采用Win32 API相关行为分析的未知病毒检测方法

针对目前基于行为分析的未知病毒检测方法需要运行可执行程序,无法检测出以静态形式存在计算机中的滴管等病毒的问题,提出了一种基于Win32 API相关行为检测PE未知病毒的方法。首先解析PE文件提取其调用的敏感Win32 API函数,然后将这些API函数按相关的恶意行为分类并形成维数固定的特征行为向量存入数据库。采用基于判别熵最小化的特征提取法自适应的精简特征项,最后利用改进的K-最近邻算法进行分类。实验结果表明,该方法具有较高的命中率和较低的漏判率,适用于“云安全”系统中未知病毒的检测。     

Funlove病毒技求详细分析

Funlove是一个Win32 PE病毒,可以在Win9X/2000/NT上传播。它最早出现于1999年末,至今已经问世两年半,现在仍在大规模传播,这说明它肯定有着过人之处。现在就让我们揭开这个病毒常青树的神秘面纱,深入到Funlove内部去看看真实的PE病毒是什么样子的吧。     

最新毒报 Win32.Mofei.B

别名:W32.Femot.Worm,Win32/Mofei.B.Worm,WORM_MOFEI.B种类:Win32类型:蠕虫破坏性:中普及度:低特性:是一种通过局域网传播的蠕虫病毒。病毒程序采用UPX压缩,文件大小为32,354字节。病毒拷贝自己的副本文件以及一个DLL库文件到%Windows%\System32下,DLL文件名为SCARDSVR32.DLL,也采用UPX压缩,大小为20,480字节。此DLL文件包含了病毒主要的复制进程,且隐藏在进程LSASS.EXE和EXPLORER.EXE中。所以,系统重新启动时可能会要求移除病毒。在WIN2000系统里,病毒替换一个名为“SmartCardHelper”的服务。需要注意的是,…     

面向PE病毒检测的行为特征分析方法研究

目前,计算机病毒的存在成为了信息安全的一大威胁,其中以Windows32 PE文件为感染目标的PE病毒最为盛行,功能最强,分析难度也最大。对此,本文研究了一种面向PE病毒检测的行为特征分析方法,详细分析PE病毒执行过程中的关键行为特征、一般行为特征等,并以其十六进制行为字符串特征码作为PE病毒的检测依据,通过对可疑PE文件中字符串的匹配实现PE病毒的启发式检测。     

SDL程序与Win32平台的集成

分析了SDL与操作系统平台集成的原理,提出了SDL程序与Win32平台集成的一般处理方法,最后结合实例对SDL与Win32集成的实现细节和要点进行了阐述。     

新病毒动态

·Win32／Crypto病毒该病毒感染Win95、98、2000和WinNT系统。一次感染20个可执行文件（包括压缩文件）。当被感染的EXE文件运行后,将在WIndows目录下生成一个带毒的KERNEL32.DLL文件副本,并修改WININTT.INI文件,从而在下次启动时替代原KERNEL32.DLL文件。该病病毒在KERNEL32文件中没有加密,病毒代码放在文件的最后,病毒体长度为周280字节。Win32／Crypto病毒还会删除反病毒数据库文件,并加密个DLL文件,直到WindowsAPI（SR2／NT）函数访问该动态链接文件时才自动解密。如果病毒被移步,这个DLL文件残体仍会…     

基于集成神经网络的计算机病毒检测方法

在借鉴传统的特征扫描技术的基础上,提出了一种基于n-gram分析的计算机病毒自动检测方法。本文将基于信息增益的特征选择技术引入集成神经网络的构建中,结合Bagging算法,同时扰动训练数据和输入属性生成精确且差异度大的个体分类器,在此基础上以集成的 BP神经网络为模式分类器实现对病毒的检测。该法并不针对某一特定病毒,是一种通用的病毒检测器。实验表明提出的检测方法具有较强的泛化能力和较高的精确率。     

