[VIP第1年] 指数:3
并将测试样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入步骤s2训练得到的多模态深度集成模型中,对测试样本进行检测并得出检测结果。实验结果与分析(1)样本数据集选取实验评估使用了不同时期的恶意软件和良性软件样本,包含了7871个良性软件样本和8269个恶意软件样本,其中4103个恶意软件样本是2011年以前发现的,4166个恶意软件样本是近年来新发现的;3918个良性软件样本是从全新安装的windowsxpsp3系统中收集的,3953个良性软件样本是从全新安装的32位windows7系统中收集的。所有的恶意软件样本都是从vxheavens网站中收集的,所有的样本格式都是windowspe格式的,样本数据集构成如表1所示。表1样本数据集类别恶意软件样本良性软件样本早期样本41033918近期样本41663953合计82697871(2)评价指标及方法分类性能主要用两个指标来评估:准确率和对数损失。准确率测量所有预测中正确预测的样本占总样本的比例,*凭准确率通常不足以评估预测的鲁棒性,因此还需要使用对数损失。对数损失(logarithmicloss),也称交叉熵损失(cross-entropyloss),是在概率估计上定义的,用于测量预测类别与真实类别之间的差距大小。功能完整性测试发现3项宣传功能未完全实现。西安第三方软件评测单位
这种传统方式几乎不能检测未知的新的恶意软件种类,能检测的已知恶意软件经过简单加壳或混淆后又不能检测,且使用多态变形技术的恶意软件在传播过程中不断随机的改变着二进制文件内容,没有固定的特征,使用该方法也不能检测。新出现的恶意软件,特别是zero-day恶意软件,在释放到互联网前,都使用主流的反**软件测试,确保主流的反**软件无法识别这些恶意软件,使得当前的反**软件通常对它们无能为力,只有在恶意软件大规模传染后,捕获到这些恶意软件样本,提取签名和更新签名库,才能检测这些恶意软件。基于数据挖掘和机器学习的恶意软件检测方法将可执行文件表示成不同抽象层次的特征,使用这些特征来训练分类模型,可实现恶意软件的智能检测,基于这些特征的检测方法也取得了较高的准确率。受文本分类方法的启发,研究人员提出了基于二进制可执行文件字节码n-grams的恶意软件检测方法,这类方法提取的特征覆盖了整个二进制可执行文件,包括pe文件头、代码节、数据节、导入节、资源节等信息,但字节码n-grams特征通常没有明显的语义信息,大量具有语义的信息丢失,很多语义信息提取不完整。此外,基于字节码n-grams的检测方法提取代码节信息考虑了机器指令的操作数。太原第三方软件检测实验室渗透测试报告暴露2个高危API接口需紧急加固。
置环境操作系统+服务器+数据库+软件依赖5执行用例6回归测试及缺陷**7输出测试报告8测试结束软件架构BSbrowser浏览器+server服务器CSclient客户端+server服务器1标准上BS是在服务器和浏览器都存在的基础上开发2效率BS中负担在服务器上CS中的客户端会分担,CS效率更高3安全BS数据依靠http协议进行明文输出不安全4升级上bs更简便5开发成本bs更简单cs需要客户端安卓和ios软件开发模型瀑布模型1需求分析2功能设计3编写代码4功能实现切入点5软件测试需求变更6完成7上线维护是一种线性模型的一种,是其他开发模型的基础测试的切入点要留下足够的时间可能导致测试不充分,上线后才暴露***开发的各个阶段比较清晰需求调查适合需求稳定的产品开发当前一阶段完成后,您只需要去关注后续阶段可在迭代模型中应用瀑布模型可以节省大量的时间和金钱缺点1)各个阶段的划分完全固定,阶段之间产生大量的文档,极大地增加了工作量。2)由于开发模型是线性的,用户只有等到整个过程的末期才能见到开发成果,从而增加了开发风险。3)通过过多的强制完成日期和里程碑来**各个项目阶段。4)瀑布模型的突出缺点是不适应用户需求的变化瀑布模型强调文档的作用,并要求每个阶段都要仔细验证。
