恶意代码可视化分类研究

新型恶意代码设计变得日益复杂,传统的识别并检测方法已经满足不了当前的需求。因此,在对BODMAS数据集分析的基础上,将其进行可视化处理并进行分类。同时考虑到现有恶意代码可视化分类模型主要依赖全局特征,在卷积神经网络基础上设计了一个CA(通道级局部特征关注)模块和一个MA(多尺度局部特征关注)模块,构建了两个新模型,巧妙地结合全局与局部特征。在BODMAS数据集上,新模型在恶意代码种类识别并分类平均准确率相比于BODMAS数据集论文描述的方法得到了提高,证明了数据集可视化可行性和新模型的有效性,为未来研究提供了重要的数据和实验基础。

一种增强代码理解的代码可视化工具JavaCity

该文提出了一种基于城市隐喻的沉浸式代码可视化工具JavaCity,实现了方法级别的细粒度可视化;通过抽取软件项目各项度量值构建可视化可交互的虚拟城市,进一步增强代码可视化和代码理解的能力.在JavaCity和IDEA上进行的对比实验研究表明:JavaCity在理解软件项目相关的任务上时间效率节省200 s以上,在有用性评价上接近100%正确,近90%的参与者在脑力劳动、努力程度和挫折程度方面认为认知负荷更低.

信息密度增强的恶意代码可视化与自动分类方法

计算机及网络技术的发展致使恶意代码数量每年以指数级数增长,对网络安全构成了严重的威胁。该文将恶意代码逆向分析与可视化相结合,提出了将可移植可执行(PE)文件的".text"段函数块的操作码序列simHash值可视化的方法,不仅提高了恶意代码可视化的效率,而且解决了操作码序列simHash值相似性判断困难的问题。实验结果表明:该可视化方法能够获得有效信息密度增强的分类特征;与传统恶意代码可视化方法相比,该方法更高效,分类结果更准确。

一种基于特征融合的恶意代码快速检测方法

随着恶意代码对抗技术的发展,恶意攻击者通过加壳、代码混淆等技术繁衍大量恶意代码变种,而传统恶意代码检测方法难以对其进行有效检测.基于恶意代码可视化的恶意代码检测方法被证明是一种能够有效识别恶意代码及其变种的新方法 .针对目前研究仅着眼于提升模型分类准确率而忽略了恶意代码检测的时效性,本文提出了一种基于特征融合的恶意代码快速检测方法 .该方法以深度神经网络为框架,采取模块化设计思想,将多尺度恶意代码特征融合与通道注意力机制结合,增强关键特征表达,并使用数据增强技术改善数据集类别不平衡问题.通过实验证明本文方法分类准确率高且参数量小、检测时效性高,优于目前的恶意代码检测技术.

基于深度学习可视化的恶意软件家族分类

计算机网络技术的快速发展,导致恶意软件数量不断增加。针对恶意软件家族分类问题,提出一种基于深度学习可视化的恶意软件家族分类方法。该方法采用恶意软件操作码特征图像生成的方式,将恶意软件操作码转化为可直视的灰度图像。使用递归神经网络处理操作码序列,不仅考虑了恶意软件的原始信息,还考虑了将原始代码与时序特征相关联的能力,增强分类特征的信息密度。利用SimHash将原始编码与递归神经网络的预测编码融合,生成特征图像。基于相同族的恶意代码图像比不同族的具有更明显相似性的现象,针对传统分类模型无法解决自动提取分类特征的问题,使用卷积神经网络对特征图像进行分类。实验部分使用10868个样本(包含9个恶意家族)对深度学习可视化进行有效性验证,分类精度达到98.8%,且能够获得有效的、信息增强的分类特征。

抗混淆的恶意代码图像纹理特征描述方法

将图像处理技术与机器学习方法相结合是恶意代码可视化研究的一个新方法。在这种研究方法中,恶意代码灰度图像纹理特征的描述对恶意代码分类结果的准确性影响较大。为此,提出新的恶意代码图像纹理特征描述方法。通过将全局特征(GIST)与局部特征(LBP或dense SIFT)相融合,构造抗混淆、抗干扰的融合特征,解决了在恶意代码灰度图像相似度较高或差异性较大时全局特征分类准确性急剧降低的问题。实验表明,该方法与传统方法相比具有更好的稳定性和适用性,同时在较易混淆的数据集上,分类准确率也有了明显的提高。