基于Win32 API和SVM的未知病毒检测方法

提出了一种Windows平台下检测未知病毒的新方法,该方法通过分析PE文件调用的Win32 API序列,用SVM来对划分后k长度的API短序列分类,并通过分析API函数及参数危险程度来提高SVM分类的精确度,从而实现对未知病毒的检测。实验结果表明,该方法实现的病毒检测系统比只用SVM的系统具有更好的检测效果。     

病毒晴雨表

病毒名称:Funlove病毒类型:文件型病毒病毒特征:病毒主要感染Win9x 和 WinNT 4.0的 Win32 PE 文件,如,exe、.scr 和.ocx 文件。当该病毒首次运行时,会在系统SYSTEM 目录下生成一个名为FLCSS.EXE 的文件,然后感染所有的.exe、.scr 和.ocx 文件,而且Explorer.exe 也会在 NT 系统重新启动后被感染。这个病毒还会修政Ntoskrnl.exe 和 Ntldr 等 NT 系统文件,并通过这种方式实现在下次系统重启动后拥有 NT 系统的所有通道。然后它就会定期地检查网络上的写通道,通过网络映射感染共享网络驱动器上的.exe、.scr 和.ocx 文件。但到目前为止还没有发现这个     

病毒晴雨表

病毒名称:矩阵隐形病毒(Win32/MTX) 病毒类型:混合型病毒病毒特征:该病毒不仅是一个32位病毒,还具有蠕虫一样的行为,同时有着象特洛伊一样的驻留方式。一旦系统运行了带毒的可执行文件,病毒会感染Windows目录下的文件,然后该病毒解包,并把它的蠕虫病毒部分两次驻留在Windows目录中,驻留的文件名为“Ie_pack.exe”和“Win32.dll”。同时,一个名为“Mtx_.exe”的特洛伊也被驻留在Windows目录中。     

基于神经网络集成的入侵检测系统

目前,较为成熟的入侵检测系统普遍存在检测率偏低、对新的入侵不够敏感等问题,影响了系统的整体性能。在深入研究的基础上,本文提出了一种基于神经网络集成的入侵检测方法。该方法采用神经网络集成分类技术,在去除冗余数据的基础上对成员网络进行训练,并通过动态的方法确定成员网络的个数,最终通过神经网络对成员网络结果进行融合,以提高系统的整体性能。理论和实验表明,该方法能在保证成员网络差异性的同时提高入侵的检测率,具有较好的应用前景。     

基于人工示例训练的神经网络集成入侵检测

提出一种基于人工示例训练的神经网络集成入侵检测方法。使用不同的训练数据集训练不同的成员网络,以此提高成员网络之间的差异度。在保证成员网络个数的基础上,选择差异度较大的成员网络构成集成,以提高系统的整体性能。实验结果表明,与当前流行的集成算法相比,该方法在保证较高入侵检测率的前提下,可保持较低的误检率,并对未知入侵也具有较高的检测率。     

神经网络集成在图书剔旧分类中的应用

在分析图书剔旧工作的基础上，指出用智能的方法解决图书剔旧问题的必要性。提出了可以用神经网络集成技术来解决该问题，并给出一种动态构建神经网络集成的方法，该方法在训练神经网络集成成员网络时不仅调整网络的连接权值，而且动态地构建神经网络集成中各成员神经网络的结构，从而在提高单个网络精度的同时，增加了各网络成员之间的差异度，减小了集成的泛化误差。实验证明该方法可以有效地用于图书剔旧分类。     

神经网络集成模型在入侵检测中的应用

入侵检测是网络安全研究中的热点。提出了一种用于入侵检测的神经网络集成模型。该模型采用神经网络集成分类技术,去除训练集中的冗余数据,利用遗传算法优化成员网络的权值,在此基础上训练成员网络,最终通过神经网络对成员网络的输出结果进行融合。理论和实验表明,模型具有较好的检测能力。     

