基于签名与数据流模式挖掘的Android恶意软件检测系统

随着Android软件开发和维护的不断增多,以及恶意软件的抗检测能力逐渐增强,主流的静态检测方法开始面临一些问题:签名检测虽然检测速度快,但是对代码混淆、重打包类的恶意软件的检测能力不强;基于数据流的检测方法虽然精度高,但检测效率低。针对上述技术存在的缺点,提出了一种混合型静态检测系统。该系统改进了多级签名检测方法,通过对method与class签名进行多级匹配,提高了对代码混淆类恶意软件的检测能力。系统还改进了传统数据流分析技术,通过数据流模式挖掘,找出恶意软件频繁使用的数据流模式,省去了人工确认环节,提高了数据流分析的自动化程度与效率。两种技术的结合使得系统在检测精度与效率两方面达到一个合理的折中点。实验结果表明,该系统对于代码混淆和重打包的恶意软件具有较好的检测能力,对主流恶意软件的检测精确度达到88%。     

分布式数据流挖掘的研究进展

随着通信技术和硬件设备的不断发展,尤其是小型无线传感设备的广泛应用,数据采集和生成技术变得越来越便捷和趋于自动化,研究人员正面临着如何管理和分析大规模动态数据集的问题。能够产生数据流的领域应用已经非常普通,例如传感器网络、金融证券管理、网络监控、Web日志以及通信数据在线分析等新型应用。这些应用的特征是环境配备有多个分布式计算节点;这些节点往往临近于数据源;分析和监控这种环境下的数据,往往需要对挖掘任务、数据分布、数据流入速率和挖掘方法有一定的了解。综述了分布式数据流挖掘的当前进展概况,并展望了未来可能的、潜在的专题研究方向。     

图卷积网络的抗混淆安卓恶意软件检测

自安卓发布以来,由于其开源、硬件丰富和应用市场多样等优势,安卓系统已经成为全球使用最广泛的手机操作系统。同时,安卓设备和安卓应用的爆炸式增长也使其成为96%移动恶意软件的攻击目标。现存的安卓恶意软件检测方法中,忽视程序语义而直接提取简单程序特征的方法检测速度快但精确度不理想,将程序语义转换为图模型并采用图分析的方法精确度高但开销大且扩展性低。为了解决上述挑战,本文将应用的程序语义提取为函数调用图,保留语义信息的同时采用抽象API技术将调用图转换为抽象图以减少运行开销并增强鲁棒性。基于得到的抽象图,以Triplet Loss损失训练构建基于图卷积神经网络的抗混淆安卓恶意软件分类器SriDroid。对20246个安卓应用进行实验分析之后,发现SriDroid可以达到99.17%的恶意软件检测精确度,并具有良好的鲁棒性。     

恶意软件及其检测方法

文章首先对计算机恶意软件作一概论,针对恶意软件的特点,种类,介绍恶意软件主要的检测技术,在此基础上,针对基于免疫原理的恶意软件检测方法,论述了其原理、特点、发展,并提出了自己的一种实现方法,该方法通过采用程序运行时所产生的IRP序列与检测器的匹配,可实现对绝大多数"非己"成份的判别,从而达到未知恶意软件的检测目标。     

Android恶意软件检测方法综述

Android系统是市场占有率最高的移动端操作系统,然而Android系统上的恶意应用种类和数量疯狂增长,对用户构成极大的威胁,因此对Android系统恶意软件检测方法的研究具有非常重要的意义.分析Android系统的安全机制,介绍Android恶意软件的分类,总结恶意软件的攻击技术,研究目前的检测方法,比较各类方法的典型系统,列举当前主流厂商的安全软件技术,分析当前研究中存在的问题,对未来恶意软件的检测方向进行展望.     

数据流挖掘技术及其在仿真中的应用

随着仿真系统复杂程度的增加和规模的增大,仿真时间越来越长,仿真所产生的数据量越来越大,使得仿真数据具有数据流的特性,因此可以采用数据流挖掘技术处理仿真数据.综述了数据流和数据流挖掘技术的主要特点;提出了基于数据流挖掘技术的仿真应用框架;设计了通用数据流挖掘成员,以便能够快速将数据流挖掘算法集成到基于HLA体系结构的仿真系统中,并以导弹突防仿真系统为例介绍了所设计的通用数据流关联规则挖掘成员.     

