基于属性相似度的恶意代码检测方法

针对未知恶意代码数量急剧增长,现有的检测方法不能有效检测的问题,提出一种基于属性相似度的恶意代码检测方法.该方法将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算每个n-gram的信息增益,并选择具有最大信息增益的N个n-gram作为特征属性,分别计算恶意代码和正常文件每一维属性的平均值,通过比较待测样本属性与恶意代码和正常文件两类别属性均值的相似度来判断待测样本类别.结果表明,该方法对未知恶意代码的检测性能优于基于n-gram的恶意代码检测方法.     

改进的AC-BM字符串匹配算法

提出了改进的AC-BM算法,将待匹配的字符串集合转换为一个类似于Aho-Corasick算法的树状有限状态自动机。匹配时,采取自后向前的方法,并借用BM算法的坏字符跳转和好前缀跳转技术。改进的AC-BM算法借助BMH算法思想,取消了原AC-BM算法的好前缀跳转,并对坏字符跳转部分的计算进行优化。新算法修改了skip的计算方法,不再保留每个节点的好前缀跳转参数及坏字符跳转参数,因此匹配只与当前匹配字符有关,而与当前节点无关,可以实现大小写正文的识别。     

一种基于行为集成学习的恶意代码检测方法

为了解决变种恶意代码、未知威胁行为恶意分析等问题,研究了基于梯度提升树的恶意代码分类方法,从大量样本中学习程序行为特征和指令序列特征,实现了智能恶意代码分类功能.将GBDT算法引入恶意代码检测领域,使模型结果行为序列具有可解释性,对恶意代码的检测能力大幅提高.GBDT算法能够客观地反映恶意代码的行为和意图本质,能够准确识别恶意代码.     

紧缩字符串排序法

本文在徐绪松同志的“对不等长字符串进行字典排序”一文的基础上提出了一个时空效率更高的对不等长字符串进行字典排序的算法。笔者暂称它为“紧缩字符串排序法”。     

基于LZW算法的未知恶意代码检测方法

为克服传统方法在特征提取上存在的缺陷,提出一种基于Lempel-Ziv-Welch (LZW)压缩算法的未知恶意代码检测方法.忽略未知恶意代码结构将其看成字符串流,依据事先确定的阈值限制抽取的字符串长度,以实现处理效率和性能间的折衷;将所抽取的字符串按照其类别建立符合统计特性的压缩字典,即正常代码和恶意代码字典;利用2个字典对待测文件进行压缩,得到不同的压缩率,依据最小描述长度原则将其归类为能取得最好压缩率的类别,达到检测未知恶意代码的目的.实验结果表明,基于LZW算法的检测方法对未知恶意代码具有较好的识别效果.     

用C语言实现字符串处理功能

本文通过C语言与BASIC语言,DBASE的对比,编制了C语言的三个字符串处理函数程序,从而弥补了C语言在字符串处理功能方面的不足。     

网页实时获取和生成

为使网站编辑人员能从烦琐的新闻更新工作中摆脱出来,花费更多的时间在网站的美工方面,开发了网页实时获取和生成系统,详细阐述了该系统的的设计原理及整体框架结构。     

Delphi开发中的字符串资源动态替换

本文介绍了Delphi中ResourceString(简称资源字符串)关键字工作原理,运行时动态替换字符串资源,以解决在许多需要多语切换的场合必须定义大量全局变量的方式解决动态切换字符串数据方法。由于全局变量过多且可读写容易被其它模块撰改没有常量的特性,而资源字符串定义的字符串资源是单独存储在PE资源节的且是在读取时才加载并具有常量的特性。     

基于肯定选择分类算法的恶意代码检测方法

针对恶意代码,尤其是顽固、隐匿的未知恶意代码危害日益加剧的问题,提出一种基于肯定选择分类算法的恶意代码检测方法.将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算具有最大信息增益的N个n-gram的词频,并做归一化处理,采用改进的肯定选择分类算法进行分类.该方法保留了肯定选择分类算法高分类准确率的优点,优化了分类器训练过程,提高了训练和检测效率.结果表明,该方法的检测效果优于朴素贝叶斯、贝叶斯网络、支持向量机和C4.5决策树等算法.     

改进贝叶斯算法在未知恶意软件识别中的研究

为改进朴素贝叶斯(naive Bayes,NB)算法在识别未知恶意代码过程中学习速度慢的缺点,在分析研究朴素贝叶斯算法、复合贝叶斯(multi-naive Bayes,MNB)算法的基础上,提出了一种改进贝叶斯(half-increm entnaive Bayes,HNB)算法.算法采用特征集增量学习方式,在保证分类精度不降低的前提下,学习速度提高约30%.实际样本测试表明,分类精度达到了96%,其中对已知恶意代码的分类精度达到99%.     

