基于Windows API调用序列的恶意代码检测方法

为解决现有恶意代码检测方法存在的特征提取能力不足、检测模型泛化性弱的问题,提出了一种基于Windows API调用序列的恶意代码检测方法.使用N-gram算法和TF-IDF算法提取序列的统计特征,采用Word2Vec模型提取语义特征,将统计特征和语义特征进行特征融合,作为API调用序列的特征.设计了基于Stacking的三层检测模型,通过多个弱学习器构成一个强学习器提高检测模型性能.实验结果表明,提出的特征提取方法可以获得更关键的特征,设计的检测模型的准确率、精确率、召回率均优于单一模型且具有良好的泛化性,证明了检测方法的有效性.     

基于深度学习的恶意代码检测综述

恶意代码检测是网络空间安全领域的重要研究方向之一。在简要阐述恶意代码检测重大研究价值的基础上,结合国内外研究现状,总结了现有的基于深度学习的恶意代码检测技术及方法。首先,分别从静态、动态和混合检测方法多方面地梳理了传统检测技术,其次,分别从基于序列特征、图像可视化和数据增强的恶意代码特征提取方法出发,对基于深度学习的恶意代码分类识别方法进行了总结,最后,对基于深度学习的恶意代码特征提取与识别方向的技术难点和未来发展趋势进行了分析与展望。     

基于集成学习的安卓恶意程序检测技术

随着安卓恶意程序的数量的急剧增加,恶意程序检测已成为一个重要的研究课题.然而,目前许多研究表明,恶意程序的检测仍然需要改进,安卓的碎片问题和需要root权限,阻碍了这些方法的广泛使用.现有的杀毒程序依赖于需要实时更新的签名数据库,这无法检测出零日恶意程序.在本文中,我们提取了安卓程序中的特征,进行混合,选择集成算法中的DECORATE算法,并用WEKA工具辅助进行分类恶意程序的检测.该方法最终达到95.8%的检测精度,同时我们在真实的数据集上经过十折交叉验算实验及对比.     

基于语义API依赖图的恶意代码检测

传统的恶意代码动态分析方法大多基于序列挖掘和图匹配来进行恶意代码检测,序列挖掘易受系统调用注入的影响,图匹配受限于子图匹配的复杂性问题,并且此类方法并未考虑到样本的反检测行为,如反虚拟机.因此检测效果越来越差.本文设计并提出一种基于程序语义API依赖图的真机动态分析方法,在基于真机的沙箱中来提取恶意代码的API调用序列,从而不受反虚拟机检测的影响.本文的特征构建方法是基于广泛应用于信息理论领域的渐近均分性(AEP)概念,基于AEP可以提取出语义信息丰富的API序列,然后以关键API序列依赖图的典型路径来定义程序行为,以典型路径的平均对数分支因子来定义路径的相关性,利用平均对数分支因子和直方图bin方法来构建特征空间.最后采用集成学习算法-随机森林进行恶意代码分类.实验结果表明,本文所提出的方法可以有效分类恶意代码,精确度达到97.1%.     

基于静态集成PU学习数据流分类的入侵检测方法

从数据流角度提出一种静态的集成PU学习数据流分类的入侵检测方法,在实验验证中通过对不同数据集指标比较,证明了算法的有效性,可在减少人工标注量的同时取得较好的检测效果。     

基于1D-CNN-Densenet的恶意代码检测方法

恶意代码的API调用序列可以反映恶意行为,深度学习模型可以应用在基于API调用序列检测恶意代码中。本文基于一维卷积神经网络和稠密网络结构设计了1D-CNN-Densenet网络模型,将恶意代码动态API调用序列处理成文本特征作为输入,横向一维卷积计算,纵向构建稠密结构网络,将前面所有层输出的相加作为下一层的输入,更深层次学习恶意代码的文本特征。实验表明1D-CNN-Densenet的恶意代码检测准确率达到了96.60%,在恶意代码检测方面有较好性能。     

一种针对Android平台恶意代码的检测方法及系统实现

针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统.在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码.经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率.所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务.     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

