基于随机森林算法的Android恶意行为识别与分类方法

针对当前Android恶意软件检测方法对检测出的恶意行为无法进行识别和分类的问题,提出基于随机森林（RF）算法的Android恶意行为的识别与分类方法. 该方法在对Android恶意软件的类型进行定义的基础上,利用融合多种触发机制的Android恶意行为诱导方法触发软件的潜在恶意行为;通过Hook关键系统函数对Android软件行为进行采集并生成行为日志,基于行为日志提取软件行为特征集;使用随机森林算法,对行为日志中的恶意行为进行识别与分类. 实验结果表明,该方法对Android恶意软件识别的准确率达到91.6%,对恶意行为分类的平均准确率达到96.8%.     

物联网中融合网络流量的恶意软件检测

针对物联网基础设施、应用程序和终端设备的攻击显著增加，物联网中的代表性恶意软件以产生恶意流量为主。对基于恶意软件字节序列构建的MalConv模型进行改进，与基于恶意流量特征的Bi-LSTM模型进行融合，实现了适用于物联网终端设备恶意软件检测的融合模型。实验结果表明，融合模型NT-MalConv具有更高的检测能力，检测准确率达95.17%；检测融合对抗样本时，NT-MalConv模型比MalConv改进模型的准确率提升了10.31%。     

一种Android恶意软件检测模型

针对传统Android恶意软件检测方法检测精度较低等不足,提出一种基于双通道卷积神经网络的Android恶意软件检测模型。首先,提取应用程序的原始操作码序列并生成指令功能序列;然后,将两种序列分别作为卷积神经网络两个通道的输入迭代训练并调整各层神经元权重;最后,通过已训练的检测模型实现对Android恶意软件的检测。实验结果表明,该检测模型对恶意软件具有较好的检测分类精度和检测准确率。     

一种虚拟化恶意程序检测系统的实现

为了自动智能检测出新变种的恶意程序,使用虚拟执行与应用程序接口钩子技术,分析程序执行中调用的系统接口,将接口调用顺序编码形成一个特征序列。运用编辑距离算法计算程序特征序列与数据库中恶意特征序列的相似度,实现自动判别恶意种类的功能。在随机选取样本的的前提下,本系统对样本分析后结果表明,检测识别精确度达到92%,误报率仅为6%。     

基于API调用序列的Android恶意代码检测方法研究

目前Android恶意代码泛滥,而传统的静态检测方法虽无需执行代码、效率高,但无法应对经过加固保护的恶意软件,以及被混淆的代码.因此,提出一种基于动态API调用序列的Android恶意代码检测方法.通过Xposed框架构建监控模块,将函数调用作为检测对象,直接对Android系统敏感API调用进行监控.随后,将收集到的函数调用序列作为特征,采用主题模型对其进行建模以及构建分类器,并且利用N-gram扩大模型的单词空间,提高模型的预测能力以及语义表达能力.最后通过机器学习的方法,对数据集进行分类,从而达到检测的目的.实验表明:提出的方法可以有效地检测出恶意应用的行为,并且有较高的检测精度.     

Android系统移动支付保护方案与实现

针对目前亟待解决的移动支付保护问题,以主流手机操作系统Android为研究平台,提出一种对基于移动支付行为检测的移动支付保护方案.该方案以Android系统中移动支付的行为特征作为研究出发点,使用内核层系统调用作为行为检测的度量单位.同时考虑系统环境因素的影响,将获取系统资源消耗作为辅助评估支付行为,根据对当前主流的基于系统调用的恶意行为检测算法的研究和分析,构建一个结合KNN算法和贝叶斯信念网络的模型来进行恶意行为检测,并通过实验证明该方案的有效性.     

