基于集成学习算法的恶意软件感染二分类预测

对随机森林和LightGBM两种集成学习算法在恶意软件感染二分类预测中的应用进行了研究.针对恶意软件感染预测数据集,通过预处理修正异常值,选择合适的编码方式处理数据集中不同类型的数据;进行特征工程处理,包括原始特征的构建并对部分特征进行拆分,构建时间戳特征以补充缺失的时间信息;使用基于Bagging集成的随机森林算法得...     

融合多特征的Android恶意软件检测方法

针对当前基于机器学习的Android恶意软件检测方法特征构建维度单一,难以全方位表征Android恶意软件行为特点的问题,文章提出一种融合软件行为特征、Android Manifest.xml文件结构特征和Android恶意软件分析经验特征的恶意软件检测方法。该方法提取Android应用的Dalvik操作码N-gram语义信息、系统敏感API、系统Intent、系统Category、敏感权限和相关经验特征,多方位表征Android恶意软件的行为并构建特征向量,采用基于XGBoost的集成学习算法构建分类模型,实现对恶意软件的准确分类。在公开数据集DREBIN和AMD上进行实验,实验结果表明,该方法能够达到高于97%的检测准确率,有效提升了Android恶意软件的检测效果。     

基于静态特征融合的恶意软件分类方法

针对现有恶意软件分类方法融合的静态特征维度高、特征提取耗时、Boosting算法对大量高维特征样本串行训练时间长的问题,提出一种基于静态特征融合的分类方法。提取原文件和其反编译的Lst文件的灰度图像素特征、原文件的结构特征和Lst文件的内容特征,对特征融合和分类。在训练集采样时启用GOSS算法减少对训练样本的采样,使用LightGBM作为分类器,该分类器通过EFB对互斥特征降维。实验证明在三类特征融合下分类准确率达到了97.04%,通过启用GOSS采样减少了29%的训练时间,在分类效果上,融合的特征优于融合Opcode n-gram的特征,LightGBM优于传统深度学习和机器学习算法。     

基于集成学习的N6甲基化位点预测方法研究

N6-甲基腺嘌呤(N6-methyladenine,6mA)是指腺嘌呤第6位氮原子的甲基化修饰.6mA在维持细胞正常的转录活性、DNA损伤修复、染色质重塑、遗传印记、胚胎发育和肿瘤发生等生物过程中起着非常重要的作用.通过生物实验的方法来鉴定6mA位点耗时且昂贵.近年来,研究界提出了一些基于机器学习的6mA位点预测方法,...     

基于数据特征的内核恶意软件检测

内核恶意软件对操作系统的安全造成了严重威胁.现有的内核恶意软件检测方法主要从代码角度出发,无法检测代码复用、代码混淆攻击,且少量检测数据篡改攻击的方法因不变量特征有限导致检测能力受限.针对这些问题,提出了一种基于数据特征的内核恶意软件检测方法,通过分析内核运行过程中内核数据对象的访问过程,构建了内核数据对象访问模型;然后,基于该模型讨论了构建数据特征的过程,采用动态监控和静态分析相结合的方法识别内核数据对象,利用EPT监控内存访问操作构建数据特征;最后讨论了基于数据特征的内核恶意软件检测算法.在此基础上,实现了内核恶意软件检测原型系统MDS-DCB,并通过实验评测MDS-DCB的有效性和性能.实验结果表明：MDS-DCB能够有效检测内核恶意软件,且性能开销在可接受的范围内.     

基于特征融合的恶意软件分类算法研究

目前对于恶意软件的分析大多是基于特征提取的方式,通过提取恶意软件的操作码、PE结构、汇编码、字符串以及捕获的动态行为信息等特征,使用机器学习、深度学习算法学习特征实现恶意软件的分类。但是由于恶意软件的各种变形和加密技术的日益成熟,使得特征选择和特征提取变得越来越困难,所以需要有效的特征提取方法和分类算法来对抗这些复杂恶意软件。首先分析了国内外针对特征融合在恶意软件分类方面的现状,提出了现阶段存在的问题。然后收集数据集并进行预处理和特征提取,其中动态特征提取是通过搭建Cuckoo沙箱捕获动态API信息并使用TF-IDF方法提取关键API行为特征,静态特征提取则对恶意软件进行反汇编并提取静态操作码信息,利用N-gram、Apriori及信息增益方法提取重要操作码组合特征,然后将动静态特征融合并使用因子分解机作为恶意软件分类算法对特征之间的交互影响建模,最后恶意软件的分类准确率和召回率达到95%以上。     

