检索结果-南通市图书馆

一种基于多特征集成学习的恶意代码静态检测框架

在线全文

学校读者我要写书评

暂无评论

计算机研究与发展 2021年第5期58卷 1021-1034页

作者：杨望高明哲蒋婷东南大学网络空间安全学院南京211189 计算机网络和信息集成教育部重点实验室(东南大学) 南京211189 江苏省计算机网络技术重点实验室(东南大学) 南京211189

伴随着互联网的普及和5G通信技术的快速发展,网络空间所面临的威胁日益增大,尤其是恶意软件的数量呈指数型上升,其所属家族的变种爆发式增加.传统的基于人工签名的恶意软件的检测方式速度太慢,难以处理每天数百万计新增的恶意软件,而普... 详细信息

伴随着互联网的普及和5G通信技术的快速发展,网络空间所面临的威胁日益增大,尤其是恶意软件的数量呈指数型上升,其所属家族的变种爆发式增加.传统的基于人工签名的恶意软件的检测方式速度太慢,难以处理每天数百万计新增的恶意软件,而普通的机器学习分类器的误报率和漏检率又明显过高.同时恶意软件的加壳、混淆等对抗技术对该情况造成了更大的困扰.基于此,提出一种基于多特征集成学习的恶意软件静态检测框架.通过提取恶意软件的非PE(Portable Executable)结构特征、可见字符串与汇编码序列特征、PE结构特征以及函数调用关系5部分特征,构建与各部分特征相匹配的模型,采用Bagging集成和Stacking集成算法,提升模型的稳定性,降低过拟合的风险.然后采取权重策略投票算法对5部分集成模型的输出结果做进一步聚合.经过测试,多特征多模型聚合的检测准确率可达96.99%,该结果表明:与其他静态检测方法相比,该方法具有更好的恶意软件鉴别能力,对加壳、混淆等恶意软件同样具备较高的识别率.

关键词：恶意代码多特征集成学习策略投票静态检测

在线全文

学校读者我要写书评

暂无评论

基于N-gram特征的恶意代码可视化方法

电子学报 2019年第10期47卷 2108-2115页

作者：任卓君陈光卢文科东华大学信息科学与技术学院

本文提出了两种基于N-gram特征的恶意代码可视化方法.方法一以空间填充曲线的形式表示,解决了灰度图方法不能定位字符信息进行交互分析的问题;方法二可视化恶意代码的2-gram特征,解决了重置代码段或增加冗余信息来改变全局图像特征的问... 详细信息

本文提出了两种基于N-gram特征的恶意代码可视化方法.方法一以空间填充曲线的形式表示,解决了灰度图方法不能定位字符信息进行交互分析的问题;方法二可视化恶意代码的2-gram特征,解决了重置代码段或增加冗余信息来改变全局图像特征的问题.经深度融合网络验证所提方法的识别与分类性能,取得了较优的结果.

关键词：恶意代码可视化分析空间填充曲线卷积神经网络迁移学习

在线全文

学校读者我要写书评

暂无评论

基于语义的恶意代码行为特征提取及检测方法

软件学报 2012年第2期23卷 378-393页

作者：王蕊冯登国杨轶苏璞睿中国科学院研究生院北京100049 信息安全国家重点实验室(中国科学院信息工程研究所) 北京100029

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码... 详细信息

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.

关键词：恶意代码语义行为特征提取恶意代码检测

基于空间关系特征的未知恶意代码自动检测技术研究

在线全文

学校读者我要写书评

暂无评论

计算机研究与发展 2012年第5期49卷 949-957页

作者：李鹏王汝传武宁南京邮电大学计算机学院南京210003 南京邮电大学计算机研究所南京210003

提出基于未知恶意代码样本空间关系特征的自动检测技术.针对量化的恶意代码样本字符空间的向量特征,基于区域生长的智能分块算法,划分恶意代码样本空间关系区域;根据区域分别计算恶意代码样本的字符矩、信息熵和相关系数等空间关系特征... 详细信息

提出基于未知恶意代码样本空间关系特征的自动检测技术.针对量化的恶意代码样本字符空间的向量特征,基于区域生长的智能分块算法,划分恶意代码样本空间关系区域;根据区域分别计算恶意代码样本的字符矩、信息熵和相关系数等空间关系特征,分别提取特征向量,并归一化处理;通过分析恶意代码样本特征的共性,建立空间关系特征向量索引;采用综合多特征的相似优先匹配方法检测未知恶意代码,多个空间关系距离加权作为判别依据,提高检测的准确率.实验表明,提出的自动检测方法能够自动快速地匹配出未知恶意代码的样本,准确程度高,而且能够确定未知恶意代码的类型.

