基于One-Hot的CNN恶意代码检测技术

恶意软件的爆炸性增长,以及对用户机和网络环境造成的严重威胁,逐渐成为了网络空间安全领域的主要矛盾。当前传统的基于特征码的静态扫描技术和基于软件行为的恶意软件检测技术容易产生误报和漏报,渐渐无法满足信息安全领域的新要求。为了解决这些问题,提出基于卷积神经网络CNN的恶意代码检测技术。利用Cuckoo沙箱系统来模拟运行环境并提取分析报告;通过编写Python脚本对分析报告进行预处理;搭建深度学习CNN训练模型来实现对恶意代码的检测,并将其与机器学习以及常见的杀毒软件进行比较。实验结果表明,该方法在相比之下更具有优势,并且取得了较好的检测效果,具有更高的可行性。     

基于Cuckoo平台的HDBSCAN恶意代码聚类算法

泛在网络日益受到各种各样的恶意代码攻击,已经严重威胁到各个领域的信息安全和网络安全。为了分析不同种类恶意代码之间的异同性,通过搭建Cuckoo沙箱平台模拟恶意代码运行环境研究其聚类情况,以此来获得恶意样本模拟运行的行为分析报告;在特征提取上为了全面覆盖恶意代码的主要行为,结合了动态行为特征和内存特征;之后利用t-SNE机器学习算法来对特征属性实现非线性降维;最后对传统的DBSCAN算法进行改进,将改进后的算法HDBSCAN结合恶意代码的行为特征来完成恶意代码的聚类。实验结果表明,相比于经典聚类算法,改进后的聚类算法提高了聚类质量,获得了更好的聚类效果,因此具有较高的可行性。     

BGRU:中文文本情感分析的新方法

社交网络作为社会生活不可或缺的一部分,针对其产生的文本数据进行情感分析已成为自然语言处理领域的一个研究热点。鉴于深度学习技术能够自动构建文本特征,人们已提出CNN(convolutional neural network)、BLSTM(bidirectional long short-term memory)等模型来解决文本情感分析问题,但还存在结构较为复杂或训练时间较长等问题,而BGRU(bidirectional gated recurrent unit)能记忆序列的上下文信息,并且结构较为简单,训练速度较快。提出一种基于BGRU的中文文本情感分析方法,首先将文本转换为词向量序列,然后利用BGRU获得文本的上下文情感特征,最后由分类器给出文本的情感倾向。在ChnSentiCorp语料上进行实验,该方法取得了90.61%的F1值,效果优于CNN和BLSTM等模型,并且训练速度是BLSTM的1.36倍。     

一种基于主动学习的恶意代码检测方法

现有恶意代码的检测往往依赖于对足够数量样本的分析.然而新型恶意代码大量涌现,其出现之初,样本数量有限,现有方法无法迅速检测出新型恶意代码及其变种.本文在数据流依赖网络中分析进程访问行为异常度与相似度,引入了恶意代码检测估计风险,并提出一种通过最小化估计风险实现主动学习的恶意代码检测方法.该方法只需要很少比例的训练样本就可实现准确的恶意代码检测,较现有方法更适用于新型恶意代码检测.通过我们对真实的8,340个正常进程以及7,257个恶意代码进程的实验分析,相比于传统基于统计分类器的检测方法,本文方法明显地提升了恶意代码检测效果.即便在训练样本仅为总体样本数量1%的情况下,本文方法可以也可达到5.55%的错误率水平,比传统方法降低了36.5%.     

基于语义的恶意代码行为特征提取及检测方法

提出一种基于语义的恶意代码行为特征提取及检测方法,通过结合指令层的污点传播分析与行为层的语义分析,提取恶意代码的关键行为及行为间的依赖关系;然后,利用抗混淆引擎识别语义无关及语义等价行为,获取具有一定抗干扰能力的恶意代码行为特征.在此基础上,实现特征提取及检测原型系统.通过对多个恶意代码样本的分析和检测,完成了对该系统的实验验证.实验结果表明,基于上述方法提取的特征具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好的识别能力.     

