空軍工程大學宋亞飛博士課題組對智能化惡意代碼檢測方法展開了研究與分析,成果以“一種基于特征融合的惡意代碼快速檢測方法(A Fast Malicious Code Detection Method Based on Feature Fusion)”為題發表在《電子學報》2023年1期。
内容簡介
惡意代碼是指經過人為設計執行惡意行為或攻擊的軟體,也被稱為惡意軟體。随着惡意代碼對抗技術的發展,惡意攻擊者通過加殼、代碼混淆等技術繁衍大量惡意代碼變種,大量的惡意代碼不僅對使用者日常生活産生嚴重影響,甚至影響了國家網絡的安全,阻礙網絡命運共同體的建構。是以,如何準确、高效地對惡意代碼及其變種進行檢測、分類成為了該領域的研究熱點。
基于可視化的惡意代碼檢測方法被證明是一種能夠有效識别惡意代碼及其變種的新方法。但是,目前相關研究着眼于提升惡意代碼識别準确率而忽略檢測時效性。針對這個問題,本文提出了一種基于特征融合的惡意代碼快速檢測方法,旨在提升識别準确率的同時縮短檢測時間。該方法以深度神經網絡為架構,采取了子產品化設計思想,提出了一種特征提取能力強且參數量小的輕量化卷積神經網絡結構。它根據同一惡意家族中的圖像紋理特征具有相似性,不同惡意家族中的圖像紋理特征具有差異性的特點,提取惡意代碼圖像的紋理特征并進行分類。
該方法由資料預處理和模型建構兩個部分組成,其模型結構如圖1所示。首先,通過可視化方法将惡意代碼映射為灰階圖像,并通過雙線性插值算法對惡意圖像進行尺寸歸一化以消除惡意代碼圖像尺寸對深度學習模型的影響。然後,使用資料增強技術解決惡意代碼資料集類不平衡問題。其次,融合多尺度惡意代碼特征增加特征的多樣性,并結合通道注意力機制增強特征的魯棒性以及關鍵特征的表達。最後,訓練深度神經網絡模型實作對惡意代碼變種的分類。
圖1 模型結構示意圖
資料預處理部分包括惡意代碼可視化、圖像尺寸歸一化和資料增強。惡意代碼可視化是将惡意代碼映射為灰階圖像的過程。在惡意代碼可視化過程中,首先将給定的惡意代碼二進制檔案以8位無符号整數向量的方式進行讀取。然後,以8位二進制數為機關轉化為10進制整形(範圍為0~255)。其次,根據惡意代碼檔案大小确定行寬并将其轉換為2維數組。最後,以二維數組中每一個元素作為圖像的灰階值,将二維數組映射為灰階圖像。由于經典卷積神經網絡中全連接配接層權值矩陣的限制,輸入模型的特征尺寸必須保持一緻,即輸入的惡意代碼圖像尺寸必須相同。本文采用雙線性插值算法對圖像尺寸進行歸一化以確定歸一化後的圖像盡可能保持原有的紋理特征。最後,使用資料增強技術通過對惡意代碼圖像的變換,增加少數類的樣本數量,進而抑制資料集樣本類不平衡對模型造成的影響。
模型建構部分的核心設計思想是增強模型的特征提取能力,使用少量的神經網絡層數獲得較深的神經網絡的特征提取效果,通過減少神經網絡參數、降低浮點運算量來提升模型運算速度,在提高惡意代碼分類準确率的同時提升惡意代碼檢測速度。模型主體由CBR層、最大池化層、FFSE子產品、以及全連接配接層構成。其中,CBR層是本文模型的基礎單元,其包括卷積層、BN(Batch Normalization)層和Relu(Rectified linear unit)激活函數。它是傳統卷積層的一種改進,能夠加速模型的收斂。
圖2 FFSE子產品結構示意圖
FFSE子產品是網絡結構的核心,它包括特征融合子產品和通道注意力機制子產品,其結構如圖2所示。特征融合子產品通過同時使用不同大小的卷積核提取圖像的多尺度的特征,并将這些特征相融合以獲得兼顧局部特征與全局特征的總特征。在特征提取的過程中,特征圖是由每個通道提取的特征結合得到,但并非每個通道都能進行有效的特征提取。通道注意力機制能夠根據各個通道的特征提取效果計算各個通道的權重,将通道注意力集中在圖像的主要特征上,以增強惡意代碼圖像的關鍵特征表達,提升惡意代碼檢測和分類的精度。
實驗結果表明該方法分類準确率高且參數量小、檢測時效性高,優于目前主流的惡意代碼檢測方法。
表1不同惡意代碼分類方法的實驗結果
作者簡介
王碩,空軍工程大學碩士研究所學生。主要研究方向為智能資訊處理和惡意軟體檢測。
王堅,空軍工程大學防空反導學院副教授。主要研究方向為智能資訊處理和惡意軟體檢測。
王亞男,空軍工程大學防空反導學院講師。主要研究方向為網絡資訊安全和人工智能。
宋亞飛,空軍工程大學防空反導學院副教授。主要研究方向為機器學習及其在目辨別别和入侵檢測等領域中的應用。
論文資訊
一種基于特征融合的惡意代碼快速檢測方法
王碩, 王堅, 王亞男, 宋亞飛
電子學報, 2023, 51(1): 57-66.
DOI: 10.12263/DZXB.20211701