基于IRP的运行时恶意代码检测方法

目前普遍采用API序列分析Windows系统下的程序行为,进行运行时恶意代码的检测.但API调用序列可以被篡改以逃避检测.为了解决这个问题,文中提出基于IRP(L/O请求包)的运行时恶意代码检测方法.该方法采用n-gram特征分析方法对IRP序列进行分析,将人工免疫系统中的否定选择算法和肯定选择算法相结合,筛选出仅在恶...     

基于IRP的未知恶意代码检测方法

目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的I...     

基于虚拟化环境恶意代码检测系统的设计与实现

本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响.     

一种改进的入侵检测DCA算法

考虑到迁移阈值的设置直接影响DCA算法在网络入侵检测中的性能,提出一种改进的迁移阈值选择方法,来提高DCA算法的性能.根据现实网络行为的连续性,利用粒子群算法获得最优迁移阈值,并将其作为网络数据分析的迁移阈值.仿真结果表明,改进的DCA算法能够在一定程度上提高入侵检测的精度.     

基于代码图像增强的恶意代码检测方法

网络空间面临的恶意代码威胁日益严峻,传统恶意代码检测方法在恶意代码攻防对抗中逐渐暴露弊端。针对此现状,该文提出了基于代码灰度化图像增强的恶意代码检测方法,使用恶意代码ASCII字符信息和PE结构信息对传统恶意代码灰度化图像方法进行改进,构建RGB三维图像作为原始数据输入到检测算法,并使用一种带有空间金字塔池化结构的VGG16神经网络模型对恶意代码图像进行训练和预测。该文还提出了一种基于多标注归一化表示的方法来提高样本标签的可靠性,实验结果表明:该方案可以有效应对加壳、混淆等对抗手段,对新型恶意代码具有良好的检测效果。     

基于机器学习的内核恶意程序检测研究与实现

随着计算机科学的发展,世界对计算机的依赖越来越强,计算机安全也越来越重要,恶意代码是计算机安全面临的最大敌人.针对传统的恶意代码检测和分析技术在现在已经无法满足需求的问题,提出使用机器学习并应用新的分类特征来识别恶意程序,并且对他们进行初级的家族分类,指出以往机器学习在恶意代码检测和分类上的不足,筛选出更好的区分特征.首先使用了n-gram算法来优化恶意代码反汇编代码中的操作码特征,然后使用词袋模型和TF-IDF算法优化API调用特征,最后编程实现模型并使用数据集进行了模型的训练和测试.实验中使用决策树算法的模型的分类准确率上达到了87.41%,使用随机森林算法的模型的分类准确率上达到了90.06%,实验结果表明提出的特征相比以往在恶意代码检测分类上应用的特征有着更好的效果.      

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

基于语义API依赖图的恶意代码检测

传统的恶意代码动态分析方法大多基于序列挖掘和图匹配来进行恶意代码检测,序列挖掘易受系统调用注入的影响,图匹配受限于子图匹配的复杂性问题,并且此类方法并未考虑到样本的反检测行为,如反虚拟机.因此检测效果越来越差.本文设计并提出一种基于程序语义API依赖图的真机动态分析方法,在基于真机的沙箱中来提取恶意代码的API调用序列,从而不受反虚拟机检测的影响.本文的特征构建方法是基于广泛应用于信息理论领域的渐近均分性(AEP)概念,基于AEP可以提取出语义信息丰富的API序列,然后以关键API序列依赖图的典型路径来定义程序行为,以典型路径的平均对数分支因子来定义路径的相关性,利用平均对数分支因子和直方图bin方法来构建特征空间.最后采用集成学习算法-随机森林进行恶意代码分类.实验结果表明,本文所提出的方法可以有效分类恶意代码,精确度达到97.1%.     

一种针对Android平台恶意代码的检测方法及系统实现

针对Android恶意代码泛滥的问题,综合静态和动态分析技术,设计实现了Android恶意代码检测系统.在静态分析部分,提取Android程序中的权限、API调用序列、组件、资源以及APK结构构建特征向量,应用相似性度量算法,检测已知恶意代码家族的恶意代码样本;在动态分析部分,通过修改Android源码、重新编译成内核镜像,使用该镜像文件加载模拟器,实时监控Android程序的文件读写、网络连接、短信发送以及电话拨打等行为,基于行为的统计分析检测未知恶意代码.经过实际部署测试,所提检测方法具有较高的检测率和较低的误报率.所开发Android恶意代码检测系统已经在互联网上发布,可免费提供分析检测服务.     

基于行为关系网络的恶意代码检测方法

在网络安全领域,恶意代码的威胁是一个不可回避的话题.如何快速检测出恶意代码、阻止和降低恶意代码产生的危害一直是亟需解决的问题.本文提出一种基于行为关系网络的恶意代码检测方法.首先,在沙箱中运行样本获得行为报告,再从报告中提取样本的API调用、注册表访问和文件读写操作三种行为记录来构建行为关系网络,所构建的行为关系网络包含“PE”、“API”、“Registry”和“File”4种类型的节点;然后,使用一种基于元图的方法来计算样本之间的相似度矩阵;最后,使用一种自定义核的支持向量机(Support Vector Machine, SVM)模型来进行训练和预测.实验结果表明,本文提出的方法可以达到95.5%的分类准确率,能够有效地对恶意代码进行检测.     

