基于图注意力网络的安卓恶意软件检测

安卓恶意软件的爆发式增长对恶意软件检测方法提出了更高效、准确的要求.早年的检测方法主要是基于权限、opcode序列等特征,然而这些方法并未充分挖掘程序的结构信息.基于API调用图的方法是目前主流方法之一,它重在捕获结构信息,可准确地预测应用程序可能的行为.本文提出一种基于图注意力网络的安卓恶意软件检测方法,该方法通过静态分析构建API调用图来初步表征APK,然后引入SDNE图嵌入算法从API调用图中学习结构特征和内容特征,再通过注意力网络充分融合邻居节点特征向量,进而构成图嵌入进行检测任务.在AMD数据集上的实验结果表明,本文提出的方法可以有效检测恶意软件,准确率为97.87%,F1分数为97.40%.     

一种基于权限的安卓恶意软件检测方法

针对基于特征代码的Android恶意软件检测方法难以检测未知恶意程序,且基于行为的检测方法误报率较高的问题,提出了一种基于权限的Android恶意软件检测方法.该方法首先在静态分析的基础上,结合动态行为分析提取权限特征;然后,采用权限特征关联分析方法,挖掘权限特征之间的关联规则;最后,基于朴素贝叶斯分类算法,建立恶意应用检测模型.实验结果表明,与现有方法相比,本文方法建立的恶意应用模型具有较高的检测率和准确率.     

基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.     

基于结构相似度的Android恶意软件检测

针对目前Android外挂恶意软件检测率低的问题,提出基于结构相似度的Android恶意软件检测算法.该算法首先使用逆向工程将App还原成源码,再利用源码中的class,method,API和系统命令构建结构图,利用互信息MI选出恶意App常用的API,再化简结构图,最后通过比对结构图包含敏感API的部分判断是否为恶意软件.该算法通过静态分析降低资源消耗、结构对比增加检测效率,从而达到提高外挂恶意软件检测率的目的.实验表明,该算法可行可靠.     

DBN和GRU混合的Android恶意软件检测模型

针对Android平台恶意软件数量增长迅猛,种类日益增多的现状,提出了一种基于深度置信网络和门控循环单元网络混合的Android恶意软件检测模型。通过自动化提取Android应用软件的特征,包括权限等静态特征和应用运行时的动态特征进行训练,对Android恶意软件进行检测和分类。实验结果表明,混合了门控循环单元网络和深度置信网络的混合模型,在检测效果上优于传统的机器学习算法和深度置信网络模型。     

基于模糊哈希特征表示的恶意软件聚类方法

目前,每年被拦截到的新型恶意软件变种数已达千万级别,在线恶意软件仓库Virus Share上存储的未分类的恶意软件数量也超过了2700万.将恶意软件按一定的行为模式进行聚类,不仅使新型攻击更易被检测出来,也有助于及时获取恶意软件的发展态势并做出防范措施.因此提出了一种高效的恶意软件聚类方法,对恶意样本进行动态分析并筛选出包括导入、导出函数、软件字符串、运行时资源访问记录以及系统API调用序列等特征,然后将这些特征转换为模糊哈希,选用CFSFDP聚类算法对恶意软件样本进行聚类.并将聚类个数、准确率、召回率、调和平均值以及熵作为聚类效果的外部评估指标,将簇内紧密度以及簇间区分度作为内部评估指标,实验结果表明,与Symantec和ESET-NOD32的分类结果相比,本文提出的方法的聚类家族个数与人工标记的数量最为接近,调和平均值分别提升11.632%,2.41%.     

基于机器学习的恶意软件分类识别研究

恶意软件的日益增长是对网络世界最大的威胁,基于签名的检测对于恶意软件检测率较低,局限性大,因此提出基于机器学习的恶意软件检测技术来代替传统的签名检测。根据沙箱中提取软件的特征类型包括注册表和API函数调用,并量化数据,使用机器学习的模型对此数据进行分类识别,并取得了较好的分类效果。     

基于卷积神经网络的Android恶意软件检测技术研究

Android系统的迅速迭代及其开源特性使得Android恶意软件产生大量的变种,这对Android恶意软件检测和分类带来不小的挑战.机器学习方法已成为恶意软件分类的主流方法,但现有的大多数机器学习方法都使用传统的算法(如支持向量机).目前卷积神经网络(CNN)作为一种深度学习方法表现出了更好的性能,特别是在图像分类等应用上.结合这一优势以及迁移学习的思想,本文提出了一种基于CNN架构的Android恶意软件检测和分类方法.首先,提取Android应用的DEX文件然后将其转换成灰度图像并放入CNN中进行训练分类.本文实验使用Drebin和Android Malware Dataset(AMD)两个样本集.实验结果显示,该方法在Android恶意软件家族分类上准确率达到97.36%,在Android恶意软件检测中在不同样本集上的准确率都达到了99%以上.实验表明,本文提出的方法具有较高的分类准确率和泛化性能.     

