基于交互行为的恶意代码检测研究

恶意代码的智能化检测对恶意代码的分析有着重要的意义。在针对恶意代码动态交互序列的自动分类问题上,基于滑动窗口的序列特征进行的自动分类面临着序列混淆、噪声注入和模拟序列等问题。针对上述3个问题,分别使用分支序列、马尔可夫链的状态转移概率矩阵和交互对象来进一步地完善基于交互序列的恶意代码自动分类,并给出了分类总体流程的设计。实验结果表明能够有效解决上述问题。     

基于API依赖关系的代码相似度分析

针对传统系统调用依赖图(SCDG)不能很好地消除API噪声、API重排等API特征混淆的问题,提出一种基于API依赖关系的恶意代码相似度分析方法。采用由API控制依赖关系和4类数据依赖关系组成的SCDG程序行为描述方式,通过数据依赖关系分析和控制依赖关系归一化,消除SCDG中的API噪声和API重排。实验结果表明,与API序列相似度分析方式相比,该方法能提高恶意代码相似度分析的准确性。     

基于DynamoRIO的恶意代码行为分析

提出一种基于动态二进制分析的恶意代码行为分析方法,以动态二进制分析平台DynamoRIO为基础设计实现恶意代码行为分析的原型系统.实验结果证明,该系统能够全面地获取恶意代码的API调用序列和参数信息,通过对API调用的关联性进行分析,准确得到恶意代码在文件、注册表、服务及进程线程操作等方面的行为特征.     

基于API关联性的恶意行为层次化分析方法

为深入分析恶意代码的运行原理以及详细功能,减少恶意代码的分析周期,提出基于API关联的层次化行为分析方法。分析API的调用机制与参数的特征,给出基于API的行为定义;在此基础上,设计并实现API的行为关联算法,建立行为关联模型;通过行为关联模型,可以通过恶意代码的API数据信息提取出基本行为信息,并进一步提取对象行为以及进程行为,提供多维视角。设计恶意代码分析原型系统,使用实际测试样本集验证了该方法的可行性。     

基于语义的恶意代码行为特征提取及检测方法

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.     

基于行为特征的恶意代码检测方法

本文分析总结了恶意代码的行为特征,提出了一种分析API序列来检测恶意代码的方法.该方法在传统攻击树模型中添加了时间、参数调用等语义相关信息,提升了攻击树模型对代码行为的描述能力,并对恶意代码中常见的危险API调用序列进行建模.通过虚拟执行的方法获取代码的API调用序列.并将这些序列与扩展模型进行模式匹配.发现代码中的恶意行为,计算其威胁指数,进而检测代码是否具有恶意性.     

一种非觉察式的睡眠行为识别方法

用户睡眠状态下的睡眠行为识别是睡眠质量检测的基础.提出了一种非觉察式的睡眠行为识别技术,该技术使用薄膜压力传感器作为采集设备,根据统计模式识别理论建立用户个性化模型,并通过最大相似度算法识别用户行为.其优点在于系统运行时不会干扰用户正常的生活,并且部署简单,安全性高.实现了基于该理论的原型系统SmartSleepDetector.实验结果表明,系统睡眠行为的识别正确率达到80%以上.该理论方法具备可行性及实用价值.     

基于MobileNet的恶意软件家族分类模型

现有基于卷积神经网络(CNN)的恶意代码分类方法存在计算资源消耗较大的问题.为降低分类过程中的计算量和参数量,构建基于恶意代码可视化和轻量级CNN模型的恶意软件家族分类模型.将恶意软件可视化为灰度图,以灰度图的相似度表示同一家族的恶意软件在代码结构上的相似性,利用灰度图训练带有深度可分离卷积的神经网络模型MobileNet v2,自动提取纹理特征,并采用Softmax分类器对恶意代码进行家族分类.实验结果表明,该模型对恶意代码分类的平均准确率为99.32%,较经典的恶意代码可视化模型高出2.14个百分点.     