树突细胞算法的形式化描述

尽管DCA算法在各种入侵检测方面的成功应用证实了DCA在检测率方面具有很好的性能,但到目前为止,对DCA算法仍然缺乏一种严谨的、形式化的定义与描述。在总结前人的研究成果的基础之上,通过采用数学函数定义方法,定义了算法元素的数据结构,访问数据结构的过程操作函数,目的在于对DCA算法进行简单的形式化描述,将其应用于DCA算法中的伪代码当中,具有一定的有效性,为对DCA算法进行理论分析奠定了基础。     

基于动态行为指纹的恶意代码同源性分析

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种.经研究分析,最终筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析.实验结果表明,该方法能够有效地对不同恶意代码及其变种进行同源性分析.     

基于二阶HMM模型的恶意代码检测

普通隐马尔可夫（HMM）模型状态转移概率只与前一个时间状态相关,而恶意代码的行为有多种,因此本文提出了一种基于二阶隐马尔可夫的恶意代码检测模型。应用BW算法对系统的正常行为建模,并采用滑动窗口的方法,检测系统中是否有恶意代码的存在。通过实验结果证明二阶HMM模型的检测准确性高于普通的HMM模型,能快速有效的检测系统中恶意代码的存在。     

DC规划的分支算法

从DC规划的特点出发,提出了一种线性化方法和分支算法来求全局最优解,实验表明,该方法比传统的DCA算法更简单、方便,而且DCA算法得到的仅仅是局部最优解.     

ARS：基于文件行为的勒索软件主动防御技术研究

针对勒索软件(Ransomware)造成的安全威胁问题,本文在分析多种勒索软件家族攻击特点和传统恶意代码检测技术的基础上,提出一种基于文件行为的勒索软件主动防御技术(Anti-Ransomware System,ARS).该技术采用基于文件行为统计异常的方法进行勒索软件检测,通过文件过滤驱动收集正常软件与勒索软件动态文件行为信息用作训练集,使用多种分类算法训练并生成勒索软件检测分类器,用于运行时检测勒索软件.利用写时复制技术动态备份程序运行时修改的文件,根据检测结果决定是否恢复文件.最后,设计实现原型系统并进行了测试.实验结果表明,在确保数据文件安全性的前提下,ARS能够有效地防御勒索软件,减小勒索软件攻击的危害.     

基于MHC的恶意代码检测方法

受生物免疫系统中主要组织相容性复合体MHC(major histocompatibility complex)分子特性的启发,提出了一种基于MHC的恶意代码检测方法MCDMHC.对抗体(检测器)恒定区和可变区分别进行编码,恒定区由MHC代码组成且保持相对稳定,这有利于保存优秀抗体基因;可变区的代码在疫苗的作用下有导向的变异,来快速获得多样性抗体以检测未知恶意代码.且建立了自体与非自体、抗原提呈以及抗体生成的动态演化方程.通过恶意代码检测对比实验表明,该方法对于恶意代码的检测率优于典型的基于免疫的AI-SCSA方法.     

安卓恶意软件的分析与检测

为了充分说明安卓(Android)恶意软件的工作原理,分析并降低其威胁性,本文利用Android的安全机制缺陷和Service、Broadcast两个组件实现了一个隐私窃取软件。阐述了使用Android逆向工程技术完成恶意代码植入的方法。基于云安全技术和信息比对算法,设计出一个恶意软件静态检测方案,能够有效地在源码级完成恶意软件的检测工作。     

基于C4.5决策树的嵌入型恶意代码检测方法

嵌入型恶意代码以其高隐蔽性和难检测性,成为计算机安全的新威胁.文中针对以往的统计分析法没有充分考虑嵌入型恶意代码所占字节数小、信息增益大的特点提出一种采用C4.5决策树的嵌入型恶意代码检测方法,即通过提取训练样本中信息增益最大的500个3-gram作为属性特征,建立决策树,实现对未知嵌入型恶意代码的检测.实验结果表明,...     

多策略网页恶意代码检测算法的实现

随着互联网的迅速发展,人们在浏览网页的时候容易受到网页恶意代码的攻击.针对这些问题,提出了一种基于多策略的网页恶意代码检测方法.对恶意网页代码特征进行分析,通过运用词频统计的方法对网页代码进行特征挖掘,获取关键特征值后,分别利用支持向量机算法、朴素贝叶斯算法、神经网络算法和多策略的算法建立分类模型,设计实验对4种分类模...     

针对客户端的恶意代码分析

恶意代码数量多且变种多样,通常会通过加密隐藏真实目的,沙盒可以为恶意代码提供一个安全的运行环境,在实验时借助沙盒分析和揭露恶意代码的行为特征,发现很多恶意代码看似不同,实际为同一恶意代码的变种.最后对若干恶意代码样本进行分析,通过特征码对样本中的恶意代码进行分类,验证了恶意代码变种的现象.