基于深度迁移学习的恶意软件检测系统研究与实现
这是一篇关于安卓,恶意软件检测,卷积神经网络,迁移学习的论文, 主要内容为随着移动互联网的快速发展,移动终端成为生活中必不可少的一部分,主流的安卓平台因其开源性和高自由度成为恶意软件的首选攻击目标。因此,为了保障用户的经济和隐私安全,对于恶意软件的甄别至关重要。近年来,针对安卓恶意软件检测的研究主要基于人工筛选的静态特征和捕获程序运行时的动态行为特征,前者很容易被混淆技术绕过且代码覆盖率低,后者受限于高昂的计算成本和时间开销。此外,恶意软件不断演化发展,新型恶意软件出现初期往往存在有标记样本不足,因此难以训练出强泛化能力模型。针对以上两个问题,本文予以深入研究并提出了相对应的改进方案,主要工作如下所示:(1)基于卷积神经网络的端到端恶意软件检测方法。针对现有的基于静态特征的安卓恶意软件检测方法通常需要借助先验知识或人工干涉、难以应对混淆技术,以及动态特征的高计算成本等问题,提出基于图像特征和卷积神经网络的安卓恶意软件检测方法MADRF-CNN(CNN variant with Diverse Receptive Fields using Max and Average pooling simultaneously)。首先,从Android应用程序包(Android application package,APK)中提取出Dex文件,然后根据表现形式的相似性将Dex文件转换为RGB图像。紧接着,将转换后的RGB图像输入提出的MADRF-CNN网络进行特征学习。在特征学习阶段,MADRF-CNN通过多尺度捕获图像不同部分之间的依赖进一步提升卷积神经网络的性能。实验结果表明,提出的MADRF-CNN方法可以精准识别出安卓恶意软件。(2)基于迁移学习的安卓恶意软件检测方法。鉴于当前恶意软件检测工作通常只专注于单一领域训练样本,而新型恶意软件或变种出现初期往往存在有标记样本不足的问题,从而导致难以训练强泛化性能的检测模型,因此引入迁移学习的概念,提出新型恶意软件检测方法GARes Net(Res Net with Group Convolution and Attention),旨在通过迁移学习中的领域泛化思想提升模型的泛化能力。具体的,使用微软公开数据集和安卓恶意软件数据集作为迁移学习的源域和目标域,通过图像相似度算法缩小两个域之间的差距。紧接着,使用卷积神经网络变种--残差网络作为迁移的基础网络,首先使用微软公开数据集进行模型训练,然后通过少量的安卓恶意软件数据样本予以回调,从而达到迁移学习的目的。通过大量的实验评估表明,提出的基于迁移学习的安卓恶意软件检测方法可以进一步提升恶意软件检测的效率。为验证两种检测模型的有效性,基于提出的两种安卓恶意软件检测方法,设计并实现了安卓恶意软件检测系统。该系统由前端可视化界面和后端逻辑处理两大部分组成,用户通过可视化界面进行操作,选择需要识别的APK文件,系统会生成对应的特征并调用用户选择的检测模型进行检测并返回检测结果。系统经过测试后,检测速度和准确率都达到可在实际环境中应用和部署的水平。
Windows平台恶意软件检测器的对抗性攻击防御研究与实现
这是一篇关于Windows,恶意软件检测,对抗性攻击防御,PE文件结构的论文, 主要内容为Windows是全球最受欢迎的桌面操作系统,与此同时大量的恶意软件在该平台上运行。为了遏制恶意软件的传播,基于机器学习的恶意软件检测技术得到了广泛应用,但是对抗机器学习技术的引入也给恶意软件检测带来了新的挑战。现有对抗性攻击防御的研究主要针对图像和语音识别,而且计算代价大或不适用于恶意软件检测领域的对抗性攻击防御。而一些研究人员尝试提出对基于PE文件末尾和段等一类对抗性攻击的检测方法,但仍存在检测攻击种类少和漏报率高的缺点。本文研究Windows平台恶意软件检测器的对抗性攻击防御,提出了基于规则匹配的防御方法和基于段边界识别的防御方法,设计并实现了防对抗性攻击的恶意软件检测系统,主要工作和成果如下:(1)针对基于PE文件结构的对抗性攻击,为扩大对其检测范围,并降低检测漏报率,提出了基于段边界识别的检测方法和基于规则匹配的检测方法。