基于行为聚类的LSTM-NN模型恶意行为检测方法 被引量：1

1

作者 付安棋 李剑 《信息安全研究》 北大核心 2025年第4期343-350,共8页

随着社会的发展,人们对于公共场所的安全性要求进一步提高,进行恶意行为检测能实时监测和识别潜在的安全危害.针对恶意行为形式和背景呈现多样化,同时不同恶意行为出现的频次差别巨大导致的恶意行为检测困难问题,采用K-means聚类方法划... 随着社会的发展,人们对于公共场所的安全性要求进一步提高,进行恶意行为检测能实时监测和识别潜在的安全危害.针对恶意行为形式和背景呈现多样化,同时不同恶意行为出现的频次差别巨大导致的恶意行为检测困难问题,采用K-means聚类方法划分子数据集,对不同形式的恶意行为进行区分,同时用DTW(dynamic time warping)时间规整方法解决恶意行为时间序列长短不一致的问题,为解决图像识别问题中恶意行为帧集数据量过大使得模型计算精度不高,采用Attention机制关注特殊信息点,以确保模型训练的精度.该方法应用于UBI-Fights的恶意行为数据集,结果显示,经过加权平均计算的聚类划分后的子数据集最终分类准确率达到95.03%.该模型有效识别恶意行为视频,提高了安全性. 展开更多

关键词 恶意行为检测 聚类方法 LSTM分类 注意力机制 DTW算法

在线阅读 下载PDF 职称材料

融合动态图嵌入和Transformer自编码器的网络异常检测

2

作者 张安勤 丁志锋 《计算机工程》 北大核心 2025年第4期47-56,共10页

网络异常检测的目的在于及时识别并响应网络中的恶意活动和潜在威胁。大多数基于图嵌入的异常检测方法主要用于静态图,忽略了细粒度的时间信息,无法捕获动态网络行为的连续性,从而降低了网络异常检测性能。为了提高动态网络异常检测的... 网络异常检测的目的在于及时识别并响应网络中的恶意活动和潜在威胁。大多数基于图嵌入的异常检测方法主要用于静态图,忽略了细粒度的时间信息,无法捕获动态网络行为的连续性,从而降低了网络异常检测性能。为了提高动态网络异常检测的效率和准确性,提出一个融合动态图嵌入和Transformer自编码器的网络异常检测方法。该方法利用时间游走的图嵌入技术捕获网络拓扑结构和细粒度的时间信息,结合对比损失的Transformer自编码器来优化节点嵌入表示并捕获长期依赖和全局信息,增强了模型对动态网络的感知能力,能更好地捕捉动态网络中随时间变化的事件,识别网络中的恶意行为。在公开的网络安全领域数据集上进行的大量实验结果表明,该方法在LANL-2015数据集上的真阳率(TPR)为94.3%、假阳率(FPR)为5.7%、曲线下面积(AUC)为98.3%,在OpTC数据集上的TPR为99.9%、FPR为0.01%、AUC为99.9%,异常检测结果优于基准方法。上述结果说明了该方法可以有效地学习动态网络中的拓扑和长短期时间依赖信息,识别网络中的异常行为。 展开更多

