一种融合图像空间特征注意力机制的恶意代码识别模型北大核心CSCD

恶意代码识别对保护计算机使用者的隐私、优化计算资源具有积极意义。现存恶意代码识别模型通常会将恶意代码转换为图像,再通过深度学习技术对图像进行分类。经恶意代码识别模型转换后的图像呈现两个特点,一是图像的末尾通常被填充上黑色像素,使图像中存在明显的重点特征(即代码部分)和非重点特征(即填充部分),二是代码之间具有语义特征相关性,而在将它们按顺序转换成像素时,这种相关性也在像素之间保留。然而,现有恶意代码检测模型没有针对恶意代码的特点设计,这导致对恶意图像在深层次特征提取方面的能力相对偏弱。鉴于此,文章提出了一种新的恶意代码检测模型,特别针对恶意图像的两个关键特点进行了设计。首先,将原始的恶意代码转换成图像,并对其进行预处理。然后通过一个FA-SA模块提取重点特征,并通过两个FA-SeA模块捕捉像素之间的相关性特征。文章所提模型不仅简化了恶意代码检测的网络结构,还提升了深层次特征提取能力及检测准确率。实验结果表明,文章融合注意力模块的方法对提升模型的识别效果具有显著帮助。在Malimg数据集上,恶意代码识别准确率达到了96.38%,比现存基于CNN的模型提高了3.56%。     

模型检测迷惑二进制恶意代码

对二进制恶意代码进行形式化建模,开发了一个检查迷惑恶意代码的模型检查器。生成迷惑前的二进制恶意代码的有限状态机模型,再使用模型检查器检测迷惑二进制恶意代码,如果迷惑二进制恶意代码能被有限状态机模型识别,可判定其为恶意代码。实验结果表明模型检查迷惑二进制恶意代码是一种有效的静态分析方法,可以检测出一些常用的迷惑恶意代码。     

计算机抗恶意代码免疫模型

很多针对计算机恶意代码的免疫模型和算法要求学习训练的代价比较大,另外这些算法本身也不同程度地存在问题,离实际应用有较大距离,该文提出一种新的计算机抗恶意代码免疫模型。该模型不需要计算和识别恶意代码的具体特征,通过直接消除恶意代码传播和实施破坏的前提条件,使得计算机系统对恶意代码具有自身免疫的能力。     

基于RFID系统的安全性问题研究

随着RFID技术的飞速发展与广泛应用,RFID系统的自身安全威胁及基于其的恶意代码也在快速发展。为了更好地对抗安全威胁和恶意代码,需要透彻地分析了解其原理。详细分析了当前RFID系统的自身安全问题及现有的攻击手段,给出了相应的防范措施;并根据RFID系统的特点,提出了基于RFIv系统的恶意代码免疫模型。     

一种基于本地化特征的恶意代码检测系统设计

随着网络安全技术的发展,计算机病毒已经不能够准确描述安全事件,提出了用恶意代码来描述,由于恶意代码的多样性,目前的恶意代码检测技术不能满足需要。在对恶意代码特征研究的基础上,提出了基于本地化特征的恶意代码检测技术。恶意代码要获取执行的机会,必然要进行本地化设置,对恶意代码的本地化特点进行了研究,在此基础上设计出了一种基于本地化特征的恶意代码检测系统,并进行了测试,结果证明基于本地化特征的恶意代码检测方法是一种有效的方法。     

恶意代码检测技术曼其在等级保护工作中的应用

恶意代码是影响信息系统安全的重要因素,因而在信息安全等级保护中必须加以防范。论文阐述了恶意代码的基本分析方法和主要的检测技术,比较了各种方法和技术的特点。根据等级保护相关标准对恶意代码防范的基本要求,结合作者实际工作,总结提出了恶意代码防范的工作要点。     

恶意程序的发展趋势分析

在对比分析07年到08年上半年期间恶意代码发展特点的基础上,指出了恶意代码今后将具有对抗安全软件加剧、利用热点事件进行攻击、社会工程学攻击、利用僵尸网络等发展趋势,并提出了防御恶意代码的策略和建议。     

基于行为依赖特征的恶意代码相似性比较方法

恶意代码相似性比较是恶意代码分析和检测的基础性工作之一,现有方法主要是基于代码结构或行为序列进行比较.但恶意代码编写者常采用代码混淆、程序加壳等手段对恶意代码进行处理,导致传统的相似性比较方法失效.提出了一种基于行为之间控制依赖关系和数据依赖关系的恶意代码相似性比较方法,该方法利用动态污点传播分析识别恶意行为之间的依赖关系,然后,以此为基础构造控制依赖图和数据依赖图,根据两种依赖关系进行恶意代码的相似性比较.该方法充分利用了恶意代码行为之间内在的关联性,提高了比较的准确性,具有较强的抗干扰能力;通过循环消除、垃圾行为删除等方法对依赖图进行预处理,降低了相似性比较算法的复杂度,加快了比较速度.实验结果表明,与现有方法相比,该方法的准确性和抗干扰能力均呈现明显优势.     