基于Android系统的恶意软件的分析

针对智能手机的迅速普及和Android系统的安全危机,本文主要对Android恶意软件进行了分析,从Android恶意软件在安装形式、激活方式,以及恶意负载的三个方面总结了恶意软件的特征,最后,提出了对Android平台安全发展的展望。     

基于集成学习技术的恶意软件检测方法

近年来,低级别微结构特征已被广泛应用于恶意软件检测。但是,微结构特征数据通常包含大量的冗余信息,且目前的检测方法并没有对输入微结构数据进行有效地预处理,这就造成恶意软件检测需要依赖于复杂的深度学习模型才能获得较高的检测性能。然而,深度学习检测模型参数量较大,难以在计算机底层得到实际应用。为了解决上述问题,本文提出了一种新颖的动态分析方法来检测恶意软件。首先,该方法创建了一个自动微结构特征收集系统,并从收集的通用寄存器(General-Purpose Registers, GPRs)数据中随机抽取子样本作为分类特征矩阵。相比于其他微结构特征, GPRs特征具有更丰富的行为特征信息,但也包含更多的噪声信息。因此,需要对GPRs数据进行特征区间分割,以降低数据复杂度并抑制噪声。本文随后采用词频-逆文档频率(Term Frequency-Inverse Document Frequency, TF-IDF)技术从抽取的特征矩阵中选择最具区分性的信息来进行恶意软件检测。TF-IDF技术可以有效降低特征矩阵的维度,从而提高检测效率。为了降低模型复杂度,并保证检测方法的性能,本文利用集成学习模型来识...     

基于恶意软件分类的特征码提取方法

网络已经成为恶意软件最主要的传播途径。由于恶意软件以网络数据包的形式在网络上传播时和正常的数据包并无差异,传统检测方法不能有效检测。对传统的特征码检测方法进行了改进,提出了一种基于恶意软件分类的特征码提取方法,提高了对恶意软件片段的识别能力,并在一定程度上解决了传统的特征检测方法检测效率低、特征库过于庞大的问题。     

基于遗传规划和集成学习的恶意软件检测

近年来恶意软件不断地发展变化,导致单一检测模型的准确率较低,使用集成学习组合多种模型可以提高检测效果,但集成模型中基学习器的准确性和多样性难以平衡。为此,提出一种基于遗传规划的集成模型生成方法,遗传规划可以将特征处理和构建集成模型两个阶段集成到单个程序树中,解决了传统恶意软件集成检测模型难以平衡个体准确率和多样性的问题。该方法以集成模型的恶意软件检出率作为种群进化依据,保证了基学习器的准确性;在构建集成模型时自动选择特征处理方法、分类算法和优化基学习器的超参数,通过输入属性扰动和算法参数扰动增加基学习器的多样性,根据优胜劣汰的思想进化生成具有高准确性和多样性的最优集成模型。在EMBER数据集上的结果表明,最优集成模型的检测准确率达到了98.88%;进一步的分析表明,该方法生成的模型具有较高的多样性和可解释性。     

基于多特征的Android恶意软件检测方法

传统的基于权限的Android恶意软件检测方法检测率较高,但存在较高的误报率,而基于函数调用的检测方法特征提取困难,难以应用到移动平台上。因此,在保留传统权限特征的基础上,提出了以权限和资源文件多特征组合方式的朴素贝叶斯检测方法,该方法所选特征提取简便,且具有较低的误报率,有效弥补传统检测方法的不足。实验从4 396个恶意样本和4 500个正常样本中随机抽取5组恶意样本和5组正常样本集,分别作了基于权限和基于多特征的对比实验。实验结果表明,与基于权限的分类方法相比,基于多特征的分类方法能显著地降低误报率,因此基于多特征的检测方法效果更优。     

基于双树复小波分解的Boosting集成学习土地覆被分类研究

近年来,集成学习（Ensemble Learning,EL）分类方法成为土地覆被分类的研究热点,尤其是Boosting集成分类方法具有分类精度高、泛化能力强,在土地覆被分类中得到了显著的应用。但是,Boosting集成分类方法对噪声很敏感,如果训练样本含有噪声时,Boosting算法可能会失效,这是该方法的局限性。为了解决Boosting集成方法在土地覆被分类中存在的问题,有效克服噪声的影响,减少分类结果中的“椒盐”现象和提高分类精度,提出了基于双树复小波分解的Boosting集成学习分类方法。该方法对影像的光谱波段进行一层双树复小波分解,降低图像的噪声,将分解后的各波段作为Boosting集成学习的输入,得到最终的分类结果。实验先后比较了GBDT、XGBoost、LightGBM 3种Boosting集成学习算法在SPOT 6和Sentinel-2A影像上的分类效果。结果表明：(1)在SPOT 6影像上,3种Boosting集成算法总体分类精度均高于90%;DTCWTLightGBM分类总体精度最高,达到94.73%,Kappa系数为0.93,比LightGBM总体精度提高了1.1%...     

