基于机器学习算法的Android恶意程序检测系统

对于传统的恶意程序检测方法存在的缺点,针对将数据挖掘和机器学习算法被应用在未知恶意程序的检测方法进行研究。当前使用单一特征的机器学习算法无法充分发挥其数据处理能力,检测效果不佳。文中将语音识别模型与随机森林算法相结合,首次提出了综和APK文件多类特征统一建立N-gram模型,并应用随机森林算法用于未知恶意程序检测。首先,采用多种方式提取可以反映Android恶意程序行为的3类特征,包括敏感权限、DVM函数调用序列以及OpCodes特征;然后,针对每类特征建立N-gram模型,每个模型可以独立评判恶意程序行为;最后,3类特征模型统一加入随机森林算法进行学习,从而对Android程序进行检测。基于该方法实现了Android恶意程序检测系统,并对811个非恶意程序及826个恶意程序进行检测,准确率较高。综合各个评价指标,与其他相关工作对比,实验结果表明该系统在恶意程序检测准确率和有效性上表现更优。     

基于程序基因的恶意程序预测技术

随着互联网技术日益成熟,恶意程序呈现出爆发式增长趋势。面对无源码恶意性未知的可执行文件,当前主流恶意程序检测多采用基于相似性的特征检测,缺少对恶意性来源的分析。基于该现状,定义了程序基因概念,设计并实现了通用的程序基因提取方案,提出了基于程序基因的恶意程序预测方法,通过机器学习及深度学习技术,使预测系统具有良好的预测能力,其中深度学习模型准确率达到了99.3%,验证了程序基因理论在恶意程序分析领域的作用。     

计算机程序基因技术初探

计算机程序基因技术是在恶意程序不断演化与检测识别技术的对抗博弈中发展起来的,传统的恶意程序检测技术已难以应对恶意程序的快速动态增长趋势,计算机程序基因技术开启了恶意程序检测分析的一个新的思路,从汇编指令层中萃取出计算机程序的真实行为意图,从而对程序进行分析和识别。根据给出的计算机程序基因的定义以及提取方法,可以找出计算机程序最本原的特征,有效提高新型的或变种的恶意程序的分析和检测效率。     

一种结合动态与静态分析的函数调用图提取方法

完整准确地提取函数调用图是基于函数调用图进行恶意程序相似性分析的基础。为此,提出一种动静结合的恶意程序函数调用图提取方法。在对程序进行静态反汇编的基础上抽取恶意程序的可执行路径,使用隐藏信息主动发现策略找出恶意程序中隐藏的指令和函数调用,采用动态反馈机制完成动静结合分析过程中的信息同步。实验结果表明,该方法能够有效应对各种恶意程序反分析技术,完整准确地提取出恶意程序的函数调用图。     

一种Android恶意程序检测工具的实现

目前,Android上恶意程序的识别主要通过静态检测,但普遍识别率不高。文章基于静态检测原理,使用了一种基于行为的检测方法,以变量跟踪以及函数等价匹配的方式来判断一个Android安装包中是否存在恶意行为,从而增大了静态检测的准确率。在文章中,以短信吸费程序为样本,实现了这种基于行为分析的恶意程序检测工具。并在测试中证明了它的有效性。     

基于XGBoost与Stacking融合模型的恶意程序多分类检测方法

当前在恶意程序多分类检测领域,传统静态和动态检测方法受反取证技术影响较大;在新型基于网络流量的检测方法中,由于各类恶意程序流量特征的相似性较大,使用人工提取的数据流特征和传统机器学习方法不能取得较高的准确率.针对上述问题,文章提出一种基于XGBoost与Stacking融合模型的恶意程序多分类检测方法.在获取目标恶意程...     

子图相似性的恶意程序检测方法

动态行为分析是一种常见的恶意程序分析方法,常用图来表示恶意程序系统调用或资源依赖等,通过图挖掘算法找出已知恶意程序样本中公共的恶意特征子图,并通过这些特征子图对恶意程序进行检测.然而这些方法往往依赖于图匹配算法,且图匹配不可避免计算慢,同时,算法中还忽视了子图之间的关系,而考虑子图间的关系有助于提高模型检测效果.为了解决这两个问题,提出了一种基于子图相似性恶意程序检测方法,即DMBSS.该方法使用数据流图来表示恶意程序运行时的系统行为或事件,再从数据流图中提取出恶意行为特征子图,并使用“逆拓扑标识”算法将特征子图表示成字符串,字符串蕴含了子图的结构信息,使用字符串替代图的匹配.然后,通过神经网络来计算子图间的相似性即将子图结构表示成高维向量,使得相似子图在向量空间的距离也较近.最后,使用子图向量构建恶意程序的相似性函数,并在此基础上,结合SVM分类器对恶意程序进行检测.实验结果显示,与其他方法相比,DMBSS在检测恶意程序时速度较快,且准确率较高.     

