基于深度学习的恶意代码检测综述

恶意代码检测是网络空间安全领域的重要研究方向之一。在简要阐述恶意代码检测重大研究价值的基础上,结合国内外研究现状,总结了现有的基于深度学习的恶意代码检测技术及方法。首先,分别从静态、动态和混合检测方法多方面地梳理了传统检测技术,其次,分别从基于序列特征、图像可视化和数据增强的恶意代码特征提取方法出发,对基于深度学习的恶意代码分类识别方法进行了总结,最后,对基于深度学习的恶意代码特征提取与识别方向的技术难点和未来发展趋势进行了分析与展望。

计算机信息设备中的恶意软件检测与防御策略

随着互联网的普及和信息技术的发展,恶意软件已经成为威胁计算机系统和网络安全的主要因素之一。恶意软件的传播速度快,破坏力强,给个人和组织带来了巨大的损失。一、恶意软件的概述(一)恶意软件的概念恶意软件,又称恶意程序,是指那些故意编写并用于破坏、干扰、窃取或非法控制计算机系统和网络设备的软件。恶意软件的目的通常是获取非法利益、破坏系统的正常运行或窃取敏感信息。恶意软件可以通过各种途径传播,如电子邮件、恶意网站、下载软件等。它们具有隐蔽性强、传播速度快、破坏力大等特点,给计算机信息设备的安全带来了严重威胁。

基于样本嵌入的挖矿恶意软件检测方法

加密货币挖矿恶意软件的高盈利性和匿名性,对计算机用户造成了巨大威胁和损失。为了对抗挖矿恶意软件带来的威胁,基于软件静态特征的机器学习检测器通常选取单一类型的静态特征,或者通过集成学习来融合不同种类静态特征的检测结果,忽略了不同种类静态特征之间的内在联系,其检测率有待提升。文章从挖矿恶意软件的内在层级联系出发,自下而上提取样本的基本块、控制流程图和函数调用图作为静态特征,训练三层模型以将这些特征分别嵌入向量化,并逐渐汇集从底层到高层的特征,最终输入分类器实现对挖矿恶意软件的检测。为了模拟真实环境中的检测情形,先在一个小的实验数据集上训练模型,再在另一个更大的数据集上测试模型的性能。实验结果表明,三层嵌入模型在挖矿恶意软件检测上的性能领先于近年提出的机器学习模型,在召回率和准确率上相比其他模型分别提高了7%和3%以上。

基于GHM可视化和深度学习的恶意代码检测与分类

恶意代码的复杂性和变异性在不断增加,致使恶意软件的检测变得越来越具有挑战性.大多数变异或未知的恶意程序是在现有恶意代码的逻辑基础上进行改进或混淆形成的,因此发现恶意代码家族并确定其恶意行为变得越来越重要.提出了一种基于GHM(Gray, HOG,Markov)的新型恶意软件可视化方法进行数据预处理.与传统的可视化方法不同,该方法在可视化过程中通过HOG和马尔科夫提取出更加有效的数据特征,并构建了3通道彩色图像.此外,构建了基于CNN和LSTM的VLMal分类模型,对可视化图像进行恶意软件检测分类.实验结果表明,该方法可以有效地检测和分类恶意代码,具有较好的准确性和稳定性.

基于多频特征学习的恶意代码变种分类

针对恶意代码变种分类方法没有充分对原始输入进行分析的问题,提出一种更加高效的基于深度学习的办法,使用卷积神经网络对多频信息进行学习。对恶意代码转化而成的图像进行研究,利用小波变换进行多频和多层次的分析,抓住低频和高频特征;针对多频信息输入,设计一种多频特征学习模块,充分挖掘其中有用信息。实验结果表明,该方法在Malimg数据集上,相比其它两种恶意代码分类办法,分别取得了1.5%和0.8%的效果提升。

