代码图像化技术被提出后在Android恶意软件研究领域迅速普及。针对使用单个DEX文件转换而成的代码图像表征能力不足的问题，提出了一种基于代码图像合成的Android恶意软件家族分类方法。首先，将安装包中的DEX、XML与反编译生成的JAR文件进行灰度图像化处理，并使用Bilinear插值算法来放缩处理不同尺寸的灰度图像，然后将三张灰度图合成为一张三维RGB图像用于训练与分类。在分类模型上，将软阈值去噪模块与基于Split-Attention的ResNeSt相结合提出了STResNeSt。该模型具备较强的抗噪能力，更能关注代码图像的重要特征。针对训练过程中的数据长尾分布问题，在数据增强的基础上引入了类别平衡损失函数（CB Loss），从而为样本不平衡造成的过拟合现象提供了解决方案。在Drebin数据集上，合成代码图像的准确率领先DEX灰度图像2.93个百分点，STResNeSt与残差神经网络（ResNet）相比准确率提升了1.1个百分点，且数据增强结合CB Loss的方案将F1值最高提升了2.4个百分点。实验结果表明，所提方法的平均分类准确率达到了98.97%，能有效分类Android恶意软件家族。

不法分子利用洋葱路由器（Tor）匿名通信系统从事暗网犯罪活动，为社会治安带来了严峻挑战。Tor网站流量分析技术通过捕获分析Tor匿名网络流量，及时发现隐匿在互联网上的违法行为进行网络监管。基于此，提出一种基于自注意力机制和时空特征的Tor网站流量分析模型——SA-HST。首先，引入注意力机制为网络流量特征分配不同的权重以突出重要特征；然后，利用并联结构多通道的卷积神经网络（CNN）和长短期记忆（LSTM）网络提取输入数据的时空特征；最后，利用Softmax函数对数据进行分类。SA-HST在封闭世界场景下能取得97.14%的准确率，与基于累积量模型CUMUL和深度学习模型CNN相比，分别提高了8.74个百分点和7.84个百分点；在开放世界场景下，SA-HST的混淆矩阵各项评价指标均稳定在96%以上。实验结果表明，自注意力机制能在轻量级模型结构下实现特征的高效提取，SA-HST通过捕获匿名流量的重要特征和多视野时空特征用于分类，在模型分类准确率、训练效率、鲁棒性等多方面性能均有一定优势。