基于CNN的Android恶意代码检测方法

针对传统Android恶意应用检测技术无法对当前爆发增长的恶意应用进行高效检测,对移动终端安全造成严重威胁的问题,利用深度学习中卷积神经网络(convolutional neural network,CNN)的分类算法,设计并实现了一种基于静态权限特征的恶意应用检测方案.首先,对Android应用包反编译获取AndroidManifest.xml文件,从中提取出应用申请的系统权限;然后,根据权限危险级别将权限列表特征化,获得权限特征数据集,进而,对CNN多次训练,获得应用类别分类器;最后,用分类器判断应用是否包含恶意代码.实验结果表明,检测方案的准确率达到98.8%,能够高效判断Android平台中的恶意应用,降低安全威胁.     

一种改进的加权贝叶斯恶意软件识别方法

目前恶意软件的安全威胁越来越严重,提高恶意软件的识别准确率已成为亟待解决的问题。针对朴素贝叶斯方法恶意软件识别准确率不高的问题,提出一种利用萤火虫算法改进加权贝叶斯的恶意软件识别方法,以恶意软件的行为数据作为特征,通过萤火虫算法不断地迭代来优化样本属性的权值,将权值带入加权贝叶斯模型中识别恶意软件,通过对virusshare网站的1300个样本进行实际检测,相比于朴素贝叶斯和互信息加权贝叶斯恶意软件识别方法,其平均识别准确率分别提高了17%和6%,表明新方法具有更好的识别效果。     

恶意PDF检测中的特征工程研究与改进

在基于机器学习的恶意PDF检测中,现有特征容易引起混淆或逃逸。为了提高特征的准确性和鲁棒性,在现有方法的基础上研究和改进特征提取方法,结合内容特征、结构特征以及逻辑树的间接结构特征,通过分析特征重要性进行特征选择,最后应用分类算法实现恶意PDF检测。结构特征包括多个高频次叶子节点数量;内容特征包括元数据特征、字节熵值、流字节比例等特征。收集实验数据集,提取特征并分析,最终选择出58维特征,使用LightGBM算法训练梯度提升决策树模型,测试准确率为99.9%,优于其他方法。另外,模拟攻击部分样本的特征,生成对抗样本,检测准确率同样达到99.2%。     

基于权限的Android应用程序安全审计方法

为了对安卓(Android)恶意应用程序进行检测,对其危险程度进行量化,并满足大批量样本的安全审计需求,提出一种基于权限的Android应用安全审计方法.使用数据挖掘方法分析权限信息,依据支持度和分离度构建评价指标集;基于改进的优序图法确定评价指标权重,建立权重矩阵;依据权重矩阵对安卓应用程序进行评估,通过逻辑回归方法检出恶意应用,并给出量化的评估值.使用抓取自网络的真实样本进行实验,结果表明可以有效检测恶意应用,评估值也能直观地反映应用的危险程度,对恶意应用和正常应用分类的准确度达到92.7%,与现有相关工作相比效率表现更优.     

Android恶意程序行为分析系统设计

提出了一种基于行为的Android恶意程序分析系统（nDroidAS）设计. nDroidAS加入客户端组件监控用户设备上的Android安装包（APK）安装操作,以及时分析待安装应用程序. 服务器端在虚拟环境中安装、运行应用程序,执行动态行为分析检出恶意程序;同时,抓取互联网中的APK程序包并提前分析,建立结果缓存,加快对用户分析请求的响应. 构建了简化的nDroidAS原型系统,分析了部分APK程序样本. 验证结果表明：nDroidAS能有效监控Android设备中的APK安装操作并及时响应客户端分析请求,是一种可行的恶意程序行为分析系统方案.     

云计算下手机人工免疫恶意代码检测模型

提出一种适用于云计算环境的基于人工免疫的手机恶意代码检测模型。提出扩展阴性选择算法,提取恶意代码的特征编码生成抗原,增加针对高亲和度检测器的克隆和变异算子,提高成熟检测器的生成效率,在特征检测和检测器生成阶段引入MapReduce并行处理机制,提高计算效率。仿真结果表明,检测模型对未知手机恶意代码具有较高的检测率和计算效率。     

