基于图注意力网络的安卓恶意软件检测

安卓恶意软件的爆发式增长对恶意软件检测方法提出了更高效、准确的要求.早年的检测方法主要是基于权限、opcode序列等特征,然而这些方法并未充分挖掘程序的结构信息.基于API调用图的方法是目前主流方法之一,它重在捕获结构信息,可准确地预测应用程序可能的行为.本文提出一种基于图注意力网络的安卓恶意软件检测方法,该方法通过静态分析构建API调用图来初步表征APK,然后引入SDNE图嵌入算法从API调用图中学习结构特征和内容特征,再通过注意力网络充分融合邻居节点特征向量,进而构成图嵌入进行检测任务.在AMD数据集上的实验结果表明,本文提出的方法可以有效检测恶意软件,准确率为97.87%,F1分数为97.40%.     

基于结构相似度的Android恶意软件检测

针对目前Android外挂恶意软件检测率低的问题,提出基于结构相似度的Android恶意软件检测算法.该算法首先使用逆向工程将App还原成源码,再利用源码中的class,method,API和系统命令构建结构图,利用互信息MI选出恶意App常用的API,再化简结构图,最后通过比对结构图包含敏感API的部分判断是否为恶意软件.该算法通过静态分析降低资源消耗、结构对比增加检测效率,从而达到提高外挂恶意软件检测率的目的.实验表明,该算法可行可靠.     

基于机器学习的恶意软件分类识别研究

恶意软件的日益增长是对网络世界最大的威胁,基于签名的检测对于恶意软件检测率较低,局限性大,因此提出基于机器学习的恶意软件检测技术来代替传统的签名检测。根据沙箱中提取软件的特征类型包括注册表和API函数调用,并量化数据,使用机器学习的模型对此数据进行分类识别,并取得了较好的分类效果。     

基于IRP的未知恶意代码检测方法

目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的I...     

基于敏感权限和API的Android恶意软件家族分类方法

提出一种基于敏感权限和API的Android恶意软件家族分类方法,通过提取敏感权限和敏感API,将两部分特征进行融合,构建特征库,最后结合随机森林算法进行恶意软件的家族分类。实验结果表明,该方法的检测精确度达到98.4%,显著优于其他基线算法,能够反映恶意软件的相似性和同源性。     

基于文本嵌入特征表示的恶意软件家族分类

自动化、高效率和细粒度是恶意软件检测与分类领域目前面临的主要挑战.随着深度学习在图像处理、语音识别和自然语言处理等领域的成功应用,其在一定程度上缓解了传统分析方法在人力和时间成本上的巨大压力.因此本文提出一种自动、高效且细粒度的恶意软件分析方法-mal2vec,其将每个恶意软件看成是一个具有丰富行为语义信息的文本,文本的内容由恶意软件动态执行时的API序列构成,采用经典的神经概率模型Doc2Vec对文本集进行训练学习.实验结果表明,与Rieck~([1])等人的分类效果相比,本文方法得到的效果有明显提升.特别的,不同于其他深度学习的方法,本文方法能够抽取模型训练的中间结果进行显式表示,这种显式的中间结果表示具有可解释性,可以让我们从细粒度层面分析恶意软件家族的行为模式.     

DS-UWB系统伪随机序列同步捕获算法实现及分析

采用RAKE接收的DS-UWB系统中,同步对系统的性能至关重要.利用辅助序列进行系统同步方法能够确定本地序列移动方向,快速实现同步.首先,实现了DS-UWB系统中采用辅助序列进行的伪随机序列同步捕获.与传统的滑动相关方法不同,利用了接收信号与特定辅助序列的相关信息,对本地伪随机序列同接收信号中的伪随机序列相位差进行估计,并得到相位移动的方向,从而减小捕获时间.最后,理论分析与仿真结果表明,利用辅助序列实现DS-UWB系统伪随机序列同步捕获的平均捕获时间低于串行滑动相关方法平均捕获时间的一半.     

