基于属性相似度的恶意代码检测方法

针对未知恶意代码数量急剧增长,现有的检测方法不能有效检测的问题,提出一种基于属性相似度的恶意代码检测方法.该方法将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算每个n-gram的信息增益,并选择具有最大信息增益的N个n-gram作为特征属性,分别计算恶意代码和正常文件每一维属性的平均值,通过比较待测样本属性与恶意代码和正常文件两类别属性均值的相似度来判断待测样本类别.结果表明,该方法对未知恶意代码的检测性能优于基于n-gram的恶意代码检测方法.     

一种基于肯定选择的异常检测方法

对肯定选择算法进行优化,以提高异常检测的检测率。对网络中的正常行为特征进行K均值聚类,以各类的中心作为检测器并加入成熟检测器集合;使用肯定选择方法将检测到的异常行为特征进行K均值聚类,产生新的检测器且加入到成熟检测器集合中;检测器的检测顺序随着检测器与测试数据匹配次数的增加而优先,再根据二次免疫理论将成熟检测器集合中检测顺序优先的检测器加入到记忆检测器集合。分别使用优化后的方法和基于集群概率的检测方法对abalone数据集进行检测,结果显示,优化后的方法在测试数据为200时,检测率可提高1.8%,整体检测性能较优。     

基于CNN的Android恶意代码检测方法

针对传统Android恶意应用检测技术无法对当前爆发增长的恶意应用进行高效检测,对移动终端安全造成严重威胁的问题,利用深度学习中卷积神经网络(convolutional neural network,CNN)的分类算法,设计并实现了一种基于静态权限特征的恶意应用检测方案.首先,对Android应用包反编译获取AndroidManifest.xml文件,从中提取出应用申请的系统权限;然后,根据权限危险级别将权限列表特征化,获得权限特征数据集,进而,对CNN多次训练,获得应用类别分类器;最后,用分类器判断应用是否包含恶意代码.实验结果表明,检测方案的准确率达到98.8%,能够高效判断Android平台中的恶意应用,降低安全威胁.     

一种基于FastText的恶意代码家族分类方法

传统的恶意代码家族分类方法主要通过代码家族浅层关联特征的统计分析达到分类和识别的目的。随着恶意代码加壳、混淆、多态技术的发展,传统方法的局限性逐渐显现,但恶意代码需调用API函数达成恶意目的始终是其不变的行为特征。基于embedding、word2vec模型的传统方法缺乏对低频API函数的特征提取能力,在表征API序列局部顺序特征时易产生映射失真,存在词典外API行为扩展、推理能力弱等导致分类准确率下降的不足。由此,引入负采样优化的FastText框架以加强对API序列映射的准确度,提出一种基于FastText框架下的恶意代码家族分类方法。利用FastText框架实现代码样本API序列的多维向量转换和精准表达,结合一维卷积及长短时记忆(LSTM)网络进一步提取API行为局部特征。实验结果表明,该模型的性能相较于传统的embedding方法和word2vec框架性能更优,准确率可达99%以上。     

基于F-score的特征选择算法在多分类问题中的应用

将一种新的特征选择算法(F-sco re)与多种机器学习算法相结合用于多分类问题中.使用十折交叉验证对比模型的分类效果,利用分类误差验证该方法的鲁棒性.实验结果表明,文中使用的新的基于F-score的特征选择方法与传统机器学习算法相结合具有很好的性能,能够使用比原始数据集更少特征并产生良好分类结果,尤其在与迭代随机森林方法相结合的情况下,能够显著提高模型分类精度.     

一种基于改进ReliefF算法的入侵检测模型

针对现有入侵检测算法中特征提取不充分、未考虑特征权重的影响、模型分类不够精确等问题,提出一种基于改进ReliefF算法的入侵检测模型。通过优化入侵数据特征权重计算,提出改进的ReliefF算法;根据计算特征的Pearson相关系数,建立特征相关性量表。只保留其中一个相关性高的特征,以实现特征的二次优化;对最优特征子集分别使用决策树(decision tree,DT)、k-最近邻(k-nearest neighbor, KNN)、随机森林(random forest, RF)、朴素贝叶斯(naive bayes, NB)和支持向量机(support vector machine, SVM)5种分类器评价该方法的分类性能和准确性。在NSL-KDD和UNSW-NB15两个数据集上的试验结果表明,该方法不仅具有较好的检测性能,还能有效降低特征维度,对分类器的计算复杂度有积极的影响。     

