一种Android恶意行为检测算法

提出一种新的Android恶意行为检测算法,该算法使用系统调用序列和控制流序列表征Android应用程序的行为,通过分析已知恶意软件样本库,训练出一个恶意软件特征基和阈值,再计算Android应用程序与特征基的相似度,根据阈值判断目标是否为恶意软件.根据该算法,开发了一个Android恶意软件检测系统SCADect,并在华为U8860真机上对3 000个测试样本进行分类,准确率达到96.8%;针对包含混淆和加密操作的8簇237个恶意样本,该系统的检出率达到89%,明显优于工具Androguard.实验结果表明,SCADect能够抵抗混淆和加密攻击,提高恶意软件检测的准确率和降低误报率.     

基于卷积神经网络的电子鼻分类识别

在混合气体识别的研究中,针对目前电子鼻应用于化工污染物种类监测时难以达到理想精度的问题,提出了一个基于卷积神经网络的气体分类识别算法.首先利用卷积神经网络的自适应特征提取能力,有效降低原始数据对后续操作的影响;其次进行多次实验训练,对卷积神经网络进行参数优化,提高网络模型性能;最后将提出的卷积神经网络算法与BP神经网络算法分别应用于加州大学公开数据集中一氧化碳和乙烯混合气体的实验数据中.实验结果表明,卷积神经网络算法对此数据集的气体种类检测准确率达到93%,比BP神经网络算法应用于气体识别时精度更高、误差更小,为电子鼻系统气体种类检测提供了一种新的方法.     

基于API调用序列的Android恶意代码检测方法研究

目前Android恶意代码泛滥,而传统的静态检测方法虽无需执行代码、效率高,但无法应对经过加固保护的恶意软件,以及被混淆的代码.因此,提出一种基于动态API调用序列的Android恶意代码检测方法.通过Xposed框架构建监控模块,将函数调用作为检测对象,直接对Android系统敏感API调用进行监控.随后,将收集到的函数调用序列作为特征,采用主题模型对其进行建模以及构建分类器,并且利用N-gram扩大模型的单词空间,提高模型的预测能力以及语义表达能力.最后通过机器学习的方法,对数据集进行分类,从而达到检测的目的.实验表明:提出的方法可以有效地检测出恶意应用的行为,并且有较高的检测精度.     

基于卷积神经网络的无人机遥感影像农村建筑物目标检测

将深度学习应用于遥感影像目标识别,提出基于卷积神经网络的无人机遥感影像农村建筑物的目标检测方法,用端到端的方式训练Faster R-CNN网络模型,并应用于农村建筑物的快速精确识别.该方法包括基于RPN网络的区域建议和基于Inception v2的卷积神经网络模型训练.为了训练和测试模型,通过无人机采集南疆地区的农村建筑物遥感影像,并人工标注建立了农村建筑物的数据集,在TensorFlow深度学习框架上通过对该数据集目标检测验证了模型.结果表明,基于改进的卷积神经网络目标检测方法对无人机遥感影像进行快速准确识别的总体精度超过90%,通过初始参数更新,模型收敛更快,对无人机遥感影像地物分类和目标识别具有一定的参考意义.     

基于牛顿插值和神经网络的时间序列预测研究

在时间序列法基础上应用插值理论和神经网络建立一种新的预测模型。首先采用插值法拟合历史 销售数据并求出大量的数据训练神经网络, 弥补了历史数据缺乏的问题;然后用训练好的神经网络代替传统的最小 二乘法拟合时间序列因素, 从而求出预测值。仿真结果表明, 此模型能够有效地改善模型的拟合能力并提高预测精 度。     

卷积神经网络在核小体定位识别中的应用

为更准确识别核小体定位,本文提出一种基于Z曲线理论(Z-Curve)的卷积神经网络(CNN)方法,称为ZCN方法.ZCN方法以Z曲线三维坐标矩阵表示核小体序列特征,通过十倍交叉验证,进行卷积神经网络方法进行模型训练和验证,使用标准评估指标进行性能评价.结果表明:ZCN方法在酵母中具有良好的识别效能,敏感性Sn、准确性S...     

