基于OpCode的融合终端代码相似性检测方法研究

近年来,软件安全问题频发,继承自第三方代码的漏洞一直困扰着开发人员,有效的App代码相似性检测成为保障系统稳定运行的关键。文章针对常规检测方法的特征维度过高、检测效率低等缺点,将编辑距离引入二进制指令集的相似度比较,提出了一种新的基于OpCode代码段编辑距离和所有公共子序列的图相似性相结合的智能融合终端二进制ELF文件相似性判定方法,提出调整后相似度模型的量化公式。对于开展融合终端App同源或相似性分析,评价源代码相似度量化指标,进而解决融合终端的安全隐患具有非常重要的意义。

自主学习视域下OPCODE对程序设计的干预研究

良好的认知策略为学习者加工信息提供了方法,提高了学习者对事物的分析判断能力和创造性思维能力。为探究OPCODE对高职学生程序设计课程自主学习的干预效果,研究中设计了基于OPCODE的认知策略与干预模式,以高职课程中的“C++程序设计”课程作为案例,以180名学生作为实验对象,检验了该认知策略下OPCODE对自主学习的干预效果。研究结果在一定程度上表明,OPCODE对学生自主学习中细节认知、知识融通和创造性思维能力有显著影响。该研究旨在为教师引导学生自主学习提供参考。

基于胶囊网络和注意力机制的智能合约漏洞检测方法

近年来,随着智能合约的数量越来越多,因合约漏洞而造成的经济损失愈发严重,智能合约的安全性越来越受到广泛的关注。基于深度学习的漏洞检测方法能够解决早期传统智能合约漏洞检测方法检测效率低、准确率不足的问题,但大多现有基于深度学习的漏洞检测方法都是直接使用智能合约源代码、操作码序列或字节码序列作为深度学习模型的输入,会因引入过多无效信息而削弱有效信息。为此,文中提出了一种基于胶囊网络和注意力机制的智能合约漏洞检测方法。考虑到程序的执行时序信息,文中通过提取智能合约的关键操作码序列作为源代码特征,然后利用胶囊网络和注意力机制的混合网络进行训练,其中胶囊网络模块用于提取智能合约的上下文信息以及局部与整体的联系,注意力机制用于给不同的操作码按照其重要程度分配不同的权重。实验结果表明,文中提出的算法在智能合约数据集中的F_1分数和准确率分别为94.48%和97.15%,与其他传统检测方法和深度学习方法相比有较明显的性能提升。

Android恶意应用的静态检测方法综述

Android系统的开放性和第三方应用市场的多样性,使其在取得高市场占有率的同时也带来了巨大的风险,导致Android恶意应用层出不穷并广泛传播,严重威胁了用户的隐私和经济安全.如何有效检测Android恶意应用受到了研究人员的广泛关注.根据是否运行应用程序,将现有的恶意应用检测方法分为静态检测和动态检测.其中,静态检测的效率和代码覆盖率均优于动态检测,Drebin等静态检测工具取得了广泛应用.为此,系统调研了Android恶意应用静态检测领域的研究进展,并进行了分析和总结.首先,介绍了Android应用静态特征;然后,根据静态特征的不同,分别对基于权限、应用程序编程接口(application programming interface,API)和操作码等不同静态特征的Android恶意应用检测方法进行了分析,并总结了常用的Android应用数据集和评价Android恶意应用检测性能的常用指标;最后,对Android恶意应用静态检测技术的发展进行了总结和展望,以期为该领域的研究人员提供参考.

基于词嵌入与Shapelet时序特征的智能合约漏洞检测方法研究

随着区块链智能合约的广泛应用,出现了大量针对智能合约的漏洞攻击,智能合约的安全性成为国内外研究的新关注点。针对智能合约机器学习漏洞检测方法特征选取自动化程度低、误报率高,而深度学习语义建模不足,提取的抽象特征缺乏可解释性等问题,提出了一种基于词嵌入和Shapelet时序特征的智能合约漏洞检测方法。首先,获取智能合约操作码,并采用词嵌入技术将其编码,获得操作码的语义向量特征表示;其次,将编码后得到的操作码序列,应用时序分析方法Shapelet-Transform获取智能合约操作码的Shapelet时序特征;最后,结合机器学习分类技术构建了漏洞检测模型。实验表明:二分类模型的准确度为82.15%,比FastText方法高19.40%,比TextCNN方法高5.92%;多分类模型的准确度为84.95%,比FastText方法高12.04%,比TextCNN方法高8.18%。该模型可以实现智能合约特征码时序特征的自主学习,在具备较高精确度的前提下,同时提供了可解释性漏洞检测依据。

MobileNet-Based IoT Malware Detection with Opcode Features

In recent years,with the rapid development of Internet and hardware technologies,the number of Internet of things(IoT)devices has grown exponentially.However,IoT devices are constrained by power consumption,making the security of IoT vulnerable.Malware such as Botnets and Worms poses significant security threats to users and enterprises alike.Deep learning models have demonstrated strong performance in various tasks across different domains,leading to their application in malicious software detection.Nevertheless,due to the power constraints of IoT devices,the well-performanced large models are not suitable for IoT malware detection.In this paper we propose a malware detection method based on Markov images and MobileNet,offering a cost-effective,efficient,and high-performing solution for malware detection.Additionally,this paper innovatively analyzes the robustness of opcode sequences.

