公开(公告)号：CN113704759B

公开(公告)日：2022-05-27

申请号：CN202110935086.7

申请日：2021-08-16

Applicant: 广州大学

Inventor： 李树栋 ,  张海鹏 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明公开了一种基于Adaboost的安卓恶意软件检测方法、系统及存储介质，本发明首先基于二进制APK样本文件，通过对原始数据层面的分析，使提取出安卓的权限、API、Intent，其中，权限和Intent使用词袋模型进行处理，生成权限和Intent特征向量，API使用TF‑IDF和bi‑gram进行处理，生成API特征向量，然后生成的API特征向量拼接到权限和Intent特征向量后面，形成新的向量；然后基于Adaboost算法构建安卓恶意软件检测方法和系统的模型。本发明基于权限、Intent、API生成的特征向量和Adaboost算法，构建了一个准确、稳定、高效的安卓恶意代码检测模型，该模型可以对未知的安卓恶意软件进行检测。

公开(公告)号：CN114143024A

公开(公告)日：2022-03-04

申请号：CN202111245092.6

申请日：2021-10-26

Applicant: 广州大学

Inventor： 李树栋 ,  李正阳 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  厉源 ,  肖林鹤 ,  张海鹏 ,  许娜 ,  赵传彧

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法及装置，方法包括下述步骤：根据PE文件结构特性设计基于集成策略的恶意软件对抗性扰动方法，该扰动方法添加扰动的方式为:修改DOS头、节区末尾填充、文件末尾填充；构建基于生成对抗网络的黑盒恶意软件对抗样本生成模型；在模型攻击过程中，输入恶意软件到黑盒恶意软件对抗样本生成模型，利用训练过的生成器模型G在很短的时间内生成对抗性样本。本发明添加对抗性扰动到恶意软件的非功能区域，从而实现了保留恶意功能和样本的真实性，这样不仅可以省去检验恶意软件样本在沙箱中的动态分析方法以确保二进制文件的功能不受损害的高成本过程，还可以高效的生成恶意软件对抗样本。

公开(公告)号：CN113704759A

公开(公告)日：2021-11-26

申请号：CN202110935086.7

申请日：2021-08-16

Applicant: 广州大学

Inventor： 李树栋 ,  张海鹏 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨

IPC: G06F21/56 ,  G06N20/00

Abstract: 本发明公开了一种基于Adaboost的安卓恶意软件检测方法、系统及存储介质，本发明首先基于二进制APK样本文件，通过对原始数据层面的分析，使提取出安卓的权限、API、Intent，其中，权限和Intent使用词袋模型进行处理，生成权限和Intent特征向量，API使用TF‑IDF和bi‑gram进行处理，生成API特征向量，然后生成的API特征向量拼接到权限和Intent特征向量后面，形成新的向量；然后基于Adaboost算法构建安卓恶意软件检测方法和系统的模型。本发明基于权限、Intent、API生成的特征向量和Adaboost算法，构建了一个准确、稳定、高效的安卓恶意代码检测模型，该模型可以对未知的安卓恶意软件进行检测。

公开(公告)号：CN114386511B

公开(公告)日：2023-06-23

申请号：CN202210035910.8

申请日：2022-01-11

Applicant: 广州大学

Inventor： 李树栋 ,  厉源 ,  吴晓波 ,  李正阳 ,  韩伟红 ,  张海鹏 ,  肖林鹤 ,  许娜 ,  赵传彧 ,  方滨兴 ,  田志宏 ,  顾钊铨 ,  殷丽华

IPC: G06F18/241 ,  G06F18/214 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明提供基于多维度特征融合和模型集成的恶意软件家族分类方法，包括S1获取恶意软件PE文件，根据获取的PE文件提取多个维度的恶意软件特征；其中恶意软件特征包括：Ember特征、TF‑IDF特征和Asm2Vec；S2根据提取的恶意软件特征进行特征融合和特征选择处理，得到恶意软件家族分类特征集；S3以XGBoost作为基础模型，根据得到的恶意软件家族分类特征集中的特征分别单独训练基础模型，并根据训练好的基础模型对训练集样本进行预测，根据得到预测结果计算各特征在对应各家族上的权重值；并采用加权软投票的方式来计算恶意软件家族分类预测结果。本发明有助于提高恶意软件家族分类的性能和泛化能力。

公开(公告)号：CN114143024B

公开(公告)日：2022-07-26

申请号：CN202111245092.6

申请日：2021-10-26

Applicant: 广州大学

Inventor： 李树栋 ,  李正阳 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  厉源 ,  肖林鹤 ,  张海鹏 ,  许娜 ,  赵传彧

IPC: H04L9/40 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于生成对抗网络的黑盒恶意软件检测对抗样本生成方法及装置，方法包括下述步骤：根据PE文件结构特性设计基于集成策略的恶意软件对抗性扰动方法，该扰动方法添加扰动的方式为:修改DOS头、节区末尾填充、文件末尾填充；构建基于生成对抗网络的黑盒恶意软件对抗样本生成模型；在模型攻击过程中，输入恶意软件到黑盒恶意软件对抗样本生成模型，利用训练过的生成器模型G在很短的时间内生成对抗性样本。本发明添加对抗性扰动到恶意软件的非功能区域，从而实现了保留恶意功能和样本的真实性，这样不仅可以省去检验恶意软件样本在沙箱中的动态分析方法以确保二进制文件的功能不受损害的高成本过程，还可以高效的生成恶意软件对抗样本。

公开(公告)号：CN114386511A

公开(公告)日：2022-04-22

申请号：CN202210035910.8

申请日：2022-01-11

Applicant: 广州大学

Inventor： 李树栋 ,  厉源 ,  吴晓波 ,  李正阳 ,  韩伟红 ,  张海鹏 ,  肖林鹤 ,  徐娜 ,  赵传彧 ,  方滨兴 ,  田志宏 ,  顾钊铨 ,  殷丽华

IPC: G06K9/62 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明提供基于多维度特征融合和模型集成的恶意软件家族分类方法，包括S1获取恶意软件PE文件，根据获取的PE文件提取多个维度的恶意软件特征；其中恶意软件特征包括：Ember特征、TF‑IDF特征和Asm2Vec；S2根据提取的恶意软件特征进行特征融合和特征选择处理，得到恶意软件家族分类特征集；S3以XGBoost作为基础模型，根据得到的恶意软件家族分类特征集中的特征分别单独训练基础模型，并根据训练好的基础模型对训练集样本进行预测，根据得到预测结果计算各特征在对应各家族上的权重值；并采用加权软投票的方式来计算恶意软件家族分类预测结果。本发明有助于提高恶意软件家族分类的性能和泛化能力。