恶意代码检测

摘要： 恶意代码的API调用序列可以反映恶意行为,深度学习模型可以应用在基于API调用序列检测恶意代码中。本文基于一维卷积神经网络和稠密网络结构设计了1D-CNN-Densenet网络模型,将恶意代码动态API调用序列处理成文本特征作为输入,横向一维卷积计算,纵向构建稠密结构网络,将前面所有层输出的相加作为下一层的输入,更深层次学习恶意代码的文本特征。实验表明1D-CNN-Densenet的恶意代码检测准确率达到了96.60%,在恶意代码检测方面有较好性能。

摘要： 基于API调用序列的Android恶意代码检测方法大多使用N-gram和Markov Chain来构建行为特征实现恶意代码检测,但这类方法构造的特征序列长度受限且包含不相关的调用序列,检测精度不高。提出了一种基于行为模式的Android恶意代码检测方法。首先,通过调用序列约简和调用序列合并,提取了最长敏感API调用序列;然后,定义了加权支持度,在此基础上提出了改进的序列模式挖掘算法,挖掘不同类别样本中具有高区分度的序列模式作为分类特征;最后,使用不同的机器学习算法构建分类器实现恶意代码检测。实验结果表明,提出的方法在Android恶意代码检测中的精确度达到了96.11%,比基于API调用数据的两种同类恶意代码检测方法分别提高了4.60个百分点和2.11个百分点。因此,提出的方法能有效检测Android恶意代码。

摘要： 恶意代码攻击已经成为互联网最重要的威胁之一,并且现存的恶意代码数据庞大,特征多样.为了更好地提取恶意代码特征以及掌握恶意代码的行为,提出了基于注意力机制的Attention-CNN恶意代码检测模型.首先结合卷积神经网络(CNN)和注意力机制,构建了Attention-CNN恶意代码检测模型;然后将恶意代码转化为灰度图像作为模型输入,通过对Attention-CNN模型训练及测试得到恶意代码对应的注意力图以及检测结果;最终将从恶意代码注意力图中提取的重要字节序列用于人工分析,以揭示恶意代码的相关行为.实验结果表明,相比于支持向量机(SVM)、随机森林、J48.trees以及未结合注意力机制的CNN,Attention-CNN取得了更好的检测效果.相比于vsNet,Attention-CNN在准确率方面提高了4.3个百分点.并且从注意力图中提取的重要字节序列能够有效减轻人工分析的负担,获取恶意代码的相关行为,同时弥补了灰度图形式的恶意代码检测的不可解释性.

摘要： 针对当前恶意代码检测方法严重依赖人工提取特征和无法提取恶意代码深层特征的问题,提出一种基于双向长短时记忆(Bidirectional Long Short Term Memory,Bi-LSTM)模型和自注意力的恶意代码检测方法.采用Bi-LSTM自动学习恶意代码样本字节流序列,输出各时间步的隐状态;利用自注意力机制计算各时间步隐状态的线性加权和作为序列的深层特征;通过全连接神经网络层和Softmax层输出深层特征的预测概率.实验结果表明该方法切实可行,相较于次优结果,准确率提高了12.32％,误报率降低了66.42％.

摘要： 随着Web前端代码压缩与混淆工具的快速发展,浏览器需要执行的代码的体积减小,可读性大幅下降,同时也为恶意代码的隐藏提供了便利.为了解决混淆JavaScript代码中恶意代码片段的检测问题,以及找到混淆前后代码中函数的对应关系,通过对JavaScript代码函数调用序列及函数调用的分析,研究基于函数调用序列和函数调用关系图的代码相似度,以及Google Closure Compiler的代码混淆方法.提出了一种基于函数调用信息的JavaScript混淆恶意代码检测方法.实验结果表明:上述方法可以有效检测出混淆前后JavaScript代码中函数的对应关系,对换名混淆具有鲁棒性,且检测复杂度低于通用的JavaScript反混淆工具.

摘要： 目前基于深度学习的恶意代码检测技术是恶意代码检测领域的研究热点,然而大多数研究集中于如何改进算法来提高恶意代码检测的准确率,忽略了恶意代码数据集样本标签的不足导致无法训练出高质量的模型.本文利用区块链技术来解决恶意代码检测数据样本孤岛和数据可信任的问题;同时在代码特征提取上,使用马尔可夫图算法提取特征;基于分布式深度学习的训练融合区块链去中心化,可溯源不可篡改的优势,将不同算力贡献者采用同步训练更新模型参数.通过仿真实验和理论分析验证了该方法的可行性和巨大的潜力.

