基于API关联性的恶意行为层次化分析方法

为深入分析恶意代码的运行原理以及详细功能,减少恶意代码的分析周期,提出基于API关联的层次化行为分析方法。分析API的调用机制与参数的特征,给出基于API的行为定义;在此基础上,设计并实现API的行为关联算法,建立行为关联模型;通过行为关联模型,可以通过恶意代码的API数据信息提取出基本行为信息,并进一步提取对象行为以及进程行为,提供多维视角。设计恶意代码分析原型系统,使用实际测试样本集验证了该方法的可行性。     

基于信息增益特征优化选择的恶意软件检测方法

API调用序列一种常用的恶意软件检测与分类方法,但选择特征API调用时缺乏有效的方法,导致选取出来的特征中存在大量冗余,分类结果的精度不高。提出并实现了一种基于信息增益特征优化选择的恶意软件检测方法,在选择API作为分类特征时不仅考虑信息增益,还考虑API出现的频度、集中度,从而能够有效地选择对分类贡献较大的特征。实验结果表明,此方法具有较高的恶意软件检测率并能够保持对正常软件的低误报率。     

基于Kinect的指尖检测与手势识别方法

针对基于视频的弯曲指尖点识别难、识别率不高的问题,提出一种基于深度信息、骨骼信息和彩色信息的手势识别方法。该方法首先利用Kinect相机的深度信息和骨骼信息初步快速判定手势在彩色图像中所在的区域,在该区域运用YCrCb肤色模型分割出手势区域;然后计算手势轮廓点到掌心点的距离并生成距离曲线,设定曲线波峰与波谷的比值参数来判定指尖点;最后结合弯曲指尖点特征和最大内轮廓面积特征识别出常用的12个手势。实验结果验证阶段邀请了6位实验者在相对稳定的光照环境条件下来验证提出的方法,每个手势被实验120次,12种手势的平均识别率达到了97.92%。实验结果表明,该方法能快速定位手势并准确地识别出常用的12种手势,且识别率较高。     

一种API动态序列分析和DAG-SVM多类支持向量机的未知病毒检测方法

分析现有的病毒检测方法,提出一种基于特征信息熵筛选和DAG-SVM多类支持向量机的未知病毒检测新方法.该方法将PE文件静态特征扫描和动态API序列特征结合起来形成多维特征向量,并利用信息熵对静态多维特征向量进行有效性筛选,将经降维后形成的特征向量利用有向无环图多类支持向量机分类方法训练病毒学习模型并实现对未知计算机病毒的检测,该检测方法克服了特征代码扫描法无法识别未知病毒的缺陷和静态API序列检测方法对于未知病毒隐藏API调用的低识别率,使用有向无环图支持向量机相对于其他支持向量机算法可以有效的解决某些样本的误分和拒分现象.实验结果表明该病毒检测方法具有更高的准确性.     

基于敏感Native API的恶意软件检测方法

分析恶意软件传播与破坏的行为特征,包括进程、特权、内存操作、注册表、文件和网络等行为。这些行为通过调用相应的API函数来实现,为此,提出一种基于敏感Native API调用频率的恶意软件检测方法,采用Xen进行二次开发,设计对恶意软件透明的分析监测环境。实验结果表明,使用敏感Native API调用频率能够有效地检测多种未知恶意软件。     

SEMBeF:一种基于分片循环神经网络的敏感高效的恶意代码行为检测框架

词向量和循环神经网络（Recurrent Neural Network,RNN）能够识别语义和时序信息,在自然语言识别方面中取得了巨大成功。同时,代码运行时产生的API调用序列也反映了代码的真实意图,因此我们将之应用于恶意代码识别中,期望在取得较高正确率的同时减少人工提取和分析代码特征工作。然而仍然存在三个问题：1）不少恶意代码故意通过随机混合调用敏感API和非敏感API破坏正常的上下文,对这两种API同等对待可能产生漏报;2）为尽可能全面收集代码行为,代码运行期间产生的API序列长度较长,这将导致RNN学习时间过长;3）经典RNN常用的softmax分类函数泛化能力不强,准确率有待提高。为了解决上述问题,本文提出了一种基于分片RNN（Sliced Recurrent Neural Network,SRNN）的敏感高效的恶意代码行为检测架构SEMBeF。在SEMBeF中,我们提出了一种安全敏感API权重增强的敏感词向量算法,使得代码表示结果既包含上下文信息又包含安全敏感权重信息;我们还提出了一种SGRU-SVM网络结构,通过并行计算大幅降低了因代码API调用序列过长引起的训练时间过长的问题,提高了检测正确率;最后针对样本平衡和网络模型超参数选择问题进行了优化,进一步提高了检测正确率。本文还实现了SEMBeF验证系统,实验表明,与其他基于经典词向量和RNN的深度学习方法以及常用的机器学习方法相比,SEMBeF不仅检测正确率最高,训练效率也得到了显著提升。其中,检测正确率和训练时间分别为99.40%和210分钟,与传统RNN相比,正确率提高了0.48%,训练时间下降了96.6%。     

