基于API序列分析和支持向量机的未知病毒检测

提出了一种在Windows平台下检测未知病毒的新方法,以PE文件调用的WinAPI序列为特征,运用支持向量机分类来检测未知病毒。实验结果表明,所实现BK-50系统对未知病毒具有较好的识别效果。

基于注意力机制的Java API序列推荐方法

软件开发者在软件代码中如何正确使用API和API序列(APIs),是一个需要学习的困难过程.于是面对不熟悉函数库或像Github那样包含大量APIs的代码仓库,需要一些推荐工具或系统辅助开发者的APIs使用.目前我们所知最好的方法DeepApi能较好理解用户的查询语义,但基于RNN的模型存在问题:(1)没有考虑每个单词的权重;(2)将输入序列压缩为一个固定长度的向量,损失了较多有用信息;(3)句子过长会使关键信息丢失.为此,本文使用了一种基于注意力机制的模型,可以区分每个单词的重要程度并解决长查询输入所产生的长距离依赖问题.我们从Github上面爬取了649个Java开源项目,经过处理得到有114 364对注释-API序列的训练集.实验结果表明我们的方法比DeepApi方法对于BLUE指标在Top1、Top5、Top10上均能提升约20%以上.

基于API序列和卷积神经网络的恶意代码检测

卷积神经网络(convolutional neural network,CNN)在诸多领域得到了广泛应用,Windows API序列在结构上存在前后依赖关系,仅仅使用卷积神经网络实现恶意代码检测将忽略词的上下文语义,因此使用了词向量模型来训练API序列,并且融合5个大小不同的卷积核来弥补传统卷积网络丢失序列时序信息和语法信息的缺点.在Cuckoo沙箱中运行样本文件,提取动态API序列并进行去重处理,预训练得到词向量,输入到多核融合的CNN网络中训练恶意代码检测模型.最后使用测试集测试模型的有效性,测试集的正确率值达到了98.1%,结果表明所提出的方法能有效地检测恶意代码.

基于API序列的恶意软件检测研究

现如今网络技术发展迅猛,恶意软件也被广泛的传播,并且其复杂程度越来越高,对网络的安全造成了巨大的威胁,从而使用户受到严重损失。因此,本文采用虚拟化分析技术对恶意软件进行分析,通过捕获恶意软件在运行过程中产生的API调用序列,然后采用N-Gram和信息增益的思想将捕获到的API序列向量化,最后仿真实验对比正常软件与恶意软件的区别,从而达到有效检测恶意软件的目的。

基于Windows API调用序列的恶意代码检测方法

为解决现有恶意代码检测方法存在的特征提取能力不足、检测模型泛化性弱的问题,提出了一种基于Windows API调用序列的恶意代码检测方法.使用N-gram算法和TF-IDF算法提取序列的统计特征,采用Word2Vec模型提取语义特征,将统计特征和语义特征进行特征融合,作为API调用序列的特征.设计了基于Stacking的三层检测模型,通过多个弱学习器构成一个强学习器提高检测模型性能.实验结果表明,提出的特征提取方法可以获得更关键的特征,设计的检测模型的准确率、精确率、召回率均优于单一模型且具有良好的泛化性,证明了检测方法的有效性.

一种基于API执行序列的恶意代码检测方法

随着软件开发技术的不断进步,恶意代码愈发呈现功能复杂、隐蔽性强等特点。大多恶意代码具有一定的抗检测能力,实际任务中容易导致漏报。针对恶意代码行为特点,提出一种基于应用程序接口(Application Programming Interface,API)执行序列的恶意代码检测方法。首先利用FastText模型和平滑逆词频算法实现API序列的向量化表示,再通过TextCNN卷积神经网络执行恶意代码检测。经实验测试表明,所提方法在基准数据集上能有效提高恶意代码检测的准确率。

面向SQLite3数据库API调用序列的并行运行时验证方法

作为轻量级的高可靠嵌入式数据库,SQLite3已被广泛应用于航空航天和操作系统等多个安全攸关领域,其提供了丰富灵活API函数以支持用户快速实现项目构建.然而,不正确的API函数调用序列会导致严重后果,包括运行错误、内存泄露和程序崩溃等.为了高效准确地监控SQLite3数据库API函数的正确调用情况,提出了基于多核系统的并行运行时验证方法.该方法首先分析API函数文档,自动挖掘相关API调用序列规约描述,辅助人工将其形式化表达为具有完全正则表达能力的命题投影时序逻辑公式;然后,在程序运行时,采用多任务调度策略,将程序执行产生的状态序列分割并对不同片段并行验证.实验结果表明:该方法能够发现调用SQLite3数据库API函数的30个被验证C程序中,违背API函数调用序列规约的达16个.另外,与传统串行运行时验证方法的对比实验表明,提出的并行运行时验证方法能够有效提高多核系统的验证效率.

MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测

基于动态分析的恶意代码检测方法由于能有效对抗恶意代码的多态和代码混淆技术,而且可以检测新的未知恶意代码等,因此得到了研究者的青睐。在这种情况下,恶意代码的编写者通过在恶意代码中嵌入大量反检测功能来逃避现有恶意代码动态检测方法的检测。针对该问题,提出了基于恶意API调用序列模式挖掘的恶意代码检测方法MACSPMD。首先,使用真机模拟恶意代码的实际运行环境来获取文件的动态API调用序列;其次,引入面向目标关联挖掘的概念,以挖掘出能够代表潜在恶意行为模式的恶意API调用序列模式;最后,将挖掘到的恶意API调用序列模式作为异常行为特征进行恶意代码的检测。基于真实数据集的实验结果表明,MACSPMD对未知和逃避型恶意代码进行检测的准确率分别达到了94.55%和97.73%,比其他基于API调用数据的恶意代码检测方法的准确率分别提高了2.47%和2.66%,且挖掘过程消耗的时间更少。因此,MACSPMD能有效检测包括逃避型在内的已知和未知恶意代码。

基于抽象API调用序列的Android恶意软件检测方法

随着Android版本的不断更替,以及恶意软件的代码混淆技术的发展,主流的静态检测方法开始面临检测效率逐年下降的问题。针对上述问题,提出一种基于抽象API调用序列的Android恶意软件检测方法。该方法采用API包名、混淆名和自定义名来抽象API调用序列,使得抽象出来的序列不依赖API版本,同时又包含混淆代码特征,具有更好的容错性。在此基础上,计算抽象API调用序列之间的转移概率矩阵作为分类特征,采用RandomForest分类算法进行恶意软件检测。实验结果表明,该方法对API版本依赖性小,且判别准确率高于一般使用API调用序列作为特征的判别方法,从而能更有效地检测未知应用软件的恶意性。

基于卷积神经网络的恶意代码API分类

恶意代码已经成为威胁网络安全的重要因素之一,安全人员一直致力于研究如何有效检测恶意代码,在动态分析方法中可以通过程序的API调用序列进行分析。通过对恶意软件的API调用序列进行编码处理,可以获得图片格式的数据,进而使用卷积神经网络训练出分类模型,从而实现对恶意软件进行分类,获得较高的准确率,针对阿里云天池上的数据集进行实验验证,实验使用有向图编码方式,采用不同的卷积神经网络架构,对比不同方法的准确性。

基于Win32 API和SVM的未知病毒检测方法

提出了一种Windows平台下检测未知病毒的新方法,该方法通过分析PE文件调用的Win32 API序列,用SVM来对划分后k长度的API短序列分类,并通过分析API函数及参数危险程度来提高SVM分类的精确度,从而实现对未知病毒的检测。实验结果表明,该方法实现的病毒检测系统比只用SVM的系统具有更好的检测效果。

基于行为特征的PowerShell恶意代码检测模型

随着网络攻击技术的发展,PowerShell恶意代码被广泛应用于无文件攻击中。为了有效检测PowerShell恶意代码,提出一种基于行为特征的PowerShell恶意代码检测模型。首先,通过搭建CAPE沙箱运行分析PowerShell脚本提取API序列。随后,使用一维卷积层提取获取API序列的短距离依赖关系,在应用Bi-LSTM获取API序列之间的时序依赖关系后,利用Transformer编码器捕获序列间的长距离依赖和全局关系。最后,使用全连接层实现恶意性检测。实验结果表明,模型能够有效检测PowerShell恶意代码。

面向Windows Native API调用的入侵防御模型

为了提高基于Windows操作系统的入侵防御系统的检测效率、实时性和智能性,引入嵌入式汇编语言来简化对Win-dows Native API的监控,将数据集划分为一组基本相对独立的变长序列模式,利用粗糙集理论对每种长度的序列集进行简约,建立了较小规模的Native API短序列的防御模型,并应用于sendmail调用序列检测。实验结果表明,模型的检测率达到96.08%,误报率降低到1.93%。与其他检测模型的比较结果表明,模型在检测率、实时性和智能性方面有更优的性能。

基于序列比对的勒索病毒同源性分析

勒索病毒近年来数量呈爆发式增长,但其中真正的新型家族并不多,多数为已有家族变种。通过研究恶意代码行为特征,提出一种基于序列比对的同源性分析方法。使用沙箱提取勒索病毒动态行为特征,抽取API调用类别,并进行编码、去重,结合序列比对算法计算不同恶意代码之间的相似性,从而分析同源性。数据集选取6类勒索家族及其变种。实验结果表明该方法能较好地分析勒索病毒同源性,并能很好地区分正常软件和勒索病毒。

基于特征序列的恶意代码静态检测技术

近年来,基于机器学习方法的恶意代码检测方法存在着无法自动和高效地提取恶意代码的问题,有些还需要人工对特征进行提取,但是提取的特征没有深层地描述恶意代码行为,存在检测的准确率较低、效率低等缺点。通过对静态恶意代码进行分析,从纹理特征和操作码特征入手,在提取纹理特征过程中,提出一种Simhash处理编译文件转换成灰度图像的方法,生成灰度图像后通过GIST算法和SIFT算法提取全局和局部图像纹理特征,并将全局和局部图像特征进行融合。