摘要： 恶意代码检测技术作为网络空间安全的重要研究问题之一,无论是传统的基于规则的恶意代码检测方法,还是基于机器学习的启发式恶意代码检测方法,首先都需要自动化或人工方式提取恶意代码的结构、功能和行为特征。随着网络攻防的博弈,恶意代码呈现出隐形化、多态化、多歧化特点,如何正确而有效的理解恶意代码并提取其中的关键恶意特征是恶意代码检测技术的主要目标。程序切片作为一种重要的程序理解方法,通过运用“分解”的思想对程序代码进行分析,进而提取分析人员感兴趣的代码片段。由于经典程序切片技术主要面向高级语言,而恶意代码通常不提供源代码,仅能够获取反汇编后的二进制代码,因此二进制代码切片技术在恶意代码检测技术中的应用面临如下挑战:(1)传统的面向高级语言的程序切片算法如何准确而有效的应用到二进制代码切片中;(2)针对恶意代码如何尽可能完整的提取能够表征关键恶意特征的程序切片。本文通过对经典程序切片算法的改进,有效改善了二进制代码过程间切片和切片粒度问题,并通过人工分析典型恶意代码,提取了42条有效表征恶意代码关键恶意特征的切片准则。实验表明,本文提出的方法可以提升恶意代码同源性检测的精度和效率。

摘要： 传统的机器学习方法在检测JavaScript恶意代码时,存在提取特征过程复杂、计算量大、代码被恶意混淆导致难以检测的问题,不利于当前JavaScript恶意代码检测准确性和实时性的要求.基于此,提出一种基于双向长短时神经网络(BiLSTM)的JavaScript恶意代码检测方法.首先,将得到的样本数据经过代码反混淆,数据分词,代码向量化后得到适应于神经网络输入的标准化数据.其次,利用BiLSTM算法对向量化数据进行训练,学习JavaScript恶意代码的抽象特征.最后,利用学习到的特征对代码进行分类.将本文方法与深度学习方法和主流机器学习方法进行比较,结果表明该方法具有较高的准确率和较低的误报率.

摘要： 恶意代码检测技术作为网络空间安全的重要研究问题之一,无论是传统的基于规则的恶意代码检测方法,还是基于机器学习的启发式恶意代码检测方法,首先都需要自动化或人工方式提取恶意代码的结构、功能和行为特征.随着网络攻防的博弈,恶意代码呈现出隐形化、多态化、多歧化特点,如何正确而有效的理解恶意代码并提取其中的关键恶意特征是恶意代码检测技术的主要目标.程序切片作为一种重要的程序理解方法,通过运用"分解"的思想对程序代码进行分析,进而提取分析人员感兴趣的代码片段.由于经典程序切片技术主要面向高级语言,而恶意代码通常不提供源代码,仅能够获取反汇编后的二进制代码,因此二进制代码切片技术在恶意代码检测技术中的应用面临如下挑战:(1)传统的面向高级语言的程序切片算法如何准确而有效的应用到二进制代码切片中;(2)针对恶意代码如何尽可能完整的提取能够表征关键恶意特征的程序切片.本文通过对经典程序切片算法的改进,有效改善了二进制代码过程间切片和切片粒度问题,并通过人工分析典型恶意代码,提取了42条有效表征恶意代码关键恶意特征的切片准则.实验表明,本文提出的方法可以提升恶意代码同源性检测的精度和效率.

摘要： 随着软件行业的快速发展,越来越多的代码被开源并应用到系统中.然而,开源代码往往缺少充分的安全检测,导致存在着漏洞.采用一种基于属性图匹配的漏洞代码检测方法,其针对源代码利用控制流程图进行结构化的表征,并对控制流程图进行属性提取,实现语法和语义的有效表征.通过与已知代码漏洞的相似性匹配,可以准确的发现测试代码中的漏洞.实验结果表明,相比于传统基于字符串匹配、语法树匹配等方法,属性图匹配法可提高漏洞代码检测的准确度和召回率.

摘要： 为了快速精确地检测识别恶意代码,发展其检测关键技术显得尤为必要.本文在恶意代码可视化的理论基础上提出一种新的基于纹理特征的恶意代码检测方法,通过可视化算法实现对恶意代码二进制程序的可视化显示,即映射为灰度图像,再提取图像的纹理特征,并在恶意代码语料库中进行特征匹配,最后输出检测结果.利用在某公司安全部门捕获到的5种出现次数最多的恶意代码种类进行实际检测实验,实验结果表明基于纹理特征的恶意代码检测方法实用性强,对恶意代码的分类非常精确.

摘要： 一种设备包括流水线和检测器，其二者都至少以硬件来加以实现。数据被移动通过所述流水线以执行与恶意代码的检测不相关的数据的处理。与当所述数据被移动通过所述流水线时的所述数据的处理并行地，当所述数据被移动通过所述流水线时，所述检测器检测所述数据内的所述恶意代码。当所述数据被移动通过所述流水线时，所述检测器检测所述数据内的所述恶意代码而不延迟所述数据进入、通过以及离开所述流水线的移动。

摘要： 一种对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法，通过对已知恶意程序的恶意入口点类建立由模糊哈希值构成的特征库，用于与反汇编后的待检测程序的入口点类进行匹配；然后依次切除被重打包加入的完整的恶意代码片段以及恶意代码的资源文件，最后找出重打包过程中对原程序实施修改的代码片段，恢复其原有功能。本发明针对当前Android平台日益严重的恶意程序使用的重打包植入恶意代码这一最主要传播特征，检测和切除那些正常程序中植入的恶意代码部分。

