基于虚拟机自省的Linux恶意软件检测方案

随着物联网和云计算技术的快速发展,Linux恶意软件的数量和种类急剧增加,因此如何有效检测Linux恶意软件成为安全领域的重要研究方向之一。为了解决这一问题,文章提出一种基于虚拟机自省的Linux恶意软件检测方案。该方案利用虚拟机自省技术在沙箱外部安全获取内部运行状态,在实现全方位监控的同时,规避了恶意软件的反动态分析问题。与其他沙箱监控方案相比,文章所提方案增加了恶意软件在沙箱中的恶意行为表现的数量。针对特征之间的时序性,采用时序处理模型对沙箱获取的特征信息进行建模和训练,旨在判断Linux应用是否属于恶意软件。文章使用了3种神经网络,包括循环神经网络、长短期记忆网络和门控循环单元网络。实验结果表明,长短期记忆网络在该应用场景下检测效果更好,准确率达98.02%,同时具有较高的召回率,将虚拟机自省技术与神经网络模型结合应用于恶意软件检测,既能在虚拟机外部监控虚拟机内部,又考虑特征之间的时序性。

基于GCN和BiLSTM的Android恶意软件检测方法

现有Android恶意软件检测方法大多是对单一结构类型的特征进行学习,在分析应用程序语义方面有所缺失。针对传统检测方法捕获特征语义不够全面的问题,文中创新性地提出了一种基于GCN和BiLSTM的Android恶意软件检测模型,在精准提取样本结构信息的同时对恶意行为语义进行重点分析。首先以图的方式表征26类关键系统调用间的拓扑关系,使用双层GCN网络聚合系统调用图中节点的高阶结构信息,有效提高特征学习效率;然后利用带有自注意力机制的BiLSTM网络获取操作码序列的上下文语义,通过为具有恶意特征的序列赋予高权重得到特征内部的强相关性;最后使用Softmax输出融合结构信息和上下文特征的样本分类概率。在基于Drebin和AndroZoo数据集的实验中,所提模型准确率达到了93.95%,F1值达到了97.09%,相较于基准算法有显著提高,充分证明了基于GCN和BiLSTM的模型能有效提升Android恶意软件的检测效果。

基于API序列和预训练模型的恶意软件检测

针对现有方法存在特征表达受限、无法捕获API序列全局语义信息,且恶意软件数据集通常包含大量无标注数据,无法直接进行有监督学习等问题,利用自然语言预训练模型技术,提出一种基于API调用序列和预训练模型的恶意软件检测方法。使用原始API序列构建分词器;基于BERT模型构建出动态掩码序列模型进行无监督学习的预训练,同时获取API序列的全局动态编码表示;使用该编码构造检测模型。实验结果表明,所提方法能有效检测出恶意软件。

面向电影行业的软件检测集成平台研发

本文介绍了中国电影科学技术研究所(中央宣传部电影技术质量检测所)检测实验室面向电影行业的软件检测工具集成平台研发过程,主要依据《点播影院暂行技术规范》和GD/J 029—2010《数字电影流动放映监管信息GPS/GPRS接口技术要求和测试方法(暂行)》进行相应数据接口检测工具的设计与实现,以及作为工具容器的检测平台的设计与实现,并最终在国产硬件和操作系统环境下完成对该检测平台的部署。该检测平台的建设具备良好的可操作性和可扩展性,能够为提高检测实验室软件检测能力和检测效率起到良好的技术支撑作用。

融合多样频度与分布差异的Android恶意软件检测

为解决Android恶意软件检测中特征数量多且检测精度不足的问题,提出一种特征重要性的评分算法。改进词频与逆文本频率指数中对常见特征权重下降的不足,将权限、意图和接口3种类型的静态特征在良性与恶意数据集中表现出的多样频度与分布差异相结合,根据得出的评分大小依次排名,筛选出更有区分度的关键特征。实验结果表明,将该方法筛选出的前150个关键特征与随机森林模型结合,达到的98.82%准确率优于同等条件下的其它算法,满足实际运用的需求。

