恶意代码

摘要： 传统抗恶意代码攻击算法无法区分恶意代码类别,抗攻击行为不具有针对性,导致传统算法的抗攻击成功率偏低。为此提出基于改进深度森林的抗恶意代码攻击算法。采用Gamma校正法对缩放处理后的灰度图像完成色彩空间规范性处理,确定灰度图像梯度后构建其梯度方向直方图,在块内归一化梯度直方图后采集方向梯度直方图特征。以方向梯度直方图特征为输入,采用深度森林算法划分恶意代码类别。计算深度森林各级级联结构内的不同类别恶意代码概率均值,构建四维增强特征向量,将其作为下级输入,改进深度森林算法,提升算法收敛速度,完成抗恶意代码攻击算法的设计。仿真结果验证了上述算法针对不同恶意代码类型抗攻击成功率均高于70%,具有更强的应用性。

摘要： 随着反检测技术的不断发展,产生了大量形态多样的恶意代码变种,传统检测技术已无法准确检测出该种未知恶意代码。由于数据可视化方法能将恶意代码的核心表现在图像特征中,因此可视化恶意代码检测方法受到越来越多关注。首先对传统恶意代码检测技术进行概括总结,然后介绍当前主流的恶意代码可视化方法,接着分析了基于恶意代码图像的机器学习与深度学习检测方法,具体涵盖了该方法所用的模型结构、创新点及评估结果,最后对当前检测技术所面临的问题进行总结,并阐述了未来可能的研究方向,旨在助力恶意代码检测技术的发展。

摘要： 把恶意代码转成灰度图,再用深度神经网络自主学习灰度图的特征给恶意代码检测提供了新的思路,但是恶意代码图像化方案就是无差别地把恶意代码转换后的灰度图进行识别,该方法存在样本大小不一且由于采用裁剪而丢失恶意代码的信息和提取特征单一抗混淆能力不足等缺点,本文采用N-grams和灰度图特征融合的方法检测恶意代码,解决了不同恶意代码样本大小不一的问题,而且从文本和灰度图这两个不同的维度提取恶意代码的特征,提高了恶意代码检测的抗混淆能力,再使用k最近邻、随机森林、朴素贝叶斯和SVM算法检测该方法,实验结果表明融合特征比单特征的准确率高,且随机森林的准确率达到98.71%。

摘要： 在网络安全领域,恶意代码的威胁是一个不可回避的话题.如何快速检测出恶意代码、阻止和降低恶意代码产生的危害一直是亟需解决的问题.本文提出一种基于行为关系网络的恶意代码检测方法.首先,在沙箱中运行样本获得行为报告,再从报告中提取样本的API调用、注册表访问和文件读写操作三种行为记录来构建行为关系网络,所构建的行为关系网络包含“PE”、“API”、“Registry”和“File”4种类型的节点;然后,使用一种基于元图的方法来计算样本之间的相似度矩阵;最后,使用一种自定义核的支持向量机(Support Vector Machine, SVM)模型来进行训练和预测.实验结果表明,本文提出的方法可以达到95.5%的分类准确率,能够有效地对恶意代码进行检测.

摘要： 为了减小加壳、混淆技术对恶意代码分类的影响并提高准确率,提出一种基于卷积神经网络和多特征融合的恶意代码分类方法,以恶意代码灰度图像和带有API函数调用与操作码的混合序列为特征,设计基于卷积神经网络的多特征融合分类器。该分类器由图像组件、序列组件和融合组件构成,经训练后用于检测恶意代码类别。实验结果表明,相比目前已有的HYDRA、Orthrus等方法,该方法的分类准确率和宏F_(1)值更高,表明该方法能减小加壳、混淆技术影响,更准确地分类恶意代码。

摘要： 针对目前已有的基于深度学习的恶意代码检测方法提取特征不足和准确率低的问题,提出一种基于注意力机制和残差网络(ResNet)的恶意代码检测方法ARMD。为了支持该方法的训练,从Kaggle网站获取了47580个恶意和良性代码的Hash值,并利用VirusTotal分析工具提取每个代码数据调用的API,在此之后将所调用的API整合为1000个不重复的API作为检测的特征来构造训练样本数据;然后根据VirusTotal的分析结果进行良恶性判定进而标记样本数据,并采用SMOTE增强算法使数据样本均衡化;最后构建并训练注入注意力机制的ResNet,从而实现恶意代码检测。实验结果表明ARMD的恶意代码检测准确率为97.76%,且与目前已有的基于卷积神经网络(CNN)和ResNet模型的检测方法相比,平均精确率至少提高了2个百分点,验证了ARMD的有效性。