基于CNN的Webshell文件检测

Webshell是一种以ASP、PHP和JSP等网页文件形式存在的命令执行环境,可以用于Web服务器的远程访问控制.Webshell采用混淆和加密,增加了分析难度和检测难度.基于特征值匹配的Webshell检测方法难以有效对抗混淆加密,且无法检测未知的Webshell,为此提出了一种基于CNN的Webshell检测方法.该方法首先编译PHP文件获取opcode,再利用词汇表模型提取词序特征,最后训练得到CNN检测模型.实验结果表明,该方法在精确率、召回率、F1值都优于传统的机器学习算法,且检测率也高于现有的安全工具,证明了该方法的有效性.

基于多层神经网络的Webshell改进检测方法研究

Webshell是常见的网络攻击方式,而传统的检测手段已无法应对复杂灵活的变种Webshell攻击。因此,提出了一种基于多层神经网络的Webshell改进检测方法。首先,将采集的文件样本进行预编译处理,得到中间代码opcode;其次,使用较新颖的词向量转换算法word2vec将代码序列转换为特征向量;最后,通过设计好的多层神经网络进行检测。经过实验,相较于其他方法,所提方法有效提高了准确率、召回率等性能参数。

一种Android恶意软件检测模型

针对传统Android恶意软件检测方法检测精度较低等不足,提出一种基于双通道卷积神经网络的Android恶意软件检测模型。首先,提取应用程序的原始操作码序列并生成指令功能序列;然后,将两种序列分别作为卷积神经网络两个通道的输入迭代训练并调整各层神经元权重;最后,通过已训练的检测模型实现对Android恶意软件的检测。实验结果表明,该检测模型对恶意软件具有较好的检测分类精度和检测准确率。

恶意软件检测中的特征选择问题

恶意软件检测问题是一个十分重要的问题,而特征选择的好坏对于恶意软件检测具有决定性的影响。该文提出用有效性、自动性及时空效率作为恶意软件检测中选择的特征好坏评价的基本指标,并讨论了几种恶意软件检测特征选择的分类方法。对目前常见的基于n元序列、基于操作码、基于基本块和基于行为的特征选择方法进行了较为系统的回顾,分析了各种特征选择方法的基本原理,总结梳理了每种特征选择方法的优点和缺点,并对特征选择的效果进行了定性的评估,得出的结论对于选择合适的特征用于恶意软件检测具有积极的参考意义。

典型Shellcode引擎特征检测方法研究

通用的shellcode引擎大都采用特定运算对shellcode进行编码,使得shellcode具有规避传统的代码特征检测系统的能力。为了检测具有规避传统检测能力的shellcode,深入分析目前典型shellcode引擎的工作原理,在此基础上研究引擎产生shellcode的代码特征和行为特征,进而提出了基于这两类特征的针对性综合检测方法。实验结果表明,这种综合检测方法可以针对性地、有效地检测并阻止这类shellcode的执行,同时对其它shellcode也能实现一定程度上的检测,而且虚警和漏警率为0。该检测系统对恶意代码的检测具有一定的应用价值。

软件安全Shell的实现

本文基于防止软件被破解与逆向的目的,通过对PE文件导入表、导出表、重定位表的处理实现Shell增加区段的功能。通过将Is Debugger Present与Timing Attacks技术的融合实现Shell自身的反调试,同时采用Shell Code的编码方式存储一些敏感信息以及通过"无效操作码"这一后门接口实现Shell自身的反虚拟机功能。最后通过对Notepad的加Shell试验说明Shell具有反调试与反虚拟机功能,证明了对软件加Shell具有防止被破解与逆向的功能。

一种基于威胁情报层次特征集成的挖矿恶意软件检测方法

挖矿恶意软件是近年来出现的一种新型恶意软件,其加密运算模式给受害用户带来巨大损失.通过研究挖矿恶意软件的静态特征,本文提出一种基于威胁情报层次特征集成的挖矿恶意软件检测方法.从挖矿恶意软件威胁情报的角度,本文分别使用字节特征层、PE(Portable Executable)结构特征层和挖矿操作执行特征层训练挖矿恶意软件分类器,利用不同恶意软件特征对恶意软件的检测偏好,使用集成方法在层次特征的基础上组建挖矿恶意软件检测器.在实验评估中,本文使用模拟实验室环境数据集和模拟真实世界数据集进行模型性能测试.实验结果表明,本文所设计的层次特征集成的挖矿恶意软件检测方法在模拟真实世界数据集上取得了97.01%的准确率,相对挖矿恶意软件检测基线方法获取了6.13%的准确率提升.

