基于行为特征的恶意代码检测方法

本文分析总结了恶意代码的行为特征,提出了一种分析API序列来检测恶意代码的方法.该方法在传统攻击树模型中添加了时间、参数调用等语义相关信息,提升了攻击树模型对代码行为的描述能力,并对恶意代码中常见的危险API调用序列进行建模.通过虚拟执行的方法获取代码的API调用序列.并将这些序列与扩展模型进行模式匹配.发现代码中的恶意行为,计算其威胁指数,进而检测代码是否具有恶意性.     

MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测

基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检测方法的检测。针对该问题,提出了基于恶意API调用序列模式挖掘的恶意代码检测方法MACSPMD。首先,使用真机模拟恶意代码的实际运行环境来获取文件的动态API调用序列;其次,引入面向目标关联挖掘的概念,以挖掘出能够代表潜在恶意行为模式的恶意API调用序列模式;最后,将挖掘到的恶意API调用序列模式作为异常行为特征进行恶意代码的检测。基于真实数据集的实验结果表明,MACSPMD对未知和逃避型恶意代码进行检测的准确率分别达到了94.55%和97.73%,比其他基于API调用数据的恶意代码检测方法 的准确率分别提高了2.47%和2.66%,且挖掘过程消耗的时间更少。因此,MACSPMD能有效检测包括逃避型在内的已知和未知恶意代码。     

基于循环神经网络和生成式对抗网络的口令猜测模型研究

深度学习技术的进展为提高口令猜测效率提供了潜在的新途径.目前,已有研究将循环神经网络(Recurrent Neural Network,RNN)、生成式对抗网络(Generative Adversarial Network,GAN)等深度学习模型运用于设计口令猜测模型.本文基于RNN模型、概率上下文无关文法(Proba...     

基于深度学习的网络入侵检测与应对策略研究

文章针对网络安全领域中日益复杂的攻击手段和难以检测的入侵行为,提出基于深度学习的网络入侵检测与应对策略。实验结果表明,长短期记忆网络（Long Short-Term Memory Network,LSTM）在处理复杂的网络流量数据时表现最优,优于卷积神经网络（Convolutional Neural Network,CNN）、循环神经网络（Recurrent Neural Network,RNN）。     

开源软件漏洞检测的混合深度学习方法

针对开源软件代码质量参差不齐和存在安全隐患的问题，提出一种基于混合深度学习模型（DCnnGRU）的开源软件漏洞检测方法。以漏洞库中的关键点为切入点构建控制流图，从静态代码中提取出与关键点存在调用和传递关系的代码片段，将代码片段数字化为固定长度的特征向量，并作为DCnnGRU模型的输入。该模型用卷积神经网络（Convolutional Neural Network，CNN）作为与特征向量交互的接口，门控循环单元（Gated Recurrent Unit，GRU）嵌入到CNN中间，作为捕获代码调用关系的门控机制。首先进行卷积和池化处理，卷积核和池化窗口对特征向量进行降维。其次，GRU作为中间层嵌入到池化层和全连接层之间，能够保留代码数据之间的调用和传递关系。最后利用全连接层来完成归一化处理，将处理后的特征向量送入softmax分类器进行漏洞检测。实验结果验证了DCnnGRU模型比单独的CNN和RNN模型有更高的漏洞检测能力，准确率比RNN高出7%，比CNN高出3%。     

基于注意力机制和残差网络的恶意代码检测方法

针对目前已有的基于深度学习的恶意代码检测方法提取特征不足和准确率低的问题,提出一种基于注意力机制和残差网络（ResNet）的恶意代码检测方法 ARMD。为了支持该方法的训练,从Kaggle网站获取了47 580个恶意和良性代码的Hash值,并利用VirusTotal分析工具提取每个代码数据调用的API,在此之后将所调用的API整合为1 000个不重复的API作为检测的特征来构造训练样本数据;然后根据VirusTotal的分析结果进行良恶性判定进而标记样本数据,并采用SMOTE增强算法使数据样本均衡化;最后构建并训练注入注意力机制的ResNet,从而实现恶意代码检测。实验结果表明ARMD的恶意代码检测准确率为97.76%,且与目前已有的基于卷积神经网络（CNN）和ResNet模型的检测方法相比,平均精确率至少提高了2个百分点,验证了ARMD的有效性。     

