基于肯定选择分类算法的恶意代码检测方法

针对恶意代码,尤其是顽固、隐匿的未知恶意代码危害日益加剧的问题,提出一种基于肯定选择分类算法的恶意代码检测方法.将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算具有最大信息增益的N个n-gram的词频,并做归一化处理,采用改进的肯定选择分类算法进行分类.该方法保留了肯定选择分类算法高分类准确率的优点,优化了分类器训练过程,提高了训练和检测效率.结果表明,该方法的检测效果优于朴素贝叶斯、贝叶斯网络、支持向量机和C4.5决策树等算法.     

基于LZW算法的未知恶意代码检测方法

为克服传统方法在特征提取上存在的缺陷,提出一种基于Lempel-Ziv-Welch(LZW)压缩算法的未知恶意代码检测方法.忽略未知恶意代码结构将其看成字符串流,依据事先确定的阈值限制抽取的字符串长度,以实现处理效率和性能间的折衷;将所抽取的字符串按照其类别建立符合统计特性的压缩字典,即正常代码和恶意代码字典;利用2个字典对待测文件进行压缩,得到不同的压缩率,依据最小描述长度原则将其归类为能取得最好压缩率的类别,达到检测未知恶意代码的目的.实验结果表明,基于LZW算法的检测方法对未知恶意代码具有较好的识别效果.     

基于动态行为的未知恶意代码识别方法

＂特征码＂法虽然可以准确地检测出已知的恶意代码,但是对未知的恶意代码的识别却无能为力.目前基于代码动态行为的分析方法是未知恶意代码检测技术的发展方向.本文通过对未知恶意代码在植入、安装及启动时调用的API序列作为依据,并分别使用最小距离分类器、K-最近邻、余弦相似度等分类方法对它进行识别,实验表明：对于未知恶意代码的识别,不同的分类算法有不同的优缺点,所以,具体选择哪个算法,要根据恶意代码识别的具体要求而定.     

字符串特征集生成方法

为提高未知恶意代码的识别精度,分析了特征集的选取方法对未知恶意代码分类精度的影响,提出了一种采用字符串描述构造特征集的方法,从恶意代码或正常文件中提取出字符串原始特征,引入频繁项目集方法进行特征选择,压缩特征集维数.经比较实验结果证明,该方法可提高分类器学习效率,同时能保证分类器具有较高的分类精度.     

C4．5算法在未知恶意代码识别中的应用

基于行为的分析方法是恶意代码检测技术的发展方向,但存在误报率和漏报率较高的问题,故提出一种在Windows平台下检测未知恶意代码的新方法,以PE文件动态调用的API函数为研究对象,使用足长度的滑动窗口提取代码的所有特征属性,并采用决策树C4．5算法来检测未知恶意代码．实验结果表明,与其他基于行为的恶意代码识别算法相比,该算法具有较低的漏报率和误报率．     

云计算下手机人工免疫恶意代码检测模型

提出一种适用于云计算环境的基于人工免疫的手机恶意代码检测模型。提出扩展阴性选择算法,提取恶意代码的特征编码生成抗原,增加针对高亲和度检测器的克隆和变异算子,提高成熟检测器的生成效率,在特征检测和检测器生成阶段引入MapReduce并行处理机制,提高计算效率。仿真结果表明,检测模型对未知手机恶意代码具有较高的检测率和计算效率。     

一种基于行为集成学习的恶意代码检测方法

为了解决变种恶意代码、未知威胁行为恶意分析等问题,研究了基于梯度提升树的恶意代码分类方法,从大量样本中学习程序行为特征和指令序列特征,实现了智能恶意代码分类功能.将GBDT算法引入恶意代码检测领域,使模型结果行为序列具有可解释性,对恶意代码的检测能力大幅提高.GBDT算法能够客观地反映恶意代码的行为和意图本质,能够准确识别恶意代码.     

基于C4.5决策树的IMS网络畸形SIP消息检测方法

针对现有方法对与正常消息相似度较高的畸形SIP消息检测效果不佳的问题,提出了一种基于c4．5决策树的IMS网络畸形SIP消息检测方法。该方法首先利用n—gram技术将SIP消息映射至高维空间,利用样本属性的信息增益进行特征提取;然后基于C4．5决策树算法,根据特征属性的信息增益率构建决策树并对畸形SiP消息进行检测;最后定义了畸形SIP消息构造函数并构建相应样本数据集,对该方法进行了仿真验证。仿真结果表明,该方法对与正常消息相似度较高的畸形SIP消息具有94．8％的检测率。     

二进制文件同源性检测的结构化相似度计算

提出了一种利用二进制文件的结构化信息进行软件同源性相似度计算的方法.针对克隆软件的特点,设计了基本块签名,在文件-函数-基本块的层次化结构基础上,构建了基于基本块属性和结构化信息的基本块相似度度量,利用函数的结构化信息构建函数权重计算文件相似度,来衡量原文件和目标文件的同源性.针对常见克隆手段进行测试,对所提出的加权相似度算法与不加权算法、主流二进制比对工具的检测结果进行对比.结果表明,加权方法能更准确地衡量出2个文件的相似程度.     