基于集成学习技术的恶意软件检测方法

近年来,低级别微结构特征已被广泛应用于恶意软件检测。但是,微结构特征数据通常包含大量的冗余信息,且目前的检测方法并没有对输入微结构数据进行有效地预处理,这就造成恶意软件检测需要依赖于复杂的深度学习模型才能获得较高的检测性能。然而,深度学习检测模型参数量较大,难以在计算机底层得到实际应用。为了解决上述问题,本文提出了一种新颖的动态分析方法来检测恶意软件。首先,该方法创建了一个自动微结构特征收集系统,并从收集的通用寄存器(General-Purpose Registers,GPRs)数据中随机抽取子样本作为分类特征矩阵。相比于其他微结构特征,GPRs特征具有更丰富的行为特征信息,但也包含更多的噪声信息。因此,需要对GPRs数据进行特征区间分割,以降低数据复杂度并抑制噪声。本文随后采用词频-逆文档频率(Term Frequency-Inverse Document Frequency,TF-IDF)技术从抽取的特征矩阵中选择最具区分性的信息来进行恶意软件检测。TF-IDF技术可以有效降低特征矩阵的维度,从而提高检测效率。为了降低模型复杂度,并保证检测方法的性能,本文利用集成学习模型来识别恶意软件。实验表明,该集成学习模型具有99.3%的检测准确率,3.7%的误报率,优于其他现有方法且模型复杂度低。此外,该方法还可以用于检测真实数据中的恶意行为。

针对恶意软件检测的特征选择与SVM协同优化

提出一种基于改进哈里斯鹰优化SVM和特征选择的恶意软件检测模型。为改进特征子集选取和SVM分类准确率,引入混沌映射、能量因子调节、最优解变异扰动和互利共生对HHO算法的初始种群结构、全局搜索与局部开采切换性能及跳离局部最优能力进行改进;利用改进算法优化SVM参数和特征子集选取,构建恶意软件检测模型。实验结果表明,改进算法在降低特征维度的同时可以有效提升分类准确率,利用高质量特征子集提升恶意软件检测模型的分类能力。

基于注意力与门控机制的多特征融合恶意软件检测方法

随着网络技术的飞速发展,恶意软件及其变种的数量不断增加,这使得恶意软件的检测成为网络安全领域面临的一大挑战。然而,现有的单一特征恶意软件检测方法在样本信息的表示上存在不足,而对于采用多特征的检测方法,它们在特征融合方面存在局限,未能有效地学习和理解特征内部及特征间的复杂关联,这些问题都会导致检测效果不佳。提出了一种基于多模态特征融合的恶意软件检测方法——MFAGM。通过处理数据集的.asm和.bytes文件,成功提取了两种类型的3种关键特征(操作码统计序列、API序列和灰度图像特征),实现了从多个角度全面地表征样本信息。为了更好地融合这些多模态特征,设计了一个特征融合模块SA-JGmu。该模块不仅采用自注意力机制捕获特征之间的内部依赖关系,还利用门控机制增强了不同特征的交互性,并巧妙地引入了权重跳跃连接以进一步优化模型的表示能力。最终,基于MMCC(Microsoft malware classification challenge)数据集的实验结果显示,MFAGM在恶意软件检测任务上与其他方法相比,达到了更高的准确率和F1分数。

基于异构图嵌入的恶意软件检测

和同构图相比,异构图包含多种节点类型和关系类型,可以表征更丰富更复杂的内容。文中提出了一种基于异构图嵌入的恶意软件检测方法,从威胁情报平台得到恶意样本的基本信息和行为报告,提取出报告中的函数调用行为、文件行为和注册表行为,构造出包含软件及其动静态特征的异构图;根据设计的元模式在图上随机游走生成语料库,通过嵌入模型得到特征向量;将嵌入降维后的特征向量送入分类器进行分类完成检测。实验筛选了4902个样本用于验证方法效果,结果表明提出的方法检测准确率达到99.1%,可以有效检测恶意软件。

基于行为特征和语义特征的多模态Android恶意软件检测方法

现有的Android恶意软件检测方法只考虑单一种类的特征,并不能全面描述Android软件的特征。为解决此类问题,文中从权限、字节码概率矩阵和函数调用图3种类型特征出发,提出了一种基于行为特征和语义特征的多模态Android恶意软件检测方法。同时,为了解决函数节点特征表示问题,文中针对函数调用图的生成过程提出了一种新的节点特征生成方法。为了丰富操作码语义信息,提出了一种基于2-gram的字节概率矩阵生成方法。通过实验证明了文中方法相较于其他方法可更加全面地描述Android软件的特征,检测准确率达到95.2%,相较于已有方法准确率平均提升了22%,有效提高了Android恶意软件的检测能力。

