基于软件基因的Android恶意软件检测与分类

随着移动互联网的发展,针对Android平台的恶意代码呈现急剧增长。而现有的Android恶意代码分析方法多聚焦于基于特征对恶意代码的检测,缺少统一的系统化的分析方法,且少有对恶意代码分类的研究。基于这种现状,提出了恶意软件基因的概念,以包含功能信息的片段对恶意代码进行分析;基于Android平台软件的特点,通过代码段和资源段分别提取了软件基因,其中代码段基因基于use-def链（使用-定义链）进行形式化。此外,分别提出了基于恶意软件基因的检测框架和分类框架,通过机器学习中的支持向量机对恶意软件基因进行学习,有较高的检测率和分类正确率,其中检测召回率达到了98.37%,验证了恶意软件基因在分析同源性中的作用。     

栈式自编码的恶意代码分类算法研究

针对传统机器学习方法不能有效地提取恶意代码的潜在特征,提出了基于栈式自编码(Stacked Auto Encoder,SAE)的恶意代码分类算法。 其次,从大量训练样本中学习并提取恶意代码纹理图像特征、指令语句中的隐含特征;在此基础上,为提高特征选择对分类算法准确性的提高,将恶意代码纹理特征以及指令语句频度特征进行融合,训练栈式自编码器和softmax分类器。 实验结果表明：基于恶意代码纹理特征以及指令频度特征,利用栈式自编码分类算法对恶意代码具有较好的分类能力,其分类准确率高于传统浅层机器学习模型（随机森林,支持向量机）,相比随机森林的方法提高了2.474％ ,相比SVM的方法提高了1.235％。     

基于改进粒子群优化的支持向量机与情景感知的人体活动识别

针对目前人体活动类别识别准确率偏低的问题,提出一种支持向量机（SVM）与情景分析（人体运动状态转换的实际逻辑或统计模型）相结合的识别方法,对人体日常的六种活动（步行、上楼、下楼、坐下、站立、躺下）进行识别。该方法利用了人体活动样本之间存在逻辑关系的特点,首先使用经改进的粒子群优化（IPSO）算法对SVM模型进行优化,然后利用优化后的SVM对人体活动进行分类,最后通过情景分析的方法对错误的识别结果进行修正。实验结果表明,所提方法在加州大学欧文分校（UCI）的人体活动识别数据集（HARUS）上的分类准确率达到了94.2%,高于传统的仅使用模式识别进行分类的方法。     

代码向量深度学习的恶意Android应用检测方法

目前针对恶意Android应用的静态检测方法大多基于对病毒哈希值的分析与匹配,无法迅速检测出新型恶意Android应用及其变种,为了降低现有静态检测的漏报率,提高对新型恶意应用的检测速度,提出一种通过深度网络融合模型实现的恶意Android应用检测方法。首先提取反编译得到的Android应用核心代码中的静态特征,随后进行代码向量化处理,最后使用深度学习网络进行分类判别。该方法实现了对恶意应用高准确度的识别,经过与现存方法的对比分析,验证了该方法在恶意代码检测中的优越性。     

基于BiTCN-DLP的恶意代码分类方法

为应对不断升级的恶意代码变种,针对现有恶意代码分类方法对特征提取能力不足、分类准确率下降的问题,文章提出了基于双向时域卷积网络（Bidirectional Temporal Convolution Network,BiTCN）和池化融合（Double Layer Pooling,DLP）的恶意代码分类方法（BiTCN-DLP）。首先,该方法融合恶意代码操作码和字节码特征以展现不同细节；然后,构建Bi TCN模型充分利用特征的前后依赖关系,引入池化融合机制进一步挖掘恶意代码数据内部深层的依赖关系；最后,文章在Kaggle数据集上对模型进行验证,实验结果表明,基于Bi TCN-DLP的恶意代码分类准确率可达99.54%,且具有较快的收敛速度和较低的分类误差,同时,文章通过对比实验和消融实验证明了该模型的有效性。     

基于SLPP与MKSVM的痛苦表情识别

为提高痛苦表情识别的准确率,提出一种基于监督保局投影（SLPP）与多核线性混合支持向量机（MKLMSVM）的识别方法。引入先验类标签信息的SLPP获取痛苦表情特征,以解决保局投影方法在未使用先验类标签信息的情况下忽略类内局部结构的问题,并采用MKLMSVM实现痛苦表情的分类。实验结果表明,该方法的识别准确率可达88．56％,明显优于主动外观模型方法,与一般的支持向量机分类相比,可以提升决策函数的可解释性及分类性能。     