一种多尺度嵌套卷积神经网络模型

卷积神经网络模型要求训练图像与测试图像在空间尺度上一致.为弱化这一限制,对卷积层特征提取器进行多尺度改进,提出了一种尺度不变卷积神经网络模型,以自动适应输入图像在平面空间上的尺度变化.同时,将多层Maxout网络嵌入新模型中,以进一步提高特征提取能力,提高图像识别与分类的准确性.实验测试结果表明,该模型提高了传统卷积神经网络模型的尺度不变性和分类精度.     

基于C-GRU的微博谣言事件检测方法

提出基于卷积-门控循环单元(convolution-gated recurrent unit, C-GRU)的微博谣言事件检测模型。结合卷积神经网络(convolutional neural networks, CNN)和门控循环单元(gated recurrent unit, GRU)的优点,将微博事件博文句向量化,通过CNN中的卷积层学习微博窗口的特征表示,将微博窗口特征按时间顺序拼接成窗口特征序列,将窗口特征序列输入GRU中学习序列特征表示进行谣言事件检测。在真实数据集上的试验结果表明,相比基于传统机器学习方法、CNN和GRU的谣言检测模型,该模型有更好的谣言识别能力。     

基于小波神经网络的水文时间序列预测

复杂时间序列预测是时间序列分析的主要研究内容之一,已成为一个具有重要理论和实际应用价值的热点研究领域。基于小波和神经网络组合模型,提出一种多因子小波预测模型以提高水文时间序列的预测精度。并根据不同小波函数对水文时间序列数据的适应性,提出了一种基于加权相关系数的小波函数选择准则。以国家重要水文站淮河王家坝站汛期的日流量时间序列预测为例,对各种常用小波函数进行了实验。结果发现选择得到的Haar小波和B3 spline小波函数预测精度较高,从而验证了小波函数选取准则的有效性;通过和传统单序列小波神经网络模型比较,发现提出的多因子小波神经网络模型的预测合格率在不同预见期均提高了10％以上,并且对洪水高流量方向预测合格率提高了15％。     

基于CNN的Android恶意代码检测方法

针对传统Android恶意应用检测技术无法对当前爆发增长的恶意应用进行高效检测,对移动终端安全造成严重威胁的问题,利用深度学习中卷积神经网络(convolutional neural network,CNN)的分类算法,设计并实现了一种基于静态权限特征的恶意应用检测方案.首先,对Android应用包反编译获取AndroidManifest.xml文件,从中提取出应用申请的系统权限;然后,根据权限危险级别将权限列表特征化,获得权限特征数据集,进而,对CNN多次训练,获得应用类别分类器;最后,用分类器判断应用是否包含恶意代码.实验结果表明,检测方案的准确率达到98.8%,能够高效判断Android平台中的恶意应用,降低安全威胁.     

基于随机森林算法的Android恶意行为识别与分类方法

针对当前Android恶意软件检测方法对检测出的恶意行为无法进行识别和分类的问题,提出基于随机森林（RF）算法的Android恶意行为的识别与分类方法. 该方法在对Android恶意软件的类型进行定义的基础上,利用融合多种触发机制的Android恶意行为诱导方法触发软件的潜在恶意行为;通过Hook关键系统函数对Android软件行为进行采集并生成行为日志,基于行为日志提取软件行为特征集;使用随机森林算法,对行为日志中的恶意行为进行识别与分类. 实验结果表明,该方法对Android恶意软件识别的准确率达到91.6%,对恶意行为分类的平均准确率达到96.8%.     

基于SVM的安卓恶意软件检测

为了有效检测恶意软件,减少恶意软件对安卓平台的安全造成的威胁,在对现有数据集分析研究的基础上,提出概率统计和特征抽取两种策略,分别用这两种策略对提取的特征进行降维处理,减少不确定性数据,再用线性支持向量机(support vector Machine, SVM)分类,模型训练时间缩短为原来的16.7%,并且检测未知恶意软件的准确率明显提高。将该降维策略在其他常用算法上进行试验,结果表明改进后的数据有助于提高这些算法的分类准确率。     

