基于关键点复用的恶意行为检测方法

针对恶意程序使用反虚拟执行技术,分析人员在虚拟环境中不能检测到恶意行为的问题,提出了基于关键点复用的恶意行为检测方法.首先通过静态分析,检测程序中的反虚拟执行关键点;提取程序动态运行时调用的API函数,并在程序运行至关键点时创建当前快照;最后,当运行至路径结束点时通过关键点复用运行另一路径.实验结果表明,该方法能有效对抗恶意程序采用的反虚拟执行技术,从而检测恶意行为.     

基于驾驶行为多元时间序列特征的愤怒驾驶状态检测

为了对"路怒症"进行有效干预,提出了一种基于驾驶行为的愤怒驾驶状态检测模型。在交通繁忙路段开展基于道路事件刺激的愤怒情绪诱导限时实验,获得驾驶人愤怒与中性情绪下的驾驶行为数据。运用分段线性表示方法拟合由方向盘转角与车辆横向位置组成的驾驶行为多元时间序列,并采用自底向上算法对该时间序列进行分段,提取各分段的斜率与时间间隔特征作为模型输入,建立基于支持向量机的愤怒驾驶状态检测模型。结果表明:模型的识别精度在10分段条件下达78.69%,较5分段、20分段分别高8.57%、4.85%。研究结果可为开发基于驾驶行为的愤怒情绪实时检测设备提供理论支持。     

基于沙箱技术的恶意代码行为检测方法

通过分析不同恶意代码的行为,讨论沙箱的分类模型和实现机制,提出了一种基于虚拟化沙箱技术恶意代码行为检测方法。该方法采用对x86汇编指令、Windows系统特性、内存布局等进行全面模拟方式,通过模拟疑似为可执行代码的输入的数据流,在模拟执行过程中有尝试调用敏感系统函数行为而实现恶意代码行为检测。测试结果表明,所提方法能够有效地检测恶意代码行为,为电子数据取证提供支持。     

一种新的仿真系统评估模式

仿真程序和仿真引擎之间的交互作用以及它们的动态行为通过传统仿真系统的V&V技术无法评估,为此规则常常会用于仿真系统的V&V技术,但引入规则后仍存在规则修改和管理困难的缺陷,针对此问题,提出了一个基于动态规则执行技术的仿真系统校核与验证模式.该模式中包含6类建模元素,约束被形式化描述为规则,通过规则引擎的执行检测在仿真执行期是否产生规则违反来判断仿真系统是否存在问题,从而实现对仿真系统的动态V&V.为仿真系统的评估提供了新思路,同时由于规则与系统的分离性也便于仿真系统的修正与完善.     

基于执行路径的嵌入式计量软件后门检测

方便高效的嵌入式计量软件后门检测是打击不法经营、加强计量监督的重要手段。在分析一般的软件后门检测方法和二进制可执行程序检测方法的基础上,针对一般软件后门检测方法的不足,提出了基于执行路径,通过动态运行二进制可执行程序,检测计量器具中是否存在通过作弊命令触发作弊行为的后门程序。首先定义了程序的执行路径,然后基于命令树设计了执行路径跟踪算法,最后通过例子说明了该方法的有效性。     

基于后验概率特征的改进无监督语音样例检测

针对现有无监督语音样例检测精度不高的现状,提出一种基于后验概率特征和主成分分析的方法。该方法首先利用无标注语料训练GMM,得到训练数据频谱参数的高斯混元后验概率特征向量序列;采用层次聚类算法检测其边界信息得到声学分段,利用K means算法对所有声学分段聚类并添加标签,通过声学分段和标签训练基于后验概率的声学分段模型(ASMs);ASMs将查询项与检索文档的高斯混元后验概率转换为新的后验概率,利用主成分分析方法对其优化处理,保持概率向量维数不变,去除噪声信息,提高后验概率特征向量鲁棒性与区分性;最后通过分段动态时间规整算法检索查询项。实验证明该方法的检索精度较现有方法有显著提升。     

弱引发三态加时变迁Petri多动态行为分析

中提出的弱引发三态加时Ｐｅｔｒｉ网比现有三态加时变迁Ｐｅｔｒｉ网更适于模拟分析一类具确定性时间约束和冲突结构的并发系统;给出其动态行为形式化描述与分析框架;基于此和受控执行概念,并结合实际并发系统的一类调度问题,研究其动态行为的一些性质,有关结构可用于优化并发系统的有限资源的配置。     

针对改进型Rootkit的检测系统设计

为了有效的检测改进型Rootkit,设计了一种基于优先启动的行为分析检测系统.该系统采用了基于权值系数的智能化行为分析技术,并采用优先启动技术弥补了行为分析技术中探针部署容易受到影响的缺陷.另外,系统在执行路径和总线上阻止Rootkit的非常规加载;设计了报表生成模块以与其它检测软件共享检测信息;采用了文件与进程双重保...     

