基于Windows API调用序列的恶意代码检测方法

为解决现有恶意代码检测方法存在的特征提取能力不足、检测模型泛化性弱的问题,提出了一种基于Windows API调用序列的恶意代码检测方法.使用N-gram算法和TF-IDF算法提取序列的统计特征,采用Word2Vec模型提取语义特征,将统计特征和语义特征进行特征融合,作为API调用序列的特征.设计了基于Stacking的三层检测模型,通过多个弱学习器构成一个强学习器提高检测模型性能.实验结果表明,提出的特征提取方法可以获得更关键的特征,设计的检测模型的准确率、精确率、召回率均优于单一模型且具有良好的泛化性,证明了检测方法的有效性.     

基于系统调用序列的动态截获和实时仲裁模型

提出了一种基于系统调用序列的仲裁模型,该模型动态截获程序的系统调用序列,将截获的系统调用序列送到仲裁机构。仲裁机构按照事先制定的策略,利用贝叶斯概率模型仲裁该系统调用序列的置信度,依据置信度高低决定拒绝执行还是安全放行。从而,达到主动防御目的。     

基于序列模式匹配的API误用缺陷检测

提出一种基于序列模式匹配的应用编程接口(API)误用缺陷检测方法.首先根据已经发现的API误用缺陷实例,结合补丁文件中缺陷修复前后的代码信息,刻画API误用模式,然后在目标被测软件中利用改进的AC(aho-corasick)算法搜索符合误用模式的API调用序列并报告相似缺陷.设计了基于序列模式的API误用检测系统(AD...     

基于主机系统调用序列的实时入侵检测系统的模型研究

首先介绍了基于主机系统调用的入侵检测的概念,进而说明了研究基于主机系统调用序列的实时入侵检测系统的重要性;然后提出了该系统的模型设计方案,包括结构分析、接口设计和相关算法;最后给出了仿真实验和实验数据分析。     

基于API序列特征和统计特征组合的恶意样本检测框架

针对恶意样本行为分析,该文提出了一种组合机器学习框架,首先对应用程序编程接口(application programming interface,API)序列中调用的依赖关系进行功能层面上的分析,提取特征,使用随机森林进行检测;其次利用深度学习中的循环神经网络处理时间序列数据的特性,在冗余信息预处理的基础上,直接对序列进行学习和检测;最后对2种方法进行了组合。在恶意软件样本上进行的实验结果表明:2种方法均可有效检测恶意样本,但是组合学习的效果更优,AUC(area under the curve of ROC)达到99.3%,优于现有的类似研究结果。     

基于系统调用序列的柔性状态机入侵检测模型

以系统运行过程中出现的系统序列为依据,建立了一种柔性状态机模型,用以判断入侵行为,此模型既准确描述系统行为,又表现系统随机特征,此模型可以快速生成一个检测实例,满足不同应用环境的要求。     

基于机器学习的恶意双胞胎攻击检测

随着移动计算的普及,WiFi(wireless fidelity)已经成为人们上网的必备技术之一,WiFi安全也成为移动计算的主要威胁.恶意双胞胎攻击可以通过伪造与实际接入点相同的服务集标识符来窃取大量私有数据,威胁着人们的财产安全.因此,针对这种隐患,提出了一种模型,通过使用多种机器学习算法对恶意双胞胎攻击进行检测....     

基于均矢量相似性的机器学习样本集划分

提出一种基于均矢量相似性的机器学习样本集分割方法(MSSS),根据样本集中每个样本矢量与均矢量之间的余弦相似性,将样本划分成训练集和测试集.为评价MSSS方法性能,分别用随机分割法(RSS)和MSSS方法,按不同比例划分来自UCI的4个数据集,对产生的训练集一测试集进行Hotelling T~2检验;另外,采用得到的训练集对分类BP神经网络进行训练,以相应的测试集测试神经网络.研究结果表明:对用RSS划分4个数据集产生的训练集一测试集进行Hotelling T~2检验,发现均存在F值超出界值的现象,而MSSS均未出现;使用MSSS训练的神经网络所产生的训练-测试误差差异、准确率差异均比使用RSS训练的神经网络所产生的小,说明用MSSS划分产生的训练集与测试集的一致性比用RSS划分产生的好.     

基于机器学习的Windows环境下恶意程序检测系统

针对Windows环境下恶意程序数量众多且难以判别的情况,为了改善和提高对恶意程序的识别能力和效果,结合程序行为分析和机器学习技术,设计了一个恶意程序的检测系统。通过对所采集的程序样本集进行动态分析,提取出其两类系统调用序列作为样本特征,以此作为输入数据,对机器学习分类器进行监督式学习训练,使其能够对恶意行为和正常行为进行区分,并可以对于未知程序的性质做出判定,可以高效地识别出恶意程序。结果表明,可以通过较短时间的训练即可到达较为满意的判定能力,也表明了机器学习对于程序行为性质判定方面具有广泛的应用前景。     

一种基于机器学习的视频镜头边界检测方法

镜头边界检测是基于内容视频检索中的第一步,在视频分析中扮演着重要角色。在此基于统一的机器学习框架,提出一种新颖的模式分类方法来解决新闻和广告视频中镜头检测问题。该方法利用支持向量机将镜头分为无场景变化、切变以及大场景变化;在大场景变化中,进行快速运动和渐变的分类。同时研究了以往同类工作中所忽视的不平衡样本分类问题。实验结果表明该方法能有效检测出新闻和广告视频中的镜头转换。     

基于语义API依赖图的恶意代码检测

传统的恶意代码动态分析方法大多基于序列挖掘和图匹配来进行恶意代码检测,序列挖掘易受系统调用注入的影响,图匹配受限于子图匹配的复杂性问题,并且此类方法并未考虑到样本的反检测行为,如反虚拟机.因此检测效果越来越差.本文设计并提出一种基于程序语义API依赖图的真机动态分析方法,在基于真机的沙箱中来提取恶意代码的API调用序列,从而不受反虚拟机检测的影响.本文的特征构建方法是基于广泛应用于信息理论领域的渐近均分性(AEP)概念,基于AEP可以提取出语义信息丰富的API序列,然后以关键API序列依赖图的典型路径来定义程序行为,以典型路径的平均对数分支因子来定义路径的相关性,利用平均对数分支因子和直方图bin方法来构建特征空间.最后采用集成学习算法-随机森林进行恶意代码分类.实验结果表明,本文所提出的方法可以有效分类恶意代码,精确度达到97.1%.     

