检测迷惑恶意代码的层次化特征选择方法

各种迷惑恶意代码能够轻易躲避传统静态检测,而动态检测方式虽有较好的检测率,却消耗大量系统资源。为提高低系统开销下迷惑恶意代码的检测率,提出一种层次化特征选择方法,依次在引导层、个体层、家族层和全局层上生成并选择特征。层次方法以逐层精化特征的方式寻求特征冗余和信息漏选之间的平衡。实际数据集上的实验结果表明所提方法的迷惑恶意代码检测率较高,与传统特征选择方法相比,具有所需训练样本集小、泛化能力强的优点。     

基于抽象特征检测变形恶意代码

传统的恶意代码检测方法通常以固定的指令或字节序列这些具体特征作为检测依据,因此难以检测变形恶意代码.使用抽象特征是解决该问题的一个思路.本文针对恶意代码常用的变形技术,即等价指令替换、垃圾代码插入以及指令乱序进行研究.定义了一种抽象特征,同时提出了依据该抽象特征检测变形恶意代码的方法.最后,以典型变形病毒Win32.Evol为对象进行了实验,将该方法与其它方法进行了对比.实验结果验证了该方法的有效性.     

模型检测迷惑二进制恶意代码

对二进制恶意代码进行形式化建模;开发了一个检查迷惑恶意代码的模型检查器。生成迷惑前的二进制恶意代码的有限状态机模型;再使用模型检查器检测迷惑二进制恶意代码;如果迷惑二进制恶意代码能被有限状态机模型识别;可判定其为恶意代码。实验结果表明模型检查迷惑二进制恶意代码是一种有效的静态分析方法;可以检测出一些常用的迷惑恶意代码。     

基于语义的恶意代码检测算法研究

代码迷惑是一种以增加理解难度为目的的代码变换技术,主要来保护软件免遭逆向分析。恶意代码的作者为了躲避检测经常采用代码迷惑技术对程序进行转换。但是商用反病毒软件采用基于特征码的模式匹配技术而忽略了恶意代码的语义,因此最容易受到代码迷惑或病毒变种的攻击。文章中提出一种基于语义匹配的检测算法,能准确的检测出经过代码迷惑处理的恶意代码。该方法应用数据流分析技术,以变量定义使用链为单元检测每个模板及程序节点。最后通过部分实验展示了原型系统的检测效果。     

一种基于本地化特征的恶意代码检测系统设计

随着网络安全技术的发展,计算机病毒已经不能够准确描述安全事件,提出了用恶意代码来描述,由于恶意代码的多样性,目前的恶意代码检测技术不能满足需要。在对恶意代码特征研究的基础上,提出了基于本地化特征的恶意代码检测技术。恶意代码要获取执行的机会,必然要进行本地化设置,对恶意代码的本地化特点进行了研究,在此基础上设计出了一种基于本地化特征的恶意代码检测系统,并进行了测试,结果证明基于本地化特征的恶意代码检测方法是一种有效的方法。     

一类恶意代码检测算法可靠性与完备性证明

代码迷惑可以使恶意代码绕过基于特征匹配的恶意代码检测器的检测.本文利用抽象解释理论,从程序语义的角度对高鹰等人提出的基于语义的恶意代码检测算法处理代码迷惑的能力进行了分析.在对该算法形式化描述的基础上,建立了一个与其等价的基于迹语义的检测器,并通过证明基于迹语义的检测器对于保持变体关系的代码迷惑算法的谕示可靠性和谕示完备性,从理论上阐述了高鹰等人的恶意代码检测算法的谕示可靠性和谕示完备性.     

基于归一化的变形恶意代码检测

许多未知恶意代码是由已知恶意代码变形而来。该文针对恶意代码常用的变形技术,包括等价指令替换、插入垃圾代码和指令重排,提出完整的归一化方案,以典型的变形病毒Win32.Evol对原型系统进行测试,是采用归一化思想检测变形恶意代码方面的有益尝试。     

一种基于特征编码技术的恶意代码检测方法

在对恶意代码进行检测和分类时,由于传统的灰度编码方法将特征转换为图像的过程中,会产生特征分裂和精度损失等问题,严重影响了恶意代码的检测性能.同时,传统的恶意代码检测和分类的数据集中只使用了单一的恶意样本,并没有考虑到良性样本.因此,文中采用了一个包含良性样本和恶意样本的数据集,同时提出了一种双字节特征编码方法.首先将待...     

