融合注意力机制的恶意代码家族分类研究 被引量：6

1

作者 王润正 高见 +1 位作者 仝鑫 杨梦岐 《计算机科学与探索》 CSCD 北大核心 2021年第5期881-892,共12页

近年来,随着恶意代码家族变种的多样化和混淆等对抗手段的不断加强,传统的恶意代码检测方法难以取得较好的分类效果。鉴于此,提出了一种融合注意力机制的恶意代码家族分类模型。首先,使用逆向反汇编工具获取恶意样本的各区段特征,并利... 近年来,随着恶意代码家族变种的多样化和混淆等对抗手段的不断加强,传统的恶意代码检测方法难以取得较好的分类效果。鉴于此,提出了一种融合注意力机制的恶意代码家族分类模型。首先,使用逆向反汇编工具获取恶意样本的各区段特征,并利用可视化技术将各区段转化为RGB彩色图像的各通道;其次,引入通道域和空间域注意力机制来构建基于混合域注意力机制的深度可分离卷积网络,从通道和空间两个维度提取恶意样本的图像纹理特征;最后,选取九类恶意代码家族对模型进行训练和测试。实验结果表明,使用单一区段特征对恶意代码家族分类的准确率较低,采用融合特征能够有效地区分各类恶意代码家族,同时该模型相比于传统的神经网络模型取得了更好的分类效果,模型的分类准确率达到了98.38%。 展开更多

关键词 恶意家族 多分类 混合域注意力机制 深度可分离卷积 融合特征

下载PDF 职称材料

基于知识蒸馏的恶意代码家族检测方法 被引量：3

2

作者 王润正 高见 +1 位作者 黄淑华 仝鑫 《计算机科学》 CSCD 北大核心 2021年第1期280-286,共7页

近年来,恶意代码变种层出不穷,恶意软件更具隐蔽性和持久性,亟需快速有效的检测方法来识别恶意样本。针对现状,文中提出了一种基于知识蒸馏的恶意代码家族检测方法,该模型通过逆向反编译恶意样本,利用恶意代码可视化技术将二进制文本转... 近年来,恶意代码变种层出不穷,恶意软件更具隐蔽性和持久性,亟需快速有效的检测方法来识别恶意样本。针对现状,文中提出了一种基于知识蒸馏的恶意代码家族检测方法,该模型通过逆向反编译恶意样本,利用恶意代码可视化技术将二进制文本转为图像,以此避免对传统特征工程的依赖。在教师网络模型中采用残差网络,在提取图像纹理深层次特征的同时,引入通道域注意力机制,根据通道权重的变化,来提取图像中的关键信息。为了加快对待检测样本的识别效率,解决基于深度神经网络检测模型参数量大和计算资源消耗严重等问题,使用教师网络模型来指导学生网络模型训练,实验结果表明学生网络在降低模型复杂度的同时,保持了恶意代码家族的检测效果,有利于对批量样本的检测和移动端的部署。 展开更多

关键词 恶意家族 知识蒸馏 注意力机制 残差网络

下载PDF 职称材料

一种基于改进深度残差收缩网络的恶意应用检测方法

3

作者 许历隆 翟江涛 +1 位作者 林鹏 崔永富 《南京信息工程大学学报（自然科学版）》 CAS 北大核心 2022年第3期368-378,共11页

恶意应用的快速增长给移动智能终端带来了巨大的安全威胁,实现恶意应用高精度检测对移动网络信息安全具有重要意义.本文提出一种基于改进深度残差收缩网络的恶意应用检测方法.首先将流量特征预处理成卷积神经网络输入,接着引入通道注意... 恶意应用的快速增长给移动智能终端带来了巨大的安全威胁,实现恶意应用高精度检测对移动网络信息安全具有重要意义.本文提出一种基于改进深度残差收缩网络的恶意应用检测方法.首先将流量特征预处理成卷积神经网络输入,接着引入通道注意力机制和空间注意力机制,从通道和空间两个维度对样本特征进行加权.然后再引入深度残差收缩网络,自适应滤除样本冗余特征并通过恒等连接优化参数反向传播,减小模型训练和分类的难度,最终实现安卓恶意应用高精度识别.所提方法可避免手工提取特征,能实现高精度分类并且具有一定泛化能力.实验结果表明,所提方法在恶意应用的2分类、4分类和42分类中准确率分别为99.40%、99.95%和97.33%,与现有方法相比,具有较高的分类性能与泛化能力. 展开更多

