基于模糊哈希特征表示的恶意软件聚类方法

目前,每年被拦截到的新型恶意软件变种数已达千万级别,在线恶意软件仓库Virus Share上存储的未分类的恶意软件数量也超过了2700万.将恶意软件按一定的行为模式进行聚类,不仅使新型攻击更易被检测出来,也有助于及时获取恶意软件的发展态势并做出防范措施.因此提出了一种高效的恶意软件聚类方法,对恶意样本进行动态分析并筛选出包括导入、导出函数、软件字符串、运行时资源访问记录以及系统API调用序列等特征,然后将这些特征转换为模糊哈希,选用CFSFDP聚类算法对恶意软件样本进行聚类.并将聚类个数、准确率、召回率、调和平均值以及熵作为聚类效果的外部评估指标,将簇内紧密度以及簇间区分度作为内部评估指标,实验结果表明,与Symantec和ESET-NOD32的分类结果相比,本文提出的方法的聚类家族个数与人工标记的数量最为接近,调和平均值分别提升11.632%,2.41%.     

基于控制依赖分析的Android远程控制类恶意软件检测

为检测Android远程控制类恶意软件,该文通过对实际的该类软件进行分析,提出一种基于控制依赖分析的动态污点检测方法。动态污点分析技术是一种检测恶意软件的主流技术。该文对传统的动态污点分析进行扩展以检测Android远程控制类恶意软件。首先采用静态分析确定条件转移指令的控制范围;再使用静态插桩在目标应用中添加分析控制依赖的功能。插桩后的应用可在运行时检查敏感操作是否控制依赖于污染数据,进而对远程控制类恶意软件进行有效的分析和检测。该文实现了一个原型检测系统。实验结果表明:应用此方法可以有效地检测出实际的Android远程控制类恶意应用。     

基于网络行为的Android恶意软件检测方案

随着科技的进步,智能手机进入了一个高速发展的阶段,Android手机则是其中最主要的推动力.不过随着Android手机普及,由系统自身安全机制缺陷所带来的安全威胁也越来越大.所以针对Android恶意软件设计出高效率、高准确性的检测方案是非常有必要的.笔者设计了一种基于网络行为分析技术的Android恶意软件检测方案.该方案一方面通过对软件的网络行为进行分析,能够准确地判断出该软件是否被篡改为恶意软件;另一方面,借助于云安全技术,将主要的检测工作部署在云端服务器上,使检测工作能够更加高效.     

基于集成学习的智能电网主机恶意软件检测方法

目前智能电网恶意软件检测系统主要基于特征库对已知恶意软件进行检测,不适用检测恶意软件未知变种.而现有基于机器学习的恶意软件未知变种检测方法的准确性和鲁棒性有待进一步提升,不足以满足智能电网实际需要.因此,提出一种基于集成学习的恶意软件未知变种检测方法,利用多源数据集和多种机器学习方法交叉构建单一检测模型,并设计一种基于Logistic的集成学习方法,构建恶意软件未知变种集成检测模型.实验对比分析表明,构建的集成检测模型相较于传统单一检测模型在准确性和鲁棒性方面有着显著提升.     

基于密度和最优聚类数的入侵检测方法

针对聚类算法在入侵检测应用中存在的参数预设、聚类有效性评价、未知攻击类型检测等问题,提出了一种基于密度和最优聚类数的改进算法,根据样本的分布情况启发式地确定初始聚类中心,从样本的几何结构角度提出一种新的内部评价指标,给出了最优聚类数确定方法,在此基础上,设计了一个增量式的入侵检测模型,实现了聚类中心和聚类数目的动态调整.实验结果表明,与K-means及其他两种改进聚类算法相比,新算法收敛速度更快、聚类准确率更高,能够对未知网络行为进行有效聚类,具有较好的入侵检测效果.     

基于块聚类匹配与PCA的图像去噪方法研究

图像去噪是图像处理领域的重要研究方向,局部块匹配和主成分分析法是图像去噪处理的重要手段,传统的块匹配算法只在固定的窗口范围内进行一次相似度的块筛选,这种搜索方式保留了图像的局部特征但对纹理的保护较差,图像存在失真模糊的现象.为解决这一问题,将聚类匹配和局部筛选相结合,通过聚类类别对样本块进行进一步筛选,同时对匹配窗口的...     

基于改进密度聚类的异常检测算法

提出一种基于改进密度聚类的异常检测算法(ADIDC), 通过在各特征列上分别进行密度聚类, 并根据各特征对正常轮廓的支持度进行特征加权, 解决了聚类分析方法在异常检测应用中误报率较高的问题. 通过大量基于异常检测数据集 KDD Cup 1999的实验表明, 其相对于传统异常检测方法在保证较高检测率的前提下, 有效地降低了误报率, 对某些与正常行为相近的特殊攻击检测率明显提高. 同时利用特征权值进行特征筛选提高了其检测性能和效率, 更适应实时检测要求.     