关键词：网络安全恶意代码智能分块空间关系特征相似性匹配

基于动态污点分析的恶意代码通信协议逆向分析方法

在线全文

学校读者我要写书评

暂无评论

电子学报 2012年第4期40卷 661-668页

作者：刘豫王明华苏璞睿冯登国中国科学院软件研究所信息安全国家重点实验室北京100190

对恶意代码通信协议的逆向分析是多种网络安全应用的重要基础.针对现有方法在协议语法结构划分的完整性和准确性方面存在不足,对协议字段的语义理解尤为薄弱,提出了一种基于动态污点分析的协议逆向分析方法,通过构建恶意进程指令级和函... 详细信息

对恶意代码通信协议的逆向分析是多种网络安全应用的重要基础.针对现有方法在协议语法结构划分的完整性和准确性方面存在不足,对协议字段的语义理解尤为薄弱,提出了一种基于动态污点分析的协议逆向分析方法,通过构建恶意进程指令级和函数级行为的扩展污点传播流图(Extended Taint Propagation Graph,ETPG),完成对协议数据的语法划分和语义理解.通过实现原型系统并使用恶意代码样本进行测试,结果表明本方法可以实现有效的语法和语义分析,具有较高的准确性和可靠性.

关键词：恶意代码协议逆向分析动态污点分析

在线全文

学校读者我要写书评

暂无评论

基于人工智能的物联网恶意代码检测综述

计算机研究与发展 2023年第10期60卷 2234-2254页

作者：刘奇旭刘嘉熹靳泽刘心宇肖聚鑫陈艳辉朱洪文谭耀康中国科学院信息工程研究所北京100085 中国科学院大学网络空间安全学院北京100049

近年来,随着物联网(Internet of things,IoT)设备的大规模部署,针对物联网设备的恶意代码也不断出现,物联网安全面临来自恶意代码的巨大威胁,亟需对物联网恶意代码检测技术进行综合研究.随着人工智能(artificial intelligence,AI)在计... 详细信息

近年来,随着物联网(Internet of things,IoT)设备的大规模部署,针对物联网设备的恶意代码也不断出现,物联网安全面临来自恶意代码的巨大威胁,亟需对物联网恶意代码检测技术进行综合研究.随着人工智能(artificial intelligence,AI)在计算机视觉和自然语言处理等领域取得了举世瞩目的成就,物联网安全领域也出现了许多基于人工智能的恶意代码检测工作.通过跟进相关研究成果,从物联网环境和设备的特性出发,提出了基于该领域研究主要动机的分类方法,从面向物联网设备限制缓解的恶意代码检测和面向性能提升的物联网恶意代码检测2方面分析该领域的研究发展现状.该分类方法涵盖了物联网恶意代码检测的相关研究,充分体现了物联网设备独有的特性以及当前该领域研究存在的不足.最后通过总结现有研究,深入讨论了目前基于人工智能的恶意代码检测研究中存在的问题,为该领域未来的研究提出了结合大模型实现物联网恶意代码检测,提高检测模型安全性以及结合零信任架构3个可能的发展方向.

