6、基于操作码序列的恶意软件检测方法解析

最新推荐文章于 2025-10-20 09:33:05 发布
最新推荐文章于 2025-10-20 09:33:05 发布
阅读量15 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 工程安全软件的前沿探索 文章标签: 恶意软件检测 操作码序列 操作码相关性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/seed/article/details/154277814

基于操作码序列的恶意软件检测方法解析

1. 引言

恶意软件是指任何可能对计算机或网络造成损害的恶意代码。随着互联网的发展,恶意软件的数量、威力和种类每年都在增加,并且恶意软件编写者会使用代码混淆技术来躲避传统的语法恶意软件检测器。目前,基于签名的检测是商业杀毒软件中最常用的方法,但这种方法只有在病毒已经造成损害并被注册后才能实现检测,无法检测已知恶意软件的新变种。

为解决这一问题,本文提出了两种改进方法:
- 提出一种挖掘操作码(opcode)相关性的新方法,通过计算操作码在恶意软件和良性软件中的出现频率,并基于统计计算判别比率,最终为每个操作码赋予权重。
- 提出一种基于操作码序列频率计算两个可执行文件相似度的新方法,利用挖掘得到的操作码相关性对操作码序列频率进行加权,以平衡每个序列的判别能力。

2. 挖掘操作码相关性

操作码可以作为检测混淆或变形恶意软件的预测指标,但一些操作码(如mov或push)在恶意软件和良性可执行文件中出现的频率都很高,可能会扭曲基于操作码频率计算的文件相似度。因此,需要为每个操作码赋予其真正的相关性。

具体步骤如下:
1. 数据集收集
- 从VxHeavens网站收集了13189个恶意软件可执行文件,组成恶意软件数据集,该数据集仅包含PE可执行文件,涵盖了计算机病毒、特洛伊木马、间谍软件等不同类型的恶意软件。
- 从本地计算机收集了13000个可执行文件,组成良性软件数据集,包括文字处理器、绘图工具、Windows游戏、互联网浏览器、PDF查看器等。
2. 计算操作码相关性 : <