摘要： 本科传统专业信息安全——互联网时代的安全卫士专业描述近年来随着信息化技术的飞速发展,信息安全问题已经影响到我们的日常生活甚至国家安全.病毒、恶意代码导致的计算机和手机等设备瘫痪、个人信息的无故泄露、各种电信诈骗手段、窃取银行卡账号密码等事件屡见不鲜,以致于造成了严重的政治影响和经济损失.在网络信息技术高速发展的今天,信息安全变得至关重要,甚至已成为全球国际事务的重要话题.

摘要： 恶意代码已经成为威胁网络安全的重要因素。基于机器学习的恶意代码检测方法已经取得较好的效果,但面对相似的恶意代码家族,往往效果不佳。对此,提出了一种基于挤压激励网络的检测算法,由卷积神经网络(Convolutional Neural Network,CNN)与挤压和激励(Squeeze-and-Excitation,SE)模块构成。CNN先快速提取恶意代码的图像特征,SE模块对多通道特征图进行全局平均池化,将全局信息压缩,然后通过全连接层自适应学习,并将每个通道特征图赋予不同的权重来表示不同的重要程度,指导激励或抑制特征信息。实验结果表明,该方法相对于传统机器学习方法有更好的检测效果,与深度学习算法相比检测效果也有一定的提升且参数量大大减少。

摘要： 针对现有恶意代码传播模型在点对点(P2P)网络中缺乏新型恶意代码的实时检测以及节点间动态共享防治信息机制的问题,基于恶意代码特征行为检测技术建立了一类检测-传播模型。首先,在经典易感-感染-免疫(SIR)传播模型的基础上引入广播节点(广播节点是指成功检测出包含恶意代码的文件后生成防治信息并能持续把这一消息发送给邻居节点的特殊节点),引入广播节点后的模型通过检测技术不仅能有效降低节点自身被感染的风险,还可以通过节点之间动态共享恶意代码信息来阻断恶意代码在网络中的传播;然后,计算出平衡点并通过下一代矩阵理论得到模型的传播阈值;最后,通过Hurwitz判据和构造Liapunov函数证明了模型平衡点的局部稳定性和全局稳定性。实验结果表明,在传播阈值小于1的情况下,与退化的SIR模型相比,当检测率取值0.5、0.7和0.9时,所提检测-传播模型在峰值点处的感染节点总数分别下降了41.37%、48.23%和48.64%。可见,基于特征行为检测技术的检测-传播模型能遏制恶意代码前期在网络中的快速传播,且检测率越高,遏制效果越好。

摘要： 恶意代码对网络安全、信息安全造成了严重威胁。如何快速检测恶意代码,阻止和降低恶意代码产生的危害一直是亟需解决的问题。通过获取恶意应用的动态信息、构造异质信息网络(HIN),提出了描述恶意代码动态特征的方法,实现了恶意代码检测与分类。构建了FILE、API、DLL三类对象的4种元图,刻画了恶意代码HIN的网络模式。经过改进的随机游走策略,尽可能多地获取元图中对象节点的上下文信息,将其作为连续词包(CBOW)模型的输入,从而得到词向量的网络嵌入。通过投票方法改进主角度分析模型,得到多元图特征融合的分类结果。在仅可获得有限信息的情况下,大大提高了基于单元图特征的恶意样本分类准确率。

摘要： 文章提出一种基于关键函数的相似模块快速提取方法.该方法以具有API调用的函数为关键函数,将函数调用图压缩为关键函数调用图,从而大大减少图中结点数目,通过提取不同恶意代码关键函数调用图的公共子图确定相似模块.实验验证,该方法平均准确率为81.12％,相比传统相似模块提取方法,通过大幅度减少代码相似判定次数,大大提高了相似模块提取效率.