基于卷积神经网络的Android恶意应用检测方法

随着Android智能终端的加速普及和Android应用市场的不断发展,相关安全威胁开始逐渐显现,Android平台恶意应用的不断涌现成为亟待解决的重要安全问题,对Android恶意应用的检测工作逐渐成为研究热点.通过对相关的研究成果进行总结分析,提出了一种基于卷积神经网络的Android恶意应用检测方法.该方法使用Opcode操作码作为研究对象,能够比较全面地刻画Android应用程序.同时该方法简化了人工特征选择环节,使用卷积神经网络自动提取信息量较大的特征.实验结果表明,该方法能够有效地检测恶意应用,并为今后的恶意应用检测研究提供了一种行之有效的研究思路.

基于多维特征的Android恶意应用检测系统

为了提高检测效率和降低系统开销,提出了使用多个级别的不同分类器用于平衡精确度和系统开销的检测机制.采用操作码等多个独立的数据源作为机器学习的训练集,仅在级别1无法提供可靠的检测时,将级别2作为最终检测结果.并在关注申请权限的同时,研究运行时权限之间的关联性,使用n-gram处理操作码序列.最后,通过实验验证了该方法能够在降低开销的同时保证方法的有效性,因此,提出的方法可以有效地用于未知应用的恶意代码检测.

基于操作码合并的Python程序防逆转算法

由Python编程语言编写的程序,其编译生成的字节码是针对Python虚拟机的具有特定结构的文件,该文件很容易被逆向工具反编译,从而损害开发者的经济利益和个人隐私。传统的防逆转方法存在其处理后的字节码文件易被破解、程序运行效率低等问题。为此,提出一种新的Python字节码文件保护算法。在不影响程序执行结果的前提下,将Python字节码文件中的多个操作码合并为一个新操作码,改变操作码序列的结构和语义,最终达到防逆转的目的。实验结果表明,该算法不仅能防止Python字节码文件被反编译,而且可以减小字节码文件的存储空间,提升程序执行效率。

基于多特征融合的恶意代码分类算法

针对多数恶意代码分类研究都基于家族分类和恶意、良性代码分类,而种类分类比较少的问题,提出了多特征融合的恶意代码分类算法。采用纹理图和反汇编文件提取3组特征进行融合分类研究,首先使用源文件和反汇编文件提取灰度共生矩阵特征,由n-gram算法提取操作码序列;然后采用改进型信息增益(IG)算法提取操作码特征,其次将多组特征进行标准化处理后以随机森林(RF)为分类器进行学习;最后实现了基于多特征融合的随机森林分类器。通过对九类恶意代码进行学习和测试,所提算法取得了85%的准确度,相比单一特征下的随机森林、多特征下的多层感知器和Logistic回归算法分类器,准确率更高。

基于深度学习的Webshell恶意代码检测方法研究

在当今现代化的世界中,人工智能逐渐被应用在各个领域之中,而深度学习就是人工智能的核心算法之一,近些年来也被广泛应用于网络安全领域,传统简单的通过人工定义规则集的检测方法逐渐被淘汰掉。而现在,如果将深度学习方法应用在检测Webshell中,不仅可以很好地提高准确率,而且和传统的机器学习方法相比,可以自动提取特征值,完成特征工程的过程更加智能化。因此基于深度学习来研究Webshell检测是近些年来一个得到持续关注的热点课题。该文主要针对使用PHP编写的Webshell进行检测,将深度学习方法和PHP文件操作码序列的特点进行结合,在构建的模型上训练测试数据集,最终可以获得相当高的准确率。

基于卷积神经网络的Webshell检测方法研究

Webshell是攻击者使用的恶意脚本,其目的是升级和维护对已经受到攻击的Web应用程序的持久访问。然而,传统检测方法对于加密、混淆后的Webshell的识别效果较差。针对这一问题,提出了一种基于卷积神经网络的检测方法。该方法首先获得PHP文件对应的opcode,然后通过Word2vec算法得到字节码序列的特征词向量,最后经过卷积神经网络处理得到检测结果。实验结果表明,该方法在检测变种Webshell方面的表现优于其他算法,也证明了该方法的可行性和有效性。

基于机器学习的内核恶意程序检测研究与实现

随着计算机科学的发展,世界对计算机的依赖越来越强,计算机安全也越来越重要,恶意代码是计算机安全面临的最大敌人.针对传统的恶意代码检测和分析技术在现在已经无法满足需求的问题,提出使用机器学习并应用新的分类特征来识别恶意程序,并且对他们进行初级的家族分类,指出以往机器学习在恶意代码检测和分类上的不足,筛选出更好的区分特征.首先使用了n-gram算法来优化恶意代码反汇编代码中的操作码特征,然后使用词袋模型和TF-IDF算法优化API调用特征,最后编程实现模型并使用数据集进行了模型的训练和测试.实验中使用决策树算法的模型的分类准确率上达到了87.41%,使用随机森林算法的模型的分类准确率上达到了90.06%,实验结果表明提出的特征相比以往在恶意代码检测分类上应用的特征有着更好的效果.