基于模糊函数SVD和改进S3VM的雷达信号识别

为提升在日趋复杂的电子对抗环境中对雷达信号识别的准确率,提出了一种基于启发式采样搜索（Heuristic Sampling Search,HSS）改进S3VM的雷达辐射源信号识别算法。根据模糊函数理论,通过对雷达信号的模糊函数进行奇异值分解（SVD）,提取出奇异向量作为雷达信号识别的特征参数;针对传统的半监督支持向量机（Semi-supervised SVM,S3VM）的不足,利用改进的S3VM构建分类器对雷达信号进行分类,完成对测试样本的识别。该方法通过启发式采样搜索来寻求具有代表性的多个大边缘低密度的分类决策面,有效解决传统S3VM分类精度低且分类性能不稳定等缺点。实验结果表明,在雷达信号识别中,该算法明显提高了分类准确率。     

基于Trace变换和支持向量机的车牌字符识别新方法

为了提高车牌上的字符识别准确率,提出一种结合Trace变换和支撑矢量机（SVM）的字符识别方法.在字符识别方面,以Trace变换方法提取字符特征,并运用支持向量机对字符进行模式分类.将算法应用到实际的车牌字符识别中,识别结果表明,这种方法在提高识别速度的同时,有效提高了字符的识别精度.     

基于CNN-BiLSTM的恶意代码家族检测技术

近年来快速增加的恶意代码数量中大部分是由原有家族中通过变异产生,所以对恶意代码家族进行检测分类显得尤为重要。提出了一种基于CNN-BiLSTM网络的恶意代码家族检测方法,将恶意代码家族可执行文件直接转换为灰度图像,利用CNN-BiLSTM网络模型对图像数据集进行检测分类。此方法在避免计算机受到恶意代码伤害的同时全面高效地提取特征,结合CNN和BiLSTM的优点从局部和全局两个方面学习恶意代码家族的特征并实现分类。实验对4个恶意代码家族的4 418个样本进行识别,结果表明该模型相对于传统机器学习具有更高的准确率。     

基于Payload2Vec的Tor匿名网络流量识别和分类

为有效识别和分类Tor匿名网络流量，提出基于有效载荷嵌入模型（Payload to Vector）的分类方法。首先将数据包字节序列直接转换为字符串，利用滑动窗口对字符串分割，得到流量字符串。然后将流量字符用高维向量表示，进一步引入基于多头自注意力机制的双向长短期记忆模型（Bidirectional Long Short-Term Memory,Bi-LSTM）。实验表明该方法相比传统LSTM神经网络提高44%的Tor流量识别准确率和64%的Tor流量分类准确率，并且大幅度提升模型训练速度，验证该模型的准确性与可行性。     

基于Bagging-SVM的Android恶意软件检测模型

针对Android恶意软件检测中数据不平衡导致检出率低的问题,提出一种基于Bagging-SVM（支持向量机）集成算法的Android恶意软件检测模型。首先,提取AndroidManifest.xml文件中的权限信息、意图信息和组件信息作为特征;然后,提出IG-ReliefF混合筛选算法用于数据集降维,采用bootstrap抽样构造多个平衡数据集;最后,采用平衡数据集训练基于Bagging算法的SVM集成分类器,通过该分类器完成Android恶意软件检测。在分类检测实验中,当良性样本和恶意样本数量平衡时,Bagging-SVM和随机森林算法检出率均高达99.4%;当良性样本和恶意样本的数量比为4：1时,相比随机森林和AdaBoost算法,Bagging-SVM算法在检测精度不降低的条件下,检出率提高了6.6%。实验结果表明所提模型在数据不平衡时仍具有较高的检出率和分类精度,可检测出绝大多数恶意软件。     

基于静态行为特征的细粒度Android恶意软件分类

由于Android系统的开放性,恶意软件通过实施各种恶意行为对Android设备用户构成威胁。针对目前大部分现有工作只研究粗粒度的恶意应用检测,却没有对恶意应用的具体行为类别进行划分的问题,提出了一种基于静态行为特征的细粒度恶意行为分类方法。该方法提取多维度的行为特征,包括API调用、权限、意图和包间依赖关系,并进行了特征优化,而后采用随机森林的方法实现恶意行为分类。在来自于多个应用市场的隶属于73个恶意软件家族的24 553个恶意Android应用程序样本上进行了实验,实验结果表明细粒度恶意应用分类的准确率达95.88%,综合性能优于其它对比方法。     

Behavior-based features model for malware detection

The sharing of malicious code libraries and techniques over the Internet has vastly increased the release of new malware variants in an unprecedented rate. Malware variants share similar behaviors yet they have different syntactic structure due to the incorporation of many obfuscation and code change techniques such as polymorphism and metamorphism. The different structure of malware variants poses a serious problem to signature-based detection technique, yet their similar exhibited behaviors and actions can be a remarkable feature to detect them by behavior-based techniques. Malware instances also largely depend on API calls provided by the operating system to achieve their malicious tasks. Therefore, behavior-based detection techniques that utilize API calls are promising for the detection of malware variants. In this paper, we propose a behavior-based features model that describes malicious action exhibited by malware instance. To extract the proposed model, we first perform dynamic analysis on a relatively recent malware dataset inside a controlled virtual environment and capture traces of API calls invoked by malware instances. The traces are then generalized into high-level features we refer to as actions. We assessed the viability of actions by various classification algorithms such as decision tree, random forests, and support vector machine. The experimental results demonstrate that the classifiers attain high accuracy and satisfactory results in the detection of malware variants.     

