MalMKNet:一种用于...码分类的多尺度卷积神经网络_张丹丹.pdf
《MalMKNet:一种用于...码分类的多尺度卷积神经网络_张丹丹.pdf》由会员分享,可在线阅读,更多相关《MalMKNet:一种用于...码分类的多尺度卷积神经网络_张丹丹.pdf(11页珍藏版)》请在咨信网上搜索。
1、第 5 期2023 年5 月电子学报ACTA ELECTRONICA SINICAVol.51 No.5May 2023MalMKNet:一种用于恶意代码分类的多尺度卷积神经网络张丹丹,宋亚飞,刘曙(空军工程大学防空反导学院,陕西西安 710051)摘要:对未知恶意代码及其变种进行快速准确地识别,是对恶意攻击行为进行有效防范的前提和基础.但随着恶意代码变种的急剧增加,人工更新样本数据库的效率越来越差,仅仅依据延时的数据库信息,传统的识别方法难以有效捕获经过混淆方法操作的样本特征信息.针对上述问题,本文设计了一种基于灰度图像处理的深度学习模型MalMKNet(Multi-scale Kernel
2、 Network for Malware),建立了一种多尺度卷积核混合的卷积神经网络(Convolutional Neural Network,CNN)架构,以提高恶意代码识别能力.该模型运用具有捷径(shortcut)结构的深度大内核卷积和标准小内核卷积相结合的混合卷积核(Mixed Kernels,MK)模块,以提高模型准确率;在此基础上,通过多尺度内核融合(Multi-scale Kernel Fusion,MKF),以降低模型参数量;再结合特征重组(feature shuffle)操作,实现优化特征通信,在不增加模型参数量的前提下提升了分类精度.实验结果表明,MalMKNet在恶意代码
3、家族分类准确率方面优于其他基于深度学习的分类方法,准确率达到了99.35%.关键词:恶意代码识别;卷积神经网络;深度学习;图像处理;大卷积核;轻量化模型基金项目:国家自然科学基金(No.61806219,No.61703426,No.61876189);陕西省自然科学基金(No.2021JM-226);陕西省高校科协青年人才托举计划(No.20190108,No.20220106);陕西省创新能力支撑计划(No.2020KJXX-065)中图分类号:TP309.5文献标识码:A文章编号:0372-2112(2023)05-1359-11电子学报URL:http:/DOI:10.12263/DZ
4、XB.20221069MalMKNet:A Multi-Scale Convolutional Neural Network Used for Malware ClassificationZHANG Dan-dan,SONG Ya-fei,LIU Shu(Institute of Air Defense and Anti-missile,Air Force Engineering University,Xian,Shaanxi 710051,China)Abstract:Rapid and accurate identification of unknown malware and its v
5、ariants is the premise and basis for the effective prevention of malicious attacks.However,with the rapid increase of malware variants,the efficiency of manual updating of the sample database is getting worse and worse.It is difficult for the traditional identification method to effectively capture
6、the sample feature information operated by the confusion method only based on the delayed database information.To address the above problems,this paper proposes a deep learning model based on grayscale image processing,MalMKNet(Multi-scale Kernel Network for Malware),a convolutional neural network(C
