基于超带宽滤波一体化映射机制的物联网恶意特征信号检测算法

为解决当前物联网(IOT)恶意特征信号检测方案存在实时捕捉性能不佳,且难以实现对节点运动轨迹精确定位等不足,提出了一种基于超带宽滤波一体化映射机制的IOT恶意特征信号检测算法。首先,考虑到接收信号强度指示(RSSI)定位方法存在的不足,利用聚类中心过滤方式来计算精度映射矩阵,以获取信号发射源的拓扑平面坐标,并设计基于迭代投影矢量的锚节点覆盖方法,提高网络对节点信号发射坐标实时监控强度;根据超宽带多径估计机制,构建恶意节点实时捕捉方法,综合节点坐标的无偏估计及运动过程中能量损失来实现节点动态轨迹的精确捕捉,实现对恶意特征信号发射源动态捕捉。仿真实验表明,与超宽带能量相邻启发算法(ENNH-TSP)及黑洞安全组节点探测算法(SGBB-NDS)相比,所提算法具有更好的动态捕捉性能,具备高精度获取恶意节点运动轨迹的特点。

基于行为的Android恶意软件判定方法及其有效性

针对当前Android平台资源受限及恶意软件检测能力不足这一问题,以现有Android安装方式、触发方式和恶意负载方面的行为特征为识别基础,构建了基于ROM定制的Android软件行为动态监控框架,采用信息增益、卡方检验和Fisher Score的特征选择方法,评估了支持向量机(SVM)、决策树、k-邻近(KNN)和朴素贝叶斯(NB)分类器四类算法在Android恶意软件分类检测方面的有效性。通过对20 916个恶意样本及17 086个正常样本的行为日志的整体分类效果进行评估,结果显示,SVM算法在恶意软件判定上准确率可以达到93%以上,误报率低于2%,整体效果最优。可应用于在线云端分析环境和检测平台,满足海量样本处理需求。

机会网络下一种采用二审分析法的网络恶意节点检测机制研究

机会网络中一旦有了恶意节点,则会引起网络拥塞甚至系统崩溃。因此,如何检测并拒绝接收恶意节点发出的消息是保证机会网络能够正常顺利运行的一个亟待解决的问题。为解决这一问题,本文提出一种基于“二审分析法”的方式来对节点的恶意特征进行评价,并建立恶意节点黑名单。该算法首先通过主观分析算法对消息节点进行甄别,对无明显恶意特征的节点发送的传输消息进行“放行”,之后对具有恶意特征的嫌疑节点再利用客观分析算法进一步判断,并将满足条件的节点加入黑名单。正常节点不接收黑名单中各节点发送的消息,以此来抵御恶意节点的注入式攻击。该算法兼顾机会网络节点间的传输机会和节点内部资源,提高了节点恶意性的分析效率。同时提出“有效报文投递率”“有效传输延时”“有效网络开销”等概念,即各项统计指标不再纳入真实恶意节点产生的数据,通过各项“有效指标”,将更准确地对数据进行观察。

基于Android系统的恶意软件的分析

针对智能手机的迅速普及和Android系统的安全危机,本文主要对Android恶意软件进行了分析,从Android恶意软件在安装形式、激活方式,以及恶意负载的三个方面总结了恶意软件的特征,最后,提出了对Android平台安全发展的展望。

面向恶意网页训练数据生成的GAN模型

针对基于机器学习算法识别恶意网页时恶意网页样本收集困难的问题,提出了一种基于生成对抗网络(GAN)的扩展恶意网页样本数据集的方法(WS-GAN),使用少量的原始样本数据训练生成对抗网络,利用生成器模拟生成网页样本。同时在原有生成对抗网络的结构中加入了多个判别器:全局判别器判别整体样本的真伪,控制生成样本整体的质量;各特征判别器判别其对应类别特征数据的真伪,控制生成样本细节部分的质量。实验结果表明,WS-GAN生成的网页特征样本可用于恶意网页分类器的训练,并且其生成样本的质量优于条件生成对抗网络和条件变分自编码器生成样本的质量。