在现有基于PE文件末尾和段等一类对抗性攻击的检测方法基础上,基于PE文件汇编代码和数据目录项,通过段边界识别实现对Code Cave等新型攻击的检测,并降低对Padding、Section Injection、Filling Slack Space 等攻击的漏报率;基于 PE 文件Dos头、Dos存根、PE头等结构,通过制定不同的检测规则,实现对Perturb Header Fields、Manipulating Dos Header and Stub、Shift、Extend等新型攻击的检测。在攻击检测的基础上提出对抗性攻击防御方法,防御方法包括攻击检测和攻击复原两部分。在检测到攻击后,通过删除扰动内容,修复PE头和修复段表对扰动进行复原。实验证明,所提出的方法在攻击检测种类和准确度方面均高于其他现有方法。此外,实验还证明在不对恶意软件检测器进行修改的情况下,所提出的方法有助于提高商业恶意软件检测器的鲁棒性。(2)基于上述对抗性攻击防御方法,设计并实现了防对抗性攻击的恶意软件检测系统。系统为普通用户提供恶意软件检测功能,为了消除对抗性攻击对恶意软件检测的影响,在进行恶意软件检测之前对8种结构性对抗性攻击进行检测,在检测到对抗性攻击后对扰动内容进行复原,将复原后的文件进行恶意软件检测。此外,该系统为恶意软件分析人员提供对抗性攻击检测、对抗性攻击分析和对抗性样本生成等功能,为管理员提供系统管理和维护等功能。系统实现时采用前后端分离技术进行开发,使用多种中间件以保证系统的可靠性和易于扩展性,使用Redis作为缓存数据库提高系统响应速度,使用RocketMQ对检测任务下发和执行进行解耦。同时,为了存储用户上传的大量文件,使用MinIO分布式对象存储技术,提高文件存取速度并方便对文件进行管理。系统还为用户提供了友好的Web界面,使其可以轻松使用该系统。
基于深度迁移学习的恶意软件检测系统研究与实现
这是一篇关于安卓,恶意软件检测,卷积神经网络,迁移学习的论文, 主要内容为随着移动互联网的快速发展,移动终端成为生活中必不可少的一部分,主流的安卓平台因其开源性和高自由度成为恶意软件的首选攻击目标。因此,为了保障用户的经济和隐私安全,对于恶意软件的甄别至关重要。近年来,针对安卓恶意软件检测的研究主要基于人工筛选的静态特征和捕获程序运行时的动态行为特征,前者很容易被混淆技术绕过且代码覆盖率低,后者受限于高昂的计算成本和时间开销。此外,恶意软件不断演化发展,新型恶意软件出现初期往往存在有标记样本不足,因此难以训练出强泛化能力模型。针对以上两个问题,本文予以深入研究并提出了相对应的改进方案,主要工作如下所示:(1)基于卷积神经网络的端到端恶意软件检测方法。针对现有的基于静态特征的安卓恶意软件检测方法通常需要借助先验知识或人工干涉、难以应对混淆技术,以及动态特征的高计算成本等问题,提出基于图像特征和卷积神经网络的安卓恶意软件检测方法MADRF-CNN(CNN variant with Diverse Receptive Fields using Max and Average pooling simultaneously)。首先,从Android应用程序包(Android application package,APK)中提取出Dex文件,然后根据表现形式的相似性将Dex文件转换为RGB图像。紧接着,将转换后的RGB图像输入提出的MADRF-CNN网络进行特征学习。在特征学习阶段,MADRF-CNN通过多尺度捕获图像不同部分之间的依赖进一步提升卷积神经网络的性能。实验结果表明,提出的MADRF-CNN方法可以精准识别出安卓恶意软件。(2)基于迁移学习的安卓恶意软件检测方法。鉴于当前恶意软件检测工作通常只专注于单一领域训练样本,而新型恶意软件或变种出现初期往往存在有标记样本不足的问题,从而导致难以训练强泛化性能的检测模型,因此引入迁移学习的概念,提出新型恶意软件检测方法GARes Net(Res Net with Group Convolution and Attention),旨在通过迁移学习中的领域泛化思想提升模型的泛化能力。