7、NN)architecture using multi-scale convolution kernel mixing action to improve malware detection capabilities.The mixed kernels(MK)module combining deep large kernel convolution and standard small kernel convolution with shortcut structure is proposed to improve the model accuracy,and then we propose
8、d multi-scale kernel fusion(MKF)to reduce the number of parameters.The feature shuffle(FS)is proposed to improve the classification accuracy without increasing the number of parameters.Experimental results show that MalMKNet outperforms the state-of-the-art methods in terms of malware family classif
9、ication accuracy which achieves 99.35%.Key words:malware detection;convolutional neural network;deep learning;image processing;large kernels;lightweight modelFoundation Item(s):National Natural Science Foundation of China(No.61806219,No.61703426,No.61876189);Natural Science Foundation of Shaanxi Pro
10、vince(No.2021JM-226);Young Talent Fund of Association for Science and 收稿日期:2022-09-20;修回日期:2022-11-28;责任编辑:覃怀银电子学报2023 年Technology in Shaanxi,China(No.20190108,No.20220106);Innovation Capability Support Program of Shaanxi(No.2020KJXX-065)1引言恶意代码是指在计算机系统中通过非授权操作来实施破坏或窃取信息的代码,以达到影响数字系统完整性、机密性和功能的目的1.2
11、020年中国网络安全报告2显示:2020年瑞星“云安全”系统共截获病毒样本总量1.19亿个,病毒感染次数2.59亿次,勒索软件、挖矿病毒持续活跃.恶意代码编写者设计了大量混淆方法来增强恶意代码的隐蔽性,如死代码插入、代码转置、重排等技术,以创建当前恶意代码系列的变体来逃避检测3.由 Kelihos、Storm 等多种恶意代码变体之间的相似性可知它们是由相同的编码人员开发设计的1.Greengard等4研究表明,大多恶意代码都是由已知恶意代码变种而来,其中差异性不到2%.因此对恶意代码进行准确分类能够便于研究人员更好地把握恶意代码变种规律,有针对性地进行防范.当前恶意代码检测技术主要基于恶意代码
12、的静态和动态特征进行分析.Venkatraman等5指出静态分析可以迅速捕获到与结构属性相关的信息,动态分析可以有效地利用运行时的信息.但这些技术大多依赖于特征工程工作或领域知识来构建特征数据库.有研究人员将目光投向了图像可视化方法.Natraj等6将二进制可执行文件的结构转换为灰度图像纹理,通过分析纹理相似性来进行恶意代码分类.结果表明,纹理分析耗时更少且分类性能也更好.Makandar7指出图像可视化方法虽然解决了恶意代码检测技术普适性问题,但仍需要较高的计算成本来提取复杂的纹理特征.深度学习已应用于语音和图像识别等相关领域8,9.文献10,11 将数据均衡方法及多层感知器与卷积神经网络相
