基于图编辑距离的恶意代码检测

传统的恶意代码检测方法漏报率高且运行效率低,很大程度的依赖于人工检测.为解决该问题,基于恶意代码自身的函数调用顺序及程序结构特征,通过静态分析技术将恶意代码抽象为函数调用图,采用图的编辑距离作为恶意代码间相似度的评估标准,将恶意代码的分类识别转化为在已建立的恶意代码图数据库中搜索最小编辑距离邻居图的问题,在此基础上实现了用户检测未知文件恶意性的系统.为了提高检测速度,引入了函数对应的汇编指令集和多路优势点树的高维索引算法.实验证明,该方案兼顾了恶意代码检测的准确性和运行效率.     

一种基于诱饵文件的勒索软件及时检测方法

在对抗勒索软件的技术中,静态特征检测难以处理文件混淆、加壳,传统动态检测存在检测延迟,而基于诱饵文件的动态检测方法普遍存在诱饵设计缺陷。通过对大量勒索软件样本进行动态行为分析,总结出其在文件遍历与加密方面的行为模式,并基于勒索软件的文件遍历模式,系统地研究了诱饵文件的设计与部署方法。从文件名、文件类型、文件内容等角度设计诱饵文件,然后从静态部署和动态部署两方面进行诱饵部署。提出了一种基于诱饵文件的勒索软件及时性动态检测方法,该方法通过监控诱饵文件的文件活动来检测勒索软件。实验结果表明,本文方法具有较高的时效性,勒索软件均在运行的早期被检测出来,减少了用户的损失。     

Android平台下勒索软件的主动实时检测

针对最近愈发猖獗的勒索软件,本文在Android平台上设计了一种针对Android勒索软件的主动实时检测方法.该方法可以在用户失去对设备或文件的控制权之前,检测并消除勒索软件恶意行为的危害.该方法对勒索软件检测分为两个阶段,静态特征分析阶段和动态行为实时监控阶段,这两个阶段分别实现了对锁屏策略检测和加密行为检测.对针对Android勒索软件的主动实时方法进行实现,并使用收集到的675个勒索软件样本和9 238个正常应用对系统进行评估.结果显示,该系统在检测勒索软件方面有很高的准确率和很低的误报率.同时系统在移动设备上的资源消耗低,具有很高的实用性.     

一种基于三通道图像的恶意软件分类方法

针对传统恶意软件采用图像分类方法准确率不高、抗混淆能力弱、模型训练收敛慢的缺点,本文对恶意软件图像表示方法进行改进,将恶意软件、字节Bigram、Lst文件转化成3种灰度图像,将3种灰度图像组合成三通道彩色图像进行分类,并将图像分类效果好的EfficientNet模型用于恶意软件图像分类.结合迁移学习领域中的微调技术将...     

面向JPEG图像的隐写分析盲检测方法

隐写分析盲检测存在着检测模型的检测准确性和通用性难以兼顾的问题.本文提出一种用于隐写分析的快速支持向量分类算法FC-SS2LM(fast classification for small sphere with two large margins),通过构造最小超球体和双边最大间隔隐写分析模型,使检测模型既能准确构造分类边界又能考虑不同隐写样本的分布特点,达到了兼顾检测准确性和通用性的目的.在BOSSBase标准图像库上对提出的隐写分析盲检测模型进行验证,实验结果表明,该方法在一定程度上克服了传统隐写分析模型通用性差的缺点,同时提高了实际应用中训练数据样本不平衡情况下的检测准确率.即使在实际应用中训练集样本过大、支持向量较多的情况下,采用该方法计算也可以减小算法复杂度,提高泛化能力和分类速度.     

基于虚拟机回放的恶意行为检测技术

云计算环境下高灵活性、高扩展性、边界泛化等特性,使得已有的恶意行为检测技术误检率高,未知恶意行为检测能力低下.本文提出了基于虚拟机回放的恶意行为检测模型,该模型包括了基于行为关联图的警报关联算法和基于虚拟机回放的预警确认机制.首先在VMM层部署网络入侵检测和基于VMI的主机检测系统实现网络层和虚拟机内部的双层检测,然后警报关联结合双层检测结果进行综合评判发出预警,最后预警确认机制通过回放技术过滤虚假警报,并识别未知攻击.实验结果显示,回放开销相比ReVirt降低了21.8%,该方法相对于单一检测方法检测率有明显提升.     