基于机器学习的网页恶意代码检测方法

网络中大量的恶意网页已经成为网络用户的主要安全威胁。本文提出了一种基于机器学习分类器的网页恶意JavaScript代码分析方法。通过对训练样本训练学习,建立分类模型,最后对测试样本检测。实验表明,本方法能够有效的检测出大部分恶意网页JavaScript代码,检测准确率达到88．5％     

C4．5算法在未知恶意代码识别中的应用

基于行为的分析方法是恶意代码检测技术的发展方向,但存在误报率和漏报率较高的问题,故提出一种在Windows平台下检测未知恶意代码的新方法,以PE文件动态调用的API函数为研究对象,使用足长度的滑动窗口提取代码的所有特征属性,并采用决策树C4．5算法来检测未知恶意代码．实验结果表明,与其他基于行为的恶意代码识别算法相比,该算法具有较低的漏报率和误报率．     

基于特征选择的皮肤检测混合颜色空间的选取

通过特征选择的方法解决皮肤检测过程中颜色空间的选取问题,针对现有基于互信息的特征选择方法的不足,提出了改进方法：1）使用互信息缩小特征选择范围,然后选择使分类效果最佳的特征子集;2）尝试多种可能的特征子集初始化方案,然后选择其中最优的方案.实验结果和对比分析表明,使用改进后的特征选择方法得到的混合颜色空间,其皮肤检测效果优于传统颜色空间和已有混合颜色空间.     

恶意软件检测中的特征选择问题

恶意软件检测问题是一个十分重要的问题,而特征选择的好坏对于恶意软件检测具有决定性的影响.该文提出用有效性,自动性及时空效率作为恶意软件检测中选择的特征好坏评价的基本指标,并讨论了几种恶意软件检测特征选择的分类方法.对目前常见的基于n元序列、基于操作码、基于基本块和基于行为的特征选择方法进行了较为系统的回顾,分析了各种特征选择方法的基本原理,总结梳理了每种特征选择方法的优点和缺点,并对特征选择的效果进行了定性的评估,得出的结论对于选择合适的特征用于恶意软件检测具有积极的参考意义.     

带有恶意串谋检测的机会感知数据转发机制

针对机会感知现有信任机制无法有效解决节点串谋的问题,提出了一种带有恶意串谋检测的数据转发机制．首先,根据节点间连接状态构建暂态连接子网,同时,在分析异常交互行为的基础上,搜寻具有最大聚集密度的异常频繁交互子集,从而检测出恶意串谋节点;其次,通过建立暂态信任子网,同时利用节点间连接强度和协作意愿评估暂态信任子网内节点间暂态信任关系,进而,选择最佳中继节点完成数据转发．仿真结果表明,所提出的机制可有效地降低串谋攻击对网络性能造成的不良影响,并且能够达到准确高效转发数据的目的．     

基于邻域关系的网络入侵检测特征选择

入侵检测数据集具有数据量大、特征敷众多、连续型数据的特点.粗糙集是一种有效处理不确定性、不一致性、海量数据的有效分类工具,其特点是保持入侵检测数据集的分类能力不变,进行特征选择.为了避免传统粗糙集特征选择方法所必需的离散化过程带来的信息损失,引入邻域粗糙集模型,提出基于邻域关系的网络入侵检测数据特征选择方法.该方法从所有特征出发,根据特征重要度逐步删除冗余的特征,最后得到关键特征组进行分类研究.在CUP99入侵检测数据集上进行特征选择,并进行了分类实验,实验结果表明该方法是有效可行的.     

基于动态行为的未知恶意代码识别方法

＂特征码＂法虽然可以准确地检测出已知的恶意代码,但是对未知的恶意代码的识别却无能为力.目前基于代码动态行为的分析方法是未知恶意代码检测技术的发展方向.本文通过对未知恶意代码在植入、安装及启动时调用的API序列作为依据,并分别使用最小距离分类器、K-最近邻、余弦相似度等分类方法对它进行识别,实验表明：对于未知恶意代码的识别,不同的分类算法有不同的优缺点,所以,具体选择哪个算法,要根据恶意代码识别的具体要求而定.     

人工挖孔桩底不明采矿空区探地雷达探测

采用探地雷达对某建筑场地人工挖孔桩进行探测,以探明桩端5倍桩径深度范围内基岩中是否有不明采矿空区存在。现场探测采用环形反射剖面法,运用EKKO PRO探地雷达系统,采用主频为200MHz的天线进行探测,取得桩底10m以上的有效探测深度。地质雷达探测记录能清晰、准确地反映人工挖孔桩底部及旁侧5倍桩径深度范嗣内采矿空区的存在及顶面埋深,但难以判别桩底空区与桩底的相对位置关系。