基于双流融合网络的恶意软件动态行为检测

针对传统静态分析方法很难捕捉到恶意软件复杂多变的动态行为问题,实验基于动态特征分析技术,通过研究八种常见恶意软件的WindowsAPI调用序列,发现了API调用序列的前后顺序和调用频率会直接反映恶意软件的恶意行为,实验使用TF-IDF技术将API调用序列向量化,设计基于CNN-BiLSTM双流融合网络的深度学习模型对这种API调用的前后依赖关系进行建模,实现对常见恶意软件的动态检测。实验结果表明,该模型的测试准确率达到了95.99%,优于RF、SVM、LSTM、BiLSTM和CNN-LSTM模型,为恶意软件的检测提供了借鉴参考。

面向行为多样期的挖矿恶意软件早期检测方法

挖矿恶意软件是一种隐匿在受害主机中,在未经用户许可的情况下使用系统资源挖掘加密货币的恶意软件,其不仅影响计算机系统的正常运行也会危害系统安全.目前基于动态分析的挖矿恶意软件检测方法主要以挖矿恶意软件的工作量证明行为为检测对象,难以实现对此类软件的及时检测.针对上述问题,通过分析挖矿恶意软件的运行过程,发现挖矿恶意软件在建立网络连接前行为多样,由此提出“挖矿软件行为多样期(Behavioral Diversity Period of Cryptominer,BDP)”的概念并进一步提出面向行为多样期的挖矿恶意软件早期检测方法(Cryptomining Malware Early Detection Method in Behavioral Diversity Period,CEDMB). CEDMB使用n-gram模型和TF-IDF(Term Frequency-Inverse Document Frequency)算法从BDP内的API(Application Programming Interface)序列中提取特征以训练检测模型.实验结果显示,CEDMB使用随机森林算法时可以在软件开始运行后10 s内以96.55%的F1-score值判别其是良性软件还是挖矿恶意软件.

基于自相似特性的恶意代码动态分析技术

在比较恶意代码的分析技术的基础上,将自相似特性技术引入恶意代码的动态分析中。跟踪同类型的恶意程序,采集API函数的调用序列,提取关键特征信息,得到时间调用序列,并进行归一化处理。通过重新标度权差分析算法、回归方差算法和Higuchi算法,分别计算程序的Hurst指数,匹配同种恶意程序的自相似性。将恶意程序与正常程序的API调用序列和Hurst指数进行对比实验表明,恶意程序调用API函数与正常程序存在差异,并且同一类型的恶意程序确实具有自相似性,从而能够动态检测出恶意程序。

SEMBeF:一种基于分片循环神经网络的敏感高效的恶意代码行为检测框架

词向量和循环神经网络(Recurrent Neural Network,RNN)能够识别语义和时序信息,在自然语言识别方面中取得了巨大成功。同时,代码运行时产生的API调用序列也反映了代码的真实意图,因此我们将之应用于恶意代码识别中,期望在取得较高正确率的同时减少人工提取和分析代码特征工作。然而仍然存在三个问题:1)不少恶意代码故意通过随机混合调用敏感API和非敏感API破坏正常的上下文,对这两种API同等对待可能产生漏报;2)为尽可能全面收集代码行为,代码运行期间产生的API序列长度较长,这将导致RNN学习时间过长;3)经典RNN常用的softmax分类函数泛化能力不强,准确率有待提高。为了解决上述问题,本文提出了一种基于分片RNN(Sliced Recurrent Neural Network,SRNN)的敏感高效的恶意代码行为检测架构SEMBeF。在SEMBeF中,我们提出了一种安全敏感API权重增强的敏感词向量算法,使得代码表示结果既包含上下文信息又包含安全敏感权重信息;我们还提出了一种SGRU-SVM网络结构,通过并行计算大幅降低了因代码API调用序列过长引起的训练时间过长的问题,提高了检测正确率;最后针对样本平衡和网络模型超参数选择问题进行了优化,进一步提高了检测正确率。本文还实现了SEMBeF验证系统,实验表明,与其他基于经典词向量和RNN的深度学习方法以及常用的机器学习方法相比,SEMBeF不仅检测正确率最高,训练效率也得到了显著提升。其中,检测正确率和训练时间分别为99.40%和210分钟,与传统RNN相比,正确率提高了0.48%,训练时间下降了96.6%。

用于应用软件审计的人工免疫方法研究

应用软件已成为重要的被审计对象之一。如何针对应用软件的审计需求来设计测试用例,以及如何监视被审计的应用软件的操作过程以寻找其中可能存在的欺诈或舞弊行为的线索,是当前急需研究和解决的难题。针对这两个问题,本文分别给出了基于人工免疫的测试用例生成算法及API序列分析算法,为应用软件审计提供了一些新的思路和方法。