基于Bi-IndRNN的恶意URL分析与检测

本文提出一种基于双向IndRNN(Bidirectional Independently Recurrent Neural Network, Bi-IndRNN)的恶意URL分析与检测算法.通过对恶意URL分析与检测特点的研究,提取主机信息特征和URL信息特征.把主机信息特征与URL信息特征相融合,并利用Bi-IndRNN算法对恶意URL进行分析与检测.与k最邻近分类算法(k-NearestNeighbor, KNN)、高斯贝叶斯算法(GaussionNB)、LSTM(Long Short-Term Memory)算法、IndRNN(Independently Recurrent Neural Network)算法对比结果表明,该模型对恶意URL的分类检测准确率达到95.92%,明显高于其它算法模型.     

基于Deep-IndRNN的DGA域名检测方法

恶意服务常利用域名生成算法（DGA）逃避域名检测,针对DGA域名隐蔽性强、现有检测方法检测速度较慢、实用性不强等问题,采用深度学习技术,提出了一种基于Deep-IndRNN的DGA域名检测方法。方法运用词袋模型（BoW）将域名向量化,然后通过Deep-IndRNN提取域名字符间特征,并使用Sigmoid函数对域名分类检测。其主要特点在于:通过将Deep-IndRNN的多序列输入拼接为单向量输入,以单步处理代替循环处理,同时结合Deep-IndRNN能保存更长时间记忆的特点,可有效释放深度学习时占用的GPU、CPU等系统资源,且在保证高准确率和精确度的前提下提高训练、检测速度。实验结果表明,基于Deep-IndRNN的DGA域名检测方法在检测任务中具有较高的准确率和精确度,相比于DNN、CNN、LSTM、BiLSTM、CNN-LSTM-Concat等同类检测方法,能显著提高训练、检测速度,是有效可行的。     

基于语言规则的病症菌实体抽取

实体抽取在自然语言处理领域中已经相当成熟;随着电子医疗文本急剧增加,医疗实体抽取在医疗领域的应用越来越受到关注.然而,针对医疗领域的专业术语,通用实体抽取方法普遍存在准确率不高的问题.针对药品说明书中的疾病、症状和致病菌,本文采用语言规则的方法,对其进行抽取并评价其准确性.首先,根据已有的术语表分词、词性标注并进行实体抽取;其次,根据语言规则识别医疗实体,从而提高实体抽取的准确率.实验结果显示各类医疗实体抽取的准确率可达80%以上.     

基于RASP技术的Java Web框架漏洞通用检测与定位方案

针对当前工业界主流的Web应用保护方案难以检测未知漏洞且无法定位漏洞攻击细节的问题,分析主流Web框架和组件上的4类典型漏洞攻击流程,总结4类漏洞通用利用模式,进而利用运行时应用自我保护(runtime application selfprotection,RASP)技术,在Web程序内部获取运行时信息并进行漏洞攻击行为检测和多层次的信息记录,提出了基于RASP技术的Java Web框架漏洞通用检测与定位方案。实验结果表明,该检测方案可检测出全部攻击测试样本,并可定位漏洞攻击细节在Web应用程序中的位置,定位准确率达88. 2%,且该方案性能消耗小。     

基于SVM土壤重金属污染评价的训练数据集构建

支持向量机(support vector machine,SVM)用于土壤重金属污染评价时,其训练数据集的构建对模型准确性影响重大。本文对依据土壤环境质量国家标准生成数据集的方法(国标法)进行改进,提出实际测量数据集生成方法(实测法),并在实测法样本中添加国标法样本扩大训练数据集,进一步提高模型分类准确率。结果表明:对同一组实测样本进行分类,国标法模型准确率(53. 33%)低于实测法模型准确率(75. 56%);扩大后的数据集训练所得模型与实测法模型相比,分类60个实测样本时,准确率由88. 33%提高至98. 33%,分类45个实测样本时,准确率由75. 56%提高至82. 22%。     

基于粗糙集和BP神经网络算法的网络故障诊断模型研究

针对计算机网络故障诊断知识库冗余性高、神经网络与PCA、DS证据等理论相结合诊断精度不高的难题, 提出了一种新的基于粗糙集和BP神经网络的计算机网络故障诊断模型. 首先利用粗糙集算法对网络故障特征进行约简处理、提取最小诊断规则; 其次利用最小规则训练BP神经网络, 建立基于粗糙集和BP神经网络的计算机网络故障诊断模型; 最后将模型运用于真实网络故障数据诊断. 结果表明: 该模型具有学习效率高、诊断速度快、准确率高的特点, 能够快速诊断网络故障类型.     

