基于卷积神经网络的Android恶意软件检测技术研究

Android系统的迅速迭代及其开源特性使得Android恶意软件产生大量的变种,这对Android恶意软件检测和分类带来不小的挑战.机器学习方法已成为恶意软件分类的主流方法,但现有的大多数机器学习方法都使用传统的算法(如支持向量机).目前卷积神经网络(CNN)作为一种深度学习方法表现出了更好的性能,特别是在图像分类等应用上.结合这一优势以及迁移学习的思想,本文提出了一种基于CNN架构的Android恶意软件检测和分类方法.首先,提取Android应用的DEX文件然后将其转换成灰度图像并放入CNN中进行训练分类.本文实验使用Drebin和Android Malware Dataset(AMD)两个样本集.实验结果显示,该方法在Android恶意软件家族分类上准确率达到97.36%,在Android恶意软件检测中在不同样本集上的准确率都达到了99%以上.实验表明,本文提出的方法具有较高的分类准确率和泛化性能.     

基于Ghost DenseNet SE的恶意代码检测方法

针对现有恶意代码检测模型对恶意代码及其变种识别率不高,且参数量过大这一问题,将轻量化卷积Ghost、密集连接网络DenseNet与通道域注意力机制SE相结合,提出一种基于Ghost-DenseNet-SE的恶意代码家族检测模型.该模型为压缩模型体积、提升识别速率,将DenseNet中的标准卷积层替换为轻量化Ghost模块;并引入通道域注意力机制,赋予特征通道不同权重,用以提取恶意代码的关键特征,提高模型检测精度.在M alim g数据集上的实验结果表明,该模型对恶意代码家族的识别准确率可以达到99.14％,与AlexNet、VGGNet等模型相比分别提高了1.34％ 和2.98％,且模型参数量更低.该算法在提升分类准确率的同时,降低了模型复杂度,在恶意代码检测中具有重要的工程价值和实践意义.     

基于最长频繁序列挖掘的恶意代码检测

基于动态API序列挖掘的恶意代码检测方法未考虑不同类别恶意代码之间的行为差别,导致代表恶意行为的恶意序列挖掘效果不佳,其恶意代码检测效率较低.本文引入面向目标的关联挖掘技术,提出一种最长频繁序列挖掘算法,挖掘最长频繁序列作为特征用于恶意代码检测.首先,该方法提取样本文件的动态API序列并进行预处理;然后,使用最长频繁序列挖掘算法挖掘多个类别的最长频繁序列集合;最后,使用挖掘的最长频繁序列集合构造词袋模型,根据该词袋模型将样本文件的动态API序列转化为向量,使用随机森林算法构造分类器检测恶意代码.本文采用阿里云提供的数据集进行实验,恶意代码检测的准确率和AUC(Area Under Curve)值分别达到了95.6%和0.99,结果表明,本文所提出的方法能有效地检测恶意代码.     

基于ResNet和双向LSTM融合的物联网入侵 检测分类模型构建与优化研究

为提高物联网入侵检测模型的综合性能,将残差神经网络(Residual Networks,ResNet)与双向长短时记忆(Long-Short Term Memory,LSTM)网络融合,构建物联网入侵检测分类模型.针对大规模物联网流量快速批量处理问题,在对原始数据进行清洗、转换等预处理基础上,提出将多条流量样本转换为灰度图,并利用基于ResNet和双向LSTM融合的深度学习方法构建物联网入侵检测分类模型.对分类模型的网络结构、可复用性进行综合优化实验,得到最终优化模型,分类准确率达到96.77%,综合优化后的模型构建时间为39.85 s.与其他机器学习算法结果相比,该优化方法在分类准确率和效率两个方面取得了很好的效果,综合性能优于传统的入侵检测分类模型.     

基于word-hashing的DGA僵尸网络深度检测模型

针对使用域名生成算法(DGA)僵尸网络隐蔽性强,传统检测算法特征提取复杂的问题,提出一种无需提取具体特征的深度学习模型DGA域名检测方法.首先基于word-hashing将所有域名转用二元语法字符串表示,利用词袋模型把域名映射到高维向量空间.然后利用5层深度神经网络对转换为高维向量的域名进行训练分类检测.通过深度模型,能够从训练数据中发现不同层次抽象的隐藏模式和特征,而这些模式和特征使用传统的统计方法大多是无法发现的.实验中使用了10万条DGA域名和10万条合法域名作为样本,与基于自然语言特征分类算法进行对比实验.实验结果表明该深度模型对DGA域名检测准确率达到97.23%,比基于自然语言特征分类算法得到的检测准确率高3.7%.     

