检测恶意软件
-Ausen
小白一个
展开
-
对 Detection of Malicious Code Variants Based on Deep Learning 的简单理解
文章的核心技术主要包括三种:1.把恶意代码转换成灰度化图像2.利用卷积神经网络对图像进行识别和分类,能够自动提取恶意软件图像的特征.3.使用蝙蝠算法来解决不同恶意软件家族之间的数据不平衡问题。Index Terms—Malware variants 恶意软件变体grayscale image 灰度图像deep learning 深度学习convolution neural n...原创 2019-04-13 21:17:03 · 1181 阅读 · 2 评论 -
恶意代码攻击原理
借鉴论文 - 恶意代码原理剖析1.渗透技术渗透技术的任务是***保证恶意代码能够植入到目标主机中***,可以通过如下方式:感染可执行程序、分区表和数据文件(如:宏通过移动介质;通过人、社会工程方式;借助于系统和软件漏洞;通过电子邮件、Web网站和网页、P2P文件共享、即时通信工具和ARP欺骗方式等。2.自启动技术自启动技术的任务是***保证恶意代码在受害主机下一次开机启动后也被激活**...原创 2019-09-26 15:14:12 · 1568 阅读 · 0 评论 -
比赛代码6(My EDA - I want to see all!)
代码地址作者思路:代码块:作者先观察了训练集的样本标签分布,从中得知他们的分布是非常平衡的train['HasDetections'].value_counts().plot.bar()plt.title('HasDetections(target)')接下来检查特征中含有缺失值的情况# checking missing data#缺失值的总数total = train.is...原创 2019-07-27 16:59:26 · 299 阅读 · 0 评论 -
对Fine-Pruning: Defending Against Backdooring Attacks on Deep Neural Networks的简单理解
本文主要:因为在我们训练模型时,由于我们所需要的数据集太大,对于计算机的配置要求太高,时间消耗太大,所以我们一般会将模型的训练过程外包给第三方,而会存在着有着恶意想法的第三方,会在给我们训练的模型上安上后门,影响我们模型的判断,这时候就需要我们运用不同的方法来‘消毒’。作者自己给自己设计了新型的后门攻击并且用了自己设计的fine-pruning(a combination of pruning...原创 2019-08-01 11:01:20 · 2451 阅读 · 0 评论 -
对TESSERACT: Eliminating Experimental Bias in Malware Classification across Space and Time简单理解
我理解的作者:作者提出了在一般的检测恶意代码的模型评分都是偏高的,因为他们忽略了训练模型时,所用的数据集的时效作用(时间偏差),以及所用数据的正反例分布情况(即空间偏差)。这里提出了两个概念:Spatial bias refers to unrealistic assumptions about the ratio of goodware to malware in the data.T...原创 2019-08-01 10:18:44 · 791 阅读 · 1 评论 -
比赛代码5(NFFM baseline )
代码地址作者思路:作者的重点放在了模型的训练上,而数据的特征处理则没有太多关照,只处理了两列特征。在神经网络模型的训练上作者用了K折交叉验证的方法。代码块:第一块是download数据,这里就不介绍了第二块处理float特征def make_bucket(data,num=10):#用来定义float特征编码的边界,如若bins=[5,10,15],则若特征值为[7,9,12],则编...原创 2019-07-26 16:31:47 · 291 阅读 · 0 评论 -
比赛代码4(LightGBM. Baseline Model Using Sparse Matrix)
代码地址作者的主要思路:作者从每一列特征出发,合并train与test的特征,然后分析这一列特征中特征值的出现次数,从中计算不平衡的值,把有用的数据留下来,把没用的数据变为0。后使用独热编码对train编码,用编码后的数据进行模型训练,训练过程中有用到K折交叉验证,模型为决策树。代码块:for usecol in train.columns.tolist()[1:-1]: #将里面的值变...原创 2019-07-26 14:23:33 · 235 阅读 · 0 评论 -
比赛代码3(Everyone Do this at the Beginning!!)
