基于深度可分离卷积的多神经网络恶意代码检测模型_蒋瑞林.pdf
《基于深度可分离卷积的多神经网络恶意代码检测模型_蒋瑞林.pdf》由会员分享,可在线阅读,更多相关《基于深度可分离卷积的多神经网络恶意代码检测模型_蒋瑞林.pdf(7页珍藏版)》请在咨信网上搜索。
1、2023-05-10计算机应用,Journal of Computer Applications2023,43(5):1527-1533ISSN 1001-9081CODEN JYIIDUhttp:/基于深度可分离卷积的多神经网络恶意代码检测模型蒋瑞林,覃仁超*(西南科技大学 计算机科学与技术学院,四川 绵阳 621010)(通信作者电子邮箱3481665 )摘要:针对传统的恶意代码检测方法存在成本过高和检测结果不稳定等问题,提出一种基于深度可分离卷积的多神经网络恶意代码检测模型。该模型使用深度可分离卷积(DSC)、SENet(Squeeze-and-Excitation Network)通道
2、注意力机制和灰度共生矩阵(GLCM),通过三个轻型神经网络与灰度图像纹理特征分类并联检测恶意代码家族及其变种,将多个强分类器检测结果通过朴素贝叶斯分类器融合,在提高检测准确率的同时减少网络计算开销。在MalVis+良性数据的混合数据集上的实验结果表明,该模型对恶意代码家族及其变种的检测准确率达到 97.43%,相较于ResNet50、VGGNet模型分别提高了6.19和2.29个百分点,而它的参数量只有ResNet50模型的68%和VGGNet模型的13%;在malimg数据集上该模型的检测准确率达到99.31%。可见,所提模型检测效果较好,且参数量也有所降低。关键词:恶意代码;神经网络;深度
3、可分离卷积;SENet;通道注意力机制;灰度共生矩阵中图分类号:TP309.5 文献标志码:AMulti-neural network malicious code detection model based on depthwise separable convolutionJIANG Ruilin,QIN Renchao*(School of Computer Science and Technology,Southwest University of Science and Technology,Mianyang Sichuan 621010,China)Abstract:Concern
4、ing of the problems of high cost and unstable detection results of the traditional malicious code detection methods,a multi-neural network malicious code detection model based on depthwise separable convolution was proposed.By using the Depthwise Separable Convolution(DSC),SENet(Squeeze-and-Excitati
5、on Network)channel attention mechanism and Grey Level Co-occurrence Matrix(GLCM),three lightweight neural networks were connected with GLCM in parallel to detect malicious code families and their variants,then the detection results of multiple strong classifiers were fused via Naive Bayes classifier
6、 to improve the detection accuracy while reducing the computational cost.Experimental results on the hybrid dataset of MalVis+benign data show that the proposed model achieved the accuracy of 97.43%in the detection of malicious code families and their variants,which was 6.19 and 2.29 percentage poin