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
恶意软件家族分类 单模型方案总结
herosunly的博客
02-25 8万+
1. 方案一 1.1 数据探索 1.1.1 ASM文件探索 1.1.2 PE文件探索 1.2 数据降维-AutoEncoder 1.3 关键词抽取 1.4 模型构建 1.5 总结 2. 方案二 2.1 特征工程 2.1.1 单特征提取 2.1.1.1 Ember特征 2.1.1.2 TF-IDF特征 2.1.1.3 Asm2Vec特征 2.1.2 特征融合 2.1.3 特征融合 2.1.4 特征选择 2.2 模型构建 2.2.1 加权软投票 2.2.1.1 权重计算 2.1.1.2 软投票 2.2.2 多模
恶意软件家族分类 模型集成方案总结
热门推荐
herosunly的博客
01-25 3万+
1. 方案一 1.1 数据分析 1.1.1 样本家族数量分布 1.1.2 壳分析 1.1.3 分析总结 1.2 特征处理 1.2.1 特征选择 1.2.2 恶意软件灰度图特征 1.2.3 字节直方图特征 1.2.4 字节直方图特征代码 1.2.5 熵直方图特征 1.2.5.1 熵直方图特征详细讲解与代码 1.2.6 字符串序列特征 1.2.7 opcode序列特征 1.3 模型融合 1.3.1 stacking集成 1.3.2 模型融合 1.4 参考文献 2. 方案二 2.1 赛题分析 2.2 数据探索 .
基于运行时操作码恶意软件检测
seed的博客
10-20 1145
本文提出一种基于动态操作码分析的恶意软件检测方法,使用大规模数据集(48k样本)和机器学习技术,通过n元语法分析提取特征,并研究特征选择以应对高维问题。实验表明,仅用32k操作码序列和50个特征即可达到99.01%的准确率,验证了该方法检测效率与精度上的可行性。
[论文翻译](2017ACM)Deep Android Malware Detection (操作码)深度Android恶意软件检测
my991201的博客
06-03 918
在本文中,我们提出了一种新颖的Android恶意软件检测系统,该系统使用深度卷积神经网络(CNN)。通过对反汇编程序的原始操作码序列进行静态分析,进行恶意软件分类。恶意软件的特征是通过网络从原始操作码序列中自动学习的,因此不再需要手工设计的恶意软件特征。我们提出的系统的训练流程比现有的基于n-gram的恶意软件检测方法要简单得多,因为网络是端到端训练的,可以同时学习适当的特征并执行分类,因此在训练期间不再需要明确列举数百万个n-gram。
[论文翻译]GSEDroid:使用轻量级语义嵌入的基于 GNN 的安卓恶意软件检测框架
my991201的博客
08-08 1695
目前,安卓恶意软件仍然十分猖獗。恶意程序越来越多地使用高级混淆技术,给安全专业人员带来了伪装增强、变种激增和检测难度升级等挑战。利用语义特征是应对这些挑战的一条大有可为的途径。封装在操作码和 API 调用图中的丰富语义信息被认为是区分良性和恶意应用程序的关键。因此,各种自然语言处理(NLP)技术(如 Word2vec)被用来编码 Dalvik 操作码序列的特征,从而产生嵌入式表示法。
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 8303
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
基于AI恶意软件分类技术(5)
山楂的博客
06-21 2756
2021年malware分类技术综述,提到各种特征提取方法及现有的分类算法。
基于GAN的恶意软件对抗样本生成(Python实现)
毕业作品网站
06-02 3637
1.2 恶意软件领域相比图像领域增加的约束在过去六年发表的1600多篇关于对抗ML的论文中,大约有40篇集中在恶意软件上,其中大部分集中在特征空间上2017 blackhathttps://github.com/drhyrum/gym-malwarePE文件(特征空间)进行少量的修改,这些修改不会破坏PE文件格式,也不会改变代码的执行2020 SP揭示了特征空间和问题空间之间的关系,并引入了副作用特征的概念作为反特征映射问题的副产品四种常见于任何问题空间攻击的主要约束类型:(除了攻击目标函数外,所考虑的问
恶意软件检测论文】MSDROID:用于Android恶意软件检测的恶意代码片段识别
czc的博客的csdn版本,欢迎访问我的还在建设的个人网站:czchx.cc
12-15 1433
在文献中,机器学习已经显示出提高Android恶意软件检测准确性的希望。然而,这是具有挑战性的: (1) 保持对现实世界场景的鲁棒性和 (2) 提供可解释的解释供专家分析。在本文中,我们提出了MsDRoID,这是一个Android恶意软件检测系统,通过识别带有可解释解释的恶意代码片段来做出决策。我们模仿了安全分析师的一种常见做法,即在查看每种方法之前过滤api,以关注敏感api周围的本地代码片段,而不是整个程序。每个片段用编码代码属性和领域知识的图表示,然后用图神经网络(GNN)进行分类。
[论文翻译] LTAChecker:利用注意力时态网络基于 Dalvik 操作码序列的轻量级安卓恶意软件检测
my991201的博客
08-08 1280
Android 应用程序已成为黑客攻击的主要目标。安卓恶意软件检测是一项关键技术,对保障网络安全和阻止异常情况至关重要。然而,传统的静态分析难以分析新的恶意应用程序,而动态分析则需要更多的系统资源。我们提出了一种基于注意力时态网络的新型轻量级安卓恶意软件深度学习检测框架。本研究深入研究了安卓恶意软件的 Dalvik 操作码序列,采用 N-gram 算法分割序列并提取上下文信息特征。然后,利用 LSTM 和 TCN 算法捕捉长期依赖关系和局部特征,从而全面理解 Dalvik 操作码序列中的时间信息。
12、基于运行时操作码恶意软件动态分析
o5p6q的博客
10-15 13