基于沙箱技术的恶意代码行为检测方法

通过分析不同恶意代码的行为,讨论沙箱的分类模型和实现机制,提出了一种基于虚拟化沙箱技术恶意代码行为检测方法。该方法采用对x86汇编指令、Windows系统特性、内存布局等进行全面模拟方式,通过模拟疑似为可执行代码的输入的数据流,在模拟执行过程中有尝试调用敏感系统函数行为而实现恶意代码行为检测。测试结果表明,所提方法能够有效地检测恶意代码行为,为电子数据取证提供支持。     

基于纹理特征和随机森林的恶意代码分类研究

为高效地识别分析恶意软件,及时防范可能的危害,提出了一种基于图像灰度纹理特征的静态分类方法。根据代码的指令长度特点,设计并提取病毒代码的多字节图像纹理,并统一成二维特征,然后将所有的特征文件作为训练集进行随机森林机器学习方法分类。利用标准数据集进行的实验表明,该方法可以达到96.36%的精度,并分析了各个字节代码特征的重要性,进一步提出了简化的分类方法。     

蚁群算法选择特征与WSVM融合的网络入侵检测

为了提高网络入侵检测率,提出一种蚁群算法选择特征与加权支持向量机的网络入侵检测方法.利用蚁群算法选择网络数据的关键特征,计算信息增益获得各个特征权重,根据特征权重构建了加权支持向量机的网络入侵分类器,并通过KDD CUP 99数据集验证了其有效性.结果表明:该算法能够有效降低特征维数,提高网络入侵检测率和检测效率.     

基于LZW算法的未知恶意代码检测方法

为克服传统方法在特征提取上存在的缺陷,提出一种基于Lempel-Ziv-Welch (LZW)压缩算法的未知恶意代码检测方法.忽略未知恶意代码结构将其看成字符串流,依据事先确定的阈值限制抽取的字符串长度,以实现处理效率和性能间的折衷;将所抽取的字符串按照其类别建立符合统计特性的压缩字典,即正常代码和恶意代码字典;利用2个字典对待测文件进行压缩,得到不同的压缩率,依据最小描述长度原则将其归类为能取得最好压缩率的类别,达到检测未知恶意代码的目的.实验结果表明,基于LZW算法的检测方法对未知恶意代码具有较好的识别效果.     

基于随机森林算法的Android恶意行为识别与分类方法

针对当前Android恶意软件检测方法对检测出的恶意行为无法进行识别和分类的问题,提出基于随机森林（RF）算法的Android恶意行为的识别与分类方法. 该方法在对Android恶意软件的类型进行定义的基础上,利用融合多种触发机制的Android恶意行为诱导方法触发软件的潜在恶意行为;通过Hook关键系统函数对Android软件行为进行采集并生成行为日志,基于行为日志提取软件行为特征集;使用随机森林算法,对行为日志中的恶意行为进行识别与分类. 实验结果表明,该方法对Android恶意软件识别的准确率达到91.6%,对恶意行为分类的平均准确率达到96.8%.     

基于改进三体训练法的半监督专利文本分类方法

针对信息增益算法只能考察特征对整个系统的贡献、忽略特征对单个类别的信息贡献的问题,提出改进信息增益算法,通过引入权重系数调整对分类有重要价值的特征的信息增益值,以更好地考虑一个词在类别间的分布不均匀性. 针对传统专利自动分类中训练集标注瓶颈问题,提出基于改进三体训练算法的半监督分类方法,通过追踪每次更新后的训练集样本类别分布来动态改变3个分类器对同一未标记样本类别的预测概率阈值,从而在降低噪音数据影响的同时实现对未标记训练样本的充分利用. 实验结果表明,本研究所提出的分类方法在有标记训练样本较少的情况下,可以取得较好的自动分类效果,并且适当增大未标记样本数据可以增强分类器的泛化能力.     