程序利用windows提供的接口(windowsapi)实现程序的功能。通过一个可执行程序引用的动态链接库(dll)和应用程序接口(api)可以粗略的预测该程序的功能和行为。统计所有样本的导入节中引用的dll和api的频率,留下引用频率**高的60个dll和500个api。提取特征时,每个样本的导入节里存在选择出的dll或api,该特征以1表示,不存在则以0表示,提取的560个dll和api特征作为***个特征视图。提取格式信息特征视图pe是portableexecutable的缩写,初衷是希望能开发一个在所有windows平台上和所有cpu上都可执行的通用文件格式。pe格式文件是封装windows操作系统加载程序所需的信息和管理可执行代码的数据结构,数据**是大量的字节码和数据结构的有机融合。pe文件格式被**为一个线性的数据流,由pe文件头、节表和节实体组成。恶意软件或被恶意软件***的可执行文件,它本身也遵循格式要求的约束,但可能存在以下特定格式异常:(1)代码从**后一节开始执行;(2)节头部可疑的属性;(3)pe可选头部有效尺寸的值不正确;(4)节之间的“间缝”;(5)可疑的代码重定向;(6)可疑的代码节名称;(7)可疑的头部***;(8)来自;(9)导入地址表被修改;(10)多个pe头部;(11)可疑的重定位信息;。数据驱动决策:艾策科技如何提升企业竞争力。
综合上面的分析可以看出,恶意软件的格式信息和良性软件是有很多差异性的,以可执行文件的格式信息作为特征,是识别已知和未知恶意软件的可行方法。对每个样本进行格式结构解析,提取**每个样本实施例件的格式结构信息,可执行文件的格式规范都由操作系统厂商给出,按照操作系统厂商给出的格式规范提取即可。pe文件的格式结构有许多属性,但大多数属性无法区分恶意软件和良性软件,经过深入分析pe文件的格式结构属性,提取了可能区分恶意软件和良性软件的136个格式结构属性,如表2所示。表2可能区分恶意软件和良性软件的pe格式结构属性特征描述数量(个)引用dll的总数1引用api的总数1导出表中符号的总数1重定位节的项目总数,连续的几个字节可能是完成特定功能的一段代码,或者是可执行文件的结构信息,也可能是某个恶意软件中特有的字节码序列。pe文件可表示为字节码序列,恶意软件可能存在一些共有的字节码子序列模式,研究人员直觉上认为一些字节码子序列在恶意软件可能以较高频率出现,且这些字节码序列和良性软件字节码序列存在明显差异。可执行文件通常是二进制文件,需要把二进制文件转换为十六进制的文本实施例件,就得到可执行文件的十六进制字节码序列。可靠性评估连续运行72小时出现2次非致命错误。北京软件验收检测报告
如何选择适合企业的 IT 解决方案?西安第三方软件评测单位
后端融合模型的10折交叉验证的准确率是%,对数损失是,混淆矩阵如图13所示,规范化后的混淆矩阵如图14所示。后端融合模型的roc曲线如图15所示,其显示后端融合模型的auc值为。(6)中间融合中间融合的架构如图16所示,中间融合方式用深度神经网络从三种模态的特征分别抽取高等特征表示,然后合并学习得到的特征表示,再作为下一个深度神经网络的输入训练模型,隐藏层的***函数为relu,输出层的***函数是sigmoid,中间使用dropout层进行正则化,防止过拟合,优化器(optimizer)采用的是adagrad,batch_size是40。图16中,用于抽取dll和api信息特征视图的深度神经网络包含3个隐含层,其***个隐含层的神经元个数是128,第二个隐含层的神经元个数是64,第三个隐含层的神经元个数是32,且3个隐含层中间间隔设置有dropout层。用于抽取格式信息特征视图的深度神经网络包含2个隐含层,其***个隐含层的神经元个数是64,其第二个隐含层的神经元个数是32,且2个隐含层中间设置有dropout层。用于抽取字节码n-grams特征视图的深度神经网络包含4个隐含层,其***个隐含层的神经元个数是512,第二个隐含层的神经元个数是384,第三个隐含层的神经元个数是256,第四个隐含层的神经元个数是125。西安第三方软件评测单位
文章来源地址: http://swfw.yinshuajgsb.chanpin818.com/jiancefuwu/deta_27168964.html
免责声明: 本页面所展现的信息及其他相关推荐信息,均来源于其对应的用户,本网对此不承担任何保证责任。如涉及作品内容、 版权和其他问题,请及时与本网联系,我们将核实后进行删除,本网站对此声明具有最终解释权。