关键词 恶意应用 恶意家族 深度残差收缩网络 信息安全

下载PDF 职称材料

Android恶意软件特性与进化分析研究 被引量：1

4

作者 管飞诗 徐夫田 《数字技术与应用》 2016年第5期53-55,共3页

Android的流行使其成为众多的恶意软件攻击的目标,Android恶意软件以惊人的速度增长。为更好的了解Android病毒特点及其进化演变方向,本文对近4年的35个Android恶意家族,350个恶意样例进行定性定量分析。结合目前国内外学者对Android恶... Android的流行使其成为众多的恶意软件攻击的目标,Android恶意软件以惊人的速度增长。为更好的了解Android病毒特点及其进化演变方向,本文对近4年的35个Android恶意家族,350个恶意样例进行定性定量分析。结合目前国内外学者对Android恶意软件研究进展,从Android平台下的恶意软件的表现(包括侵入手机前后的各种表现),以及Android恶意软件隐蔽性、重新打包、更新攻击各个方面进行描述,对这350个恶意样例的特性得出一定的结论,并对Android恶意软件进化的趋势做出了理性的预测。从Android病毒编程语言多样化、查杀加壳化以及传播"瓶颈"方面做出预测。得出今后Android恶意软件趋向编程语言多样化、"加壳"技术高深化、传播途径跨平台化等结论。希望本文得出的有关结论和预测对于Android安全相关研究人员提供一定的参考意义。 展开更多

关键词 Android恶意软件 恶意家族 Android安全 定量分析

下载PDF 职称材料

基于改进的MobileNetV2模型的安卓恶意家族分类方法研究

5

作者 李久玲 甘刚 《成都信息工程大学学报》 2024年第5期546-552,共7页

针对人类视觉系统对颜色的高度敏感特点,提出一种基于改进的MobileNetV2模型的安卓恶意家族分类方法。该方法通过引入注意力机制,对RGB图像的3个通道进行特征融合,提高模型对图像颜色信息的敏感度。同时,针对小样本数据集的问题,提出一... 针对人类视觉系统对颜色的高度敏感特点,提出一种基于改进的MobileNetV2模型的安卓恶意家族分类方法。该方法通过引入注意力机制,对RGB图像的3个通道进行特征融合,提高模型对图像颜色信息的敏感度。同时,针对小样本数据集的问题,提出一种改进的模块结构,减少模型的深度和宽度,以提高模型对小样本数据集的特征提取能力。将SE(squeeze-and-excitation network)注意力机制与CBAM(convolution block attention module)注意力机制融入模型进行对比,实验结果表明:CBAM注意力机制在该图像分类任务中表现出显著的优越性,准确率达到94.18%,比原有模型提高了3.16%,验证了该方法的有效性和实用性。该研究对于小样本数据集的图像分类任务的准确性和实际应用中的性能有重要意义。 展开更多

关键词 MobileNetV2 RGB图像 注意力机制 安卓恶意家族分类

下载PDF 职称材料

基于合成图像和Xception改进模型的安卓恶意家族分类方法

6

作者 于兴崭 芦天亮 +2 位作者 杜彦辉 王曦锐 杨成 《计算机科学》 CSCD 北大核心 2023年第4期351-358,共8页

针对安卓恶意家族检测领域存在的代码可视化方法构造的信息不充分、分类效果受数据集数量影响大、分类准确率低等问题,提出了一种基于多特征文件合成图像和Xception改进模型的安卓恶意家族分类方法。首先,选用3个特征文件对应RGB多通道... 针对安卓恶意家族检测领域存在的代码可视化方法构造的信息不充分、分类效果受数据集数量影响大、分类准确率低等问题,提出了一种基于多特征文件合成图像和Xception改进模型的安卓恶意家族分类方法。首先,选用3个特征文件对应RGB多通道合成彩色图像;然后,改进Xception模型引入focal loss函数,缓解由样本不均衡分布带来的负面影响;最后,将注意力机制融合至改进模型,从不同维度提取恶意代码图像特征,提升了模型的分类效果。实验结果表明,所提方法合成的恶意代码图像包含的特征更丰富,相比主流的恶意家族分类方法准确率更高,且对于数量分布不平衡的数据集具备更好的分类效果。 展开更多