13、结合,以解决过拟合问题,然而在准确性方面不尽人意.文献 12 通过使用相似性挖掘和成本敏感性的深度学习架构对模糊恶意代码的多种特征进行分析学习.文献 13,14 将恶意代码转化后的灰度图像输入先进的神经网络VGG-16与ResNeXt进行分类.这些基于卷积神经网络的方法大多都是通过堆叠较小的卷积核来增大感受野,每个输出所包含信息的范围较小.最近,已有研究表明在计算机视觉任务中,采用大卷积核使得网络具有较大的感受野,模型效果较好15.但使用大卷积核会显著增加模型的参数量,因此需要寻求模型性能和参数量的折中.2MalMKNet模型2.1数据预处理模块在原有恶意代码基础上使用混淆方法创建的变体与原二
14、进制文件结构非常相似,将恶意代码二进制文件可视化为图像,可以检测出发生的微小变化,同时保留属于同一家族样本的全局结构.本文采用文献 6 中给出的方法,将恶意代码二进制文件转换为灰度图,可视化过程如图1所示.将二进制文件中的每8位看作是0255范围内的无符号整数向量,即为一个像素.像素值计算如下:Pbin=b020+b121+b222+b323+b424+b525+b626+b727(1)像素值与灰度值取值区间相对应,得到数值位于0,255 的数组矩阵,最末端数据不足处以0填充.图像的宽度是固定的,高度根据文件大小自适应.如表1所示,文献 6 中给出了不同文件大小的推荐图像宽度.由恶意代码二进制
15、文件转换而成的灰度图像尺寸并不固定,若采用上表给定的图像尺寸,部分图像在输入时,由于长宽比例不一致,将被强制缩放导致图像失真.为避免因图像失真而造成的模型分类精度下降问题,本文在将样本图像输入模型前,在不改变原始图像长宽比的前提下对短边进行缩放,然后对长边进行中心裁剪,得到6464大小的正方形图像.01110011010110010101101010100001malware binarybinary to 8 bit vector8 bit vector to grayscale image图1恶意代码二进制文件可视化过程1360第 5 期张丹丹:MalMKNet:一种用于恶意代码分类的多尺
16、度卷积神经网络2.2CNN模块本文提出的模型结构以深度卷积作为网络的基本组件.深度卷积通过更宽的特征映射提取图像的高维特征,同时能够大幅减少参数,这为较小的模型带来了更多的好处.本文的每个深度卷积或标准卷积模块都包括三层:(1)卷积层、(2)批量归一化(Batch Normalization,BN)层16和(3)激活层.卷积层对输入图像进行特征提取、特征映射、权重共享、局部连接等操作.卷积层可以减小图像的大小,并进一步降低后续操作的计算成本.卷积运算如式(2)所示.vj=X*j=k=1n(Xk*jk)(2)其中,n是输入矩阵的个数,Xk是第k个输入矩阵,j是滤波器j的卷积核,jk是卷积核j的第
17、k个子卷积核矩阵,*表示卷积运算.BN层可以加快模型训练时的收敛速度,降低网络的学习难度,使得模型训练过程更加稳定,避免梯度爆炸或者梯度消失.BN如式(3)所示.Oj=vj-EvVarv+j+j =k=1n(Xk*jk)-jjj+j =k=1n(Xk*jjjk)-jjj+j =Xj(3)其中,Ev和Varv分别为向量v中元素的均值和方差,j=Ev,j=Varv+,、是学习的比例系数和偏置项,都是可训练参数,表示带BN的卷积运算.激活层对卷积层的输出执行非线性映射.平滑的Mish激活函数允许更好的信息深入神经网络,从而得到更好的准确性和泛化能力17.Mish激活函数如式(4)所示.Mish(x)
18、=xtanh(ln(1+ex)(4)2.3MK模块MK模块如图2所示,每个MK块由捷径和具有大内核的深度卷积构成.除了深度方向大内核外,其他内容包括11卷积和批量归一化.对于卷积核尺寸较大的网络模型,捷径使模型成为由具有不同结构感受野的模块组成的集合,在受益于更大感受野的同时不会失去捕获局部细节的能力.除了大内核卷积提供足够的感受野和聚集空间信息的能力外,模型的表征能力也与深度密切相关.为了获取更多的非线性特性和跨通道的信息通信,模型在具有大内核的深度卷积层前使用11卷积层来增加深度,在11卷积层之前使用批量归一化,使之完全融合到卷积层中进行有效推理.每个具有大内核的深度卷积层都使用一个小内核
19、进行多尺度内核融合,增加特征多样性,避免因直接使用大卷积核而造成模型精度下降的问题.在MK模块中,模型使用了具有大内核的深度卷积提高分类性能,为解决直接使用大核卷积造成的参数量增加问题,引入了多尺度内核融合.融合了小内核的大卷积核也能够捕获更多细微特征,以此提高模型性能,增加的额外局部性也使得网络在小数据集上更容易进行优化,有助于解决优化问题.图3展示了多尺度内核融合的过程.(1)BN融合:卷积的同质性允许批量归一化等效地融合到具有附加偏置的卷积层中.从式(3)中可以看出,对于每个分支,若需对卷积核j产生相同的输出,构造-jjj+j作为jjj的附加偏置项即可.表1不同文件大小的图像宽度文件大小
