一种基于行为集成学习的恶意代码检测方法

为了解决变种恶意代码、未知威胁行为恶意分析等问题,研究了基于梯度提升树的恶意代码分类方法,从大量样本中学习程序行为特征和指令序列特征,实现了智能恶意代码分类功能.将GBDT算法引入恶意代码检测领域,使模型结果行为序列具有可解释性,对恶意代码的检测能力大幅提高.GBDT算法能够客观地反映恶意代码的行为和意图本质,能够准确识别恶意代码.     

基于通信行为分析的DNS隧道木马检测方法

传统基于载荷分析和流量监测的DNS隧道检测手段误报率高且不能有效应对新型DNS隧道木马,为此提出一种基于通信行为分析的DNS隧道木马检测方法.从DNS会话的视角对比分析DNS隧道木马通信行为与正常DNS解析行为的差异性,提取7个DNS隧道木马属性,组成DNS会话评估向量,采用随机森林分类算法构建DNS会话评估向量检测分类器,建立基于通信行为分析的DNS隧道木马检测模型.实例测试结果表明:该方法误报率小,漏报率低,对未知的DNS隧道木马同样具有很高的检测能力.     

基于动态行为的未知恶意代码识别方法

＂特征码＂法虽然可以准确地检测出已知的恶意代码,但是对未知的恶意代码的识别却无能为力.目前基于代码动态行为的分析方法是未知恶意代码检测技术的发展方向.本文通过对未知恶意代码在植入、安装及启动时调用的API序列作为依据,并分别使用最小距离分类器、K-最近邻、余弦相似度等分类方法对它进行识别,实验表明：对于未知恶意代码的识别,不同的分类算法有不同的优缺点,所以,具体选择哪个算法,要根据恶意代码识别的具体要求而定.     

基于遗传神经网络的入侵检测模型

针对入侵检测系统中存在的对入侵事件高误报率和漏报率问题,提出了遗传神经网络,该方法基于遗传算法的全局搜索和BP网络局部精确搜索的特性,利用遗传算法优化网络初始权重,将遗传算法和BP算法有机结合．实验结果表明,该算法正确鉴定合法的用户矢量为93％,发生7％的误报率．与BP、GA算法相比,分别高出2．875％和5．562％．     

恶意代码云主动防御系统设计与实现

随着海量变种及未知恶意病毒的泛滥,采用病毒特征码匹配为核心的反病毒技术已难以实现有效和及时的防御。基于云计算模式,设计了一种恶意代码云主动防御系统产品,采用程序行为跟踪分析、模式识别、智能修复处理、操作系统等6大子系统主动防御技术,实现了智能有效检测、辨识和清除已知与未知的恶意代码的功能。该系统采用P2DR模型,由云客户端软件、云端服务器、管理控制台3部分组成,实现了恶意代码行为捕获及主动防御、恶意代码行为算法分析、全网主机安全态势分析报告等功能,构建了网络主机安全的纵深防御体系。     

基于LZW算法的未知恶意代码检测方法

为克服传统方法在特征提取上存在的缺陷,提出一种基于Lempel-Ziv-Welch(LZW)压缩算法的未知恶意代码检测方法.忽略未知恶意代码结构将其看成字符串流,依据事先确定的阈值限制抽取的字符串长度,以实现处理效率和性能间的折衷;将所抽取的字符串按照其类别建立符合统计特性的压缩字典,即正常代码和恶意代码字典;利用2个字典对待测文件进行压缩,得到不同的压缩率,依据最小描述长度原则将其归类为能取得最好压缩率的类别,达到检测未知恶意代码的目的.实验结果表明,基于LZW算法的检测方法对未知恶意代码具有较好的识别效果.     