具体的,使用微软公开数据集和安卓恶意软件数据集作为迁移学习的源域和目标域,通过图像相似度算法缩小两个域之间的差距。紧接着,使用卷积神经网络变种--残差网络作为迁移的基础网络,首先使用微软公开数据集进行模型训练,然后通过少量的安卓恶意软件数据样本予以回调,从而达到迁移学习的目的。通过大量的实验评估表明,提出的基于迁移学习的安卓恶意软件检测方法可以进一步提升恶意软件检测的效率。为验证两种检测模型的有效性,基于提出的两种安卓恶意软件检测方法,设计并实现了安卓恶意软件检测系统。该系统由前端可视化界面和后端逻辑处理两大部分组成,用户通过可视化界面进行操作,选择需要识别的APK文件,系统会生成对应的特征并调用用户选择的检测模型进行检测并返回检测结果。系统经过测试后,检测速度和准确率都达到可在实际环境中应用和部署的水平。
基于API序列的可解释恶意软件分类系统设计与实现
这是一篇关于深度学习,恶意软件检测,自然语言处理,可解释性的论文, 主要内容为近年来,随着互联网技术的飞速发展,大量恶意软件的产生和泛滥严重影响了互联网安全。恶意软件及其多样化的变体令传统的基于人工的恶意软件检测手段难以应付,因此前沿的研究将恶意软件检测与深度学习进行了结合,构建了高效精确的分类器进行恶意软件的分类检测。但是一方面,传统的机器学习和深度学习并没有很好地去进行恶意软件的特征选择,选择的特征容易被恶意软件的变体逃逸。另一方面,多数的表现良好的恶意软件分类模型是难以解释的黑盒模型,没有办法直观地表示做出决策的原因,也就无法令人信服。所以目前恶意软件分类领域的主要需求是在构建一个高效精确的恶意软件分类器的基础上,实现了恶意软件分类模型分类结果的可解释性。本文使用了恶意软件API动态运行序列作为特征,结合了API函数语义模块,构建了基于XLNet可解释的恶意软件分类模型,并在主流数据集上取得了较为优秀的结果,同时针对真实环境进行了可解释性恶意软件分类系统的开发落地。本文的具体工作及创新点如下:(1)API函数语义提取模块设计实现。本文选择恶意软件API调用序列作为恶意软件特征,API调用序列可以用于捕捉恶意软件的独特行为模式,具有隐匿难度较高的特点。并且针对API函数命名中可能存在的语义信息,设计了API函数语义抽取模块,对API函数进行了细粒度的进一步分词,使用Doc2vec模块进行了分词后的API函数短语进行语义抽取,构建了从函数到向量的映射关系,为后续序列处理提供了更加丰富的特征信息。(2)基于XLNet的分类模块设计实现。本文使用了自然语言处理领域(NLP)的优秀自注意力模型XLNet的基础结构作为API调用序列的序列嵌入模块,XLNet结合了自回归的语言模型特点,解决了自编码语言模型点的同时,使得API序列长度可以不受模型的限制,更能保留下来丰富的序列行为信息。同时本文在XLNet的基础上缩减了模型参数和模型深度,使用了更小的参数量和更少的层数堆叠实现了优秀的分类效果,训练时间和精度都要优于基于主流的循环神经网络(RNN)模型和Transformer模型。在公开数据集Catak上进行8分类测试,将F1分数提升到0.65,AUC分数提升至0.903。此外,缩小后的模型可以更好地在较小的计算机上运行。(3)对于恶意软件分类结果的可解释性实现。本文在实现了高精度恶意软件分类器的基础上,结合XLNet架构的注意力机制,针对恶意软件分类问题设置了一套完整的可解释性体系,可以实现对模型分类结果提供可解释性的依据。本文从XLNet中提取了注意力权值矩阵,计算序列中每一个API函数对句子向量的影响程度,并且根据影响程度排序抽取出恶意子序列。研究人员可以通过API调用序列快速定位到恶意模块,针对性地进行分析。可解释性机制可以极大地提升研究人员的工作效率,提升时间和分析精度,也可以实现提升分析结果的可信程度(4)MalNet恶意软件分类系统设计开发。本研究还对系统进行了需求分析和架构设计,重点针对恶意软件地分析运行功能,API调用序列抽取和还原功能,分析结果输出等功能进行了详细的设计展示。在此基础上实现了整个系统的开发测试。系统能够结合开源沙箱Cuckoo,实现对恶意软件地全方位的分析。本文已经完成了MalNet可解释性恶意软件分类系统的研发并进行了实际测试,实现了恶意软件高效精确的分类,并且为分类结果进行了可信的解释。此外,系统的可移植性强,对计算机要求较低,有助于解决恶意软件泛滥问题,并可以辅助安全人员进行进一步分析,达到了预期目标。
