基于多特征融合的恶意代码分类算法

针对多数恶意代码分类研究都基于家族分类和恶意、良性代码分类,而种类分类比较少的问题,提出了多特征融合的恶意代码分类算法。采用纹理图和反汇编文件提取3组特征进行融合分类研究,首先使用源文件和反汇编文件提取灰度共生矩阵特征,由n-gram算法提取操作码序列;然后采用改进型信息增益（IG）算法提取操作码特征,其次将多组特征进行标准化处理后以随机森林（RF）为分类器进行学习;最后实现了基于多特征融合的随机森林分类器。通过对九类恶意代码进行学习和测试,所提算法取得了85%的准确度,相比单一特征下的随机森林、多特征下的多层感知器和Logistic回归算法分类器,准确率更高。     

基于多尺度卷积神经网络的恶意代码分类方法

恶意代码文件大小差异巨大,使用传统卷积神经网络对其可视化图像进行训练时会因分辨率调整导致大量信息丢失。为此,文章提出一种基于多尺度卷积神经网络的恶意代码分类方法。该方法首先将不同大小的恶意代码生成为多种特定分辨率的图像;然后利用DenseNet网络提取特征,避免因调整至同一分辨率导致信息损失;最后通过空间金字塔模型处理多尺度特征,进而训练分类模型。实验结果表明,该方法有效提高了恶意代码分类性能。     

基于一维卷积神经网络的恶意代码家族多分类方法研究

为了提取有效的恶意代码特征,提高恶意代码家族多分类的准确率,提出一种改进模型.该模型将恶意代码的特征映射为灰度图,使用改进的恶意样本图像缩放算法进行图像的规范化处理,基于VGG模型构建一维卷积神经网络分类模型ID-CNN-IMIR.实验结果表明,恶意代码特征的提取和处理提升了分类效果;对比经典的机器学习算法、二维卷积神经网络、其他基于深度学习的恶意代码分类模型,ID-CNN-IMIR分类准确率是最好的,达到98.94％.     

恶意代码分类的一种高维特征融合分析方法

恶意代码分类是一种基于特征进行恶意代码自动家族类别划分的分析方法。恶意代码的多维度特征融合与深度处理,是恶意代码分类研究的一种发展趋势,也是恶意代码分类研究的一个难点问题。本文提出了一种适用于恶意代码分类的高维特征融合方法,对恶意代码的静态二进制文件和反汇编特征等进行提取,借鉴SimHash的局部敏感性思想,对多维特征进行融合分析和处理,最后基于典型的机器学习方法对融合后的特征向量进行学习训练。实验结果和分析表明,该方法能够适应于样本特征维度高而样本数量较少的恶意代码分类场景,而且能够提升分类学习的时间性能。     

基于特征序列的恶意代码静态检测技术

近年来,基于机器学习方法的恶意代码检测方法存在着无法自动和高效地提取恶意代码的问题,有些还需要人工对特征进行提取,但是提取的特征没有深层地描述恶意代码行为,存在检测的准确率较低、效率低等缺点。通过对静态恶意代码进行分析,从纹理特征和操作码特征入手,在提取纹理特征过程中,提出一种Simhash处理编译文件转换成灰度图像的方法,生成灰度图像后通过GIST算法和SIFT算法提取全局和局部图像纹理特征,并将全局和局部图像特征进行融合。     

基于卷积神经网络与多特征融合的Twitter情感分类方法

为了对社交网络平台上发表的言论和信息进行情感分类,基于卷积神经网络和多特征融合,提出一种情感分类方法。结合Twitter自身语言特性和情感字典资源设计语料特征和词典特征,对Twitter文本词向量使用卷积神经网络获得对应的深度词向量特征,将上述3类特征进行特征融合并采用One-Versus-One SVM实现情感极性的分类判别。针对SemEval语料的实验结果表明,该方法取得了较好的情感分类效果,多特征融合能够有效地提高情感分类的准确性。     

基于卷积神经网络特征融合的人脸识别算法

为提高卷积神经网络的识别性能,提出了一种基于多种卷积神经网络模型的特征融合方法。论文通过构建一个深度学习网络,将多种卷积神经网络模型如ResNet、InceptionV3和VGG19提取的特征进行融合,并将融合后的特征应用到人脸识别中,据此训练出特征融合网络模型的网络参数;最后利用计算求出的阈值来区分类别。实验结果表明,在人脸库LFW数据集上,论文算法的人脸识别率可达98%;与现有的单一卷积神经网络相比,论文算法识别率更高。     

一种基于多特征集成学习的恶意代码静态检测框架

伴随着互联网的普及和5G通信技术的快速发展,网络空间所面临的威胁日益增大,尤其是恶意软件的数量呈指数型上升,其所属家族的变种爆发式增加.传统的基于人工签名的恶意软件的检测方式速度太慢,难以处理每天数百万计新增的恶意软件,而普通的机器学习分类器的误报率和漏检率又明显过高.同时恶意软件的加壳、混淆等对抗技术对该情况造成了更大的困扰.基于此,提出一种基于多特征集成学习的恶意软件静态检测框架.通过提取恶意软件的非PE(Portable Executable)结构特征、可见字符串与汇编码序列特征、PE结构特征以及函数调用关系5部分特征,构建与各部分特征相匹配的模型,采用Bagging集成和Stacking集成算法,提升模型的稳定性,降低过拟合的风险.然后采取权重策略投票算法对5部分集成模型的输出结果做进一步聚合.经过测试,多特征多模型聚合的检测准确率可达96.99%,该结果表明:与其他静态检测方法相比,该方法具有更好的恶意软件鉴别能力,对加壳、混淆等恶意软件同样具备较高的识别率.     