基于分支序列距离的恶意代码分类

对新出现的恶意代码进行快速准确的分类有利于提高对它们的分析效率,从而缩短应急响应时间.提出了一种分支序列模型用来描述恶意代码对系统函数的调用行为,同时介绍了计算这种分支序列间距的算法,基于此距离采用kNN算法对恶意代码进行分类测试的结果表明,介绍的分支序列模型能更加有效地描述恶意代码对系统函数的调用行为,从而提高了对恶意代码的分类准确度.     

恶意代码同源性分析及家族聚类

针对恶意代码数量呈爆发式增长,但真正的新型恶意代码却不多,多数是已有代码变种的情况,通过研究恶意代码的行为特征,提出了一套判别恶意代码同源性的方法。从恶意代码的行为特征入手,通过敏感恶意危险行为以及产生危险行为的代码流程、函数调用,应用反汇编工具提取具体特征,计算不同恶意代码之间的相似性度量,进行同源性分析比对,利用DBSCAN聚类算法将具有相同或相似特征的恶意代码汇聚成不同的恶意代码家族。设计并实现了原型系统,实验结果表明提出的方法能够有效地对不同恶意代码及其变种进行同源性分析及判定。     

基于Dalvik指令的Android恶意代码特征描述及验证

为实现Android平台下恶意软件的高效检测,提出了一种基于Dalvik指令的Android恶意代码特征形式化描述和分析方法,能够在无需反编译应用程序的基础上,快速检测样本的恶意特征.该方法首先依照DEX文件格式对Android应用程序切分得到以方法为单位的指令块,通过对块中Dalvik指令进行形式化描述以实现程序特征的简化和提取,之后综合使用改进的软件相似度度量算法和闵可夫斯基距离算法计算提取特征与已知恶意特征的相似度,并根据相似度比对结果来判定当前待测软件是否含有恶意代码.最后建立原型系统模型来验证上述方法,以大量随机样本进行特征匹配实验.实验结果表明,该方法描述特征准确、检测速度较快,适用于Android恶意代码的快速检测.     

一种基于时序分析异常数据的跌倒行为监测方法*

针对疑似跌倒行为在跌倒监测中经常造成误报的问题,提出了一种基于时间序列分析异常数据的跌倒监测方法。该方法对手机加速度信号进行时间序列分析,通过计算相邻时间窗口之间的相似度来检测异常数据,利用分类器算法对疑似跌倒行为与真实跌倒行为的异常数据样本进行分类。该跌倒监测方法准确率为95％,比传统跌倒监测的方法准确率提高19％,误报率下降5.3％。实验结果表明本方法是一种可行的跌倒监测方法。     

基于相识度的恶意代码检测

特征码的识别方法仅能识别已知的恶意代码,并未解决恶意代码的判别问题.当前基于行为的扫描和启发式扫描也只是关注恶意代码的单个的危险行为点,误报率很高.侧重挖掘行为之间的关系,采用矩阵将待测代码的行为及行为之间的关系进行描述、测量,由此提出一种基于相识度的恶意代码检测方法.相识度是系统对待测代码的熟悉程度.根据相识度的大小来判断待测代码是否为恶意代码,相识度越大,待测代码是恶意代码的可能性就越小.在此基础上,提出了相应的恶意代码检测算法,通过实例验证了该方法的有效性.     

一种基于主动学习的恶意代码检测方法

现有恶意代码的检测往往依赖于对足够数量样本的分析.然而新型恶意代码大量涌现,其出现之初,样本数量有限,现有方法无法迅速检测出新型恶意代码及其变种.本文在数据流依赖网络中分析进程访问行为异常度与相似度,引入了恶意代码检测估计风险,并提出一种通过最小化估计风险实现主动学习的恶意代码检测方法.该方法只需要很少比例的训练样本就可实现准确的恶意代码检测,较现有方法更适用于新型恶意代码检测.通过我们对真实的8,340个正常进程以及7,257个恶意代码进程的实验分析,相比于传统基于统计分类器的检测方法,本文方法明显地提升了恶意代码检测效果.即便在训练样本仅为总体样本数量1%的情况下,本文方法可以也可达到5.55%的错误率水平,比传统方法降低了36.5%.     

