张福勇
- 作品数:7 被引量:15H指数:3
- 供职机构:华南理工大学更多>>
- 发文基金:广东省粤港关键领域重点突破项目国家技术创新计划国家科技型中小企业技术创新基金更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于IRP的未知恶意代码检测方法被引量:3
- 2011年
- 目前采用的基于API的恶意代码检测方法只能检测运行在用户态的恶意代码,不能检测运行在内核态、采用内核API调用的恶意代码.为此,文中提出基于I/O请求包(IRP)的未知恶意代码检测方法.应用朴素贝叶斯、贝叶斯网络、支持向量机、C4.5决策树、Boosting、否定选择算法及针对IRP序列特点改进的人工免疫算法对捕获的IRP序列进行检测,并比较了各种算法在不同特征选择方法下的检测效果.结果表明:所提出的基于IRP的未知恶意代码检测方法是可行的;在所有方法中,采用Fisher score进行特征选择的Boosting决策树算法可获得最高的检测率(98.3%);采用改进的人工免疫算法,通过精选的少量仅在恶意代码中存在的IRP序列,可获得95.0%的检测率,且误检率为0.
- 张福勇齐德昱胡镜林
- 关键词:I/O请求包人工免疫系统恶意代码检测检测率
- 基于免疫原理的恶意软件检测模型被引量:1
- 2010年
- 针对恶意软件检测尤其是未知恶意软件检测的不足,提出一种基于免疫原理的恶意软件检测模型,该模型采用程序运行时产生的IRP请求序列作为抗原,定义系统中的正常程序为自体,恶意程序为非自体,通过选定数量的抗体,采用人工免疫原理对非自体进行识别。实验结果表明,此模型在恶意软件的检测方面具有较高的准确率,且误报和漏报率较低,是一种有效的恶意软件检测方法。
- 张福勇齐德昱胡镜林
- 关键词:人工免疫恶意软件病毒检测反病毒
- 一种采用免疫原理的恶意软件检测方法被引量:1
- 2010年
- 针对现有恶意软件检测方法的不足,提出一种采用免疫原理的恶意软件检测方法。该方法采用程序运行时产生的IRP请求序列作为抗原,定义系统中的正常程序为自体、恶意程序为非自体,通过选定数量的抗体,采用人工免疫原理识别非自体。实验结果表明,此方法在恶意软件的检测方面具有较高的准确率,且误报和漏报率较低。
- 张福勇齐德昱
- 关键词:人工免疫恶意软件反病毒
- 基于IRP的运行时恶意代码检测方法被引量:1
- 2011年
- 目前普遍采用API序列分析Windows系统下的程序行为,进行运行时恶意代码的检测.但API调用序列可以被篡改以逃避检测.为了解决这个问题,文中提出基于IRP(I/O请求包)的运行时恶意代码检测方法.该方法采用n-gram特征分析方法对IRP序列进行分析,将人工免疫系统中的否定选择算法和肯定选择算法相结合,筛选出仅在恶意代码IRP序列中出现的n-gram作为检测器.实验结果表明,文中所提出的方法在误检率及检测效率上均优于否定选择算法和树突细胞算法.
- 张福勇齐德昱胡镜林
- 关键词:人工免疫系统否定选择算法恶意代码检测
- 基于C4.5决策树的嵌入型恶意代码检测方法被引量:8
- 2011年
- 嵌入型恶意代码以其高隐蔽性和难检测性,成为计算机安全的新威胁.文中针对以往的统计分析法没有充分考虑嵌入型恶意代码所占字节数小、信息增益大的特点提出一种采用C4.5决策树的嵌入型恶意代码检测方法,即通过提取训练样本中信息增益最大的500个3-gram作为属性特征,建立决策树,实现对未知嵌入型恶意代码的检测.实验结果表明,文中方法在检测率和分类准确率上均具有明显优势,对感染了嵌入型恶意代码的Word文档的检测率达99.80%.
- 张福勇齐德昱胡镜林
- 关键词:恶意代码检测C4.5决策树BOOSTING算法
- 面向恶意代码检测的人工免疫算法研究
- 针对目前恶意代码检测方法不能满足实际需求的问题,文中提出基于IRP(I/ORequest Packets)的运行时恶意代码检测方法,并将人工免疫系统应用到基于IRP的恶意代码检测中,提出多个具有创新性的人工免疫算法,提高...
- 张福勇
- 关键词:人工免疫系统恶意代码检测否定选择算法克隆选择算法
- 文献传递
- 终身学习的否定选择算法被引量:3
- 2012年
- 针对否定选择算法(NSA)仅模拟了人类适应性免疫系统的中枢耐受过程,而未模拟其外周耐受过程,不具备终身学习能力的问题,提出了具有终身学习能力的否定选择算法(LNSA).LN-SA的学习过程模拟淋巴细胞经历中枢耐受和外周耐受的成熟过程,通过外周耐受实现终身学习,从而提高了抗体区分自体与非自体的能力.与NSA和树突细胞算法(DCA)的比较结果表明,LNSA可有效降低检测误报率,并具有与NSA同样高的检测率.
- 张福勇齐德昱胡镜林
- 关键词:人工免疫系统恶意代码检测否定选择算法终身学习适应性免疫I/O请求包