摘要： 针对日益严峻的工业网络安全问题,将态势感知作为主要研究对象,运用于工控系统的安全态势感知分析中,在研究了工控系统控制过程特点的基础上,通过传感器采集的信息将工控系统中物理层节点的数据传输关系与状态进行融合,在充分利用Agent的自主性和适应性,实时采集目标系统的状态信息的基础上,提出了一种基于多Agent的针对工业控制系统恶意代码行为捕获及网络态势感知的模型和算法,该模型能判断出工业系统是否遭受到了恶意攻击,并判断出被攻击节点.该套算法填补了工业控制领域安全态势感知的空白,为管理决策者和现场工程师提供了工控系统网络安全的预警机制,保障了工业控制网络安全,提高了工业控制系统的可靠性.进行了Matlab仿真实验、模仿实际工业环境完整性攻击,将实验结果与攻击者的攻击目的进行对比,验证了提出的工控系统安全态势感知模型及算法的正确性和有效性.

摘要： 随着Android系统在移动智能终端的应用越来越广,Android系统的信息安全问题也日趋严重.尽管Android操作系统的进程采用了独立的虚拟内存空间保障其程序内核的可靠性,但由于应用程序各种事件之间的调用和关联,导致隐私数据泄露、程序越权操作、电池耗尽攻击、恶意进程交互等手机安全事件频繁涌现.因此Android恶意代码检测技术成为移动应用安全防护的一个研究热点.文章从Android恶意代码检测的应用需求和背景出发,概述了动态检测和静态检测方法、基于机器学习的智能检测方法、基于形式化的软件工程方法等各个方面的研究进展,最后提出了融合机器学习和软件工程方法的综合静态检测方法的研究方向,并分析了技术难点,可为学术研究和产品开发提供有价值的参考.

摘要： 近几年,随着恶意代码数量的飞速增长,将聚类算法用于恶意代码新家族检测受到越来越多安全厂商的青睐.恶意代码聚类将具有相似行为或结构的样本划分到同一簇中,选取不同的特征将影响恶意代码的聚类质量.文章首先选取恶意代码聚类研究中常用的特征进行讨论比较.现有大部分研究均选取单一特征向量进行聚类,而任何单一特征向量均难以完整描述恶意代码的全部性质.针对该问题,文章接着提出利用多特征向量对的方法进行恶意代码聚类,并根据聚类结果定义特定的指标对选用的特征进行评价.最后,文章结合DBSCAN聚类算法对各种特征以及特征间的组合进行实验,结果表明,采用多特征向量对的聚类效果要优于单一特征向量.

摘要： 恶意代码同源判定对作者溯源、攻击事件责任判定、攻击场景还原等研究工作具有重要作用.目前恶意代码同源判定方法往往依赖人工分析,效率低下,为此,提出一种基于调用习惯的恶意代码自动化同源判定方法.该方法基于7类调用行为构建作者编程习惯模型,利用频繁项离群检测算法实现恶意代码同源判定.实验结果表明,该方法具有99％以上的准确率和可接受的召回率.

摘要： 针对Android平台的恶意代码分析建模一直是目前移动终端安全的研究重点,本文对目前常见的恶意代码进行归纳、分类和行为抽取,在对行为完成形式化描述的基础上,提出了一种基于petri网的恶意代码建模方法,使用该方法能够描述恶意代码从安装、加载到恶意执行的整个过程.并对恶意软件BeanBot建模,利用CPN tools仿真工具分析了模型的可达性和有界性等性质,实验表明该方法可以准确的刻画恶意代码的运行过程,有助于对恶意代码的机制进行深入分析.

摘要： 由于互联网的飞速发展以及各种利益的驱使,恶意代码已经对网络空间造成重大威胁,而且其产生速度逐步加快.目前,主要采用传统分类方法对恶意代码进行分类识别,这些方法需要通过学习大量标记样本来获得精准的分类器模型.然而样本标记工作只有少数专家才能完成,导致标记样本往往不足,致使分类结果准确率不高.针对该问题,本文提出一种基于协同采样的主动学习方法,仅需少量标记样本即可有效识别出恶意代码,相对于传统的恶意代码分类方法,能够显著提升分类准确率和泛化性能.通过实验，证明了协同采样主动学习方法的有效性。相比于随机采样的分类方法，采用协同采样主动学习方法能够显著提高分类的各项性能指标。尤其是在标记样本总数相对较少情况下，提升更为明显。此外本文实验是将总体数据集划分为相互独立的训练集和测试集，因此也证明了协同采样主动学习方法优异的泛化性能。该方法有效的原因在于主动学习样本集中主要是基准分类器不能够正确分类的样本，这些样本相对于随机选取的样本，包含更多有益于提升基准分类器性能的信息。此外由于进行两轮训练，且第二轮训练中通过引用主动学习样本引入测试集的样本信息，从而提升了分类器的泛化性能。

摘要： 计算机作为一个复杂的系统，其安全性应该取决于系统中安全性最薄弱的环节。本文针对恶意代码的实施原理,借鉴国产TPCM模块"运行与防御并行的双体系结构"思想,提出了一种基于完整性和权限控制的动态防御架构,详细阐述了该架构的运行机理,并对其安全性进行了分析.