关键词 恶意软件可视化 安卓恶意家族分类 注意力机制 FOCAL LOSS Xception

下载PDF 职称材料

基于深度学习可视化的恶意软件家族分类 被引量：13

7

作者 陈小寒 魏书宁 覃正泽 《计算机工程与应用》 CSCD 北大核心 2021年第22期131-138,共8页

计算机网络技术的快速发展,导致恶意软件数量不断增加。针对恶意软件家族分类问题,提出一种基于深度学习可视化的恶意软件家族分类方法。该方法采用恶意软件操作码特征图像生成的方式,将恶意软件操作码转化为可直视的灰度图像。使用递... 计算机网络技术的快速发展,导致恶意软件数量不断增加。针对恶意软件家族分类问题,提出一种基于深度学习可视化的恶意软件家族分类方法。该方法采用恶意软件操作码特征图像生成的方式,将恶意软件操作码转化为可直视的灰度图像。使用递归神经网络处理操作码序列,不仅考虑了恶意软件的原始信息,还考虑了将原始代码与时序特征相关联的能力,增强分类特征的信息密度。利用SimHash将原始编码与递归神经网络的预测编码融合,生成特征图像。基于相同族的恶意代码图像比不同族的具有更明显相似性的现象,针对传统分类模型无法解决自动提取分类特征的问题,使用卷积神经网络对特征图像进行分类。实验部分使用10868个样本(包含9个恶意家族)对深度学习可视化进行有效性验证,分类精度达到98.8%,且能够获得有效的、信息增强的分类特征。 展开更多

关键词 恶意软件家族 恶意代码可视化 递归神经网络(RNN) 卷积神经网络(CNN) SimHash

下载PDF 职称材料

基于模糊哈希特征表示的恶意软件聚类方法 被引量：13

8

作者 肖锦琦 王俊峰 《四川大学学报（自然科学版）》 CAS CSCD 北大核心 2018年第3期469-476,共8页

目前,每年被拦截到的新型恶意软件变种数已达千万级别,在线恶意软件仓库Virus Share上存储的未分类的恶意软件数量也超过了2700万.将恶意软件按一定的行为模式进行聚类,不仅使新型攻击更易被检测出来,也有助于及时获取恶意软件的发展态... 目前,每年被拦截到的新型恶意软件变种数已达千万级别,在线恶意软件仓库Virus Share上存储的未分类的恶意软件数量也超过了2700万.将恶意软件按一定的行为模式进行聚类,不仅使新型攻击更易被检测出来,也有助于及时获取恶意软件的发展态势并做出防范措施.因此提出了一种高效的恶意软件聚类方法,对恶意样本进行动态分析并筛选出包括导入、导出函数、软件字符串、运行时资源访问记录以及系统API调用序列等特征,然后将这些特征转换为模糊哈希,选用CFSFDP聚类算法对恶意软件样本进行聚类.并将聚类个数、准确率、召回率、调和平均值以及熵作为聚类效果的外部评估指标,将簇内紧密度以及簇间区分度作为内部评估指标,实验结果表明,与Symantec和ESET-NOD32的分类结果相比,本文提出的方法的聚类家族个数与人工标记的数量最为接近,调和平均值分别提升11.632%,2.41%. 展开更多

