[VIP第1年] 指数:3
k为短序列特征总数,1≤i≤k。可执行文件长短大小不一,为了防止该特征统计有偏,使用∑knk,j进行归一化处理。逆向文件频率(inversedocumentfrequency,idf)是一个短序列特征普遍重要性的度量。某一短序列特征的idf,可以由总样本实施例件数目除以包含该短序列特征之样本实施例件的数目,再将得到的商取对数得到:其中,|d|指软件样本j的总数,|{j:i∈j}|指包含短序列特征i的软件样本j的数目。idf的主要思想是:如果包含短序列特征i的软件练样本越少,也就是|{j:i∈j}|越小,idf越大,则说明短序列特征i具有很好的类别区分能力。:如果某一特征在某样本中以较高的频率出现,而包含该特征的样本数目较小,可以产生出高权重的,该特征的。因此,,保留重要的特征。此处选取可能区分恶意软件和良性软件的短序列特征,是因为字节码n-grams提取的特征很多,很多都是无效特征,或者效果非常一般的特征,保持这些特征会影响检测方法的性能和效率,所以要选出有效的特征即可能区分恶意软件和良性软件的短序列特征。步骤s2、将软件样本中的类别已知的软件样本作为训练样本,然后分别采用前端融合方法、后端融合方法和中间融合方法设计三种不同方案的多模态数据融合方法。网络延迟测评显示亚太地区响应时间超欧盟2倍。北京软件安全测试
生成取值表。3把取值表与选择的正交表进行映射控件数Ln(取值数)3个控件5个取值5的3次幂混合正交表当控件的取值数目水平不一致时候,使用allp**rs工具生成1等价类划分法划分值2边界值分析法边界值3错误推断法经验4因果图分析法关系5判定表法条件和结果6流程图法流程路径梳理7场景法主要功能和业务的事件8正交表先关注主要功能和业务流程,业务逻辑是否正确实现,考虑场景法需要输入数据的地方,考虑等价类划分法+边界值分析法,发现程序错误的能力**强存在输入条件的组合情况,考虑因果图判定表法多种参数配置组合情况,正交表排列法采用错误推断法再追加测试用例。需求分析场景法分析主要功能输入的等价类边界值输入的各种组合因果图判定表多种参数配置正交表错误推断法经验软件缺陷软件产品中存在的问题,用户所需要的功能没有完全实现。洛阳第三方软件评测公司自动化测试发现7个边界条件未处理的异常情况。
保留了较多信息,同时由于操作数比较随机,某种程度上又没有抓住主要矛盾,干扰了主要语义信息的提取。pe文件即可移植文件导入节中的动态链接库(dll)和应用程序接口(api)信息能大致反映软件的功能和性质,通过一个可执行程序引用的dll和api信息可以粗略的预测该程序的功能和行为。belaoued和mazouzi应用统计khi2检验分析了pe格式的恶意软件和良性软件的导入节中的dll和api信息,分析显示恶意软件和良性软件使用的dll和api信息统计上有明显的区别。后续的研究人员提出了挖掘dll和api信息的恶意软件检测方法,该类方法提取的特征语义信息丰富,但*从二进制可执行文件的导入节提取特征,忽略了整个可执行文件的大量信息。恶意软件和被***二进制可执行文件格式信息上存在一些异常,这些异常是检测恶意软件的关键。研究人员提出了基于二进制可执行文件格式结构信息的恶意软件检测方法,这类方法从二进制可执行文件的pe文件头、节头部、资源节等提取特征,基于这些特征使用机器学习分类算法处理,取得了较高的检测准确率。这类方法通常不受变形或多态等混淆技术影响,提取特征只需要对pe文件进行格式解析,无需遍历整个可执行文件,提取特征速度较快。