基于ELF静态结构特征的恶意软件检测方法

Linux平台的恶意软件检测方法目前研究较少,主要的分析手段和检测技术依然有很大的局限性。提出了一种基于ELF文件静态结构特征的恶意软件检测方法。通过对Linux平台ELF文件静态结构属性深入分析,提取在恶意软件和正常软件间具有很好区分度的属性,通过特征选择方法约减提取的特征,然后使用数据挖掘分类算法进行学习,使得能正确识别恶意软件和正常文件。实验结果显示,所使用分类算法能够以99.7%的准确率检测已知和未知的恶意软件,且检测时间较短,占用系统资源较少,可实际部署于反病毒软件中使用。     

采用路径IRP的Windows恶意进程检测方法

针对程序在同一操作系统的不同环境下运行产生的IRP(I/O request packets)序列不完全相同,对检测结果有一定影响的问题,提出了采用路径IRP的Windows恶意进程检测方法.单独提取每一个操作路径的IRP请求序列,应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树及改进的人工免疫算法(IAIS)进行检测,并比较了各种算法在不同特征选择方法下的检测效果.实验结果表明,本文所提出的采用路径IRP的Windows恶意进程检测方法是有效可行的,在所有方法中,采用Fisher Score进行特征选择的朴素贝叶斯方法得到了最高的检测率99.2%,优于基于IRP序列的恶意进程检测方法.     

Fast network intrusion detection system using adaptive binning feature selection

Aiming at the problems of the low detection rate of traditional intrusion detection systems and the long training and detection time of intrusion detection systems based on deep learning,an adaptive binning feature selection algorithm using the information gain is proposed,which is combined with LightGBM to design a fast network intrusion detection system.First,the original data set is preprocessed to standardize the data;then the redundant features and noise in the original data are removed through the adaptive binning feature selection algorithm,and the original high-dimensional data are reduced to the low-dimensional data,thereby improving the accuracy of the system and reducing the training and detection time;finally,LightGBM is used for model training on the training set selected by the characteristics to train an intrusion detection system that can detect attack traffic.Through verification on the NSL-KDD data set,the proposed feature selection algorithm only takes 27.35 seconds in feature selection,which is 96.68% lower than that by the traditional algorithm.The designed intrusion detection system has an accuracy rate of 93.32% on the test set,and its training time is low.Compared with the existing network intrusion detection system,the accuracy rate of the proposed system is higher,and its model training speed is faster.     

Feature selection algorithm for text classification based on improved mutual information

In order to solve the poor performance in text classification when using traditional formula of mutual information (MI),a feature selection algorithm were proposed based on improved mutual information.The improved mutual information algorithm,which is on the basis of traditional improved mutual information methods that enhance the MI value of negative characteristics and feature’s frequency,supports the concept of concentration degree and dispersion degree.In accordance with the concept of concentration degree and dispersion degree,formulas which embody concentration degree and dispersion degree were constructed and the improved mutual information was implemented based on these.In this paper,the feature selection algorithm was applied based on improved mutual information to a text classifier based on Biomimetic Pattern Recognition and it was compared with several other feature selection methods.The experimental results showed that the improved mutual information feature selection method greatly enhances the performance compared with traditional mutual information feature selection methods and the performance is better than that of information gain.Through the introduction of the concept of concentration degree and dispersion degree,the improved mutual information feature selection method greatly improves the performance of text classification system.     

基于合群度-隶属度噪声检测及动态特征选择的改进AdaBoost算法

为了提高AdaBoost集成学习算法的数据分类性能,提出基于合群度-隶属度噪声检测及动态特征选择的改进AdaBoost算法. 综合考虑待检测样本与邻居样本的相似度及与不同类别样本集的隶属关系,引入合群度和隶属度的概念,提出新的噪声检测方法. 在此基础上,为了更好地选择那些能够有效区分错分样本的特征,在传统过滤器特征选择方法的基础上提出通用的结合样本权重的动态特征选择方法,以提高AdaBoost算法针对错分样本的分类能力. 以支持向量机作为弱分类器,在8个典型数据集上分别从噪声检测、特征选择及现有方法比较3个方面进行实验. 结果表明,所提算法充分考虑了噪声样本和样本权重对AdaBoost分类结果的影响,相对于传统算法在分类性能上获得显著提升.     

基于分布估计算法的人脸Haar特征选择

通过研究人脸检测算法中Ada Boost算法,针对算法中的haar特征维数过高、训练耗时过长,检测效率过低等问题.提出基于分布估计算法(Estimation of Distribution Algorithm,EDA)的人脸haar特征选择人脸检测.EDA采用类内类间比作为适应度函数,通过统计学习的手段建立解空间内个体分布的概率模型,然后对概率模型随机采样产生新的群体,进行反复计算,实现群体的进化,最终得到全局最优解,以此来实现haar特征选择.实验结果表明:检测率(DR)与误检率(FDR)优于传统算法,而且检测速度得到了提升.