恶意民事诉讼侵权行为与损害赔偿责任

恶意民事诉讼是指当事人没有诉权或者超出合法诉权范围,故意提起民事诉讼,意图实现侵害对方当事人或者第三人民事权益非法目的的一般侵权行为,包括恶意诉讼、滥用诉权和虚假诉讼三种类型。恶意民事诉讼是一般侵权行为,在《民法典》侵权责任编不必作特别规定,直接适用《民法典》第1165条第1款规定的侵权行为一般条款即可。《民事案件案由规定》“侵权责任纠纷”项下的第三级案由和第四级案由没有规定“恶意民事诉讼责任纠纷”案由,可以直接适用第二级案由即“侵权责任纠纷”确定案由。恶意民事诉讼侵权责任构成应当依照《民法典》第1165条第1款规定并结合恶意民事诉讼的特点认定,损害赔偿责任应当依照《民法典》第1184条、第1182条和第1183条第1款等规定的方法确定。

基于敏感特征深度域关联的Android恶意应用检测方法

利用机器学习或深度学习算法进行Android恶意应用的检测是当前主流方法,取得了一定的效果。然而,多数方法仅关注应用的权限和敏感行为等信息,缺乏对敏感行为协同的深度分析,导致恶意应用检测准确率低。对敏感行为协同深度分析的挑战主要有两个:表征敏感特征域关联和基于敏感特征域关联的深层分析与检测。本文提出了一种新的Android恶意应用检测模型GCNDroid,基于敏感特征域关联关系图描述的应用程序主要敏感行为以及敏感行为之间的域关联关系来有效地检测Android恶意应用。首先,为了筛选出对分类更加敏感的特征,同时减少图节点的数量,加速分析,本文构建了敏感特征字典。接着,定义类或者包为域,在同一个域中的敏感特征具有域关联关系。通过敏感特征所在域的相对范围,构造敏感特征之间不同的域关联权重,生成敏感特征域关联关系图,敏感特征域关联关系图可以准确表征特定功能模块中的敏感行为,以及敏感行为之间的完整关系。然后,基于敏感特征域关联关系图,设计基于图卷积神经网络的深度表征,构建Android恶意应用检测模型GCNDroid。在实践中,GCNDroid还可以利用新的敏感特征不断更新,以适应移动应用程序新的敏感行为。最后,本文对GCDNroid进行了系统评估,召回率、调和平均数、AUC等重要指标均超过96%。与传统的机器学习算法(支持向量机和决策树)和深度学习算法(深度神经网络和卷积神经网络)相比,GCNDroid取得了预期的效果。

基于增量学习的车联网恶意位置攻击检测研究

近年来,车辆恶意位置攻击检测中主要使用深度学习技术.然而,深度学习模型训练耗时巨大、参数众多,基于深度学习的检测方法缺乏可扩展性,无法适应车联网不断产生新数据的需求.为了解决以上问题,创新地将增量学习算法引入车辆恶意位置攻击检测中,解决了上述问题.首先从采集到的车辆信息数据中提取关键特征;然后,构建恶意位置攻击检测系统,利用岭回归近似快速地计算出车联网恶意位置攻击检测模型;最后,通过增量学习算法对恶意位置攻击检测模型进行更新和优化,以适应车联网中新生成的数据.实验结果表明,相比SVM,KNN,ANN等方法具有更优秀的性能,能够快速且渐进地更新和优化旧模型,提高系统对恶意位置攻击行为的检测精度.

基于Ngram-TFIDF的深度恶意代码可视化分类方法

随着恶意代码规模和种类的不断增加,传统恶意代码分析方法由于依赖于人工提取特征,变得耗时且易出错,因此不再适用。为了提高检测效率和准确性,提出了一种基于Ngram-TFIDF的深度恶意代码可视化分类方法。结合N-gram和TF-IDF技术对恶意代码数据集进行处理,并将其转化为灰度图。随后,引入CBAM并调整密集块数量,构建DenseNet88_CBAM网络模型用于灰度图分类。实验结果表明,所提方法在恶意代码家族分类和类型分类上分别提高了1.11%和9.28%的准确率,取得了优越的分类效果。

基于深度学习的Android恶意软件动态检测

为提高Android恶意软件的检测精度,提出一种基于改进DenseNet网络的Android恶意软件动态检测方法。以应用软件运行特定阶段的网络通信流量为分析对象,根据会话五元组信息切分原始网络流量并转换为灰度图,提出一种基于DenseNet网络改进的分类检测网络DenseNet_IS。通过添加具有不同大小卷积核的卷积分支获取不同感受野的特征,通过引入SimAM注意力模块,从空间和通道两个维度实现对重要特征的关注。结合应用软件判决机制,实现最终分类。在CICAndMal2017数据集上的实验结果表明,所提方法可以达到99.06%的良恶性检测精度和96.51%的多分类精度,验证了该方法的有效性。