物联网中融合网络流量的恶意软件检测

针对物联网基础设施、应用程序和终端设备的攻击显著增加,物联网中的代表性恶意软件以产生恶意流量为主。对基于恶意软件字节序列构建的MalConv模型进行改进,与基于恶意流量特征的Bi-LSTM模型进行融合,实现了适用于物联网终端设备恶意软件检测的融合模型。实验结果表明,融合模型NT-MalConv具有更高的检测能力,检测准确率达95.17%;检测融合对抗样本时,NT-MalConv模型比MalConv改进模型的准确率提升了10.31%。

恶意软件检测和分类可视化技术综述

随着科技的不断发展,恶意软件及其变种的种类不断增多,已经成为网络安全的一个巨大挑战。这些恶意软件采用了多样的技术手段,以欺骗或规避传统检测方法,从而使得传统非可视化检测技术不再适用。近年来,数据可视化作为一种强有力的恶意软件检测和分类手段引起了学术界的广泛关注。通过以图像的方式呈现恶意软件的核心特征,这类方法能够显著提高恶意软件的检测和分类准确率,从而在网络安全领域具有广阔的研究前景。综述恶意软件检测领域的传统非可视化检测技术与可视化检测技术。介绍了恶意软件检测的传统非可视化方式,包括静态检测、动态检测、混合检测;重点对一些常见的恶意软件可视化方法进行了调研和综合评述,主要包括可视化结合机器学习与可视化结合深度学习两大方向,这两种方法在恶意软件检测和分类中各有优势和特点,因此在选择检测和分类方法时,需要综合考虑多个因素,包括数据集大小、计算资源和时间限制、模型准确度以及实现复杂度等;对目前检测技术所面临的问题进行了总结,并对未来的发展方向进一步展望。

基于预训练语言模型的安卓恶意软件检测方法

近年来,基于有监督机器学习的安卓恶意软件检测方法取得了一定进展。但是,由于恶意软件样本搜集困难,带标签的数据集规模一般较小,导致训练出的有监督模型泛化能力有限。针对这一问题,提出无监督和有监督相结合的恶意软件检测方法。首先,使用无监督方法预训练语言模型,从大量无标记APK样本中学习字节码中丰富、复杂的语义关系,提高模型的泛化能力。然后,利用有标记的恶意软件样本对语言模型进行微调,使其能更有效地检测恶意软件。在Drebin等实验数据集上的实验结果表明,相比基准方法,提出的方法泛化能力更好,检测性能更优,最高检测准确率达98.7%。

基于语义分析的Windows恶意软件检测方法

Windows恶意软件严重侵害个人、企业甚至国家安全,为了有效发现新型恶意软件、深入剖析恶意软件的工作机制,文章提出一种基于语义分析的Windows恶意软件检测方法。该方法使用API调用之间的依赖关系描述恶意软件的行为,结合符号执行技术提取API调用依赖图,并将其作为软件的底层行为特征,通过模式发现和匹配方法,将API调用依赖图映射为ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)框架中的攻击技术,反映恶意软件所包含的行为语义。文章构建了支持向量机分类器,将攻击技术特征作为分类器输入进行训练和测试。实验结果表明,文章提出的方法能够有效发现新型恶意软件。

面向新型电力系统中恶意软件检测模型的黑盒攻击方法研究

近年来,恶意软件攻击对新型电力系统的威胁日益增大。为了应对潜在的风险,研究者通过在智能电网中部署恶意软件检测模型的方式来保护主机系统的安全。然而,越来越多的检测模型在精心构造的对抗样本面前暴露出了弱点。进一步分析潜在的漏洞,对提高新型电力系统稳定性有着深远意义。为此,文章提出一种基于深度强化学习生成恶意软件对抗样本的方法。该方法通过设计动作空间中攻击手段的方式提高对抗样本的逃避能力,然后使用集成环境对智能体进行训练,使得生成样本具有更好的迁移能力。实验结果表明,基于深度强化学习D3QN的对抗样本生成方法相较于其他方法具有更好的综合性能,有利于进一步挖掘目前电力系统中恶意软件检测模型的漏洞。

