共查询到20条相似文献,搜索用时 15 毫秒
1.
2.
3.
4.
为深入分析恶意代码的运行原理以及详细功能,减少恶意代码的分析周期,提出基于API关联的层次化行为分析方法。分析API的调用机制与参数的特征,给出基于API的行为定义;在此基础上,设计并实现API的行为关联算法,建立行为关联模型;通过行为关联模型,可以通过恶意代码的API数据信息提取出基本行为信息,并进一步提取对象行为以及进程行为,提供多维视角。设计恶意代码分析原型系统,使用实际测试样本集验证了该方法的可行性。 相似文献
5.
基于语义的恶意代码行为特征提取及检测方法 总被引:5,自引:0,他引:5
提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力. 相似文献
6.
基于行为特征的恶意代码检测方法 总被引:2,自引:0,他引:2
本文分析总结了恶意代码的行为特征,提出了一种分析API序列来检测恶意代码的方法.该方法在传统攻击树模型中添加了时间、参数调用等语义相关信息,提升了攻击树模型对代码行为的描述能力,并对恶意代码中常见的危险API调用序列进行建模.通过虚拟执行的方法获取代码的API调用序列.并将这些序列与扩展模型进行模式匹配.发现代码中的恶意行为,计算其威胁指数,进而检测代码是否具有恶意性. 相似文献
7.
8.
现有基于卷积神经网络(CNN)的恶意代码分类方法存在计算资源消耗较大的问题.为降低分类过程中的计算量和参数量,构建基于恶意代码可视化和轻量级CNN模型的恶意软件家族分类模型.将恶意软件可视化为灰度图,以灰度图的相似度表示同一家族的恶意软件在代码结构上的相似性,利用灰度图训练带有深度可分离卷积的神经网络模型MobileNet v2,自动提取纹理特征,并采用Softmax分类器对恶意代码进行家族分类.实验结果表明,该模型对恶意代码分类的平均准确率为99.32%,较经典的恶意代码可视化模型高出2.14个百分点. 相似文献
9.
对新出现的恶意代码进行快速准确的分类有利于提高对它们的分析效率,从而缩短应急响应时间.提出了一种分支序列模型用来描述恶意代码对系统函数的调用行为,同时介绍了计算这种分支序列间距的算法,基于此距离采用kNN算法对恶意代码进行分类测试的结果表明,介绍的分支序列模型能更加有效地描述恶意代码对系统函数的调用行为,从而提高了对恶意代码的分类准确度. 相似文献
10.
针对恶意代码数量呈爆发式增长,但真正的新型恶意代码却不多,多数是已有代码变种的情况,通过研究恶意代码的行为特征,提出了一套判别恶意代码同源性的方法。从恶意代码的行为特征入手,通过敏感恶意危险行为以及产生危险行为的代码流程、函数调用,应用反汇编工具提取具体特征,计算不同恶意代码之间的相似性度量,进行同源性分析比对,利用DBSCAN聚类算法将具有相同或相似特征的恶意代码汇聚成不同的恶意代码家族。设计并实现了原型系统,实验结果表明提出的方法能够有效地对不同恶意代码及其变种进行同源性分析及判定。 相似文献
11.
为实现Android平台下恶意软件的高效检测,提出了一种基于Dalvik指令的Android恶意代码特征形式化描述和分析方法,能够在无需反编译应用程序的基础上,快速检测样本的恶意特征.该方法首先依照DEX文件格式对Android应用程序切分得到以方法为单位的指令块,通过对块中Dalvik指令进行形式化描述以实现程序特征的简化和提取,之后综合使用改进的软件相似度度量算法和闵可夫斯基距离算法计算提取特征与已知恶意特征的相似度,并根据相似度比对结果来判定当前待测软件是否含有恶意代码.最后建立原型系统模型来验证上述方法,以大量随机样本进行特征匹配实验.实验结果表明,该方法描述特征准确、检测速度较快,适用于Android恶意代码的快速检测. 相似文献
12.
13.
14.
现有恶意代码的检测往往依赖于对足够数量样本的分析.然而新型恶意代码大量涌现,其出现之初,样本数量有限,现有方法无法迅速检测出新型恶意代码及其变种.本文在数据流依赖网络中分析进程访问行为异常度与相似度,引入了恶意代码检测估计风险,并提出一种通过最小化估计风险实现主动学习的恶意代码检测方法.该方法只需要很少比例的训练样本就可实现准确的恶意代码检测,较现有方法更适用于新型恶意代码检测.通过我们对真实的8,340个正常进程以及7,257个恶意代码进程的实验分析,相比于传统基于统计分类器的检测方法,本文方法明显地提升了恶意代码检测效果.即便在训练样本仅为总体样本数量1%的情况下,本文方法可以也可达到5.55%的错误率水平,比传统方法降低了36.5%. 相似文献
15.
标签噪声会极大地降低深度网络模型的性能. 针对这一问题, 本文提出了一种基于对比学习的标签带噪图像分类方法. 该方法包括自适应阈值、对比学习模块和基于类原型的标签去噪模块. 首先采用对比学习最大化一幅图像的两个增强视图的相似度来提取图像鲁棒特征; 接下来通过一种新颖的自适应阈值过滤训练样本, 在模型训练过程中根据各个类别的学习情况动态调整阈值; 然后创新性地引入基于类原型的标签去噪模块, 通过计算样本特征向量与原型向量的相似度更新伪标签, 从而避免标签中噪声的影响; 在公开数据集CIFAR-10、CIFAR-100和真实数据集ANIMAL10上进行对比实验, 实验结果表明, 在人工合成噪声的条件下, 本文方法实验结果均高于常规方法, 通过计算图像鲁棒的特征向量与各个原型向量的相似度更新伪标签的方式, 降低了噪声标签的负面影响, 在一定程度上提高模型的抗噪声能力, 验证了该模型的有效性. 相似文献
16.
本文总结了国内外主流的恶意代码分析方法,分析了当前恶意代码检测面临的主要困难,并有针对性提出了一种适用于工业互联网的二进制恶意代码功能模块自动化切分方法,该方法基于隐马尔可夫模型的功能模块自动划分算法进行动态分析,实现了恶意代码的同源判定,突破了传统恶意代码费时费力且对代码分析粗粒度的难题。通过研制原型系统,实现了对多类型的跨平台恶意代码的自动化切分和对比验证。 相似文献
17.
恶意代码的编写者通常采用自动化的手段开发恶意代码变种,使得恶意代码的数量呈现迅猛增长的态势。由于自动化的方式会重复利用恶意代码中的核心模块,因此也为病毒研究人员辨识和区分恶意代码族提供了有利依据。借鉴灰度图的思想,利用K-Nearest Neighbor(KNN)分类算法,给出了一种新的研究恶意代码谱系分类的可视化方法。其基本思想是,通过将二进制文件转换成双色通道的位图和像素归一图,从可视化的角度标识恶意样本特性,以此实现恶意代码族的相似度比较及分类。实验结果表明采用了像素归一化的降维映射机制能显著地减小文件可视特征的呈现时间开销,且该方法以自动化操作的方式运用Jaccard距离算法进行快速相似度比较,实现了恶意代码样本的有效分类,提高了分析人员的识别效率。 相似文献
18.
19.