关键词 恶意软件家族 聚类 模糊哈希 特征提取

下载PDF 职称材料

基于高斯混合模型的增量聚类方法识别恶意软件家族 被引量：7

9

作者 胡建伟 车欣 +1 位作者 周漫 崔艳鹏 《通信学报》 EI CSCD 北大核心 2019年第6期148-159,共12页

针对属于同一个家族的恶意软件的行为特征具有逻辑相似性这一特点,从行为检测的角度通过追踪API函数调用的逻辑规则来提取恶意软件的特征,并利用静态分析与动态分析相结合的方法来分析恶意行为特征。此外,依据恶意软件家族的目的性、继... 针对属于同一个家族的恶意软件的行为特征具有逻辑相似性这一特点,从行为检测的角度通过追踪API函数调用的逻辑规则来提取恶意软件的特征,并利用静态分析与动态分析相结合的方法来分析恶意行为特征。此外,依据恶意软件家族的目的性、继承性与多样性,构建了恶意软件家族的传递闭包关系,并改进了基于高斯混合模型的增量聚类方法来识别恶意软件家族。实验证明,所提方法不仅能节省恶意软件检测的存储空间,还能显著提高检测的准确率与识别率。 展开更多

关键词 恶意软件家族 高斯混合模型 增量聚类 API函数调用 逻辑规则

下载PDF 职称材料

基于多频特征学习的恶意代码变种分类

10

作者 靳黎忠 薛慧琴 +2 位作者 段明博 赵旭俊 高改梅 《计算机工程与设计》 北大核心 2024年第7期1934-1940,共7页

针对恶意代码变种分类方法没有充分对原始输入进行分析的问题,提出一种更加高效的基于深度学习的办法,使用卷积神经网络对多频信息进行学习。对恶意代码转化而成的图像进行研究,利用小波变换进行多频和多层次的分析,抓住低频和高频特征... 针对恶意代码变种分类方法没有充分对原始输入进行分析的问题,提出一种更加高效的基于深度学习的办法,使用卷积神经网络对多频信息进行学习。对恶意代码转化而成的图像进行研究,利用小波变换进行多频和多层次的分析,抓住低频和高频特征;针对多频信息输入,设计一种多频特征学习模块,充分挖掘其中有用信息。实验结果表明,该方法在Malimg数据集上,相比其它两种恶意代码分类办法,分别取得了1.5%和0.8%的效果提升。 展开更多

关键词 恶意代码分类 多频特征 深度学习 小波变换 灰度图像 卷积神经网络 恶意代码家族

下载PDF 职称材料

基于敏感权限和API的Android恶意软件家族分类方法 被引量：6

11

作者 于媛尔 张琳琳 +4 位作者 赵楷 方文波 胡英杰 宋鑫 王晨跃 《郑州大学学报（理学版）》 CAS 北大核心 2020年第3期75-79,91,共6页

提出一种基于敏感权限和API的Android恶意软件家族分类方法,通过提取敏感权限和敏感API,将两部分特征进行融合,构建特征库,最后结合随机森林算法进行恶意软件的家族分类。实验结果表明,该方法的检测精确度达到98.4%,显著优于其他基线算... 提出一种基于敏感权限和API的Android恶意软件家族分类方法,通过提取敏感权限和敏感API,将两部分特征进行融合,构建特征库,最后结合随机森林算法进行恶意软件的家族分类。实验结果表明,该方法的检测精确度达到98.4%,显著优于其他基线算法,能够反映恶意软件的相似性和同源性。 展开更多

关键词 ANDROID 恶意软件家族 分类 随机森林

下载PDF 职称材料

一种基于FastText的恶意代码家族分类方法

12

作者 张宇迪 冯永新 赵运弢 《沈阳理工大学学报》 CAS 2024年第1期61-68,90,共9页

传统的恶意代码家族分类方法主要通过代码家族浅层关联特征的统计分析达到分类和识别的目的。随着恶意代码加壳、混淆、多态技术的发展,传统方法的局限性逐渐显现,但恶意代码需调用API函数达成恶意目的始终是其不变的行为特征。基于embe... 传统的恶意代码家族分类方法主要通过代码家族浅层关联特征的统计分析达到分类和识别的目的。随着恶意代码加壳、混淆、多态技术的发展,传统方法的局限性逐渐显现,但恶意代码需调用API函数达成恶意目的始终是其不变的行为特征。基于embedding、word2vec模型的传统方法缺乏对低频API函数的特征提取能力,在表征API序列局部顺序特征时易产生映射失真,存在词典外API行为扩展、推理能力弱等导致分类准确率下降的不足。由此,引入负采样优化的FastText框架以加强对API序列映射的准确度,提出一种基于FastText框架下的恶意代码家族分类方法。利用FastText框架实现代码样本API序列的多维向量转换和精准表达,结合一维卷积及长短时记忆(LSTM)网络进一步提取API行为局部特征。实验结果表明,该模型的性能相较于传统的embedding方法和word2vec框架性能更优,准确率可达99%以上。 展开更多