基于智能手机恶意代码防范模型的研究

随着智能手机市场的发展,智能手机已经变得越来越普及,然而其安全问题却成了重大潜在威胁。关于智能手机领域的恶意代码防范模型及其应用研究显得尤为迫切及重要,由此提出了智能手机恶意代码防范模型,以期为智能手机恶意代码防范提供理论依据,并通过开发基于恶意代码检测层的扫描引擎进一步验证了该模型的安全性及可靠性。智能手机恶意代码防范模型能够实现对智能手机各个层面上的立体防范,为智能手机多功能的快速发展而引发的安全问题扫除障碍。     

基于云边联合防御的恶意代码传播模型

将云安全与点对群信息共享网络的特点进行融合,提出了一种基于云边结合(云安全环境和点对群信息共享网络相结合)的新型恶意代码传播模型,形成针对恶意代码的云边联合防御。首先,在经典的易感—感染—免疫传播模型的基础上引入云安全节点,并且增加节点在云安全环境中的额外免疫途径。其次,对新型模型进行动力学分析,计算出模型的平衡点和传播阈值,证明平衡点的局部稳定性和全局稳定性。最后,数值模拟与仿真实验的结果表明,基于云边联合防御的恶意代码传播模型能够在网络中更好地遏制恶意代码的传播,且随着节点检测与反馈能力的提升,遏制效果会更好。     

基于半监督生成对抗网络的恶意代码家族分类实现

随着互联网的发展,恶意代码呈现海量化与多态化的趋势,恶意代码家族分类是网络空间安全面临的挑战之一。将半监督生成对抗网络与深度卷积学习网络相结合,构建半监督深度卷积生成对抗网络,提出了一种恶意代码家族分类模型,通过恶意代码家族特征分析,对恶意代码进行特征提取,转化为一维灰度图像;然后基于一维卷积神经网络1D-CNN,构建半监督生成对抗网络SGAN,形成恶意代码家族分类模型SGAN-CNN。从特征提取优化、半监督生成对抗训练算法优化等方面进行恶意代码家族分类能力提升。为了验证SGAN-CNN模型的分类效果,在Microsoft Malware Classification Challenge数据集上进行实验。5折交叉验证测试显示,本文提出的模型在样本标注标签占80%的情况下,分类的平均准确率达到98.81%;在样本标注标签仅有20%的情况下,分类的平均准确率达到98.01%,取得了较好的分类效果。在小样本数量情况下,也能取得不错的分类准确率。     

一种基于Cloud-P2P计算模型的恶意代码联合防御网络

针对目前的反病毒系统在应对恶意代码时通常具有的滞后性,提出并构建了一种新颖的基于Cloud-P2P计算模型的恶意代码联合防御网络。Cloud-P2P计算模型将云计算与对等计算进行有机融合。恶意代码联合防御网络系统中的集群服务器与用户终端群体联合组成了一个高安全防御网,协同防御恶意代码,并快速产生群体免疫力。为了提高系统的性能表现,提出适用于Cloud-P2P融合计算环境的两种基于分布式哈希表的层次式网络结构C-DHT和D-DHT,并通过引入移动agent技术实现了恶意代码联合防御网络中的疫苗agent和巡警agent。基于Cloud-P2P计算模型的恶意代码联合防御网络具有负载均衡、反应快捷、防御全面和兼容性良好等性能表现。     

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元（BGRU）建立恶意代码检测模型,并在含有12 170个恶意代码样本和5 983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。     

基于CNN-BiLSTM的恶意代码家族检测技术

近年来快速增加的恶意代码数量中大部分是由原有家族中通过变异产生,所以对恶意代码家族进行检测分类显得尤为重要。提出了一种基于CNN-BiLSTM网络的恶意代码家族检测方法,将恶意代码家族可执行文件直接转换为灰度图像,利用CNN-BiLSTM网络模型对图像数据集进行检测分类。此方法在避免计算机受到恶意代码伤害的同时全面高效地提取特征,结合CNN和BiLSTM的优点从局部和全局两个方面学习恶意代码家族的特征并实现分类。实验对4个恶意代码家族的4 418个样本进行识别,结果表明该模型相对于传统机器学习具有更高的准确率。     

