一种Android恶意行为检测算法

提出一种新的Android恶意行为检测算法,该算法使用系统调用序列和控制流序列表征Android应用程序的行为,通过分析已知恶意软件样本库,训练出一个恶意软件特征基和阈值,再计算Android应用程序与特征基的相似度,根据阈值判断目标是否为恶意软件.根据该算法,开发了一个Android恶意软件检测系统SCADect,并在华为U8860真机上对3 000个测试样本进行分类,准确率达到96.8%;针对包含混淆和加密操作的8簇237个恶意样本,该系统的检出率达到89%,明显优于工具Androguard.实验结果表明,SCADect能够抵抗混淆和加密攻击,提高恶意软件检测的准确率和降低误报率.     

基于深度学习的网络恶意登录异常检测方法研究

针对网络恶意登录异常检测过程中对用户操作日志的特征提取准确率低、泛化性差所导致的网络攻击识别率低、网络管理员反馈不及时等问题,结合注意力机制以及循环神经网络,提出一种基于深度学习的网络恶意登录异常检测方法.该方法针对不同类型的用户操作日志,使用了word-level和char-level两种编码方式;使用LSTM模型提取用户操作日志中所蕴含的特征信息,以识别用户操作日志中的正常行为;通过注意力机制使模型更加关注操作正常的特征信息,同时过滤冗余操作,得到用户操作评分;设定阈值判断该日志流是否为恶意登陆,并同时反馈给网络管理员.实验结果表明,本文所提方法可针对不同用户日志进行编码,特征提取准确率高,网络恶意登陆异常检测的F1-Score达到了0.976.     

基于ELF静态结构特征的恶意软件检测方法

Linux平台的恶意软件检测方法目前研究较少,主要的分析手段和检测技术依然有很大的局限性。提出了一种基于ELF文件静态结构特征的恶意软件检测方法。通过对Linux平台ELF文件静态结构属性深入分析,提取在恶意软件和正常软件间具有很好区分度的属性,通过特征选择方法约减提取的特征,然后使用数据挖掘分类算法进行学习,使得能正确识别恶意软件和正常文件。实验结果显示,所使用分类算法能够以99.7%的准确率检测已知和未知的恶意软件,且检测时间较短,占用系统资源较少,可实际部署于反病毒软件中使用。     

一种Android恶意软件检测模型

针对传统Android恶意软件检测方法检测精度较低等不足,提出一种基于双通道卷积神经网络的Android恶意软件检测模型。首先,提取应用程序的原始操作码序列并生成指令功能序列;然后,将两种序列分别作为卷积神经网络两个通道的输入迭代训练并调整各层神经元权重;最后,通过已训练的检测模型实现对Android恶意软件的检测。实验结果表明,该检测模型对恶意软件具有较好的检测分类精度和检测准确率。     

基于日志统计特征的DNS隧道检测

以DNS服务器的日志为数据源,提取出二级域名的熵、子域名个数、缓存命中率等多维日志统计特征, 将日志量化为特征向量集;以特征向量集为数据源,使用随机森林算法进行模型训练,并使用十折交叉验证的方法对模型参数进行调整,对模型进行优化,提高整体检测精度;在不同分类算法下进行对比实验,并将实验结果与已有研究方法进行比较. 实验结果表明,提出的检测方法在召回率达到98.5%的情况下,有不低于90%的准确率,检测精度有所提高,即提出的算法能有效检测DNS隧道.     

基于CNN的Android恶意代码检测方法

针对传统Android恶意应用检测技术无法对当前爆发增长的恶意应用进行高效检测,对移动终端安全造成严重威胁的问题,利用深度学习中卷积神经网络(convolutional neural network,CNN)的分类算法,设计并实现了一种基于静态权限特征的恶意应用检测方案.首先,对Android应用包反编译获取AndroidManifest.xml文件,从中提取出应用申请的系统权限;然后,根据权限危险级别将权限列表特征化,获得权限特征数据集,进而,对CNN多次训练,获得应用类别分类器;最后,用分类器判断应用是否包含恶意代码.实验结果表明,检测方案的准确率达到98.8%,能够高效判断Android平台中的恶意应用,降低安全威胁.     

