基于集成学习的智能电网主机恶意软件检测方法

目前智能电网恶意软件检测系统主要基于特征库对已知恶意软件进行检测,不适用检测恶意软件未知变种.而现有基于机器学习的恶意软件未知变种检测方法的准确性和鲁棒性有待进一步提升,不足以满足智能电网实际需要.因此,提出一种基于集成学习的恶意软件未知变种检测方法,利用多源数据集和多种机器学习方法交叉构建单一检测模型,并设计一种基于Logistic的集成学习方法,构建恶意软件未知变种集成检测模型.实验对比分析表明,构建的集成检测模型相较于传统单一检测模型在准确性和鲁棒性方面有着显著提升.     

基于卷积神经网络的Android恶意软件检测技术研究

Android系统的迅速迭代及其开源特性使得Android恶意软件产生大量的变种,这对Android恶意软件检测和分类带来不小的挑战.机器学习方法已成为恶意软件分类的主流方法,但现有的大多数机器学习方法都使用传统的算法(如支持向量机).目前卷积神经网络(CNN)作为一种深度学习方法表现出了更好的性能,特别是在图像分类等应用上.结合这一优势以及迁移学习的思想,本文提出了一种基于CNN架构的Android恶意软件检测和分类方法.首先,提取Android应用的DEX文件然后将其转换成灰度图像并放入CNN中进行训练分类.本文实验使用Drebin和Android Malware Dataset(AMD)两个样本集.实验结果显示,该方法在Android恶意软件家族分类上准确率达到97.36%,在Android恶意软件检测中在不同样本集上的准确率都达到了99%以上.实验表明,本文提出的方法具有较高的分类准确率和泛化性能.     

基于网络流量分析的未知恶意软件检测

为了有效检测移动端的未知恶意软件,提出一种基于机器学习算法,并结合提取的具有鲁棒性的网络流量统计特征,训练出具有未知移动恶意网络流量识别能力的检测模型;该模型主要包括Android恶意软件样本数据预处理、网络流量数据自动采集以及机器学习检测模型训练;通过对不同时间节点的零日恶意软件检测的实验,验证模型的有效性。结果表明,所提出的方法对未知恶意样本的检测精度可以超过90%,并且F度量值为80%。     

基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法

攻击者为了逃避检测，常利用加壳技术对恶意软件进行加密或压缩，使得安全分析人员以及传统基于静态分析的恶意软件检测方法在恶意软件运行前难以利用反汇编等逆向工具对其进行静态分析。为检测加壳恶意软件，当前主要采用动态分析方法检测加壳恶意软件，然而受限于加壳工具种类和样本规模，以及恶意软件加壳行为带来的混淆噪声，导致传统基于机器学习检测方法存在准确率不足等问题。研究提取并分析加壳恶意软件运行时的系统调用行为特征，识别并筛选出敏感行为，旨在过滤脱壳行为噪声产生的影响；通过对系统调用行为特征加权降维，提升行为特征的有效性；通过对加权降维的行为特征进行聚类分析，最终实现加壳恶意软件未知变种检测和检测模型增量更新。实验结果表明，提出的基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法检测误报率3.9%,相较几种典型机器学习检测方法呈显著降低。     

DBN和GRU混合的Android恶意软件检测模型

针对Android平台恶意软件数量增长迅猛,种类日益增多的现状,提出了一种基于深度置信网络和门控循环单元网络混合的Android恶意软件检测模型。通过自动化提取Android应用软件的特征,包括权限等静态特征和应用运行时的动态特征进行训练,对Android恶意软件进行检测和分类。实验结果表明,混合了门控循环单元网络和深度置信网络的混合模型,在检测效果上优于传统的机器学习算法和深度置信网络模型。     

基于SNGAN的黑盒恶意软件对抗样本生成方法

目前，为了应对数以百万计的Android恶意软件，基于机器学习的检测器被广泛应用，然而其普遍存在防对抗攻击能力差的问题，对恶意软件对抗样本生成方法的研究有助于促进恶意软件检测领域相关研究的发展.黑盒场景下的对抗样本生成技术更加符合现实环境，但相较于白盒场景效果不佳.针对这一问题，本文提出了一种基于SNGAN的黑盒恶意软件对抗样本生成方法，将图像领域的SNGAN方法迁移到恶意软件领域，通过生成器网络和替代检测器网络的迭代训练生成对抗样本，并通过谱归一化来稳定训练过程.该方法能够对已有的恶意软件添加扰动，达到欺骗机器学习检测器的效果.实验结果证明，该方法对多种机器学习分类器均可以有效规避检测，验证了方法的可行性和可迁移性.     