关键词：物联网恶意代码人工智能检测技术网络空间安全

StealthyFlow:一种对抗条件下恶意代码动态流量伪装框架

在线全文

学校读者我要写书评

暂无评论

计算机学报 2021年第5期44卷 948-962页

作者：韩宇方滨兴崔翔王忠儒冀甜甜冯林余伟强北京邮电大学可信分布式计算与服务教育部重点实验室北京100876 广州大学网络空间先进技术研究院广州510006 中国网络空间研究院北京100010 北京丁牛科技有限公司北京100081

恶意代码问题使国家安全面临严重威胁.随着TLS协议快速普及,恶意代码呈现出流量加密化的趋势,通信内容加密导致检测难度的进一步提高.本文提出一种恶意代码流量伪装框架StealthyFlow,以采用加密流量进行远控通信的公共资源型恶意代码与... 详细信息

恶意代码问题使国家安全面临严重威胁.随着TLS协议快速普及,恶意代码呈现出流量加密化的趋势,通信内容加密导致检测难度的进一步提高.本文提出一种恶意代码流量伪装框架StealthyFlow,以采用加密流量进行远控通信的公共资源型恶意代码与GAN结合,对恶意流量进行不影响攻击功能的伪装,旨在实现伪装后的对抗流量与良性流量的不可区分性,进而绕过基于机器学习算法的分类器.StealthyFlow具有如下优势:根据目标流量的变化动态调整对抗流量,实现动态流量伪装;伪装在恶意代码层面进行,保证攻击功能不被破坏;绕过目标不参与训练过程,保证恶意代码不会提前暴露.实验结果表明,StealthyFlow产生的攻击流量与良性流量相似度极高,在对抗环境中可以绕过机器学习分类器.因此,需要对此种恶意代码提起注意,并尽快研究防御对策.

关键词：恶意代码加密流量 StealthyFlow 绕过动态流量伪装

Maldetect:基于Dalvik指令抽象的Android恶意代码检测系统

在线全文

学校读者我要写书评

暂无评论

计算机研究与发展 2016年第10期53卷 2299-2306页

作者：陈铁明杨益敏陈波浙江工业大学计算机科学与技术学院杭州310023

提出了一个Android恶意代码的静态检测系统Maldetect,首先采用逆向工程将DEX文件转化为Dalvik指令并对其进行简化抽象,再将抽象后的指令序列进行N-Gram编码作为样本训练,最后利用机器学习算法创建分类检测模型,并通过对分类算法与N-Gra... 详细信息

提出了一个Android恶意代码的静态检测系统Maldetect,首先采用逆向工程将DEX文件转化为Dalvik指令并对其进行简化抽象,再将抽象后的指令序列进行N-Gram编码作为样本训练,最后利用机器学习算法创建分类检测模型,并通过对分类算法与N-Gram序列的组合分析,提出了基于3-Gram和随机森林的优选检测方法.通过4 000个Android恶意应用样本与专业反毒软件进行的检测对比实验,表明Maldetect可更有效地进行Android恶意代码检测与分类,且获得较高的检测率.

关键词：恶意代码安卓 Dalvik指令 N-Gram 机器学习

基于Dalvik指令的Android恶意代码特征描述及验证

在线全文

学校读者我要写书评

暂无评论

计算机研究与发展 2014年第7期51卷 1458-1466页

作者：李挺董航袁春阳杜跃进徐国爱国家计算机网络应急技术处理协调中心北京100029 北京邮电大学信息安全中心北京100876

为实现Android平台下恶意软件的高效检测,提出了一种基于Dalvik指令的Android恶意代码特征形式化描述和分析方法,能够在无需反编译应用程序的基础上,快速检测样本的恶意特征.该方法首先依照DEX文件格式对Android应用程序切分得到以方法... 详细信息

为实现Android平台下恶意软件的高效检测,提出了一种基于Dalvik指令的Android恶意代码特征形式化描述和分析方法,能够在无需反编译应用程序的基础上,快速检测样本的恶意特征.该方法首先依照DEX文件格式对Android应用程序切分得到以方法为单位的指令块,通过对块中Dalvik指令进行形式化描述以实现程序特征的简化和提取,之后综合使用改进的软件相似度度量算法和闵可夫斯基距离算法计算提取特征与已知恶意特征的相似度,并根据相似度比对结果来判定当前待测软件是否含有恶意代码.最后建立原型系统模型来验证上述方法,以大量随机样本进行特征匹配实验.实验结果表明,该方法描述特征准确、检测速度较快,适用于Android恶意代码的快速检测.

关键词： Dalvik指令安卓恶意代码形式化描述相似度