的恶意代码,而基于动态分析检测的方式存在效率低等问题.本文提出了一种基于语义分析的静态检测模型,通过提取抽象语法树的词法单元序列特征,使用word2vec训练词向量模型,将生成的序列向量特征输入到LSTM网络中检测恶意JavaScript脚本.实验结果表明,该模型能够高效检测混淆的恶意JavaScript代码,模型的精确率达99.94%,召回率为98.33%.     

一种改进的多光谱遥感图像超像素分割算法

针对简单线性迭代聚类算法在多光谱遥感图像超像素分割中存在的未充分利用图像特征信息及超像素尺寸、 数量固定导致分割精度较低的问题, 提出将流形 简单线性迭代聚类算法引入到遥感图像超像素分割任务中, 并对其进行改进. 首先, 给出一种基于彩色局部二进制模式改进的多光谱遥感图像纹理特征提取方法; 其次, 扩展流形 简单线性迭代聚类算法的光谱空间, 使算法可以适应高维图像数据; 最后, 改进流形 简单线性迭代聚类算法的聚类距离度量, 融合图像的多段光谱特征、 空间特征及纹理特征对像素进行迭代聚类, 实现内容敏感超像素分割. 实验结果表明, 与现有方法相比, 该算法对多光谱遥感图像的超像素分割结果更准确, 在边缘召回率、 欠分割误差、 可达细分精度指标上均有提升, 能改善多光谱遥感图像分割预处理方法中精度较低的问题.     

基于BiTCNSA的恶意代码分类方法

当前恶意代码的对抗技术不断变化，恶意代码变种层出不穷，使恶意代码分类问题面临严峻挑战。针对目前基于深度学习的恶意代码分类方法提取特征不足和准确率低的问题，提出了基于双向时域卷积网络(BiTCN)和自注意力机制(Self-Attention)的恶意代码分类方法(BiTCNSA)。该方法融合恶意代码操作码特征和图像特征以展现不同的特征细节，增加特征多样性。构建BiTCN对融合特征进行处理，充分利用特征的前后依赖关系。引入自注意力机制对数据权值进行动态调整，进一步挖掘恶意代码内部数据间的关联性。在Kaggle数据集上对模型进行验证，实验结果表明:该方法准确率可达99.75%，具有较快的收敛速度和较低的误差。     

Variable-length sequential dynamic features-based malware detection①

In order to solve the problem that traditional signature-based malware detection systems are in-efficacious in detecting new malware , a practical malware detection system is constructed to find out new malware .Application programming interface ( API) call sequence is introduced to capture ac-tivities of a program in this system .After that, based on variable-length n-gram, API call order can be extracted from API call sequence as the malicious behavior feature of a software .Compared with tra-ditional methods , which use fixed-length n-gram, the solution can find more new malware .The experi-mental results show that the presented approach improves the accuracy of malware detection .