基于中间代码的恶意软件检测技术研究

软件的中间代码是位于机器语言和高级程序语言之间程序语言,具有容易理解的语义信息和控制结构信息,能真实地反映软件在执行过程中的实际情况.利用中间代码的语义信息来研究恶意软件,可以发现恶意软件的具体行为信息或特点;通过多种方式对比中间代码形成的控制流图整体或局部信息,实现恶意软件的检测.机器学习为软件安全性信息或规则挖掘提供便利,成为一种先进的恶意软件检测方法.本文从中间代码的语义信息和控制结构两方面对多种恶意软件检测技术进行归类与比较,同时对基于机器学习的中间代码处理与应用方法进行了深入分析和探讨.     

基于虚拟化环境恶意代码检测系统的设计与实现

本课题利用虚拟机自省技术和内存取证分析技术通过机器学习实现云环境下的恶意代码检测.随着云计算的广泛应用,针对云环境的恶意软件种类与数量也与日俱增.鉴于此,本课题围绕着"基于虚拟化环境恶意代码检测系统"进行研究,通过调用LibVMI自省库以及Volatility内存取证工具获取恶意代码的行为数据,而后使用KNN算法实现恶意代码的检测功能.在提取恶意代码的行为特征时,本系统结合了虚拟机自省技术和内存取证分析技术,一次性可获取大量不同种类特征.基于多特征的数据获取方法也有效的降低了目前高级别恶意软件常采用的混淆技术的影响.     

一种基于SVM的网络入侵检测模型

针对传统机器学习方法在检测网络入侵时存在的问题,给出一种基于支持向量机(SVM)的网络入侵检测模型.大量实验证明:提出的网络入侵检测模型具有较高的检测率,避免了基于传统机器学习检测方法的局限性.在训练数据的过程中,考虑不同的网络数据特征对入侵检测结果的影响程度,还提出一种新的特征加权分类方法,并通过实验数据说明该方法可使检测精度有所提高.     

基于粒子群优化随机森林的恶意软件检测分析

为了有效地检测软件家族中的恶意软件,改进了加权随机森林模型,提出基于粒子群优化的随机森林(particle swarm optimization-random forest,PSO-RF)模型,并使用基于粒子群优化随机森林的恶意软件检测方法对恶意软件家族进行分类。对得出的结果与决策树、支持向量机等经典分类器从准确率、精确度、召回率、综合评价指标值(F₁值)等指标进行对比分析,以验证改进后的算法的有效性与合理性。结果表明,PSO-RF模型评估指标均是最高的,能大大提升恶意软件的检测效果。     

基于敏感权限和API的Android恶意软件家族分类方法

提出一种基于敏感权限和API的Android恶意软件家族分类方法,通过提取敏感权限和敏感API,将两部分特征进行融合,构建特征库,最后结合随机森林算法进行恶意软件的家族分类。实验结果表明,该方法的检测精确度达到98.4%,显著优于其他基线算法,能够反映恶意软件的相似性和同源性。     

数据平面和控制平面相分离的网络入侵检测系统

本文提出一种具有数据平面和控制平面分离的网络入侵检测系统,实现了高可扩展性。结合考虑单分类支持向量机和软间隔支持向量机的优点,提出了一种基于增强支持向量机的入侵检测方法,以此准确高效地区分恶意入侵数据流与正常数据流。在仿真实验部分,使用恶意软件产生恶意数据集,并利用该数据集来验证系统的有效性。     

基于生成对抗网络的入侵检测类别不平衡问题数据增强方法

数据类别不平衡问题是制约机器学习技术在入侵检测领域应用效果的重要因素。当训练数据不均衡时,训练得到模型的分类结果往往倾向多数类,从而极大影响分类效果。针对基于机器学习算法进行入侵检测时训练样本不均衡以及由于数据隐私性导致训练样本不足和更新慢的问题,提出一种基于生成对抗网络和深度神经网络相结合的入侵数据增强方法,以实现样本集的类别均衡。通过NSL-KDD数据集对模型评估,本文所提方法不仅具有较高的准确率,而且对未知攻击和只有少数样本的攻击类型具有较高的检测率。     

基于异构图注意力网络的Android恶意软件检测

近年来Android已经成为最流行的移动操作系统,越来越多的移动终端恶意软件窃取用户的私人信息,对安全造成了严重的威胁。现有的检测方法通常是通过挖掘不同APK文件中具有显著区分度的特征信息,使用机器学习的方法对欧式空间数据进行检测,但这类方法往往没有考虑到特征的结构性依赖关系。因此,将Android应用程序的API调用、请求权限、访问URL和包含组件关系映射到一个大型的异质网络中,把原来的检测问题转换成节点分类任务,构造的异质信息网络通过节点级注意力将所有类型的节点映射到统一的特征空间中,学习元路径邻居节点的权重并将其聚合得到特定语义的节点嵌入。实验结果证明,基于异构图注意力网络的检测方法能充分利用异质信息网络的结构特征和语义信息,能有效检测Android恶意软件。     