基于加权主成分分析和改进密度峰值聚类的协同训练算法

[目的]针对协同训练算法在视图分割时未考虑噪声影响和两视图分类器对无标记样本标注不一致问题,提出了基于加权主成分分析和改进密度峰值聚类的协同训练算法.[方法]首先引入加权主成分分析对数据进行预处理,通过寻求初始有标记样本中特征和类标记之间的依赖关系求得各特征加权系数,再对加权变换后的数据进行降维并提取高贡献度特征进行视...     

基于主成分分析的河流洪水系统聚类法

进行河流洪水聚类的目的是根据洪水特征的相似程度划分洪水类别,研究同类洪水的规律性以及应对措施.但是,洪水特征选择过多往往会增加计算的复杂程度,同时特征之间的相关性也使得信息大量重叠,导致计算结果失真.为此,提出基于主成分分析的河流洪水系统聚类法.该法首先将所选的洪水特征综合成少数几个不相关的主成分,然后计算出每场洪水在各主成分上的得分值并将该值作为新的洪水特征值,最后根据这些新特征值进行洪水聚类.三门峡水库入库洪水聚类实例证明了该方法的可行性.     

基于动态结构保持主元分析的故障检测方法

为充分利用表征过程运行工况的数据特征信息,提高化工过程的故障检测性能,提出一种基于动态结构保持主元分析(DSPPCA)的过程故障检测方法。首先对原始数据采用变量相关性分析建立自回归模型,构建包含动态特征的数据集,进一步综合考虑主元分析法(PCA)和局部线性嵌入(LLE)流形学习算法中数据点之间的近邻关系,融合得出新的目标函数,同时,运用局部线性回归的方法获得高维样本的嵌入映射,特征提取后在特征空间和残差空间分别构造监控统计量进行故障检测。Swiss-roll数据集的降维结果及TE过程的仿真研究结果表明,DSPPCA算法可以取得较好的特征提取效果,具有较高的故障检测性能。     

一种基于权重的动态分簇算法

基于分簇算法,提出了一种基于权重的动态分簇算法(WDCA).该算法综合考虑了节点与其邻居节点的相对速度,节点到其邻居节点的平均距离,节点的能量以及节点的邻居数等因素来选择簇头;同时取消了一般加权分簇算法中簇成员到簇头只有一跳的限制,而是根据簇内成员数动态调整.模拟结果表明,与经典的加权分簇算法(WCA)相比,该算法的簇头稳定性、网络的负载均衡都有很大提高.     

A dynamic fuzzy clustering method based on genetic algorithm

A dynamic fuzzy clustering method is presented based on the genetic algorithm. By calculating the fuzzy dissimilarity between samples the essential associations among samples are modeled factually. The fuzzy dissimilarity between two samples is mapped into their Euclidean distance, that is, the high dimensional samples are mapped into the two-dimensional plane. The mapping is optimized globally by the genetic algorithm, which adjusts the coordinates of each sample, and thus the Euclidean distance, to approximate to the fuzzy dissimilarity between samples gradually. A key advantage of the proposed method is that the clustering is independent of the space distribution of input samples, which improves the flexibility and visualization. This method possesses characteristics of a faster convergence rate and more exact clustering than some typical clustering algorithms. Simulated experiments show the feasibility and availability of the proposed method.     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

恶意代码的符号执行树分析方法

在恶意代码分析中,动态监测虚拟环境中的恶意代码行为是一种常用的方法。但是,由于可执行的路径分支众多,极易产生路径爆炸问题,造成某些可执行路径无法被覆盖,严重影响分析的全面性。为了解决恶意代码分析中路径爆炸问题,提出了一种基于符号执行树的恶意代码分析方法。通过构造符号执行树,引入汇聚节点,对恶意代码的执行路径进行约束求解,减少分析路径,从而缓解路径爆炸的影响,提高分析的全面性。恶意代码样本分析的实验表明,该方法能够有效地提升分析效率,同时拥有较小的时间复杂度。     

一种基于加权聚类分析的岩体可爆性分级方法

在对岩体可爆性影响因素进行综合归纳分析的基础上,对14种岩石静载和动载特性参数、岩石容重以及岩体完整性系数测试与计算的结果进行了线性相关性统计分析. 结果发现,岩石静载抗拉强度、容重和岩体整体性系数三个指标线性相关性较低或基本不相关,可以同时采用且仅采用这三个指标对岩体的可爆性进行可靠描述. 基于此结果,同时考虑到岩石爆破破坏的动载特性,对本钢矿业公司某矿山的14种岩石容重、静载抗拉强度、岩体整体性系数、动载冲击强度进行了加权聚类分析,提出了该矿山岩体可爆性分级的方法.     

基于神经网络平滑聚合机制的恶意代码增量训练及检测

为保证恶意代码变种检测模型的时效性,传统基于机器（深度）学习的检测方法通过集成历史数据和新增数据进行重训练更新模型存在训练效率低的问题。笔者提出一种基于神经网络平滑聚合机制的恶意代码增量学习方法,通过设计神经网络模型平滑聚合函数使模型平滑演进,通过添加训练规模因子,避免增量模型因训练规模较小而影响聚合模型的准确性。实验结果表明,对比重训练方法,增量学习方法在提升训练效率的同时,几乎不降低模型的准确性。