基于API关联性的恶意行为层次化分析方法

为深入分析恶意代码的运行原理以及详细功能,减少恶意代码的分析周期,提出基于API关联的层次化行为分析方法。分析API的调用机制与参数的特征,给出基于API的行为定义;在此基础上,设计并实现API的行为关联算法,建立行为关联模型;通过行为关联模型,可以通过恶意代码的API数据信息提取出基本行为信息,并进一步提取对象行为以及进程行为,提供多维视角。设计恶意代码分析原型系统,使用实际测试样本集验证了该方法的可行性。     

P2P网络中基于特征行为检测的恶意代码传播模型

针对现有恶意代码传播模型在点对点（P2P）网络中缺乏新型恶意代码的实时检测以及节点间动态共享防治信息机制的问题,基于恶意代码特征行为检测技术建立了一类检测-传播模型。首先,在经典易感-感染-免疫（SIR）传播模型的基础上引入广播节点（广播节点是指成功检测出包含恶意代码的文件后生成防治信息并能持续把这一消息发送给邻居节点的特殊节点）,引入广播节点后的模型通过检测技术不仅能有效降低节点自身被感染的风险,还可以通过节点之间动态共享恶意代码信息来阻断恶意代码在网络中的传播;然后,计算出平衡点并通过下一代矩阵理论得到模型的传播阈值;最后,通过Hurwitz判据和构造Liapunov函数证明了模型平衡点的局部稳定性和全局稳定性。实验结果表明,在传播阈值小于1的情况下,与退化的SIR模型相比,当检测率取值0.5、0.7和0.9时,所提检测-传播模型在峰值点处的感染节点总数分别下降了41.37%、48.23%和48.64%。可见,基于特征行为检测技术的检测-传播模型能遏制恶意代码前期在网络中的快速传播,且检测率越高,遏制效果越好。     

基于angr的对抗恶意代码沙箱检测方法的研究

恶意代码在运行时会采取多种方法探测沙箱环境,从而避免自身恶意行为暴露。通过对常见沙箱检测方法的研究,在具有动态符号执行功能的开源二进制代码分析框架angr(Advance Next Generation Research into binary analysis)的基础上,使用Win32 API函数挂钩、VEX指令修补以及内存结构完善三种方法对抗沙箱检测机制。原型系统上的测试表明,该方法能够绕过常见的沙箱检测机制,同时显著优于现有的恶意代码动态分析工具。     

基于知识蒸馏的恶意代码家族检测方法

近年来,恶意代码变种层出不穷,恶意软件更具隐蔽性和持久性,亟需快速有效的检测方法来识别恶意样本。针对现状,文中提出了一种基于知识蒸馏的恶意代码家族检测方法,该模型通过逆向反编译恶意样本,利用恶意代码可视化技术将二进制文本转为图像,以此避免对传统特征工程的依赖。在教师网络模型中采用残差网络,在提取图像纹理深层次特征的同时,引入通道域注意力机制,根据通道权重的变化,来提取图像中的关键信息。为了加快对待检测样本的识别效率,解决基于深度神经网络检测模型参数量大和计算资源消耗严重等问题,使用教师网络模型来指导学生网络模型训练,实验结果表明学生网络在降低模型复杂度的同时,保持了恶意代码家族的检测效果,有利于对批量样本的检测和移动端的部署。     

基于CNN-BiLSTM的恶意代码家族检测技术

近年来快速增加的恶意代码数量中大部分是由原有家族中通过变异产生,所以对恶意代码家族进行检测分类显得尤为重要。提出了一种基于CNN-BiLSTM网络的恶意代码家族检测方法,将恶意代码家族可执行文件直接转换为灰度图像,利用CNN-BiLSTM网络模型对图像数据集进行检测分类。此方法在避免计算机受到恶意代码伤害的同时全面高效地提取特征,结合CNN和BiLSTM的优点从局部和全局两个方面学习恶意代码家族的特征并实现分类。实验对4个恶意代码家族的4 418个样本进行识别,结果表明该模型相对于传统机器学习具有更高的准确率。     

