近年來快速增加的惡意代碼數(shù)量中大部分是由原有家族中通過變異產(chǎn)生,所以對惡意代碼家族進(jìn)行檢測分類顯得尤為重要。提出了一種基于CNN-BiLSTM網(wǎng)絡(luò)的惡意代碼家族檢測方法,將惡意代碼家族可執(zhí)行文件直接轉(zhuǎn)換為灰度圖像,利用CNN-BiLSTM網(wǎng)絡(luò)模型對圖像數(shù)據(jù)集進(jìn)行檢測分類。此方法在避免計(jì)算機(jī)受到惡意代碼傷害的同時(shí)全面高效地提取特征,結(jié)合CNN和BiLSTM的優(yōu)點(diǎn)從局部和全局兩個方面學(xué)習(xí)惡意代碼家族的特征并實(shí)現(xiàn)分類。實(shí)驗(yàn)對4個惡意代碼家族的4 418個樣本進(jìn)行識別,結(jié)果表明該模型相對于傳統(tǒng)機(jī)器學(xué)習(xí)具有更高的準(zhǔn)確率。 

【文章來源】：計(jì)算機(jī)工程與應(yīng)用. 2020,56(24)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

CNN-Bi LSTM模型架構(gòu)

傳統(tǒng)的RNN只能有短期記憶，在神經(jīng)網(wǎng)絡(luò)深度加深（時(shí)間上或者空間上）的情況下會導(dǎo)致梯度消失以及梯度爆炸，如果通過門控制將短期的記憶與長期的記憶相結(jié)合，可以一定程度上解決了梯度消失的問題，這樣的循環(huán)神經(jīng)網(wǎng)絡(luò)稱為LSTM。LSTM的神經(jīng)元結(jié)構(gòu)如圖3所示。圖3 LSTM神經(jīng)元結(jié)構(gòu)圖

圖2 RNN神經(jīng)元結(jié)構(gòu)圖LSTM網(wǎng)絡(luò)只能單向地從左到右進(jìn)行訓(xùn)練和傳遞，但在實(shí)際運(yùn)用中預(yù)測可能需要考慮前面輸入和后面輸入，這樣結(jié)果才會更加準(zhǔn)確。這個時(shí)候引入雙向LSTM會得到更好的效果，雙向LSTM在輸入序列上有兩個LSTM互相連接，每一個輸入的惡意代碼特征都會從正向和反向經(jīng)過循環(huán)神網(wǎng)絡(luò)，為神經(jīng)網(wǎng)絡(luò)提供的上下文全局特征，更快而且更充分地學(xué)習(xí)訓(xùn)練。Bi LSTM的神經(jīng)元結(jié)構(gòu)如圖4所示。

【參考文獻(xiàn)】：
期刊論文
[1]基于MobileNet的惡意軟件家族分類模型[J]. 曾婭琴,張琳琳,張若楠,楊波.  計(jì)算機(jī)工程. 2020(04)
[2]基于惡意代碼的網(wǎng)絡(luò)行為分析與識別研究[J]. 彭子俊.  電腦知識與技術(shù). 2019(22)
[3]一種基于圖像感知哈希的海量惡意代碼分類方法[J]. 余健,黃澤壇.  韓山師范學(xué)院學(xué)報(bào). 2019(03)
[4]基于卷積神經(jīng)網(wǎng)絡(luò)的惡意軟件檢測與分類研究[J]. 齊彩云,胡勇.  現(xiàn)代計(jì)算機(jī)(專業(yè)版). 2019(09)
[5]基于卷積神經(jīng)網(wǎng)絡(luò)的JavaScript惡意代碼檢測方法[J]. 龍廷艷,萬良,鄧烜堃.  計(jì)算機(jī)工程與應(yīng)用. 2019(18)



本文編號：3442820