恶意软件检测

摘要： 随着移动终端恶意软件的种类和数量不断增大,本文针对Android系统恶意软件单特征检测不全面、误报率高等技术问题,提出一种基于动静混合特征的移动终端恶意软件检测方法,以提高检测的覆盖率、准确率和效率。该方法首先采用基于改进的CHI方法和凝聚层次聚类算法优化的K-Means方法构建高危权限和敏感API库,然后分别从静态分析和动态分析两个方面提取移动终端系统混合特征。在静态分析中,首先反编译APK文件,分析得到权限申请特征和敏感API调用特征;在动态分析中,通过实时监控APP运行期间的动态行为特征,分别提取其在运行过程中的敏感API调用频次特征和系统状态等特征信息;接着分别使用离差标准化、TF-IDF权重分析法和优序图法对混合特征进行归一化和特征权重赋值处理。最后,通过构建测评指标对本文所提基于混合特征恶意软件检测方法进行对比测试验证和评价分析。实验结果表明:本方法针对Android系统恶意软件的检测具有好的准确率和效率,可有效提高移动终端恶意软件检测的精确度。

摘要： Android系统作为现阶段社会广泛使用的移动端操作系统,虽然给社会带来了很多便利,但是随着Android系统上恶意软件的滋生和传播,也给用户造成了巨大的安全威胁。文章从安卓的安全机制进行分析,针对各种可能对Android操作系统造成安全威胁的漏洞进行提炼和分析,通过静态分析的方式对反编译后的smali文件中的信息进行提炼和总结,根据组件、权限、url和所对应的敏感api进行语义分析,总结App可能对用户产生的安全威胁。

摘要： 恶意软件检测是保障网络安全、防止网络异常的关键技术之一。为了解决基于深度学习的恶意软件流量检测方法需要大量人工标注的有标签网络流量样本的问题,同时保持算法的检测精度,提出了一种基于半监督学习与网络流量的恶意软件检测方法,其利用少量有标签网络流量样本与大量无标签网络流量样本训练恶意软件检测模型。实验结果表明,所提出的方法在小样本流量环境中比一般的基于深度学习的恶意软件流量检测方法有更好的性能,可用于现实中有标签数据较少的恶意软件流量检测场景。

摘要： 单一算法生成的识别器普适性不足,对不同种群安卓软件进行识别产生的效果不稳定。针对这种情况,提出一种基于模型库的安卓恶意软件检测方法。通过Python程序进行爬虫与权限提取工作,得到应用的权限信息;使用SMO按照应用的权限信息分类得到不同种群的数据;将应用的种群信息输入到模型库中,得到恶意检测结果,并根据结果对模型库进行演化,使模型库的检测能力不断增强。实验结果表明,对于相同数据集,演化后的模型库方法比一般算法准确率都有小幅提高;对于多种群数据集,模型库方法相比一般算法准确率提高约10百分点,说明模型库方法能有效对安卓恶意软件进行检测,并且模型库的演化使检测能力有增强效果。

摘要： 设计一种PE格式恶意软件混淆对抗样本生成模型。利用深度强化学习算法,实现对恶意软件的自动混淆。通过加入历史帧和LSTM神经网络结构的方法使深度强化学习模型具有记忆性。对比实验表明,该恶意软件变种在基于机器学习的检测模型上的逃逸率高于现有研究,在由918个PE格式恶意软件组成的测试集上达到39.54%的逃逸率。

摘要： 在应对恶意软件变种和新增恶意软件时,基于特征匹配等方法的传统恶意软件检测手段往往存在较高的误报率和漏报率。随着人工智能技术的发展,将人工智能应用在恶意软件检测领域具有广阔的发展空间。首先,从数据集构建、安全特征提取、安全特征处理、分类器选择、模型验证和性能评估这5个方面对Windows平台下的恶意软件智能分析相关工作进行了归纳总结;其次,对智能分析在恶意软件检测上所面临的挑战和问题进行了较为细致的阐述;最后,针对所面临的挑战,指出未来潜在的研究方向。