一种改进的加权贝叶斯恶意软件识别方法

目前恶意软件的安全威胁越来越严重,提高恶意软件的识别准确率已成为亟待解决的问题。针对朴素贝叶斯方法恶意软件识别准确率不高的问题,提出一种利用萤火虫算法改进加权贝叶斯的恶意软件识别方法,以恶意软件的行为数据作为特征,通过萤火虫算法不断地迭代来优化样本属性的权值,将权值带入加权贝叶斯模型中识别恶意软件,通过对virusshare网站的1300个样本进行实际检测,相比于朴素贝叶斯和互信息加权贝叶斯恶意软件识别方法,其平均识别准确率分别提高了17%和6%,表明新方法具有更好的识别效果。     

基于LSTM与随机森林混合构架的钓鱼网站识别研究

针对传统的钓鱼站点攻击检测模型时延高、效率低、特征提取复杂的问题,提出一种使用长短期记忆网络(long short term memory,LSTM)和随机森林的混合算法模型。该模型主要包括网址上下文特征提取和混合特征分类两部分。首先,根据循环神经网络特点建立128步长的深度网络结构。实验数据参考开源社区提供的钓鱼网站网址和正常网址情报。利用自然语言处理技术对网址数据进行编码得到具有局部特征的网址序列。通过构建的LSTM网络对网址序列进行字符上下文特征提取,结合传统检测方法中的非字符序列特征,共同构成实验特征集。随后,利用随机森林获取每一个特征的最佳分裂点,构建混合特征分类模型。该模型以网址数据为检测源,一方面降低了随机森林的字符序列特征维度,另一方面结合传统钓鱼网址检测中的非序列特征,弥补了LSTM算法检测特征单一的问题。为验证该模型的有效性,设计了本文模型与随机森林算法、LSTM算法的对比实验,并进一步对不同LSTM训练规模的时间成本进行分析。从实验中发现,基于LSTM与随机森林的混合模型大幅度提高了钓鱼网站的识别准确率,模型准确率达到98.52%,比相同训练规模的LSTM准确率高3%,比实验中的单一随机森林准确率高7%。同时,相比于LSTM算法同等幅度的准确率提升,该混合算法具有更小的时间代价。实验结果表明,作者提出的混合模型克服了传统识别模型在特征提取、识别效率上的问题,适合于海量钓鱼网站攻击的快速识别。     

基于API调用序列的Android恶意代码检测方法研究

目前Android恶意代码泛滥,而传统的静态检测方法虽无需执行代码、效率高,但无法应对经过加固保护的恶意软件,以及被混淆的代码.因此,提出一种基于动态API调用序列的Android恶意代码检测方法.通过Xposed框架构建监控模块,将函数调用作为检测对象,直接对Android系统敏感API调用进行监控.随后,将收集到的函数调用序列作为特征,采用主题模型对其进行建模以及构建分类器,并且利用N-gram扩大模型的单词空间,提高模型的预测能力以及语义表达能力.最后通过机器学习的方法,对数据集进行分类,从而达到检测的目的.实验表明:提出的方法可以有效地检测出恶意应用的行为,并且有较高的检测精度.     

基于改进深度森林的表面肌电手势识别方法

为提高基于表面肌电图（surface Electromyo Graphy, sEMG）手势识别的准确率，提出一种改进深度森林相结合的手部运动识别方法.将极致梯度提升（eXtreme Gradient Boosting,XGBoost）树引入深度森林模型，与随机森林和完全随机森林共同组成深度森林的级联结构.深度森林模型在每个层次上集成3种不同的基于树的分类器，共4个决策森林，包括1个随机森林、1个极端随机森林和2个极致梯度提升树，利用不同学习算法之间的互补性来提高分类性能.为评估该模型性能，采集4名健康受试者的表面肌电信号进行手部动作识别验证试验，并与随机森林、支持向量机、一维卷积神经网络及二维卷积神经网络等算法比较.结果表明，提出方法对16种常用手部动作的平均识别精度为94.14%，对表面肌电信号实现了较高的分类准确率.     