关键词 FastText 恶意代码家族分类 长短时记忆网络

下载PDF 职称材料

基于开集识别的恶意代码家族同源性分析 被引量：1

13

作者 刘亚倩 《信息安全研究》 CSCD 2023年第8期762-770,共9页

目前,恶意代码家族同源性分析方法多侧重于闭集分类问题的研究,即假定待测样本一定属于某个已知家族类别.然而真实环境中的恶意代码家族众多,未知类别的家族通常占大多数,采用闭集识别的方法,无法准确识别真实环境中的恶意代码家族.针... 目前,恶意代码家族同源性分析方法多侧重于闭集分类问题的研究,即假定待测样本一定属于某个已知家族类别.然而真实环境中的恶意代码家族众多,未知类别的家族通常占大多数,采用闭集识别的方法,无法准确识别真实环境中的恶意代码家族.针对上述问题,提出了一种基于开集识别的恶意代码家族同源性分析方法.通过N-Gram滑动窗口和Doc2vec句嵌入方法将恶意代码可执行文件转换成灰度图像,基于卷积神经网络模型MobileNet获取灰度图像数据的特征,利用Open Long-tailed Recognition模型实现恶意代码家族的开集识别.在9个已知类别和9个未知类别恶意代码家族上进行识别,实验结果表明,所提出的方法能够识别出未知类别恶意代码家族,同时在已知类别和未知类别家族上都能保持较高的准确率. 展开更多

关键词 恶意代码家族 开集识别 Open Long-tailed Recognition N-GRAM Doc2vec MobileNet

下载PDF 职称材料

基于最大频繁子图挖掘的动态污点分析方法 被引量：4

14

作者 郭方方 王欣悦 +5 位作者 王慧强 吕宏武 胡义兵 吴芳 冯光升 赵倩 《计算机研究与发展》 EI CSCD 北大核心 2020年第3期631-638,共8页

目前,传统面向恶意代码识别的动态污点分析方法广泛存在行为依赖图数量巨大、匹配时间消耗长的问题.提出一种动态污点分析方法——基于最大频繁子图挖掘的动态污点分析方法.该方法从恶意代码家族行为依赖图挖掘出代表家族显著共性特征... 目前,传统面向恶意代码识别的动态污点分析方法广泛存在行为依赖图数量巨大、匹配时间消耗长的问题.提出一种动态污点分析方法——基于最大频繁子图挖掘的动态污点分析方法.该方法从恶意代码家族行为依赖图挖掘出代表家族显著共性特征的最大频繁子图,被挖掘出的最大频繁子图即为某类恶意代码家族以及该家族所有变种之间最为突出的共有特征,使用挖掘出的最大频繁子图与被测行为依赖图进行比较匹配即可.既能够保证原有恶意代码特征无丢失又削减了行为依赖图数量,并在此基础上进一步提升了识别效率.经实验分析,提出的这种新的动态污点分析方法相比于传统方法,当最小支持度为0.045时,行为依赖图数量减少了82%,识别效率提高了81.7%,准确率达到了92.15%. 展开更多