BiLSTM在JavaScript恶意代码检测中的应用

传统的机器学习方法在检测JavaScript恶意代码时,存在提取特征过程复杂、计算量大、代码被恶意混淆导致难以检测的问题,不利于当前JavaScript恶意代码检测准确性和实时性的要求.基于此,提出一种基于双向长短时神经网络(BiLSTM)的JavaScript恶意代码检测方法.首先,将得到的样本数据经过代码反混淆,数据分词,代码向量化后得到适应于神经网络输入的标准化数据.其次,利用BiLSTM算法对向量化数据进行训练,学习JavaScript恶意代码的抽象特征.最后,利用学习到的特征对代码进行分类.将本文方法与深度学习方法和主流机器学习方法进行比较,结果表明该方法具有较高的准确率和较低的误报率.     

结合密集神经网络与长短时记忆模型的中文识别

文本图像识别是计算机视觉领域一项重要任务,而其中的中文识别因种类繁多、结构复杂以及类间相近等特点很具挑战性.为改善这一问题,使用文本行端到端的识别模型.首次提出利用密集卷积神经网络（DenseNet）提取文本图像底层特征,同时避免手工设计、统计图像特征的繁琐;将整行图像特征直接送入双向长短时记忆模型（BLSTM）进行局部相关性分析,减少字符定位分割这一步骤;最后采用时域连接模型（CTC）解码获得识别的文本信息.实验表明所提出的模型可以高效的进行图像文本行的识别,并对图像的多种形变具有较好的鲁棒性.     

一种基于深度学习的恶意软件家族分类模型

恶意软件的家族分类问题是网络安全研究中的重要课题,恶意软件的动态执行特征能够准确的反映恶意软件的功能性与家族属性。本文通过研究恶意软件调用Windows API的行为特点,发现恶意软件的恶意行为与序列前后向API调用具有一定的依赖关系,而双向LSTM模型的特征计算方式符合这样的依赖特点。通过设计基于双向LSTM的深度学习模型,对恶意软件的前后API调用概率关系进行了建模,经过实验验证,测试准确率达到了99.28%,所提出的模型组合方式对恶意软件调用系统API的行为具有良好的建模能力,为了深入的测试深度学习方法的分类性能,实验部分进一步设置了对抗样本实验,通过随机插入API序列的方式构造模拟对抗样本来测试原始参数模型的分类性能,对抗样本实验表明,深度学习方法相对某些浅层机器学习方法具有更高的稳定性。文中实验为深度学习技术向工业界普及提供了一定的参考意义。     

基于BLSTM的命名实体识别方法

传统的命名实体识别方法直接依靠大量的人工特征和专门的领域知识,解决了监督学习语料不足的问题,但设计人工特征和获取领域知识的代价昂贵。针对该问题,提出一种基于BLSTM(Bidirectional Long Short-Term Memory)的神经网络结构的命名实体识别方法。该方法不再直接依赖于人工特征和领域知识,而是利用基于上下文的词向量和基于字的词向量,前者表达命名实体的上下文信息,后者表达构成命名实体的前缀、后缀和领域信息;同时,利用标注序列中标签之间的相关性对BLSTM的代价函数进行约束,并将领域知识嵌入模型的代价函数中,进一步增强模型的识别能力。实验表明,所提方法的识别效果优于传统方法。     

基于双向长短时记忆联结时序分类和加权有限状态转换器的端到端中文语音识别系统

针对隐马尔可夫模型（HMM）在语音识别中存在的不合理条件假设,进一步研究循环神经网络的序列建模能力,提出了基于双向长短时记忆神经网络的声学模型构建方法,并将联结时序分类（CTC）训练准则成功地应用于该声学模型训练中,搭建出不依赖于隐马尔可夫模型的端到端中文语音识别系统;同时设计了基于加权有限状态转换器（WFST）的语音解码方法,有效解决了发音词典和语言模型难以融入解码过程的问题。与传统GMM-HMM系统和混合DNN-HMM系统对比,实验结果显示该端到端系统不仅明显降低了识别错误率,而且大幅提高了语音解码速度,表明了该声学模型可以有效地增强模型区分度和优化系统结构。     