基于“云”端的网络安全

＂云安全＂技术针对网络安全受到外部的攻击,从原来的个别病毒代码的对比,扩展到数据库对比,从而大大降低了安全风险。＂云安全＂采用多种方式收集数据信息来动态分析恶意软件的威胁,使得网络安全威胁得到了控制。如：垃圾邮件、病毒、间谍软件、网站挂马、网络钓鱼等网络安全通过行为关联分析技术,从源端口阻止对不良邮件和文件的访问,降低网络风险的侵入。因此,云安全的出现,无疑会让安全体系更加牢固,从而解决网络互联所带来的问题。     

面向特征融合与知识蒸馏的恶意软件分类

恶意软件分类是一个多分类任务，旨在提取软件特征来训练模型，以判断恶意软件的类别。现有工作主要集中于利用深度神经网络从恶意软件图像中抽取特征进行分类，对恶意软件的序列特征和分布特征之间的关联性缺乏关注，限制了模型性能。此外，这些现有模型大多具有较高的参数量，往往需要占用较大的计算资源。为此，提出一种基于特征融合与知识蒸馏的恶意软件分类方法。一方面，通过残差网络分别从灰度图和马尔可夫图中抽取恶意软件的序列特征和分布特征，并利用自注意力挖掘不同特征之间的关联性，以提升模型性能。另一方面，通过教师网络向多个学生网络进行知识迁移，并让学生网络互相协作学习，以进一步降低模型规模。在微软和CCF数据集上的实验结果证明，该方法不仅有效提升了模型性能，而且可以降低模型的参数量和计算量。此外，本文通过热力图定位影响分类结果的字节，对分类依据进行解释。     

基于自相似特性的恶意代码动态分析技术

在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuchi算法,分别计算程序的Hurst指数,匹配同种恶意程序的自相似性。将恶意程序与正常程序的API调用序列和Hurst指数进行对比实验表明,恶意程序调用API函数与正常程序存在差异,并且同一类型的恶意程序确实具有自相似性,从而能够动态检测出恶意程序。     

基于模糊哈希特征表示的恶意软件聚类方法

目前,每年被拦截到的新型恶意软件变种数已达千万级别,在线恶意软件仓库Virus Share上存储的未分类的恶意软件数量也超过了2700万.将恶意软件按一定的行为模式进行聚类,不仅使新型攻击更易被检测出来,也有助于及时获取恶意软件的发展态势并做出防范措施.因此提出了一种高效的恶意软件聚类方法,对恶意样本进行动态分析并筛选出包括导入、导出函数、软件字符串、运行时资源访问记录以及系统API调用序列等特征,然后将这些特征转换为模糊哈希,选用CFSFDP聚类算法对恶意软件样本进行聚类.并将聚类个数、准确率、召回率、调和平均值以及熵作为聚类效果的外部评估指标,将簇内紧密度以及簇间区分度作为内部评估指标,实验结果表明,与Symantec和ESET-NOD32的分类结果相比,本文提出的方法的聚类家族个数与人工标记的数量最为接近,调和平均值分别提升11.632%,2.41%.     

基于API序列特征和统计特征组合的恶意样本检测框架

针对恶意样本行为分析,该文提出了一种组合机器学习框架,首先对应用程序编程接口(application programming interface,API)序列中调用的依赖关系进行功能层面上的分析,提取特征,使用随机森林进行检测;其次利用深度学习中的循环神经网络处理时间序列数据的特性,在冗余信息预处理的基础上,直接对序列进行学习和检测;最后对2种方法进行了组合。在恶意软件样本上进行的实验结果表明:2种方法均可有效检测恶意样本,但是组合学习的效果更优,AUC(area under the curve of ROC)达到99.3%,优于现有的类似研究结果。     

基于局域网的IP数据监控软件的设计与实现

分析了网络监听、局域网监听、数据包拦截和软件包捕获技术的原理,设计了一种基于局域网的IP数据监控软件。利用该监控软件可以对网络状态进行监视,对网络上传输的信息和数据流动情况实时检测,通过对数据包和软件包捕获对当前数据包进行分析和显示,从而达到网络安全监控的目的。     

