惡意軟件的家族分類問題是網(wǎng)絡(luò)安全研究中的重要課題,惡意軟件的動(dòng)態(tài)執(zhí)行特征能夠準(zhǔn)確的反映惡意軟件的功能性與家族屬性。本文通過研究惡意軟件調(diào)用Windows API的行為特點(diǎn),發(fā)現(xiàn)惡意軟件的惡意行為與序列前后向API調(diào)用具有一定的依賴關(guān)系,而雙向LSTM模型的特征計(jì)算方式符合這樣的依賴特點(diǎn)。通過設(shè)計(jì)基于雙向LSTM的深度學(xué)習(xí)模型,對(duì)惡意軟件的前后API調(diào)用概率關(guān)系進(jìn)行了建模,經(jīng)過實(shí)驗(yàn)驗(yàn)證,測(cè)試準(zhǔn)確率達(dá)到了99.28%,所提出的模型組合方式對(duì)惡意軟件調(diào)用系統(tǒng)API的行為具有良好的建模能力,為了深入的測(cè)試深度學(xué)習(xí)方法的分類性能,實(shí)驗(yàn)部分進(jìn)一步設(shè)置了對(duì)抗樣本實(shí)驗(yàn),通過隨機(jī)插入API序列的方式構(gòu)造模擬對(duì)抗樣本來測(cè)試原始參數(shù)模型的分類性能,對(duì)抗樣本實(shí)驗(yàn)表明,深度學(xué)習(xí)方法相對(duì)某些淺層機(jī)器學(xué)習(xí)方法具有更高的穩(wěn)定性。文中實(shí)驗(yàn)為深度學(xué)習(xí)技術(shù)向工業(yè)界普及提供了一定的參考意義。 

【文章來源】：信息安全學(xué)報(bào). 2020,5(01)CSCD

【文章頁數(shù)】：9 頁

【部分圖文】：

惡意代碼家族分類的系統(tǒng)框架圖

本文數(shù)據(jù)集與微軟在kaggle的惡意軟件分類大賽中的公開數(shù)據(jù)集[8]做對(duì)比,本文數(shù)據(jù)集在數(shù)量上略少于微軟惡意軟件分類比賽中訓(xùn)練集數(shù)據(jù)的個(gè)數(shù)。4 數(shù)據(jù)集處理與實(shí)驗(yàn)

如圖3所示,圖片上排為序列長(zhǎng)度為220時(shí),分別對(duì)測(cè)試樣本插入0組,1組,2組,3組,4組,5組對(duì)抗序列之后,普通機(jī)器學(xué)習(xí)方法與深度學(xué)習(xí)方法性能指標(biāo)的損失情況。從圖形中可以看出,插入對(duì)抗序列之后明顯會(huì)降低惡意軟件家族分類的性能,但是相對(duì)傳統(tǒng)的樸素貝葉斯(NB)與隨機(jī)森林(RF)方法,深度學(xué)習(xí)方法可以獲得更加穩(wěn)定的性能,良好的實(shí)現(xiàn)惡意軟件家族檢測(cè)的分類。序列長(zhǎng)度為400時(shí),深度學(xué)習(xí)模型同樣表現(xiàn)較好。測(cè)試樣本序列長(zhǎng)度為400時(shí),可以看到五角星線條的LSTM方法相對(duì)其他的方法下降趨勢(shì)較小。但是序列長(zhǎng)度為220時(shí)則沒有這樣的趨勢(shì),可以推斷,這是因?yàn)樾蛄虚L(zhǎng)度為400的LSTM識(shí)別模型參數(shù)較多,而LSTM參數(shù)較少的情況下具有更高的魯棒性。


本文編號(hào)：3309275