检索结果-南通市图书馆

基于特征聚类的海量恶意代码在线自动分析模型

在线全文

学校读者我要写书评

暂无评论

通信学报 2013年第8期34卷 146-153页

作者：徐小琳云晓春周勇林康学斌中国科学院计算技术研究所北京100190 中国科学院大学北京100049 中国科学院信息工程研究所北京100093 国家计算机网络应急技术处理协调中心北京100029 安天实验室黑龙江哈尔滨150040

针对传统海量恶意代码分析方法中自动特征提取能力不足以及家族判定时效性差等问题,通过动静态方法对大量样本行为构成和代码片段分布规律的研究,提出了基于特征聚类的海量恶意代码在线自动分析模型,包括基于API行为和代码片段的特征空... 详细信息

针对传统海量恶意代码分析方法中自动特征提取能力不足以及家族判定时效性差等问题,通过动静态方法对大量样本行为构成和代码片段分布规律的研究,提出了基于特征聚类的海量恶意代码在线自动分析模型,包括基于API行为和代码片段的特征空间构建方法、自动特征提取算法和基于LSH的近邻聚类算法。实验结果表明该模型具有大规模样本自动特征提取、支持在线数据聚类、家族判定准确率高等优势,依据该模型设计的原型系统实用性较强。

关键词：恶意代码在线自动分析快速聚类特征提取

HoneyBow:一个基于高交互式蜜罐技术的恶意代码自动捕获器

在线全文

学校读者我要写书评

暂无评论

通信学报 2007年第12期28卷 8-13页

作者：诸葛建伟韩心慧周勇林宋程昱郭晋鹏邹维北京大学计算机科学技术研究所北京100871 国家计算机网络应急技术处理协调中心北京100029

恶意代码已成为互联网最为严重的安全威胁之一,自动化捕获恶意代码样本是及时有效地应对恶意代码传播的必要前提,提出了一个基于高交互式蜜罐技术的恶意代码自动捕获器HoneyBow。相比较于基于低交互式蜜罐技术的Nepenthes恶意代码捕获器... 详细信息

恶意代码已成为互联网最为严重的安全威胁之一,自动化捕获恶意代码样本是及时有效地应对恶意代码传播的必要前提,提出了一个基于高交互式蜜罐技术的恶意代码自动捕获器HoneyBow。相比较于基于低交互式蜜罐技术的Nepenthes恶意代码捕获器,HoneyBow具有恶意代码捕获类型更为全面、能够捕获未知恶意代码的优势,互联网上的实际恶意代码捕获记录对比和Mocbot蠕虫的应急响应处理实例对其进行了充分验证。

关键词：恶意代码恶意代码捕获蜜罐蜜网

在线全文

学校读者我要写书评

暂无评论

基于代码图像增强的恶意代码检测方法

清华大学学报（自然科学版） 2020年第5期60卷 386-392页

作者：孙博文张鹏成茗宇李新童李祺中国信息安全测评中心北京100085 北京邮电大学网络空间安全学院北京100876

网络空间面临的恶意代码威胁日益严峻,传统恶意代码检测方法在恶意代码攻防对抗中逐渐暴露弊端。针对此现状,该文提出了基于代码灰度化图像增强的恶意代码检测方法,使用恶意代码ASCII字符信息和PE结构信息对传统恶意代码灰度化图像方法... 详细信息

网络空间面临的恶意代码威胁日益严峻,传统恶意代码检测方法在恶意代码攻防对抗中逐渐暴露弊端。针对此现状,该文提出了基于代码灰度化图像增强的恶意代码检测方法,使用恶意代码ASCII字符信息和PE结构信息对传统恶意代码灰度化图像方法进行改进,构建RGB三维图像作为原始数据输入到检测算法,并使用一种带有空间金字塔池化结构的VGG16神经网络模型对恶意代码图像进行训练和预测。该文还提出了一种基于多标注归一化表示的方法来提高样本标签的可靠性,实验结果表明:该方案可以有效应对加壳、混淆等对抗手段,对新型恶意代码具有良好的检测效果。

关键词：计算机病毒与防治恶意代码代码图像化卷积神经网络空间金字塔池化

在线全文

学校读者我要写书评

暂无评论

基于异质信息网络的恶意代码检测

北京航空航天大学学报 2022年第2期48卷 258-265页

作者：刘亚姝侯跃然严寒冰北京建筑大学电气与信息工程学院北京100044 北京邮电大学网络技术研究院北京100876 国家计算机网络应急技术处理协调中心北京100029