弱引发三态加时变迁Petri网动态行为分析

文中提出的弱引发三态加时 Petri网比现有三态加时变迁 Petri网更适于模拟分析一类具确定性时间约束和冲突结构的并发系统 ;给出其动态行为形式化描述与分析框架 ;基于此和受控执行概念 ,并结合实际并发系统的一类调度问题 ,研究其动态行为的一些性质 .有关结果可用于优化并发系统的有限资源的配置     

基于语义的Android敏感行为静态分析方法

提出一种基于语义的Android敏感行为静态分析方法。该方法首先基于样本统计结果,利用精简Dalvik指令集作为本文分析的中间语言,实现对指令层的形式化语义描述;之后,基于中间语言发现检测样本中的敏感调用,并通过控制依赖关系追溯调用路径;最后,在控制流分析基础上,对存在敏感调用的路径约束求解路径条件。最终求解出具体后台行为及触发条件,揭示出样本后台行为的执行全过程。该方法缓解了符号执行中的路径爆炸问题,实验验证了该方法可以有效地对移动应用后台行为进行分析,并及时获取特征检测无法发现的未知移动恶意应用程序。     

基于敏感函数覆盖的恶意代码行为 并行分析技术研究

为提高恶意代码行为分析的效率,增加测试数据的有效性,提出了一种基于目标代码内部敏感行为函数覆盖的并行化恶意代码行为分析方法,运用静态分析进行输入点与敏感行为函数的识别与定位,将符号执行与动态执行分析相结合设计了并行化敏感路径搜索算法及敏感行为函数逼近技术,引导遍历目标代码内部敏感行为函数,进行恶意代码行为的并行化测试与分析。实验表明,与采用随机产生测试用例进行直接测试和使用全路径覆盖进行测试相比,该方法可以更加有效地产生测试数据,提高恶意代码行为的分析速度与效率。     

基于业务用户行为的计算机动态取证评估模型研究

对复杂信息系统的业务用户行为和网络取证进行了研究,结合木马技术提出了基于业务用户行为的计算机动态取证评估模型,该模型构建了基于云模型的业务用户行为定量评估方法。通过仿真实验验证了模型评估的合理性,同时验证了该模型能实时隐蔽地记录用户行为,并能确保将获取的信息反馈给取证控制端,为计算机动态取证的研究提供了一种可行的技术方案。     

社交网络中协同舆论欺诈检测方法应用研究

为了能够使网络空间提供更加可靠的信息,欺诈检测变得越来越重要,但现有的方法在检测欺诈用户时仅考虑了用户评论之间评论相同商品时形成的静态密集子图,而忽略了用户自身在评论时的异常行为,从而导致准确性较低,在实践中往往需要进一步手动验证检测结果的可靠性。针对此问题,提出了一种协同舆论欺诈检测(CPOFD)方法,该方法使用一种新的度量,即对比可疑度。该度量主要包括拓扑连接的信息,使得CPOFD方法能够通过拓扑连接、时间戳以及评分等信息有效检测欺诈者的异常行为,以更为聚合的方式检测欺诈群体。该度量强调了欺诈者和正常用户的动态对比,使得算法能够在拓扑连接、时间戳以及评分方面更为有效地检测欺诈者的异常行为。同时,CPOFD方法结合基于密度子图的聚类算法和决策树分类算法将社交网络中用户进行有效分组,且在聚簇分类时使用模拟退火算法进行剪枝优化,能更加简洁快速地寻找近似最优解,时间复杂度与欺诈者数量呈线性关系,具有较高的可扩展性。基于Yelp数据集的实验结果表明：CPOFD方法对欺诈舆论检测的准确度大多数在98%以上,验证了CPOFD方法的有效性。     