关键词 动态图嵌入 Transformer自编码器 网络异常检测 恶意行为 长短期时间依赖

在线阅读 下载PDF 职称材料

基于改进萤火虫算法和长短期记忆网络的恶意行为检测方法 被引量：3

3

作者 沈凡凡 汤星译 +3 位作者 张军 徐超 陈勇 何炎祥 《计算机工程与科学》 CSCD 北大核心 2024年第12期2158-2170,共13页

近年来,数据平台与系统的规模飞速扩张,性能快速提升,安全性能也随之越发重要。现有的基于深度学习的恶意行为检测方案缺少与模型契合的优化算法,导致模型缺乏自优化能力。提出了一种基于改进萤火虫算法与改进长短期记忆网络的恶意行为... 近年来,数据平台与系统的规模飞速扩张,性能快速提升,安全性能也随之越发重要。现有的基于深度学习的恶意行为检测方案缺少与模型契合的优化算法,导致模型缺乏自优化能力。提出了一种基于改进萤火虫算法与改进长短期记忆网络的恶意行为检测方法iFA-LSTM,该方法可以有效地进行恶意行为的二分类检测。通过UNSW-NB15数据集来验证所提出的方法,方法在单攻击二分类实验中的平均识别准确率达到了99.56%,且在混合攻击二分类实验中平均识别准确率也达到了98.79%,同时也充分证明了iFA的有效性。所提出的方法可以快速有效地进行恶意行为检测,非常有希望应用于恶意行为的安全监控和识别。 展开更多

关键词 平台与系统安全 恶意行为检测 神经网络 算法优化 二分类

在线阅读 下载PDF 职称材料

面向小样本的恶意软件检测综述 被引量：2

4

作者 刘昊 田志宏 +2 位作者 仇晶 刘园 方滨兴 《软件学报》 EI CSCD 北大核心 2024年第8期3785-3808,共24页

恶意软件检测是网络空间安全研究中的热点问题,例如Windows恶意软件检测和安卓恶意软件检测等.随着机器学习和深度学习的发展,一些在图像识别、自然语言处理领域的杰出算法被应用到恶意软件检测,这些算法在大量数据下表现出了优异的学... 恶意软件检测是网络空间安全研究中的热点问题,例如Windows恶意软件检测和安卓恶意软件检测等.随着机器学习和深度学习的发展,一些在图像识别、自然语言处理领域的杰出算法被应用到恶意软件检测,这些算法在大量数据下表现出了优异的学习性能.但是,恶意软件检测中有一些具有挑战性的问题仍然没有被有效解决,例如,基于少量新颖类型的恶意软件,常规的学习方法无法实现有效检测.因此,小样本学习(few-shot learning,FSL)被用于解决面向小样本的恶意软件检测(few-shot for malware detection, FSMD)问题.通过相关文献,提取出FSMD的问题定义和一般流程.根据方法原理,将FSMD方法分为:基于数据增强的方法、基于元学习的方法和多技术结合的混合方法,并讨论每类FSMD方法的特点.最后,提出对FSMD的背景、技术和应用的展望. 展开更多

关键词 网络安全 小样本学习 恶意软件检测 恶意行为

在线阅读 下载PDF 职称材料

新通用顶级域名解析行为分析与恶意域名检测方法 被引量：1

5

作者 杨东辉 曾彬 李振宇 《计算机研究与发展》 EI CSCD 北大核心 2024年第4期1038-1048,共11页

自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new g... 自2013年ICANN发起新通用顶级域名(new gTLD)的授权以来,域名系统(domain name system,DNS)中已增加了上千个new gTLD.已有工作表明new gTLD在为域名注册者带来了灵活性的同时,由于注册成本低等原因也经常被用于恶意行为,识别恶意new gTLD域名具有重要的意义.然而,由于new g TLD域名在域名长度等方面的独有特征,已有恶意域名识别方法应用于new gTLD恶意域名的识别时准确率低.针对这一问题,首先基于海量域名解析数据,从顶级域名对应二级域名(SLD)数量、查询量、查询失败率、内容复制和承载基础设施共享5个方面刻画了new gTLD域名解析行为.然后分析恶意域名的解析行为并发现其在内容承载基础设施集中性、SLD对应的完全限定域名(FQDN)数目、域名查询次数、请求用户网络空间分布、SLD长度分布等方面的特征.最后根据这些特征设计了一种基于随机森林的new g TLD恶意域名检测方法.实验结果表明,所提方法达到了94%的准确率,优于已有恶意域名检测方法. 展开更多