摘要： 基于灰度图的恶意软件检测方法由于不需要反汇编且具有检测准确率高的特点而备受关注。现今已有一些针对该类检测方法的对抗攻击,然而当前大部分对抗攻击方法无法确保所生成的对抗样本仍保留原PE文件的可用性或功能性,或是选择在通过文件头信息便能进行准确检测的PE文件底部添加字节码。通过分析PE文件的区段对齐机制以及文件对齐机制,提出一种可保留PE文件可用性和功能性的字节码攻击方法(BARAF)。该方法通过在由文件对齐机制产生的间隙空间和源于区段对齐机制而具有的扩展空间内批量修改或添加字节码来生成可保留可用性和功能性的对抗样本,来欺骗基于灰度图像的恶意软件检测方法。实验结果表明,BARAF生成的对抗样本最多能使基于灰度图的恶意软件检测方法的准确率下降31.58个百分点,并且难以通过文件头信息对其进行准确检测。

摘要： 恶意软件的泛滥给网络用户、企业、工业设施、网络和信息设备等带来严重的安全威胁.近年来,传统基于签名和启发式规则的恶意软件识别方法已不足以应对急剧增长的新型恶意软件.针对于此,大量机器学习方法被尝试用来更好地解决恶意软件识别问题.在广泛调研国内外大量文献及最新科研成果的基础上,以特征表示的获取为分类依据,按照基于特征工程的方法和基于特征学习的方法两类对当前基于机器学习的恶意软件识别研究进展进行了归纳和介绍,并整理了目前已公开的可用于训练机器学习的恶意代码数据集.在总结当前研究现状的基础上,进一步展望了基于机器学习的恶意软件识别当前面临的问题和挑战.

摘要： 当前基于深度学习的恶意软件检测技术由于模型结构及样本预处理方式不够合理等原因,大多存在泛化性较差的问题,即训练好的恶意软件检测模型对不属于训练样本集的恶意软件或新出现的恶意软件的检出效果较差.提出一种改进的基于深度神经网络(Deep Neural Network,DNN)的恶意软件检测方法,使用多个全连接层构建恶意软件检测模型,并引入定向Dropout正则化方法,在模型训练过程中对神经网络中的权重进行剪枝.在Virusshare和lynx-project样本集上的实验结果表明,与同样基于DNN的恶意软件检测模型DeepMalNet相比,改进方法对恶意PE样本集的平均预测概率提高0.048,对被加壳的正常PE样本集的平均预测概率降低0.64.改进后的方法具有更好的泛化能力,对模型训练样本集外的恶意软件的检测效果更好.

摘要： 深度学习方法已被广泛应用于恶意软件检测中并取得了较好的预测精度,但同时深度神经网络容易受到对输入数据添加细微扰动的对抗攻击,导致模型输出错误的预测结果,从而使得恶意软件检测失效.针对基于深度学习的恶意软件检测方法的安全性,提出了一种面向恶意软件检测模型的黑盒对抗攻击方法.首先在恶意软件检测模型内部结构参数完全未知的前提下,通过生成对抗网络模型来生成恶意软件样本;然后使生成的对抗样本被识别成预先设定的目标类型以实现目标攻击,从而躲避恶意软件检测;最后,在Kaggle竞赛的恶意软件数据集上展开实验,验证了所提黑盒攻击方法的有效性.进一步得到,生成的对抗样本也可对其他恶意软件检测方法攻击成功,这验证了其具有较强的攻击迁移性.

摘要： 与传统的浅层学习相比,深度学习具有强大的模式表达能力,摆脱了对特征工程的依赖,能有效提高恶意软件检测率.提出了一种基于多尺度卷积神经网络的恶意软件检测方法,先将实验样本的二进制可执行文件转换为固定长度的十六进制字符序列,然后通过词嵌入将固定长度的十六进制字符序列转换为一个低维向量,并将转换生成的低维向量输入多尺度卷积神经网络中,训练基于多尺度卷积神经网络的检测模型.该方法通过不同窗口大小的卷积运算,学习到数据中不同尺度中更丰富完整的特征信息,所提出的方法在概念意义上是合理的,在结果方面也是比较理想的.该方法的准确率为98.18％,对数损失为0.1503,AUC值为0.997,各项性能指标优于大部分经典的检测方法,是一种性能良好、鲁棒有效的恶意软件检测方法.