7、ts higher than those of ResNet50 and VGGNet models respectively,while its parameter quantity is only 68%of that of ResNet50 model and 13%of that of VGGNet model.On malimg dataset,the detection accuracy of this model achieved 99.31%.In conclusion,the proposed model has good detection effect with redu
8、ced parameters.Key words:malicious code;neural network;depthwise separable convolution;SENet(Squeeze-and-Excitation Network);channel attention mechanism;Grey Level Co-occurrence Matrix(GLCM)0 引言 根据2021年中国国家互联网应急中心给出的互联网网络安全监测数据分析报告,捕获恶意程序样本数量约 2 307万个,日均传播次数达582万余次1。全球范围内,根据卡巴斯基安全网络报告,在2021年发生了1 098
9、 968 315次针对在线设备的攻击和62 577 326次恶意代码安全事件2。恶意代码泛滥已经造成了巨大的经济损失,甚至严重威胁到国家安全和社会稳定。在恶意代码检测方法不断迭代的同时,恶意代码为了规避检测产生各种变种,使得目前恶意代码的检测难度增大。如何高效检测恶意代码及其变种成为恶意代码检测领域面临的主要挑战。目前恶意代码检测技术主要分为静态特征分析技术和动态模拟运行技术两个大类。静态特征分析技术的原理是对待检测代码进行逆向分析以确认其执行逻辑;而动态模拟运行技术的原理是通过安全的沙盒模拟真实环境下待检测代码运行并分析其行为特征。它们都是基于特征的检测方法,分别面临代码混淆和沙盒逃逸等问题
10、,使得检测误报率高,费时费力。鉴于上述情况,文献 3 中提出将恶意代码图像化并使用神经网络分类检测的方式。基于神经网络的恶意代码检测技术是恶意代码检测领域的新兴方向,该技术能高效检测隐藏代码和混淆恶意软件,且成本低,是目前恶意代码检测的有效手段之一。传统神经网络不断加深拓宽的网络深度和宽度一定程度上可以提高恶意代码识别准确率,但存在梯度爆炸、参数量剧增等问题,需要耗费大量的计算成本。针对上述问题,本文提出了一种基于深度可分离卷积的多神经网络恶意代文章编号:1001-9081(2023)05-1527-07DOI:10.11772/j.issn.1001-9081.2022050716收稿日期:
11、2022-05-20;修回日期:2022-12-22;录用日期:2023-01-18。基金项目:四川省科技计划项目(2022YFG0339)。作者简介:蒋瑞林(1998),男,陕西咸阳人,硕士研究生,CCF会员,主要研究方向:网络空间安全;覃仁超(1978),男,四川武胜人,副教授,博士,主要研究方向:网络安全、智能计算。第 43 卷计算机应用码检测模型。本文主要工作如下:1)基于Stacking算法与预测模型原理提出了融合多模型的恶意代码检测方法,使用朴素贝叶斯(Naive Bayes)算法作为次级学习器融合最终结果,提高模型检测准确率;2)优化了 MobileNet、ShuffleNet
12、和 Xception 三个轻量级神经网络模型,引入深度可分离卷积来杜绝由于深度和并联个数过多导致的梯度爆炸和内存占用过高问题;3)基于恶意代码及其家族代码复用性高的原理,提出一种基于LGBM(Light Gradient Boosting Machine)的图片纹理特征分类恶意代码的检测方法,并将其加入检测模型增加检测特征提高检测准确率。1 相关工作 1.1基于静态特征分析的恶意代码检测静态特征分析技术是指将可执行程序进行反汇编、反编译,将获取并分析的代码特征作为静态检测特征。主流研究常将静态特征与机器学习相结合来检测恶意代码。ahin等4提出了一种提取程序权限调用特征作为静态特征,使用K最近
13、邻算法和朴素贝叶斯算法作为分类器的检测方法;Lu等5提出了一种基于敏感权限许可结合随机森林(Random Forest,RF)分类算法构建的双层检测模型;Du等6提出了一种基于API调用信息和数据流信息结合支持向量机(Support Vector Machine,SVM)构建的静态特征检测模型。静态特征分析主要是以权限调用为主,而单一的权限调用特征并不能描述一个恶意代码的全部行为;而且在遇到代码混淆或代码加壳逃逸手段时,该技术自身存在的短板会导致检测失效或耗时过多等问题。1.2基于动态模拟特征的恶意代码检测动态模拟运行技术是指对代码执行过程进行分析,在沙盒中执行待检测代码,将代码运行的行为生成