关键词 域名系统 新通用顶级域名 互联网测量 行为分析 恶意域名检测

在线阅读 下载PDF 职称材料

基于特征组合优化的工业互联网恶意行为实时检测方法 被引量：1

6

作者 胡向东 张琴 《电子学报》 EI CAS CSCD 北大核心 2024年第9期3075-3085,共11页

工业互联网中节点数据具有高维、冗余和海量等特性,传统的恶意行为检测模型无法对工业互联网恶意攻击行为做出快速且准确的判断,提出基于特征组合优化的工业互联网恶意行为实时检测方法.采用改进的相关性快速过滤算法和基于奇异值分解... 工业互联网中节点数据具有高维、冗余和海量等特性,传统的恶意行为检测模型无法对工业互联网恶意攻击行为做出快速且准确的判断,提出基于特征组合优化的工业互联网恶意行为实时检测方法.采用改进的相关性快速过滤算法和基于奇异值分解的主成分分析算法对工业互联网恶意行为样本数据进行特征组合优化,基于对称不确定性信息度量指标和近似马尔科夫毯准则进行特征相关性计算、冗余特征识别与排除,通过参数特征维度的不同配置得到若干候选特征组合;利用决策树评估器筛选出准确率最高的候选特征组合;通过奇异值分解的主成分分析进一步进行特征降维,得到低维高信息量的最优特征组合;结合极端梯度提升算法和优化的特征组合对工业互联网恶意行为样本进行分类,基于密西西比州立大学多分类电力系统攻击样本数据对本文方法进行了验证;实验结果表明,特征组合优化检测模型训练时间可缩减57.53%,单个样本的平均检测时间为0.002 ms,可减少23.99%,基于特征组合优化的检测模型的准确率、召回率和F1值较特征优化前分别提升了1.11%、1.25%和1.01%.本文方法的突出优势表现为在提升模型检测效果的同时可明显降低模型检测时间,能更好适应工业互联网的实时性要求. 展开更多

关键词 工业互联网 改进的相关性快速过滤算法 奇异值分解的主成分分析 特征组合优化 极端梯度提升 恶意行为实时检测

在线阅读 下载PDF 职称材料

一种基于综合行为特征的恶意代码识别方法 被引量：30

7

作者 刘巍伟 石勇 +2 位作者 郭煜 韩臻 沈昌祥 《电子学报》 EI CAS CSCD 北大核心 2009年第4期696-700,共5页

基于行为的分析方法是恶意代码检测技术的发展方向,但现有的以孤立行为特征为依据的恶意代码识别方法误报率较高,本文提出了一种基于代码综合行为特征的恶意代码检测方法—IBC-DA.该算法通过改造的攻击树模型描述恶意代码执行过程中各... 基于行为的分析方法是恶意代码检测技术的发展方向,但现有的以孤立行为特征为依据的恶意代码识别方法误报率较高,本文提出了一种基于代码综合行为特征的恶意代码检测方法—IBC-DA.该算法通过改造的攻击树模型描述恶意代码执行过程中各相关主体间的关系,在此基础上计算得到的恶意性权值能够更加准确地反映代码执行过程对系统的影响.实验表明,利用本文算法进行病毒检测具有较低漏报率和误报率,并对未知恶意代码的防范具有积极意义. 展开更多

关键词 行为特征 攻击树 恶意代码 病毒检测

在线阅读 下载PDF 职称材料

基于多类特征的Android应用恶意行为检测系统 被引量：89

8

作者 杨欢 张玉清 +1 位作者 胡予濮 刘奇旭 《计算机学报》 EI CSCD 北大核心 2014年第1期15-27,共13页

目前针对未知的Android恶意应用可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分发挥Android应用的多类行为特征在恶意代码检测上所起的不同作用.文中首次提出了一种综合考虑Android多类行为特征的三层混合系综算法THEA(T... 目前针对未知的Android恶意应用可以采用数据挖掘算法进行检测,但使用单一数据挖掘算法无法充分发挥Android应用的多类行为特征在恶意代码检测上所起的不同作用.文中首次提出了一种综合考虑Android多类行为特征的三层混合系综算法THEA(Triple Hybrid Ensemble Algorithm)用于检测Android未知恶意应用.首先,采用动静态结合的方法提取可以反映Android应用恶意行为的组件、函数调用以及系统调用类特征;然后,针对上述3类特征设计了三层混合系综算法THEA,该算法通过构建适合3类特征的最优分类器来综合评判Android应用的恶意行为;最后,基于THEA实现了Android应用恶意行为检测工具Androdect,并对现实中的1126个恶意应用和2000个非恶意应用进行检测.实验结果表明,Androdect能够利用Android应用的多类行为特征有效检测Android未知恶意应用.并且与其它相关工作对比,Androdect在检测准确率和执行效率上表现更优. 展开更多