本文提出了一种基于运行时操作码恶意软件动态分析方法,旨在克服传统检测技术在面对混淆和未知恶意软件时的局限性。通过构建大规模数据集,进行n-gram分析与高效特征选择,研究实现了仅用32k操作码序列和50个特征即达到99.01%检测准确率的优异性能。该方法有效绕过代码混淆,具备高实用价值,并为未来扩大数据集、优化算法及融合多种检测技术提供了可行方向。
6、基于序列的机器学习和深度学习的恶意软件检测
whisky的博客
07-30 84
本文综述了基于序列的机器学习与深度学习在恶意软件检测中的应用,涵盖静态、动态及混合分析方法。重点介绍了隐马尔可夫模型(HMM)和长短期记忆网络(LSTM)在处理操作码序列、API调用等序列数据中的原理与应用,并对比了两类模型的优劣。文章还列举了常用的数据提取工具与近期研究进展,最后展望了未来恶意软件检测技术的发展方向,包括多模型融合、先进深度学习架构的应用以及大数据环境下的高效分析策略。
五次多项式换道转向避撞轨迹规划可视化Matlab代码(分析不同车速与路面附着系数对换道时间、距离及横向加速度的影响)
11-27
五次多项式换道转向避撞轨迹规划可视化Matlab代码(分析不同车速与路面附着系数对换道时间、距离及横向加速度的影响)内容概要:本文介绍了一套基于五次多项式插值的换道转向避撞轨迹规划方法,并提供了完整的Matlab可视化代码实现。该方法用于自动驾驶或智能车辆在紧急避障场景下的平滑轨迹生成,重点分析了不同初始车速与路面附着系数对换道过程的影响,包括换道所需时间、行驶距离及横向加速度的变化规律,从而评估轨迹的安全性与舒适性。文中通过仿真展示了在多种工况下轨迹的动态特性,帮助理解车辆动力学约束与路面条件对路径规划的影响。; 适合人群:具备一定车辆动力学基础和Matlab编程能力的研究生、科研人员及从事自动驾驶路径规划的工程技术人员。; 使用场景及目标:①研究自动驾驶车辆在避障换道过程中的轨迹生成与优化;②分析车速与路面摩擦系数对换道性能(如时间、距离、横向加速度)的影响;③为智能驾驶系统提供可验证的轨迹规划算法原型与仿真平台; 阅读建议:建议结合Matlab代码逐段运行并调整参数(如车速、附着系数),观察仿真结果变化,深入理解五次多项式在横向轨迹规划中的应用优势与局限,同时可扩展至更复杂的动态环境或多车协同场景。
中国移动数据分类分级及重要数据管控指导意见(1).docx
11-27
中国移动数据分类分级及重要数据管控指导意见(1)
基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究(Matlab代码实现)
最新发布
11-27
基于数据驱动的 Koopman 算子的递归神经网络模型线性化,用于纳米定位系统的预测控制研究(Matlab代码实现)内容概要:本文围绕“基于数据驱动的Koopman算子的递归神经网络模型线性化”展开,旨在研究纳米定位系统的预测控制方法。通过结合数据驱动技术与Koopman算子理论,将非线性系统动态近似为高维线性系统,进而利用递归神经网络(RNN)建模并实现系统行为的精确预测。文中详细阐述了模型构建流程、线性化策略及在预测控制中的集成应用,并提供了完整的Matlab代码实现,便于科研人员复现实验、优化算法并拓展至其他精密控制系统。该方法有效提升了纳米级定位系统的控制精度与动态响应性能。; 适合人群:具备自动控制、机器学习或信号处理背景,熟悉Matlab编程,从事精密仪器控制、智能制造或先进控制算法研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①实现非线性动态系统的数据驱动线性化建模;②提升纳米定位平台的轨迹跟踪与预测控制性能;③为高精度控制系统提供可复现的Koopman-RNN融合解决方案; 阅读建议:建议结合Matlab代码逐段理解算法实现细节,重点关注Koopman观测矩阵构造、RNN训练流程与模型预测控制器(MPC)的集成方式,鼓励在实际硬件平台上验证并调整参数以适应具体应用场景。
鄱阳湖水系.zip
11-27
水系流域矢量数据,坐标系wgs84,是流域范围,数据格式shp格式
基于STM32的宠物定位系统
11-27
基于STM32的宠物定位系统
【提高晶格缩减(LR)辅助预编码中VP的性能】向量扰动(VP)预编码在下行链路中多用户通信系统中的应用(Matlab代码实现)
11-27
【提高晶格缩减(LR)辅助预编码中VP的性能】向量扰动(VP)预编码在下行链路中多用户通信系统中的应用(Matlab代码实现)内容概要:本文围绕“提高晶格缩减(LR)辅助预编码中向量扰动(VP)预编码性能”的研究展开,重点探讨了其在下行链路多用户通信系统中的应用。通过Matlab代码实现,展示了如何利用混合框架优化大规模MIMO系统中的数据检测问题,提升VP预编码在LR辅助下的性能表现。文中结合通信系统设计与信号处理技术,提供了完整的仿真方案,涵盖算法设计、性能评估及优化路径,旨在降低系统干扰、提升传输效率与通信可靠性。; 适合人群:具备通信工程、电子信息或相关专业背景,熟悉MIMO通信系统与信号处理基础的研究生、科研人员及从事无线通信系统仿真的技术人员。; 使用场景及目标:①研究多用户MIMO系统中预编码技术的性能优化;②深入理解向量扰动与晶格缩减在预编码中的协同机制;③通过Matlab实现算法仿真,支持学术复现与工程验证。; 阅读建议:建议读者结合Matlab代码逐模块分析算法实现流程,重点关注LR辅助VP预编码的核心优化逻辑,并参考文档中提供的仿真设置进行参数调优与性能对比,以深化对通信系统预编码机制的理解。
【四轴飞行器】非线性三自由度四轴飞行器模拟器研究(Matlab代码实现)
11-27
【四轴飞行器】非线性三自由度四轴飞行器模拟器研究(Matlab代码实现)
基于LeNet-5的卷积神经网络恶意软件检测系统
恶意软件检测场景下,传统方法常提取API调用序列、注册表操作、网络行为等动态特征,或熵值、节区信息等静态特征,但这些特征设计复杂且易被混淆绕过。而基于CNN的方法跳过了繁琐的手工建模过程,直接以原始字节...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值