基于特征重叠与集成学习的涡扇发动机剩余寿命预测

涡扇发动机的整个生命周期在恒定的退化模式中,对其进行健康管理和剩余使用寿命预测具有重要意义。在发动机设备发生退化恒定故障中,为保证长期有效可靠性维护需要,该文基于机器学习与深度学习对涡扇发动机进行寿命预测,采用梯度提升决策树与随机森林模型对涡扇发动机特征进行重要性排序并建立Stacking集成学习模型,同时采用双向长短时记忆网络（BiLSTM）模型进行涡扇发动机寿命预测。结果表明,使用特征重叠后的Stacking算法模型表现优异,均方根误差（RMSE）较低,拟合优度约0.96,在涡扇发动机寿命预测方面表现良好。     

Android恶意软件特征研究

智能手机的广泛应用导致手机恶意软件的数量急速增加,尤其是近几年,基于Android操作系统的手机在智能手机市场占据主导地位,针对Android系统的恶意软件数量快速增加。手机恶意软件主要收集手机用户地理位置、语音通信、短信等个人隐私信息,或进行恶意扣费、耗费系统资源等行为,给用户自身和手机系统带来很大危害。准确分析恶意软件行为特征可以为后续清除恶意软件提供有力依据。传统的恶意软件分析技术主要包括静态分析与动态分析,文中介绍了当前存在的一些手机恶意软件分析检测技术及其缺陷,并从安装、激活、恶意负载三方面对已知Android恶意软件主要行为特征进行详细分析。     

基于特征图像生成的Android恶意软件检测方法

目前的传统机器学习方法在Android恶意软件检测上存在特征分布不平衡、检测准确率偏低的问题。针对于此,该文提出一种基于特征图像生成的Android恶意软件检测方法。该方法首先采用特征匹配的方法提取APK文件的权限、API、操作码作为特征,并使用改进的FPGrowth算法挖掘各特征的频繁特征项集,以获取有效特征;再利用降噪自编码器(DAE)抽取特征信息和转换特征向量维度,将各特征对应的特征向量转换成单通道图像并在通道维度进行拼接,生成RGB特征图像用于训练和分类;最后构建BaggingCNN分类算法,其集成了多个不同的卷积神经网络(CNN)算法,这些算法均在采用Bootstrap抽样构造的多个子训练集上进行训练,得到若干个子分类器,这些子分类器将用来对表示APK文件的特征图像进行检测,并采取多数投票机制得到最终的检测结果。实验结果表明,该方法生成的特征图像具有较好的表征能力,有利于分类算法的收敛和准确度的提升;其检测准确率达到98.21%,可以有效地检测Android恶意软件。     

基于多智能集成学习的中短期电煤价格预测

为扩大电力市场交易量与下调市场电价,需要提升电煤价格预测的可靠性与准确性.为此本文提出了多智能集成学习的中短期电煤价格预测方法.首先,阐述了Stacking集成学习的结构和原理;然后,介绍了数种智能电煤价格的预测模型,并通过算例证明了不同单智能模型对数据的感知能力存在差异性;进而,通过比较单智能模型预测结果的差异值均差...     

基于多注意力Bi-LSTM的恶意软件预测

在恶意软件预测任务中,针对训练数据不足及模型无法突出重要时序信息的问题,提出一种使用TS-GAN对数据进行扩增和使用多注意力Bi-LSTM模型进行预测的方案。多注意力Bi-LSTM由三层网络组成,利用Bi-LSTM层自动学习恶意软件并输出各时间步的隐状态,通过多注意力层为各时间步隐状态分配权重突出重要时序信息,使用预测判别层实现恶意软件良性或恶意的预测。实验结果表明,该方法可以在恶意软件执行前4秒内以95.8%的预测准确率实现对恶意软件的预测,优于其它方法。