基于对比学习的标签带噪图像分类

标签噪声会极大地降低深度网络模型的性能. 针对这一问题, 本文提出了一种基于对比学习的标签带噪图像分类方法. 该方法包括自适应阈值、对比学习模块和基于类原型的标签去噪模块. 首先采用对比学习最大化一幅图像的两个增强视图的相似度来提取图像鲁棒特征; 接下来通过一种新颖的自适应阈值过滤训练样本, 在模型训练过程中根据各个类别的学习情况动态调整阈值; 然后创新性地引入基于类原型的标签去噪模块, 通过计算样本特征向量与原型向量的相似度更新伪标签, 从而避免标签中噪声的影响; 在公开数据集CIFAR-10、CIFAR-100和真实数据集ANIMAL10上进行对比实验, 实验结果表明, 在人工合成噪声的条件下, 本文方法实验结果均高于常规方法, 通过计算图像鲁棒的特征向量与各个原型向量的相似度更新伪标签的方式, 降低了噪声标签的负面影响, 在一定程度上提高模型的抗噪声能力, 验证了该模型的有效性.     

工业互联网恶意代码功能模块自动切分技术研究

本文总结了国内外主流的恶意代码分析方法，分析了当前恶意代码检测面临的主要困难，并有针对性提出了一种适用于工业互联网的二进制恶意代码功能模块自动化切分方法，该方法基于隐马尔可夫模型的功能模块自动划分算法进行动态分析，实现了恶意代码的同源判定，突破了传统恶意代码费时费力且对代码分析粗粒度的难题。通过研制原型系统，实现了对多类型的跨平台恶意代码的自动化切分和对比验证。     

像素归一化方法在恶意代码可视分析中的应用

恶意代码的编写者通常采用自动化的手段开发恶意代码变种,使得恶意代码的数量呈现迅猛增长的态势。由于自动化的方式会重复利用恶意代码中的核心模块,因此也为病毒研究人员辨识和区分恶意代码族提供了有利依据。借鉴灰度图的思想,利用K-Nearest Neighbor（KNN）分类算法,给出了一种新的研究恶意代码谱系分类的可视化方法。其基本思想是,通过将二进制文件转换成双色通道的位图和像素归一图,从可视化的角度标识恶意样本特性,以此实现恶意代码族的相似度比较及分类。实验结果表明采用了像素归一化的降维映射机制能显著地减小文件可视特征的呈现时间开销,且该方法以自动化操作的方式运用Jaccard距离算法进行快速相似度比较,实现了恶意代码样本的有效分类,提高了分析人员的识别效率。     

非侵入式交通信号灯异常检测

为了准确检测交通灯的故障,针对在电磁传感器测量功率序列过程中噪声干扰和状态无法观测的问题,设计了一种无监督的恒虚警率异常检测方法,利用高斯混合模型建模滑动窗口的数据分布,估计高斯混合模型参数的分布从而实现恒虚警率的偏差异常检测,利用聚类算法将功率观测序列转换为状态序列,通过度量滑窗状态序列和序列字典的相似度来检测模式异常,通过经验分布函数拟合相似度的分布实现恒虚警特性,实验验证了本文方法在多种故障情况下的可行性和恒虚警特性。     

一种层次化的恶意代码行为分析方法

提出一种层次化的恶意代码行为分析方法,首先根据程序运行时的系统调用序列获取行为信息,然后分析其行为意图并作危害性评估。在行为检测部分,设计了行为检测算法,利用系统调用函数及其参数信息识别程序行为。在行为分析部分,总结了各种恶意行为对计算机系统造成的危害,利用攻击树原理建立恶意行为危害评估模型,并给出恶意代码危害性计算方法。     

基于扩展攻击树的文件安全度评估研究

在深入研究恶意代码行为特征基础上,本文通过分析传统恶意代码检测模型的缺陷,建立了基于扩展攻击树的文件安全度评估模型,综合节点自身属性值与节点间相互关系,提出了一种基于行为的动态恶意代码行为分析检测方法。该方法能够有效评估文件的安全度,对包含未知恶意代码的文件也具有一定的检测能力。