基于KNN分类算法的恶意软件检测

随着科技的发展,层出不穷的恶意软件对用户计算机系统的数据都构成了极大的威胁,如何准确、高效地检测出恶意软件是令人担忧的问题。几十年来,恶意软件检测已引起反恶意软件行业和研究人员的关注。面对日益复杂的恶意软件,需要新的防御技术来检测和打击新奇的攻击和威胁。人工智能、深度学习也为Windows恶意软件检测提供了新的技术。文章研究如何在现有的一些恶意软件检测方法的基础上,改进特征码的提取和检测模型算法,以提高恶意软件检测的准确度,保护用户计算机系统以及数据的安全性。

基于PCA和SE-ResNet-VIT的恶意软件检测方法

近年来,恶意软件的数量不断增加,为用户带来了严重的安全隐患。为了避免主机系统受到恶意软件的侵害,提高检测的准确率,提出一种基于主成分分析(Principal component analysis, PCA)降维和SE-ResNet-VIT集成模型的恶意软件检测方法。由于软件数据信息具有高维度,多噪点的特征,通过PCA对待检测软件数据进行主成分提取,去除样本数据中的冗余特征项。SE-ResNet-VIT模型是将改进为双线性融合机制的SE-ResNet和VIT (Vision Transformer)中的编码器相结合的集成模型。改进的SE-ResNet模型能够从局部特征中提取更多信息,并通过组合这些特征来提高模型的表示能力。VIT模型能够通过注意力机制来学习数据之间的依赖关系,并能够处理长序列数据。该方法通过结合SE-ResNet和VIT,以两种不同的方式提取特征,能够更准确地捕捉软件的语义信息,从而提高恶意软件检测的准确性。在Ember数据集上进行了对比实验,实验结果表明,该方法的准确率分别为97.05%和98.45%,并与现有的多种检测方法进行对比,在准确率方面分别提高1.94%~5.95%,该方法有更好的检测准确率和泛化能力。

基于改进ID3算法的恶意软件检测策略

当前机器学习算法应用于iOS平台恶意软件检测的研究较少、公开样本数据集获取难、静态检测误报率高。因此提出一种改进的ID3信息增益算法的动态恶意软件检测方法。首先创建数据集,使用改进的ID3信息增益算法选取前40个API调用序列组成特征向量并构建决策树,然后构建测评指标对实验进行分析和验证。实验结果表明,本文方法具有较好的检测率,与改进前的算法相比准确率提高了2.5%,可有效地对恶意软件进行动态识别。

结合注意力与双线性网络的Android恶意软件检测

为解决基于字节码图像的Android恶意软件检测方法中存在多分类准确率不高、易被噪音数据干扰等问题,提出一种结合注意力与双线性网络的恶意软件检测方法。从软件样本中提取字节码文件并将其映射为彩色图像,将注意力机制加入双线性网络的一条分支中减小噪音数据的影响,使用结合注意力的双线性网络模型完成对字节码图像的分类。实验结果表明,该方法在恶意软件二分类与多分类中均具有良好的性能,总体检测性能优于其它同类方法与模型。

基于本体的恶意软件检测方法

恶意软件给当今的互联网带来了很多安全隐患,现有的很多恶意软件检测方法能够有效识别已知的恶意软件样本,但对于新的恶意样本变种识别效率较低,难以有效检测到新的恶意软件变种,于是提出一种基于本体的家族图聚类的恶意软件检测方法。首先通过配置沙箱对恶意样本行为信息进行提取,然后对生成报告做数据清洗,构造恶意软件的行为描述图,最后通过对已知恶意软件家族的行为图进行图聚类来构建家族行为描述图,并将获取的行为描述图中所有信息按照本体的构建规则构建恶意代码领域本体,分别描述对单独恶意样本个体的行为本体和图聚类后家族的行为本体,通过这种方式来进行恶意代码的检测分类。实验结果表明,与其他现有方法相比,本方法有效且更精确。