基于机器学习的网络入侵检测与防御系统设计

设计了一个基于机器学习的网络入侵检测与防御系统，以提高网络安全性和保护信息资产的完整性。针对当前网络环境中不断出现的安全威胁，传统的基于规则和签名的入侵检测系统已经显示出局限性。机器学习技术在处理大规模网络数据和实时分析方面具有独特的优势，可以提供更准确和灵活的入侵检测与防御能力。从机器学习的视角出发，分析了构建网络入侵检测与防御系统。     

基于textCNN模型的Android恶意程序检测

针对当前Android恶意程序检测方法对未知应用程序检测能力不足的问题,提出了一种基于textCNN神经网络模型的Android恶意程序检测方法.该方法使用多种触发机制从不同层面上诱导激发程序潜在的恶意行为;针对不同层面上的函数调用,采用特定的hook技术对程序行为进行采集;针对采集到的行为日志,使用fastText算...     

基于APP恶意程序检测——反欺诈功能设计

针对现阶段网络诈骗事件频发的社会现状，本文研究并设计了一套移动互联网反欺诈系统。系统所应用的技术方面，选用C语言进行底层开发，使用MSQL配合PHP语言进行Web前端开发，来完成基于APP恶意程序检测系统——反欺诈子系统的设计与实现，并将该系统成功地应用在移动互联网上。本文研究与设计的反欺诈系统主要强调其覆盖性、准确性和实时性的防御体系。通过部署该套反欺诈系统后，能够有效地降低不法分子对手机用户实施的诈骗，并可以详细地记录恶意欺诈行为。采用移动互联网反欺诈系统，大幅度地降低不法分子诈骗成功率，保护个人财产、信息安全，为现阶段移动互联网诈骗问题提供了良好的解决方案。     

基于带有惩罚因子的阴性选择算法的恶意程序检测模型

提出了一个基于带有惩罚因子的阴性选择算法的恶意程序检测模型.该模型从指令频率和包含相应指令的文件频率两个角度出发,对指令进行了深入的趋向性分析,提取出了趋向于代表恶意程序的恶意程序指令库.利用这些指令,有序切分程序比特串,模型提取得到恶意程序候选特征库和合法程序类恶意程序特征库.在此基础上,文中提出了一种带有惩罚因子的阴性选择算法(negative selection algorithm with penalty factor,NSAPF),根据异体和自体的匹配情况,采用惩罚的方式,对恶意程序候选特征进行划分,组成了恶意程序检测特征库1(malware detection signature library 1,MDSL1)和恶意程序检测特征库2(MDSL2),以此作为检测可疑程序的二维参照物.综合可疑程序和MDSL1,MDSL2的匹配值,文中模型将可疑程序分类到合法程序和恶意程序.通过在阴性选择算法中引入惩罚因子C,摆脱了传统阴性选择算法中对自体和异体有害性定义的缺陷,继而关注程序代码本身的危险性,充分挖掘和调节了特征的表征性,既提高了模型的检测效果,又使模型可以满足用户对识别率和虚警率的不同要求.综合实验...     

基于系统调用的异常入侵检测

监视程序行为是近年基于主机的异常入侵检测的研究热点,构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时,从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息,分析和比较了基于程序行为的异常检测技术,并对该项研究作了展望。     

一种检测网络攻击的方法

当今的网络攻击事件频繁发生,用户严重受到来自黑客攻击的威胁。因此为了出于保护用户的需要,网络安全人员不得不开发出多种网络安全措施。目前网络的安全设备主要有防火墙和入侵检测系统。入侵检测系统中有两种检测方法误用检测算法和异常检测算法。本文在参考了已有的误用检测算法后,提出了一种新的检测算法。该算法将某些智能性算法融入了其中。本文中首先通过计算未知程序的权值,通过权值的属性来判断该程序是恶意程序还是合法的程序,如果某种程序属于恶意程序,则再使用MMTD的算法对恶意程序的大小属性进行匹配,最后通过已知恶意程序的属性有未知程序属性的比较,最终来判断该网络攻击程序属于何种攻击手段。最后说明一点,本文提出的算法主要是针对变体攻击手段进行检测。     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