恶意代码对网络安全、信息安全造成了严重威胁。如何快速检测恶意代码,阻止和降低恶意代码产生的危害一直是亟需解决的问题。通过获取恶意应用的动态信息、构造异质信息网络(HIN),提出了描述恶意代码动态特征的方法,实现了恶意代码检测... 详细信息

恶意代码对网络安全、信息安全造成了严重威胁。如何快速检测恶意代码,阻止和降低恶意代码产生的危害一直是亟需解决的问题。通过获取恶意应用的动态信息、构造异质信息网络(HIN),提出了描述恶意代码动态特征的方法,实现了恶意代码检测与分类。构建了FILE、API、DLL三类对象的4种元图,刻画了恶意代码HIN的网络模式。经过改进的随机游走策略,尽可能多地获取元图中对象节点的上下文信息,将其作为连续词包(CBOW)模型的输入,从而得到词向量的网络嵌入。通过投票方法改进主角度分析模型,得到多元图特征融合的分类结果。在仅可获得有限信息的情况下,大大提高了基于单元图特征的恶意样本分类准确率。

关键词：恶意代码异质信息网络(HIN) 随机游走连续词包(CBOW) 元图

基于代码进化的恶意代码沙箱规避检测技术研究

在线全文

学校读者我要写书评

暂无评论

电子与信息学报 2019年第2期41卷 341-347页

作者：梁光辉庞建民单征解放军信息工程大学郑州450001 数学工程与先进计算国家重点实验室郑州450001

为了对抗恶意代码的沙箱规避行为,提高恶意代码的分析效率,该文提出基于代码进化的恶意代码沙箱规避检测技术。提取恶意代码的静态语义信息和动态运行时信息,利用沙箱规避行为在代码进化过程中所产生的动静态语义上的差异,设计了基于相... 详细信息

为了对抗恶意代码的沙箱规避行为,提高恶意代码的分析效率,该文提出基于代码进化的恶意代码沙箱规避检测技术。提取恶意代码的静态语义信息和动态运行时信息,利用沙箱规避行为在代码进化过程中所产生的动静态语义上的差异,设计了基于相似度差异的判定算法。在7个实际恶意家族中共检测出240个具有沙箱规避行为的恶意样本,相比于JOE分析系统,准确率提高了12.5%,同时将误报率降低到1%,其验证了该文方法的正确性和有效性。

关键词：恶意代码沙箱规避静态相似度

在线全文

学校读者我要写书评

暂无评论

基于有效窗口和朴素贝叶斯的恶意代码分类

计算机研究与发展 2014年第2期51卷 373-381页

作者：朱克楠尹宝林冒亚明胡英男中国石油信息技术服务中心北京100007 北京航空航天大学计算机学院北京100191 中国石油安全环保技术研究院HSE信息中心北京102206

恶意代码分类是恶意代码分析和入侵检测领域中的核心问题.现有分类方法分析效率低,准确性差,主要原因在于行为分析原始资料规模大,噪声高,随机因素干扰.针对上述问题,以恶意代码行为序列报告作为基础,在分析随机因素及行为噪声对恶意代... 详细信息

恶意代码分类是恶意代码分析和入侵检测领域中的核心问题.现有分类方法分析效率低,准确性差,主要原因在于行为分析原始资料规模大,噪声高,随机因素干扰.针对上述问题,以恶意代码行为序列报告作为基础,在分析随机因素及行为噪声对恶意代码行为特征和操作相似性的干扰之后,给出一个系统调用参数有效窗口模型,通过该模型加强行为序列的相似度描述能力,降低随机因素的干扰.在此基础上提出一种基于朴素贝叶斯机器学习模型和操作相似度窗口的恶意代码自动分类方法.设计并实现了一个自动恶意代码行为分类器原型MalwareFilter.使用真实恶意代码生成的行为序列报告对原型系统进行评估,通过实验证明了该方法的有效性,结果表明,该方法通过操作相似度窗口提高了训练和分类过程的性能和准确度.