面向特征融合与知识蒸馏的恶意软件分类

恶意软件分类是一个多分类任务，旨在提取软件特征来训练模型，以判断恶意软件的类别。现有工作主要集中于利用深度神经网络从恶意软件图像中抽取特征进行分类，对恶意软件的序列特征和分布特征之间的关联性缺乏关注，限制了模型性能。此外，这些现有模型大多具有较高的参数量，往往需要占用较大的计算资源。为此，提出一种基于特征融合与知识蒸馏的恶意软件分类方法。一方面，通过残差网络分别从灰度图和马尔可夫图中抽取恶意软件的序列特征和分布特征，并利用自注意力挖掘不同特征之间的关联性，以提升模型性能。另一方面，通过教师网络向多个学生网络进行知识迁移，并让学生网络互相协作学习，以进一步降低模型规模。在微软和CCF数据集上的实验结果证明，该方法不仅有效提升了模型性能，而且可以降低模型的参数量和计算量。此外，本文通过热力图定位影响分类结果的字节，对分类依据进行解释。     

一种基于权限的安卓恶意软件检测方法

针对基于特征代码的Android恶意软件检测方法难以检测未知恶意程序,且基于行为的检测方法误报率较高的问题,提出了一种基于权限的Android恶意软件检测方法.该方法首先在静态分析的基础上,结合动态行为分析提取权限特征;然后,采用权限特征关联分析方法,挖掘权限特征之间的关联规则;最后,基于朴素贝叶斯分类算法,建立恶意应用检测模型.实验结果表明,与现有方法相比,本文方法建立的恶意应用模型具有较高的检测率和准确率.     

一种基于投票的不平衡数据分类集成算法

不平衡数据分类是机器学习的研究热点之一。传统的机器学习分类算法通常假定用于训练的数据集是平衡的,不能直接应用于不平衡数据分类。利用朴素贝叶斯和决策树对数据不平衡的敏感度不同,提出一种基于投票的不平衡数据分类集成算法。基分类器选择NB和C4.5,通过投票平均方法进行分类决策;并选择公开的不平衡数据集进行实验验证。实验结果表明,该算法能有效提高不平衡数据的分类性能,特别是对正类(少数类)的误报率较低,具有良好的鲁棒性。     

基于机器学习的静息态人脑功能活动差异的分类研究

本研究在睁眼(eyes-open,EO)和闭眼(eyes-closed,EC)两种静息态下提取了45位健康被试的脑功能参数比率低频振幅(fractional amplitude of low frequency fluctuation,fALFF)和局部一致性(regional homogeneity,ReHo)数据,比较并分析了基于线性核的支持向量机(SVM)、基于RBF核的支持向量机、朴素贝叶斯、决策树、随机森林和自适应增强(Adaboost)6种机器学习方法在数据上的分类效果.实验表明,对单一特征数据分类时,朴素贝叶斯算法对fALFF数据的分类效果最好,线性核的SVM算法对ReHo数据的分类效果最好;对fALFF和ReHo数据相融合的多层次特征数据分类时,朴素贝叶斯算法的分类效果最好.此外,本研究对单一特征数据与多层次特征数据在6种机器学习方法上进行分类比较,结果表明利用多层次特征数据时,基于RBF核的SVM,朴素贝叶斯和随机森林算法的分类效果有所提升.本研究基于不同机器学习方法和不同层次特征数据的分类比较,为EO和EC静息态脑功能活动和其他脑病理的研究提供了相关的参考依据.     

基于电量消耗的Android平台恶意软件检测

根据Android应用在运行期的耗电时序波形与声波信号类似的特点,该文提出了一种基于Mel频谱倒谱系数(Mel frequency cepstral coefficients,MFCC)的恶意软件检测算法。首先计算耗电时序波形的MFCC,根据MFCC的分布构建Gauss混合模型(Gaussian mixture model,GMM)。然后采用GMM对电量消耗进行分析,通过对应用软件的分类处理识别恶意软件。实验证明:应用软件的功能与电量消耗关系密切,并且基于软件的电量消耗信息分析可以较准确地对移动终端的恶意软件进行检测。     

基于机器学习的网络流量分类算法

互联网应用的蓬勃发展产生了种类多样的网络流量。在网络技术不断进化的过程中,新型流量和流量加密技术的出现,使基于端口和基于有效载荷的传统网络流量分类算法的应用受到限制。为了实现对新型网络流量的自动分类,提出了一种基于机器学习的网络流量分类算法。通过选择特征属性和构建决策树模型,能够实现对流量级别的网络数据进行自动分类。使用网络流量分类领域的公开数据集进行训练和测试,并将测试结果与开源的机器学习平台Weka运行结果相比较,实验结果表明:所构建模型性能优良,在流量分类准确度与Weka平台相近甚至更优的前提下,大幅降低了建模时间,提高了网络数据分类的效率。