基于欠采样和多层集成学习的恶意网页识别

现实中恶意网页与良性网页比重严重失衡,传统的机器学习分类模型不能很好的应用,为此提出一种基于欠采样和多层集成学习的恶意网页检测模型。通过欠采样达到局部数据平衡;通过第一层基于权重和阈值的集成学习确保模型的准确度;通过第二层基于投票的集成学习保证全局信息的完整性。实验结果表明,所提模型在不平衡数据集上的恶意网页识别性能优于传统机器学习模型。

恶意流量识别研究现状、热点及趋势——基于CiteSpace知识图谱的可视化分析

随着科技进步,互联网迅猛发展,网络在人类生活中扮演越来越重要的角色,网络空间中的安全问题随之凸显,恶意流量作为网络攻击常用手段,其准确识别是网络安全领域的重要研究方向之一。本文借助CiteSpace软件,对CNKI数据库以恶意流量识别为主题的177篇文献进行分析,绘制发文时间、发文作者、发文机构等知识图谱,研究恶意流量识别研究现状、热点及趋势,为网络流量识别研究和网络安全防护研究提供参考。

基于CBAM和原型网络的小样本恶意软件分类模型

为解决小样本条件下恶意软件分类准确率低的问题,提出一种基于CBAM(convolutional block attention module)和原型网络的恶意软件分类模型。利用图像转换算法将恶意软件可执行文件转换为灰度图像;将残差连接和CBAM引入模型的特征嵌入模块,从通道和空间两个维度上增强关键特征表达,使得到的特征更具分辨性;提出联合损失函数,在距离交叉熵损失的基础上加入原型损失,通过减小类内距离的方式进一步扩增类间距离,使模型在样本数量有限的情况下取得良好的分类效果。实验结果表明,在每类恶意软件仅有5个样本的情况下,模型的分类准确率仍可达到83.12%。

基于高维多目标序贯三支决策的恶意代码检测模型

针对传统基于二支决策的恶意代码检测方法在面对动态环境中的复杂海量数据时,没有考虑在信息不充足条件下进行决策产生影响的问题,本文提出了一种基于卷积神经网络的序贯三支决策恶意代码检测模型。通过卷积神经网络对样本数据进行特征提取并构建多粒度特征集,引入序贯三支决策理论对恶意代码进行检测。为改善检测模型整体性能,避免阈值选取的主观性,本文在上述模型的基础上,同时考虑模型的综合分类性能、决策效率和决策风险代价建立高维多目标序贯三支决策模型,并采用高维多目标优化算法对模型进行求解。仿真结果表明,模型在保证检测性能的同时,有效地提升了决策效率,降低了决策时产生风险代价,更好地拟合了真实动态检测环境。

基于虚拟机自省的Linux恶意软件检测方案

随着物联网和云计算技术的快速发展,Linux恶意软件的数量和种类急剧增加,因此如何有效检测Linux恶意软件成为安全领域的重要研究方向之一。为了解决这一问题,文章提出一种基于虚拟机自省的Linux恶意软件检测方案。该方案利用虚拟机自省技术在沙箱外部安全获取内部运行状态,在实现全方位监控的同时,规避了恶意软件的反动态分析问题。与其他沙箱监控方案相比,文章所提方案增加了恶意软件在沙箱中的恶意行为表现的数量。针对特征之间的时序性,采用时序处理模型对沙箱获取的特征信息进行建模和训练,旨在判断Linux应用是否属于恶意软件。文章使用了3种神经网络,包括循环神经网络、长短期记忆网络和门控循环单元网络。实验结果表明,长短期记忆网络在该应用场景下检测效果更好,准确率达98.02%,同时具有较高的召回率,将虚拟机自省技术与神经网络模型结合应用于恶意软件检测,既能在虚拟机外部监控虚拟机内部,又考虑特征之间的时序性。