关键词 恶意代码识别 恶意代码家族 动态污点分析 行为依赖图 最大频繁子图挖掘

下载PDF 职称材料

一种基于多特征的恶意代码家族静态标注方法 被引量：4

15

作者 刘亮 刘露平 +1 位作者 何帅 刘嘉勇 《信息安全研究》 2018年第4期322-328,共7页

描述了一种基于多特征的恶意代码家族静态标注方法,该方法针对现有技术提取特征单一的缺点,采用恶意代码可视化技术绘制恶意代码图像,并从图像源和文本源、字节码层和操作码层进行特征的提取,多来源多层次地提取特征.为了更好地利用提... 描述了一种基于多特征的恶意代码家族静态标注方法,该方法针对现有技术提取特征单一的缺点,采用恶意代码可视化技术绘制恶意代码图像,并从图像源和文本源、字节码层和操作码层进行特征的提取,多来源多层次地提取特征.为了更好地利用提取自多个层次的特征,设计了3层多分类器联合框架来进行特征的学习,3层多分类器联合框架分为特征组合层、分类层和联合层.最后利用学习到的模型便可以自动进行恶意代码的标注.为了验证方法的有效性,对Microsoft提供的9类恶意代码进行恶意代码家族标注测试实验,实验结果表明,该方法在除了Simda恶意样本家族外,在其他样本家族中的准确率、精确率、召回率和F1-score均高于90%.通过实验证明了该方法的有效性和可靠性. 展开更多

关键词 恶意代码家族 多特征 恶意代码图像 机器学习 多分类器联合框架

下载PDF 职称材料

面向APT家族分析的攻击路径预测方法研究

16

作者 陈伟翔 任怡彤 +2 位作者 肖岩军 侯锐 田志宏 《信息安全学报》 CSCD 2023年第1期1-13,共13页

近年来,针对政府机构、工业设施、大型公司网络的攻击事件层出不穷,网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat,APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综... 近年来,针对政府机构、工业设施、大型公司网络的攻击事件层出不穷,网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat,APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综合体,已成为最严重的网络空间安全威胁之一,当前针对APT的研究侧重于寻找可靠的攻击特征并提高检测准确率,由于复杂且庞大的数据很容易将APT特征隐藏,使得获取可靠数据的工作难度大大增加,如何尽早发现APT攻击并对APT家族溯源分析是研究者关注的热点问题。基于此,本文提出一种APT攻击路径还原及预测方法。首先,参考软件基因思想,设计APT恶意软件基因模型和基因相似度检测算法构建恶意行为基因库,通过恶意行为基因库对样本进行基因检测,从中提取出可靠的恶意特征解决可靠数据获取问题;其次,为解决APT攻击路径还原和预测问题,采用隐马尔可夫模型(HMM)对APT恶意行为链进行攻击路径还原及预测,利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数,进而还原和预测APT攻击路径,预测准确率可达90%以上;最后,通过HMM和基因检测两种方法对恶意软件进行家族识别,实验结果表明,基因特征和HMM参数特征可在一定程度上指导入侵检测系统对恶意软件进行识别和分类。 展开更多

关键词 APT攻击 恶意行为基因库 HMM 攻击路径还原及预测 恶意软件家族分类

下载PDF 职称材料

基于恶意代码图像指纹的恶意代码家族标注方法 被引量：3

17

作者 何帅 刘嘉勇 《通信技术》 2017年第3期545-549,共5页

伴随着互联网的高速发展,恶意代码的规模呈指数级增长,且大多是已知恶意代码的变种。通过研究恶意代码图像的特征,提出了一种基于恶意代码图像指纹的恶意代码家族标注方法。该方法将恶意代码反汇编文件绘制成图像,提取图像的全局指纹GIS... 伴随着互联网的高速发展,恶意代码的规模呈指数级增长,且大多是已知恶意代码的变种。通过研究恶意代码图像的特征,提出了一种基于恶意代码图像指纹的恶意代码家族标注方法。该方法将恶意代码反汇编文件绘制成图像,提取图像的全局指纹GIST特征描述符和局部指纹SIFT特征点,通过BoW模型对局部特征进行优化,最终获取图像指纹,并采用随机森林的方法实现恶意代码家族标注。实验结果表明,该方法能有效实现恶意代码家族标注,具有标注正确率高且误报率低的特点。 展开更多

