基于Win32 API的未知病毒检测

提出了一个基于行为特征向量的病毒检测方法。特征向量的每一维用于表示一种恶意行为事件,每一事件由相应的Win32应用程序编程接口(API)调用及其参数表示,并实现了一个自动化行为追踪系统(Argus)用于行为特征的提取。试验中,通过对样本数据的分析,利用互信息对特征向量进行属性约简,减少特征维数。试验结果表明,约简后的模型对于发生行为事件数大于1的病毒程序仍有着较好的检测效果。     

基于广义霍夫变换的室外场景行人检测研究

提出一种基于广义霍夫变换的室外场景行人检测方法.首先从少量标注图片中随机地提取行人图像碎片构造碎片字典,然后使用图像碎片对每一幅训练图片计算特征向量.为了能够在静态图片中快速地检测行人,使用Gentleboost算法训练检测器,在每一次迭代时学习一个决策树桩弱分类器,该弱分类器可以从高维特征向量中选择一个当前区分度最好的碎片特征.在运行检测器时,所有的弱分类器在测试图片中对于行人的可能出现位置进行投票.最后,将各个弱分类器的投票结果进行叠加,并用设定的检测阈值剔除得分较低的检测结果后得到检测输出.在LabelMe数据集上的实验表明,该方法可以快速地在静态图片中检测出行人,需要较少的训练数据且有效地解决了部分遮挡问题.     

多特征融合的道路车辆检测方法

通过改进基于Haar-like特征和Adaboost的级联分类器,提出一种融合Haar-like特征和HOG特征的道路车辆检测方法。在传统级联分类器的Harr-like特征基础上引入HOG特征;为Haar-like特征和HOG特征分别设计不同形式的弱分类器,对每一个特征进行弱分类器的训练,用Gentle Adaboost算法代替Discrete Adaboost算法进行强分类器的训练;在级联分类器的最后几层上使用Adaboost算法挑选出来的特征组成特征向量训练SVM分类器。实验结果表明所提出的方法能有效检测道路车辆。     

基于半监督学习的恶意URL检测方法

检测恶意URL对防御网络攻击有着重要意义. 针对有监督学习需要大量有标签样本这一问题, 本文采用半监督学习方式训练恶意URL检测模型, 减少了为数据打标签带来的成本开销. 在传统半监督学习协同训练(co-training)的基础上进行了算法改进, 利用专家知识与Doc2Vec两种方法预处理的数据训练两个分类器, 筛选两个分类器预测结果相同且置信度高的数据打上伪标签(pseudo-labeled)后用于分类器继续学习. 实验结果表明, 本文方法只用0.67%的有标签数据即可训练出检测精确度(precision)分别达到99.42%和95.23%的两个不同类型分类器, 与有监督学习性能相近, 比自训练与协同训练表现更优异.     

基于特征图像生成的Android恶意软件检测方法

目前的传统机器学习方法在Android恶意软件检测上存在特征分布不平衡、检测准确率偏低的问题。针对于此,该文提出一种基于特征图像生成的Android恶意软件检测方法。该方法首先采用特征匹配的方法提取APK文件的权限、API、操作码作为特征,并使用改进的FPGrowth算法挖掘各特征的频繁特征项集,以获取有效特征;再利用降噪自编码器(DAE)抽取特征信息和转换特征向量维度,将各特征对应的特征向量转换成单通道图像并在通道维度进行拼接,生成RGB特征图像用于训练和分类;最后构建BaggingCNN分类算法,其集成了多个不同的卷积神经网络(CNN)算法,这些算法均在采用Bootstrap抽样构造的多个子训练集上进行训练,得到若干个子分类器,这些子分类器将用来对表示APK文件的特征图像进行检测,并采取多数投票机制得到最终的检测结果。实验结果表明,该方法生成的特征图像具有较好的表征能力,有利于分类算法的收敛和准确度的提升;其检测准确率达到98.21%,可以有效地检测Android恶意软件。     

基于Gabor小波的人脸检测

提出了一种新的正面人脸检测算法。该方法组合了Gabor小波变换、输入图像的Gabor特征分析和Bayes分类器来进行正面人脸检测。对训练集的平均脸作Gabor小波变换得到40个投影向量；通过计算输入图像和这40个投影向量间的内积来提取图像的Gabor特征向量；训练Bayes分类器来进行正面人脸检测。实验结果表明，该算法的计算效率和检测精度均优于特征脸方法。     