恶意软件特征分析与危害防范

阐述了恶意软件的定义和基本特征,对我国网络法律法规的缺失和恶意软件泛滥的情况进行了调查与分析,从恶意软件的危害性和特征出发,总结了恶意软件泛滥的几个原因,并提出了一些防范恶意软件的基本方法。     

基于网络行为的Android恶意软件检测方案

随着科技的进步,智能手机进入了一个高速发展的阶段,Android手机则是其中最主要的推动力.不过随着Android手机普及,由系统自身安全机制缺陷所带来的安全威胁也越来越大.所以针对Android恶意软件设计出高效率、高准确性的检测方案是非常有必要的.笔者设计了一种基于网络行为分析技术的Android恶意软件检测方案.该方案一方面通过对软件的网络行为进行分析,能够准确地判断出该软件是否被篡改为恶意软件;另一方面,借助于云安全技术,将主要的检测工作部署在云端服务器上,使检测工作能够更加高效.     

基于IRP的运行时恶意代码检测方法

目前普遍采用API序列分析Windows系统下的程序行为,进行运行时恶意代码的检测.但API调用序列可以被篡改以逃避检测.为了解决这个问题,文中提出基于IRP(L/O请求包)的运行时恶意代码检测方法.该方法采用n-gram特征分析方法对IRP序列进行分析,将人工免疫系统中的否定选择算法和肯定选择算法相结合,筛选出仅在恶...     

基于WinPcap的公安信息网络数据包捕获分析系统研究

随着公安信息网络的迅猛发展,各项公安工作对公安信息网络的依赖程度越来越高,然而公安信息网络的安全保密工作正面临严峻的挑战．采用WinPcap对公安信息网络中捕获的数据包进行分析,能够让管理员深入了解和掌握当前网络运行状态,因此研究网络底层数据包的捕获和分析技术对于保障公安信息网络安全有着重要的意义．WinPcap提供的驱动接口,可以在数据链路层实现对网络数据流的捕获和分析．笔者对WinPcap的结构和功能进行了详细的介绍和分析,阐述了基于WinPcap捕获和分析网络数据包的方法和主要步骤．本系统采用采用VC＋＋编写,能过滤用户指定的IP地址、端口号和网络协议的数据包,并在界面实时显示数据包的具体信息．     

基于1D-CNN-Densenet的恶意代码检测方法

恶意代码的API调用序列可以反映恶意行为,深度学习模型可以应用在基于API调用序列检测恶意代码中。本文基于一维卷积神经网络和稠密网络结构设计了1D-CNN-Densenet网络模型,将恶意代码动态API调用序列处理成文本特征作为输入,横向一维卷积计算,纵向构建稠密结构网络,将前面所有层输出的相加作为下一层的输入,更深层次学习恶意代码的文本特征。实验表明1D-CNN-Densenet的恶意代码检测准确率达到了96.60%,在恶意代码检测方面有较好性能。     

Windows下网络端口数据包捕捉分析程序设计

随着互联网的普及和网络技术的发展,网络的安全问题也越来越突出。如何及时发现网络故障和安全隐患是保障网络正常运行的重要组成部分。在众多的网络安全技术中,网络监听是非常重要且被计算机应用人员广泛关注的技术。该论文从网络数据捕获中的关键技术出发,主要研究了一个基于Windows以太网的数据包捕获和分析的程序的设计与实现,该程序采用基于创建原始套接字,修改I/O选项实现的IP数据包捕获。     

面向Mashup的Web API生态网络结构分析

随着API经济的发展,越来越多的公司通过Web API开放自己的数据和服务,以实现商业增值.与此同时,通过调用和合成不同Web API的Mashup应用开发模式也逐渐流行,形成了面向Mashup的Web API生态系统.然而,目前对这种Web API生态系统的认识还不够深入,对API关系网络和API提供者关系网络缺少分析.本文利用ProgrammableWeb. com上的真实数据对Web API生态网络结构进行了分析,提出了挖掘Web API协作网络以及Web API提供者合作网络的方法,在此基础上分析了这些网络的基本结构特征,如网络尺寸、平均度、聚集系数、同配/异配性等.分析结果不仅能加深对Web API生态系统的认识,还可以为Web API的有效发现提供支持.