关键词 恶意代码 图像指纹 多维特征 恶意代码家族 随机森林

下载PDF 职称材料

融合MAML和CBAM的安卓恶意应用家族分类模型

18

作者 苏庆 林佳锐 +1 位作者 黄海滨 黄剑锋 《计算机工程与应用》 CSCD 北大核心 2023年第2期271-279,共9页

为满足对新兴安卓恶意应用家族的快速检测需求,提出一种融合MAML(model-agnostic meta-learning)和CBAM(convolutional block attention module)的安卓恶意应用家族分类模型MAML-CAS。将安卓恶意应用样本集中的DEX文件可视化为灰度图,... 为满足对新兴安卓恶意应用家族的快速检测需求,提出一种融合MAML(model-agnostic meta-learning)和CBAM(convolutional block attention module)的安卓恶意应用家族分类模型MAML-CAS。将安卓恶意应用样本集中的DEX文件可视化为灰度图,并构建任务集;融合混合域注意力机制CBAM,设计两个具有同等结构的卷积神经网络,分别作为基学习器和元学习器,这两个学习器在自动提取任务集中样本特征的同时,可从通道和空间两个维度来增强关键特征表达;利用元学习方法MAML对两个学习器进行训练,其中基学习器完成特定恶意家族分类任务的属性学习,元学习器则学习不同任务的共性;在两个学习器训练完成后,MAML-CAS将获得初始化参数,在面对新的安卓恶意应用家族分类任务时,不需要重新训练,只需要少量样本就可以快速迭代;利用训练完成的基学习器提取安卓恶意应用家族特征,并利用SVM进行恶意家族分类。实验结果表明,MAML-CAS模型对新兴小样本安卓恶意应用家族具有良好的检测效果,检测速度较快,并具有较好的稳定性。 展开更多

关键词 安卓恶意应用家族分类 MAML CBAM 卷积神经网络 支持向量机

下载PDF 职称材料

基于感知哈希算法和特征融合的恶意代码检测方法 被引量：3

19

作者 姜倩玉 王凤英 贾立鹏 《计算机应用》 CSCD 北大核心 2021年第3期780-785,共6页

在当前的恶意代码家族检测中,通过恶意代码灰度图像提取的局部特征或全局特征无法全面描述恶意代码,针对这个问题并为提高检测效率,提出了一种基于感知哈希算法和特征融合的恶意代码检测方法。首先,通过感知哈希算法对恶意代码灰度图样... 在当前的恶意代码家族检测中,通过恶意代码灰度图像提取的局部特征或全局特征无法全面描述恶意代码,针对这个问题并为提高检测效率,提出了一种基于感知哈希算法和特征融合的恶意代码检测方法。首先,通过感知哈希算法对恶意代码灰度图样本进行检测,快速划分出具体恶意代码家族和不确定恶意代码家族的样本,实验测试表明约有67%的恶意代码能够通过感知哈希算法检测出来。然后,对于不确定恶意代码家族样本再进一步提取局部特征局部二值模式(LBP)与全局特征Gist,并利用二者融合后的特征通过机器学习算法对恶意代码样本进行分类检测。最后,对于25类恶意代码家族检测的实验结果表明,相较于仅用单一特征,使用LBP与Gist的融合特征时的检测准确率更高,并且所提方法与仅采用机器学习的检测算法相比分类检测效率更高,检测速度提高了93.5%。 展开更多

关键词 恶意代码家族检测 感知哈希 图像特征 特征融合 机器学习

下载PDF 职称材料

基于字节码图像的Android恶意代码家族分类方法 被引量：2

20

作者 杨益敏 陈铁明 《网络与信息安全学报》 2016年第6期38-43,共6页

面对Android恶意代码高速增长的趋势,提出基于字节码图像的Android恶意代码家族分类方法,通过将Android恶意应用的字节码转化为256阶灰度图形式的字节码图像,利用GIST算法提取图像的纹理特征,并结合随机森林算法对特征进行分类。对常见... 面对Android恶意代码高速增长的趋势,提出基于字节码图像的Android恶意代码家族分类方法,通过将Android恶意应用的字节码转化为256阶灰度图形式的字节码图像,利用GIST算法提取图像的纹理特征,并结合随机森林算法对特征进行分类。对常见的14种Android恶意代码家族的样本进行了实验验证,并与DREBIN方法进行比较,实验结果表明,该方法可有效进行Android恶意代码家族分类,具有检测精度高且误报率低的优点。 展开更多

关键词 安卓 恶意代码家族 图像纹理 字节码

下载PDF 职称材料