徐 嬋,劉 新,吳 建,歐陽博宇

(湘潭大學(xué)a.信息工程學(xué)院;b.智能計算與信息處理教育部重點實驗室,湖南湘潭,411105)

基于BP神經(jīng)網(wǎng)絡(luò)的軟件行為評估系統(tǒng)

徐 嬋a,b,劉 新a,b,吳 建a,歐陽博宇a

(湘潭大學(xué)a.信息工程學(xué)院;b.智能計算與信息處理教育部重點實驗室,湖南湘潭,411105)

針對當(dāng)前國內(nèi)信息安全領(lǐng)域?qū)τ趷阂廛浖呐袛嘀悄芑潭容^低的現(xiàn)狀,分析不同類型的惡意軟件,提取典型的危險行為特征,對這些行為進(jìn)行整合并建立一個行為映射庫,將軟件行為映射成數(shù)據(jù),設(shè)計算法將其轉(zhuǎn)換成可用于實際神經(jīng)網(wǎng)絡(luò)訓(xùn)練的數(shù)據(jù)。通過反復(fù)實驗,給出一個適用于訓(xùn)練該類型樣本的BP神經(jīng)網(wǎng)絡(luò),并確定其中各個算子和參數(shù)值。通過訓(xùn)練該神經(jīng)網(wǎng)絡(luò),建立一個判斷可疑軟件是否為惡意軟件的行為評估系統(tǒng)。實驗結(jié)果證明了上述設(shè)計的正確性,系統(tǒng)的漏報率和誤報率僅為1%和3.7%。

信息安全;智能;危險行為;惡意軟件;BP神經(jīng)網(wǎng)絡(luò);行為評估

1 概述

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,各式各樣不同功能的軟件不斷涌現(xiàn),推進(jìn)了數(shù)字化時代的發(fā)展進(jìn)程。但是在軟件發(fā)展同時,安全隱患也越來越大,越來越多的病毒、木馬、間諜軟件(以下簡稱惡意軟件)嚴(yán)重威脅國家、單位、個人的隱私和財產(chǎn)安全?！?012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》[1]報告顯示,我國網(wǎng)站被植入后門等隱蔽性攻擊事件呈增長態(tài)勢,2012年,國家互聯(lián)網(wǎng)應(yīng)急中心共監(jiān)測發(fā)現(xiàn)中國境內(nèi)52 324個網(wǎng)站被植入后門,其中政府網(wǎng)站3 016個,較2011年月均分別增長213.7%和93.1%。2012年,國家互聯(lián)網(wǎng)應(yīng)急中心共監(jiān)測發(fā)現(xiàn)針對中國境內(nèi)網(wǎng)站的釣魚頁面22 308個。網(wǎng)絡(luò)釣魚日漸猖獗嚴(yán)重影響在線金融服務(wù)和電子商務(wù)的發(fā)展,危害公眾利益。利用病毒實施的可持續(xù)攻擊活動頻現(xiàn), 2012年,我國境內(nèi)至少有4.1萬余臺主機(jī)感染了此類特征的木馬程序,對國家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。

這些惡意軟件通常會偽裝成正常軟件,甚至?xí)邆湟欢ǖ恼９δ?從而達(dá)到隱藏惡意行為的目的。因此,軟件安全專家必須通過各種方法來發(fā)現(xiàn)這些隱藏的惡意行為。由于惡意軟件數(shù)目增長太快,僅靠有限的人力難以承擔(dān),研究一種快速而準(zhǔn)確的自動分析技術(shù)成為了目前的熱點問題。因此,本文使用BP神經(jīng)網(wǎng)絡(luò)對軟件行為進(jìn)行自動分析,根據(jù)實際需要建設(shè)病毒行為庫,通過實驗結(jié)果選擇合適的算子并反復(fù)調(diào)整神經(jīng)網(wǎng)絡(luò)中的各個因子,最終得到一個可用的軟件行為評估系統(tǒng)。