一种基于亲缘性的恶意代码分析方法

随着网络及应用技术的不断发展,恶意代码的问题日益突出。目前大多数反病毒措施都是基于传统的基于特征码的扫描技术,使用"扫描引擎+病毒库"的结构方式虽然对已知病毒的检测相对准确,但对新出现的恶意代码无法准确、及时地做出检测。本文提出了一种基于亲缘性恶意代码分析方法,使用系统函数集合、行为特征、相似代码特征这三个方面来表征一类恶意代码的特征,以达到缩小特征库规模,快速检测未知恶意代码的目的,特别是变种恶意代码。实验结果表明本文所提出的方法可以取得良好的检测结果。

(BWTD)_(M):一种有效的信誉攻击防御策略

为解决目前信誉系统的防御能力与信誉量化准确度的矛盾问题,提出了(BWTD)_(M)信誉攻击防御策略。第一,在审查团构建上,为了针对性提高防御能力,按照用户不同商品需求类型配置不同的黑白名单,即多维(Multiple,M)黑白(Black,B;White,W)名单;第二,为解决因多维黑白名单导致数据稀疏从而影响信誉量化准确度的问题,在信任(Trust,T)量化上,评价者信任从社交、用户行为和能力等多维数据进行量化,同时在不信任(Distrust,D)量化上,评价者不信任通过多维恶意评价数据进行针对性量化;第三,在信誉量化上同时考虑第一和第二点。试验表明该策略在信誉评价的准确度和抗攻击能力上明显优于现有防御策略。研究结果有利于对信誉攻击进行防御。

Android恶意软件检测研究与进展

针对持续恶化的Android安全形势,从恶意软件检测的角度,首先总结了Android恶意软件在安装、触发和恶意负载方面的特征和发展趋势;以此为基础,结合Android平台特性和移动智能终端环境限制,系统化论述了现有Android恶意软件分析与判定技术,指出了权限分析、动态分析和静态分析的实现方法及其优缺点;介绍了基于特征值和基于启发式的恶意软件判定方法.最后,根据已有Android恶意软件检测研究的不足,提出了未来的研究方向和发展趋势.

Automatic malware classification and new malware detection using machine learning

The explosive growth ofmalware variants poses a major threat to information security. Traditional anti-virus systems based on signatures fail to classify unknown malware into their corresponding families and to detect new kinds of malware pro- grams. Therefore, we propose a machine learning based malware analysis system, which is composed of three modules： data processing, decision making, and new malware detection. The data processing module deals with gray-scale images, Opcode n-gram, and import fimctions, which are employed to extract the features of the malware. The decision-making module uses the features to classify the malware and to identify suspicious malware. Finally, the detection module uses the shared nearest neighbor （SNN） clustering algorithm to discover new malware families. Our approach is evaluated on more than 20 000 malware instances, which were collected by Kingsoft, ESET NOD32, and Anubis. The results show that our system can effectively classify the un- known malware with a best accuracy of 98.9%, and successfully detects 86.7% of the new malware.

Discovering optimal features using static analysis and a genetic search based method for Android malware detection

Mobile device manufacturers are rapidly producing miscellaneous Android versions worldwide. Simultaneously, cyber criminals are executing malicious actions, such as tracking user activities, stealing personal data, and committing bank fraud. These criminals gain numerous benefits as too many people use Android for their daily routines, including important communications. With this in mind, security practitioners have conducted static and dynamic analyses to identify malware. This study used static analysis because of its overall code coverage, low resource consumption, and rapid processing. However, static analysis requires a minimum number of features to efficiently classify malware. Therefore, we used genetic search（GS）, which is a search based on a genetic algorithm（GA）, to select the features among 106 strings. To evaluate the best features determined by GS, we used five machine learning classifiers, namely, Na？ve Bayes（NB）, functional trees（FT）, J48, random forest（RF）, and multilayer perceptron（MLP）. Among these classifiers, FT gave the highest accuracy（95%） and true positive rate（TPR）（96.7%） with the use of only six features.