基于感知哈希算法和特征融合的恶意代码检测方法

在当前的恶意代码家族检测中,通过恶意代码灰度图像提取的局部特征或全局特征无法全面描述恶意代码,针对这个问题并为提高检测效率,提出了一种基于感知哈希算法和特征融合的恶意代码检测方法.首先,通过感知哈希算法对恶意代码灰度图样本进行检测,快速划分出具体恶意代码家族和不确定恶意代码家族的样本,实验测试表明约有67％的恶意代码能...     

基于数据挖掘的恶意代码检测综述

数据挖掘是一种基于统计学的自动发掘数据规律的方法,它能通过分析海量样本的统计规律来建立判别模型,从而让攻击者难以掌握免杀的规律,近年来得到了广泛关注和快速发展。综述了数据挖掘技术应用于恶意代码检测领域所取得的研究成果;对所涉及的特征提取、特征选择、分类模型及其性能评估方法等方面的研究成果进行了深入分析和比较;最后提出了基于数据挖掘的恶意代码检测所面临的挑战,并对研究方向进行了展望。     

基于多特征和Stacking算法的Android恶意软件检测方法

Android由于其广泛的普及率使得其平台上的恶意软件数量不断增加,针对目前大部分方法采用单一特征和单一算法进行检验,准确率不高的不足,提出了一种基于多特征与Stacking算法的静态检测方法,该方法能够弥补这两方面的不足. 首先使用多种特征信息组成特征向量,并且使用Stacking集成学习算法组合Logistic,SVM,k近邻和CART决策树多个基本算法,再通过训练样本进行学习形成分类器. 实验结果表明,相对于使用单一特征和单一算法其识别准确率得到提高,可达94.05%,该分类器对测试样本拥有较好的识别性能.     

融合多特征的Android恶意软件检测方法

针对当前基于机器学习的Android恶意软件检测方法特征构建维度单一,难以全方位表征Android恶意软件行为特点的问题,文章提出一种融合软件行为特征、Android Manifest.xml文件结构特征和Android恶意软件分析经验特征的恶意软件检测方法。该方法提取Android应用的Dalvik操作码N-gram语义信息、系统敏感API、系统Intent、系统Category、敏感权限和相关经验特征,多方位表征Android恶意软件的行为并构建特征向量,采用基于XGBoost的集成学习算法构建分类模型,实现对恶意软件的准确分类。在公开数据集DREBIN和AMD上进行实验,实验结果表明,该方法能够达到高于97%的检测准确率,有效提升了Android恶意软件的检测效果。     

针对等价指令替换变形的归一化研究

针对等价指令替换常用变形技术提出了相应的归一化方法。该方法先通过引入标准指令和建立等价转换规则来对检测代码进行重写处理;然后,再根据各基本块的数据依赖图对标准指令顺序进行调整。在该方法基础上,提出了一种综合归一化方案,该方案旨在能有效应对现实中使用了多种常用变形技术的恶意代码。最后以Win32.Evol,Win32.Zperm和Win32.Bistro为对象的实例研究验证了该方案的有效性。     

移动应用软件安全威胁及其检测技术

移动应用的不断创新给用户提供便利的同时,也带来了极大的安全隐患.本文对移动应用软件的安全现状进行梳理,总结了目前主要的移动应用软件安全检测方法,分析了每种方法的优、缺点,并对当前形势下移动应用软件安全防范方法提出建议.     

基于语义的恶意代码行为特征提取及检测方法

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.     

基于数据特征的内核恶意软件检测

内核恶意软件对操作系统的安全造成了严重威胁.现有的内核恶意软件检测方法主要从代码角度出发,无法检测代码复用、代码混淆攻击,且少量检测数据篡改攻击的方法因不变量特征有限导致检测能力受限.针对这些问题,提出了一种基于数据特征的内核恶意软件检测方法,通过分析内核运行过程中内核数据对象的访问过程,构建了内核数据对象访问模型;然后,基于该模型讨论了构建数据特征的过程,采用动态监控和静态分析相结合的方法识别内核数据对象,利用EPT监控内存访问操作构建数据特征;最后讨论了基于数据特征的内核恶意软件检测算法.在此基础上,实现了内核恶意软件检测原型系统MDS-DCB,并通过实验评测MDS-DCB的有效性和性能.实验结果表明：MDS-DCB能够有效检测内核恶意软件,且性能开销在可接受的范围内.