传统和深度学习方法在恶意软件检测中的应用

深度学习作为机器学习技术的拓展,凭借其自身强大的数据处理能力,在图像处理和语音识别等方面表现出色.在软件安全领域,恶意软件的威胁是软件领域主要安全风险之一,可以利用深度学习算法有效提升恶意软件的检测效率.基于此,分析传统和基于深度学习的恶意软件检测方法,验证了在传统的分析方式下融入深度学习模型框架,可以在大量恶意样本中训练出较好的检测模型,同时讨论了未来软件安全可能面临的主要挑战.     

基于人工神经网络的DGA僵尸网络检测

基于DNS协议的僵尸网络大多采用域名生成算法(domain generation algorithm,DGA),该算法可以随机改变域名来隐藏自身。与传统检测方法相比,基于机器学习的检测可以获得更好的检测结果。因此,提出了一种基于人工神经网络的僵尸网络检测体系结构,可以帮助在线安全卫士监控网络流量,区分DGA域和普通域,通过测试朴素贝叶斯模型和用DGA的正常特征或DGA的N-gram特征训练的人工神经网络(artificial neural network,ANN)模型并用真实的数据集实现并评估该解决方案的实用性。结果表明,采用人工神经网络的新模型能够更好地区分DGA的域,能够正确地处理更多的域。     

基于DNS日志的高级持续性威胁智能监测方法及应用

近年来,复杂环境下的高级持续性威胁(APT)防御逐渐成为网络安全关注的重点。APT攻击隐蔽性强,早期发现则危害性较小。文中提出的方法基于DNS日志深度挖掘,通过DGA域名智能检测,APT隧道智能检测等功能维度入手,从DNS日志角度提出APT防御的新思路,实现检测,监控,溯源等一体化功能。论文提出了基于Transformer神经网络和GRU融合算法检测恶意DGA域名和采用统计机器学习算法检测APT攻击通讯的DNS隧道,将早期网络安全防护预警扩展到DNS层面,弥补了网络安全措施对算法生成域名关注度的不足和DNS易被APT潜伏利用的漏洞。通过在实验环境中的深度测试,结果表明论文方法能够较好的应对日益严峻的互联网APT安全威胁。     

基于改进贝叶斯分类的Android恶意软件检测

针对Android手机安全受恶意软件威胁越来越严重这一问题,提出一种改进的Android恶意软件检测算法。监控从Android移动设备应用程序获取的多种行为特征值,应用机器学习技术,通过与卡方检验滤波测试结合的方式改进传统的朴素贝叶斯算法,检测Android系统中的恶意软件。通过实验仿真,结果表明在采取朴素贝叶斯分类模型之前,使用卡方检验过滤应用程序的行为特征,可以使基于Android的恶意软件检测技术拥有较低的误报率和较高的精度。     

异构并行的DGA域名检测方法

现有的DGA域名检测方式存在检测时间开销大、检测精度不高以及基于单词的DGA域名检测效果不佳等问题。经过研究发现,将域名先按照典型特征分类再进行更细致的特征提取,对于模型的准确率有一定的正向作用,且多类并行可以降低检测时间,此外对于较难检测的基于单词的DGA域名可以进行针对性处理。因此,文中提出了一种基于Word ninja分词技术的三路异构并行的DGA域名检测模型。先将域名分为三类,再针对每一类进行检测模型结构的搭建。对于字符级域名,通过人工提取特征来进行域名的有效分类。对于词根词缀级域名,采用FastTest进行子词之间、字符之间以及上下文之间关系的特征提取,再作为词向量嵌入。对于单词级域名,采用Word2Vec理解和处理词的含义和词之间的关系。最后,将文中方法和当前流行方法、多路异构并行模型和单路模型的检测结果进行比较评估,实验结果证明了提前分类的必要性以及多路并行的有效性。     

基于随机森林和XGBoost的网络入侵检测模型

为提高复杂网络环境中入侵检测模型的准确性和实时性,提出一种基于随机森林和极端梯度提升树（XGBoost）的网络入侵检测模型RF-XGB。首先针对随机森林算法计算特征重要性的特点,设计混合特征选择方法高效筛选出最有价值的特征子集;在XGBoost算法中引入代价敏感函数来提高对少样本类别的检测率,使用网格法调参降低模型复杂度。实验仿真结果表明,与其它机器学习算法相比,所提出的模型在具备更高检测精度的情况下减少了50%以上的处理时间,并在噪声影响下具有较好的鲁棒性和自适应性。      

基于组合机器学习算法的Android恶意软件检测

Android系统的开源特性使得应用市场缺乏完善的监管,严重影响移动用户的信息安全。然而,现有Android恶意软件检测方法主要依赖于恶意软件签名库,难以应对无签名的未知软件。为此,文中提出一种基于组合机器学习算法的Android恶意软件检测方法,该方法充分利用Android应用的多项属性特征,使用多个策略组合分析不同类型机器学习分类器的决策结果。实验结果表明,文中方法能够有效提高Android恶意软件检测的有效性和准确性。     