云计算下手机人工免疫恶意代码检测模型

提出一种适用于云计算环境的基于人工免疫的手机恶意代码检测模型。提出扩展阴性选择算法,提取恶意代码的特征编码生成抗原,增加针对高亲和度检测器的克隆和变异算子,提高成熟检测器的生成效率,在特征检测和检测器生成阶段引入MapReduce并行处理机制,提高计算效率。仿真结果表明,检测模型对未知手机恶意代码具有较高的检测率和计算效率。     

基于属性相似度的恶意代码检测方法

针对未知恶意代码数量急剧增长,现有的检测方法不能有效检测的问题,提出一种基于属性相似度的恶意代码检测方法.该方法将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算每个n-gram的信息增益,并选择具有最大信息增益的N个n-gram作为特征属性,分别计算恶意代码和正常文件每一维属性的平均值,通过比较待测样本属性与恶意代码和正常文件两类别属性均值的相似度来判断待测样本类别.结果表明,该方法对未知恶意代码的检测性能优于基于n-gram的恶意代码检测方法.     

一种无需预设模板的动车组故障识别算法

针对现有动车组故障识别算法存在较高故障识别误报率与漏报率的问题,提出了一种无需预设模板的动车组故障识别算法.将动车组图像以车厢为单位进行划分,以当前列车的其他车厢作为历史图像进行图片比对,确定出故障区域所在的位置.对多种车型的模拟分析结果表明,所提算法在保障检测漏报率的基础上,误报率可降低至少20％.此外,针对复兴号列...     

基于肯定选择分类算法的恶意代码检测方法

针对恶意代码,尤其是顽固、隐匿的未知恶意代码危害日益加剧的问题,提出一种基于肯定选择分类算法的恶意代码检测方法.将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算具有最大信息增益的N个n-gram的词频,并做归一化处理,采用改进的肯定选择分类算法进行分类.该方法保留了肯定选择分类算法高分类准确率的优点,优化了分类器训练过程,提高了训练和检测效率.结果表明,该方法的检测效果优于朴素贝叶斯、贝叶斯网络、支持向量机和C4.5决策树等算法.     

基于上下文特征融合的代码漏洞检测方法

针对现有代码漏洞检测方法误报率和漏报率较高的问题,提出基于上下文特征融合的代码漏洞检测方法.该方法将代码特征解耦分为代码块局部特征和上下文全局特征.代码块局部特征关注代码块中关键词的语义及其短距离依赖关系.将局部特征融合得到上下文全局特征从而捕捉代码行上下文长距离依赖关系.该方法通过局部信息与全局信息协同学习,提升了模型的特征学习能力.模型精确地挖掘出代码漏洞的编程模式,增加了代码漏洞对比映射模块,拉大了正负样本在嵌入空间中的距离,促使对正负样本进行准确地区分.实验结果表明,在9个软件源代码混合的真实数据集上的精确率最大提升了29%,召回率最大提升了16%.     

Detecting use-after-free bugs in embedded C programs

Use-after-Free (UaF) bugs in C programs seriously affect the robustness and reliability of embedded systems.Current detection methods are mostly focused on computer operating systems or applications,which does not support complex and variable embedded systems.A static code analysis can achieve the detection without the requirement of execution environment.Therefore,a static taint analysis tool based on the LLVM compiler infrastructure has been implemented to detect UaF bugs in theembedded C code automatically.Experimental results prove that this static analysis method can detect UaF bugs in C programs rapidly with low false positive and false negative.It is also proved that the tool can be applied in large-scale embedded C projects.     

基于汇编语言解析的未知病毒检出手法

病毒检测与防御是计算机安全中的一个很重要的研究课题。目前,计算机病毒的花样不断地翻新,并大量使用了多重加密壳、变形、多态,传统的恶意代码查杀技术很难进行正确的查杀,这是因为病毒代码被感染后,为了躲避检测会对自己本身的代码修改替换。即使是针对未知的恶意代码,如果只是运用简单的模式匹配算法,也会被恶意代码欺骗而逃避检测。本文介绍了一种能够检测以上未知恶意代码的方法。具体来说,首先将病毒的二进制代码进行反汇编,在汇编代码层次上进行检出以及通过汇编层次检测出的模式学习和根据学习结果的分类判定来进行检测。     