一种基于行为集成学习的恶意代码检测方法

为了解决变种恶意代码、未知威胁行为恶意分析等问题,研究了基于梯度提升树的恶意代码分类方法,从大量样本中学习程序行为特征和指令序列特征,实现了智能恶意代码分类功能.将GBDT算法引入恶意代码检测领域,使模型结果行为序列具有可解释性,对恶意代码的检测能力大幅提高.GBDT算法能够客观地反映恶意代码的行为和意图本质,能够准确识别恶意代码.     

基于SVM的安卓恶意软件检测

为了有效检测恶意软件,减少恶意软件对安卓平台的安全造成的威胁,在对现有数据集分析研究的基础上,提出概率统计和特征抽取两种策略,分别用这两种策略对提取的特征进行降维处理,减少不确定性数据,再用线性支持向量机(support vector Machine, SVM)分类,模型训练时间缩短为原来的16.7%,并且检测未知恶意软件的准确率明显提高。将该降维策略在其他常用算法上进行试验,结果表明改进后的数据有助于提高这些算法的分类准确率。     

Android运行时恶意行为检测模型研究

为实现Android应用程序恶意行为的有效分析,提出了基于HMMs-SVM的程序行为分类模型,将隐马尔可夫模型（HMM）和支持向量机（SVM）相结合,以动态行为序列作为关键特征,对移动应用软件运行中的网络收发、文件访问等行为建模. 该模型融合了HMM和SVM的优势,并克服了二者的不足,适合于在获取连续动态行为特征序列后进行行为分类. 实验结果表明,该方法分析召回率较高,可以有效对应用中的异常行为进行捕捉,并可以将其按类型分类.     

基于面向对象随机森林方法的滨海湿地植被分类研究

基于Sentinel-2数据,以盐城国家级珍禽自然保护区核心区为研究区,采用基于面向对象的随机森林模型对研究区内的湿地信息进行分类研究. 首先,对影像进行分割处理,计算光谱特征、纹理特征、水体指数、植被指数与纹理特征,并对特征重要性进行排序筛选. 其次,基于此构建5种特征组合方案,并对研究区进行分类,比较不同组合的分类精度找出研究区最优的特征组合方案. 最后,实验表明:通过特征优选后的随机森林算法进行分类效果最好,总体精度达到87.07%,Kappa系数为0.84. 其中互花米草在3种植被中分类精度最高,为97.73%. 证明此方法能够有效提高滨海湿地的分类精度,可用作该区域湿地变化研究.     

基于差分隐私下包外估计的随机森林算法

针对差分隐私随机森林算法在对高维数据进行分类时准确率不理想的问题,本文通过引入差分隐私下的包外估计来计算决策树权重以及特征权重,从而提出一种基于差分隐私下包外估计的随机森林算法(random forest under differential priva-cy based on the out-of-bag estim...     

Android恶意程序行为分析系统设计

提出了一种基于行为的Android恶意程序分析系统（nDroidAS）设计. nDroidAS加入客户端组件监控用户设备上的Android安装包（APK）安装操作,以及时分析待安装应用程序. 服务器端在虚拟环境中安装、运行应用程序,执行动态行为分析检出恶意程序;同时,抓取互联网中的APK程序包并提前分析,建立结果缓存,加快对用户分析请求的响应. 构建了简化的nDroidAS原型系统,分析了部分APK程序样本. 验证结果表明：nDroidAS能有效监控Android设备中的APK安装操作并及时响应客户端分析请求,是一种可行的恶意程序行为分析系统方案.     

基于肯定选择分类算法的恶意代码检测方法

针对恶意代码,尤其是顽固、隐匿的未知恶意代码危害日益加剧的问题,提出一种基于肯定选择分类算法的恶意代码检测方法.将样本文件转换成十六进制格式,提取样本文件的所有n-gram,计算具有最大信息增益的N个n-gram的词频,并做归一化处理,采用改进的肯定选择分类算法进行分类.该方法保留了肯定选择分类算法高分类准确率的优点,优化了分类器训练过程,提高了训练和检测效率.结果表明,该方法的检测效果优于朴素贝叶斯、贝叶斯网络、支持向量机和C4.5决策树等算法.