基于集成学习的智能电网主机恶意软件检测方法

目前智能电网恶意软件检测系统主要基于特征库对已知恶意软件进行检测,不适用检测恶意软件未知变种.而现有基于机器学习的恶意软件未知变种检测方法的准确性和鲁棒性有待进一步提升,不足以满足智能电网实际需要.因此,提出一种基于集成学习的恶意软件未知变种检测方法,利用多源数据集和多种机器学习方法交叉构建单一检测模型,并设计一种基于Logistic的集成学习方法,构建恶意软件未知变种集成检测模型.实验对比分析表明,构建的集成检测模型相较于传统单一检测模型在准确性和鲁棒性方面有着显著提升.     

基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法

攻击者为了逃避检测，常利用加壳技术对恶意软件进行加密或压缩，使得安全分析人员以及传统基于静态分析的恶意软件检测方法在恶意软件运行前难以利用反汇编等逆向工具对其进行静态分析。为检测加壳恶意软件，当前主要采用动态分析方法检测加壳恶意软件，然而受限于加壳工具种类和样本规模，以及恶意软件加壳行为带来的混淆噪声，导致传统基于机器学习检测方法存在准确率不足等问题。研究提取并分析加壳恶意软件运行时的系统调用行为特征，识别并筛选出敏感行为，旨在过滤脱壳行为噪声产生的影响；通过对系统调用行为特征加权降维，提升行为特征的有效性；通过对加权降维的行为特征进行聚类分析，最终实现加壳恶意软件未知变种检测和检测模型增量更新。实验结果表明，提出的基于动态行为特征加权聚类的加壳恶意软件未知变种检测方法检测误报率3.9%,相较几种典型机器学习检测方法呈显著降低。     

一种基于权限的安卓恶意软件检测方法

针对基于特征代码的Android恶意软件检测方法难以检测未知恶意程序,且基于行为的检测方法误报率较高的问题,提出了一种基于权限的Android恶意软件检测方法.该方法首先在静态分析的基础上,结合动态行为分析提取权限特征;然后,采用权限特征关联分析方法,挖掘权限特征之间的关联规则;最后,基于朴素贝叶斯分类算法,建立恶意应用检测模型.实验结果表明,与现有方法相比,本文方法建立的恶意应用模型具有较高的检测率和准确率.     

基于HTM算法的恶意Android应用检测

随着互联网用户从传统PC端到移动端的转换,移动安全受到越来越多的关注。为了提高对未知恶意移动应用的检测效率,针对传统检测对引入多态和变形技术的恶意应用检测能力较差的问题,提出了一种基于HTM算法的恶意Android移动应用检测方法。该应用检测包含针对Android应用Dalvik指令特点的特征提取、采用信息增益的方式进行特征选择与融合,并利用HTM算法进行序列模式训练和推导,然后将测试样本特征提取与融合后的结果输入到完成训练的HTM网络中,达到检测恶意应用的目的。实验仿真表明,所设计的恶意应用检测方法的检测率接近100%,检测效率高,误报率0.08%。相较于其他算法,提出的恶意检测方法的检测率、误报率、分类准确率均更优,并能应用于不同类型的恶意应用,但训练和测试时间较长。     

DBN和GRU混合的Android恶意软件检测模型

针对Android平台恶意软件数量增长迅猛,种类日益增多的现状,提出了一种基于深度置信网络和门控循环单元网络混合的Android恶意软件检测模型。通过自动化提取Android应用软件的特征,包括权限等静态特征和应用运行时的动态特征进行训练,对Android恶意软件进行检测和分类。实验结果表明,混合了门控循环单元网络和深度置信网络的混合模型,在检测效果上优于传统的机器学习算法和深度置信网络模型。     

基于机器学习的恶意软件分类识别研究

恶意软件的日益增长是对网络世界最大的威胁,基于签名的检测对于恶意软件检测率较低,局限性大,因此提出基于机器学习的恶意软件检测技术来代替传统的签名检测。根据沙箱中提取软件的特征类型包括注册表和API函数调用,并量化数据,使用机器学习的模型对此数据进行分类识别,并取得了较好的分类效果。     

基于特征分析Android恶意应用检测方法的研究

Android是目前广泛应用的移动操作系统,也是恶意软件首选的攻击目标。为了在恶意应用发布和攻击用户前将其分析、识别出来,文中提出了一种动态检测Android应用是否具有恶意行为的方法,该方法基于及其学习和对Android API调用和系统调用痕迹的特征提取,最终能够得到96%的检测率。     