基于注意力机制和残差网络的恶意代码检测方法

针对目前已有的基于深度学习的恶意代码检测方法提取特征不足和准确率低的问题,提出一种基于注意力机制和残差网络（ResNet）的恶意代码检测方法 ARMD。为了支持该方法的训练,从Kaggle网站获取了47 580个恶意和良性代码的Hash值,并利用VirusTotal分析工具提取每个代码数据调用的API,在此之后将所调用的API整合为1 000个不重复的API作为检测的特征来构造训练样本数据;然后根据VirusTotal的分析结果进行良恶性判定进而标记样本数据,并采用SMOTE增强算法使数据样本均衡化;最后构建并训练注入注意力机制的ResNet,从而实现恶意代码检测。实验结果表明ARMD的恶意代码检测准确率为97.76%,且与目前已有的基于卷积神经网络（CNN）和ResNet模型的检测方法相比,平均精确率至少提高了2个百分点,验证了ARMD的有效性。     

基于卷积神经网络的代码注释自动生成方法

自动化代码注释生成技术通过分析源代码的语义信息生成对应的自然语言描述文本,可以帮助开发人员更好地理解程序,降低软件维护的时间成本.大部分已有技术是基于递归神经网络(Recurrent Neural Network,RNN)的编码器和解码器神经网络实现的,但这种方法存在长期依赖问题,即在分析距离较远的代码块时,生成的注释信息的准确性不高.为此,文中提出了一种基于卷积神经网络(Convolutional Neural Network,CNN)的自动化代码注释生成方法来缓解长期依赖问题,以生成更准确的注释信息.具体而言,通过构造基于源代码的CNN和基于AST的CNN来捕获源代码的语义信息.实验结果表明,与DeepCom和Hybrid-DeepCom这两种最新的方法相比,在常用的BLEU和METEOR两种评测指标下,所提方法能更好地生成代码注释,且执行时间更短.     

一种恶意代码特征选取和建模方法

针对恶意代码分析检测中静态分析技术难以检测变形、多态代码的问题,提出一种提取恶意代码语义动态特征的方法。该方法在虚拟环境下提取恶意代码动态特征,从而达到保护物理机的目的,提取出的原始特征经过进一步的筛选处理,得到各个代码样本的API调用序列信息。为了使得特征更加有效,改进传统n-gram模型,添加n-gram频次信息以及各API间的依赖关系,构建改进的n-gram模型。实验结果分析部分采用机器学习方法,分别使用了决策树、K近邻、支持向量机、贝叶斯网络等分类器对选定的样本特征进行10折交叉验证。实验结果显示该特征选取在决策树J48下的检测效果最好,可以有效检测采用混淆、多态技术的恶意代码。     

针对文本分类的神经网络模型

文本分类是自然语言处理领域的一项重要任务,具有广泛的应用场景,比如知识问答、文本主题分类、文本情感分析等.解决文本分类任务的方法有很多,如支持向量机（Support Vector Machines,SVM）模型和朴素贝叶斯（Naïve Bayes）模型,现在被广泛使用的是以循环神经网络（Recurrent Neural Network,RNN）和文本卷积网络（TextConventional Neural Network,TextCNN）为代表的神经网络模型.本文分析了文本分类领域中的序列模型和卷积模型,并提出一种组合序列模型和卷积模型的混合模型.在公开数据集上对不同模型进行性能上的对比,验证了组合模型的性能要优于单独的模型.     