基于多层特征融合可调监督函数卷积神经网络的人脸性别识别

为了进一步提高性别识别的准确率,提出了一种基于多层特征融合与可调监督函数机制的结合的卷积神经网络（L-MFCNN）模型,并将之用于人脸性别识别。与传统卷积神经网络（CNN）不同,L-MFCNN将多个浅层中间卷积层特征输出与最后卷积层特征输出相结合,融合多层卷积层的特征,不仅利用了深层卷积的整体语义信息,还考虑了浅层卷积的细节局部纹理信息,使得性别识别更加准确。此外L-MFCNN还引入具有可调目标监督函数机制的Large-Margin Softmax Loss作为输出层,利用其调节不同的间隔（margin）的机制来有效引导深层卷积网络学习,使得同种性别间的类内间距更小,不同性别间的类间距更大,获得更好的性别识别效果。在多个人脸数据集上的性别识别实验结果表明,L-MFCNN的识别准确率要高于其他传统的卷积网络模型。L-MFCNN模型也为将来的人脸性别识别研究提供了新的思路与方向。     

基于BiTCN-DLP的恶意代码分类方法

为应对不断升级的恶意代码变种,针对现有恶意代码分类方法对特征提取能力不足、分类准确率下降的问题,文章提出了基于双向时域卷积网络（Bidirectional Temporal Convolution Network,BiTCN）和池化融合（Double Layer Pooling,DLP）的恶意代码分类方法（BiTCN-DLP）。首先,该方法融合恶意代码操作码和字节码特征以展现不同细节;然后,构建Bi TCN模型充分利用特征的前后依赖关系,引入池化融合机制进一步挖掘恶意代码数据内部深层的依赖关系;最后,文章在Kaggle数据集上对模型进行验证,实验结果表明,基于Bi TCN-DLP的恶意代码分类准确率可达99.54%,且具有较快的收敛速度和较低的分类误差,同时,文章通过对比实验和消融实验证明了该模型的有效性。     

基于静态多特征融合的恶意软件分类方法

近年来,恶意软件呈现出爆发式增长势头,新型恶意样本携带变异性和多态性,通过多态、加壳、混淆等方式规避传统恶意代码检测方法。基于大规模恶意样本,设计了一种安全、高效的恶意软件分类的方法,通过提取可执行文件字节视图、汇编视图、PE 视图3个方面的静态特征,并利用特征融合和分类器集成学习2种方式,提高模型的泛化能力,实现了特征与分类器之间的互补,实验证明,在样本上取得了稳定的F1-score（93.56%）。     

基于卷积神经网络的加密流量分类方法

针对传统加密网络流量分类方法准确率较低、泛用性不强、易侵犯隐私等问题,提出了一种基于卷积神经网络的加密流量分类方法,避免依赖原始流量数据,防止过度拟合特定应用程序的字节结构。针对网络流量的数据包大小和到达时间信息,设计了一种将原始流量转换为二维图片的方法,直方图中每个单元格代表到达相应时间间隔的具有相应大小数据包的数量,不依赖数据包有效载荷,避免了侵犯隐私;针对LeNet-5卷积神经网络模型进行了优化以提高分类精度,嵌入Inception模块进行多维特征提取并进行特征融合,使用1*1卷积来控制输出的特征维度;使用平均池化层和卷积层替代全连接层,提高计算速度且避免过拟合;使用对象检测任务中的滑动窗口方法,将每个网络单向流划分为大小相等的块,确保单个会话中训练集中的块和测试集中的块没有重叠,扩充了数据集样本。在ISCX数据集上的分类实验结果显示,针对应用流量分类任务,准确率达到了95%以上。对比实验结果表明,训练集和测试集类型不同时,传统分类方法出现了显著的精度下降乃至失效,而所提方法的准确率依然达到了89.2%,证明了所提方法普适于加密流量与非加密流量。进行的所有实验均基于不平衡数据集,...     

