恶意软件是指任何旨在对其所在的系统造成损害的软件。主要类型有蠕虫、木马和广告软件。现在每年大约产生35万个样本,这对反病毒公司来说越来越困难,因为只有50%的新恶意软件被报告,而从这50%中,只有20%会被现有的反病毒软件检测到。对恶意软件进行分类的一些传统方法有
沙盒检测:任何可疑的软件都可以在虚拟环境中的这里运行,它的行为都可以在这个环境中被监控,并且根据它的行为,会判断这个软件是否是恶意的。但这种方法可以被恶意软件绕过,因为恶意软件太大,无法在虚拟环境中处理,恶意软件文件可以保存为模糊不清的文件格式,等等。沙盒检测属于基于行为的恶意软件检测。基于签名的检测:反病毒公司为恶意软件创建一个签名,并在其数据库中更新它。因此,反病毒软件将扫描软件的签名与反病毒公司的数据库中的签名进行比较。如上所述,每天大约会产生350,000个恶意软件,反病毒公司很难为每个恶意软件创建签名。
现在反病毒公司都在用深度学习技术来对付恶意软件。这里,我们将讨论基于卷积神经网络的分类。
在《恶意软件图像:可视化和自动分类》中,我们首先看到了被分类为灰度图像的特定类别的恶意软件图像的相似性。在论文中,他们展示了特洛伊木马病毒的出现。
的。文本部分包含要执行的代码,而。文本部分全黑,表示末尾的填充为零。的。数据节包含未初始化的代码,而。rsrc部分包含模块的所有资源,例如应用程序可以使用的图标。
上图来自论文《使用图像表示的恶意软件分类》,他们在论文中展示了不同家族的恶意软件图片。对于一个家庭,我们可以在图片中看到相似之处。
在同一篇论文《用于恶意软件分类的进化神经网络》中,他们还展示了常见恶意软件家族的图片,如Rammit、Gatak(木马版)等。
结果
因此,在《恶意软件图像:可视化与自动分类》一文中,他们使用GIST计算纹理特征,并使用具有欧氏距离的K近邻进行分类。所以GIST基本上是用Gabor滤波器对图像进行小波分解。Gabor滤波器是一种线性滤波器,主要分析图像在特定方向上的频率含量。主要用于边缘检测、纹理分析和特征提取。他们使用了来自25个家族的9458个恶意软件,准确率高达98%。
在《用于恶意软件分类的进化神经网络》一文中,他们训练了三个模型。
1cn1d由NxN像素(N = 32)的输入层、卷积层(大小11 ×1)、最大池层、密集连接层(4096个神经元)、9个神经元的输出层。结果的准确度为0.9857,交叉熵为0.0968。CNN1C2D由NxN像素(N = 32)的输入层、卷积层(大小3 ×***个过滤贴图中的3个)、最大池图层、卷积图层(大小为3 ×3)的128个过滤图,最大池层,密集连接层(512个神经元),输出层是9个神经元。结果是准确率:0.9976,交叉熵:0.0231。CNN3C 2D由N×N像素(N = 32)的输入层、卷积层(大小3 ×***个过滤贴图中的3个)、最大池图层、卷积图层(大小为3 ×3 128滤镜贴图)、最大池层和卷积层(大小为3 ×3)的256个过滤图,最大池层,密集连接层(1024个神经元),密集连接层(512个神经元),输出层为9个神经元。结果是准确率:0.9938,交叉熵:0.0257。
在论文“使用图像表示的恶意软件分类”中,他们使用了两个模型,一个是具有四层(两个卷积层和两个密集层)的CNN模型,另一个是Resnet18。普通CNN的准确率为95.24%,Resnet的准确率为98.206%。
最后
如您所见,这些论文发表的结果大约检测到95-98%的恶意软件,这表明计算机视觉技术比传统方法更好。与传统方法相比,深度学习能够实现非常好的准确性,并且占用的硬件更少。
本文来自倾心之夏投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/547356.html