| 一种基于深度学习的恶意软件家族分类模型 |
| |
| 作者姓名: | 郑锐 汪秋云 傅建明 姜政伟 苏日古嘎 汪姝玮 |
| |
| 作者单位: | 空天信息安全与可信计算教育部重点实验室, 武汉大学国家网络安全学院 武汉 中国 430072;中国科学院信息工程研究所 北京 中国 100093,中国科学院信息工程研究所 北京 中国 100093,空天信息安全与可信计算教育部重点实验室, 武汉大学国家网络安全学院 武汉 中国 430072,中国科学院信息工程研究所 北京 中国 100093;中国科学院大学网络空间安全学院 北京 中国 100049,空天信息安全与可信计算教育部重点实验室, 武汉大学国家网络安全学院 武汉 中国 430072;中国科学院信息工程研究所 北京 中国 100093,中国科学院信息工程研究所 北京 中国 100093 |
| |
| 基金项目: | 本课题得到国家自然科学基金项目(No.61972297,No.U1636107),基础加强计划(No.2017-JCJQ-ZD-043-01-00),国家重点研发计划(No.2016QY06X1204,No.2018YFC0824801)资助。 |
| |
| 摘 要: | 恶意软件的家族分类问题是网络安全研究中的重要课题,恶意软件的动态执行特征能够准确的反映恶意软件的功能性与家族属性。本文通过研究恶意软件调用Windows API的行为特点,发现恶意软件的恶意行为与序列前后向API调用具有一定的依赖关系,而双向LSTM模型的特征计算方式符合这样的依赖特点。通过设计基于双向LSTM的深度学习模型,对恶意软件的前后API调用概率关系进行了建模,经过实验验证,测试准确率达到了99.28%,所提出的模型组合方式对恶意软件调用系统API的行为具有良好的建模能力,为了深入的测试深度学习方法的分类性能,实验部分进一步设置了对抗样本实验,通过随机插入API序列的方式构造模拟对抗样本来测试原始参数模型的分类性能,对抗样本实验表明,深度学习方法相对某些浅层机器学习方法具有更高的稳定性。文中实验为深度学习技术向工业界普及提供了一定的参考意义。
|
| 关 键 词: | 深度学习 恶意软件 家族分类 鲁棒性 |
| 收稿时间: | 2019-09-05 |
| 修稿时间: | 2019-12-09 |
|
| 点击此处可从《信息安全学报》浏览原始摘要信息 |
|
点击此处可从《信息安全学报》下载全文 |
|
