卷積神經(jīng)網(wǎng)絡(luò)（convolutional neural network,CNN）在諸多領(lǐng)域得到了廣泛應(yīng)用,Windows API序列在結(jié)構(gòu)上存在前后依賴關(guān)系,僅僅使用卷積神經(jīng)網(wǎng)絡(luò)實現(xiàn)惡意代碼檢測將忽略詞的上下文語義,因此使用了詞向量模型來訓(xùn)練API序列,并且融合5個大小不同的卷積核來彌補傳統(tǒng)卷積網(wǎng)絡(luò)丟失序列時序信息和語法信息的缺點.在Cuckoo沙箱中運行樣本文件,提取動態(tài)API序列并進行去重處理,預(yù)訓(xùn)練得到詞向量,輸入到多核融合的CNN網(wǎng)絡(luò)中訓(xùn)練惡意代碼檢測模型.最后使用測試集測試模型的有效性,測試集的正確率值達到了98.1%,結(jié)果表明所提出的方法能有效地檢測惡意代碼. 

【文章來源】：信息安全研究. 2020,6(03)

【文章頁數(shù)】：8 頁

【部分圖文】：

方法實現(xiàn)流程圖

圖1 方法實現(xiàn)流程圖實驗在多個客戶機上并行運行，從而減少實驗的時間．Cuckoo服務(wù)器開啟虛擬機，分發(fā)樣本數(shù)據(jù)集中的樣本到各個分析客戶機并執(zhí)行，收集到樣本執(zhí)行的行為后回傳Cuckoo服務(wù)器，同時恢復(fù)到初始狀態(tài)繼續(xù)下一次的分析．分析報告的組成包含如下部分：靜態(tài)分析結(jié)果，如導(dǎo)入表信息；程序的API調(diào)用序列以及參數(shù)；虛擬機系統(tǒng)的內(nèi)存鏡像和分析進程的內(nèi)存鏡像；程序運行時產(chǎn)生的網(wǎng)絡(luò)流量．本文僅提取分析報告中的API調(diào)用序列用于惡意代碼分析．

神經(jīng)網(wǎng)絡(luò)的輸入不支持文本字符串形式，因此必須把字符串轉(zhuǎn)換為向量表示，傳統(tǒng)的基于向量模型或者one-hot來表述文本的方式，隨著詞匯的增多，向量的維度增加從而容易造成維度災(zāi)難，帶來效率的急劇下降．而詞嵌入技術(shù)可以把字符串轉(zhuǎn)換為詞向量，把高維的稀疏特征向量轉(zhuǎn)換為低維密度特征向量可以有效避免這一問題，因此本文采用詞嵌入技術(shù)把動態(tài)API序列轉(zhuǎn)換為詞向量，作為卷積神經(jīng)網(wǎng)絡(luò)的輸入．詞嵌入的一種典型模型為Word2Vec模型，Word2Vec有2種不同的表示模型，分別為CBOW和Skip-Gram模型．2種模型的主要區(qū)別在于CBOW是根據(jù)上下文來預(yù)測1個詞，而Skip-Gram則是通過當(dāng)前詞來預(yù)測周圍的詞．本文采用的模型為Skip-Gram模型，假設(shè)給定窗口大小為2，輸入wi，則輸出wi-2,wi-1,wi+1,wi+2．相應(yīng)的模型如圖3所示：實驗所提取的原始API調(diào)用共250個，因此每一個API被表示成一個250維的one-hot向量，這個向量有250個分量，對應(yīng)每一個API，在對應(yīng)的API位置為1，其他都是0.Skip-Gram訓(xùn)練的目的是找到可以用來有效預(yù)測上下文的表達形式，即最大化預(yù)測平均對數(shù)概率，用softmax方法來計算如下：

【參考文獻】：
期刊論文
[1]基于GPU加速的惡意代碼字節(jié)碼特征提取方法研究[J]. 周紫瞻,王俊峰.  四川大學(xué)學(xué)報(自然科學(xué)版). 2019(02)
[2]基于家族行為頻繁子圖挖掘的惡意代碼檢測[J]. 朱雪冰,周安民,左政.  信息安全研究. 2019(02)
[3]MACSPMD:基于惡意API調(diào)用序列模式挖掘的惡意代碼檢測[J]. 榮俸萍,方勇,左政,劉亮.  計算機科學(xué). 2018(05)
[4]基于API序列特征和統(tǒng)計特征組合的惡意樣本檢測框架[J]. 蘆效峰,蔣方朔,周簫,崔寶江,伊勝偉,沙晶.  清華大學(xué)學(xué)報(自然科學(xué)版). 2018(05)



本文編號：3371419