关键词：恶意代码行为分类朴素贝叶斯机器学习入侵检测行为特征操作相似度

在线全文

学校读者我要写书评

暂无评论

一种基于特征融合的恶意代码快速检测方法

电子学报 2023年第1期51卷 57-66页

作者：王硕王坚王亚男宋亚飞空军工程大学防空反导学院陕西西安710051

随着恶意代码对抗技术的发展,恶意攻击者通过加壳、代码混淆等技术繁衍大量恶意代码变种,而传统恶意代码检测方法难以对其进行有效检测.基于恶意代码可视化的恶意代码检测方法被证明是一种能够有效识别恶意代码及其变种的新方法 .针对... 详细信息

随着恶意代码对抗技术的发展,恶意攻击者通过加壳、代码混淆等技术繁衍大量恶意代码变种,而传统恶意代码检测方法难以对其进行有效检测.基于恶意代码可视化的恶意代码检测方法被证明是一种能够有效识别恶意代码及其变种的新方法 .针对目前研究仅着眼于提升模型分类准确率而忽略了恶意代码检测的时效性,本文提出了一种基于特征融合的恶意代码快速检测方法 .该方法以深度神经网络为框架,采取模块化设计思想,将多尺度恶意代码特征融合与通道注意力机制结合,增强关键特征表达,并使用数据增强技术改善数据集类别不平衡问题.通过实验证明本文方法分类准确率高且参数量小、检测时效性高,优于目前的恶意代码检测技术.

关键词：恶意代码深度神经网络特征融合通道注意力机制数据增强技术恶意代码可视化

在线全文

学校读者我要写书评

暂无评论

基于LIME的恶意代码对抗样本生成技术

北京航空航天大学学报 2022年第2期48卷 331-338页

作者：黄天波李成扬刘永志李燈辉文伟平北京大学软件与微电子学院北京102600

基于机器学习检测恶意代码技术的研究和分析,针对机器学习模型对抗样本的生成提出一种基于模型无关的局部可解释(LIME)的黑盒对抗样本生成方法。该方法可以对任意黑盒的恶意代码分类器生成对抗样本,绕过机器学习模型检测。使用简单模型... 详细信息

基于机器学习检测恶意代码技术的研究和分析,针对机器学习模型对抗样本的生成提出一种基于模型无关的局部可解释(LIME)的黑盒对抗样本生成方法。该方法可以对任意黑盒的恶意代码分类器生成对抗样本,绕过机器学习模型检测。使用简单模型模拟目标分类器的局部表现,获取特征权重;通过扰动算法生成扰动,根据生成的扰动对原恶意代码进行修改后生成对抗样本;基于2015年微软公布的常见恶意样本数据集和收集的来自50多个供应商的良性样本数据对所提方法进行实验,参照常见恶意代码分类器实现了18个基于不同算法或特征的目标分类器,使用所提方法对目标分类器进行攻击,使分类器的真阳性率均降低到接近0。此外,对MalGAN和ZOO两个先进的黑盒对抗样本生成方法与所提方法进行对比,实验结果表明:所提方法能够有效生成对抗样本,且方法本身具有适用范围广泛、能灵活控制扰动和健全性的优点。

关键词：对抗样本恶意代码机器学习模型无关的局部可解释(LIME) 目标分类器

在线全文

学校读者我要写书评

暂无评论

一种基于行为集成学习的恶意代码检测方法

北京邮电大学学报 2019年第4期42卷 89-95页

作者：胥小波张文博何超罗怡中国电子科技网络信息安全有限公司成都610041 中国电子科技集团公司第三十研究所成都610041

为了解决变种恶意代码、未知威胁行为恶意分析等问题,研究了基于梯度提升树的恶意代码分类方法,从大量样本中学习程序行为特征和指令序列特征,实现了智能恶意代码分类功能.将GBDT算法引入恶意代码检测领域,使模型结果行为序列具有可解释... 详细信息

为了解决变种恶意代码、未知威胁行为恶意分析等问题,研究了基于梯度提升树的恶意代码分类方法,从大量样本中学习程序行为特征和指令序列特征,实现了智能恶意代码分类功能.将GBDT算法引入恶意代码检测领域,使模型结果行为序列具有可解释性,对恶意代码的检测能力大幅提高.GBDT算法能够客观地反映恶意代码的行为和意图本质,能够准确识别恶意代码.

关键词：恶意代码未知威胁梯度提升树行为特征