摘要： 本发明实施例公开了一种恶意代码识别模型的训练方法、恶意代码识别方法及装置。该恶意代码识别模型的训练方法，包括：获取恶意代码样本的静态分析特征集；获取恶意代码样本的动态分析特征集；基于静态分析特征集及动态分析特征集，训练预设的多层向前神经网络得到恶意代码识别模型。根据本发明实施例，能够获取识别准确度更高的恶意代码识别模型，进而更加准确地识别恶意代码。

摘要： 本发明公开了一种恶意代码同源性分析方法，该方法可以包括：获取待分析代码；利用分类模型，对该待分析代码进行识别，得到识别结果；其中，该分类模型是利用预定的恶意代码样本的结构特征训练得到的；该结构特征由基于恶意代码样本切片过滤条件，并对恶意代码样本进行二进制代码过程间切片而得到；根据识别结果，确定该待分析代码所属的网络攻击组织或网络安全事件。通过该技术方案，使用分类模型对待分析代码进行分类识别，判断该待分析代码是否与已知网络攻击组织或事件的恶意代码样本具有同源性进而确定待分析代码是否为恶意代码，由此解决了如何提高分析恶意代码同源性的效率和准确率的问题。

摘要： 本发明提出了一种安卓恶意软件检测和恶意代码定位系统及方法，用于解决现有安卓恶意软件检测器的解释性不足和语义分析能力欠缺的问题。其实现方案为：将正常和恶意样本作为原始数据，使用Androguard提取应用指令字节码，通过静态提取的方式模拟程序在运行时可能出现的API序列，构造API序列数据集，之后基于深度学习模型训练出用于恶意软件检测的分类器，实现恶意软件自动检测，同时引入注意力机制，对于被检测为恶意的应用，定位其中的恶意代码段，最终以分析报告的形式输出。本发明不仅提供精确的恶意软件检测，更为测结果提供了解释性的验证依据。

摘要： 一种对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法，通过对已知恶意程序的恶意入口点类建立由模糊哈希值构成的特征库，用于与反汇编后的待检测程序的入口点类进行匹配；然后依次切除被重打包加入的完整的恶意代码片段以及恶意代码的资源文件，最后找出重打包过程中对原程序实施修改的代码片段，恢复其原有功能。本发明针对当前Android平台日益严重的恶意程序使用的重打包植入恶意代码这一最主要传播特征，检测和切除那些正常程序中植入的恶意代码部分。

摘要： 提供了一种用于在执行程序的进程的执行路径中注入陷阱代码以生成陷阱地址范围来检测潜在恶意代码的计算机程序产品、系统和方法。在应用程序代码中处理指定类型的命令，并且作为响应，执行陷阱代码以分配陷阱地址范围。在所述应用程序代码中执行所述指定类型的命令。确定访问应用程序是否访问所述陷阱地址范围。响应于确定所述访问应用程序访问了所述陷阱地址范围，执行以下中的至少一个：发送所述访问应用程序包括潜在恶意代码的通知、监视所述访问应用程序的执行、以及限制所述访问应用程序的执行。

摘要： 本发明公开了一种基于三位一体综合画像的恶意代码检测及恶意性定位方法。使用本发明能够实现恶意代码的恶意性评估，并对代码恶意性部位实现准确定位。本发明在融合静态分析和动态分析方法的基础上，综合提取恶意代码的多方面主要特征，引入系统画像的思想，从基本结构、底层行为和高层行为等三个方面构建起“三位一体”的综合画像，建立能够系统准确刻画恶意代码的特征空间，实现对恶意代码的准确检测和家族分类。在此基础上，基于检测结果对三个画像部位的恶意性进行评估，由此实现对代码恶意性部位的准确定位，辅助研究人员建立起关于恶意代码的系统认知。

摘要： 本发明公开的属于网络安全技术领域，具体为一种基于恶意代码动态取证模型的恶意代码检测方法，包括具体步骤如下：步骤一：获取待检测的代码序列流；步骤二：基于3‑Gram特征生成方法并利用滑动窗口技术在所述代码序列流上滑动提取出每个待测样本的动态行为特征向量，本发明通过恶意代码检测模型实现了对代码序列的初检，即恶意代码和非恶意代码的初步鉴别，再利用聚类分簇的手段，将初检出恶意代码的未知序列进行聚类，利用同一簇类下待测样本对应的恶意代码分类应当一致的机理进一步鉴别是否为恶意代码，通过双重鉴别大幅度提高了恶意代码的检测精度。

摘要： 本发明公开了一种基于三位一体综合画像的恶意代码检测及恶意性定位方法。使用本发明能够实现恶意代码的恶意性评估，并对代码恶意性部位实现准确定位。本发明在融合静态分析和动态分析方法的基础上，综合提取恶意代码的多方面主要特征，引入系统画像的思想，从基本结构、底层行为和高层行为等三个方面构建起“三位一体”的综合画像，建立能够系统准确刻画恶意代码的特征空间，实现对恶意代码的准确检测和家族分类。在此基础上，基于检测结果对三个画像部位的恶意性进行评估，由此实现对代码恶意性部位的准确定位，辅助研究人员建立起关于恶意代码的系统认知。