基于改进解释树的三维物体分类

为了实现对未知三维物体的分类,提出了一种基于改进解释树的三维物体分类方法,将未知物体分到一组预先定义的物体类中.在该方法中,提出了一组新的、完善的三维物体形状特征及对应的约束,定义了有效的解释树约束搜索规则,能快速得到待分类物体和三维模型之间的匹配关系;设计了形状相似性度量计算算法,得到待分类物体与三维模型之间的形状相似度.该分类方法能实现多种类型的匹配计算,得到具有模型形状相似度排序的分类结果和未知物体所属的类别.大量的实验结果充分表明了该三维物体分类方法的良好性能.     

基于ELF静态结构特征的恶意软件检测方法

Linux平台的恶意软件检测方法目前研究较少,主要的分析手段和检测技术依然有很大的局限性。提出了一种基于ELF文件静态结构特征的恶意软件检测方法。通过对Linux平台ELF文件静态结构属性深入分析,提取在恶意软件和正常软件间具有很好区分度的属性,通过特征选择方法约减提取的特征,然后使用数据挖掘分类算法进行学习,使得能正确识别恶意软件和正常文件。实验结果显示,所使用分类算法能够以99.7%的准确率检测已知和未知的恶意软件,且检测时间较短,占用系统资源较少,可实际部署于反病毒软件中使用。     

基于随机森林算法的Android恶意行为识别与分类方法

针对当前Android恶意软件检测方法对检测出的恶意行为无法进行识别和分类的问题,提出基于随机森林（RF）算法的Android恶意行为的识别与分类方法. 该方法在对Android恶意软件的类型进行定义的基础上,利用融合多种触发机制的Android恶意行为诱导方法触发软件的潜在恶意行为;通过Hook关键系统函数对Android软件行为进行采集并生成行为日志,基于行为日志提取软件行为特征集;使用随机森林算法,对行为日志中的恶意行为进行识别与分类. 实验结果表明,该方法对Android恶意软件识别的准确率达到91.6%,对恶意行为分类的平均准确率达到96.8%.     

一种Android恶意软件检测模型

针对传统Android恶意软件检测方法检测精度较低等不足,提出一种基于双通道卷积神经网络的Android恶意软件检测模型。首先,提取应用程序的原始操作码序列并生成指令功能序列;然后,将两种序列分别作为卷积神经网络两个通道的输入迭代训练并调整各层神经元权重;最后,通过已训练的检测模型实现对Android恶意软件的检测。实验结果表明,该检测模型对恶意软件具有较好的检测分类精度和检测准确率。     

基于SVM的安卓恶意软件检测

为了有效检测恶意软件,减少恶意软件对安卓平台的安全造成的威胁,在对现有数据集分析研究的基础上,提出概率统计和特征抽取两种策略,分别用这两种策略对提取的特征进行降维处理,减少不确定性数据,再用线性支持向量机(support vector Machine, SVM)分类,模型训练时间缩短为原来的16.7%,并且检测未知恶意软件的准确率明显提高。将该降维策略在其他常用算法上进行试验,结果表明改进后的数据有助于提高这些算法的分类准确率。     

一种Android恶意行为检测算法

提出一种新的Android恶意行为检测算法,该算法使用系统调用序列和控制流序列表征Android应用程序的行为,通过分析已知恶意软件样本库,训练出一个恶意软件特征基和阈值,再计算Android应用程序与特征基的相似度,根据阈值判断目标是否为恶意软件.根据该算法,开发了一个Android恶意软件检测系统SCADect,并在华为U8860真机上对3 000个测试样本进行分类,准确率达到96.8%;针对包含混淆和加密操作的8簇237个恶意样本,该系统的检出率达到89%,明显优于工具Androguard.实验结果表明,SCADect能够抵抗混淆和加密攻击,提高恶意软件检测的准确率和降低误报率.     

基于属性相似度云模型的网络异常检测

针对网络异常检测虚警率偏高的问题,提出了一种基于属性相似度云模型的网络异常检测新方法。基于各属性对分类的不同贡献,结合数据对象空间和属性空间的相似度概念,给出了属性相似度和属性权重的计算方法,该方法可降低网络数据空间的维数,提高目标识别的准确率。试验表明,该方法具有先验知识需求少和参数容易确定的优点,能比较准确地检测出对网络数据的异常行为。     

基于合群度-隶属度噪声检测及动态特征选择的改进AdaBoost算法

为了提高AdaBoost集成学习算法的数据分类性能,提出基于合群度-隶属度噪声检测及动态特征选择的改进AdaBoost算法. 综合考虑待检测样本与邻居样本的相似度及与不同类别样本集的隶属关系,引入合群度和隶属度的概念,提出新的噪声检测方法. 在此基础上,为了更好地选择那些能够有效区分错分样本的特征,在传统过滤器特征选择方法的基础上提出通用的结合样本权重的动态特征选择方法,以提高AdaBoost算法针对错分样本的分类能力. 以支持向量机作为弱分类器,在8个典型数据集上分别从噪声检测、特征选择及现有方法比较3个方面进行实验. 结果表明,所提算法充分考虑了噪声样本和样本权重对AdaBoost分类结果的影响,相对于传统算法在分类性能上获得显著提升.