基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

基于自相似特性的恶意代码动态分析技术

在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuchi算法,分别计算程序的Hurst指数,匹配同种恶意程序的自相似性。将恶意程序与正常程序的API调用序列和Hurst指数进行对比实验表明,恶意程序调用API函数与正常程序存在差异,并且同一类型的恶意程序确实具有自相似性,从而能够动态检测出恶意程序。     

基于图卷积网络的恶意代码聚类

许多新型恶意代码往往是攻击者在已有的恶意代码基础上修改而来,因此对恶意代码的家族同源性分析有助于研究恶意代码的演化趋势和溯源.本文从恶意代码的API调用图入手,结合图卷积网络(GCN),设计了恶意代码的相似度计算和家族聚类模型.首先,利用反汇编工具提取了恶意代码的API调用,并对API函数进行属性标注.然后,根据API对恶意代码家族的贡献度,选取关键API函数并构建恶意代码API调用图.使用GCN和卷积神经网络(CNN)作为恶意代码的相似度计算模型,以API调用图作为模型输入计算恶意代码之间的相似度.最后,使用DBSCAN聚类算法对恶意代码进行家族聚类.实验结果表明,本文提出的方法可以达到87.3%的聚类准确率,能够有效地对恶意代码进行家族聚类.     

基于敏感权限和API的Android恶意软件家族分类方法

提出一种基于敏感权限和API的Android恶意软件家族分类方法,通过提取敏感权限和敏感API,将两部分特征进行融合,构建特征库,最后结合随机森林算法进行恶意软件的家族分类。实验结果表明,该方法的检测精确度达到98.4%,显著优于其他基线算法,能够反映恶意软件的相似性和同源性。     

基于两点的时间序列相似性研究

目前,时间序列相似性判定大多采用欧式距离和动态时间弯曲DTW（DynamicTimeWar．ping）方法,这两种方法均存在一定缺陷。欧式距离要求序列长度一样,垂直移动序列将影响相似性判定和阈值设置的经验性;动态弯曲距离对欧式距离进行了优化,避免了欧式长度的一致性,但其他两个缺点仍然存在且计算复杂度增加。提出了一种新的基于两点时间序列相似性算法,可计算任意两序列的相似度。首先分析了两点组成的序列形态,提出了相似性判定方法TPSS（TwoPointsSegmentationSimilarity）;其次为提高相似性判定的鲁棒性,减少人为阈值设置的影响,对TPSS进行了拓展;最后给出了算法及实验分析。实验结果表明,该算法能很好地判定任意序列的相似性,提高了鲁棒性及减少人为干预,对数据挖掘中的聚类与预测有很好的帮助作用。     

病毒感染宿主细胞可能性的序列非比对法评估

病毒与宿主细胞在遗传信息上具有相似的字模式(k-tuple),病毒的DNA序列与其可感染的宿主细胞的DNA序列通过字模式的统计打分值往往比与随机宿主细胞的打分值高,也就是病毒和其可感染的宿主细胞的DNA序列有一定的相似性.基于此原理,文中利用序列非比对统计方法 D_2~S和D_2~*对病毒的DNA序列和宿主细胞的DNA序列基于字模式进行比对打分,将打分值与获得的阈值进行比较,判断该病毒是否能感染宿主细胞.实验结果表明,当k=5(k为字模式的的大小)、马尔可夫阶次为1时,D_2~S和D_2~*统计量均能较好地反映病毒与宿主细胞在基因上的相似性,而且通过ROC(受试者工作特征曲线)获得的最佳阈值可以作为一种判断病毒是否可感染宿主细胞的方法.     

ARS：基于文件行为的勒索软件主动防御技术研究

针对勒索软件(Ransomware)造成的安全威胁问题,本文在分析多种勒索软件家族攻击特点和传统恶意代码检测技术的基础上,提出一种基于文件行为的勒索软件主动防御技术(Anti-Ransomware System,ARS).该技术采用基于文件行为统计异常的方法进行勒索软件检测,通过文件过滤驱动收集正常软件与勒索软件动态文件行为信息用作训练集,使用多种分类算法训练并生成勒索软件检测分类器,用于运行时检测勒索软件.利用写时复制技术动态备份程序运行时修改的文件,根据检测结果决定是否恢复文件.最后,设计实现原型系统并进行了测试.实验结果表明,在确保数据文件安全性的前提下,ARS能够有效地防御勒索软件,减小勒索软件攻击的危害.     