代码地址该代码功能主要是去掉特征中的无用特征作者思路:先找出需要去掉的特征,其中包括:特征中缺失值多的特征中特征值倾斜程度大的从高相关的两个特征中特征值少的。然后在总数中去掉这些特征,减去这些特征列之后再在总的Dataframe中去掉含有缺失值的样本,所以最终得到的样本中没有缺失值且比较精炼。分析原始代码:从以下处理缺失值过多的特征:(train.isnull().sum(...原创 2019-07-26 11:58:00 · 158 阅读 · 0 评论 -
比赛代码2(Is this Malware? )
代码地址作者的主要思想: 先将特征一个分析,分析出特征中有一个特征值占90以上,或者空值占了90以上的,就直接把这一列特征去掉,再将筛选后的特征Dataframe分析。而分析思路是先将其中的一个与其他特征的关系很大的特征提出,然后再对其余特征进行一个一个分析。通过图表对其进行分析,若有分类的特征,则将其类型变为’category’型,对应着被统计的变量,若没有其本身没有分类特征,则将其结合之前分...原创 2019-07-25 22:30:39 · 141 阅读 · 0 评论 -
比赛代码(Detecting Malwares with LGBM)
比赛代码的地址作者先对不同类型数据的特征列进行了分类,不同特征类:二分类型,字符型,数字型作者后对字符类型的特征列中的特征进行了特征编码,用了下面的操作: #下面这段是对特征列中特征值特别多的进行编码并从字符列列表中除去以防下面的操作对其重复操作 for variable in tqdm(frequency_encoded_variables): ...原创 2019-07-25 18:47:42 · 279 阅读 · 0 评论 -
对Malware Detection by Eating a Whole EXE的简单简单简单单理解
核心技术:既是用神经网络测试一整个文件的二进制代码 ,这之前相关的工作中并没有此想法。这个方法消除了这个领域特定于知识的代码和特性处理,减少了专门代码的数量,减少了复制和扩展的障碍。(在其他的检测工作中存在有人工输入代码特性的工作,而这需要特定的知识的代码)...原创 2019-05-09 00:25:11 · 890 阅读 · 0 评论 -
对A Multimodal Deep Learning Method for Android Malware Detection Using Various Features的简单理解
**对A Multimodal Deep Learning Method for Android Malware Detection Using Various Features的简单理解**核心技术:从各种方面对安卓软件的特性进行细分,然后基于相似性对特性进行划分,在恶意软件检测中实现了对有效的特征表示。同时,提出了一种基于多模式深度学习的恶意软件检测模型。该技术先对软件动态分析,对模...原创 2019-04-19 17:53:25 · 610 阅读 · 0 评论 -
对Imperceptible, Robust, and Targeted Adversarial Examples for Automatic Speech Recognition的简单理解
核心技术:在自动语音识别中,使用不可被探测的高效的音频对抗实例,利用听觉掩蔽的心理声学原理,通过构造 即使在实际的模拟环境扭曲之后仍然有效的 微小扰动来实现物理世界的空中音频对抗性例子,改变语音,去迷惑人们的判断。( 利用听觉掩蔽的心理声学原理: 仅将对抗性扰动添加到 音频区域,在那里人类不会听到这种干扰,即使这种扰动在绝对能量方面不是“安静”的)提升的地方:原本只是三四个单词可以作为对抗实...原创 2019-05-02 22:10:04 · 519 阅读 · 0 评论 -
对Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN的简单理解
核心技术利用基于恶意算法MalGAN的GAN将恶意软件作为输入,对恶意软件进行加工,使此恶意软件能够躲避基于黑匣子机器学习的检测模型的检测。(生成的恶意软件通过利用一个替身来迎合检测器的检测。)提出了一种基于神经网络的神经网络生成方法。 以原始样本作为输入,输出对抗性实例。神经网络固有的非线性结构使其能够生成更复杂、更灵活的对抗性实例。~~黑匣子机器学习的检测模型:即是恶意软件生成作者对恶...原创 2019-04-27 00:22:59 · 1319 阅读 · 0 评论 -
对Bringing a GAN to a Knife-fight Adapting Malware Communication to Avoid Detectio的简单理解
主要技术:提出利用GANS生成网络流量,以模拟其他类型的流量。:即修改了恶意软件的网络行为,从而去模仿合法的申请行为,然后避免了堵截,或者检测。这里设想了自适应恶意软件和自适应IPS的可能性。(IPS: 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性...原创 2019-04-15 00:19:30 · 491 阅读 · 0 评论 -
对kaggle2015 1st代码的简单理解
这里对训练模型的py文件不作解释unique_gram.py是对不同文件中的操作码进行计数,并且找出最多的前多少个操作码以及他的次数。from csv import DictReaderfrom datetime import datetimeimport pickleimport heapqimport sys#load datadef load_label(path, ...原创 2019-09-25 01:03:05 · 621 阅读 · 0 评论