摘要： 文章从基于社会工程学的邮件攻击方式和造成的危害出发,对利用社会工程学的电子邮件攻击进行了深入的分析.目前利用社会工程学技巧依托电子邮件发起攻击已是常见攻击方法,是当前恶意代码流行的重要手段.文章依托捕获的一些安全事件,对邮件的传播手段、附件文件的攻击方法进行了关联分析.最后,通过提取同类特征挖掘出更多的类似攻击邮件,并进行了整体的关联分析与总结.分析发现，攻击手法从普通的邮件攻击、钓鱼攻击、到鱼叉式钓鱼攻击。攻击手法从粗糙到精密，攻击目标从“扩散”到“扫射”再到“狙击”。尽管此次分析的相关邮件并不具有高度定向胜，但其呈现出小批量选择性发送的特点，但对受到欺骗的用户来说可能会造成一定的损失。在邮件中采用了较为精细的社工技巧后，必然有一定比例的用户会被欺骗，这种攻击对受害用户来说，达成了与定向攻击类似的效果。总之，网络安全威胁的防范早已不能单单依靠技术，用户安全意识的提升对网络安全整体状况的改善至关重要，互联网的安全需要安全从业者与广大用户的共同努力。

摘要： 如今,互联网的普及给各行各业带来了新的机遇.计算机软硬件和数据科学的发展使得海量的数据可以发挥其巨大的价值.在信息安全领域,数据也可以大显身手.传统安全工具的分析能力已经远远赶不上收集各种网络行为数据的能力.

摘要： 一种设备包括流水线和检测器，其二者都至少以硬件来加以实现。数据被移动通过所述流水线以执行与恶意代码的检测不相关的数据的处理。与当所述数据被移动通过所述流水线时的所述数据的处理并行地，当所述数据被移动通过所述流水线时，所述检测器检测所述数据内的所述恶意代码。当所述数据被移动通过所述流水线时，所述检测器检测所述数据内的所述恶意代码而不延迟所述数据进入、通过以及离开所述流水线的移动。

摘要： 本发明公开了一种基于三位一体综合画像的恶意代码检测及恶意性定位方法。使用本发明能够实现恶意代码的恶意性评估，并对代码恶意性部位实现准确定位。本发明在融合静态分析和动态分析方法的基础上，综合提取恶意代码的多方面主要特征，引入系统画像的思想，从基本结构、底层行为和高层行为等三个方面构建起“三位一体”的综合画像，建立能够系统准确刻画恶意代码的特征空间，实现对恶意代码的准确检测和家族分类。在此基础上，基于检测结果对三个画像部位的恶意性进行评估，由此实现对代码恶意性部位的准确定位，辅助研究人员建立起关于恶意代码的系统认知。

摘要： 一种恶意软件感染后宿主软件中恶意代码识别方法。首先，使用递归下降反汇编方法获得宿主软件的反汇编代码，其中需要获得机器指令对应的反汇编代码、代码中出现的各种引用信息和导入表函数信息；然后，根据引用情况确定代码序列之间的断点，并将两个断点之间的代码序列构成一个代码块；接着根据相邻代码块之间的关系进行合并；并且，根据对导入表函数使用情况寻找最长的未使用导入表函数的代码块序列；最后根据恶意代码与宿主软件代码之间的调用关系确定恶意代码的起始软件块和结束软件块，这样就最终获得所需要的恶意代码序列。该方法可以作为宿主软件中恶意代码识别的通用方法，为进一步的软件复原提供具体的代码位置信息。