基于CNN-SIndRNN的恶意TLS流量快速识别方法

传统浅层机器学习方法在识别恶意TLS流量时依赖专家经验且流量表征不足,而现有的深度神经网络检测模型因层次结构复杂导致训练时间过长。提出一种基于CNN-SIndRNN端到端的轻量级恶意加密流量识别方法,使用多层一维卷积神经网络提取流量字节序列局部模式特征,并利用全局最大池化降维以减少计算参数。为增强流量表征,设计一种改进的循环神经网络用于捕获流量字节长距离依赖关系。在此基础上,采用独立循环神经网络IndRNN单元代替传统RNN循环单元,使用切片并行计算结构代替传统RNN的串行计算结构,并将两种类型深度神经网络所提取的特征拼接作为恶意TLS流量表征。在CTU-Maluware-Capure公开数据集上的实验结果表明,该方法在二分类实验上F1值高达0.965 7,在多分类实验上整体准确率为0.848 9,相比BotCatcher模型训练时间与检测时间分别节省了98.47%和98.28%。     

基于多层双向SRU与注意力模型的加密流量分类方法

基于传统循环神经网络的加密流量分类方法普遍存在并行性较差、模型运行效率较低等问题。为实现加密流量的快速准确分类,提出一种基于多层双向简单循环单元（SRU）与注意力（MLBSRU-A）模型的加密流量分类方法。将特征学习和分类统一到一个端到端模型中,利用SRU模型高度并行化的序列建模能力来提高整体运行效率。为了提升MLBSRU-A模型的分类精度,堆叠多层双向SRU网络使其自动地从原始流量中提取特征,并引入注意力机制为特征赋予不同的权重,从而提高重要特征之间的区分度。实验结果表明,在公开数据集ISCX VPN-nonVPN上,MLBSRU-A模型具有较高的分类精度和运行效率,与BGRUA模型相比,MLBSRU-A的细粒度分类准确率提高4.34%,训练时间减少55.38%,在USTC-TFC 2016数据集上,MLBSRU-A模型对未知加密恶意流量的检测准确率达到99.50%,细粒度分类准确率为98.84%,其兼具对未知加密恶意流量的高精度检测能力以及对加密恶意流量的细粒度分类能力。     

基于API依赖关系的代码相似度分析

针对传统系统调用依赖图(SCDG)不能很好地消除API噪声、API重排等API特征混淆的问题,提出一种基于API依赖关系的恶意代码相似度分析方法。采用由API控制依赖关系和4类数据依赖关系组成的SCDG程序行为描述方式,通过数据依赖关系分析和控制依赖关系归一化,消除SCDG中的API噪声和API重排。实验结果表明,与API序列相似度分析方式相比,该方法能提高恶意代码相似度分析的准确性。     

基于动态行为和机器学习的恶意代码检测方法

目前恶意代码出现频繁且抗识别性加强,现有基于签名的恶意代码检测方法无法识别未知与隐藏的恶意代码。提出一种结合动态行为和机器学习的恶意代码检测方法。搭建自动化分析Cuckoo沙箱记录恶意代码的行为信息和网络流量,结合Cuckoo沙箱与改进DynamoRIO系统作为虚拟环境,提取并融合恶意代码样本API调用序列及网络行为特征。在此基础上,基于双向门循环单元（BGRU）建立恶意代码检测模型,并在含有12 170个恶意代码样本和5 983个良性应用程序样本的数据集上对模型效果进行验证。实验结果表明,该方法能全面获得恶意代码的行为信息,其所用BGRU模型的检测效果较LSTM、BLSTM等模型更好,精确率和F1值分别达到97.84%和98.07%,训练速度为BLSTM模型的1.26倍。     

IoTGuardEye:一种面向物联网服务的Web攻击检测方法

在包括物联网(Internet of Things,IoT)设备的绝大部分边缘计算应用中,基于互联网应用技术(通常被称为Web技术)开发的应用程序接口(Application Programming Interface,API)是设备与远程服务器进行信息交互的核心。相比传统的Web应用,大部分用户无法直接接触到边缘设备使用的API,使得其遭受的攻击相对较少。但随着物联网设备的普及,针对API的攻击逐渐成为热点。因此,文中提出了一种面向物联网服务的Web攻击向量检测方法,用于对物联网服务收到的Web流量进行检测,并挖掘出其中的恶意流量,从而为安全运营中心(Security Operation Center,SOC)提供安全情报。该方法在对超文本传输协议(Hypertext Transfer Protocol,HTTP)请求的文本序列进行特征抽取的基础上,针对API请求的报文格式相对固定的特点,结合双向长短期记忆网络(Bidirectional Long Short-Term Memory,BLSTM)实现对Web流量的攻击向量检测。实验结果表明,相比基于规则的Web应用防火墙(Web A...     