摘要： 为了加强对Android恶意软件检测系统识别对抗样本的能力,提出了基于深度卷积生成对抗网络的Android对抗样本生成框架.此框架模拟了恶意软件制作者的攻击行为,并在提出的ASG算法的帮助下实现对恶意软件的修改.此框架生成的恶意软件可以绕过检测系统的检测,并能够实际运行而不影响其原有恶意功能.生成的对抗样本可用于重训练原始检测系统,提高系统应对对抗样本的能力.

摘要： 利用软件行为的统计概率提出了一种检测恶意软件的方法。同时,设计了基于XML的一种行为标记模式BAML (behavior analysis markup language),该模式可以描述软件的行为模式和行为检测库。最后,实现了一个恶意软件自动化分析原型工具,并给出了实例分析,说明了该方法的实用性。

摘要： 利用软件行为的统计概率提出了一种检测恶意软件的方法。同时,设计了基于XML的一种行为标记模式BAML (behavior analysis markup language),该模式可以描述软件的行为模式和行为检测库。最后,实现了一个恶意软件自动化分析原型工具,并给出了实例分析,说明了该方法的实用性。

摘要： 利用软件行为的统计概率提出了一种检测恶意软件的方法。同时,设计了基于XML的一种行为标记模式BAML (behavior analysis markup language),该模式可以描述软件的行为模式和行为检测库。最后,实现了一个恶意软件自动化分析原型工具,并给出了实例分析,说明了该方法的实用性。

摘要： 利用软件行为的统计概率提出了一种检测恶意软件的方法。同时,设计了基于XML的一种行为标记模式BAML (behavior analysis markup language),该模式可以描述软件的行为模式和行为检测库。最后,实现了一个恶意软件自动化分析原型工具,并给出了实例分析,说明了该方法的实用性。

摘要： 检测装置(100)根据针对用于区分监视对象网络的终端或者恶意软件的每个识别符取得的事件，生成按照该事件的发生顺序形成的事件序列。之后，检测装置(100)在相似度在一定程度以上的各事件序列形成的类群中，取出属于同一类群的事件序列之间共同出现的事件，从相似的共同事件序列，提取由出现频度高的事件之间的关系构成的代表事件序列作为检测用事件序列。之后，检测装置(100)基于生成的基于监视对象网络的通信的事件序列和提取的检测用事件序列的匹配，检差出监视对象网络的终端被恶意软件感染。

摘要： 产品的制造系统(10)具备：制造控制装置(20)，保持产品的制造数据：虚拟制造装置(30)，根据制造控制装置(20)的产品的制造数据，通过模拟的方式虚拟进行产品的制造；实际制造装置(40)，根据制造控制装置(20)的制造数据，实际进行产品的制造；以及异常判断部(33)，判断虚拟制造装置(30)虚拟进行的产品的制造中是否有异常。而且，在从虚拟进行的产品的制造中没有判断出异常的情况下，实际制造装置(40)实际进行产品的制造。

摘要： 在本发明的恶意软件判定器(10)中，当输入了执行文件的属性的属性名和属性值时，特征选择设定部(11)将该属性名的属性作为提取对象的属性登记于属性表中，且将该属性值作为删除对象登记于属性值表中。当输入了学习对象或者判定对象的执行文件时，特征提取部(13)从该执行文件中提取作为提取对象登记于属性表中的属性的属性值，生成包含所提取的属性值作为特征的特征向量，特征选择部(14)从特征向量中删除作为删除对象登记于属性值表中的属性值。