基于改进Stacking策略的钓鱼网站检测研究

针对目前大多数钓鱼网站检测技术准确率低、计算资源消耗大和检测不及时等问题,本文提出一种基于改进Stacking策略的钓鱼网站检测方法。该方法将多个分类表现优异的基学习器通过Stacking策略集成为一个高性能模型,并且把该Stacking算法第一级的输入特征与预测结果同时作为第二级的输入特征,充分发挥各模型精度高、速度快等优势,从而进一步提高模型性能。实验结果表明,与传统的机器学习钓鱼网站检测技术相比,在10万级数据集上,此集成学习算法在多个指标上都表现出更好的性能,精确率达到了97.82%,F₁值达到97.54%,可以有效地检测钓鱼网站。     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

基于机器学习的边缘检测方法研究

传统的边缘检测方法具有一定的局限性,且自适应能力差,提出一种基于机器学习的边缘检测方法来解决上述问题.实验图像从伯克利图像数据库中选取,以Harr和梯度直方图(HoG)构成特征空间,将AdaBoost算法和决策树算法相结合进行分类器训练.实验结果表明,机器学习的边缘检测算法有更高的分类准确率.     

基于语义理解的Bayesian-Boosting情感分类

提出将语义理解与统计学方法相结合的机器学习算法来进行文本情感分类。首先提取文本中的情感词汇作为特征,利用统计学方法得到特征的初始权重,然后通过分析文本语义结构修改特征权重,最后利用Bayesian算法和以Bayesian作为基本分类算法的Boosting算法进行分类。实验表明,基于语义理解的Bayesian分类算法的分类准确率高于仅基于统计学的Bayesian分类算法,基于语义理解的Bayesian-Boosting算法的分类准确率最高,达到了90%。     

一种逻辑模型树算法在网络舆情中的谣言检测

网络舆情中的谣言对社会危害极大,因此有效地检测网络舆情中的谣言已是当务之急.目前,一些单一机器学习算法被相继应用到谣言检测中.针对这些单一机器学习算法在分类上的局限性,将一种融合逻辑回归与决策树的逻辑模型树方法用于谣言检测上.根据舆情分析报告上采集的数据集,实验结果表明:组合模型逻辑模型树的分类预测准确率比已应用到谣言检测的单一机器学习算法明显要高,逻辑模型树是一种有效的谣言检测方法.     

基于BiTCNSA的恶意代码分类方法

当前恶意代码的对抗技术不断变化，恶意代码变种层出不穷，使恶意代码分类问题面临严峻挑战。针对目前基于深度学习的恶意代码分类方法提取特征不足和准确率低的问题，提出了基于双向时域卷积网络(BiTCN)和自注意力机制(Self-Attention)的恶意代码分类方法(BiTCNSA)。该方法融合恶意代码操作码特征和图像特征以展现不同的特征细节，增加特征多样性。构建BiTCN对融合特征进行处理，充分利用特征的前后依赖关系。引入自注意力机制对数据权值进行动态调整，进一步挖掘恶意代码内部数据间的关联性。在Kaggle数据集上对模型进行验证，实验结果表明:该方法准确率可达99.75%，具有较快的收敛速度和较低的误差。     

基于SAE-SV M的CPS攻击检测

信息物理系统(CPS)在工业控制和关键基础设施等领域被广泛应用,由于具有易受攻击的特点,CPS的安全问题变得尤为重要.为了提高CPS攻击检测的准确度,提出一种稀疏自动编码器(SAE)与支持向量机(SVM)结合的攻击检测算法.针对CPS中数据维数高的问题,使用SAE对数据进行特征学习与降维处理,以无监督方法重建新的特征表...     