基于卷积神经网络的谣言检测

人工检测谣言通常需要耗费大量的人力物力,并且会有很长的检测延迟。目前现存的谣言检测模型一般根据谣言的内容、用户属性、传播方式人工地构造特征,而人工构建特征存在考虑片面、浪费人力等现象。为了解决这个问题,提出了基于卷积神经网络（CNN）的谣言检测模型。将微博中的谣言事件向量化,通过卷积神经网络隐含层的学习训练来挖掘表示文本深层的特征,避免了特征构建的问题,并能发现那些不容易被人发现的特征,从而产生更好的效果。实验结果表明,所提方法能够准确识别谣言事件,在准确率、精确率与F1值指标上优于支持向量机（SVM）与循环神经网络（RNN）等对比算法。     

基于深度语义融合的代码缺陷静态检测方法

随着计算机软件规模和复杂度的不断增加,软件中存在的代码缺陷对公共安全形成了严重威胁。针对静态分析工具拓展性差,以及现有方法检测粒度粗、检测效果不够理想的问题,提出了一种基于程序切片和语义特征融合的代码缺陷静态检测方法。首先,对源代码中的关键点进行数据流和控制流分析,并采用基于过程间有限分布子集（IFDS）的切片方法,以获取由多行与代码缺陷相关的语句组成的代码片段;然后,通过词嵌入法获取代码片段语义相关的向量表示,从而在保证准确率的同时选择合适的代码片段长度;最后,利用文本卷积神经网络（TextCNN）和双向门控循环单元（BiGRU）分别提取代码片段中的局部关键特征和上下文序列特征,并将所提方法用于检测切片级别的代码缺陷。实验结果表明,所提方法能够有效检测不同类型的代码缺陷,并且检测效果显著优于静态分析工具Flawfinder;在细粒度的前提下,IFDS切片方法能进一步提高F1值和准确率,分别达到了89.64%和92.08%;与现有的基于程序切片的方法相比,在关键点为应用程序编程接口（API）或变量时,所提方法的F1值分别达到89.69%、89.74%,准确率分别达到92.15%、91....     

基于迁移学习的知识图谱问答语义匹配模型

针对单一事实类问答系统中问句和关系的语义匹配在小规模标注样本中难以获得较高准确率的问题,提出一种基于循环神经网络（RNN）的迁移学习模型。首先,使用基于RNN的序列到序列无监督学习算法,通过序列重构的方式在大量无标注样本中学习问句的语义空间分布,即词向量和RNN;然后,通过给神经网络参数赋值的方式,使用此语义空间分布作为有监督语义匹配算法的参数;最后,通过使用问句特征和关系特征计算内积的方式,在有标注样本中训练并生成语义匹配模型。实验结果表明,在有标注数据量较少而无标注数据量较大的环境下,与有监督学习方法Embed-AVG和RNNrandom相比,所提模型的语义匹配准确率分别平均提高5.6和8.8个百分点。所提模型通过预学习大量无标注样本的语义空间分布可以明显提高在小规模标注样本环境下的语义匹配准确率。     

一种基于Attention-GRU和iForest的周期性时间序列异常检测算法

对数据中异常模式的检测（异常检测）是数据分析领域一个非常重要的研究方向,尤其对时间序列的异常检测是其中的一个难点。目前,关于时序数据异常检测的研究有很多,如利用滑动窗口、小波分析、概率图模型、循环神经网络等不同技术来进行检测,但是在处理问题时还存在或多或少的不足,无法保证实际工程中的实时效率和准确性。针对周期性时间序列异常检测问题,提出一种基于Attention-GRU和iForest的异常检测算法,根据带有注意力机制的循环神经网络构建模型,实现预测长序列数据,保证工程检测效率,并通过iForest建立正常数据波动区间,避免了使用假设检验造成的误差。经实践验证,该算法能够提高实际工程中的周期性时序数据异常检测效率,并有较好的召回率和准确率。