关键词 系综算法 ANDROID应用 多类特征 恶意代码检测 行为分析 数据挖掘 智能手机 网络行为

在线阅读 下载PDF 职称材料

虚拟行为机制下的恶意代码检测与预防 被引量：6

9

作者 李晓勇 周丽涛 +1 位作者 石勇 郭煜 《国防科技大学学报》 EI CAS CSCD 北大核心 2010年第1期101-106,共6页

Cohen证明了不存在一个算法可以精确地检测出所有可能的计算机病毒。MCDPM是一种基于虚拟行为机制的恶意代码检测方法,其目的是避开Cohen结论的限制,从而实现对恶意代码的有效检测和预防。MCDPM将传统的代码行为过程分解为虚拟行为发生... Cohen证明了不存在一个算法可以精确地检测出所有可能的计算机病毒。MCDPM是一种基于虚拟行为机制的恶意代码检测方法,其目的是避开Cohen结论的限制,从而实现对恶意代码的有效检测和预防。MCDPM将传统的代码行为过程分解为虚拟行为发生和实际行为发生两个部分,通过对虚拟行为及其结果的监视和分析,实现对代码行为的精确检测。由于MCDPM的分析结果是建立在代码的确切行为之上,因此其判断结果是真实和准确的。对于非恶意代码,MCDPM则可以通过实际行为发生函数将其运行结果反映到系统真实环境,保持系统状态的一致性。MCDPM可以用于对未知恶意代码的检测,并为可信计算平台技术的信任传递机制提供可信来源支持。 展开更多

关键词 计算机病毒 恶意代码 行为特征 检测 预防

在线阅读 下载PDF 职称材料

基于云计算的恶意程序检测平台设计与实现 被引量：10

10

作者 韩奕 姜建国 +2 位作者 仇新梁 马新建 赵双 《计算机工程》 CAS CSCD 2014年第4期26-31,共6页

针对当前恶意程序种类繁多、分析工作量大的问题,利用VMware vSphere虚拟化技术,设计并实现云环境下的恶意程序自动检测平台。该平台通过轮询机制获得服务器虚拟机资源的负载情况,将收集的可疑样本分类预处理,调用相应的服务器资源进行... 针对当前恶意程序种类繁多、分析工作量大的问题,利用VMware vSphere虚拟化技术,设计并实现云环境下的恶意程序自动检测平台。该平台通过轮询机制获得服务器虚拟机资源的负载情况,将收集的可疑样本分类预处理,调用相应的服务器资源进行检测,可为用户终端节点提供多样化的虚拟环境,实现恶意程序文件、注册表、进程以及网络4类主机行为的自动分析,并自动生成分析报告。在真实样本上的实验结果表明,与金山火眼、Threat Expert平台相比,该平台能够更准确地反映恶意程序的特点及危害性。 展开更多

关键词 VMWARE vSphere技术 恶意代码 自动分析 行为特征 虚拟机 检测

在线阅读 下载PDF 职称材料

基于序列模式发现的恶意行为检测方法 被引量：3

11

作者 王新志 孙乐昌 +1 位作者 张旻 陈韬 《计算机工程》 CAS CSCD 北大核心 2011年第24期1-3,共3页

为有效预防变形病毒和新出现的恶意软件,提出一种基于序列模式发现的恶意行为静态检测方法。将恶意代码转换为汇编代码,对其进行预处理,采用类Apriori算法完成序列模式发现,并去除正常模式,得到可用于未知恶意代码检测的模式集合。实验... 为有效预防变形病毒和新出现的恶意软件,提出一种基于序列模式发现的恶意行为静态检测方法。将恶意代码转换为汇编代码,对其进行预处理,采用类Apriori算法完成序列模式发现,并去除正常模式,得到可用于未知恶意代码检测的模式集合。实验结果表明,该方法的正确率较高、漏报率较低。 展开更多