基于SVM-RFE和粒子群优化算法的恶意域名检测模型

域名解析作为网络建立连接的第一个步骤,对恶意域名进行快速识别是阻断异常网络行为的有效措施。本研究利用机器学习和随机搜索算法,提出了一种基于SVM-RFE和粒子群优化算法的恶意域名检测模型。分析域名字符特征、解析特征和注册特征,使用SVM-RFE算法进行特征权重排序,通过优化的粒子群算法确定最佳SVM参数和特征选择。实验证明该检测模型具有较好的效率和准确度。     

基于动态API调用序列和机器学习的恶意逃避样本检测方法

针对恶意逃避样本的逃避行为进行分析,归纳并总结了恶意逃避样本常用的逃避API函数集,提出了一种基于动态API调用序列和机器学习的恶意逃避样本检测方法。在特征工程处理阶段,提出了逃避API函数权重衡量算法,并通过优化词频处理来增强逃避API函数的特征向量值,最终本文方法检测恶意逃避样本的准确率可达95.09%。     

基于特征选择ELM的乳腺肿块检测算法

乳腺肿块检测是防治乳腺癌的有效途径,基于乳腺X射线图像特征模型的极限学习机(ELM)分类算法已被应用于计算机辅助检测乳腺肿块中.针对由于特征间的依赖性导致的ELM学习效率和检测准确度低的问题,提出了基于特征选择ELM的乳腺肿块检测算法.利用影响值选择、序列前向选择和遗传选择等方法进行特征选择,进而利用该结果提高ELM的性能.通过490例来自辽宁省肿瘤医院的乳腺X射线图像的实验表明,基于特征选择ELM的乳腺肿块检测算法能有效提升乳腺肿块检测的效果,其中以遗传选择对ELM性能提升最明显.     

基于生成式零样本学习的未知恶意流量分类方法

未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.     

基于深度学习的公路路面病害检测算法

针对公路路面病害图像存在背景干扰多、病害信息弱、尺度差异大等问题,提出了一种基于深度学习的公路路面病害检测方法。以YOLOv4算法为基础,在检测网络中引入可变形卷积,并提出基于路径聚合网络(path aggregation network, PANet)的自适应空间特征融合结构,充分学习公路路面病害的细节特征,实现不同尺度特征信息的高效融合;采用平均准确率损失(average precision loss, AP-loss)函数作为分类损失函数,促使网络在训练过程中更加注重于正样本。实验表明,在公路路面病害检测中,改进YOLOv4算法的平均准确率达到了95.34%,每张图像的平均检测时间为0.071 s。与快速基于区域的卷积神经网络(faster region-based convolutional neural networks, Faster R-CNN)算法相比,所提出的算法在持有较高检测准确率的同时,减少了运算时间,可以满足公路路面病害检测的准确性与实时性需求。     

一种基于粒子群优化和核极限学习机的入侵检测算法

针对网络入侵检测准确率低、误报率高的问题,本文提出了一种基于粒子群优化和极限学习机的入侵检测算法。粒子群优化算法(PSO)是一种群智能算法,核极限学习机(KELM)是一种学习速度快、泛化能力强的经典核机器学习的方法,但是极限学习机对核函数及参数的选择直接影响它的分类性能。本文算法中利用粒子群算法优化核极限学习机的核参数,采用学习能力强且线性组合泛化能力强的全局性核函数,形成了多核极限学习机,可以有效提高单核极限学习机（ELM）分类器的性能。最后通过实验对算法性能做了对比分析,实验结果验证了本文算法的有效性。     

基于随机森林-遗传算法-极限学习机的非侵入式负荷识别方法

提高负荷识别准确率是实现非侵入式负荷监测的关键技术。针对现有模型识别准确率低,特征冗余度高、可分性较差的问题,提出一种基于随机森林(RF)和遗传算法优化极限学习机(GA-ELM)的负荷识别方法。首先从稳态电流信号中提取时域和频域信息作为负荷特征。为进一步减小特征集的冗余度并剔除可分性较差的特征,使用随机森林算法对特征进行优选,得到最优特征集。最后使用遗传算法优化极限学习机的权值和偏置参数,建立负荷识别模型。利用所建立的模型对11个家用电器共16种负荷状态进行识别,实验结果表明,所提模型可以提高识别准确率,使用该模型可以对家用负荷进行快速有效识别。