共查询到20条相似文献,搜索用时 765 毫秒
1.
2.
3.
4.
5.
基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检测方法的检测。针对该问题,提出了基于恶意API调用序列模式挖掘的恶意代码检测方法MACSPMD。首先,使用真机模拟恶意代码的实际运行环境来获取文件的动态API调用序列;其次,引入面向目标关联挖掘的概念,以挖掘出能够代表潜在恶意行为模式的恶意API调用序列模式;最后,将挖掘到的恶意API调用序列模式作为异常行为特征进行恶意代码的检测。基于真实数据集的实验结果表明,MACSPMD对未知和逃避型恶意代码进行检测的准确率分别达到了94.55%和97.73%,比其他基于API调用数据的恶意代码检测方法 的准确率分别提高了2.47%和2.66%,且挖掘过程消耗的时间更少。因此,MACSPMD能有效检测包括逃避型在内的已知和未知恶意代码。 相似文献
6.
7.
把恶意代码转成灰度图,再用深度神经网络自主学习灰度图的特征给恶意代码检测提供了新的思路,但是恶意代码图像化方案就是无差别地把恶意代码转换后的灰度图进行识别,该方法存在样本大小不一且由于采用裁剪而丢失恶意代码的信息和提取特征单一抗混淆能力不足等缺点,本文采用N-grams和灰度图特征融合的方法检测恶意代码,解决了不同恶意... 相似文献
8.
《计算机应用与软件》2015,(8)
针对恶意代码分析检测中静态分析技术难以检测变形、多态代码的问题,提出一种提取恶意代码语义动态特征的方法。该方法在虚拟环境下提取恶意代码动态特征,从而达到保护物理机的目的,提取出的原始特征经过进一步的筛选处理,得到各个代码样本的API调用序列信息。为了使得特征更加有效,改进传统n-gram模型,添加n-gram频次信息以及各API间的依赖关系,构建改进的n-gram模型。实验结果分析部分采用机器学习方法,分别使用了决策树、K近邻、支持向量机、贝叶斯网络等分类器对选定的样本特征进行10折交叉验证。实验结果显示该特征选取在决策树J48下的检测效果最好,可以有效检测采用混淆、多态技术的恶意代码。 相似文献
9.
10.
《计算机应用与软件》2015,(7)
针对恶意代码采用混淆技术规避安全软件检测的问题,提出一种基于模型检测的恶意行为识别方法。方法将检测恶意行为转换为模型对属性的验证过程:利用谓词时态逻辑公式描述代码的恶意行为,从程序执行过程中的系统调用轨迹提取基于谓词标记的Kripke结构,通过检测算法验证模型对公式的可满足性。实验结果表明以上方法可有效识别混淆后的恶意代码。 相似文献
11.
Ming Xu Lingfei Wu Shuhui Qi Jian Xu Haiping Zhang Yizhi Ren Ning Zheng 《Journal in Computer Virology》2013,9(1):35-47
Code obfuscating technique plays a significant role to produce new obfuscated malicious programs, generally called malware variants, from previously encountered malwares. However, the traditional signature-based malware detecting method is hard to recognize the up-to-the-minute obfuscated malwares. This paper proposes a method to identify the malware variants based on the function-call graph. Firstly, the function-call graphs were created from the disassembled codes of program; then the caller–callee relationships of functions and the operational code (opcode) information about functions, combining the graph coloring techniques were used to measure the similarity metric between two function-call graphs; at last, the similarity metric was utilized to identify the malware variants from known malwares. The experimental results show that the proposed method is able to identify the obfuscated malicious softwares effectively. 相似文献
12.
13.
14.
Guillaume Bonfante Matthieu Kaczmarek Jean-Yves Marion 《Journal in Computer Virology》2009,5(3):263-270
Most of malware detectors are based on syntactic signatures that identify known malicious programs. Up to now this architecture
has been sufficiently efficient to overcome most of malware attacks. Nevertheless, the complexity of malicious codes still
increase. As a result the time required to reverse engineer malicious programs and to forge new signatures is increasingly
longer. This study proposes an efficient construction of a morphological malware detector, that is a detector which associates
syntactic and semantic analysis. It aims at facilitating the task of malware analysts providing some abstraction on the signature
representation which is based on control flow graphs. We build an efficient signature matching engine over tree automata techniques.
Moreover we describe a generic graph rewriting engine in order to deal with classic mutations techniques. Finally, we provide
a preliminary evaluation of the strategy detection carrying out experiments on a malware collection. 相似文献
15.
16.
17.
《Information Security Journal: A Global Perspective》2013,22(6):6-10
Abstract The availability of source code for both exploits and malicious code is higher than it has ever been in the history of computing. More important, the source codes for highly successful, high- profile malicious tools are now available. Several years ago it was almost impossible to obtain the source for these worms and exploits, forcing actors to rely on minor changes to binaries to generate new variants of a family. With the source code, attackers can easily edit code, compile new “undetected” variants, and copy and paste code from multiple creations to create new codes. 相似文献
18.
社交网络新增恶意用户检测作为一项分类任务,一直面临着数据样本不足、恶意用户标注稀少的问题。在数据有限的情况下,为了能够精确地检测出恶意用户,提出一种基于自适应差异化图卷积网络的检测方法。该方法通过提取社交网络中的用户特征和社交关系构建社交网络图。构建社交网络图后,计算节点与邻居的相似度,并对邻居进行优先级排序,利用优先级顺序采样关键邻居。关键邻居的特征通过自适应权重的加权平均方式聚合到节点自身,以此更新节点特征。特征更新后的节点通过特征降维和归一化计算得到恶意值,利用恶意值判断用户的恶意性。实验表明该方法和其他方法相比,具有更高的恶意用户查全率和整体查准率,并且能够快速地完成对新增用户的检测,证明了自适应差异化图卷积网络能够有效捕捉到少量样本的关键特征。 相似文献
19.
近些年来,层出不穷的恶意软件对系统安全构成了严重的威胁并造成巨大的经济损失,研究者提出了许多恶意软件检测方案。但恶意软件开发中常利用加壳和多态等混淆技术,这使得传统的静态检测方案如静态特征匹配不足以应对。而传统的应用层动态检测方法也存在易被恶意软件禁用或绕过的缺点。本文提出一种利用底层数据流关系进行恶意软件检测的方法,即在系统底层监视程序运行时的数据传递情况,生成数据流图,提取图的特征形成特征向量,使用特征向量衡量数据流图的相似性,评估程序行为的恶意倾向,以达到快速检测恶意软件的目的。该方法具有低复杂度与高检测效率的特点。实验结果表明本文提出的恶意软件检测方法可达到较高的检测精度以及较低的误报率,分别为98.50%及3.18%。 相似文献
20.
Android现有的恶意代码检测机制主要是针对bytecode层代码,这意味着嵌入Native层的恶意代码不能被检测,最新研究表明86%的热门Android应用都包含Native层代码。为了解决该问题,本文提出一种基于Native层的Android恶意代码检测机制,将smali代码和so文件转换为汇编代码,生成控制流图并对其进行优化,通过子图同构方法与恶意软件库进行对比,计算相似度值,并且与给定阈值进行比较,以此来判断待测软件是否包含恶意代码。实验结果表明,跟其他方法相比,该方法可以检测出Native层恶意代码而且具有较高的正确率和检测率。 相似文献