基于SNGAN的黑盒恶意软件对抗样本生成方法

目前，为了应对数以百万计的Android恶意软件，基于机器学习的检测器被广泛应用，然而其普遍存在防对抗攻击能力差的问题，对恶意软件对抗样本生成方法的研究有助于促进恶意软件检测领域相关研究的发展.黑盒场景下的对抗样本生成技术更加符合现实环境，但相较于白盒场景效果不佳.针对这一问题，本文提出了一种基于SNGAN的黑盒恶意软件对抗样本生成方法，将图像领域的SNGAN方法迁移到恶意软件领域，通过生成器网络和替代检测器网络的迭代训练生成对抗样本，并通过谱归一化来稳定训练过程.该方法能够对已有的恶意软件添加扰动，达到欺骗机器学习检测器的效果.实验结果证明，该方法对多种机器学习分类器均可以有效规避检测，验证了方法的可行性和可迁移性.     

基于卷积神经网络的Android恶意软件检测技术研究

Android系统的迅速迭代及其开源特性使得Android恶意软件产生大量的变种,这对Android恶意软件检测和分类带来不小的挑战.机器学习方法已成为恶意软件分类的主流方法,但现有的大多数机器学习方法都使用传统的算法(如支持向量机).目前卷积神经网络(CNN)作为一种深度学习方法表现出了更好的性能,特别是在图像分类等应用上.结合这一优势以及迁移学习的思想,本文提出了一种基于CNN架构的Android恶意软件检测和分类方法.首先,提取Android应用的DEX文件然后将其转换成灰度图像并放入CNN中进行训练分类.本文实验使用Drebin和Android Malware Dataset(AMD)两个样本集.实验结果显示,该方法在Android恶意软件家族分类上准确率达到97.36%,在Android恶意软件检测中在不同样本集上的准确率都达到了99%以上.实验表明,本文提出的方法具有较高的分类准确率和泛化性能.     

基于API序列特征和统计特征组合的恶意样本检测框架

针对恶意样本行为分析,该文提出了一种组合机器学习框架,首先对应用程序编程接口(application programming interface,API)序列中调用的依赖关系进行功能层面上的分析,提取特征,使用随机森林进行检测;其次利用深度学习中的循环神经网络处理时间序列数据的特性,在冗余信息预处理的基础上,直接对序列进行学习和检测;最后对2种方法进行了组合。在恶意软件样本上进行的实验结果表明:2种方法均可有效检测恶意样本,但是组合学习的效果更优,AUC(area under the curve of ROC)达到99.3%,优于现有的类似研究结果。     

基于生成式零样本学习的未知恶意流量分类方法

未知恶意流量是网络安全的重大安全挑战,对未知恶意流量的分类能够增强网络威胁识别能力,指导网络防御策略.未知恶意流量由于缺乏样本,无法满足现有的深度学习方法对大量数据的需要.本文提出了一种基于生成式零样本学习的未知恶意流量分类方法.从原始的网络流量中提取出关键的恶意流量信息并转化为二维图像,提出将恶意流量的属性信息作为辅助语义信息,利用条件生成对抗网络生成类别样本.同时,本文还添加了类级别的对比学习网络,使得生成的类别样本质量更高并且更具有类间区分度.实验结果表明,该方法在未知恶意流量分类问题上平均准确率能够达到90%以上,具有较高的应用价值.     

基于机器学习的恶意双胞胎攻击检测

随着移动计算的普及,WiFi(wireless fidelity)已经成为人们上网的必备技术之一,WiFi安全也成为移动计算的主要威胁.恶意双胞胎攻击可以通过伪造与实际接入点相同的服务集标识符来窃取大量私有数据,威胁着人们的财产安全.因此,针对这种隐患,提出了一种模型,通过使用多种机器学习算法对恶意双胞胎攻击进行检测....     

一种面向软件行为可信性的入侵检测方法

针对现有入侵检测方法的问题,面向软件行为可信需求,提出了一种新的静态检测方法.首先讨论并给出了软件行为可信性的定义和形式化描述,并以指令序列形式进行表示;然后,提出了检测方法和流程,通过数据挖掘方法对恶意软件和正常软件进行行为知识发现,利用发现的行为知识对未知软件进行行为可信性判定;最后,对方法进行了实现,对一些行为模式使用选定的样本进行了实验验证.实验结果表明,该方法能够依据软件行为可信策略检测未知软件中的恶意行为,检测成功率高.     