基于人工智能的威胁检测与防护系统

文中针对传统的基于签名匹配的威胁检测系统存在的局限,探讨了人工智能技术在网络安全防护中的应用。通过分析异常检测、恶意软件检测和自动化安全响应3个方面,阐明了机器学习和深度学习模型可以实现对未知威胁的检测和主动防御。研究认为,人工智能驱动的网络安全防护系统代表了技术发展的方向,但还需进一步的数据积累和模型优化,以实现更智能的商业安全产品的开发。     

基于机器学习动静态检测模型的恶意软件检测系统设计与实现

文章主要介绍了基于动静态检测模型的恶意软件检测系统的设计内容和实现策略。该系统主要由客户端、系统缓存以及恶意软件检测服务器构成,支持数据上传、数据处理和结果展示等功能。对于用户上传的文件,恶意软件检测系统首先判断文件格式、大小等是否符合规定,在确认符合规定后根据文件名提取静态或动态特征,然后使用基于机器学习的静态分析模型和基于深度学习的动态分析模型,对提取到的特征信息进行处理,根据处理结果预测恶意软件。系统设计人员使用Flask开发工具搭建系统框架并展开测试,结果表明文件上传检测和恶意软件检测功能均可正常实现,达到了设计预期。     

基于KNN分类算法的恶意软件检测

随着科技的发展,层出不穷的恶意软件对用户计算机系统的数据都构成了极大的威胁,如何准确、高效地检测出恶意软件是令人担忧的问题。几十年来,恶意软件检测已引起反恶意软件行业和研究人员的关注。面对日益复杂的恶意软件,需要新的防御技术来检测和打击新奇的攻击和威胁。人工智能、深度学习也为Windows恶意软件检测提供了新的技术。文章研究如何在现有的一些恶意软件检测方法的基础上,改进特征码的提取和检测模型算法,以提高恶意软件检测的准确度,保护用户计算机系统以及数据的安全性。     

基于XGBoost的DDoS攻击流量过滤算法

分布式拒绝服务（Distributed Denial of Service,DDoS）攻击是当今网络空间安全的主要威胁之一。现有DDo S攻击检测算法虽然能够准确告警,但无法响应攻击。提出了一种基于XGBoost的流量过滤算法,使用攻击检测生成流量样本标签,训练机器学习模型,实现过滤规则的实时更新。仿真实验结果表明,该方法可以有效过滤异常流量。     

基于GBDT算法的变电器重过载精准预测研究

为了实现变电器稳定安全的运行,解决设备预警的时效性差、精准度低、故障后抢修成本高等问题,文章基于配电设备历史运行数据和机器学习等相关知识,采用梯度提升树（GBDT）算法,对设备重过载情况进行预测。研究结果表明,建立设备运行状态智能感知模型和设备重过载预测模型,能够精准预测设备重过载现象,优化设备检修维护策略,降低设备检修维护成本,可实现保障电网经济运行的目的。     

基于DBN耦合模型的太阳辐照度模拟

在低碳经济的发展趋势下，太阳辐射的精确模拟对于光伏发电行业至关重要。影响太阳辐射的因素十分复杂，其与许多要素之间都存在复杂的非线性关系，这使得太阳辐射的模拟变得相对复杂。目前已有研究表明，机器学习模型能够很好地模拟太阳辐射，可挖掘出太阳辐射和各种影响因素之间的数学关系。文中基于支持向量回归（SVR）、随机森林（RF）、贝叶斯岭回归（BR）、梯度提升树（GBDT）、BP神经网络（BP）等五种机器学习模型，采用2020年1月—2021年4月位于河南的4个光伏发电站的真实卫星数据及地面观测数据进行机器学习建模以及地面太阳辐射模拟。由于传统单一模型的模拟精度较低，为提升模拟精度，通过引入DBN深度信念网络对五种模型模拟的结果进行二次建模，最终得到4个站点的高精度太阳辐射模拟值。研究结果表明，DBN耦合模型能够有效提取不同机器学习模型模拟结果的特征，其模拟效果和鲁棒性显著优于单一机器学习模型。     

基于GRU的Android恶意软件检测

本文为了提高Android恶意软件的检测效率,利用GRU模型解决标准RNN中出现的梯度消失问题和处理上下文具有长期依赖关系问题的能力,提出了基于GRU模型的Android恶意软件检测方法。对原始数据做标准化处理,将原始的数据集变化为特定尺寸的特征向量,可以用作深度学习网络模型的输入。使用Drebin数据集进行对照试验,对实验中特征向量进行降维处理,在全连接层实现归一化处理,最后在softmax分类,GRU层作为门控机制来保存代码数据间的依靠关系。对照实验结果表明,GRU模型与机器学习中的SVM模型以及单一的LSTM、DCNN模型相比,训练时间更短,检测结果中准确率、召回率、精确率、F1值都是最高的。     