基于深度学习的恶意代码检测可解释性研究

针对深度学习模型无法解释其是否提取到了关键特征的问题,该文从建模之前和建模之后2个层面对基于深度学习的恶意代码检测进行了可解释性研究。在建模之前,通过对二进制文件进行可视化分析,发现恶意代码的图像模态特征存在着明显的同类相似性和类间差异性,验证了运用深度学习模型进行图像模态特征恶意代码检测的可行性。在建模之后,提出了一种基于梯度加权类激活映射(Grad-CAM)的恶意代码检测可视化可解释性方法,在视觉直观上和统计分析上说明了基于深度学习的恶意代码检测具有可解释性。     

恶意代码的分析与检测技术的研究

随着网络技术的飞速发展,恶意代码严重威胁着计算机及网络安全。病毒、蠕虫等恶意代码不断变种,快速传播,信息安全受到了巨大的挑战,恶意代码分析及检测问题成为当前网络研究工作的重点。本文在分析恶意软件相关理论基础上,探讨了恶意代码分析技术和分析工具相关问题。     

基于自相似特性的恶意代码动态分析技术

在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuchi算法,分别计算程序的Hurst指数,匹配同种恶意程序的自相似性。将恶意程序与正常程序的API调用序列和Hurst指数进行对比实验表明,恶意程序调用API函数与正常程序存在差异,并且同一类型的恶意程序确实具有自相似性,从而能够动态检测出恶意程序。     

恶意代码的分析技术

本文讨论了基于代码特征的分析方法、基于代码语义的分析方法、外部观察法和跟踪调试法等四种恶意代码分析方法     

基于神经网络平滑聚合机制的恶意代码增量训练及检测

为保证恶意代码变种检测模型的时效性,传统基于机器（深度）学习的检测方法通过集成历史数据和新增数据进行重训练更新模型存在训练效率低的问题。笔者提出一种基于神经网络平滑聚合机制的恶意代码增量学习方法,通过设计神经网络模型平滑聚合函数使模型平滑演进,通过添加训练规模因子,避免增量模型因训练规模较小而影响聚合模型的准确性。实验结果表明,对比重训练方法,增量学习方法在提升训练效率的同时,几乎不降低模型的准确性。     

基于C4.5决策树的嵌入型恶意代码检测方法

嵌入型恶意代码以其高隐蔽性和难检测性,成为计算机安全的新威胁.文中针对以往的统计分析法没有充分考虑嵌入型恶意代码所占字节数小、信息增益大的特点提出一种采用C4.5决策树的嵌入型恶意代码检测方法,即通过提取训练样本中信息增益最大的500个3-gram作为属性特征,建立决策树,实现对未知嵌入型恶意代码的检测.实验结果表明,...     

一种基于最小距离分类器的恶意代码检测方法

恶意代码是构成互联网威胁的新根源,至今传统的病毒查杀方法对此也无法根治.未知恶意代码每月呈几何倍的速度增长,人们依赖的防范手段多是手工分析,其效率有限且花费巨大.阐述了基于最小距离分类器的未知恶意代码检测方法,它对未知恶意代码有着良好的判定能力,能够有效地区分病毒与可信程序.对自定义的恶意代码行为进行建模,并通过实验发现,经过改进的最小距离分类器除了良好的分类精度外,其计算代价较其他非线性方法小,因此该模型在实际反病毒工作中有较高的实战价值.     

Android系统中恶意代码的动态检测技术研究

随着手机普及程度的日益提高,人们对智能手机的依赖性加重,手机的安全性问题变得愈加突出.根据Android安装包(APK)文件的权限调用和Android系统的应用程序接口(API)函数调用情况,设计了一种基于API拦截技术的检测恶意代码的动态检测方法.实验结果表明,该方法可以有效检测并报告Android系统中的恶意代码.     

一种新的基于PCA的集成学习算法

给出了主成分分析法(PCA)的数学描述及解释,提出了基于PCA的分类器提取方法及基于PCA的集成学习算法.在UCI的6个公用数据集上,对提出的算法进行了较全面的实验研究和分析,实验表明在多项指标上所提出的算法优于表现良好的传统集成学习算法.     

一种静态分析成员调用方法的研究

在面向对象程序设计中 ,成员调用的静态分析是指在编译阶段确定调用成员函数指针或引用的类型。本文在分析C + +对象模型的基础上 ,对与静态分析相关的三种类型转换的成员调用方法进行了研究 ,针对已有分析方法的不足 ,给出一种新的静态分析成员调用的方法———转型分析法。为优化编译器 ,程序理解提供了一种切实可行的方法。     

基于IRP的未知恶意代码检测方法

目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的I...