机器学习安全性问题及其防御技术研究综述

机器学习已经成为当前计算机领域研究和应用最广泛的技术之一,在图像处理、自然语言处理、网络安全等领域被广泛应用。然而,一些机器学习算法和训练数据本身还面临着诸多安全威胁,进而影响到基于机器学习的面部检测、恶意程序检测、自动驾驶汽车等实际应用系统的安全性。由目前已知的针对支持向量机(support vector machine,SVM)分类器、聚类、深度神经网络(deep neural networks,DNN)等多种机器学习算法的安全威胁为出发点,介绍了在机器学习的训练阶段和测试/推理阶段中出现的基于对抗样本的投毒、逃逸、模仿、逆向等攻击和隐私泄露等问题,归纳了针对机器学习的敌手模型及其安全评估机制,总结了训练过程和测试过程中的若干防御技术和隐私保护技术,最后展望了下一步机器学习安全研究的发展趋势。     

基于动态行为分析的网页木马检测方法

网页木马是一种在网页中插入攻击脚本,利用浏览器及其插件中的漏洞,使受害者的系统静默地下载并安装恶意程序的攻击形式.本文结合动态程序分析和机器学习方法,提出了基于动态行为分析的网页木马检测方法.首先,针对网页木马攻击中的着陆页上的攻击脚本获取行为,监控动态执行函数执行,包括动态生成函数执行、脚本插入、页面插入和URL跳转,并根据一套规则提取这些行为,此外提取与其相关的字符串操作记录作为特征.其次,针对利用堆恶意操作注入shellcode的行为,提出堆危险指标作为特征.最后从Alexa和VirusShare收集了500个网页样本作为数据集,用机器学习方法训练分类模型.实验结果表明：与现有方法相比,文中方法具有准确率高（96.94%）、能有效对抗代码混淆的干扰（较低的误报率6.1%和漏报率1.3%）等优点.     

基于最优反应均衡的传感网恶意程序传播抑制方法

为抑制传感网恶意程序传播,在考虑传感网恶意程序传播参与者"有限理性"的基础上,提出一种基于最优反应均衡的方法.根据传感网恶意程序传播过程中的博弈分析,建立传感网恶意程序传播阶段博弈模型以反应传感网恶意程序和传感网入侵检测系统之间的博弈交互过程.由参与者之间博弈交互持续进行的事实,建立传感网恶意程序传播重复博弈模型.使用最优反应均衡预测传感网恶意程序的行为以解决重复博弈纳什均衡解求解困难的问题,给出抑制传感网恶意程序传播的算法.实验分析了参与者基于最优反应均衡的策略,对所提出方法的有效性进行了验证.     

WLAN安全检测与评估系统的设计与实现

针对无线局域网存在的安全问题，设计并实现了无线局域网安全检测与评估系统。系统能够对基于802．11b的网络进行安全检测，结合漏洞扫描对网络安全性进行评估，给出评估报告及安全建议。     

基于运营商大数据的反欺诈模型研究与应用

针对日益增长的通讯诈骗案件防控需求,提出基于运营商大数据的反欺诈模型,用于识别欺诈用户.该模型利用运营商大数据对用户信息进行分析,提取电信欺诈行为的典型特征,并基于机器学习算法建立反欺诈模型.此外,根据360网络平台数据对模型性能进行评估,结果证明,该模型能有效识别欺诈用户,精度较高.     

基于混合特征的恶意安卓程序检测方法

安卓系统的恶意程序数量多且危害大,研究相应的检测方法是当前研究热点。现有方法仅单独提取语法或语义特征,难以准确刻画恶意程序的攻击意图。提出一种混合提取语法和语义特征的检测方法,语义特征为基于类抽象的污点传播路径集合,并结合权限声明和Intent-Action等语法特征,对特征规范化后应用K-means算法训练样本集生成恶意程序家族的特征向量,应用欧氏距离检测未知程序与特征向量的相似度。基于FlowDroid实现原型系统,对400个真实程序的分析结果表明该方法有较高的精确度。