摘要： 检测装置(100)根据针对用于区分监视对象网络的终端或者恶意软件的每个识别符取得的事件，生成按照该事件的发生顺序形成的事件序列。之后，检测装置(100)在相似度在一定程度以上的各事件序列形成的类群中，取出属于同一类群的事件序列之间共同出现的事件，从相似的共同事件序列，提取由出现频度高的事件之间的关系构成的代表事件序列作为检测用事件序列。之后，检测装置(100)基于生成的基于监视对象网络的通信的事件序列和提取的检测用事件序列的匹配，检差出监视对象网络的终端被恶意软件感染。

摘要： 产品的制造系统(10)具备：制造控制装置(20)，保持产品的制造数据：虚拟制造装置(30)，根据制造控制装置(20)的产品的制造数据，通过模拟的方式虚拟进行产品的制造；实际制造装置(40)，根据制造控制装置(20)的制造数据，实际进行产品的制造；以及异常判断部(33)，判断虚拟制造装置(30)虚拟进行的产品的制造中是否有异常。而且，在从虚拟进行的产品的制造中没有判断出异常的情况下，实际制造装置(40)实际进行产品的制造。

摘要： 恶意软件分析系统(1)具备预备分析部(131)、判定部(132)及指定部(133)。预备分析部(131)通过执行作为分析对象的候选取得的恶意软件，取得与从恶意软件发起的通信相关的信息。判定部(132)根据通过预备分析部(131)取得的信息，判定是否将恶意软件作为分析的对象。指定部(133)根据通过预备分析部(131)取得的信息，对通过判定部(132)判定为分析的对象的恶意软件指定分析的次序。

摘要： 本发明提供了一种安卓移动操作系统的恶意软件检测方法。所述方法包括：敏感调用序列生成步骤，针对软件中的至少一个入口函数对软件进行代码分析，生成敏感系统调用序列；检测步骤，根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果。本发明根据目前恶意软件主要依靠系统调用实现这一特点，对恶意软件所使用的系统调用进行有效的检测，这样可以有效的解决现有技术中检测技术所面临的问题，实现恶意软件本质行为的检测，提高了恶意软件的检测效率。

摘要： 本发明提供一种恶意软件检测模型训练、恶意软件检测方法及装置，恶意软件检测模型训练方法包括：获取多个恶意软件；确定各恶意软件对应的训练合成行为图；对训练合成行为图添加第一标签；根据训练合成行为图获取一个或多个训练公共行为图，各训练公共行为图分别对应一个恶意软件家族，对训练公共行为图添加第二标签；将训练合成行为图和训练公共行为图输入到图匹配模型中得到第一相似系数；若第一相似系数和第二相似系数的差值小于预设相似系数，将当前的图匹配模型确定为恶意软件检测模型。本发明通过提取训练公共行为图缩小了在检测恶意软件时的检测范围，提高了恶意软件检测模型的检测速度，以及检测结果的准确性。

摘要： 本发明公开了一种恶意软件检测模型构建以及恶意软件检测方法、装置，方法包括：获取软件样本集，所述软件样本集包括非恶意软件样本和恶意软件样本；对所述软件样本集中每一个软件样本进行静态特征提取，得到所述软件样本集中每一个软件样本的静态特征向量；根据从所述软件样本集中划分出的训练集中每一个软件样本以及对应的静态特征向量对预设检测模型进行训练直至训练结果满足预设条件得到恶意软件检测模型；利用构建好的恶意软件检测模型集成在安全网关，通过安全网关对内网计算机的待下载软件是否为恶意软件进行检测，实现对恶意软件的过滤，避免恶意软件进入内网。

摘要： 本发明提供了一种安卓移动操作系统的恶意软件检测方法。所述方法包括：敏感调用序列生成步骤，针对软件中的至少一个入口函数对软件进行代码分析，生成敏感系统调用序列；检测步骤，根据预定义的恶意软件特征库对所述敏感系统调用序列进行匹配并得到一恶意软件检测结果。本发明根据目前恶意软件主要依靠系统调用实现这一特点，对恶意软件所使用的系统调用进行有效的检测，这样可以有效的解决现有技术中检测技术所面临的问题，实现恶意软件本质行为的检测，提高了恶意软件的检测效率。