基于ELF静态结构特征的恶意软件检测方法

Linux平台的恶意软件检测方法目前研究较少,主要的分析手段和检测技术依然有很大的局限性。提出了一种基于ELF文件静态结构特征的恶意软件检测方法。通过对Linux平台ELF文件静态结构属性深入分析,提取在恶意软件和正常软件间具有很好区分度的属性,通过特征选择方法约减提取的特征,然后使用数据挖掘分类算法进行学习,使得能正确识别恶意软件和正常文件。实验结果显示,所使用分类算法能够以99.7%的准确率检测已知和未知的恶意软件,且检测时间较短,占用系统资源较少,可实际部署于反病毒软件中使用。     

面向Android支付破解应用的检测方法

Android破解应用存在侵犯合法软件权益和传播恶意代码的风险.为有效检测Android平台上的支付破解应用,提出一种基于机器学习的检测方法.针对反汇编的字节码文件构建了支付语义信息调用控制流和支付数据库操作函数集,通过n-gram和重复代码子块长度统计方法构造相应特征集,最后构建带决策机制的多分类器检测模型以识别Android应用中不同的支付破解行为.实验结果表明,所提检测方法的模型检测精确率为85.24%,AUC值为0.87,与同类方法相比,对支付破解类应用的检测率有显著提高,有效解决了支付破解应用的检测问题.     

Android恶意程序行为分析系统设计

提出了一种基于行为的Android恶意程序分析系统（nDroidAS）设计. nDroidAS加入客户端组件监控用户设备上的Android安装包（APK）安装操作,以及时分析待安装应用程序. 服务器端在虚拟环境中安装、运行应用程序,执行动态行为分析检出恶意程序;同时,抓取互联网中的APK程序包并提前分析,建立结果缓存,加快对用户分析请求的响应. 构建了简化的nDroidAS原型系统,分析了部分APK程序样本. 验证结果表明：nDroidAS能有效监控Android设备中的APK安装操作并及时响应客户端分析请求,是一种可行的恶意程序行为分析系统方案.     

Android运行时恶意行为检测模型研究

为实现Android应用程序恶意行为的有效分析,提出了基于HMMs-SVM的程序行为分类模型,将隐马尔可夫模型（HMM）和支持向量机（SVM）相结合,以动态行为序列作为关键特征,对移动应用软件运行中的网络收发、文件访问等行为建模. 该模型融合了HMM和SVM的优势,并克服了二者的不足,适合于在获取连续动态行为特征序列后进行行为分类. 实验结果表明,该方法分析召回率较高,可以有效对应用中的异常行为进行捕捉,并可以将其按类型分类.     

基于肯定选择分类算法的恶意代码检测方法

针对恶意代码,尤其是顽固、隐匿的未知恶意代码危害日益加剧的问题,提出一种基于肯定选择分类算法的恶意代码检测方法.将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算具有最大信息增益的N个n-gram的词频,并做归一化处理,采用改进的肯定选择分类算法进行分类.该方法保留了肯定选择分类算法高分类准确率的优点,优化了分类器训练过程,提高了训练和检测效率.结果表明,该方法的检测效果优于朴素贝叶斯、贝叶斯网络、支持向量机和C4.5决策树等算法.     

采用LSTM模型的Android应用行为一致性检测

针对Android应用数目庞大、功能多样而难以准确验证应用实际类别的情况,对Andriod应用的网络行为进行分析研究,提出应用的行为一致性理论,并实现一种基于网络行为一致性验证的LSTM分类模型.通过构造不同场景事件组合来触发不同功能类别应用运行时的网络行为,提取有效的网络特征构建成网络事件行为时序序列,并设计带有特殊输入结构的LSTM循环神经网络模型,对网络事件行为时序序列中潜在的行为模式进行学习与建模.实验验证结果表明,Android应用样本具有行为一致性;所提出的LSTM网络模型能有效地学习与归纳不同类别应用的网络行为模式;最优模型的平均分类准确性可达92.58%,优于常见的面向Android应用的机器学习分类模型.     

云计算下手机人工免疫恶意代码检测模型

提出一种适用于云计算环境的基于人工免疫的手机恶意代码检测模型。提出扩展阴性选择算法,提取恶意代码的特征编码生成抗原,增加针对高亲和度检测器的克隆和变异算子,提高成熟检测器的生成效率,在特征检测和检测器生成阶段引入MapReduce并行处理机制,提高计算效率。仿真结果表明,检测模型对未知手机恶意代码具有较高的检测率和计算效率。