专利权恶意取得及其规制路径

伪造并不真实存在的技术方案、明知为现有技术(或现有设计)、故意侵犯他人技术秘密并申请专利,以及违反保密审查义务在外国申请专利后又在中国国内申请专利等四种行为,是典型的专利权恶意取得行为。根据这些行为所侵害的法益为公共利益或是特定第三人利益,可以将其分为无效的专利权恶意取得行为与可撤销的专利权恶意取得行为。对于前者,任何单位或者个人都可以向国务院专利行政部门请求宣告专利权无效;对于后者,只能由利益受到损害的特定第三人主张撤销原授权决定,并请求变更权利归属。专利权恶意取得行为的规制,既需要司法机关在个案中层层把关、细致甄别,又需要行政审查机关注重源头治理、加强事后惩戒,形成协同治理体系。

基于CBAM-CGRU-SVM的Android恶意软件检测方法

随着Android恶意软件的种类和数量不断增多,检测恶意软件以保护系统安全和用户隐私变得越来越重要。针对传统的恶意软件检测模型分类准确率较低的问题,提出一种基于卷积神经网络(CNN)、门控循环单元(GRU)和支持向量机(SVM)的模型CBAM-CGRU-SVM。首先,在CNN中添加卷积块注意力模块(CBAM)以学习更多恶意软件的关键特征;其次,利用GRU进一步提取特征;最后,为了解决图像分类时模型泛化能力不足的问题,使用SVM代替softmax激活函数作为模型的分类函数。实验使用了Malimg公开数据集,该数据集将恶意软件数据图像化作为模型输入。实验结果表明,CBAM-CGRU-SVM模型分类准确率达到94.73%,能够更有效地对恶意软件家族进行分类。

一种基于多模型融合的隐蔽隧道和加密恶意流量检测方法

高级持续威胁APT攻击为了躲避检测,攻击者往往采用加密恶意流量和隐蔽隧道等策略隐匿恶意行为,从而增加检测的难度。目前大多数检测DNS隐蔽隧道的方法基于统计、频率、数据包等特征,这种方法不能很好地进行实时检测,从而导致数据泄露,因此,需要根据单个DNS请求进行检测而不是对流量进行统计后再检测,才能够实现实时且可靠的检测,当系统判定单个DNS请求为隧道流量,便可做出响应,进而避免数据泄露。而现有的加密恶意检测方法存在无法完整提取流量特征信息、提取特征手段单一、特征利用少等问题。因此,文章提出了基于多模型融合的隐蔽隧道加密恶意流量检测方法。对于DNS隐蔽隧道,文章提出了MLP、1D-CNN、RNN模型融合的检测方法并根据提出的数学模型计算融合结果,该方法能够对隐蔽隧道实时监测,进一步提高检测的整体准确率。对于加密恶意流量,文章提出了1D-CNN、LSTM模型的并行融合的检测方法,并行融合模型能够更加全面地提取特征信息,反应流量数据的全貌,进而提高模型的检测精度。

基于字符和词特征融合的恶意域名检测

针对现有恶意域名检测方法对域名生成算法(domain generation algorithm, DGA)随机产生的恶意域名检测性能不高,且对由随机单词组成的恶意域名检测效果较差的问题,提出一种基于字符和词特征融合的恶意域名检测算法(cha-racter and word network, CWNet)。利用并行卷积神经网络分别提取域名中字符和词的特征;将两种特征进行拼接,构造成融合特征;利用Softmax函数实现合法域名与恶意域名的检测。实验结果表明,该算法可以提升对恶意域名的检测能力,对更具挑战性的恶意域名家族的检测准确率提升效果更为明显。

成人依恋与恶意创造力的关系:情绪智力和攻击性的链式中介作用

为探讨成人依恋与恶意创造力的关系及内在作用机制,采用亲密关系经历量表、情绪智力量表、恶意创造力行为量表和攻击性问卷,对1 012名大学生进行调查。结果显示,成人依恋(依恋焦虑或依恋回避)可以显著正向直接预测恶意创造力,情绪智力、攻击性在成人依恋和恶意创造力之间存在链式中介效应。这表明成人依恋既可以直接影响恶意创造力,也可以通过情绪智力、攻击性间接影响恶意创造力。