基于API序列的可解释恶意软件分类系统设计与实现
这是一篇关于深度学习,恶意软件检测,自然语言处理,可解释性的论文, 主要内容为近年来,随着互联网技术的飞速发展,大量恶意软件的产生和泛滥严重影响了互联网安全。恶意软件及其多样化的变体令传统的基于人工的恶意软件检测手段难以应付,因此前沿的研究将恶意软件检测与深度学习进行了结合,构建了高效精确的分类器进行恶意软件的分类检测。但是一方面,传统的机器学习和深度学习并没有很好地去进行恶意软件的特征选择,选择的特征容易被恶意软件的变体逃逸。另一方面,多数的表现良好的恶意软件分类模型是难以解释的黑盒模型,没有办法直观地表示做出决策的原因,也就无法令人信服。所以目前恶意软件分类领域的主要需求是在构建一个高效精确的恶意软件分类器的基础上,实现了恶意软件分类模型分类结果的可解释性。本文使用了恶意软件API动态运行序列作为特征,结合了API函数语义模块,构建了基于XLNet可解释的恶意软件分类模型,并在主流数据集上取得了较为优秀的结果,同时针对真实环境进行了可解释性恶意软件分类系统的开发落地。本文的具体工作及创新点如下:(1)API函数语义提取模块设计实现。本文选择恶意软件API调用序列作为恶意软件特征,API调用序列可以用于捕捉恶意软件的独特行为模式,具有隐匿难度较高的特点。并且针对API函数命名中可能存在的语义信息,设计了API函数语义抽取模块,对API函数进行了细粒度的进一步分词,使用Doc2vec模块进行了分词后的API函数短语进行语义抽取,构建了从函数到向量的映射关系,为后续序列处理提供了更加丰富的特征信息。(2)基于XLNet的分类模块设计实现。本文使用了自然语言处理领域(NLP)的优秀自注意力模型XLNet的基础结构作为API调用序列的序列嵌入模块,XLNet结合了自回归的语言模型特点,解决了自编码语言模型点的同时,使得API序列长度可以不受模型的限制,更能保留下来丰富的序列行为信息。同时本文在XLNet的基础上缩减了模型参数和模型深度,使用了更小的参数量和更少的层数堆叠实现了优秀的分类效果,训练时间和精度都要优于基于主流的循环神经网络(RNN)模型和Transformer模型。在公开数据集Catak上进行8分类测试,将F1分数提升到0.65,AUC分数提升至0.903。此外,缩小后的模型可以更好地在较小的计算机上运行。(3)对于恶意软件分类结果的可解释性实现。本文在实现了高精度恶意软件分类器的基础上,结合XLNet架构的注意力机制,针对恶意软件分类问题设置了一套完整的可解释性体系,可以实现对模型分类结果提供可解释性的依据。本文从XLNet中提取了注意力权值矩阵,计算序列中每一个API函数对句子向量的影响程度,并且根据影响程度排序抽取出恶意子序列。研究人员可以通过API调用序列快速定位到恶意模块,针对性地进行分析。可解释性机制可以极大地提升研究人员的工作效率,提升时间和分析精度,也可以实现提升分析结果的可信程度(4)MalNet恶意软件分类系统设计开发。本研究还对系统进行了需求分析和架构设计,重点针对恶意软件地分析运行功能,API调用序列抽取和还原功能,分析结果输出等功能进行了详细的设计展示。在此基础上实现了整个系统的开发测试。系统能够结合开源沙箱Cuckoo,实现对恶意软件地全方位的分析。本文已经完成了MalNet可解释性恶意软件分类系统的研发并进行了实际测试,实现了恶意软件高效精确的分类,并且为分类结果进行了可信的解释。此外,系统的可移植性强,对计算机要求较低,有助于解决恶意软件泛滥问题,并可以辅助安全人员进行进一步分析,达到了预期目标。
本文内容包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主题。发布者:源码工厂 ,原文地址:https://m.bishedaima.com/lunwen/54559.html