基于动态API调用序列和机器学习的恶意逃避样本检测方法

针对恶意逃避样本的逃避行为进行分析,归纳并总结了恶意逃避样本常用的逃避API函数集,提出了一种基于动态API调用序列和机器学习的恶意逃避样本检测方法。在特征工程处理阶段,提出了逃避API函数权重衡量算法,并通过优化词频处理来增强逃避API函数的特征向量值,最终本文方法检测恶意逃避样本的准确率可达95.09%。     

基于D2shepp统计法的非序列局部比对

两条生物序列间的相似性比对是计算生物学探讨的主要问题之一,一种快速的依赖于k-元组的D2shepp统计法目前已被应用到非序列比对中.文中在零模型的基础上产生两条相互独立的随机序列,基于D2shepp统计法进行了两条序列的局部比对,找到局部比对的最优值并求和.在此基础上模拟了Power值的分布情况,并分析了不同k参数下的Power值分布.在相同参数下将文中提出的局部比对与已有的D2shepp统计的全局比对进行比较,发现局部比对D2shepp统计的Power值随着序列长度的增大而快速地接近于1,比全局比对更加快速、准确.     

基于动态规划的序列比对的并行算法研究

针对序列比对算法进行了深入地研究,分析比较了两序列和多序列、局部和全局、渐进和迭代的序列比对算法.利用动态规划序列比对算法内在的并行性,提出了自适应的动态规划序列比对的并行策略.该策略在计算初期和计算末期采用较小的高度和宽度值使得大部分处理器参与计算,在计算中期采用较大的高度和宽度值降低处理器间的通信开销;运用上述自适应的动态规划序列比对的并行策略,提出了一种基于动态规划的序列比对的并行算法,将读入的比对序列负载均衡地分布至不同的计算结点.基于集群系统和MPI环境的实验数据及分析表明,该算法在给定进程数量的条件下,其执行时间随序列长度的增长而急剧上升;在给定序列长度的条件下,其执行时间随并行进程数量的增大而大幅减小;充分反映出该算法较好地发挥了序列比对问题的内在并行性,有效地降低了序列比对算法的时间复杂度.     

基于数字疫苗的隐遁勒索病毒攻击动态防御模型

针对隐遁勒索病毒攻击威胁性极大以及传统方法对其防御不力的问题,该文提出了一种基于数字疫苗的隐遁勒索病毒攻击动态防御模型。借鉴生物免疫机理,给出了数字疫苗、抗原、抗体及抗体浓度等免疫概念的形式化定义。首先,通过接种数字疫苗(创建诱饵文件和文件夹),使系统生成抵御隐遁勒索病毒攻击的未成熟抗体;其次,通过免疫抗体动态演化机制,生成能抵御隐遁勒索病毒抗原的成熟抗体与记忆抗体;最后,通过在内核层和应用层实施双重动态监控抗体浓度变化,并借助交叉视图法来实时感知隐遁勒索病毒攻击。理论分析与实验结果表明:该模型有效解决了隐遁勒索病毒攻击难以实时检测的问题,且较传统方法性能更高。     

基于交叉递归图和局部匹配的翻唱歌曲识别

基于Qmax算法,提出了一种新的序列局部匹配算法,用于翻唱歌曲识别。该算法通过改变所使用的步长条件使得匹配过程既能防止病态弯曲又能增加局部匹配分数。为了验证该算法在翻唱歌曲识别中的有效性,采用基于节拍同步的音级轮廓(PCP)特征作为测试对象,并利用最佳移位索引(OTI)实现基调不变性;根据所提取的特征构造交叉递归图(CRP),利用提出的局部匹配算法计算序列之间的相似度。实验结果表明,该方法获得了比传统匹配算法,如动态时间规整(DTW)、互相关和Qmax算法更高的识别准确率。     

基于动态行为指纹的恶意代码同源性分析

针对恶意代码在网络空间中呈爆发式增长,但多数是已有代码变种的情况。通过研究恶意代码行为特征,提出一套新的判别恶意代码同源性的方法.从恶意代码行为入手,提取恶意代码行为指纹,通过指纹匹配算法来分析恶意样本是否是已知样本的变种.经研究分析,最终筛选3种特征来描绘恶意软件的动态行为指纹:一是字符串的命名特征;二是注册表的变化特征;三是围绕关键API函数的调用顺序的特征.通过指纹匹配算法计算不同恶意代码之间的相似性度量,进行同源性分析.实验结果表明,该方法能够有效地对不同恶意代码及其变种进行同源性分析.     