摘要： 一种对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法，通过对已知恶意程序的恶意入口点类建立由模糊哈希值构成的特征库，用于与反汇编后的待检测程序的入口点类进行匹配；然后依次切除被重打包加入的完整的恶意代码片段以及恶意代码的资源文件，最后找出重打包过程中对原程序实施修改的代码片段，恢复其原有功能。本发明针对当前Android平台日益严重的恶意程序使用的重打包植入恶意代码这一最主要传播特征，检测和切除那些正常程序中植入的恶意代码部分。

摘要： 本发明公开的属于网络安全技术领域，具体为一种基于恶意代码动态取证模型的恶意代码检测方法，包括具体步骤如下：步骤一：获取待检测的代码序列流；步骤二：基于3‑Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量，本发明通过恶意代码检测模型实现了对代码序列的初检，即恶意代码和非恶意代码的初步鉴别，再利用聚类分簇的手段，将初检出恶意代码的未知序列进行聚类，利用同一簇类下待测样本对应的恶意代码分类应当一致的机理进一步鉴别是否为恶意代码，通过双重鉴别大幅度提高了恶意代码的检测精度。

摘要： 本发明实施例公开了一种恶意代码识别模型的训练方法、恶意代码识别方法及装置。该恶意代码识别模型的训练方法，包括：获取恶意代码样本的静态分析特征集；获取恶意代码样本的动态分析特征集；基于静态分析特征集及动态分析特征集，训练预设的多层向前神经网络得到恶意代码识别模型。根据本发明实施例，能够获取识别准确度更高的恶意代码识别模型，进而更加准确地识别恶意代码。

摘要： 本发明公开了一种恶意代码同源性分析方法，该方法可以包括：获取待分析代码；利用分类模型，对该待分析代码进行识别，得到识别结果；其中，该分类模型是利用预定的恶意代码样本的结构特征训练得到的；该结构特征由基于恶意代码样本切片过滤条件，并对恶意代码样本进行二进制代码过程间切片而得到；根据识别结果，确定该待分析代码所属的网络攻击组织或网络安全事件。通过该技术方案，使用分类模型对待分析代码进行分类识别，判断该待分析代码是否与已知网络攻击组织或事件的恶意代码样本具有同源性进而确定待分析代码是否为恶意代码，由此解决了如何提高分析恶意代码同源性的效率和准确率的问题。

摘要： 本发明公开了一种使用恶意代码属性判断恶意域名的方法、系统和装置，该方法包括：获取域名关联的恶意代码以及域名与恶意代码之间的关系；提取每一个恶意代码的恶意代码属性，根据域名关联的多个恶意代码的属性，基于投票方法确定域名关联的恶意代码属性；基于域名关联的恶意代码属性和域名与恶意代码之间的关系，得到恶意域名分类。采用字符串匹配算法、将多个反病毒检测引擎检测的结果进行合理命名，采用投票方法，获取恶意代码的准确的行为、家族和平台等属性信息，根据这些属性信息对恶意域名进行分类，从而实现对恶意域名的准确判断，有利于正确判断恶意域名的危害性，促使相关安全人员及时进行安全事件响应。

摘要： 本发明提出了一种安卓恶意软件检测和恶意代码定位系统及方法，用于解决现有安卓恶意软件检测器的解释性不足和语义分析能力欠缺的问题。其实现方案为：将正常和恶意样本作为原始数据，使用Androguard提取应用指令字节码，通过静态提取的方式模拟程序在运行时可能出现的API序列，构造API序列数据集，之后基于深度学习模型训练出用于恶意软件检测的分类器，实现恶意软件自动检测，同时引入注意力机制，对于被检测为恶意的应用，定位其中的恶意代码段，最终以分析报告的形式输出。本发明不仅提供精确的恶意软件检测，更为测结果提供了解释性的验证依据。

摘要： 本发明公开了一种基于三位一体综合画像的恶意代码检测及恶意性定位方法。使用本发明能够实现恶意代码的恶意性评估，并对代码恶意性部位实现准确定位。本发明在融合静态分析和动态分析方法的基础上，综合提取恶意代码的多方面主要特征，引入系统画像的思想，从基本结构、底层行为和高层行为等三个方面构建起“三位一体”的综合画像，建立能够系统准确刻画恶意代码的特征空间，实现对恶意代码的准确检测和家族分类。在此基础上，基于检测结果对三个画像部位的恶意性进行评估，由此实现对代码恶意性部位的准确定位，辅助研究人员建立起关于恶意代码的系统认知。