針對代碼復(fù)用在同一惡意家族樣本中普遍存在的現(xiàn)象,提出了一種利用代碼復(fù)用特征的惡意樣本分類方法。首先將文件的二進(jìn)制序列分割成RGB三色通道的值,從而將惡意樣本轉(zhuǎn)換為彩色圖;然后用這些圖片基于VGG卷積神經(jīng)網(wǎng)絡(luò)生成惡意樣本分類模型;最后在模型訓(xùn)練階段利用隨機(jī)失活算法解決過擬合和梯度消失問題以及降低神經(jīng)網(wǎng)絡(luò)計(jì)算開銷。該方法使用Malimg數(shù)據(jù)集25個(gè)族的9 342個(gè)樣本進(jìn)行評估,平均分類準(zhǔn)確率達(dá)96.16%,能有效地分類惡意代碼樣本。實(shí)驗(yàn)結(jié)果表明,與灰度圖相比,所提方法將二進(jìn)制文件轉(zhuǎn)換為彩色圖能更明顯地強(qiáng)調(diào)圖像特征,尤其是對于二進(jìn)制序列中含有重復(fù)短數(shù)據(jù)片段的文件,而且利用特征更明顯的訓(xùn)練集,神經(jīng)網(wǎng)絡(luò)能生成分類效果更好的分類模型。所提方法預(yù)處理操作簡單,分類結(jié)果響應(yīng)較快,因此適用于大規(guī)模惡意樣本的快速分類等即時(shí)性要求較高的場景。 

【文章來源】：計(jì)算機(jī)應(yīng)用. 2020,40(01)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

圖1 分類模型層次結(jié)構(gòu)

不同惡意家族之間的紋理特征是不同的。圖3展示了經(jīng)圖像正方化以后25個(gè)惡意家族中的3個(gè)家族的樣本圖,從圖中可知Adialer.C家族中上部分是稀疏的彩色像素點(diǎn)陣,中間有一道黑色分割線,下部分是密集的彩色像素點(diǎn)陣接著是黑、白、黑三道條紋;C2LOP.P家族的上約3/4部分由稀疏彩色像素點(diǎn)陣和兩道黑色條紋組成,下方由相間的黑色條紋和一道彩色條紋組成;Swizzor.gen!I家族雖然上約3/4部分與C2LOP.P家族相似,但是其下方顏色漸變的彩色“波紋”卻是獨(dú)有的顯著特征。圖3 三個(gè)家族樣本經(jīng)圖像正方化至224像素×224像素

圖2 樣本預(yù)處理流程同一家族間的樣本具有相似的紋理圖案。圖4展示了經(jīng)圖像正方化后Lolyda.AA2家族中的兩個(gè)樣本圖像,從圖中可知樣本1和樣本2自上而下的紋理特征相似。

【參考文獻(xiàn)】：
期刊論文
[1]熵可視化方法在惡意代碼分類中的應(yīng)用[J]. 任卓君,陳光.  計(jì)算機(jī)工程. 2017(09)



本文編號：3550506