針對代碼復用在同一惡意家族樣本中普遍存在的現(xiàn)象,提出了一種利用代碼復用特征的惡意樣本分類方法。首先將文件的二進制序列分割成RGB三色通道的值,從而將惡意樣本轉換為彩色圖;然后用這些圖片基于VGG卷積神經(jīng)網(wǎng)絡生成惡意樣本分類模型;最后在模型訓練階段利用隨機失活算法解決過擬合和梯度消失問題以及降低神經(jīng)網(wǎng)絡計算開銷。該方法使用Malimg數(shù)據(jù)集25個族的9 342個樣本進行評估,平均分類準確率達96.16%,能有效地分類惡意代碼樣本。實驗結果表明,與灰度圖相比,所提方法將二進制文件轉換為彩色圖能更明顯地強調圖像特征,尤其是對于二進制序列中含有重復短數(shù)據(jù)片段的文件,而且利用特征更明顯的訓練集,神經(jīng)網(wǎng)絡能生成分類效果更好的分類模型。所提方法預處理操作簡單,分類結果響應較快,因此適用于大規(guī)模惡意樣本的快速分類等即時性要求較高的場景。 

【文章來源】：計算機應用. 2020,40(01)北大核心CSCD

【文章頁數(shù)】：6 頁

【部分圖文】：

圖1 分類模型層次結構

不同惡意家族之間的紋理特征是不同的。圖3展示了經(jīng)圖像正方化以后25個惡意家族中的3個家族的樣本圖,從圖中可知Adialer.C家族中上部分是稀疏的彩色像素點陣,中間有一道黑色分割線,下部分是密集的彩色像素點陣接著是黑、白、黑三道條紋;C2LOP.P家族的上約3/4部分由稀疏彩色像素點陣和兩道黑色條紋組成,下方由相間的黑色條紋和一道彩色條紋組成;Swizzor.gen!I家族雖然上約3/4部分與C2LOP.P家族相似,但是其下方顏色漸變的彩色“波紋”卻是獨有的顯著特征。圖3 三個家族樣本經(jīng)圖像正方化至224像素×224像素

圖2 樣本預處理流程同一家族間的樣本具有相似的紋理圖案。圖4展示了經(jīng)圖像正方化后Lolyda.AA2家族中的兩個樣本圖像,從圖中可知樣本1和樣本2自上而下的紋理特征相似。

【參考文獻】：
期刊論文
[1]熵可視化方法在惡意代碼分類中的應用[J]. 任卓君,陳光.  計算機工程. 2017(09)



本文編號：3550506