2 現(xiàn)有方法

目前對于惡意軟件代碼分析的研究,在專家級別層面,主要采用的是動態(tài)分析法。動態(tài)分析法,是指讓軟件在真實或者虛擬環(huán)境中運行,觀察其行為動作,從而判斷其是否包含惡意代碼[2-3]。動態(tài)分析[4-5]有2類方法,一種白盒跟蹤法,即由分析人員逐條跟蹤程序運行情況,并予以記錄。這種跟蹤方法最準(zhǔn)確,但卻完全依賴分析人員的專業(yè)水平,這種手工分析的方法,效率很低;另一類是黑盒分析法,即只記錄程序運行的結(jié)果,而不考慮這些結(jié)果是由何種代碼產(chǎn)生。在如何獲取程序運行結(jié)果的方式上,又有兩類方法,其一是在可疑程序運行前后對系統(tǒng)分別取快照,比較兩者的不同。但是當(dāng)惡意代碼的行為是非持久性動作時,如讀取某些文件內(nèi)容并將其發(fā)送出去,或是將本機(jī)設(shè)置為臨時服務(wù)器,這類行為不會對系統(tǒng)造成永久的改變,因此,這種方法具有失效的可能性。另一種是介入到可疑程序運行的過程中,監(jiān)視其調(diào)用的系統(tǒng)API函數(shù),將行為記錄結(jié)果與行為特征庫進(jìn)行比對,當(dāng)樣本行為的特征類似于病毒行為特征時,就判定該樣本存在惡意代碼。這種方法可以完全實時地檢測到惡意代碼運行過程中的全部行為,因此,被稱為基于行為的動態(tài)檢測方法。

這種基于行為的動態(tài)檢測法易于實現(xiàn)自動化分析,其難點主要集中于對捕獲的行為進(jìn)行綜合分析上。目前主流的方法是利用行為規(guī)則庫來匹配一個軟件是否存在危險行為[6-7],從而進(jìn)一步判斷是否為惡意軟件。然而不同的危險行為,對于系統(tǒng)的危害等級存在著較大的差別,如同為危險行為,在系統(tǒng)目錄下寫一個普通的文本文件與寫PE文件相比,對于系統(tǒng)的危害程度差別很大。并且某些危險行為僅由一個動作完成,而有些危險行為卻需要很多個動作的協(xié)同合作,才能達(dá)到破壞系統(tǒng)或者竊取隱私的目的。而且即便是某些正常的軟件也可能存在一些對系統(tǒng)有危險的行為,典型的例子就是各類安全軟件。這種差異導(dǎo)致單純通過分析一個軟件是否具有某一單一的危險行為來判斷整個軟件是否為惡意軟件存在較大的誤差。比較穩(wěn)妥的辦法是對所有捕獲的危險行為進(jìn)行綜合評定打分,最后給出評判結(jié)果,這一過程完全要模擬安全專家的人工分析過程,這需要較高的人工智能水平,目前仍處于研究階段。

本文通過查找已有的研究資料,使用現(xiàn)有的行為抓取工具,建立了一個較為完善的危險行為特征庫。然后結(jié)合BP神經(jīng)網(wǎng)絡(luò)的相關(guān)知識,建立了一個軟件行為評估系統(tǒng),通過對已知樣本的訓(xùn)練達(dá)到對于未知軟件是否為惡意軟件的判斷。

人工神經(jīng)網(wǎng)絡(luò)是由大量簡單的處理單元連接組成的非線性系統(tǒng),由于其具有良好的非線性映射能力,自學(xué)習(xí)能力以及泛化性,在模式識別、智能控制等領(lǐng)域得到了成功的應(yīng)用[8]。BP神經(jīng)網(wǎng)絡(luò)是應(yīng)用最廣泛的神經(jīng)網(wǎng)絡(luò)之一,其學(xué)習(xí)過程分為前向傳播與反向傳播兩部分[9],采用梯度下降算法調(diào)整系統(tǒng)參數(shù)。前向傳播使輸入信息在相應(yīng)權(quán)值、閾值與激活函數(shù)的作用下傳遞到輸出層,當(dāng)輸出結(jié)果與期望值的誤差大于指定精度時,將敏感性進(jìn)行反向傳播,逐級修正各層的權(quán)值與閾值;如此反復(fù)迭代。最后使誤差達(dá)到指定精度。BP神經(jīng)網(wǎng)絡(luò)是多層結(jié)構(gòu),由網(wǎng)絡(luò)節(jié)點和節(jié)點之間的連接組成,整個神經(jīng)網(wǎng)絡(luò)由一個輸入層,一個輸出層和至少一個隱層組成,每層包含若干個節(jié)點,其中隱層節(jié)點以及輸出層節(jié)點都有對應(yīng)的閾值,網(wǎng)絡(luò)間各節(jié)點之間具有連接權(quán)值。整個BP算法的過程,就是通過誤差函數(shù)計算實際輸出與樣本期望輸出之間的誤差,以此進(jìn)行反向傳播,通過反復(fù)調(diào)整權(quán)值和閾值,使誤差達(dá)到可接受范圍。