14、日志,包括代码对系统文件操作信息、上传下行流量、动态链接库调用和进程访问情况等,从中提取并分析特征作为动态检测特征。主流研究常将动态模拟运行获取的动态特征与分类算法结合来检测恶意代码。张东等7提出了一种基于动态特征结合多种机器学习的恶意代码检测方式;王宁等8提出了一种基于系统函数调用信息结合多种机器学习框架的检测方式。由于沙盒逃逸技术、反沙盒检测和沙盒原生漏洞等,导致该检测技术对拥有反沙盒技术的恶意代码检测效率低下。1.3基于神经网络的恶意代码检测基于神经网络的检测技术的主要检测思路是将待检测代码转换成矩阵或向量,再映射成图像,使用神经网络对图像进行分类。待检测代码映射成图像的方法主要包括:将
15、待检测代码的可执行文件的二进制矩阵映射成灰度图像9、将待检测代码在动态模拟运行时 API调用转换成向量矩阵后映射成图像10等。Xu 等11将程序控制流图(Control Flow Graph,CFG)和数据流图(Data Flow Diagram,DFG)转换成矩阵后映射为图像,再使用传统卷积神经网络(Convolutional Neural Network,CNN)模型微调后分类;Bakour 等12提出将程序函数声明字段作为数据集,使用自然语言处理模型进行分类。除了上述文献中对经典模型的微调作为分类模型,部分研究人员还提出了融合多个模型的想法。王国栋等13提出的CNN-BiLSTM检测模型
16、融合了CNN和长短期记忆(Long Short-Term Memory,LSTM)经典模型;eponis等14针对目前热门的融合模型,对 7种融合模型进行了对照实验,分析了不同融合模型的优劣;Lad 等15给出了 VGG16、ResNet50、InceptionV3和Xception四个经典神经网络模型与CNN+SVM混合模型的对比;Cui等16结合CNN和非支配排序遗传算法(NSGA-)构建分类检测模型。上述研究结果表明,多个模型融合比单神经网络或机器学习的组合构成的检测模型准确率更高。文献 17 中提出并证明:通过并联多个卷积神经网络同样可以提高恶意代码识别效率,但过多的并联也会导致模型梯
17、度爆炸、参数量剧增等问题,需要耗费大量的计算成本。2 基础理论 2.1深度可分离卷积与常规的卷积操作相比,深度可分离卷积(Depthwise Separable Convolution,DSC)的参数量和运算成本更低,是轻量级神经网络能高效运行的核心因素。DSC分为逐通道卷积(depthwise convolution)和逐点卷积(pointwise convolution)两个过程,卷积内部结构如图1所示。DSC过程的计算量是常规卷积的1/3。2.2SENet通道注意力机制SENet(Squeeze-and-Excitation Network)通道注意力机制常被用于CNN中,对图像中的重要
18、信息部分进行可视化18,SENet内部结构如图2所示。SeNet通过提高整个特征层次结构中空间编码的质量来增强 CNN 的表示能力,显式建模通道之间的相互依赖关系以自适应地重新校准通道特征响应。注意力机制可对特征进行校正,校正后的特征可保留有价值的特征,剔除没价值的特征。SENet通道注意力机制分为Squeeze和Excitation两个过程,分别如式(1)、(2)所示。Squeeze 首 先 通 过 全 局 平 均 池 化(Global Average Pooling,GAP)将输入的CHW的特征图压成C11的特征图,这个结果能表示全局信息。该过程如式(1)所示:zC=Fsq(uC)=1H
19、Wi=1H j=1WuC(i,j)(1)Excitation 对 Squeeze过程的结果进行全连接操作,得到C/r(r为降维参数)维的向量,然后进行ReLU激活,再对激活后的结果进行一次全连接,将C/r维的向量变回C维向量,再进行 sigmoid 激活,得到权重矩阵。Excitation 过程如式(2)所示:s=Fex(z,W)=(g(z,W)=(W2(W1z)(2)图1深度可分离卷积Fig.1Depthwise separable convolution图2SENet的结构Fig.2Structure of SENet1528第 5 期蒋瑞林等:基于深度可分离卷积的多神经网络恶意代码检测模