融合注意力机制的恶意代码家族分类研究

近年来,随着恶意代码家族变种的多样化和混淆等对抗手段的不断加强,传统的恶意代码检测方法难以取得较好的分类效果.鉴于此,提出了一种融合注意力机制的恶意代码家族分类模型.首先,使用逆向反汇编工具获取恶意样本的各区段特征,并利用可视化技术将各区段转化为RGB彩色图像的各通道;其次,引入通道域和空间域注意力机制来构建基于混合域...     

基于多通道图像深度学习的恶意代码检测

现有基于深度学习的恶意代码检测方法存在深层次特征提取能力偏弱、模型相对复杂、模型泛化能力不足等问题。同时,代码复用现象在同一类恶意样本中大量存在,而代码复用会导致代码的视觉特征相似,这种相似性可以被用来进行恶意代码检测。因此,提出一种基于多通道图像视觉特征和AlexNet神经网络的恶意代码检测方法。该方法首先将待检测的代码转化为多通道图像,然后利用AlexNet神经网络提取其彩色纹理特征并对这些特征进行分类从而检测出可能的恶意代码;同时通过综合运用多通道图像特征提取、局部响应归一化（LRN）等技术,在有效降低模型复杂度的基础上提升了模型的泛化能力。利用均衡处理后的Malimg数据集进行测试,结果显示该方法的平均分类准确率达到97.8%;相较于VGGNet方法在准确率上提升了1.8%,在检测效率上提升了60.2%。实验结果表明,多通道图像彩色纹理特征能较好地反映恶意代码的类别信息,AlexNet神经网络相对简单的结构能有效地提升检测效率,而局部响应归一化能提升模型的泛化能力与检测效果。     

基于知识蒸馏的恶意代码家族检测方法

近年来,恶意代码变种层出不穷,恶意软件更具隐蔽性和持久性,亟需快速有效的检测方法来识别恶意样本.针对现状,文中提出了一种基于知识蒸馏的恶意代码家族检测方法,该模型通过逆向反编译恶意样本,利用恶意代码可视化技术将二进制文本转为图像,以此避免对传统特征工程的依赖.在教师网络模型中采用残差网络,在提取图像纹理深层次特征的同时...     

恶意代码演化与溯源技术研究

恶意代码溯源是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性，基于目标恶意代码的特性实现对恶意代码源头的追踪.通过溯源可快速定位攻击来源或者攻击者，对攻击者产生一定的震慑打击作用，具有遏制黑客攻击、完善网络安全保障体系的重要作用和价值.近年来，网络安全形势愈加严峻，归类总结了学术界和产业界在恶意代码溯源领域的研究工作，首先揭示了恶意代码的编码特性以及演化特性，并分析这些特性与溯源的关系；然后，分别从学术界和产业界对恶意代码的溯源技术和研究进行梳理，同时对每个溯源阶段的作用以及影响程度进行了讨论，并对目前恶意代码的溯源对抗手段进行分析；最后讨论了恶意代码溯源技术面对的挑战和未来的发展趋势.     

基于分布式结构的网络恶意代码智能分析系统

对变形特征码进行归一化处理,改进WM算法,运用启发式扫描、仿真、虚拟化、主动防御等前沿的恶意代码分析技术,采用分布式的设计结构,设计了具有完备恶意代码特征码数据库、高效特征码匹配、自动捕获和控制恶意行为、平衡的资源消耗、较低误报率的网络恶意代码智能分析系统。     

基于MobileNet的恶意软件家族分类模型

现有基于卷积神经网络(CNN)的恶意代码分类方法存在计算资源消耗较大的问题.为降低分类过程中的计算量和参数量,构建基于恶意代码可视化和轻量级CNN模型的恶意软件家族分类模型.将恶意软件可视化为灰度图,以灰度图的相似度表示同一家族的恶意软件在代码结构上的相似性,利用灰度图训练带有深度可分离卷积的神经网络模型MobileNet v2,自动提取纹理特征,并采用Softmax分类器对恶意代码进行家族分类.实验结果表明,该模型对恶意代码分类的平均准确率为99.32%,较经典的恶意代码可视化模型高出2.14个百分点.