关键词 恶意行为检测 序列模式发现 软件行为 汇编指令 静态检测

在线阅读 下载PDF 职称材料

在线社交网络群体发现研究进展 被引量：7

12

作者 潘理 吴鹏 黄丹华 《电子与信息学报》 EI CSCD 北大核心 2017年第9期2097-2107,共11页

群体是在线社交网络重要的中观组织。群体发现不仅有重要的理论意义,还推动了在线社交网络的应用与发展,有广泛的应用前景。该文总结论述了在线社交网络群体发现的研究进展。在分析群体形成机理的基础上定义在线社交网络群体,并介绍群... 群体是在线社交网络重要的中观组织。群体发现不仅有重要的理论意义,还推动了在线社交网络的应用与发展,有广泛的应用前景。该文总结论述了在线社交网络群体发现的研究进展。在分析群体形成机理的基础上定义在线社交网络群体,并介绍群体发现问题。根据挖掘群体时采用的不同特征,该文分别阐述基于个体属性特征的群体发现方法和综合属性与结构特征的群体发现方法。随后从特征选取和检测算法两个方面重点介绍了恶意行为群体的发现方法。最后,对群体发现进一步的研究方向进行展望。 展开更多

关键词 在线社交网络 群体发现 恶意行为群体

在线阅读 下载PDF 职称材料

多阶段过滤的P2P僵尸网络检测方法 被引量：4

13

作者 刘丹 李毅超 胡跃 《计算机应用》 CSCD 北大核心 2010年第A12期3354-3356,共3页

提出基于流分析的P2P僵尸网络检测方法。首先基于节点连接分布性和突发性特征过滤掉非P2P节点,进而根据P2P节点对间连接度和流量的对称度,采用K均值聚类以发现各个P2P群,最后基于各P2P群内节点的流行为相似性检测是否为P2P僵尸网络。在... 提出基于流分析的P2P僵尸网络检测方法。首先基于节点连接分布性和突发性特征过滤掉非P2P节点,进而根据P2P节点对间连接度和流量的对称度,采用K均值聚类以发现各个P2P群,最后基于各P2P群内节点的流行为相似性检测是否为P2P僵尸网络。在局域网环境中的实验表明,该检测方法能够有效识别各种P2P僵尸网络,提高了检测效率和精度。 展开更多

关键词 P2P网络 僵尸网络 聚类 数据流 恶意行为 检测模型

在线阅读 下载PDF 职称材料

基于行为特征的恶意代码检测方法 被引量：3

14

作者 左黎明 汤鹏志 +1 位作者 刘二根 徐保根 《计算机工程》 CAS CSCD 2012年第2期129-131,共3页

研究基于行为特征的恶意代码检测模型及其实现方式,并分析实现中的关键技术。使用自定义行为特征编码模板进行恶意代码匹配,将短周期内2次匹配成功作为判定恶意代码的标准,利用最大熵原理分析2次恶意代码行为的信息论特征。实验结果表明... 研究基于行为特征的恶意代码检测模型及其实现方式,并分析实现中的关键技术。使用自定义行为特征编码模板进行恶意代码匹配,将短周期内2次匹配成功作为判定恶意代码的标准,利用最大熵原理分析2次恶意代码行为的信息论特征。实验结果表明,该方法具有较低的病毒检测误报率和漏报率,并且能有效防范未知恶意代码。 展开更多