将训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入深度神经网络,训练多模态深度集成模型;(1)方案一:采用前端融合(early-fusion)方法,首先合并训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图的特征,融合成一个单一的特征向量空间,然后将其作为深度神经网络模型的输入,训练多模态深度集成模型;(2)方案二:首先利用训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图分别训练深度神经网络模型,合并训练的三个深度神经网络模型的决策输出,并将其作为感知机的输入,训练得到**终的多模态深度集成模型;(3)方案三:采用中间融合(intermediate-fusion)方法,首先使用三个深度神经网络分别学习训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图的高等特征表示,并合并学习得到的训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图的高等特征表示融合成一个单一的特征向量空间,然后将其作为下一个深度神经网络的输入,训练得到多模态深度神经网络模型。步骤s3、将软件样本中的类别未知的软件样本作为测试样本。代码签名验证确认所有组件均经过可信机构认证。
12)把节装入到vmm的地址空间;(13)可选头部的sizeofcode域取值不正确;(14)含有可疑标志。此外,恶意软件和良性软件间以下格式特征也存在明显的统计差异:(1)证书表是软件厂商的可认证的声明,恶意软件很少有证书表,而良性软件大部分都有软件厂商可认证的声明;(2)恶意软件的调试数据也明显小于正常文件的,这是因为恶意软件为了增加调试的难度,很少有调试数据;(3)恶意软件4个节(.text、.rsrc、.reloc和.rdata)的characteristics属性和良性软件的也有明显差异,characteristics属性通常**该节是否可读、可写、可执行等,部分恶意软件的代码节存在可写异常,只读数据节和资源节存在可写、可执行异常等;(4)恶意软件资源节的资源个数也明显少于良性软件的,如消息表、组图表、版本资源等,这是因为恶意软件很少使用图形界面资源,也很少有版本信息。pe文件很多格式属性没有强制限制,文件完整性约束松散,存在着较多的冗余属性和冗余空间,为pe格式恶意软件的传播和隐藏创造了条件。此外,由于恶意软件为了方便传播和隐藏,尽一切可能的减小文件大小,文件结构的某些部分重叠,同时对一些属性进行了特别设置以达到anti-dump、anti-debug或抗反汇编。安全扫描确认软件通过ISO 27001标准,无高危漏洞记录。大连系统软件检测报告
性能基准测试GPU利用率未达理论最大值67%。北京软件安全测试
在不知道多长的子序列能更好的表示可执行文件的情况下,只能以固定窗口大小在字节码序列中滑动,产生大量的短序列,由机器学习方法选择可能区分恶意软件和良性软件的短序列作为特征,产生短序列的方法叫n-grams。“080074ff13b2”的字节码序列,如果以3-grams产生连续部分重叠的短序列,将得到“080074”、“0074ff”、“74ff13”、“ff13b2”四个短序列。每个短序列特征的权重表示有多种方法。**简单的方法是如果该短序列在具体样本中出现,就表示为1;如果没有出现,就表示为0,也可以用。本实施例采用3-grams方法提取特征,3-grams产生的短序列非常庞大,将产生224=(16,777,216)个特征,如此庞大的特征集在计算机内存中存储和算法效率上都是问题。如果短序列特征的tf较小,对机器学习可能没有意义,选取了tf**高的5000个短序列特征,计算每个短序列特征的,每个短序列特征的权重是判断其所在软件样本是否为恶意软件的依据,也是区分每个软件样本的依据。(4)前端融合前端融合的架构如图4所示,前端融合方式将三种模态的特征合并,然后输入深度神经网络,隐藏层的***函数为relu,输出层的***函数是sigmoid,中间使用dropout层进行正则化,防止过拟合,优化器。北京软件安全测试
文章来源地址: http://swfw.chanpin818.com/jiancefuwu/deta_26822777.html
免责声明: 本页面所展现的信息及其他相关推荐信息,均来源于其对应的用户,本网对此不承担任何保证责任。如涉及作品内容、 版权和其他问题,请及时与本网联系,我们将核实后进行删除,本网站对此声明具有最终解释权。