基于多特征融合的Webshell恶意流量检测方法

Webshell是针对Web应用系统进行持久化控制的最常用恶意后门程序,对Web服务器安全运行造成巨大威胁。对于 Webshell 检测的方法大多通过对整个请求包数据进行训练,该方法对网页型 Webshell 识别效果较差,且模型训练效率较低。针对上述问题,提出了一种基于多特征融合的Webshell恶意流量检测方法,该方法以Webshell的数据包元信息、数据包载荷内容以及流量访问行为3个维度信息为特征,结合领域知识,从3个不同维度对数据流中的请求和响应包进行特征提取;并对提取特征进行信息融合,形成可以在不同攻击类型进行检测的判别模型。实验结果表明,与以往研究方法相比,所提方法在正常、恶意流量的二分类上精确率得到较大提升,可达99.25%;训练效率和检测效率也得到了显著提升,训练时间和检测时间分别下降95.73%和86.14%。     

基于特征融合卷积神经网络的车型精细识别

为解决现有车型精细识别方法中存在识别精度低、模型参数规模大等问题,提出一种基于特征融合卷积神经网络的车型精细识别方法。设计两个独立网络(UpNet、DownNet)分别用于提取车辆正面图像的上部和下部特征,在融合网络(FusionNet)中进行特征融合,实现车型的精细识别。相较于现有的车型精细识别方法,该方法在提高识别精度的同时,有效压缩了模型参数规模。在基准数据集CompCars下进行大量实验的结果表明,该方法的识别精度可达98.94%,模型参数大小仅为4.9MB。     

基于卷积神经网络的桥梁裂缝识别和测量方法

为了提高桥梁裂缝检测水平,解决目前手工检测费时费力和传统图像处理方法需要人工设定参数的问题,提出一种基于改进GoogLeNet的桥梁裂缝检测算法。首先,构建了一个较大规模的桥梁裂缝数据集RLH（Retinex-Laplace-Histogram equalization）用于模型的训练和测试。其次,基于原始的GoogLeNet模型,采用归一化的卷积核改进了inception模块,采用三种改进方案修改网络开头,去掉第七个及以后的inception层,建立桥梁裂缝特征图像分类系统。最后,利用滑动窗口精准定位裂缝并结合骨架提取算法计算裂缝的长度和宽度。实验结果表明,改进的GoogLeNet网络与原始GoogLeNet网络相比,识别准确率提升了3.13%,训练时间减少为原来的64.6%。另外,骨架提取算法能够考虑裂缝的走势,计算宽度更加准确,且最大宽度和平均宽度都能计算。综上所述,所提分类和测量方法具有准确度高、速度快、定位准确、测量准确等特点。     

基于图像纹理和卷积神经网络的恶意文件检测方法

在大数据环境下,针对传统恶意文件检测方法对经过代码变种和混淆后的恶意文件检测准确率低以及对跨平台恶意文件检测通用性弱等问题,提出一种基于图像纹理和卷积神经网络的恶意文件检测方法。首先,使用灰度图像生成算法将Android和Windows平台下可执行文件,即.dex和.exe文件,转换成相应的灰度图像;然后,通过卷积神经网络（CNN）算法自动提取这些灰度图像的纹理特征并加以学习训练,从而构建出一个恶意文件检测模型;最后,使用大量未知待检测的文件去验证模型检测准确率的高低。通过对大量的恶意样本进行实验,在Android和Windows平台下,模型检测最高准确率分别达到79.6%和97.6%,平均准确率分别约为79.3%和96.8%;与基于纹理指纹的恶意代码变种检测方法相比,基于图像纹理和卷积神经网络的恶意文件检测方法准确率提高了约20%。实验结果表明,所提方法能够有效避免人工筛选特征带来的问题,大幅提高检测的准确率和效率,成功解决跨平台检测问题,实现了一种端到端的恶意文件检测模型。     

基于多特征融合卷积神经网络的显著性检测

随着深度学习技术的发展以及卷积神经网络在众多计算机视觉任务中的突出表现,基于卷积神经网络的深度显著性检测方法成为显著性检测领域的主流方法.但是,卷积神经网络受卷积核尺寸的限制,在网络底层只能在较小范围内提取特征,不能很好地检测区域内不显著但全局显著的对象;其次,卷积神经网络通过堆叠卷积层的方式可获得图像的全局信息,但在...     

基于尺度空间中多特征融合的医学影像分类

针对现有医学影像分类方法对临床不同类别影像特征描述效果不一致,且尺度变化敏感的问题,提出一种基于尺度空间提取多特征进行融合的分类方法。首先构建高斯差分尺度空间,然后在尺度空间中分别从灰度、纹理、形状、频域四种互补的角度描述医学影像,最后基于最大似然估计理论构建决策级特征融合模型,实现医学影像分类。严格依照IRMA医学影像类别编码标准选择实验数据,结果表明所提方法相对已有方法分类的平均F1值得到了5%~20%不同程度的提高, 更全面描述医学影像信息, 避免了特征降维造成的信息损失,有效提高了分类的准确率,具有临床应用价值。     

融合多特征的行为识别方法研究

基于时空特征的方法是行为识别的主流方法,已经有许多研究学者提出了多种局部时空特征。然而,不同的局部特征所反映的行为信息的侧重点并不一样。通过引入集成学习的方法,对多种特征在分类器层次上进行融合,使得多种特征能够优势互补,从而增强了特征的描述能力,为构建出高效、稳定的行为识别分类器提供了保证。经仿真实验验证,所提出的方法是鲁棒和有效的。