基于深度神经网络的Android恶意软件检测方法

Android 系统正日益面临着恶意软件的攻击威胁。针对支持向量机等传统机器学习方法难以有效进行大样本多分类的恶意软件检测,提出一种基于深度神经网络的Android恶意软件检测与家族分类方法。该方法在全面提取应用组件、Intent Filter、权限、数据流等特征基础上,进行有效的特征选择以降低维度,基于深度神经网络进行面向恶意软件的大样本多分类检测。实验结果表明,该方法能够进行有效检测和分类,良性、恶意二分类精度为 97.73%,家族多分类精度可达到 93.54%,比其他机器学习算法有更好的分类效果。     

基于特征组合的Powershell恶意代码检测方法

近年来,Powershell由于其易用性强、隐蔽性高的特点被广泛应用于APT攻击中,传统的基于人工特征提取和机器学习方法的恶意代码检测技术在Powershell恶意代码检测中越来越难以有效.本文提出了一种基于随机森林特征组合和深度学习的Powershell恶意代码检测方法.该方法使用随机森林生成更好表征原始数据的新特征...     

A similarity metric method of obfuscated malware using function-call graph

Code obfuscating technique plays a significant role to produce new obfuscated malicious programs, generally called malware variants, from previously encountered malwares. However, the traditional signature-based malware detecting method is hard to recognize the up-to-the-minute obfuscated malwares. This paper proposes a method to identify the malware variants based on the function-call graph. Firstly, the function-call graphs were created from the disassembled codes of program; then the caller–callee relationships of functions and the operational code (opcode) information about functions, combining the graph coloring techniques were used to measure the similarity metric between two function-call graphs; at last, the similarity metric was utilized to identify the malware variants from known malwares. The experimental results show that the proposed method is able to identify the obfuscated malicious softwares effectively.     

基于API函数及其参数相结合的恶意软件行为检测

提出了一个较灵活、可扩展的方法, 它是基于更细致的运行特征： API函数调用名、API函数的输入参数及两种特征的结合。抽取以上三类特征, 借助信息论中的熵, 定义了恶意代码信息增益值的概念, 并计算相应的API及其参数在区分恶意软件和良性软件时的信息增益值, 进而选择识别率高的特征以减少特征的数目从而减少分析时间。实验表明, 少量的特征选取和较高的识别率使得基于API函数与参数相结合的检测方法明显优于当前主流的基于API序列的识别算法。     

基于代码图像合成的Android恶意软件家族分类方法

代码图像化技术被提出后在Android恶意软件研究领域迅速普及。针对使用单个DEX文件转换而成的代码图像表征能力不足的问题,提出了一种基于代码图像合成的Android恶意软件家族分类方法。首先,将安装包中的DEX、XML与反编译生成的JAR文件进行灰度图像化处理,并使用Bilinear插值算法来放缩处理不同尺寸的灰度图像,然后将三张灰度图合成为一张三维RGB图像用于训练与分类。在分类模型上,将软阈值去噪模块与基于Split-Attention的ResNeSt相结合提出了STResNeSt。该模型具备较强的抗噪能力,更能关注代码图像的重要特征。针对训练过程中的数据长尾分布问题,在数据增强的基础上引入了类别平衡损失函数（CB Loss）,从而为样本不平衡造成的过拟合现象提供了解决方案。在Drebin数据集上,合成代码图像的准确率领先DEX灰度图像2.93个百分点,STResNeSt与残差神经网络（ResNet）相比准确率提升了1.1个百分点,且数据增强结合CB Loss的方案将F1值最高提升了2.4个百分点。实验结果表明,所提方法的平均分类准确率达到了98.97%,能有效分类Android恶意软件家族。     

基于半监督生成对抗网络的恶意代码家族分类实现

随着互联网的发展,恶意代码呈现海量化与多态化的趋势,恶意代码家族分类是网络空间安全面临的挑战之一。将半监督生成对抗网络与深度卷积学习网络相结合,构建半监督深度卷积生成对抗网络,提出了一种恶意代码家族分类模型,通过恶意代码家族特征分析,对恶意代码进行特征提取,转化为一维灰度图像;然后基于一维卷积神经网络1D-CNN,构建半监督生成对抗网络SGAN,形成恶意代码家族分类模型SGAN-CNN。从特征提取优化、半监督生成对抗训练算法优化等方面进行恶意代码家族分类能力提升。为了验证SGAN-CNN模型的分类效果,在Microsoft Malware Classification Challenge数据集上进行实验。5折交叉验证测试显示,本文提出的模型在样本标注标签占80%的情况下,分类的平均准确率达到98.81%;在样本标注标签仅有20%的情况下,分类的平均准确率达到98.01%,取得了较好的分类效果。在小样本数量情况下,也能取得不错的分类准确率。