3 危險行為特征庫的設(shè)計

定義1 危險行為

針對病毒,蠕蟲,木馬的特點,將在系統(tǒng)關(guān)鍵位置進(jìn)行添加或者刪除項操作,調(diào)用、注入系統(tǒng)特殊進(jìn)程,打開特定端口,監(jiān)控鍵盤鼠標(biāo)消息,修改、替換或刪除系統(tǒng)文件,修改可執(zhí)行文件路徑,向特殊地址發(fā)送系統(tǒng)文件等行為,劃分為危險行為。

定義2 惡意軟件

具有一個或多個危險行為,通過這些危險行為的組合或者疊加最終達(dá)到破壞系統(tǒng),竊取系統(tǒng)用戶信息,監(jiān)控用戶動作的目的的軟件。

根據(jù)危險行為的定義,將軟件可能對系統(tǒng)產(chǎn)生危害的動作分為8大類,包括注冊表操作、文件操作、進(jìn)程創(chuàng)建或關(guān)閉、系統(tǒng)函數(shù)調(diào)用、服務(wù)操作、網(wǎng)絡(luò)操作、消息截取、鍵盤鼠標(biāo)等設(shè)備監(jiān)控。其中,注冊表的操作分為特殊注冊表項的刪除,更改,添加;文件操作分為特殊文件的創(chuàng)建,讀,寫,刪除操作;函數(shù)調(diào)用為系統(tǒng)API函數(shù)的特殊調(diào)用;服務(wù)操作分為服務(wù)的創(chuàng)建、關(guān)閉和刪除;網(wǎng)絡(luò)操作分為惡意網(wǎng)站的訪問、打開特殊端口、特殊鏈入、鏈出;特征屬性主要有添加自啟動、創(chuàng)建、修改、添加、刪除注冊表項、在系統(tǒng)文件夾創(chuàng)建文件、刪除系統(tǒng)文件、更改系統(tǒng)文件、注入系統(tǒng)進(jìn)程、創(chuàng)建、替換、刪除、關(guān)閉系統(tǒng)進(jìn)程、打開特定網(wǎng)絡(luò)端口、訪問特殊網(wǎng)站、向特定網(wǎng)站傳送文件、關(guān)閉或刪除服務(wù)、開啟鼠標(biāo)鍵盤鉤子等。

3.1 行為歸納

本文利用WSyscheck,SReng,Regmon,Filemon等行為捕獲工具,跟蹤了數(shù)千個惡意軟件,采集到大量的危險行為。通過綜合分析與去重,最后歸納為602項典型的危險行為,其中注冊表行為93項,文件行為191項,函數(shù)調(diào)用行為56項,hook行為2項,消息行為5項,網(wǎng)絡(luò)行為25項,進(jìn)程行為155項,服務(wù)行為75項。這602項行為中的某些行為項還代表具有相同特征的一類行為。

在將這些行為整合建立了一個危險行為特征庫后,為了方便將軟件的各行為表示成一個樣本,本文建立了一個映射表,映射表中的每一項代表一種行為動作,整個映射表包含得到的總共602項行為以及這8類行為的正常表示,總計有610項。這樣對于任意一個軟件,其任一行為都可以通過映射表中的某項來表示,由于篇幅的限制,本文只給出部分行為的特征映射,如表1所示。

表1 部分行為映射

以上行為特征均以XML語言描述,具體的描述方法將另文詳述。

3.2 映射算法

取具有代表性的惡意軟件和正常軟件,當(dāng)一個軟件運行時,捕獲該軟件的所有行為,對應(yīng)行為映射表,保存相應(yīng)的行為所對應(yīng)的值。為了能夠準(zhǔn)確表示正常軟件的行為權(quán)值,在映射表中對于每類行為項設(shè)計了一個正常情況下的映射值。例如,若某一軟件沒有文件項的操作或無危險文件操作行為,則置樣本文件項值為映射表第95項的值。對于同樣類型的行為具有多項的軟件,將這幾項行為一起映射成訓(xùn)練樣本,對于多次出現(xiàn)同一種行為的,只取一次。通過以上方法的使用,每一個軟件,都可以由一組數(shù)字表示成一個樣本。