关键词 数据安全 恶意代码 行为特征 病毒检测 最大熵

在线阅读 下载PDF 职称材料

基于多粒度表征学习的加密恶意流量检测 被引量：9

15

作者 谷勇浩 徐昊 张晓青 《计算机学报》 EI CAS CSCD 北大核心 2023年第9期1888-1899,共12页

现有加密恶意流量检测方法中,基于统计特征的方法存在特征提取依赖专家经验和特征之间相互独立的问题,基于原始输入的机器学习和深度学习方法存在信息不全、随机字段、单一粒度的问题,对加密流量交互行为的语义表征不足.为解决上述问题... 现有加密恶意流量检测方法中,基于统计特征的方法存在特征提取依赖专家经验和特征之间相互独立的问题,基于原始输入的机器学习和深度学习方法存在信息不全、随机字段、单一粒度的问题,对加密流量交互行为的语义表征不足.为解决上述问题,本文提出一种基于多粒度表征学习的加密恶意流量检测方法MGREL(MultiGranularity REpresentation Learning).该方法将加密会话分为字段级和包级两个粒度分别处理.在字段级粒度中,基于词向量进行局部行为建模,提取握手报文并选取关键字段,缓解信息不全导致的语义缺失问题,将字段的字节值表示为词向量,同时增加报文类型与握手类型作为位置前缀,解决位置语义缺失的问题,采用Multi-head Attention计算字段间的交互,再通过Bi LSTM得到报文级语义;在包级粒度中,基于时空进行全局行为建模,提取包的时空状态信息并采用LSTM模型得到流级语义.将两个粒度下得到的局部行为语义和全局行为语义融合,得到加密流量的表征,解决单一粒度表征能力不足的问题.最后,通过对比实验验证本文所提方法MGREL在检测加密恶意流量方面表现最好. 展开更多

关键词 加密恶意流量检测 多粒度表征学习 局部行为 全局行为 位置语义

在线阅读 下载PDF 职称材料

基于指令流的嵌入式系统非预期行为检测方法 被引量：1

16

作者 苏永新 段斌 《计算机应用》 CSCD 北大核心 2011年第6期1483-1486,共4页

针对嵌入式系统安全检测具有独立性、快速性、不干涉应用软件的需求,提出了一种嵌入式系统软件非预期行为检测方法。该方法的主要特点是检测系统独立于嵌入式系统,与之并行运行;通过嵌入式系统执行的指令与源程序预期的指令逐条比对,检... 针对嵌入式系统安全检测具有独立性、快速性、不干涉应用软件的需求,提出了一种嵌入式系统软件非预期行为检测方法。该方法的主要特点是检测系统独立于嵌入式系统,与之并行运行;通过嵌入式系统执行的指令与源程序预期的指令逐条比对,检出嵌入式系统任何不符合源程序的行为;借助哈希运算屏蔽被检系统指令集多样性引入的复杂性,使检测系统对各种指令集的嵌入式系统具有普遍适用性。实验结果表明,该方法具备检出嵌入式系统执行的代码与源代码间比特偏差的能力,从而能检出最小粒度的计划外代码的执行;在不计保护现场指令片段对非中断服务程序的影响时,检测时延不超过6个时钟周期。 展开更多

关键词 嵌入式系统安全 指令流 行为检测 实时 恶意代码

在线阅读 下载PDF 职称材料

Ad Hoc网络的数据安全传输方案研究

17

作者 卢社阶 崔国华 +1 位作者 陈晶 刘志远 《计算机科学》 CSCD 北大核心 2008年第8期21-25,共5页

由于Ad Hoc网络结构的特点,使其更容易遭到攻击,安全的路由和安全数据传输已成为Ad Hoc网络研究的热点。对于网络的外部攻击,在不同的假设条件下,已经提出了一些有效的抵制方案。但对于内部攻击,还没有一种快速、准确、可行的对恶意行... 由于Ad Hoc网络结构的特点,使其更容易遭到攻击,安全的路由和安全数据传输已成为Ad Hoc网络研究的热点。对于网络的外部攻击,在不同的假设条件下,已经提出了一些有效的抵制方案。但对于内部攻击,还没有一种快速、准确、可行的对恶意行为进行预防和检测的方法,一般采用信誉机制加以解决,但存在较多缺点。本文基于Reed-Solomon编码的纠错技术,提出了一种在存在Byzantine攻击节点的网络环境下的安全数据传输协议(Secure Data Transmission Protocol,SDTP)。该协议不仅能实现数据的安全传输,而且能准确判定恶意攻击的发生和攻击节点的位置,为在Ad Hoc网络中检测内部攻击节点提供了一种更准确、具体且实际可行的算法,该算法也可被用于安全路由协议中。 展开更多