20、型2.3分类模型MobileNet是Howard等19提出的一种以轻量化为特点的卷 积 神 经 网 络。该 网 络 通 过 NAS(Network Architecture Search)和 NetAdapt 算法优化全局参数,结合 DSC 发挥轻量级网络主要优势,引入SENet通道注意力机制增强神经网络表述能力。ShuffleNet 是 Ma 等20提出的 CNN 模型,特点是运算高效。ShuffleNet的设计核心为逐点卷积和通道混洗(Channel Shuffle)。通道混洗是指将特征在输入到GConv分组卷积之前,按照分组卷积的 Group 数量进行分组,并将组间的特征均匀打乱,增加通
21、道间的信息流动,在保持网络精度的情况下提升计算速度。Xception是Chollet21提出的基于Inception启发的新型深度卷积神经网络架构,使用DSC替换Inception中原有的卷积层,能在不增加网络复杂度的前提下提高模型的效果,利用DSC替代多种依赖人工设计的特征提取方式来提升性能。LGBM 是基于 GBDT(Gradient Boosting Decision Tree)算法开发的支持并行运行的训练框架。GBDT 主要思想是利用决策树(Decision Tree,DT)迭代训练以得到最优模型,该模型具有训练效果好、不易过拟合等优点。2.4图像纹理信息分类图像纹理信息也被称为图像的
22、复杂度,文献 22 中对此进行了详细的论述,即从整体角度对图像的复杂度进行了描述。图像纹理特征即将图像整体出现的灰度级情况,各灰度级像素的数量和单个像素周围像素灰度级分布情况等关键信息特征化,其中包括对图像表面结构的次序排列、整体与局部之间联系和结构同质现象等视觉特征的描述,是基于内容的图像检测方法中重要的分类特征。基于灰度共生矩阵(Grey Level Co-occurrence Matrix,GLCM)提取纹理特征是通过计算GLCM中的相关值来代表图像的纹理特征。GLCM能反映图像灰度关于方向、相邻间隔、变化幅度等综合信息,是分析图像纹理分布的主要方法之一。3 模型构建 3.1基于深度可分
23、离卷积多神经网络恶意代码检测模型基于DSC的多神经网络恶意代码检测模型如图3所示,包含4个部分:图像特征提取、多神经网络分类检测、纹理特征分类检测和基于朴素贝叶斯算法的结果融合。1)图像特征提取:将二进制恶意代码以8 bit为单位转化为 0255像素点生成恶意代码纹理灰度图,再将该恶意代码纹理灰度图经过数据预处理的归一化变成格式统一的2242243的灰度图。通过GLCM计算出每个恶意代码纹理灰 度 图 样 本 中 的 纹 理 特 征 值:能 量/角 二 阶 矩(Angular Second Moment,ASM)、熵(ENTropy,ENT)、逆方差(Inverse Differential
24、Moment,IDM)和相关度(CORrelation,COR)。2)多神经网络分类检测:将恶意代码纹理灰度图输入到多神经网络检测中,利用 MobileNet-small、ShuffleNet-SE 和Xception-SE对检测样本进行分类检测,多神经网络分类从不同的角度揭示深度可分离卷积的作用。3)纹理特征分类检测:将恶意代码纹理灰度图的纹理特征值输入LGBM分类器中,对检测样本进行分类。4)基于朴素贝叶斯算法的结果融合:多个初级学习器结果传入融合层,将初级学习器的分类结果作为特征,输入基于朴素贝叶斯算法的次级学习器,得到模型最终分类结果。3.2恶意样本特征提取恶意代码二进制位字符串可以分
25、为多个长度为8 bit的子字符串,这些子字符串中的每一位都可以被视为一个像素,因为这8 bit可以解释为0255范围内的无符号整数,其中0为黑色,255为白色。选取连续的3个子字符串,分别对应于彩色图像中RGB的3个通道,即第1个8 bit字符串转化为R通道的值,第2个8 bit字符串转化为G通道的值,第3个8 bit字符串转化为B通道的值;重复这一操作使得所有数据都被选完(最末段端数据量不足3字符串的,用0补足)。利用该原理,二进制恶意代码便转化为十进制数字的一维向量,固定256为行宽向量,高度根据文件大小变化。最终,恶意代码被解释为 RGB图像。二进制转换灰度图过程如图 4所示。3.3多神
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 深度 可分离 卷积 神经网络 恶意代码 检测 模型 蒋瑞林
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。