BIC评分贝叶斯网络模型及其应用

针对入侵检测系统漏报率、误报率高的缺点,以贝叶斯信息标准(BIC)评分函数为尺度,结合爬山搜索算法,降低朴素贝叶斯网络模型的强独立性假设,提出更符合实际情形的BIC评分贝叶斯网络模型。对模型进行验证和性能分析,实验结果表明,基于BIC评分函数的贝叶斯网络模型对行为特征渐变的DoS攻击和刺探攻击具有较高识别率。     

利用VisualBasic检测当前系统信息

一个优良的应用程序应该随时让用户知道操作系统及系统资源的有关信息,诸如Windows的版本、剩余的内存、当前目录以及一些硬件方面的型号等信息都很有用。在Windows中提供了丰富的应用程序接口函数(API),这些函数可以与系统进行交互,取得当前系统的一些信息。Visual Basic具有调用这些API函数的能力。调用这些函数时必须经过下列两个步骤:     

基于属性序约简的恶意代码检测

研究了已有的恶意代码特征选择和约简方法,针对已有的属性约简方法没有充分利用特征选择评估函数信息的不足,提出以信息增益值和特征的规模对候选特征排序,并使用属性序约简对特征进行约简的方法,分析了时空复杂度,给出了总体设计方案。实验结果验证了属性序约简的应用能够在较短的时间内获得较少的约简结果,使用约简后的特征进行分类准确率较高。     

基于小波包的新LDB人脸识别方法

研究人脸特征优化识别问题,图像信息中存在不同噪声和不同人脸特征.通过特征提取识别,获得不同人脸特征.针对传统人脸识别方法的识别率受光照、旋转等约束条件影响大的缺点,为了提高识别率,提出了一种根据小波包变换和改进的LDB(Local Discriminant Basis)方法相结合的人脸识别方法.算法首先利用小波包对人脸图像进行分解,再采用改进的LDB方法获取最佳分类特征,最后利用Euclidean距离函数进行分类识别.在人脸库Feret进行实验.结果表明,新算法减少了计算复杂度,提高了识别率,为人脸识别提供了依据.     

一种基于混合特征的移动终端恶意软件检测方法

随着移动终端恶意软件的种类和数量不断增大,本文针对Android系统恶意软件单特征检测不全面、误报率高等技术问题,提出一种基于动静混合特征的移动终端恶意软件检测方法,以提高检测的覆盖率、准确率和效率.该方法首先采用基于改进的CHI方法和凝聚层次聚类算法优化的K-Means方法构建高危权限和敏感API库,然后分别从静态分...     

安卓恶意软件的静态检测方法

近几年,Android平台的恶意软件数量几乎以几何式的速度增长,故提出一种恶意软件检测方法是必要的.本文利用现如今疯涨的Android恶意样本量和机器学习算法建立分类预测模型实现对恶意软件的静态检测.首先,通过反编译APK文件获取AndroidManifest.xml文件中权限特征,baksmali工具反编译class.dex成smali文件得到危险API特征.然后运用机器学习中多种分类和预处理算法比较每一特征和联合特征检测的准确率.实验结果表明,联合特征检测准确率高于单独特征,准确率达到97.5%.     

可解释的基于图嵌入的Android恶意软件自动检测

Android恶意软件的几何式增长驱动了Android恶意软件自动检测领域的发展。一些工作从可解释性的角度来分析Android恶意软件,通过分析模型获取最大影响的特征,为深度学习模型提供了一定的可解释性。这些方法基于特征相互独立的强假设,仅仅考虑特征各自对模型的影响,而在实际中特征之间总是存在着耦合,仅考虑单个特征对模型的影响,难以反映耦合作用,不能刻画不同类型软件中敏感API的组合模式。为解决该问题,将Android软件刻画成图,并结合图的结构信息和图节点内部的信息提出了一种基于图嵌入的方法来检测Android恶意软件。该方法通过注意力机制学习Android软件的低维稠密嵌入表示。实验结果表明,使用学到的嵌入表示进行恶意软件检测,不仅具有较高的分类精度,还可以通过分析注意力分数较大的路径寻找影响模型决策的模式以及定位恶意行为所涉及的敏感API序列。     

MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测

基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检测方法的检测。针对该问题,提出了基于恶意API调用序列模式挖掘的恶意代码检测方法MACSPMD。首先,使用真机模拟恶意代码的实际运行环境来获取文件的动态API调用序列;其次,引入面向目标关联挖掘的概念,以挖掘出能够代表潜在恶意行为模式的恶意API调用序列模式;最后,将挖掘到的恶意API调用序列模式作为异常行为特征进行恶意代码的检测。基于真实数据集的实验结果表明,MACSPMD对未知和逃避型恶意代码进行检测的准确率分别达到了94.55%和97.73%,比其他基于API调用数据的恶意代码检测方法 的准确率分别提高了2.47%和2.66%,且挖掘过程消耗的时间更少。因此,MACSPMD能有效检测包括逃避型在内的已知和未知恶意代码。     

基于可解释性的Android恶意软件检测

针对Android恶意软件检测,通常仅有检测结果缺乏对其检测结果的可解释性.基于此,从可解释性的角度分析Android恶意软件检测,综合利用多层感知机和注意力机制提出一种可解释性的Android恶意软件检测方法(multilayer perceptron attention-method, MLP＿At).通过提取Android恶意软件的应用权限和应用程序接口(application programming interface, API)特征来进行数据预处理生成特征信息,采用多层感知机对特征学习.最后,利用BP算法对学习到的数据进行分类识别.在多层感知机中引入注意力机制,以捕获敏感特征,根据敏感特征生成描述来解释应用的核心恶意行为.实验结果表明所提方法能有效检测恶意软件,与SVM、RF、XGBoost相比准确率分别提高了3.65%、3.70%和2.93%,并能准确地揭示软件的恶意行为.此外,该方法还可以解释样本被错误分类的原因.     

MAPAS: a practical deep learning-based android malware detection system

A lot of malicious applications appears every day, threatening numerous users. Therefore, a surge of studies have been conducted to protect users from newly emerging malware by using machine learning algorithms. Albeit existing machine or deep learning-based Android malware detection approaches achieve high accuracy by using a combination of multiple features, it is not possible to employ them on our mobile devices due to the high cost for using them. In this paper, we propose MAPAS, a malware detection system, that achieves high accuracy and adaptable usages of computing resources. MAPAS analyzes behaviors of malicious applications based on API call graphs of them by using convolution neural networks (CNN). However, MAPAS does not use a classifier model generated by CNN, it only utilizes CNN for discovering common features of API call graphs of malware. For efficiently detecting malware, MAPAS employs a lightweight classifier that calculates a similarity between API call graphs used for malicious activities and API call graphs of applications that are going to be classified. To demonstrate the effectiveness and efficiency of MAPAS, we implement a prototype and thoroughly evaluate it. And, we compare MAPAS with a state-of-the-art Android malware detection approach, MaMaDroid. Our evaluation results demonstrate that MAPAS can classify applications 145.8% faster and uses memory around ten times lower than MaMaDroid. Also, MAPAS achieves higher accuracy (91.27%) than MaMaDroid (84.99%) for detecting unknown malware. In addition, MAPAS can generally detect any type of malware with high accuracy.

     

提升多维特征检测迷惑恶意代码

针对迷惑恶意代码识别率较低的问题,提出一种基于提升多维特征的迷惑恶意代码检测算法.该算法在对迷惑恶意代码反汇编后进行静态分析,从Opcode分布序列,调用流图特征、系统调用序列图这3个特征维度对恶意代码家族特征进行归纳和分析,结合统计和语义结构特征表现恶意代码"行为"特性,从而对分类结果加权投票后给出迷惑恶意代码家族判...     

基于权限和API特征结合的Android恶意软件检测方法

随着Android操作系统的广泛应用,基于Android平台的应用程序的数量日益增长。如何有效地识别恶意软件,对保护手机的安全性至关重要。提出了基于权限和API特征结合的Android恶意软件检测方法,该方法通过反编译apk文件来提取权限特征和API特征,并将两者相结合作为一个整体的特征集合。在此基础上,采用分类算法进行恶意软件的甄别。实验结果表明,该方法的判别准确率高于权限集合或API集合单独作为特征的判别方法,从而能更加有效地检测Android恶意应用程序。     

改进随机森林在Android恶意软件检测中的应用

为解决Android恶意软件检测问题,提出一种利用多特征基于改进随机森林算法的Android恶意软件静态检测模型。模型采用了基于行为的静态检测技术,选取Android应用的权限、四大组件、API调用以及程序的关键信息如动态代码、反射代码、本机代码、密码代码和应用程序数据库等属性特征,对特征属性进行优化选择,并生成对应的特征向量集合。最后对随机森林算法进行改进,并将其应用到本模型的Android应用检测中。实验选取了6?000个正常样本和6?000个恶意样本进行分类检测,结果表明该方法具有较好的检测效果。