20、1 000 KB图像宽度32641282563845127681 024输入+输出BN11KK图2MK模块的结构输入33KKBN融合输入内核融合输入KK33BNKKBN输出输出输出图3多尺度内核融合过程1361电子学报2023 年(2)内核融合:首先将两个BN分支合并到卷积层中.这种合并是通过构建原始结构的网络并使用融合权重进行初始化来实现的,对于每个滤波器j,设j是融合后的深度大卷积核,bj是获得的偏置项,j和 j分别是33卷积和KK卷积层对应滤波器的核,则有j=j j jj j j(5)bj=-j j j-jj j+j+j(6)Oj=k=1n(Xk*j j jk)-j j j+j=X j(
21、7)Oj=k=1n(Xk*j j jk)-jj j+j=X j(8)其中,是对应位置的核参数逐元素进行相加,也就是将较小的内核“融合”到较大的内核中.对于任意滤波器,都能证明式(9)成立.Oj+Oj=X j+X j =X(j j)=k=1n(Xk*jk)+bj(9)其中,Oj和Oj分别是33卷积和原始KK卷积分支的输出.在训练阶段,首先构建一个与大层平行的33卷积分支,然后在BN层后将其输出相加,训练完成后的大内核卷积层将不再有小核,将小核和BN参数合并到大核中得到的模型与训练模型等价.多尺度内核融合强化了网络的特征提取能力,且减少了参数量,实现了网络的轻量化.2.4特征重组现代卷积神经网络通
22、常由具有相同结构的重复构建块组成,如Xception18和ResNeXt19,在构建块中引入有效的深度可分离卷积或群卷积,以表示网络在能力和计算成本之间能够达成良好的平衡.然而,多组卷积叠加在一起会产生一个副作用,即某个通道的输出仅来自输入通道的一小部分.深度卷积使得通道具有局部性,导致模型的泛化能力差,没有有效利用不同特征图在相同空间位置上的信息,影响模型的准确率.因此本文提出特征重组,旨在添加额外操作将输出特征进行组合生成新的特征图.特征重组具体操作如下,假设一个具有g个组的卷积层,其输出具有gn个通道;首先将输出通道维度拆分成矩阵(gn)的两个维度,然后将其转置为矩阵(ng),再将它展平
23、成一个维度gn的通道,作为下一层的输入.2.5深度学习模型MalMKNet架构如图4所示.由一个捕获(capture)层和三个阶段(stage)层组成,在每两个阶段层之间通过过渡(transition)层进行过渡.捕获层是开始输入神经网络的层.本文所提出的网络结构的目标是提升图像分类任务的性能,因此在开始时通过几个卷积层捕获更多图像特征.通过两个33深度卷积层来捕获低维度特征,两个55深度卷积层来提取深层特征.模型在每个深度卷积层后使用特征重组,使得后续提取到的特征更加丰富.阶段13层都包含一个使用捷径的MK块,每个阶段都有两个架构超参数:通道维度C和MK块中的深度大内核尺寸K.因此,MalM
24、KNet模型架构由C1C2C3与K1K2K3决定,本文提出的模型架构超参数设置C=64128256,K=312513.过渡层穿插于捕获层之间,用于调整通道数以提升模型的稳定性,由33深度卷积和特征重组构成.本文使用深度学习,基于上述结构训练模型.输入是经过样本预处理后大小为6464的灰度图像,模型中的卷积层步长固定1像素,填充设置为1,确保通过卷积Family-2Family-1Family-25Family-3CaptureStage1TransitionStage2TransitionStage3FC64641646464646412864642561125625625625Convolu
25、tionFeature ShuffleMK BlockBNMaxpoolFlattenLinear LayerSoftmax图4MalMKNet模型结构1362第 5 期张丹丹:MalMKNet:一种用于恶意代码分类的多尺度卷积神经网络层前后图像的空间维度保持一致.输出时将各通道的特征图进行展平处理,使用Softmax分类器输出.3实验与分析3.1实验设置本实验采用 Vision Research Lab 团队在 2011年收集发布的 Malimg 恶意代码数据集进行模型训练和分类,包含了25个恶意代码家族的9 435个样本数据6.模型训练使用8个Nvidia特斯拉T4 GPU,各16 GB内
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MalMKNet 一种 用于 分类 尺度 卷积 神经网络 张丹丹
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。