基于SVM的安卓恶意软件检测

为了有效检测恶意软件,减少恶意软件对安卓平台的安全造成的威胁,在对现有数据集分析研究的基础上,提出概率统计和特征抽取两种策略,分别用这两种策略对提取的特征进行降维处理,减少不确定性数据,再用线性支持向量机(support vector Machine, SVM)分类,模型训练时间缩短为原来的16.7%,并且检测未知恶意软件的准确率明显提高。将该降维策略在其他常用算法上进行试验,结果表明改进后的数据有助于提高这些算法的分类准确率。     

基于ELF静态结构特征的恶意软件检测方法

Linux平台的恶意软件检测方法目前研究较少,主要的分析手段和检测技术依然有很大的局限性。提出了一种基于ELF文件静态结构特征的恶意软件检测方法。通过对Linux平台ELF文件静态结构属性深入分析,提取在恶意软件和正常软件间具有很好区分度的属性,通过特征选择方法约减提取的特征,然后使用数据挖掘分类算法进行学习,使得能正确识别恶意软件和正常文件。实验结果显示,所使用分类算法能够以99.7%的准确率检测已知和未知的恶意软件,且检测时间较短,占用系统资源较少,可实际部署于反病毒软件中使用。     

基于属性相似度的恶意代码检测方法

针对未知恶意代码数量急剧增长,现有的检测方法不能有效检测的问题,提出一种基于属性相似度的恶意代码检测方法.该方法将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算每个n-gram的信息增益,并选择具有最大信息增益的N个n-gram作为特征属性,分别计算恶意代码和正常文件每一维属性的平均值,通过比较待测样本属性与恶意代码和正常文件两类别属性均值的相似度来判断待测样本类别.结果表明,该方法对未知恶意代码的检测性能优于基于n-gram的恶意代码检测方法.     

面向Android支付破解应用的检测方法

Android破解应用存在侵犯合法软件权益和传播恶意代码的风险.为有效检测Android平台上的支付破解应用,提出一种基于机器学习的检测方法.针对反汇编的字节码文件构建了支付语义信息调用控制流和支付数据库操作函数集,通过n-gram和重复代码子块长度统计方法构造相应特征集,最后构建带决策机制的多分类器检测模型以识别Android应用中不同的支付破解行为.实验结果表明,所提检测方法的模型检测精确率为85.24%,AUC值为0.87,与同类方法相比,对支付破解类应用的检测率有显著提高,有效解决了支付破解应用的检测问题.     

Fast network intrusion detection system using adaptive binning feature selection

Aiming at the problems of the low detection rate of traditional intrusion detection systems and the long training and detection time of intrusion detection systems based on deep learning,an adaptive binning feature selection algorithm using the information gain is proposed,which is combined with LightGBM to design a fast network intrusion detection system.First,the original data set is preprocessed to standardize the data;then the redundant features and noise in the original data are removed through the adaptive binning feature selection algorithm,and the original high-dimensional data are reduced to the low-dimensional data,thereby improving the accuracy of the system and reducing the training and detection time;finally,LightGBM is used for model training on the training set selected by the characteristics to train an intrusion detection system that can detect attack traffic.Through verification on the NSL-KDD data set,the proposed feature selection algorithm only takes 27.35 seconds in feature selection,which is 96.68% lower than that by the traditional algorithm.The designed intrusion detection system has an accuracy rate of 93.32% on the test set,and its training time is low.Compared with the existing network intrusion detection system,the accuracy rate of the proposed system is higher,and its model training speed is faster.     

基于肯定选择分类算法的恶意代码检测方法

针对恶意代码,尤其是顽固、隐匿的未知恶意代码危害日益加剧的问题,提出一种基于肯定选择分类算法的恶意代码检测方法.将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算具有最大信息增益的N个n-gram的词频,并做归一化处理,采用改进的肯定选择分类算法进行分类.该方法保留了肯定选择分类算法高分类准确率的优点,优化了分类器训练过程,提高了训练和检测效率.结果表明,该方法的检测效果优于朴素贝叶斯、贝叶斯网络、支持向量机和C4.5决策树等算法.