关键词 AD Hoe网络 安全数据传输 入侵检测 恶意行为判别

在线阅读 下载PDF 职称材料

一种基于组合事件行为触发的Android恶意行为检测方法

18

作者 张国印 曲家兴 +1 位作者 付小晶 何志昌 《计算机科学》 CSCD 北大核心 2016年第5期96-99,139,共5页

当前Android恶意应用程序在传播环节缺乏有效的识别手段,对此提出了一种基于自动化测试技术和动态分析技术的Android恶意行为检测方法。通过自动化测试技术触发Android应用程序的行为,同时构建虚拟的沙箱监控这些行为。设计了一种组合... 当前Android恶意应用程序在传播环节缺乏有效的识别手段,对此提出了一种基于自动化测试技术和动态分析技术的Android恶意行为检测方法。通过自动化测试技术触发Android应用程序的行为,同时构建虚拟的沙箱监控这些行为。设计了一种组合事件行为触发模型——DroidRunner,提高了Android应用程序的代码覆盖率、恶意行为的触发率以及Android恶意应用的检测率。经过实际部署测试,该方法对未知恶意应用具有较高的检测率,能帮助用户发现和分析未知恶意应用。 展开更多

关键词 ANDROID 恶意行为检测 动态分析 组合事件 自动触发

在线阅读 下载PDF 职称材料

面向动态加载的Android恶意行为动静态检测方法

19

作者 郑晓梅 杨宇飞 +1 位作者 程硕 潘正东 《计算机应用与软件》 北大核心 2019年第12期285-291,308,共8页

动态加载是Android提出的一种新的执行体分类的运行时加载机制,能够有效提高动态行为配置能力。但由于动态加载部分的程序不包含在APK中,因此静态分析技术无法对动态加载点的恶意行为形成有效检测,而动态分析技术则难以覆盖到所有执行路... 动态加载是Android提出的一种新的执行体分类的运行时加载机制,能够有效提高动态行为配置能力。但由于动态加载部分的程序不包含在APK中,因此静态分析技术无法对动态加载点的恶意行为形成有效检测,而动态分析技术则难以覆盖到所有执行路径,也无法形成充分的检测。针对该问题,提出一种动静态结合的检测方法。先对宿主APK进行静态分析提取Call-Graph,以获得动态加载点的执行路径,再通过路径制导的动态执行获取动态加载的程序,从而形成完整的分析。通过实例研究验证了该方法的有效性。 展开更多

关键词 动态加载 ANDROID应用 恶意行为检测

在线阅读 下载PDF 职称材料

基于上下文信息的Android恶意行为检测方法 被引量：8

20

作者 卢正军 方勇 +2 位作者 刘亮 张文杰 左政 《计算机工程》 CAS CSCD 北大核心 2018年第7期150-155,共6页

针对现有Android恶意软件检测方法存在的局限性和常见Android恶意软件的特点,提出一种基于上下文信息的Android恶意行为检测方法。从方法调用图中提取敏感应用程序编程接口,分析其行为的激活事件和条件因子,生成能够有效描述恶意软件行... 针对现有Android恶意软件检测方法存在的局限性和常见Android恶意软件的特点,提出一种基于上下文信息的Android恶意行为检测方法。从方法调用图中提取敏感应用程序编程接口,分析其行为的激活事件和条件因子,生成能够有效描述恶意软件行为的语境特征。在此基础上,通过对比正常应用程序和恶意软件的特征来判断其是否为恶意行为。对266个Android恶意应用样本进行实验,结果表明,该检测方法的精确率为92.86%,召回率为95.21%。 展开更多

关键词 恶意行为 权限 激活事件 上下文信息 静态检测

在线阅读 下载PDF 职称材料