基于深度卷积长短期记忆网络的森林火灾烟雾检测模型

针对采样的每帧烟雾特征具有极大的相似性，以及森林火灾烟雾数据集相对较小且单调等问题，为充分利用烟雾的静态与动态信息来达到预防森林火灾的目的，提出一种深度卷积集成式长短期记忆网络（DC-ILSTM）模型。首先，使用在ImageNet数据集上预训练好的VGG-16网络进行基于同构数据的特征迁移，以有效提取出烟雾特征；其次，基于池化层与长短期记忆网络（LSTM）提出一种集成式长短期记忆网络（ILSTM），并利用ILSTM分段融合烟雾特征；最后，搭建一种可训练的深度神经网络模型用于森林火灾烟雾检测。烟雾检测实验中，与深卷积长递归网络（DCLRN）相比，DC-ILSTM在最佳效率下以10帧的优势检测到烟雾，而且在测试准确率上提高了1.23个百分点。实验结果表明，DC-ILSTM在森林火灾烟雾检测中有很好的适用性。     

基于命名实体识别任务反馈增强的中文突发事件抽取方法

针对基于双向长短期记忆网络-条件随机场（BiLSTM-CRF）的事件抽取模型仅能获取字粒度语义信息,可学习特征维度较低致使模型上限低的问题,以开放领域的中文公共突发事件数据为研究对象,提出了一种基于命名实体识别任务反馈增强的中文突发事件抽取方法FB-Latiice-BiLSTM-CRF。首先,将Lattice（点阵）机制融合双向长短期记忆（BiLSTM）网络作为模型的共享层,获取句子中的词语语义特征;其次,增加命名实体识别辅助任务,以联合学习和挖掘实体语义信息,同时将命名实体识别任务的输出反馈到输入端,提取其中实体对应的分词结果作为Lattice机制的外输入,以减少该机制自组词数量大带来的运算负荷并进一步强化对实体语义特征的提取;最后,通过最大化同方差不确定性的最大高斯似然估计方法计算模型总损失,从而解决多任务联合学习产生的损失不平衡问题。实验结果表明,FB-Latiice-BiLSTM-CRF在测试集上的准确率达到81.25%,召回率达到76.50%,F1值达到78.80%,较基准模型分别提升7.63、4.41和5.95个百分点,验证了该方法对基准模型改进的有效性。     

基于改进的多层BLSTM的中文分词和标点预测

目前主流的序列标注问题是基于循环神经网络（RNN）实现的。针对RNN和序列标注问题进行研究,提出了一种改进型的多层双向长短时记忆（BLSTM）网络,该网络每层的BLSTM都有一次信息融合,输出包含更多的上下文信息。另外找到一种基于序列标注的可以并行执行中文分词和标点预测的联合任务方法。在公开的数据集上的实验结果表明,所提出的改进型的多层BLSTM网络模型性能优越,提升了中文分词和标点预测的分类精度;在需要完成中文分词和标点预测两项任务时,联合任务方法能够大幅地降低系统复杂度;新的模型及基于该模型的联合任务方法也可应用到其他序列标注任务中。     

基于注意力机制的Bi-LSTM结合CRF的新闻命名实体识别及其情感分类

针对搜狐coreEntityEmotion_train语料核心实体识别和核心实体情感分析的任务,提出了基于注意力机制的长短期记忆神经网络结合条件随机场模型（AttBi-LSTM-CRF）。首先,对文本进行预训练,将每个字映射为维度相同的低维向量;然后,把这些向量输入到基于注意力机制的长短期记忆神经网络（AttBi-LSTM）中,以获取长远的上下文信息并集中注意力到与输出标签高度相关的信息上;最后,通过条件随机场（CRF）层获取整个序列的最优标签。将AttBi-LSTM-CRF模型与双向长短记忆神经网络（Bi-LSTM）、AttBi-LSTM和双向长短期记忆神经网络结合条件随机场（Bi-LSTM-CRF）模型进行对比实验。实验结果表明,AttBi-LSTM-CRF模型的准确率达到0.786,召回率达到0.756,F1值达到0.771,优于对比模型,验证了AttBi-LSTM-CRF性能的优越性。