基于支持向量机的不平衡样本分类研究

分类问题是机器学习领域的重要研究方向之一。支持向量机是一种基于结构风险最小化的学习机器,在解决分类问题上有着出色的效果。但基于支持向量机的分类器在处理不平衡样本时,对少类样本分类准确率偏低。诸多研究在对此问题做分析时往往把主要原因归结为各类样本间数量上的不平衡,而没有充分考虑样本点在特征空间上的分布情况。针对此问题做出原因分析,并给出结论:样本的不平衡性主要是由特征空间下各类样本的分布所决定的,而和数量上的不平衡关系较小。通过实验验证结论的科学有效性。     

基于机器学习的边缘检测方法研究

传统的边缘检测方法具有一定的局限性,且自适应能力差,提出一种基于机器学习的边缘检测方法来解决上述问题.实验图像从伯克利图像数据库中选取,以Harr和梯度直方图(HoG)构成特征空间,将AdaBoost算法和决策树算法相结合进行分类器训练.实验结果表明,机器学习的边缘检测算法有更高的分类准确率.     

基于样本集质量的建筑能耗预测机器 学习算法选择及参数设置

使用机器学习算法对建筑能耗进行预测正逐渐成为建筑设计初期重要的决策辅助工具,机器学习算法的选择及其参数设置一直是机器学习领域研究的热点和难点。但现有研究大多从算法原理角度进行预测模型的选择及参数设置,训练样本集的特征信息未得到充分利用。为此,提出一种以样本量及样本分布特征为出发点的样本集质量分类方法,针对不同质量样本集测试不同机器学习算法的学习性能,制定不同质量样本集的算法选择及参数设置策略。分析样本特征与算法性能之间的关系,为建筑设计提供有效指导。     

改进的核极限学习机定位算法

针对神经网络无线定位方法,存在训练耗时长,定位结果易受噪声干扰的问题,提出了一种改进的核极限学习机无线定位算法。采取在同一位置进行多次测量的方法得到训练数据;把同一位置测得的数据划分为一个样本子空间并提取样本子空间的特征,以样本子空间的特征代替原来的训练数据;利用矩阵近似及矩阵扩展的相关理论改进核极限学习机算法;将处理过的训练数据利用改进的核极限学习机进行训练,得到定位预测模型。仿真结果表明,在相同数据集下,改进的核极限学习机训练用时短、定位速度快;在相同噪声干扰情况下,此算法定位预测误差小。经验证,该算法不但能提高网络的训练速度、定位速度,还能有效地降低噪声的干扰,提高定位精度。     

Multi-objective dynamic detection of seeds based on machine vision

An approach to inspecting massive numbers of moving seeds was studied based on the techniques of dynamic inspection and machine vision. A progressive scanning CCD camera with external trigger function was used for real-time capture of dynamic images of seeds. The methods based on R channel of RGB (Red, Green and Blue) and region-dependent segmentation were adopted to reduce the data size of image processing and improve the efficiency of seeds inspection. All the seeds were sorted into four grades according to their morphological characteristics, such as surface area, perimeter, major axis, minor axis, circularity and eccentricity. The detection experiments indicated that the eligible ratio of the classifications was about 81.90% by this real-time inspection system.     

Multi-objective dynamic detection of seeds based on machine vision

An approach to inspecting massive numbers of moving seeds was studied based on the techniques of dynamic inspection and machine vision. A progressive scanning CCD camera with external trigger function was used for real-time capture of dynamic images of seeds. The methods based on R channel of RGB (Red, Green and Blue) and region-dependent segmentation were adopted to reduce the data size of image processing and improve the efficiency of seeds inspection. All the seeds were sorted into four grades according to their morphological characteristics, such as surface area, perimeter, major axis, minor axis, circularity and eccentricity. The detection experiments indicated that the eligible ratio of the classifications was about 81.90% by this real-time inspection system.     

基于机器学习的论文作者名消歧方法研究

本文提出了一种基于规则匹配和机器学习的论文作者名自动化消歧方法:首先基于人工构建的人名匹配规则确定候选作者,对于存在多个候选人的情况,基于论文的属性信息(例如合作者、标题、摘要、关键词和出版物名称等)提取特征,然后选取合适的机器学习算法进行消歧.实验效果表明K近邻和Softmax分类器较适合于论文作者名消歧任务;此外,将作者信息与论文的其他信息分开提取特征能够有效提高作者名消歧的准确性.     

基于社会计算和机器学习的垃圾邮件识别方法的研究

在对目前各种垃圾邮件识别方法进行研究分析的基础上,结合社会计算的理论和机器学习的方法,提出了一种新的垃圾邮件识别方法。通过利用邮件头部中能反映联系人社会关系的特征来构造一张联系人来往关系图对垃圾邮件进行初次识别,对于无法确定存在社会关系的联系人的邮件再利用机器学习的方法进行识别。实验结果表明,采用该方法进行垃圾邮件识别较之单纯采用贝叶斯方法,识别准确率有了较大的提高,同时,识别时间得到降低。