基于N-gram和Transformer的DGA恶意域名检测

针对使用域名生成算法(DGA)产生的恶意域名隐蔽性强,传统机器学习检测算法提取特征复杂等问题,提出了基于N-gram和Transformer的恶意域名检测方法。对域名数据添加首尾标志位,使用N-gram算法分割成词组元素后转换为向量输入Transformer模型。该模型能够有效的提取域名的字母组合特征,并且捕捉到域名中字母的位置信息,如域名中的首部和尾部字符、字母间的位置关系等特征,从而更准确的识别恶意域名。实验中使用Alexa的合法域名和360安全实验室采集的恶意域名作为数据样本,使用N-gram算法处理二级域名字符串,并与基于机器学习和深度学习的分类算法进行对比,实验结果表明该算法对DGA域名检测准确率达96.04%,能够有效、准确地识别出恶意域名。     

基于机器学习的网络流量分类算法

互联网应用的蓬勃发展产生了种类多样的网络流量。在网络技术不断进化的过程中,新型流量和流量加密技术的出现,使基于端口和基于有效载荷的传统网络流量分类算法的应用受到限制。为了实现对新型网络流量的自动分类,提出了一种基于机器学习的网络流量分类算法。通过选择特征属性和构建决策树模型,能够实现对流量级别的网络数据进行自动分类。使用网络流量分类领域的公开数据集进行训练和测试,并将测试结果与开源的机器学习平台Weka运行结果相比较,实验结果表明:所构建模型性能优良,在流量分类准确度与Weka平台相近甚至更优的前提下,大幅降低了建模时间,提高了网络数据分类的效率。     

应用支持向量机实现分布式入侵检测

描述了一种应用支持向量机构建的分布式入侵检测系统模型 ,介绍了支持向量机的机器学习原理、训练过程以及在线检测流程 .仿真结果表明系统提高了对未知入侵的检测能力     

基于ELM的网络流量分类及可视化研究

精准的网络流量分类是网路流量监测和网络流量数据分析的重要基础。机器学习方法利用统计网络流量的各种特征,不依赖于协议端口和协议内容对网络流量数据进行分析。采用超限学习机(ELM)和改进算法分层超限学习机(H-ELM)作为机器学习的算法,识别客户端与服务器。对链路层、网络层和应用层数据进行分析,实现对多层次网络流量数据的可视化,对H-ELM和ELM算法的实验结果进行对比。实验结果表明,ELM算法能有效地应用于网络流量分类,基于ELM分类模型的网络流量识别训练速度快。H-ELM通过紧凑的特征去除冗余原始输入,改进了总体学习表现。     

基于粗糙集模型的入侵检测算法研究

为应对层出不穷的新型网络入侵,提高对未知恶意行为的检测正确率,运用粗糙集理论对入侵检测问题进行建模.先用概率粗糙集建立入侵检测模型PRS-IDM,在此基础上生成基于变精度粗糙集的检测模型VRS-IDM和其中的阈值参数β.在VRS-IDM模型基础上对检测训练集数据进行约简并构造检测规则.模拟检测实验的结果证明本方法具有良好的检测正确率,同时能有效应付未知的潜在入侵行为.     

基于机器学习的Windows环境下恶意程序检测系统

针对Windows环境下恶意程序数量众多且难以判别的情况,为了改善和提高对恶意程序的识别能力和效果,结合程序行为分析和机器学习技术,设计了一个恶意程序的检测系统。通过对所采集的程序样本集进行动态分析,提取出其两类系统调用序列作为样本特征,以此作为输入数据,对机器学习分类器进行监督式学习训练,使其能够对恶意行为和正常行为进行区分,并可以对于未知程序的性质做出判定,可以高效地识别出恶意程序。结果表明,可以通过较短时间的训练即可到达较为满意的判定能力,也表明了机器学习对于程序行为性质判定方面具有广泛的应用前景。     

基于中间代码的恶意软件检测技术研究

软件的中间代码是位于机器语言和高级程序语言之间程序语言,具有容易理解的语义信息和控制结构信息,能真实地反映软件在执行过程中的实际情况.利用中间代码的语义信息来研究恶意软件,可以发现恶意软件的具体行为信息或特点;通过多种方式对比中间代码形成的控制流图整体或局部信息,实现恶意软件的检测.机器学习为软件安全性信息或规则挖掘提供便利,成为一种先进的恶意软件检测方法.本文从中间代码的语义信息和控制结构两方面对多种恶意软件检测技术进行归类与比较,同时对基于机器学习的中间代码处理与应用方法进行了深入分析和探讨.