恶意软件检测中的特征选择问题

恶意软件检测问题是一个十分重要的问题,而特征选择的好坏对于恶意软件检测具有决定性的影响.该文提出用有效性,自动性及时空效率作为恶意软件检测中选择的特征好坏评价的基本指标,并讨论了几种恶意软件检测特征选择的分类方法.对目前常见的基于n元序列、基于操作码、基于基本块和基于行为的特征选择方法进行了较为系统的回顾,分析了各种特征选择方法的基本原理,总结梳理了每种特征选择方法的优点和缺点,并对特征选择的效果进行了定性的评估,得出的结论对于选择合适的特征用于恶意软件检测具有积极的参考意义.     

基于改进随机森林算法的Android恶意软件检测

Android系统的开放性和第三方应用市场的多样性,使其在取得高市场占有率的同时也带来了巨大的风险,导致Android恶意应用层出不穷并广泛传播,严重威胁了用户的隐私和经济安全. 如何有效检测Android恶意应用受到了研究人员的广泛关注. 根据是否运行应用程序,将现有的恶意应用检测方法分为静态检测和动态检测. 其中,静态检测的效率和代码覆盖率均优于动态检测,Drebin等静态检测工具取得了广泛应用. 为此,系统调研了Android恶意应用静态检测领域的研究进展,并进行了分析和总结. 首先,介绍了Android应用静态特征;然后,根据静态特征的不同,分别对基于权限、应用程序编程接口（application programming interface,API）和操作码等不同静态特征的Android恶意应用检测方法进行了分析,并总结了常用的Android应用数据集和评价Android恶意应用检测性能的常用指标;最后,对Android恶意应用静态检测技术的发展进行了总结和展望,以期为该领域的研究人员提供参考.

     

典型Shellcode引擎特征检测方法研究

通用的shellcode引擎大都采用特定运算对shellcode进行编码,使得shellcode具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的shellcode,深入分析目前典型shellcode引擎的工作原理,在此基础上研究引擎产生shellcode的代码特征和行为特征,进而提出了基于这两类特征的针对性综合检测方法。实验结果表明,这种综合检测方法可以针对性地、有效地检测并阻止这类shellcode的执行,同时对其它shellcode也能实现一定程度上的检测,而且虚警和漏警率为0。该检测系统对恶意代码的检测具有一定的应用价值。     

Experiments with automatic software piracy detection utilising machine-learning classifiers for micro-signatures

Software piracy has been known as unauthorised reconstruction or illegal redistribution of a licenced software. Detecting pirated from base software is a major concern since pirated software can lead to significant financial losses as well as serious security vulnerabilities. To detect software piracy, we have recently proposed Metamorphic Analysis for Automatic Software Piracy Detection (MetaSPD) with a proof-of-concept evaluation. The core idea of MetaSPD was inspired from metamorphic malware detection due to its similarity of software piracy detection. MetaSPD works primarily based on mining the opcode graph of the base software to extract micro-signatures. Then, it leverages a classifier model to decide whether a given suspicious file is a pirated version of the base software. This paper extends our prior work in several respects. First, we present a retrospective appraisal of the main literature aiming at laying bare the status quo of software piracy detection and arguments on the current problems of the field to motivate our work. We then elaborate on MetaSPD itself and the constituent components. We provide two extensive experiments to evident the effectiveness of MetaSPD. The experiments have been carried out on two different datasets. Each dataset comprises 1300 morphed variants of the respective base software that act as pirated versions of that software. We conducted our experiments using three different classifiers. The paper is also enriched with a detailed discussion of the different properties and concerns of MetaSPD. The results corroborate that an attacker, who is using a pirated version of the given software, can hardly hide illegal usage of the software even by applying superabundant obfuscations to the code.     

基于操作码的安卓恶意代码多粒度快速检测方法

基于操作码的检测方式被广泛用于安卓恶意软件检测中,但存在特征提取方法复杂、效率低等问题。针对此类问题,提出一种基于操作码的安卓恶意软件多粒度快速检测方法,其中多粒度指以词袋模型为基础、函数为基本单位提取特征,通过逐级聚合特征获得 APK 多层级信息,通过对数长度表征函数规模;并基于Dalvik指令集中操作码语义上的相似性对其进行压缩映射以提升效率,构建相应分类模型。测试表明所提方法在性能和效率上均有明显优势。     

基于深度学习的Webshell恶意代码检测方法研究

在当今现代化的世界中,人工智能逐渐被应用在各个领域之中,而深度学习就是人工智能的核心算法之一,近些年来也被广泛应用于网络安全领域,传统简单的通过人工定义规则集的检测方法逐渐被淘汰掉。而现在,如果将深度学习方法应用在检测Webshell中,不仅可以很好地提高准确率,而且和传统的机器学习方法相比,可以自动提取特征值,完成特征工程的过程更加智能化。因此基于深度学习来研究Webshell检测是近些年来一个得到持续关注的热点课题。该文主要针对使用PHP编写的Webshell进行检测,将深度学习方法和PHP文件操作码序列的特点进行结合,在构建的模型上训练测试数据集,最终可以获得相当高的准确率。     

基于多特征融合的恶意代码分类算法

针对多数恶意代码分类研究都基于家族分类和恶意、良性代码分类,而种类分类比较少的问题,提出了多特征融合的恶意代码分类算法。采用纹理图和反汇编文件提取3组特征进行融合分类研究,首先使用源文件和反汇编文件提取灰度共生矩阵特征,由n-gram算法提取操作码序列;然后采用改进型信息增益（IG）算法提取操作码特征,其次将多组特征进行标准化处理后以随机森林（RF）为分类器进行学习;最后实现了基于多特征融合的随机森林分类器。通过对九类恶意代码进行学习和测试,所提算法取得了85%的准确度,相比单一特征下的随机森林、多特征下的多层感知器和Logistic回归算法分类器,准确率更高。     

一种Android恶意软件检测模型

针对传统Android恶意软件检测方法检测精度较低等不足,提出一种基于双通道卷积神经网络的Android恶意软件检测模型。首先,提取应用程序的原始操作码序列并生成指令功能序列;然后,将两种序列分别作为卷积神经网络两个通道的输入迭代训练并调整各层神经元权重;最后,通过已训练的检测模型实现对Android恶意软件的检测。实验结果表明,该检测模型对恶意软件具有较好的检测分类精度和检测准确率。