基于车辆运动轨迹的VANETs位置验证

正确的位置信息在维护VANETs的正常运行扮演着重要的角色, 恶意节点的位置欺骗将严重影响VANETs诸多应用. 通过对节点的位置验证以检测节点的位置欺骗是VANETs重要的研究领域. 针对VANETs中车辆移动的相对速度较高, 网络拓扑结构频繁变化, 传统WSN和MANET中的位置验证方案不再适用于VANETs, 提出基于车辆的运动轨迹位置验证方案, 采用最小二乘法对车辆进行连续定位跟踪, 并绘制其行驶路线, 与邻居车辆的行驶路线、速度相比较, 计算其吻合度, 检测位置欺骗. 仿真结果表明, 该方案有较低的漏警率和虚警率, 当恶意节点的欺骗距离达到30m时, 漏警率和虚警率接近于0.     

采用路径IRP的Windows恶意进程检测方法

针对程序在同一操作系统的不同环境下运行产生的IRP(I/O request packets)序列不完全相同,对检测结果有一定影响的问题,提出了采用路径IRP的Windows恶意进程检测方法.单独提取每一个操作路径的IRP请求序列,应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树及改进的人工免疫算法(IAIS)进行检测,并比较了各种算法在不同特征选择方法下的检测效果.实验结果表明,本文所提出的采用路径IRP的Windows恶意进程检测方法是有效可行的,在所有方法中,采用Fisher Score进行特征选择的朴素贝叶斯方法得到了最高的检测率99.2%,优于基于IRP序列的恶意进程检测方法.     

Android界面劫持攻击检测

Android界面劫持是一种通过劫持用户使用过程中的界面输入流窃取用户隐私信息的攻击方式。本文首先通过实验验证了该攻击在安卓多个版本上的有效性,继而分析了包含界面劫持攻击的恶意应用的4个必备特征,提出了一种基于代码特征以及多组件数据流跟踪的静态检测方法AHDetector（activity hijacking detector）。AHDetector方法包括4个步骤：通过分析manifest配置文件,判断被检测应用是否申请了外传数据的敏感权限;根据代码特征判断被检测应用中是否同时存在界面劫持攻击必备的3种功能组件：后台扫描组件,劫持界面组件以及隐私外传组件;通过分析组件间的调用关系,判断应用中具有扫描功能的组件与接受界面输入的组件之间是否存在调用关系;通过组件间数据流分析,确定劫持界面组件和隐私外传组件之间是否存在隐私数据的传递。继而判定被检测应用是否包含界面劫持攻击。为了验证AHDetector的检测效果,本文设计实现了覆盖界面劫持功能组件所有逻辑路径的18个样例来测试方法的有效性,同时采用了4个应用锁样例来检测误判性。测试结果表明,AHDetector能够有效的检测出应用中所有的界面劫持攻击行为,同时不会误判,而6个常见的恶意应用在线检测平台（Andrubis、VirusTotal、visualThreat、安全管家在线检测、腾讯安全实验室在线检测、网秦安全）则不能检测出界面劫持攻击行为。     

基于链码的随机Hough变换圆形检测方法

该文提出基于链码的随机Hough变曲变换圆形检测方法.该方法首先采用改进的自适应性Canny边缘检测方法提取边缘,通过LoG滤波抑制检测中噪声和光照变化的干扰,并采用大津法实现Canny算法中双门限的自动选取,提高Canny算法的自适应性.然后通过八邻域跟踪算法构建边缘链码,采用邻域均值投票,可有效减少零散或小尺度边缘的冗余投票,避免虚假圆生成.同时根据链码长度设定优先级,减少重复检测.实际在线检测结果表明该方法具有良好的准确性,低漏检和误检率,在噪声、光照变化下具有良好的鲁棒性.