数据流挖掘方法研究

由于数据流不同于传统静态数据的特点,对其进行有效的分析和挖掘遇到了极大的挑战。本文对近年来数据流挖掘方面的进展进行了综述,介绍数据流的基本概念、数据流模型和对数据流的概要描述,总结数据流挖掘中常用的算法,最后结合其在不同领域中的应用对数据流挖掘的意义进行分析。     

单时序特征图卷积网络融合预测方法

近年来,图神经网络逐渐成为深度学习领域广泛讨论的话题和研究的重点,但大多数研究都是基于图节点,在存在多维属性的前提下进行分类和回归预测,对单时序特征的图节点预测并不能产生理想的效果。本文提出一种时序图卷积网络算法,可以在复杂图网络中,只根据节点单一特征的时序序列,实现对该特征的预测。算法通过在传统图卷积网络中对邻接矩阵参数化,解决单一特征条件下的参数退化问题,并结合长短时记忆网络的序列学习方法,将时序信息融入到训练过程中,提高训练精度。在交通流量数据集PeMS和Los上的实验表明,其预测精度要优于GCN、T-GCN、GRU、LSTM等主流算法。     

时序感知的异质图神经谣言检测

近年来,在线社交媒体的发展大大加速了谣言的滋生和传播,谣言的危害性使得谣言的自动检测技术受到研究学者的广泛关注.本文同时考虑事件与事件之间的全局结构关系以及事件内部消息传播的时序关系,以异质图为载体共同显式建模两种关系,提出一种新的时序感知的异质图神经谣言检测模型.该模型利用时序感知的自注意力机制捕获事件内部转发(或评论)贴之间的时序关系,并将具有时序信息的转发(或评论)贴与源贴融合,得到事件的局部时序表征;接着利用元素级注意力机制捕捉事件与事件之间的全局结构关系,学习事件的全局结构表征;最后将二者融合用于检测谣言.实验结果表明,该模型优于大多数现有模型,可以提高谣言检测性能,并且同样具有优秀的早期检测性能.     

一种基于序列挖掘的网络入侵检测新方法

网络入侵检测是信息安全重要的研究问题。近年来,这方面的研究取得了很多很好的成果,但大部分方法面临检测率不高的特点。基于异常的入侵检测通常是人为选择网络连接属性,这些属性在正常和异常时具有比较明显的区别,以此来判断未知的网络连接正常与否。该方法具有一定的随机性,从而影响检测率。首先提出一种基于正常网络连接序列内在规则的属性选择算法,实现属性选择的自动化,并同时将多维序列压缩到一维序列;其次使用序列挖掘的方法训练网络连接得到正常规则库,然后利用正常网络连接规则库判断新的网络连接是否正常;最后,在KDD99数据集上进行试验,结果显示,算法检测率较高。     

在字符权图中挖掘关联规则

为了提高关联规则挖掘效率,在挖掘频繁项目集的同时,挖掘出包含频繁项目集的事务集,提出了基于字符权图的关联规则挖掘算法。首先,提出了字符权图的概念,发现和证明了它的一些性质。基于此,提出了挖掘频繁项目集及包含频繁项目集的事务集的算法。时间和空间复杂性的分析表明,该算法是合理和高效的。     

基于图神经网络的代码漏洞检测方法

使用神经网络进行漏洞检测的方案大多基于传统自然语言处理的思路,将源代码当作序列样本处理,忽视了代码中所具有的结构性特征,从而遗漏了可能存在的漏洞.提出了一种基于图神经网络的代码漏洞检测方法,通过中间语言的控制流图特征,实现了函数级别的智能化代码漏洞检测.首先,将源代码编译为中间表示,进而提取其包含结构信息的控制流图,同...     