對于任何一個軟件,將其行為轉(zhuǎn)換成樣本所用的映射算法如算法1所示。

算法1

(1)分析軟件的行為數(shù)目N。

(2)根據(jù)定義2,對于每一個行為Ti(1≤i≤N),分析Ti是否為惡意行為。若是惡意行為,保存其對應(yīng)的映射表中的數(shù)字,i←i+1。

(3)重復(fù)步驟(2)直到i＞N。

(4)分析保存的數(shù)字,若不存在映射表中某一類行為所對應(yīng)區(qū)間的數(shù)字,保存該行為區(qū)間初始值。如:若不存在文件行為或無惡意文件行為,即保存的數(shù)字中不存在一個96～286之間的數(shù)字,則保存一個數(shù)字95,表示文件項的行為為正常行為。其他區(qū)間分別表示如下:注冊表(1～94),文件(95～286),網(wǎng)絡(luò)(287～312),hook (313～315),函數(shù)調(diào)用:(316～372),服務(wù)(373～448),進(jìn)程(449～605),消息(606～610)。

(5)輸出保存的數(shù)字所對應(yīng)的映射項的初始權(quán)值,將其作為樣本值保存。

(6)對于為正常軟件,置期望輸出為0,對于惡意軟件,置期望輸出值為1。

3.3 樣本訓(xùn)練

通過樣本采集算法,運行具有代表性的各類軟件,得到的樣本的映射數(shù)據(jù),由于篇幅限制,本文給出部分樣本映射數(shù)據(jù),如表2所示。

表2 部分樣本映射數(shù)據(jù)

得到樣本數(shù)據(jù)后,再通過算法2將其轉(zhuǎn)化成樣本集合。

算法2

(1)讀取樣本個數(shù)N。

(2)定義一個N行610列的數(shù)組StudyData,將數(shù)組元素值初始化為0。(3)對于樣本S1到SN,執(zhí)行步驟(4)～步驟(6)。(4)從樣本文件中讀取樣本Si(1≤i≤N)的映射數(shù)據(jù)個數(shù)m。

(5)對于數(shù)據(jù)a1～am,執(zhí)行以下步驟:

1)對于Si中讀取的第j個數(shù)據(jù)aj,將其轉(zhuǎn)化成數(shù)字numj。

2)將樣本數(shù)組的第i行第numj列的數(shù)字賦值為1。

3)跳轉(zhuǎn)到步驟(5.1),直到j(luò)大于numj。

(6)跳轉(zhuǎn)到步驟(4),直到i大于N。

通過上述算法,N個樣本全部存在了數(shù)組StudyData中,每行就是一個樣本。

3.4 神經(jīng)網(wǎng)絡(luò)的構(gòu)建

根據(jù)參考文獻(xiàn)[10-12]的介紹,本文結(jié)合實際應(yīng)用情況,建立一個如圖1所示的BP神經(jīng)網(wǎng)絡(luò)。該神經(jīng)網(wǎng)絡(luò)由一個輸入層、一個隱層、一個輸出層組成。其中,輸入層元素個數(shù)為610,隱層元素個數(shù)為610,輸出層元素數(shù)目為1,其中,Vkl(k=1,1≤l≤610)表示隱層各節(jié)點與輸出層的權(quán)值;Wij(1≤i≤610,1≤k≤610)表示輸入層各節(jié)點與隱層各節(jié)點的連接權(quán)值。

圖1 BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

3.5 BP神經(jīng)網(wǎng)絡(luò)中各參數(shù)的選擇

采用BP算法來訓(xùn)練樣本時,BP神經(jīng)網(wǎng)絡(luò)的正向傳播通過輸出轉(zhuǎn)換函數(shù)來調(diào)整,反向傳播通過權(quán)值閾值調(diào)整實現(xiàn)。權(quán)值調(diào)整由式(1)、式(2)來調(diào)整[10]。