基于粒子群优化随机森林的恶意软件检测分析

为了有效地检测软件家族中的恶意软件,改进了加权随机森林模型,提出基于粒子群优化的随机森林(particle swarm optimization-random forest,PSO-RF)模型,并使用基于粒子群优化随机森林的恶意软件检测方法对恶意软件家族进行分类。对得出的结果与决策树、支持向量机等经典分类器从准确率、精确度、召回率、综合评价指标值(F₁值)等指标进行对比分析,以验证改进后的算法的有效性与合理性。结果表明,PSO-RF模型评估指标均是最高的,能大大提升恶意软件的检测效果。     

基于异构图注意力网络的Android恶意软件检测

近年来Android已经成为最流行的移动操作系统,越来越多的移动终端恶意软件窃取用户的私人信息,对安全造成了严重的威胁。现有的检测方法通常是通过挖掘不同APK文件中具有显著区分度的特征信息,使用机器学习的方法对欧式空间数据进行检测,但这类方法往往没有考虑到特征的结构性依赖关系。因此,将Android应用程序的API调用、请求权限、访问URL和包含组件关系映射到一个大型的异质网络中,把原来的检测问题转换成节点分类任务,构造的异质信息网络通过节点级注意力将所有类型的节点映射到统一的特征空间中,学习元路径邻居节点的权重并将其聚合得到特定语义的节点嵌入。实验结果证明,基于异构图注意力网络的检测方法能充分利用异质信息网络的结构特征和语义信息,能有效检测Android恶意软件。     

多上下文特征的Android恶意程序静态检测方法

提出一种基于多上下文特征的Android恶意程序检测方法,将敏感权限、广义敏感应用程序接口(API)和敏感系统广播三类敏感资源作为原始特征,并与其发生的上下文相结合形成程序特征,区分应用程序的良性和恶意行为.构造了基于回调函数的过程间控制流图,并定义了一组过滤压缩规则.用该方法对4 972个应用程序进行检测分析,结果表明:随机森林算法在本文的特征集上表现效果最佳,准确率为95.4%,召回率为96.5%,本文方法比其他方法的检测效果更优.     

基于文本嵌入特征表示的恶意软件家族分类

自动化、高效率和细粒度是恶意软件检测与分类领域目前面临的主要挑战.随着深度学习在图像处理、语音识别和自然语言处理等领域的成功应用,其在一定程度上缓解了传统分析方法在人力和时间成本上的巨大压力.因此本文提出一种自动、高效且细粒度的恶意软件分析方法-mal2vec,其将每个恶意软件看成是一个具有丰富行为语义信息的文本,文本的内容由恶意软件动态执行时的API序列构成,采用经典的神经概率模型Doc2Vec对文本集进行训练学习.实验结果表明,与Rieck~([1])等人的分类效果相比,本文方法得到的效果有明显提升.特别的,不同于其他深度学习的方法,本文方法能够抽取模型训练的中间结果进行显式表示,这种显式的中间结果表示具有可解释性,可以让我们从细粒度层面分析恶意软件家族的行为模式.     

基于AE-DBN的Android恶意软件检测

为了提高Android恶意软件检测的准确率和效率,提出一种在静态分析技术基础上利用自动编码器(AE)网络和深度信念网络(DBN)结合的Android恶意软件检测方案。首先通过静态分析技术,提取了权限、动作、组件和敏感APIs作为特征信息,其次通过AE对特征数据集进行降维,最后结合DBN进行更深层次的特征抽象学习,并训练DBN来进行恶意代码检测。实验结果证明,提出的方案与DBN,SVM和KNN进行比较,提高了检测效率和准确率,降低了误报率。     

面向特征融合与知识蒸馏的恶意软件分类

恶意软件分类是一个多分类任务，旨在提取软件特征来训练模型，以判断恶意软件的类别。现有工作主要集中于利用深度神经网络从恶意软件图像中抽取特征进行分类，对恶意软件的序列特征和分布特征之间的关联性缺乏关注，限制了模型性能。此外，这些现有模型大多具有较高的参数量，往往需要占用较大的计算资源。为此，提出一种基于特征融合与知识蒸馏的恶意软件分类方法。一方面，通过残差网络分别从灰度图和马尔可夫图中抽取恶意软件的序列特征和分布特征，并利用自注意力挖掘不同特征之间的关联性，以提升模型性能。另一方面，通过教师网络向多个学生网络进行知识迁移，并让学生网络互相协作学习，以进一步降低模型规模。在微软和CCF数据集上的实验结果证明，该方法不仅有效提升了模型性能，而且可以降低模型的参数量和计算量。此外，本文通过热力图定位影响分类结果的字节，对分类依据进行解释。     