基于双向LSTM的误植域名滥用检测方法

当前,误植域名检测主要以计算域名对之间的编辑距离为基础,未能充分挖掘域名的上下文信息,且对短域名的检测易产生大量的假阳性结果。采集域名相关信息进行判定虽然有助于提高检测效果,却会引入较大的额外开销.本文采用了基于域名字符串的轻量级检测策略,并引入双向长短时记忆模型（LSTM,Long Short-Term Memory）来充分利用域名上下文,提升检测效果.本文还设计了面向域名的局部敏感哈希函数,以提高在大规模域名集合上进行误植域名检测的速度.在大量真实数据集上的实验结果表明,本文的工作改进了基于编辑距离检测方法的不足,能够有效地进行误植域名滥用检测.     

基于YARA的Java内存马检测方案设计

随着互联网的发展,恶意软件逐渐成为威胁网络安全的重要因素。而Java内存马作为一种内存驻留的恶意软件,不仅具有隐蔽性高、易于传播等特点,还能够利用一些Java的高级特性实现更复杂的攻击行为,给网络安全带来更大的威胁。文章提出了一种基于YARA的Java内存马检测方案,通过向JVM中注入Agent将高风险类导出并通过YARA实现对Java内存中的恶意代码的检测和定位,再对该方法进行了实验验证。实验结果表明,该方案能够有效地检测Java内存马,具有较高的检测准确率和较低的误报率。     

基于动量方法的受限玻尔兹曼机的一种有效算法

深度学习给模式识别与机器学习带来了巨大的变化,已成功应用于语言处理、图像处理、信号处理、商业经济等方面.受限玻尔兹曼机（Restricted Boltzmann Machine,RBM）是一个表示能力强、很好的生成模型,多个RBM堆叠而构成的深度信念网络模型（Deep Belief Nets,DBN）的学习时间会较长.为加快整个DBN网络的学习时间和提高分类效果,本文提出基于动量方法RBM的一种有效算法.该算法在RBM预训练阶段,结合梯度上升算法特点采取快速上升的动量方式;以及BP算法微调阶段,为了能精确的找到最优点,结合梯度下降算法特点,相应的引入缓慢下降式的动量项,即在梯度上升和梯度下降过程中都使用不同的动量方式.本文算法在MNIST手写数字体和CMU-PIE人脸数据库上进行了实验,结果表明,提出的改进算法能够有效地增强图像特征的表达能力,提高图像的分类效果和实验效率.     

基于极端梯度提升法的漏缆周界入侵定位技术研究

基于泄漏电缆的周界入侵检测系统具有安全隐蔽、可随形敷设、全方位警戒、全天候工作等优势,并针对现如今市面上泄漏电缆入侵探测定位系统探测精度低,误报率高等问题,提出了一种基于机器学习的泄露电缆入侵检测定位技术,首先利用泄漏电缆对入侵数据进行采集并处理为多维输入特征量数据,采用极端梯度提升算法(XGBoost)模型对数据进行...     

半监督学习在恶意软件流量检测中的应用

恶意软件检测是保障网络安全、防止网络异常的关键技术之一。为了解决基于深度学习的恶意软件流量检测方法需要大量人工标注的有标签网络流量样本的问题,同时保持算法的检测精度,提出了一种基于半监督学习与网络流量的恶意软件检测方法,其利用少量有标签网络流量样本与大量无标签网络流量样本训练恶意软件检测模型。实验结果表明,所提出的方法在小样本流量环境中比一般的基于深度学习的恶意软件流量检测方法有更好的性能,可用于现实中有标签数据较少的恶意软件流量检测场景。     

基于Ngram+Bi-GRU的多家族恶意域名检测

针对现有恶意域名检测方法存在检测精度不高和检测范围局限等问题,提出一种基于Ngram+Bi-GRU的多家族恶意域名检测算法.首先,利用Ngram模型对去除顶级域名的剩余域名级进行分割,获取到包含上下文语义信息的多个域名字符片段序列,并将域名字符片段序列转换成向量;然后,利用双向门控循环型网络(Bi-Directional Gated Recurrent Unit,Bi-GRU)自动学习域名向量的特征;最后,利用Softmax分类器实现合法域名与恶意域名的分类.通过在360Netlab和Malware Domain List等多家族恶意域名集上进行测试,算法运行结果表明,本文模型可对19种家族恶意域名保持检测精度在93％以上,平均检测精度为94.92％,并与当前主流的基于域名字符特征的恶意域名检测算法相比,本文模型在保持检测精度较高的基础上具有更广的检测范围.