其中,pl為學(xué)習(xí)過的樣本集次數(shù);x″和x′分別為隱層至輸出層的輸出函數(shù)與輸入層與隱層的輸出函數(shù)的導(dǎo)數(shù);η為調(diào)整因子。在本文中,輸出層至隱層的轉(zhuǎn)換因子由a表示,隱層至輸入層轉(zhuǎn)換因子用b表示。3.5.1 輸入層到隱層的輸出函數(shù)選擇

根據(jù)參考文獻(xiàn)[11-12],本文采用了Sigmoid函數(shù):f(x)=1/(1+e-x)。

3.5.2 輸出函數(shù)的選擇

由于沒有可供借鑒的輸出函數(shù)選擇方式,對于輸出函數(shù)的選擇只能通過實驗獲得。對于同樣的樣本,訓(xùn)練30 000次后,實驗得出數(shù)據(jù)如表3所示。其中,f(x)=1/(1+exp(-x))為Sigmoid函數(shù),其余均為線性函數(shù)。

表3 輸出函數(shù)選擇實驗數(shù)據(jù)

綜合以上實驗數(shù)據(jù),最終選擇了線性函數(shù)y= 1.0+x/5 000。

3.5.3 調(diào)整因子的選擇

輸出層至隱層的調(diào)整因子為a,隱層至輸入層調(diào)整因子為b,對于已經(jīng)選擇好的輸出函數(shù),在設(shè)置收斂到總誤差為0.75(選取該誤差能較快看到實驗效果)時,所用時間的單位選擇秒(s)時,收斂所用時間的實驗結(jié)果如圖2和圖3所示。

圖2 調(diào)整因子a對收斂時間的影響

圖3 調(diào)整因子b對收斂時間的影響

實驗結(jié)果顯示,在取a=1.6,b=1.2時,收斂速度最快。

4 實驗結(jié)果及分析

對于所取的具有代表性的805個樣本,經(jīng)過多次實驗,在取參數(shù)a=1.6,b=1.2時,能最好地滿足訓(xùn)練不趨于最小化的同時誤差在預(yù)期范圍內(nèi)。得出如輸入層與隱層之間對應(yīng)的權(quán)值如表4所示,隱層到輸出層的權(quán)值如表5所示,隱層閾值如表6所示,輸出層閾值為-14.276 027。限于篇幅,均只列出部分有代表意義的數(shù)據(jù)。

對于所得到的神經(jīng)網(wǎng)絡(luò),從國內(nèi)某著名安全網(wǎng)站的病毒樣本區(qū)[13]選取493個樣本作為測試樣本(不與實驗樣本中的樣本重復(fù)),樣本類型及數(shù)目如表7所示。

將163個正常軟件與上述樣本混合,利用本神經(jīng)網(wǎng)絡(luò)進(jìn)行測試,誤報6個,誤報率為0.037;僅漏報5個,漏報率為0.01。說明本BP神經(jīng)網(wǎng)絡(luò)設(shè)計是成功的。另外,在大多數(shù)文獻(xiàn)中,反向調(diào)整因子b的取值應(yīng)在0.1～0.9之間,但筆者通過反復(fù)實驗發(fā)現(xiàn)該值為1.2時效果反而最好,具體原因還有待進(jìn)一步分析。

表4 輸入層與隱層權(quán)值(用二維數(shù)組存儲)

表5 隱層至輸出層權(quán)值(用一維數(shù)組存儲)

表6 輸出層閾值(用一維數(shù)組存儲)

表7 惡意軟件匯總

5 結(jié)束語

本文嘗試將BP神經(jīng)網(wǎng)絡(luò)應(yīng)用于信息安全領(lǐng)域。先將軟件行為映射成可以用于訓(xùn)練的樣本,設(shè)計并實現(xiàn)了一個以軟件行為為輸入神經(jīng)元的BP神經(jīng)網(wǎng)絡(luò),該神經(jīng)網(wǎng)絡(luò)能較準(zhǔn)確地通過軟件的行為自動評估該軟件是否為惡意軟件。同時編制了一個惡意軟件行為自動分析系統(tǒng),分別實現(xiàn)了對軟件行為的抓取和對行為的分析部分。其中的行為分析部分即利用本文所述方法實現(xiàn)。目前該系統(tǒng)已用于某安全部門的實際工作中,用戶反映情況良好,具有較高的實際應(yīng)用價值。但自動分析結(jié)果與技術(shù)人員人工分析結(jié)果相比,準(zhǔn)確性上仍然有一定的差距,下一步將嘗試應(yīng)用其他人工智能算法(如SVM,KNN,ELM等)來探索惡意行為的自動分析方法。

[1] 國家互聯(lián)網(wǎng)應(yīng)急中心.2012年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢

綜述[EB/OL].(2013-03-19).http://VVV.cnnic.net. cn/gjymaqzx/aqzx-hydt/201303/t20130322_39118.htm.