基于机器学习的内核恶意程序检测研究与实现

随着计算机科学的发展,世界对计算机的依赖越来越强,计算机安全也越来越重要,恶意代码是计算机安全面临的最大敌人.针对传统的恶意代码检测和分析技术在现在已经无法满足需求的问题,提出使用机器学习并应用新的分类特征来识别恶意程序,并且对他们进行初级的家族分类,指出以往机器学习在恶意代码检测和分类上的不足,筛选出更好的区分特征.首先使用了n-gram算法来优化恶意代码反汇编代码中的操作码特征,然后使用词袋模型和TF-IDF算法优化API调用特征,最后编程实现模型并使用数据集进行了模型的训练和测试.实验中使用决策树算法的模型的分类准确率上达到了87.41%,使用随机森林算法的模型的分类准确率上达到了90.06%,实验结果表明提出的特征相比以往在恶意代码检测分类上应用的特征有着更好的效果.      

基于函数调用图分析的NGB TVOS恶意应用检测方法

TVOS是我国自主研发的新一代具有自主知识产权、可管可控、安全高效的智能电视操作系统.TVOS自带应用商店是TVOS应用安装的唯一途径,但也对应用的检测提出了更高的要求.与Android应用不同,TVOS应用中很多权限和硬件调用均不涉及.采用函数调用图作为特征来弥补权限、API调用等在TVOS应用上表征能力上的不足的缺点.该方法采用基于核函数的分析方法和基于图相似度算法的分析方法提取TVOS应用的结构信息作为特征,使用SVM、RF、KNN 3种机器学习算法进行训练和分类.实验结果表明:所提出的基于函数调用图分析的NGB TVOS恶意应用检测方法能有效地检测出TVOS中的恶意应用,检测率最高达98.38%.     

基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法

攻击者为了逃避检测，常利用加壳技术对恶意软件进行加密或压缩，使得安全分析人员以及传统基于静态分析的恶意软件检测方法在恶意软件运行前难以利用反汇编等逆向工具对其进行静态分析。为检测加壳恶意软件，当前主要采用动态分析方法检测加壳恶意软件，然而受限于加壳工具种类和样本规模，以及恶意软件加壳行为带来的混淆噪声，导致传统基于机器学习检测方法存在准确率不足等问题。研究提取并分析加壳恶意软件运行时的系统调用行为特征，识别并筛选出敏感行为，旨在过滤脱壳行为噪声产生的影响；通过对系统调用行为特征加权降维，提升行为特征的有效性；通过对加权降维的行为特征进行聚类分析，最终实现加壳恶意软件未知变种检测和检测模型增量更新。实验结果表明，提出的基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法检测误报率3.9%,相较几种典型机器学习检测方法呈显著降低。     

基于API序列的恶意软件检测研究

现如今网络技术发展迅猛,恶意软件也被广泛的传播,并且其复杂程度越来越高,对网络的安全造成了巨大的威胁,从而使用户受到严重损失。因此,本文采用虚拟化分析技术对恶意软件进行分析,通过捕获恶意软件在运行过程中产生的API调用序列,然后采用N-Gram和信息增益的思想将捕获到的API序列向量化,最后仿真实验对比正常软件与恶意软件的区别,从而达到有效检测恶意软件的目的。     

基于代价敏感不平衡数据流分类算法

在数据流分类学习过程中,类不平衡和概念漂移是两大挑战问题.在分析传统特征选择算法和代价敏感学习方法的基础上,将代价敏感学习算法的思想引入特征选择算法中,设计并实现了一种基于代价敏感的Relief F剪枝的数据流分类算法,不仅能删除冗余的特征,而且适应动态变化的数据流环境.与经典的算法进行分析比较,结果表明所提算法可显著提升分类效果.     

基于流形学习的代价敏感特征选择

为了得到一个低误分类代价的特征子集,本文通过定义样本间的代价距离并将代价距离引入了现有的特征选择架构,把流形学习和代价敏感特征选择问题相结合得到了一个新的代价敏感特征选择方法,称之为基于流形学习的代价敏感特征选择算法。以前提出的代价敏感特征选择算法在选择特征的过程中只考虑到了特征与误分类代价的关系,并对特征一个一个的进行选择,而本文所提出的代价敏感特征选择算法同时考虑了特征与误分类代价的关系和特征之间内在的判别信息,从而提高了代价敏感特征选择效果。在六个现实世界数据集上的实验证明了本文所提出的算法效果优于现有的相关算法。