一种新型的神经网络集成模型

神经网络集成作为神经网络技术的延伸,被广泛的用于解决分类问题。很多实际应用表明:神经网络集成表现出比单个神经网络更好的性能。而传统的神经网络集成模型中网络的构建和集成是分两个阶段完成的。论文提出一种新的神经网络集成结构模型“层状集成”。该模型中网络的构建和集成同时完成,且每个成员网络的输出流入到下一个神经网络,作为下一个神经网络的输入,以这种方式生成一种层状神经网络集成。该模型用于解决分类问题,表现出比传统神经网络集成更好的性能。     

选择性神经网络二次集成方法在定量构效关系建模中的应用研究

针对在建立定量构效关系(QSAR)模型中,单个人工神经网络模型难以确定参数,容易产生“过拟合”;一般神经网络集成模型虽然建立过程简单,但由于个体差异度小而导致泛化能力相对单个神经网络没有明显改善等问题,提出了一种基于随机梯度法的选择性神经网络二次集成方法。在建立除草剂(苯乙酰胺类化合物)的QSAR模型的实验研究中表明,该方法设计过程简单,能够以较小的运算代价明显地提高了模型的泛化能力,是建立QSAR模型的一个有效方法。     

Spoken keyword detection using autoassociative neural networks

Spoken keywords detection is essential to organize efficiently lots of hours of audio contents such as meetings, radio news, etc. These systems are developed with the purpose of indexing large audio databases or of detecting keywords in continuous speech streams. This paper addresses a new approach to spoken keyword detection using Autoassociative Neural Networks (AANN). The proposed work concerns the use of the distribution capturing ability of the Autoassociative neural network (AANN) for spoken keyword detection. It involves sliding a frame-based keyword template along the speech signal and using confidence score obtained from the normalized squared error of AANN to efficiently search for a match. This work formulates a new spoken keyword detection algorithm. The experimental results show that the proposed approach competes with the keyword detection methods reported in the literature and it is an alternative method to the existing key word detection methods.     

基于深层结构模型的新词发现与情感倾向判定

随着社交网络的发展,新的词汇不断出现。新词的出现往往表征了一定的社会热点,同时也代表了一定的公众情绪,新词的识别与情感倾向判定为公众情绪预测提供了一种新的思路。通过构建深层条件随机场模型进行序列标记,引入词性、单字位置和构词能力等特征,结合众包网络词典等第三方词典。传统的基于情感词典的方法难以对新词情感进行判定,基于神经网络的语言模型将单词表示为一个K维的词义向量,通过寻找新词词义向量空间中距离该新词最近的词,根据这些词的情感倾向以及与新词的词义距离,判断新词的情感倾向。通过在北京大学语料上的新词发现和情感倾向判定实验,验证了所提模型及方法的有效性,其中新词判断的F值为0.991,情感识别准确率为70%。     

基于神经网络集成的专家系统模型

提出一种基于神经网络集成的专家系统模型,并给出神经网络集成的构造算法.在该模型中神经网络集成作为专家系统的一个内嵌模块,用于专家系统的知识获取,克服了传统专家系统在知识获取中的＂瓶颈＂问题.并将该模型用于图书剔旧系统中,初步建成基于神经网络集成的图书剔旧专家系统原型.     

类图像处理面向大数据XSS入侵智能检测研究

通过类图像处理方法对访问流量语料库大数据进行词向量化处理,实现面向大数据XSS入侵智能检测研究。利用类图像处理方法进行数据获取、数据清洗、数据抽样、特征提取等数据预处理;设计基于神经网络的词向量化算法,实现词向量化得到词向量大数据;通过理论分析和推导,实现多种不同深度的深层神经网络智能检测算法;设计不同的超参数并进行反复的实验,分别得到最高识别率、最低识别率、识别率均值、方差、标准差、识别率变化曲线图和平均绝对误差变化曲线图等结果。实验结果表明,该方法具有识别率高、稳定性好、总体性能优良等特点。