基于特征裁剪的双阈值Adaboost人脸检测算法

针对传统Adaboost算法存在训练耗时长的问题,提出一种基于特征裁剪的双阈值Adaboost算法人脸检测算法。一方面,使用双阈值的弱分类器代替传统的单阈值弱分类器,提升单个弱分类器的分类能力;另一方面,特征裁剪的Adaboost算法在每轮训练中仅仅利用错误率较小的特征进行训练。实验表明基于特征裁剪的双阈值Adaboost人脸检测算法通过使用较少的特征和减少训练时的特征数量的方式,提高了算法的训练速度。     

利用PCA和AdaBoost建立基于贝叶斯的组合分类器

提出了一种使用基于贝叶斯的基分类器建立组合分类器的新方法PCABoost.本方法在创建训练样本时,随机地将特征集划分成K个子集,使用PCA得到每个子集的主成分,形成新的特征空间,并将全部的训练数据映射到新的特征空间作为新的训练集.通过不同的变换生成不同的特征空间,从而产生若干个有差异的训练集.在每一个新的训练集上利用AdaBoost建立一组基于贝叶斯的逐渐提升的分类器(即一个分类器组),这样就建立了若干个有差异的分类器组,然后在每个分类器组内部通过加权投票产生一个预测,再把每个组的预测通过投票来产生组合分类器的分类结果,最终建立一个具有两层组合的组合分类器.从UCI标准数据集中随机选取30个数据集进行实验.结果表明,本算法不仅能够显著提高基于贝叶斯的分类器的分类性能,而且与Rotation Forest和AdaBoost等组合方法相比,在大部分数据集上都具有更高的分类准确率.     

快速局部遮挡人脸检测算法研究

针对Adaboost人脸检测算法在分类器训练过程中耗时较多的问题,对Adaboost算法进行了详细分析,提出了加快寻找每一轮最佳弱分类器的四点均值法。该方法对每个特征,计算所有训练样本对应的特征值,并将其从小到大排序,求相邻的4个特征值的平均值,该平均值作为阈值,计算错误率,找出最佳弱分类器。减少特征量,修改弱分类器权重,加快收敛速度,使用不同遮挡部位的人脸样本训练分类器,实现了局部遮挡人脸的检测。实验结果表明,该方法明显提高了训练速度,缩短训练时间,并能较准确地检测局部遮挡人脸。     

用模糊包含度构造超盒粒分类器

如何将训练集分割成大小不一的超盒粒是粒计算领域的关键问题之一。引入非线性正评价函数并用于构造超盒粒之间的模糊包含度函数,通过粒度阈值,对两个超盒粒有条件合并,构造含有大小不同超盒粒的分类器。实验结果表明超盒粒分类器与模糊格推理分类器相比提高了测试精度,与支持向量机相比加快了训练速度且提高了测试精度。     

Windows环境下信任链传递及其性能分析

动态多路径信任链(DMPTC)是一个基于软件类型特点的系统可信验证和保证机制.DMPTC对静态的系统软件和动态的应用软件加以区分,并采用不同的方式和策略对软件的装载运行加以控制,使得计算平台只运行那些有可信来源的可执行代码,从而确保平台的可信和安全.DMPTC可以用来防范各种已知和未知的恶意代码,并可以用来加强对生产信息系统中应用软件的管理和控制.DMPTC可以克服传统的静态单路径信任传递在系统灵活性和实用性层面的缺陷,并且在系统性能方面进行了深入的考虑和深层的优化.系统性能分析和实际测试结果都表明,在Windows系统平台上实现的DMPTC对系统运行带来的性能损失小于1%.     

A scalable multi-level feature extraction technique to detect malicious executables

We present a scalable and multi-level feature extraction technique to detect malicious executables. We propose a novel combination of three different kinds of features at different levels of abstraction. These are binary n-grams, assembly instruction sequences, and Dynamic Link Library (DLL) function calls; extracted from binary executables, disassembled executables, and executable headers, respectively. We also propose an efficient and scalable feature extraction technique, and apply this technique on a large corpus of real benign and malicious executables. The above mentioned features are extracted from the corpus data and a classifier is trained, which achieves high accuracy and low false positive rate in detecting malicious executables. Our approach is knowledge-based because of several reasons. First, we apply the knowledge obtained from the binary n-gram features to extract assembly instruction sequences using our Assembly Feature Retrieval algorithm. Second, we apply the statistical knowledge obtained during feature extraction to select the best features, and to build a classification model. Our model is compared against other feature-based approaches for malicious code detection, and found to be more efficient in terms of detection accuracy and false alarm rate.