生物信息方法分析灰霉菌衰退相关病毒蛋白的功能

利用Blast在GenBank数据库对BcDRV病毒相关基因进行简单定位和同源性检索分析,并对BcDRV病毒编码蛋白的结构进行分析和预测,同时在蛋白数据库中检索该蛋白所属家族蛋白线粒体病毒的RNA聚合酶信息,利用所得的结果以多序列比对的方式确立蛋白家族的进化关系, 建立进化树,并使用Interpro数据库详细的分析蛋白功能.     

一种基于程序行为模糊模式匹配的病毒检测方法

根据典型病毒的行为特征,提取病毒程序的系统API调用序列,用来分类量化病毒的程序行为。模糊分类后建立病毒行为特征库,对可疑程序进行模糊模式匹配。模拟中选取了3种典型计算机病毒样本,在不同阈值下对20个程序进行检测,结果表明,有效识别率可达90％。     

一种基于DenseNet与WGAN-GP的运动迁移方法

针对目前人体骨骼模型运动迁移算法计算精确度不高,提出了一种基于DenseNet的骨 骼卷积网络与WGAN-GP模型的运动迁移方法。通过对源与目标骨骼模型分别提取静态特征,并 对源骨骼静态特征与源运动序列使用动态编码器提取源动态特征,从而能够对目标骨骼静态特征 与源动态特征使用解码器生成目标运动序列,完成运动迁移。在网络模型训练时,同时引入了 WGAN-GP网络模型机制对生成序列和源运动序列的动、静态特征误差进行约束。实验结果表明： 该方法的运动迁移模型各关节点相对于单位身高的运动误差较小,能够生成较好保留源动态特征 的目标运动序列。     

多粒度时空事件序列相似度算法研究

现有研究集中于不带有时间空间信息或带有固定时间空间信息的活动序列相似度计算,没有从不同层次来度量用户行为序列的相似性,为了实现对用户行为多粒度多视角的动态认知,提出一种基于序列比对算法Needleman-Wunsch的多粒度时空序列比对算法（multi-granular spatiotemporal sequences alignment,MGSSA）,扩展了NW算法的得分函数以结合时间、空间信息,通过粒度调控实现了从不同的粒度来计算时空事件序列的相似度.实验证明,多粒度时空序列比对算法MGSSA是有效且可行的.      

用互关联后继树模型实现一个局部相似性比对算法

对基因数据库的一种常见操作是找到与待查询序列相似的序列.目前常使用的是BLAST算法,但是这种启发式算法有时会漏解.如果使用精确匹配算法,例如Smith-Waterman(S-W)算法,计算代价又会太大.OASIS算法是一种高效并且精确的生物序列局部相似性比对算法,而且互关联后继树模型的空间效率很高,因此使用互关联后继树实现了OASIS,并命名为OASISirst算法,其比对结果和OASIS一样按照得分降序排列,并且当目标序列和查询序列均较长时,时间优势明显.     

基于API序列特征和统计特征组合的恶意样本检测框架

针对恶意样本行为分析,该文提出了一种组合机器学习框架,首先对应用程序编程接口(application programming interface,API)序列中调用的依赖关系进行功能层面上的分析,提取特征,使用随机森林进行检测;其次利用深度学习中的循环神经网络处理时间序列数据的特性,在冗余信息预处理的基础上,直接对序列进行学习和检测;最后对2种方法进行了组合。在恶意软件样本上进行的实验结果表明:2种方法均可有效检测恶意样本,但是组合学习的效果更优,AUC(area under the curve of ROC)达到99.3%,优于现有的类似研究结果。     

一种快速比对非编码RNA序列-结构的算法

针对目前基于共变模型的非编码RNA序列搜索软件计算效率低的缺点,对非编码RNA家族的成员序列与家族共变模型的比对结果进行了分析.在传统共变模型中加入了RNA二级结构中结构单元的长度分布信息,设计了一种结构单元的长度限制算法,并根据各个结构单元的长度分布对家族中的序列在进化过程中出现插入和删除的次数进行了限定,从而显著降低了序列结构比对的计算时间.应用C++编写程序实现该方法并对非编码RNA进行搜索.测试结果表明,与基于传统共变模型的搜索方法相比,本方法在不影响搜索精度的同时,能够显著减少序列结构比对所需的计算时间.特别是对于包含大量核苷酸的序列,计算速度的提高更加明显,在对Lin-4家族搜索时,可获得90.76倍的加速效果.