[2] Moskovitch R,Feher C,Elovici Y.Source Unknown Malcode Detection——A Chronological Evaluation[C]// Proc.of IEEE International Conference on Intelligence and Security Informatics.[S.l.]:IEEE Press,2008:267-268.

[3] Yu Wei,Boyer C,Chellappan S,et al.Peer-to-Peer System Based Active Worm Attracks:Modeling and Analysis[C]//Proc.of ICC'05.[S.l.]:IEEE Press, 2005:295-300.

[4] 敬 銳.惡意代碼檢測系統(tǒng)的研究與實現(xiàn)[D].成都:電子科技大學(xué),2010.

[5] 李 明.基于網(wǎng)絡(luò)行為分析的未知惡意代碼檢測系統(tǒng)的研究與實現(xiàn)[D].成都:電子科技大學(xué),2009.

[6] 李舟軍.基于沙盒仿真的可執(zhí)行程序惡意代碼檢測工具的研究與實現(xiàn)[D].長沙:國防科學(xué)技術(shù)大學(xué),2008.

[7] 張小康.基于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)的惡意代碼檢測技術(shù)研究[D].合肥:中國科學(xué)技術(shù)大學(xué),2009.

[8] 譚 駿.基于自適應(yīng)BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量識別算法[J].電子科技大學(xué)學(xué)報,2012,41(4):580-585.

[9] Sedki A,Ouazar D,Mazoudi E E I.Evolving Neural Network Using Real Coded Genetic Algorithm for Daily Rainfall-runoff Forecasting[J].Expert Systems with Applications,2009,36(3):4523-4527.

[10] 馮 定.神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)[M].北京:科學(xué)出版社,2006.

[11] 胥小波.基于并行BP神經(jīng)網(wǎng)絡(luò)的路由查找算法[J].通信學(xué)報,2012,32(2):61-68.

[12] 賈立山.基于隨機(jī)參數(shù)調(diào)整的改進(jìn)反向傳播學(xué)習(xí)算法[J].同濟(jì)大學(xué)報,2011,39(5):751-756.

[13] 卡飯論壇.病毒樣本[EB/OL].http://bbs.kafan.cn/ forum-31-1.html.

編輯 金胡考

Software Behavior Evaluation System Based on BP Neural Network

XU Chana,b,LIU Xina,b,WU Jiana,OUYANG Bo-yua
(a.College of Information Engineering;b.Key Laboratory of Intelligent Computing& Information Processing,Ministry of Education,Xiangtan University,Xiangtan 411105,China)

In current,since judging the malware in information security area in China has relatively low intelligence,this paper analyzes a large number of malicious softwares,and extracts the typical characteristics of dangerous behavior,then integrates these acts and builds a mapping library for these behaviors,which is used for transfering the behavior into data. It also designs an algorithm to make the data can directly be used for training.Through myriads of experiments,a BP neural network suitable for training type is designed,and each operator and parameter are determined.By training the neural network,this paper establishes a system to judge whether the suspicious one is a malware.Experimental result shows that this idea is right,and the false alarm rate and false negative rate are 1% and 3.7%.

information security;intelligence;risk behavior;malware;BP neural network;behavior evaluation

1000-3428(2014)09-0149-06

A

TP309

10.3969/j.issn.1000-3428.2014.09.030

湖南省自然科學(xué)基金資助項目(12JJ3066);教育部重點實驗室開放課題基金資助項目(2013IM02);湖南省“十二五”重點學(xué)科建設(shè)基金資助項目。

徐 嬋(1988-),女,碩士,主研方向:信息安全;劉 新(通訊作者),副教授、博士;吳 建、歐陽博宇,碩士。

2013-07-24

2013-10-28E-mail:liuxn_new@163.com