电子商务站点性能分析--多类队列网络客户行为模拟

提出了一种通过模拟用户行为来获取电子商务站点工作负荷参数的方法.利用客户状态转换模型,用图形直观地描述顾客在访问一个电子商务站点期间所执行的各个商务功能,以及各个功能之间的相互联系,并借助此模型得到对站点性能影响较大的主要商务功能.用多类开放队列网络模型对整个站点的主要商务功能进行模拟分析,找出性能瓶颈服务器.最后用多类封闭队列网络模型对该性能瓶颈服务器进行模拟分析,找出性能瓶颈组件.通过一个网上商店的例子证明,利用多类队列网络客户行为模拟法可以迅速地找到电子商务站点的性能瓶颈,从而指导站点的容量规划.     

基于随机森林算法的Android恶意行为识别与分类方法

针对当前Android恶意软件检测方法对检测出的恶意行为无法进行识别和分类的问题,提出基于随机森林（RF）算法的Android恶意行为的识别与分类方法. 该方法在对Android恶意软件的类型进行定义的基础上,利用融合多种触发机制的Android恶意行为诱导方法触发软件的潜在恶意行为;通过Hook关键系统函数对Android软件行为进行采集并生成行为日志,基于行为日志提取软件行为特征集;使用随机森林算法,对行为日志中的恶意行为进行识别与分类. 实验结果表明,该方法对Android恶意软件识别的准确率达到91.6%,对恶意行为分类的平均准确率达到96.8%.     

互连性层次聚类法在交易数据聚类分析中的应用

提出一种使用互连性度量聚类间相似度的层次聚类算法 ,并对算法中较为耗时的两步进行了修改 ,在不牺牲质量的前提下 ,提高了算法的运行速度 .通过分析交易数据的实际聚类 ,可得到合理的市场分段 ,预测顾客购买行为 .实验结果表明 ,该方法具有良好的挖掘效果 .     

基于图论和FSM的UML模型与代码一致性检测

提出了一种基于图论和有限状态机（FSM）的统一建模语言（UML）模型与代码一致性检测方法.给出了该方法的基本思路;分别讨论了UML模型与代码静态一致性检测和动态一致性检测算法;实现了该检测方法的支撑工具,并使用该工具对C++项目UMLChecker 1.0进行了检测.实验结果表明,所提方法可对UML模型与代码的一致性进行检测,且具有较高的检测精度.通过对静态行为和动态行为的一致性检测可知,检测精度明显提升.     

一种基于小波特征的跌倒行为检测方法

针对跌倒行为检测方法对疑似跌倒行为存在误报问题,提出一种基于小波特征的跌倒行为检测方法。通过小波分解将原始合成加速度信号分解为不同频率的子信号,从这些子信号的低频近似系数中提取小波能量、波峰平均值和波峰个数作为特征,使用决策树分类器进行分类,从疑似跌倒行为和跌倒行为中识别出跌倒行为。对比实验结果表明,该方法提高了跌倒行为识别的准确率,降低了误报率。     

程序可疑模式发现方法研究

由于面向对象程序的动态执行特征,传统测试方法不能很好地描述和分析对象状态,这就影响了对面向对象程序进行故障定位的准确性.针对此问题,基于模式的概念和序列模式的方法,提出采用对象生存期行为模型来刻画对象行为特征,并基于此模型来定义程序行为模式;然后,基于程序行为模式设计了程序可疑模式的发现框架,包括数据准备过程、模式提取...     

基于会话流聚合的隐蔽性通信行为检测方法

采用隐蔽技术对抗安全检测并实现长期潜伏与信息窃取的网络攻击已成为当前网络的重大安全问题。目前该领域面临3个难题:1）攻击本身的强隐蔽性使其难以检测;2）高速网络环境中的海量通信数据使检测模型难以细粒度构建;3）隐蔽通信的持续性和复杂性使标签数据缺乏进而加大了模型的构建难度。针对上述3个问题,该文在对长时间的校园网流量进行大数据统计分析的基础上,对基于隐蔽会话的隐蔽性通信行为进行了描述和研究,提出了一种隐蔽性通信行为检测方法。该方法首先通过并行化会话流聚合算法聚合原始会话流,然后从集中趋势和离散程度的角度刻画隐蔽通信行为,并引入标签传播算法扩展标签数据,最后构建多分类检测模型。通过仿真和真实网络环境下的实验,验证了方法对隐蔽性通信行为的检测效果。