基于图的数据挖掘在入侵检测系统中的应用

网络入侵检测系统(IDS)是保障网络安全的有效手段，但目前的入侵检测系统仍不能有效识别新型攻击，根据国内外最新的图数据挖掘理论，设计一个特征子图挖掘算法，并将其应用到入侵检测系统中，该算法挖掘出正常的特征子结构，与之偏离的子结构为异常结构。实验结果表明，该系统在识别新型攻击上具有较高检测率。     

基于图卷积网络融合依存信息的事件检测方法

句子级别细粒度的事件检测任务旨在对触发词进行识别与分类。针对现有事件检测方法中存在的过度平滑及缺乏依存类型信息的问题,提出了一种基于图卷积网络融合依存信息的事件检测方法。该模型首先使用双向长短期记忆网络对句子进行编码,同时根据依存分析构建多阶句法图和依存句法图;然后利用图卷积网络融合句子的依存信息,从而有效地利用多跳信息和依存标签信息。在自动文本抽取数据集上进行实验,在触发词识别和分类这两个子任务中分别取得了81.7%和78.6%的F1值。结果显示,提出的方法能更加有效地捕获句子中的事件信息,提升了事件检测的效果。     

基于路径序列相似度判别的程序克隆检测方法

代码克隆是软件系统中常见现象。将程序代码通过静态分析,转换为由程序结点构成的路径执行序列,通过结点属性的定义,将程序代码相似度检测转化为离散序列距离,折线模型和序列相关度问题,针对上述三种模型计算不同代码执行路径间相似度,最终得出程序间克隆相似度。经过实验和数据分析,验证该方法的可行性。     

引入知识表示的图卷积网络谣言检测方法

在谣言检测的问题上,现有的研究方法无法有效地表达谣言在社交网络传播的异构图结构特征,并且没有引入外部知识作为内容核实的手段。因此,提出了引入知识表示的图卷积网络谣言检测方法,其中知识图谱作为额外先验知识来帮助核实内容真实性。采用预训练好的词嵌入模型和知识图谱嵌入模型获取文本表示后,融合图卷积网络的同时,能够在谣言传播的拓扑图中更好地进行特征提取以提升谣言检测的精确率。实验结果表明,该模型能够更好地对社交网络中的谣言进行检测。与基准模型的对比中,在Weibo数据集上的精确率达到96.1%,在Twitter15和Twitter16数据集上的F1值分别提升了3.1%和3.3%。消融实验也表明了该方法对谣言检测皆有明显提升效果,同时验证了模型的有效性和先进性。     

基于多数据流分析的木马检测方法

传统基于单数据流的木马检测方法在实际应用中具有较高的误报率,为此提出一种基于多数据流分析的木马检测方法.通过对应用程序的数据流进行聚类形成数据流簇,在数据流簇上提取相应属性特征描述木马的通信行为,并采用集成学习方法对改进的C4.5决策树分类算法进行多轮训练,生成检测规则,建立检测模型.实验表明,基于多数据流分析的木马检测方法有效降低了传统基于单数据流检测的误报率,并且对无控制端的木马通信数据流具有较好的检测能力,产生的重复报警信息也大大减少,提高了基于数据流的木马检测方法的实用性.     

Meta-path-based outlier detection in heterogeneous information network

Mining outliers in heterogeneous networks is crucial to many applications,but challenges abound.In this paper,we focus on identifying meta-path-based outliers in heterogeneous information network(HIN),and calculate the similarity between different types of objects.We propose a meta-path-based outlier detection method(MPOutliers)in heterogeneous information network to deal with problems in one go under a unified framework.MPOutliers calculates the heterogeneous reachable probability by combining different types of objects and their relationships.It discovers the semantic information among nodes in heterogeneous networks,instead of only considering the network structure.It also computes the closeness degree between nodes with the same type,which extends the whole heterogeneous network.Moreover,each node is assigned with a reliable weighting to measure its authority degree.Substantial experiments on two real datasets(AMiner and Movies dataset)show that our proposed method is very effective and efficient for outlier detection.     

聚类和时间序列分析在入侵检测中的应用

入侵检测通过收集各种网络数据,从中分析和发现可能的入侵攻击行为。聚类算法是一种无监督分类方法,能够很好地用于入侵检测。提出一种基于聚类分析和时间序列模型的异常入侵检测方法,该方法不需要手动标示的训练数据集就可以探测到很多不同类型的入侵行为。实验结果表明,该方法用于入侵检测具有较高的检测率和较低的误报率。