数据挖掘在恶意程序检测中的应用

恶意程序，特别是新生的、未见过的恶意程序是当前一个严重的安全威胁。传统的基于特征代码的商用病毒扫描器可以有效地发现已知的恶意程序，但却不能可靠地发现未知的恶意程序。数据挖掘方法由于可以从已存在的数据．中发现有关的模式，从而能自动准确地检测未知恶意程序。     

模型检测迷惑二进制恶意代码

对二进制恶意代码进行形式化建模,开发了一个检查迷惑恶意代码的模型检查器。生成迷惑前的二进制恶意代码的有限状态机模型,再使用模型检查器检测迷惑二进制恶意代码,如果迷惑二进制恶意代码能被有限状态机模型识别,可判定其为恶意代码。实验结果表明模型检查迷惑二进制恶意代码是一种有效的静态分析方法,可以检测出一些常用的迷惑恶意代码。     

分布式异构网络恶意攻击取证及预警方法研究

传统的网络恶意攻击取证方法对恶意攻击行为的检查不全面、恶意攻击行为相似度分辨准确性低。为此,提出了一种分布式异构网络恶意攻击取证及预警方法。利用CVSS计算器对网络恶意攻击行为的严重等级进行评估,结合灰关联分析法建立灰关联模型,对评估要素进行量化处理;在此基础上,获取并处理日志、事件、警告和证据信息,建立证据库。根据取证结果,结合TOP-K预警策略实现分布式异构网络恶意攻击的预警和预警信息储存。实验结果表明,所提方法对恶意攻击行为的查全率和恶意攻击行为相似度分辨的准确性较高,且预警反应耗时较短,不仅能够准确检测恶意攻击行为,还能够及时发出警报,有效维持分布式异构网络的安全性。     

Determining malicious executable distinguishing attributes and low-complexity detection

Detection of rapidly evolving malware requires classification techniques that can effectively and efficiently detect zero-day attacks. Such detection is based on a robust model of benign behavior and deviations from that model are used to detect malicious behavior. In this paper we propose a low-complexity host-based technique that uses deviations in static file attributes to detect malicious executables. We first develop simple statistical models of static file attributes derived from the empirical data of thousands of benign executables. Deviations among the attribute models of benign and malware executables are then quantified using information-theoretic (Kullback-Leibler-based) divergence measures. This quantification reveals distinguishing attributes that are considerably divergent between benign and malware executables and therefore can be used for detection. We use the benign models of divergent attributes in cross-correlation and log-likelihood frameworks to classify malicious executables. Our results, using over 4,000 malicious file samples, indicate that the proposed detector provides reasonably high detection accuracy, while having significantly lower complexity than existing detectors.     

基于模型检测的程序恶意行为识别方法

利用恶意代码所具有的相同或相似的行为特征,提出一种基于模型检测技术的程序恶意行为识别方法。通过对二进制可执行文件进行反汇编,构建程序控制流图,使用Kripke结构对程序建模,利用线性时序逻辑描述典型的恶意行为,采用模型检测器识别程序是否具有恶意行为,并在程序控制流图上对该恶意行为进行标注。实验结果表明,与常用的杀毒软件相比,该方法能更有效地发现程序中的恶意行为。     

P2P网络的恶意节点检测模型

为了解决分布式结构给P2P网络带来的安全问题,提出了一种适用于P2P网络的恶意节点检测机制,在此基础上设计了P2P网络恶意节点检测模型。在网络中定义针对不同攻击的节点行为规范(NBS),并根据NBS对节点之间发送的消息进行比较,找出与多数节点发送消息具有不同内容的节点,定义为恶意节点,然后利用分布式证书机制将恶意节点清除出网络。实验结果表明,该机制具有较好的可靠性和有效性。     

基于事件流数据世系的恶意网络行为检测方法

目前网络攻击呈现高隐蔽性、长期持续性等特点,极大限制了恶意网络行为检测对网络攻击识别、分析与防御的支撑。针对该问题,提出了一种基于事件流数据世系的恶意网络行为检测方法,采用事件流刻画系统与用户及其他系统间的网络交互行为,构建数据驱动的事件流数据世系模型,建立面向事件流数据世系相关性的异常检测算法,从交互数据流角度分析和检测恶意网络行为事件,并基于事件流数据世系追溯恶意网络行为组合,为网络攻击分析提供聚焦的关联性威胁信息。最后通过模拟中间人和跨站脚本组合式网络渗透攻击实验验证了方法的有效性。