软件结构属性分析与恶意软件检测

任何可执行文件都必须满足一定的结构特征.本文以Windows平台下的PE文件为研究对象,从PE头、节头、节代码出发,给出了17个结构特征;针对给定正常软件和各类恶意软件,获得了这些属性取值分布特征;采用多类数据挖掘分类技术获得了正常软件与恶意软件的判定规则.实验结果表明,C5.0的分类算法检测准确性最好,达到94.16%.这些规则可以为软件可信性度量提供依据.     

面向流数据的演化聚类算法

针对传统的聚类算法难以适应流数据在线聚类的问题,本文在演化聚类算法(ECM)的基础上,改进了ECM中聚类中心和聚类半径的更新过程,引入戴维森保丁指数(DBI,Davies-Bouldin Index)作为数据归类的评估准则,提出了一种面向流数据的演化聚类算法(SDECM).实验结果表明,与ECM相比,SDECM在目标函数值、DBI值、准确率和纯度等评估准则方面具有更好的聚类性能.     

基于信息单元融合的新闻原子事件抽取

原子事件抽取是将非结构化文本进行结构化表示的重要方法.针对新闻语料,本文提出了一种基于信息单元融合的原子事件抽取方法.在中文分词、词性标注、命名实体识别等自然语言处理技术的基础上,利用语言规则将信息单元标识出来并进行融合,达到浅层句法分析的效果,通过原子事件抽取算法将原子事件从经信息单元融合后的语料中抽取出来.基于信息单元融合的原子事件抽取方法不仅对文本长度没有严格限制,并且不受事件类型的约束;实验结果表明,基于信息单元融合的原子事件抽取方法是有效的.     

一种新型的自适应入侵检测系统的研制

针对当前入侵监测系统存在的自适应能力较差、扩展性差的问题，基于面向混合类型数据的快速启发式聚类算法FHCAM和属性约束的模糊规则挖掘算法ACFMAR，提出了一种采用数据挖掘技术的自适应入侵检测系统DMAIDS．该系统通过划分聚类的方法划分出异常入侵记录；模糊关联规则的方法提取入侵模式．通过对1999年举行的数据挖掘大赛所使用的10%子集进行实验，结果表明该系统平均检测率和平均误检率比大赛获得冠军检测方法准确率提高了近2倍，检测率从数据子集1的65．25％自适应提高到数据子集9的85．7％能自适应的检测各种攻击，表明该系统具有很好的应用前景。     

基于深度学习的PowerShell恶意代码家族分类研究

由于PowerShell具备隐蔽性高、易用性好、运行环境简单等特点,近年来已被广泛应用于高级持续性威胁攻击中.对PowerShell恶意代码进行基于功能的家族分类是检测其新型变异代码的关键.针对已有工作主要集中于PowerShell代码的恶意性检测,缺乏对其功能层面深入挖掘的问题,提出了一种基于功能类型的PowerSh...     

基于标注词典和规则的维吾尔文动词词干提取方法

利用语言学专家人工标注的语料库对维吾尔文动词进行研究,并总结出了维吾尔文动词范畴的连接规则框架.在人工标注的实例库的基础上,收集了词缀连接规则集合,经人工纠正构建了词缀连接规则库集合.最终,结合人工标注实例库、词缀连接规则库及维吾尔文动词范畴的连接规则框架提出了维吾尔文动词词干提取方法,该方法的独立实验准确率达到了84.15%.     

基于LBP和共生矩阵的图像拼接篡改检测

为了进一步提高图像拼接篡改检测的准确率,本文通过对图像拼接技术进行分析,提出一种基于纹理描述的图像拼接篡改检测方法.该方法将局部二值模式(LBP)和共生矩阵两种现有技术相结合,在残差图像的基础上利用改进的LBP技术对图像纹理进行描述,然后借助两类共生矩阵获取不同的图像特征,通过对这些特征向量的组合来提高检测精度.提取特征后利用支持向量机(SVM)或集成分类器进行分类预测.实验结果表明,所提出的方法在IEEE IFS-TC图像取证竞赛库和中国科学院彩色图像库分别达到了0.911和0.938的最高检测准确率.